Лариса Макарова: «Резко увеличилось мошенничество с картами в интернете»

Лариса Макарова: «Резко увеличилось мошенничество с картами в интернете»

В ходе круглого стола «Мошенничество в финансовой сфере» директор по управлению рисками компании Visa Лариса Макарова рассказала о том, какие сейчас самые популярные способы мошенничества, как банкам и клиентам сохранить свои деньги, и может ли парень с терминалом в метро снять деньги с вашей бесконтактной карты.

 

- Расскажите о статистике мошенничеств на рынке платежных карт.

- Спасибо, Руслан. Добрый день, уважаемые коллеги! Я хочу обрисовать масштаб проблемы, которая есть на сегодняшний день, чтобы было понятно, о чем мы говорим, какие цифры есть по данным компании Visa, которые мы получаем от банков глобально по всему миру. И потому же сузить вопрос непосредственно по Украине и к тем узким местам, которые у нас есть на сегодняшний день.

В двух словах о ситуации в регионе СЕМЕА – это регион Центральной Европы, Ближний Восток и Африка, куда входят наши с вами близлежащие страны и, в частности, Украина. На сегодняшний день, тот стратегический подход, который выбрала Visa в риск-менеджменте, а именно, предотвращать, защищать и отвечать на случаи компрометации, он, на самом деле, работает. И, как мы видим по кривой, изображенной на графике, уровень мошенничества снижается. В целом, по региону на сегодняшний день он составляет 2,8 базисных пункта. Что есть очень хорошим показателем по сравнению с 6 базисными пунктами фрода в мире в целом.

Дальше я хотела бы показать картинку, где находимся мы. Большой синий шар – это регион СЕМЕА – Центральная Европа, Ближний Восток и Африка, куда мы входим. И дальше разбивка по субрегионам: размер шарика означает долю платежей, сколько платежей осуществляется в данном субрегионе на рынке, расположение шарика означает долю мошенничества. Мы видим зеленый шарик – это Ближний Восток и Северная Африка. Доля мошенничества очень высока – 2,2 базисных пункта и прирост составил 21%. Южная Африка, золотой шарик – 8 базисных пунктов. Рядом маленький шарик, вот это наш субрегион – страны СНГ (CIS) и Балканы – 1,4 базисных пункта. И видим снижение мошенничества по картам Visa минус 5%. И внизу, самые меньшие показатели, мошенничество на сегодняшний день на рынке России – минус 43% и 0,8 базисных пункта. Это глобальная картинка, чтобы мы понимали масштаб проблемы по миру.

Дальше, сравнивая нашу страну с близлежащими странами, я отвечаю в компании Visa за 17 рынков – это страны СНГ плюс Юго-Восточная Европа, Балканы. И хотела бы вам показать, где мы находимся по сравнению с близлежащими странами, опять-таки на карте в виде кружочка – его размер обозначает объем операций по платежным картам, цвет – уровень мошенничества: зеленый – мошенничество низкое, светло-оранжевый – выше, оранжевый – еще выше, красный – высокое. И хочу обратить ваше внимание, что уровень мошенничества по картам Visa в Украине составляет 0,7 базисных пункта.

1 базисный пункт, чтобы было понятно, о чем мы говорим, – это 1 цент мошенничества на 100 долларов транзакции. То есть 100 долларов легальной транзакции – 1 цент мошенничества. Вот у нас менее 1 цента, у нас –  0,7 базисного пункта мошенничества в Украине. По странам, где объем подобный – Казахстан, Белоруссия, Азербайджан, Сербия, ключевые страны нашего субрегиона. Как вы видите, уровень мошенничества достаточно высок и выше, чем у нас. Казахстан – 1,54 базисных пункта, Азербайджан высокий – 3,35, Сербия – 1,9, красным цветом обозначен Таджикистан – при сравнительно малых объемах платежей по картам уровень мошенничества очень высокий 13,79.

Детализируя дальше, что происходит в Украине, вот теперь мы возьмем только Украину, с нашим маленьким уровнем мошенничества – меньше 1 базисного пункта, я хочу показать вам динамику, которая была с 2013 года. Уровень мошенничества то растет, то падает. Ситуация нестабильная. Это говорит о том, что не все игроки индустрии готовы воспринимать вызовы, которые бросает нам сегодняшний день, и оперативно реагировать. Не у всех есть инструменты для такого реагирования, не у всех есть инструменты выявления, быстрого отслеживания и ликвидации проблемы. Поэтому вот кривая нестабильна. По цветам: желтым цветом, вы видите – самый яркий цвет и самый большой столбик – это желтый цвет, это несанкционированные операции среди интернет-мошенничества. Интернета с годами как бы доля увеличивается.

