Как банки и мерчанты используют чёрные списки помимо TC40 и SAFE? (Примеры других баз данных, таких как MATCH от MasterCard)

[Student]

Использование чёрных списков банками и мерчантами в контексте кардинга​

Кардинг — это вид мошенничества, при котором злоумышленники используют украденные данные кредитных или дебетовых карт для совершения несанкционированных транзакций, тестирования карт (card testing) или отмывания денег. Банки и мерчанты активно используют чёрные списки для борьбы с кардингом, так как он представляет значительную угрозу: по данным отчётов (например, Visa Risk Report 2024), кардинг составляет до 60% всех фродовых транзакций в e-commerce. Чёрные списки помогают выявлять и блокировать подозрительные карты, устройства, IP-адреса, email или даже мерчантов, вовлечённых в схемы кардинга. Помимо широко известных TC40 (Visa) и SAFE (Mastercard), которые фокусируются на передаче данных о подтверждённых случаях фрода, существуют другие базы данных и инструменты, играющие ключевую роль в предотвращении кардинга. Я подробно разберу их использование, особенности в контексте кардинга, а также примеры и ограничения.

Что такое чёрные списки в контексте кардинга?​

Чёрные списки — это базы данных или системы фильтрации, содержащие идентификаторы (например, номера карт, IP, email, устройства), связанные с мошеннической активностью. Они используются для:

1. Идентификации риска на этапе авторизации транзакции или регистрации мерчанта.
2. Блокировки подозрительных транзакций в реальном времени.
3. Мониторинга повторных попыток мошенничества (например, кардеры часто используют одну и ту же инфраструктуру для атак).
4. Обмена данными между банками, мерчантами и платёжными системами для предотвращения повторного фрода.

В контексте кардинга чёрные списки особенно важны, так как кардеры используют автоматизированные инструменты (боты, скрипты) для массового тестирования карт, что создаёт высокую нагрузку на системы защиты. Основные цели чёрных списков:

• Предотвращение card testing: Кардеры проверяют валидность украденных карт через небольшие транзакции (например, $1) или покупки цифровых товаров.
• Блокировка повторного фрода: Кардеры часто используют одни и те же IP, устройства или email для атак.
• Снижение чарджбеков: Чарджбеки (возвраты по жалобам клиентов) из-за кардинга могут привести к штрафам от платёжных систем (например, $25,000 за превышение порога в 1% по Visa).

