Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Платежные карты, связанные с криптовалютами, процветают. Но добавление нестабильной, подверженной мошенничеству новой технологии (крипто) к шаткой старой (сетям карточных платежей) рискует вызвать всевозможные новые проблемы. Сами по себе платежные карты не застрахованы от мошенничества. В более ранней статье я объяснил, почему 50-летняя технология платежных карт все еще имеет недостатки. И это несмотря на то, что за эти годы мы добавили ряд функций безопасности, таких как EMV и PIN-коды, к ранним картам, для которых требовалась только подпись или легко клонируемая магнитная полоса для подтверждения транзакций. Но добавление криптовалюты в этот микс увеличивает риски в геометрической прогрессии. Чтобы показать, почему, в этой статье я сосредоточусь на тех платежных картах, которые позволяют получать криптокэшбэк (вознаграждение, выплачиваемое в криптовалюте каждый раз, когда используется карта). Такое сочетание создает некоторые интересные новые уязвимости, угрожая компаниям финансовых технологий («финтехам»), выпускающим криптокарты. Читайте дальше, чтобы узнать больше.
Напоминание читателям, включая регулирующие органы и тех, кто работает в отрасли: если мы пишем о мошенничестве с платежными картами, то не потому, что хотим помочь преступникам. Мошенничество — это цена, которую платит каждый в обществе. Выявление уязвимостей и их обнародование оказывает давление на те компании, которые не хотят предпринимать никаких шагов для улучшения своей безопасности, оставляя пользователей карт без защиты и открывая двери для более крупных преступных схем.
Что такое кэшбэк?
Кэшбэк — это денежное вознаграждение за каждую транзакцию по карте, выплачиваемое вам эмитентом вашей карты, например банком или финтех-компанией. Например, Chase предлагает 1% кэшбэка по дебетовым картам и бесконтактным расходам каждому новому клиенту в Великобритании в течение одного года. Эмитент финтех-карт Curve предлагает 1% кэшбэка в определенных розничных магазинах для клиентов, которые выбирают платную подписку.
Если вы посмотрите на предложения по кэшбэку, которые не связаны с криптовалютой, вы заметите, что ставка кэшбэка почти всегда составляет 1–2% от стоимости транзакции. Это связано с тем, что посредники фактически возвращают 1–2% комиссий, которые они традиционно взимали за транзакции с использованием карт. Большинство пользователей карт совершенно не знают об этих комиссиях, потому что не видят их. Но раньше, если вы платили 100 фунтов стерлингов дебетовой картой в магазине, продавец получал только 97,50–98 фунтов стерлингов от общей суммы. Остальное шло менеджеру карточной схемы (например, Visa или Mastercard), банку продавца (называемому банком-эквайером) и эмитенту вашей карты (часто также банку). Последняя комиссия, называемая комиссией за обмен, обычно занимает самую большую долю — и именно она в значительной степени финансирует кэшбэк. Комиссии за обмен были снижены регулированием до 0,3–0,4% в Европе, но в США они все еще могут достигать солидных 2%. На круговой диаграмме мы показываем, как комиссия менеджера карточной схемы, комиссия банка-эквайера и комиссия банка-эмитента вычитаются из гипотетического платежа по карте на сумму 100 фунтов стерлингов. Это сделано только в иллюстративных целях — фактические комиссии могут отличаться.
Куда попадает платеж по карте на 100 фунтов стерлингов (не в масштабе)
Когда дело доходит до кэшбэка, выплачиваемого в криптовалюте, вы не будете удивлены, услышав, что ставки, побуждающие вас использовать криптовалюту для трат по вашей Visa или Mastercard, более заманчивы. Опрос предложений кэшбэка на основе криптовалюты, проведенный в декабре 2022 года, показал ставки кэшбэка до 9%! Такие виды возврата стали бы приманкой для преступников, если бы они могли начать эксплуатировать предложения кэшбэка. Но как?
Несоответствие расчетов
Расчет транзакций по карте может занять до 5-7 дней. По этой причине большинство эмитентов карт не выплачивают вам кэшбэк сразу после того, как вы используете карту для совершения платежа; они ждут, пока средства фактически не будут зачислены в ту расчетную систему, которую они используют. Но некоторые криптостартапы, которые мы рассмотрели, совершают ошибку, немедленно зачисляя кэшбэк на ваш счет. И это открывает теоретическую возможность совершить транзакцию, отменить ее позже, получить кэшбэк в промежутке и потратить его.