- То есть мы видим по вашему графику, что во втором квартале прошлого года был наиболее высокий уровень мошенничества.

- Был всплеск мошенничества, да! И если мы посмотрим его разбивку, из чего состоял этот всплеск, –  это желтый столбик – мошенничество в интернете, увеличение оранжевого столбика –использование поддельных карт в торговой сети, зеленый столбик – использование карт в банкоматах. И мы видим, с 2013 года зеленый столбик все время уменьшается, доля банкоматного мошенничества в нашей стране уменьшается по картам украинских банков. Темно-синий столбик в самом низу – утерянные, украденные карты, доля мошенничества уменьшается. И во втором квартале вырос уровень мошенничества под названием «другие», вот светло-голубой, никак не определенный банком. Что здесь сидит под большим словом «другие»? Как правило, это так называемая социальная инженерия. Когда звонят человеку держатели карт и всяческим путем заставляют его раскрыть мошеннику номер карты, CVV2, срок окончания действия, а то и одноразовый пароль, который приходит ему на мобильный телефон. Вот это основное зло, бич «нашого сьогодення», вот то, что сегодня происходит. Когда люди-держатели карт сами выдают информацию злоумышленникам и потом от этого сами страдают, теряются денежные средства.

Но более подробно об этом мы поговорим чуть дальше, а сейчас я хотела бы вам показать следующий слайд, где очень хорошо видна динамика мошенничества по Украине: что было в 13-м году, что стало в 15-м году. И мы здесь видим, что если раньше мы в основном страдали от банкоматного мошенничества, то на сегодняшний день банки предприняли очень большие усилия, чтобы эту проблему минимизировать. Поставили антискимминговые устройства, начали ставить на экраны банкоматов информацию, обучающую держателей, куда посмотреть, на что обратить внимание. Сейчас некоторые банки даже на экране банкомата начали размещать информацию о том, что «Мы как банк вам не звоним, не спрашиваем паролей, не спрашиваем у вас пин-коды – это все мошенники, пожалуйста, никому не давайте эту информацию». Даже это сейчас стало популярно внедряться в банковской среде. И мы видим, что зеленый сегмент – банкоматное мошенничество существенно уменьшилось с 33% до 13%. Но резко увеличился желтый сегмент – это мошенничество в интернете с 37% до 52%. Остальные сегменты остались, в принципе, без изменений.

О чем это говорит? Это говорит о том, что на сегодняшний день, да, конечно, платежи идут в интернет – это удобно, это приносит большую прибыль банкам, это интересно торговцам, это интересно держателям, но это также интересно и мошенникам. Почему? Потому что безопасно, очень часто безнаказанное для мошенника несанкционированное использование платежных карт. Поэтому основные моменты, ключевые, на которые я бы хотела обратить внимание игроков индустрии, что нужно делать в направлении обеспечения дальнейшей безопасности наших держателей. Во-первых, принимать VbV верификацию по картам Visa, то есть присвоение пароля на сегодняшний день – это уникальные пароли, так называемый одноразовый пароль. Под эту услугу должен подписаться банк, выпускающий карту, так называемый банк-эмитент, и держатель, непосредственно держатель карты. Что позволяет сделать данная услуга, которая представляет собой схему 3D-Secure, так называемую, в которую входит банк-эмитент, банк-эквайер – торговец и со своей стороны держатель. Держатель при совершении операций в интернете получает уникальный одноразовый пароль – это динамический VbV. Статический пароль на сегодняшний день уже, к сожалению, не является панацеей и может быть несанкционированно использован мошенниками.

Поэтому мы пошли дальше и предлагаем рынку, на сегодняшний день, инструменты, которые позволяют использовать уникальный одноразовый пароль, который приходит держателю на мобильный телефон. Плюсы – это максимальная защита от мошенничества. Даже если где-то кому-то держатель передал или халатно отнеся к своим карточным данным, они стали известны мошеннику, и мошенник заполучил статистический пароль для осуществления операций в интернет, то с одноразовым уникальным паролем – это невозможно. Даже если этот пароль стал известен мошеннику, он не валиден для следующей операции. То есть одна из стратегий Visa – это максимально обесценить данные по платежным картам, которые находятся в транзите, в пути передачи, если они стали доступны мошенникам – ничего с ними сделать будет нельзя.