Основные базы данных и инструменты, помимо TC40 и SAFE​

1. MATCH (Mastercard Alert to Control High-risk Merchants)
   • Описание: MATCH — это глобальная база данных Mastercard (ранее Terminated Merchant File, TMF), используемая платёжными системами (Visa, AmEx, Discover) для отслеживания мерчантов, чьи аккаунты были закрыты из-за нарушений, включая кардинг, чрезмерные чарджбеки, отмывание денег или несоблюдение PCI-DSS. База содержит записи с 12 кодами причин (например, код 01 — laundering, код 12 — fraud-related).
   • Применение в кардинге:
     • Банки-эквайеры: Перед открытием аккаунта для мерчанта банк проверяет MATCH, чтобы убедиться, что бизнес не связан с кардингом. Например, если мерчант продавал цифровые товары и был уличён в принятии фродовых транзакций (например, через краденые карты), он попадает в MATCH на 5 лет.
     • Мерчанты: Косвенно используют MATCH через процессоров (например, Adyen, Worldpay), которые интегрируют проверку MATCH в свои системы. Если мерчант в MATCH, его аккаунт блокируется, что предотвращает использование "подставных" бизнесов для кардинга.
     • Кардинг-контекст: Кардеры часто создают фиктивные магазины для отмывания денег через краденые карты. MATCH помогает выявлять такие схемы, так как банки-эквайеры обязаны добавлять нарушителей в базу.
   • Пример: Мерчант, продающий электронику, получил >2% чарджбеков из-за кардинга (покупки на $5000+ с краденых карт). Банк-эквайер добавляет его в MATCH с кодом 04 (excessive chargebacks). Новый процессор (например, Stripe) отклонит его заявку, что снижает риск повторного фрода.
   • Ограничения: MATCH не содержит данных о картах или клиентах, только о мерчантах. Это ограничивает её применение для прямой блокировки кардеров, но помогает пресекать их инфраструктуру.
2. VMSS/VMAS (Visa Merchant Security System / Visa Merchant Alert Service)
   • Описание: Аналог MATCH от Visa, база данных "терминированных" мерчантов, связанных с фродом, кардингом или высокими чарджбеками. VMSS фокусируется на мониторинге и обмене данными между эквайерами.
   • Применение в кардинге:
     • Банки: Используют VMSS для скрининга новых мерчантов и мониторинга текущих через Visa Acquirer Monitoring Program (VAMP). Если мерчант превышает порог фрода (например, >0.9% транзакций), он попадает в VMSS.
     • Мерчанты: Косвенно избегают попадания, внедряя антифродовые меры (например, 3D-Secure), чтобы не попасть под санкции Visa.
     • Кардинг-контекст: Кардеры часто таргетируют мерчантов с низким уровнем защиты (например, без 3DS). VMSS помогает банкам выявлять таких мерчантов и требовать усиления защиты.
   • Пример: Интернет-магазин одежды получил всплеск чарджбеков (1.5%) из-за кардинга. Visa добавляет его в VMSS, и банк-эквайер вводит штрафы или требует внедрения 3DS. Без исправления мерчант теряет возможность принимать карты Visa.
   • Ограничения: Как и MATCH, VMSS не даёт данных о клиентах или картах, а фокус на мерчантах делает её менее эффективной для реального времени.
3. Velocity Checks (Visa Velocity и аналоги)
   • Описание: Это не база данных, а система фильтрации транзакций на основе скорости (velocity) — количества попыток с одного идентификатора (карта, IP, устройство, email) за определённый период. Visa и Mastercard интегрируют velocity в свои платформы, но банки и мерчанты настраивают собственные правила.
   • Применение в кардинге:
     • Банки: Используют velocity для обнаружения card testing, когда кардеры делают множество мелких транзакций (например, $1–$5) для проверки валидности карт. Например, правило: "блокировать, если >3 транзакции с одного BIN за 1 час".
     • Мерчанты: Интегрируют velocity через фрод-платформы (Sift, Kount, Riskified). Например, блокируют заказы, если один email пытается сделать >5 покупок за день.
     • Кардинг-контекст: Кардеры используют ботов для массового тестирования карт, генерируя сотни транзакций с разных IP или устройств. Velocity checks выявляют такие паттерны и блокируют их в реальном времени.
   • Пример: Кардер тестирует 50 карт через магазин цифровых подписок, делая транзакции по $2. Velocity-правило (например, "макс. 2 транзакции с одного IP за 10 минут") блокирует 90% попыток, снижая убытки мерчанта.
   • Ограничения: Кардеры обходят velocity, используя прокси/VPN (разные IP) или распределяя атаки по времени. Требуется комбинация с другими инструментами (например, геолокацией).
4. Shared/Industry Blacklists (Отраслевые списки)
   • Описание: Совместные базы данных, создаваемые группами мерчантов или процессоров (например, Kount, Riskified, Forter). Содержат анонимизированные данные о фродовых идентификаторах: IP, email, устройства (по device fingerprinting), BIN. Из-за GDPR такие списки часто ограничены по регионам или секторам (например, e-commerce, travel, gaming).
   • Применение в кардинге:
     • Банки: Интегрируют отраслевые списки через процессоров для обогащения моделей скоринга. Например, блокируют транзакции с IP, связанным с кардинг-форумами (например, Dark Web marketplaces).
     • Мерчанты: Используют через антифрод-платформы для автоматического отклонения заказов. Например, Riskified может заблокировать заказ, если email был замечен в фродовой активности у другого мерчанта.
     • Кардинг-контекст: Кардеры часто повторно используют инфраструктуру (email, IP, устройства). Отраслевые списки позволяют выявлять такие шаблоны, даже если атака идёт на другого мерчанта.
   • Пример: Кардер использует email test123@gmail.com для покупки в магазине электроники. Riskified выявляет, что этот email был в чёрном списке другого мерчанта (из-за чарджбека). Заказ отклоняется автоматически.
   • Ограничения: GDPR и CCPA ограничивают обмен персональными данными, что снижает эффективность. Ложные срабатывания (10–20%) могут блокировать легитимных клиентов, особенно при совпадении IP (например, в общественных Wi-Fi).
5. BIN Blacklists
   • Описание: Списки первых 6–8 цифр номера карты (BIN/IIN), связанных с высоким уровнем фрода. Собираются процессорами, банками или сетями (Visa, Mastercard). Например, BIN из определённых стран (например, некоторые африканские или восточноевропейские банки) могут иметь репутацию "рисковых".
   • Применение в кардинге:
     • Банки: Блокируют транзакции с BIN, связанными с кардингом. Например, BIN от предоплаченных карт часто используется кардерами, так как они сложнее отслеживаются.
     • Мерчанты: Настраивают правила в гейтвеях (например, Stripe Radar), чтобы отклонять транзакции с "плохих" BIN или комбинировать с другими сигналами (например, геолокация).
     • Кардинг-контекст: Кардеры часто покупают краденые карты по BIN (например, на Dark Web продаются "Visa Gold BIN 4532XX" за $10–$50). Блокировка таких BIN снижает успех атак.
   • Пример: Мерчант блокирует транзакции с BIN 4917XX (известен по кардинг-атакам в Азии). Это снижает фрод на 30%, но требует обновления списков, так как кардеры меняют BIN.
   • Ограничения: Кардеры могут использовать BIN от крупных банков (например, Chase, Citi), что усложняет фильтрацию без ложных отказов. Требуется комбинация с velocity или 3DS.