Я решил проверить эту теорию. Я обнаружил, что можно использовать кредит «купи сейчас, заплати позже» (BNPL), предлагаемый при онлайн-оформлении заказа финтех-компанией Klarna, чтобы купить товар стоимостью 300 фунтов стерлингов на Amazon. Затем можно добавить карту Crypto.com в качестве источника платежей в Klarna. (Мы не указываем пальцем на эти фирмы и не предполагаем, что их методы хуже, чем в остальной части отрасли, но именно их мы использовали в нашем тесте).
Чтобы занять 300 фунтов стерлингов, Klarna попросит вас заплатить первую треть авансом (вы платите тремя частями). Таким образом, 100 фунтов стерлингов будут сняты с вашей карты Crypto.com, и вы немедленно получите кэшбэк за эту покупку. Crypto.com выплачивает самые высокие ставки кэшбэка не наличными, а собственным токеном CRO, что добавляет уровень крипториска в схему. Но если вы затем отмените свою покупку (вы ничего не покупаете на Amazon, используя кредит от Klarna), вы получите свой первоначальный взнос в размере 100 фунтов стерлингов обратно. Но к тому времени ваш кэшбэк может исчезнуть — проданный за Bitcoin, Tether или что-то еще.
Неправильные категории платежей
В большинстве случаев кэшбэк ограничен определенными типами покупок («торговыми категориями», используя жаргон карт): например, вы получаете кэшбэк только в том случае, если используете свою карту для оплаты в супермаркетах или ресторанах. Если вы используете свою карту для оплаты другому банку, другой компании, выпускающей карты, налоговой службе, штрафов или государственных услуг — кэшбэка нет. Также было бы несправедливо предлагать кэшбэк кому-то, кто использует свою карту для игры в казино или пополнения своего брокерского счета в Интернете для ставок на акции Tesla. В этом случае вы не тратите деньги, а просто перемещаете их из одного кармана в другой. Тем не менее, некоторые умные мошенники нашли способ использовать карту Visa, чтобы кружить деньги по кругу между счетами в разных российских банках, получая воздушные мили за каждую транзакцию. И я обнаружил, что, используя карту Crypto.com для отправки денег поставщику BNPL Klarna, фирме финансовых услуг, мы все равно получаем кэшбэк.
Кэшбэк от Crypto.com за платеж в Klarna
Сборы за предварительную авторизацию
Другая проблема может заключаться в способе расчета кэшбэка. Когда вы регистрируетесь в отеле, вы отдаете свою карту, и менеджер по регистрации «удержит» или «предварительно авторизует», скажем, 1000 долларов на вашем счете карты. Когда вы позже выезжаете, большая часть денег возвращается на счет карты (если вы не разгромили свой номер). Давайте представим, что при регистрации финтех видит «предварительную авторизацию» в размере 1000 долларов и выплачивает вам 4% кэшбэка (в данном случае 40 долларов). Но если затем ваш отель возвращает вам 500 долларов, на вашем счете кэшбэка должно остаться только 20 долларов. Я решил провести более дешевую версию этого теста и пошел в Новый год покупать бензин на кассе самообслуживания. Для кэшбэка я использовал свою карту Crypto.com.
Обычно в этот момент касса самообслуживания авторизует «офлайн» платеж в размере 100 фунтов стерлингов с вашей карты, чего достаточно, чтобы покрыть стоимость полного бака бензина. Через несколько дней, когда система вычисляет, сколько вы фактически потратили, она списывает с вас эту сумму и возвращает остаток предавторизованного платежа. Но в моем тесте Crypto.com не только дал мне кэшбэк на всю сумму предавторизации (100 фунтов стерлингов). Удивительно, но он добавил еще больше кэшбэка, когда была фактически списана другая сумма!
Кэшбэк за предварительную авторизацию на АЗС в размере 100 фунтов стерлингов
Через день я получил второй кэшбэк-выплату.
Плохая математика
Банки и финтехи должны точно знать, как считать деньги, но иногда они делают это неправильно. Вот типичный пример того, как кэшбэк рассчитывается неправильно. Клиент A платит 0,25 фунта стерлингов и получает 0,01 фунта стерлингов кэшбэка (4%). Но если он заплатит 0,13 фунта стерлингов, он также получит 0,01 фунта стерлингов кэшбэка, что составляет почти 8%. Здесь проблема в том, как округляются валюты. В фиатной валюте банки округляют до двух десятичных знаков. Поэтому 4% от 0,13 составляет 0,0055, что округляется до ближайшей сотой (0,01). Но в криптовалюте у вас может быть любое количество цифр после запятой. Чтобы воспользоваться этим недостатком, который касается относительно небольших сумм наличных денег, вам нужно будет найти способ делать это в промышленных масштабах. Но это не невозможно — криптовалюта — это программируемые деньги.