Здесь я бы хотела показать картинку, которая есть у нас в Украине. С 2003 года мы мелкими шажками идем к этому направлению. У нас эмитенты сначала выпускали карточки 5% – это было по рынку, в 2014 году – 9% и на сегодняшний день – это 28% по рынку Украины. И эта цифра очень мала, именно потому, что все платежи максимально двинулись в интернет-зону, а банки-эмитенты не успевают обеспечить безопасность, именно это является причиной роста мошенничества именно в интернет среде.

Первый пункт – это VbV. Верификация, то есть обеспечение безопасного способа расчета в интернете путем уникального одноразового пароля. И второй момент, на котором я бы хотела остановится, – это чип, чипизация платежных карт.

На сегодняшний день – это одна из проблем для Украины и здесь мы отстаем по эмиссии от всего нашего региона – 17 рынков стран СНГ и Балканы. Мы находимся практически на последнем месте. Что мы здесь видим? 12% – в 2013 году, в 2014 году – 22%, в 2015 – 32%, в то время, как такой рынок как Казахстан – 98%, Сербия очень высокие чипы. Поэтому мы еще продолжаем страдать от мошенничества по поддельным картам, от мошенничества в банкоматах. У нас еще очень много карт с магнитной полосой, притом, что по эквайринговой части, то есть там, где у нас терминалы, банкоматы и POS-терминалы, они все уже оснащены. Практически все – 98% на сегодняшний день терминалов оснащено чиповыми устройствами, устройствами для считывания чиповых карт. То есть хромает эмиссионная часть, часть выпуска карт для держателя. На это нужно обращать внимание как банкам, так и самым держателям при выборе той или иной карты. Это два аспекта, на которых я бы хотела обратить внимание и остановится.

- На прошлой неделе в соцсетях набирала популярность картинка: на фото молодой человек, который держит прибор для считывания бесконтактных карт. Многие задавались вопросом, о чем вы говорили, как защититься от таких случаев. Ведь там, как минимум до 100 грн человек может не подтверждать ни каким образом и соответственно такой человек в метро может спокойно себе считать деньги с карт, которые находятся у людей в кошельках в вагоне и переходить с места на место. Как Visa рекомендует себя обезопасить от подобных случаев? И насколько, вы слышали, такой вид мошенничества уже популярен?

- Спасибо за очень интересный вопрос. Потому что такие вопросы поступают от банков где-то уже пару лет. Картинка эта гуляет по интернету давно, и она гуляла с той же информацией о возможности несанкционированного считывания бесконтактных карт в метро России, потом в Белоруссии, теперь в метро Киева. Картинка одна и та же. То есть можем судить о правдоподобности самой истории. Расскажу откуда ноги растут.

В 2012 году было проведено исследование британских ученых, когда начал развиваться бесконтакт, о том, что можно считать данные с бесконтактных карт на расстоянии. Это было очень яркое заявление, после которого многие компании, которые работают с бесконтактами и платежами, начали проводить свои исследования. И в таком исследовании участвовала компания Visa и результаты данного исследования следующие. Действительно, в лабораторных условиях, я хочу подчеркнуть – это ключевое слово в лабораторных условиях, на расстоянии 4,5 см между считывателем и картой можно заполучить на протяжении нескольких секунд неподвижного считывания карты данным устройством. Можно заполучить эти данные – 4,5 см, несколько секунд абсолютной неподвижности, при этом между картой и считывающим устройством не должно находится ничего – это будут помехи, которые не позволяют считать. В жизненных условиях – это нереально!

Во-первых, 4,5 см достаточно близкое расстояние. Во-вторых, карта, как правило, лежит в кармане – препятствие, в кошельке – второе препятствие, карт несколько – третье препятствие, деньги, мелочь и так далее – это все помехи, которые не позволяют считывать данные. Плюс, если это живой человек, то он движется и обеспечить 10-15 секунд стабильного времени для считывания невозможно.

На сегодняшний день статистика говорит о том, что мошенничества по бесконтактным картам нет. Именно по бесконтакту, мы не говорим о магнитке, которая на этой же карте, также, как и по чиповым картам. Чип не взломан и бесконтакт не взломан на сегодняшний день. Это миф, который вот произошел от исследования британских ученых возможно в лабораторных условиях, в жизни это пока подтверждения не получило.

Подписывайтесь на финансовые новости FinClub в соцсетях Twitterи Facebook.