Как банки и мерчанты интегрируют чёрные списки в борьбу с кардингом?​

1. Банки:
   • Эквайеры: Проверяют MATCH/VMSS перед одобрением мерчанта, чтобы избежать сотрудничества с бизнесами, связанными с кардингом. Используют velocity и BIN-списки для реального времени.
   • Эмитенты: Блокируют карты, попавшие в TC40/SAFE, и добавляют их в локальные чёрные списки. Например, если карта (PAN) была использована для кардинга, она блокируется для всех транзакций.
   • Мониторинг: Используют AI-скоринг (например, Falcon от FICO), обогащённый данными из отраслевых списков, чтобы выявлять паттерны кардинга (например, транзакции в 3:00 AM из другой страны).
2. Мерчанты:
   • Интеграция через гейтвеи: Процессоры (Stripe, PayPal, Adyen) предоставляют API для проверки MATCH, velocity и BIN. Например, Stripe Radar автоматически отклоняет заказы с "плохими" IP.
   • Антифрод-платформы: Используют Kount, Sift или Forter для доступа к отраслевым спискам. Эти платформы создают device fingerprints (например, по MAC, браузеру) и проверяют их по чёрным спискам.
   • Ручной ревью: Для крупных транзакций мерчанты вручную проверяют заказы, если данные (email, IP) совпадают с чёрными списками.
3. Комбинированные подходы:
   • Чёрные списки работают эффективнее с другими инструментами: 3D-Secure (добавляет MFA, снижая успех кардинга на 70%), AVS/CVV (проверка адреса/кода карты) и геолокация (блокировка транзакций, где IP не совпадает с регионом карты).
   • Пример: Мерчант комбинирует velocity (макс. 3 транзакции/час с одного IP), BIN-список и 3DS. Это снижает фрод до <0.5%, но увеличивает отказы легитимных клиентов на 5–10%.

Практические примеры в контексте кардинга​

1. Сценарий card testing:
   • Кардер покупает 1000 карт на Dark Web и использует бот для тестирования их на сайте мерчанта (покупки на $1). Velocity-правило блокирует IP после 5 попыток за 10 минут. Если кардер использует прокси, отраслевой список (например, Kount) выявляет повторяющийся email или устройство, добавляя их в чёрный список.
   • Итог: Мерчант снижает потери на 80%, но теряет 2% легитимных заказов из-за ложных срабатываний.
2. Фиктивный мерчант:
   • Кардер создаёт интернет-магазин для отмывания денег через краденые карты. Банк-эквайер проверяет MATCH и отклоняет заявку, так как мерчант ранее был в TMF за фрод. Если он обходит MATCH, VMSS выявляет высокий уровень чарджбеков (>1%) через 2 месяца, и аккаунт закрывается.
   • Итог: Схема пресекается, но кардер может использовать подставные лица (drops), что требует дополнительных проверок (KYC).
3. Массовый фрод с BIN:
   • Кардеры таргетируют магазин электроники, используя BIN 4532XX (Visa, регион с высоким фродом). Мерчант через Stripe Radar блокирует этот BIN, а банк-эмитент добавляет скомпрометированные PAN в TC40/SAFE. Velocity checks дополнительно блокируют 10+ попыток с одного устройства.
   • Итог: Успех атак падает до <10%, но кардеры переходят на другой BIN, требуя регулярного обновления списков.