Поддельные счета-фактуры
Другой метод — когда мошенник-торговец постоянно выставляет счета и возвращает деньги, помогая каждый раз генерировать кэшбэк — похож на давно существующие преступные схемы, такие как мошенничество с НДС. Если преступники могут использовать более одного счета, чтобы умножить сумму кэшбэка, это даже лучше для них. В этой статье я показал, как легко открыть сберегательные счета, используя поддельное имя. После того, как деньги, полученные по мошенническому счету, будут зачислены, преступники могут перевести свой кэшбэк на другой сберегательный счет или потратить его. Возвраты происходят только после того, как кэшбэк будет потрачен. Это создаст отрицательный баланс на счете кэшбэка, с которым придется иметь дело эмитенту карты. Возможно, все транзакции будут аннулированы. В любом случае, торговцы будут платить эмитенту карты до 2% в виде комиссий, поэтому эти расходы должны быть покрыты прибылью схемы.
Что дальше?
Крипто-финтехи, похоже, знают, что у них есть проблемы с их схемами кэшбэк-карт. Crypto.com, как и большинство технологических компаний, вознаграждает хакеров, которые указывают на уязвимости в ее сервисе. «Crypto.com признает важность исследователей безопасности в обеспечении безопасности нашего сообщества», — заявляет компания. «Мы поощряем ответственное раскрытие уязвимостей безопасности с помощью нашей программы вознаграждений за обнаружение ошибок, описанной на этой странице», — говорится в ней. Но компания явно исключает кэшбэк из своей программы вознаграждений за обнаружение ошибок: она заявляет, что «кэшбэк CRO, полученный за типичную покупку, платеж или аванс наличными», не дает права на получение вознаграждения.
Означает ли это, что компания обеспокоена общим состоянием безопасности кэшбэка и вознаграждениями за обнаружение ошибок, которые ей, возможно, придется выплачивать? Или, возможно, она не считает мошенничество с кэшбэком значительным риском. Чтобы получить 3% кэшбэка или больше, вам нужно внести $50 тыс. на Crypto.com в криптовалюте, так что, возможно, это смягчает опасения по поводу мошенничества. Другие финтех-компании относятся к схемам злоупотребления кэшбэком более серьезно. В декабре эмитент карт Discover заявил, что прекратил принимать заявки на свой новый дебетовый счет кэшбэка из-за высокого уровня мошенничества.
Источник
Напоминание читателям, включая регулирующие органы и тех, кто работает в отрасли: если мы пишем о мошенничестве с платежными картами, то не потому, что хотим помочь преступникам. Мошенничество — это цена, которую платит каждый в обществе. Выявление уязвимостей и их обнародование оказывает давление на те компании, которые не хотят предпринимать никаких шагов для улучшения своей безопасности, оставляя пользователей карт без защиты и открывая двери для более крупных преступных схем.
Что такое кэшбэк?
Кэшбэк — это денежное вознаграждение за каждую транзакцию по карте, выплачиваемое вам эмитентом вашей карты, например банком или финтех-компанией. Например, Chase предлагает 1% кэшбэка по дебетовым картам и бесконтактным расходам каждому новому клиенту в Великобритании в течение одного года. Эмитент финтех-карт Curve предлагает 1% кэшбэка в определенных розничных магазинах для клиентов, которые выбирают платную подписку.
Если вы посмотрите на предложения по кэшбэку, которые не связаны с криптовалютой, вы заметите, что ставка кэшбэка почти всегда составляет 1–2% от стоимости транзакции. Это связано с тем, что посредники фактически возвращают 1–2% комиссий, которые они традиционно взимали за транзакции с использованием карт. Большинство пользователей карт совершенно не знают об этих комиссиях, потому что не видят их. Но раньше, если вы платили 100 фунтов стерлингов дебетовой картой в магазине, продавец получал только 97,50–98 фунтов стерлингов от общей суммы. Остальное шло менеджеру карточной схемы (например, Visa или Mastercard), банку продавца (называемому банком-эквайером) и эмитенту вашей карты (часто также банку). Последняя комиссия, называемая комиссией за обмен, обычно занимает самую большую долю — и именно она в значительной степени финансирует кэшбэк. Комиссии за обмен были снижены регулированием до 0,3–0,4% в Европе, но в США они все еще могут достигать солидных 2%. На круговой диаграмме мы показываем, как комиссия менеджера карточной схемы, комиссия банка-эквайера и комиссия банка-эмитента вычитаются из гипотетического платежа по карте на сумму 100 фунтов стерлингов. Это сделано только в иллюстративных целях — фактические комиссии могут отличаться.
