Оценка рисков, связанных с мошенничеством
Риски, связанные с мошенничеством в платежной системе, могут быть оценены количественно, потому что они связаны с проведением несанкционированных транзакций по счету клиента банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен
, (1)
где 
- вероятность проведения мошеннической транзакции по карте,
- величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом).
Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических транзакций, поскольку величина доступных средств на счете клиента банка известна.
В соответствии с ранее приведенным определением мошенническая операция - операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мошенническая транзакция может быть совершена при одновременном выполнении следующих условий (рис. 4.2):
- компрометация данных карты - скомпрометированы данные магнитной полосы карты и (или) ПИН-код, ее реквизиты и (или) пароль для операций безопасных платежей в Интернете 3D Secure;
- использование данных карты - для мошенничества по поддельным картам это означает изготовление карты, которая может быть принята к оплате в торгово-сервисном предприятии (ТСП) или банкомате;
|
|
|
- инициирование транзакции - злоумышленник инициирует транзакцию с использованием поддельной карты или скомпрометированных реквизитов;
- завершение транзакции - для операций, проводимых в режиме реального времени (онлайн) это означает авторизацию эмитентом, для операций офлайн - проведение операции по счету карты.
┌─────────┐ ┌─────────┐ ┌─────────┐ ┌───────────┐
│Компроме-│ │Использо-│ │Иницииро-│ │Завершение │
│ тация ├──────►┤ вание ├───────►┤ вание ├──────────►┤транзакции │
│ данных │ │ данных │ │транзак- │ │ │
│ карты │ │ │ │ ции │ │ │
└─────────┘ └─────────┘ └─────────┘ └───────────┘
|
|
|
Рис. 4.2. Этапы совершения мошеннической транзакции
Из вышеизложенного следует, что вероятность проведения мошеннической операции с учетом формул условной вероятности и (1) можно определить следующим образом:
, (2)
где 
- вероятность компрометации данных карт, необходимых для проведения мошеннической транзакции,
- вероятность использования скомпрометированных данных (например, для изготовления поддельной карты),
- вероятность проведения несанкционированной транзакции (успех попытки проведения);
Р(обн) - вероятность обнаружения несанкционированной операции эмитентом.
Типы мошенничества
В соответствии с общепринятой классификацией существуют следующие типы мошенничества:
1) использование неполученных карт;
2) использование поддельных карт;
3) проведение транзакций с использованием реквизитов карт;
4) использование украденных или утерянных карт;
5) несанкционированное использование персональных данных держателя карты и информации по счету клиента;
6) другие виды мошенничества.
Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1-5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа. Далее рассмотрим особенности мошеннических транзакций типов 1-5 и расчет вероятности успешного проведения мошеннической операции по формуле (2).
|
|
|
Неполученные карты
Данный риск существует для банка-эмитента в том случае, если технологически предусмотрена возможность получения клиентом карты иная, чем лично в руки. Безопасность получения карты держателем обеспечивается организационными и технологическими мерами (например, активация карты клиентом, отсутствие денежных средств на карте до момента активации). В связи с этим данный тип мошенничества рассматривать при расчете рисков не будем.
Поддельные карты
Поддельность объекта можно определить по совокупности следующих признаков:
- объект обладает характерными качествами подлинного;
- не соблюдены правила изготовления объекта (технические или правовые);
- цель изготовления или использования поддельного объекта - использование по назначению.
Для проведения транзакции по поддельной карте в ТСП злоумышленник должен представить к оплате карту, внешне похожую на настоящую, чтобы ее "поддельность" не была заметна для кассира. При этом ПИН-код злоумышленнику может не понадобиться, если он не требуется в качестве способа аутентификации держателя такой карты.
|
|
|
Мошенническая транзакция в банкомате может быть проведена только при условии знания злоумышленником ПИН-кода, при этом внешний вид поддельной карты не должен соответствовать оригиналу (может быть использован так называемый белый пластик), поскольку визуальная проверка подлинности карты не производится.
Из вышеизложенного следует, что при знании ПИН-кода поддельная карта будет использована в банкомате, а если ПИН-код неизвестен - то в ТСП. В обоих случаях для изготовления подделки нужны данные магнитной полосы карты - трека. Следует отметить, что в случае микропроцессорной карты для обеспечения обратной технологической совместимости карта часто содержит также и магнитную полосу. В настоящее время злоумышленники подделывают банковские карты, в основном используя существующие уязвимости карт с магнитной полосой. Также обнаружены и опубликованы уязвимости в технологии EMV, приводящие к компрометации данных карты и ПИН-кода, несанкционированной модификации параметров транзакции.
Таким образом, риск по поддельным картам можно рассматривать как сумму двух рисков: с неизвестным злоумышленнику ПИН-кодом и наличием поддельной карты, и поддельной карты с ПИН-кодом, то есть
, (3),
где 
- риск по транзакциям с поддельной картой без знания ПИН-кода,
- риск по транзакциям с поддельной картой при известном ПИН-коде.
Определим
, (4)
где 
- вероятность осуществления мошеннической транзакции по поддельной карте при условии, что злоумышленнику неизвестен ПИН-код,
- вероятность компрометации данных магнитной полосы карты,
- вероятность использования скомпрометированных данных для проведения транзакции,
- вероятность принятия к оплате поддельной карты,
- вероятность обнаружения несанкционированной транзакции эмитентом.
С учетом доступных средств на счете клиента для проведения операций в ТСП риск по поддельной карте без знания злоумышленником ПИН-кода можно определить следующим образом:
, (5)
где 
- доступные средства на счете клиента для проведения операций в ТСП.
С учетом формулы (4):
. (6)
Величина может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.
В случае если злоумышленнику известен ПИН-код:
, (7)
где 
- вероятность осуществления мошеннической транзакции по поддельной карте при условии, что злоумышленнику известен ПИН-код,
- вероятность компрометации данных магнитной полосы карты и ПИН-кода,
- вероятность использования поддельной карты для проведения транзакции в банкомате,
- вероятность принятия к оплате поддельной карты,
- вероятность обнаружения несанкционированной транзакции эмитентом.
Вероятность в формуле (7) равна 1 (поскольку банкомат не осуществляет визуальную проверку подлинности карты) во всех случаях, кроме того, когда поддельная карта является картой с магнитной полосой без чипа, но содержит сервис-код микропроцессорной карты (первая цифра равна 2 или 6) и банкомат оборудован устройством чтения чипа - в этом случае обслуживания карты банкоматом по магнитной полосе не произойдет. Поэтому формулу (7) можно представить в виде
. (8)
Из формул (1) и (8) следует, что
, (9)
где - риск по поддельной карте при известном злоумышленнику ПИН-коде,
- доступные средства на счете клиента для проведения операций в банкоматах.
Величина может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение транзакций в банкоматах, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.
Исходя из формул (3), (6) и (9), риск по поддельной карте рассчитывается следующим образом:
. (10)
Дата добавления: 2019-02-12; просмотров: 177; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!