Ограничения и вызовы​

1. Ложные срабатывания: Чёрные списки могут блокировать легитимных клиентов. Например, IP из общественного Wi-Fi может попасть в отраслевой список, если кардер использовал ту же сеть. По данным Riskified, до 15% отказов — ложные.
2. Обходы кардеров: Использование VPN, прокси, новых email или устройств снижает эффективность списков. Кардеры также покупают "чистые" карты (не в TC40/SAFE).
3. Регуляторные ограничения: GDPR и CCPA ограничивают сбор и обмен данными (например, email или IP), что усложняет работу отраслевых списков.
4. Устаревание данных: Чёрные списки требуют регулярного обновления. Например, MATCH хранит данные 5 лет, но кардеры меняют инфраструктуру каждые 1–2 месяца.
5. Зависимость от процессоров: Мерчанты без доступа к MATCH/VMSS (например, малый бизнес) полагаются на гейтвеи, что увеличивает стоимость (1–3% с транзакции).

Тренды 2025 года в борьбе с кардингом​

1. AI и биометрия: Visa и Mastercard тестируют чёрные списки с device fingerprinting (по MAC, браузеру, поведению). Например, Visa Advanced Authorization (VAA) интегрирует биометрические данные для блокировки устройств кардеров.
2. Блокчейн-списки: Некоторые процессоры экспериментируют с децентрализованными чёрными списками для анонимного обмена данными о фроде (например, CyberSource).
3. Регулирование: Новые правила (например, PSD3 в ЕС) требуют от банков и мерчантов усиления антифродовых мер, включая обязательное использование 3DS и velocity checks.
4. Dark Pool Data: Отраслевые списки начинают включать данные из Dark Web (например, BIN, продаваемые на форумах), что повышает точность на 20–30%.

Рекомендации для банков и мерчантов​

1. Банки:
   • Интегрируйте MATCH/VMSS с KYC-проверками для новых мерчантов.
   • Используйте velocity и BIN-списки в реальном времени, комбинируя с AI-скорингом (например, FICO Falcon).
   • Регулярно обновляйте TC40/SAFE, чтобы блокировать скомпрометированные карты.
2. Мерчанты:
   • Внедрите 3D-Secure и AVS для снижения успеха кардинга (до 70% эффективности).
   • Используйте антифрод-платформы (Kount, Sift) с доступом к отраслевым спискам.
   • Настройте velocity-правила под свой бизнес (например, 3 транзакции/день для e-commerce, 10 для travel).
   • Мониторьте чарджбеки (<0.9%), чтобы избежать попадания в MATCH/VMSS.
3. Комбинированный подход:
   • Используйте чёрные списки как часть многоуровневой защиты: чёрные списки + 3DS + геолокация + AI.
   • Регулярно обучайте персонал распознавать кардинг-паттерны (например, мелкие транзакции ночью).

Заключение​

Чёрные списки, такие как MATCH, VMSS, velocity checks, отраслевые списки и BIN-базы, являются критически важными инструментами в борьбе с кардингом. Они помогают банкам и мерчантам выявлять и блокировать фродовые транзакции, снижая потери на 50–80%. Однако их эффективность ограничена ложными срабатываниями, обходами кардеров и регуляторными барьерами. Для максимальной защиты рекомендуется комбинировать списки с 3DS, AI-скорингом и мониторингом в реальном времени. Если у вас есть конкретные вопросы (например, интеграция определённой базы или настройка velocity), уточните, и я разберу это подробнее!