Куда попадает платеж по карте на 100 фунтов стерлингов (не в масштабе)
Когда дело доходит до кэшбэка, выплачиваемого в криптовалюте, вы не будете удивлены, услышав, что ставки, побуждающие вас использовать криптовалюту для трат по вашей Visa или Mastercard, более заманчивы. Опрос предложений кэшбэка на основе криптовалюты, проведенный в декабре 2022 года, показал ставки кэшбэка до 9%! Такие виды возврата стали бы приманкой для преступников, если бы они могли начать эксплуатировать предложения кэшбэка. Но как?
Несоответствие расчетов
Расчет транзакций по карте может занять до 5-7 дней. По этой причине большинство эмитентов карт не выплачивают вам кэшбэк сразу после того, как вы используете карту для совершения платежа; они ждут, пока средства фактически не будут зачислены в ту расчетную систему, которую они используют. Но некоторые криптостартапы, которые мы рассмотрели, совершают ошибку, немедленно зачисляя кэшбэк на ваш счет. И это открывает теоретическую возможность совершить транзакцию, отменить ее позже, получить кэшбэк в промежутке и потратить его.
Я решил проверить эту теорию. Я обнаружил, что можно использовать кредит «купи сейчас, заплати позже» (BNPL), предлагаемый при онлайн-оформлении заказа финтех-компанией Klarna, чтобы купить товар стоимостью 300 фунтов стерлингов на Amazon. Затем можно добавить карту Crypto.com в качестве источника платежей в Klarna. (Мы не указываем пальцем на эти фирмы и не предполагаем, что их методы хуже, чем в остальной части отрасли, но именно их мы использовали в нашем тесте).
Чтобы занять 300 фунтов стерлингов, Klarna попросит вас заплатить первую треть авансом (вы платите тремя частями). Таким образом, 100 фунтов стерлингов будут сняты с вашей карты Crypto.com, и вы немедленно получите кэшбэк за эту покупку. Crypto.com выплачивает самые высокие ставки кэшбэка не наличными, а собственным токеном CRO, что добавляет уровень крипториска в схему. Но если вы затем отмените свою покупку (вы ничего не покупаете на Amazon, используя кредит от Klarna), вы получите свой первоначальный взнос в размере 100 фунтов стерлингов обратно. Но к тому времени ваш кэшбэк может исчезнуть — проданный за Bitcoin, Tether или что-то еще.
Неправильные категории платежей
В большинстве случаев кэшбэк ограничен определенными типами покупок («торговыми категориями», используя жаргон карт): например, вы получаете кэшбэк только в том случае, если используете свою карту для оплаты в супермаркетах или ресторанах. Если вы используете свою карту для оплаты другому банку, другой компании, выпускающей карты, налоговой службе, штрафов или государственных услуг — кэшбэка нет. Также было бы несправедливо предлагать кэшбэк кому-то, кто использует свою карту для игры в казино или пополнения своего брокерского счета в Интернете для ставок на акции Tesla. В этом случае вы не тратите деньги, а просто перемещаете их из одного кармана в другой. Тем не менее, некоторые умные мошенники нашли способ использовать карту Visa, чтобы кружить деньги по кругу между счетами в разных российских банках, получая воздушные мили за каждую транзакцию. И я обнаружил, что, используя карту Crypto.com для отправки денег поставщику BNPL Klarna, фирме финансовых услуг, мы все равно получаем кэшбэк.
Кэшбэк от Crypto.com за платеж в Klarna
Сборы за предварительную авторизацию
Другая проблема может заключаться в способе расчета кэшбэка. Когда вы регистрируетесь в отеле, вы отдаете свою карту, и менеджер по регистрации «удержит» или «предварительно авторизует», скажем, 1000 долларов на вашем счете карты. Когда вы позже выезжаете, большая часть денег возвращается на счет карты (если вы не разгромили свой номер). Давайте представим, что при регистрации финтех видит «предварительную авторизацию» в размере 1000 долларов и выплачивает вам 4% кэшбэка (в данном случае 40 долларов). Но если затем ваш отель возвращает вам 500 долларов, на вашем счете кэшбэка должно остаться только 20 долларов. Я решил провести более дешевую версию этого теста и пошел в Новый год покупать бензин на кассе самообслуживания. Для кэшбэка я использовал свою карту Crypto.com.
Обычно в этот момент касса самообслуживания авторизует «офлайн» платеж в размере 100 фунтов стерлингов с вашей карты, чего достаточно, чтобы покрыть стоимость полного бака бензина. Через несколько дней, когда система вычисляет, сколько вы фактически потратили, она списывает с вас эту сумму и возвращает остаток предавторизованного платежа. Но в моем тесте Crypto.com не только дал мне кэшбэк на всю сумму предавторизации (100 фунтов стерлингов). Удивительно, но он добавил еще больше кэшбэка, когда была фактически списана другая сумма!
Кэшбэк за предварительную авторизацию на АЗС в размере 100 фунтов стерлингов
Через день я получил второй кэшбэк-выплату.
Плохая математика
Банки и финтехи должны точно знать, как считать деньги, но иногда они делают это неправильно. Вот типичный пример того, как кэшбэк рассчитывается неправильно. Клиент A платит 0,25 фунта стерлингов и получает 0,01 фунта стерлингов кэшбэка (4%). Но если он заплатит 0,13 фунта стерлингов, он также получит 0,01 фунта стерлингов кэшбэка, что составляет почти 8%. Здесь проблема в том, как округляются валюты. В фиатной валюте банки округляют до двух десятичных знаков. Поэтому 4% от 0,13 составляет 0,0055, что округляется до ближайшей сотой (0,01). Но в криптовалюте у вас может быть любое количество цифр после запятой. Чтобы воспользоваться этим недостатком, который касается относительно небольших сумм наличных денег, вам нужно будет найти способ делать это в промышленных масштабах. Но это не невозможно — криптовалюта — это программируемые деньги.
Поддельные счета-фактуры
Другой метод — когда мошенник-торговец постоянно выставляет счета и возвращает деньги, помогая каждый раз генерировать кэшбэк — похож на давно существующие преступные схемы, такие как мошенничество с НДС. Если преступники могут использовать более одного счета, чтобы умножить сумму кэшбэка, это даже лучше для них. В этой статье я показал, как легко открыть сберегательные счета, используя поддельное имя. После того, как деньги, полученные по мошенническому счету, будут зачислены, преступники могут перевести свой кэшбэк на другой сберегательный счет или потратить его. Возвраты происходят только после того, как кэшбэк будет потрачен. Это создаст отрицательный баланс на счете кэшбэка, с которым придется иметь дело эмитенту карты. Возможно, все транзакции будут аннулированы. В любом случае, торговцы будут платить эмитенту карты до 2% в виде комиссий, поэтому эти расходы должны быть покрыты прибылью схемы.
Что дальше?
Крипто-финтехи, похоже, знают, что у них есть проблемы с их схемами кэшбэк-карт. Crypto.com, как и большинство технологических компаний, вознаграждает хакеров, которые указывают на уязвимости в ее сервисе. «Crypto.com признает важность исследователей безопасности в обеспечении безопасности нашего сообщества», — заявляет компания. «Мы поощряем ответственное раскрытие уязвимостей безопасности с помощью нашей программы вознаграждений за обнаружение ошибок, описанной на этой странице», — говорится в ней. Но компания явно исключает кэшбэк из своей программы вознаграждений за обнаружение ошибок: она заявляет, что «кэшбэк CRO, полученный за типичную покупку, платеж или аванс наличными», не дает права на получение вознаграждения.
Означает ли это, что компания обеспокоена общим состоянием безопасности кэшбэка и вознаграждениями за обнаружение ошибок, которые ей, возможно, придется выплачивать? Или, возможно, она не считает мошенничество с кэшбэком значительным риском. Чтобы получить 3% кэшбэка или больше, вам нужно внести $50 тыс. на Crypto.com в криптовалюте, так что, возможно, это смягчает опасения по поводу мошенничества. Другие финтех-компании относятся к схемам злоупотребления кэшбэком более серьезно. В декабре эмитент карт Discover заявил, что прекратил принимать заявки на свой новый дебетовый счет кэшбэка из-за высокого уровня мошенничества.
Источник
