Как работают чёрные списки (Visa TC40, MasterCard SAFE) в борьбе с кардингом?

[Mutt]

Подробное объяснение работы чёрных списков Visa TC40 и MasterCard SAFE в борьбе с кардингом​

Кардинг — это вид мошенничества, при котором злоумышленники используют украденные данные банковских карт (номер карты, CVV-код, срок действия и, иногда, данные держателя) для совершения несанкционированных транзакций. Такие данные могут быть получены через скимминг (считывание с устройств на банкоматах или терминалах), фишинг, взлом баз данных мерчантов или покупку в даркнете. Программы Visa Transaction Control 40 (TC40) и MasterCard System to Avoid Fraud Effectively (SAFE) являются ключевыми инструментами международных платёжных систем для борьбы с кардингом. Они помогают выявлять, отслеживать и предотвращать мошеннические операции, а также минимизировать использование скиммированных данных. Ниже представлено подробное объяснение их работы в образовательных целях, с акцентом на кардинг.

1. Что такое Visa TC40 и MasterCard SAFE?​

1.1. Visa TC40​

• Полное название: Transaction Control 40.
• Описание: Это отчёт, который банки-эмитенты (банки, выпустившие карту) отправляют в Visa, когда держатель карты сообщает о мошеннической или несанкционированной транзакции. TC40 включает данные о транзакции, такие как номер карты, сумма, дата, время, идентификатор мерчанта и, в случае онлайн-транзакций, IP-адрес и характеристики устройства.
• Цель: Обеспечить платёжную систему информацией о мошенничестве, чтобы выявить точки компрометации (например, скиммеры или утечки данных) и предотвратить дальнейшие атаки.

1.2. MasterCard SAFE​

• Полное название: System to Avoid Fraud Effectively.
• Описание: Аналогичный инструмент от MasterCard, который собирает данные о мошеннических транзакциях, о которых сообщают банки-эмитенты. SAFE фокусируется на анализе и передаче информации о скомпрометированных картах, IP-адресах, устройствах и мерчантах, связанных с мошенничеством.
• Цель: Ускорить идентификацию мошеннических паттернов и помочь участникам платёжной системы (банкам, мерчантам) принимать меры для предотвращения дальнейших атак.

Обе программы являются частью стратегии платёжных систем по снижению уровня мошенничества и защите экосистемы (держателей карт, банков, мерчантов).

2. Как кардинг связан с TC40 и SAFE?​

Кардинг обычно включает следующие этапы:

1. Получение данных карты: Мошенники используют скиммеры, фишинговые сайты, вредоносное ПО или покупают данные в даркнете.
2. Тестирование данных: Злоумышленники проверяют валидность украденных данных, совершая небольшие транзакции (например, покупка цифровых товаров или донаты).
3. Монетизация: Использование скиммированных данных для крупных покупок, вывода средств или продажи товаров.

TC40 и SAFE помогают прервать этот цикл, выявляя скомпрометированные карты и связанные с ними параметры (IP, устройства) на этапе тестирования или монетизации, а также предотвращая повторное использование украденных данных.

3. Как платёжные системы обмениваются данными?​

Обмен данными в рамках TC40 и SAFE происходит в несколько этапов, включающих банки-эмитенты, платёжные системы, банки-эквайеры и, в некоторых случаях, мерчантов. Вот как это работает:

3.1. Обнаружение мошенничества​

• Инициирование процесса: Процесс начинается, когда держатель карты замечает несанкционированную транзакцию и сообщает об этом в банк-эмитент. Например, держатель видит покупку на $50 в интернет-магазине, которую он не совершал.
• Сбор данных: Банк-эмитент фиксирует информацию о транзакции, которая может включать:
  • Номер карты (или его токенизированную версию, чтобы соблюсти стандарты PCI DSS).
  • Дата и время транзакции.
  • Сумма транзакции.
  • Идентификатор мерчанта (Merchant ID, MID) и название торговой точки.
  • Тип транзакции (онлайн, офлайн, через терминал, мобильное приложение).
  • IP-адрес (для онлайн-транзакций).
  • Отпечаток устройства (device fingerprint), который включает данные об операционной системе, браузере, разрешении экрана и т.д.
  • Геолокация (если доступна).
  • Код авторизации и другие технические параметры транзакции.
• Чарджбек: Если транзакция оспаривается, банк-эмитент инициирует чарджбек (возврат средств), что также фиксируется в отчётах TC40 или SAFE.

3.2. Передача данных в платёжную систему​

• Банк-эмитент отправляет отчёт о мошеннической транзакции в Visa (для TC40) или MasterCard (для SAFE). Этот отчёт включает агрегированные данные о скомпрометированной карте и обстоятельствах транзакции.
• Платёжные системы собирают эти данные от всех банков-эмитентов, создавая централизованную базу мошеннических операций.

3.3. Анализ и классификация​

• Visa и MasterCard анализируют поступающие данные, чтобы выявить:
  • Скомпрометированные карты: Карты, которые многократно фигурируют в мошеннических транзакциях.
  • Паттерны мошенничества: Например, повторяющиеся IP-адреса, устройства или мерчанты, связанные с мошенничеством.
  • Точки компрометации: Мерчанты, терминалы или сайты, где, вероятно, произошёл скимминг или утечка данных.
• На основе анализа формируются чёрные списки, включающие:
  • Номера карт (или их токены).
  • IP-адреса, связанные с мошенническими транзакциями.
  • Отпечатки устройств, используемых для кардинга.
  • Идентификаторы мерчантов с высоким уровнем мошенничества.

3.4. Распространение данных​

• Платёжные системы передают агрегированные данные банкам-эквайерам (банкам, обслуживающим мерчантов) и, в некоторых случаях, самим мерчантам.
• Ограничение: Доступ к данным TC40 и SAFE для мерчантов ограничен, так как банки-эквайеры не всегда делятся этой информацией. Мерчанты могут запрашивать данные через эквайера, но это требует дополнительных усилий.
• В некоторых случаях платёжные системы напрямую уведомляют мерчантов о высоком уровне мошенничества, особенно если они попадают в программы мониторинга (например, Visa Merchant Fraud Monitoring Program).

3.5. Использование данных участниками экосистемы​

• Банки-эмитенты:
  • Блокируют или перевыпускают скомпрометированные карты.
  • Устанавливают дополнительные проверки (например, 3-D Secure) для транзакций с подозрительных IP или устройств.
  • Обновляют свои системы мониторинга, чтобы отслеживать новые паттерны мошенничества.
• Банки-эквайеры:
  • Оценивают риск мерчантов на основе данных TC40 и SAFE. Если у мерчанта высокий уровень чарджбеков, эквайер может повысить комиссии, наложить штрафы или прекратить сотрудничество.
  • Передают данные о подозрительных IP и устройствах мерчантам (в ограниченном объёме).
• Мерчанты:
  • Используют данные для настройки фильтров в своих платёжных шлюзах (например, блокировка транзакций с определённых IP).
  • Внедряют дополнительные проверки, такие как геолокация, анализ поведения пользователя или проверка CVV.
  • Усиливают защиту своих систем, чтобы предотвратить утечки данных.

4. Как TC40 и SAFE предотвращают использование скиммированных данных?​

Скиммированные данные (например, украденные через скиммеры на банкоматах, терминалах или фишинговые сайты) представляют серьёзную угрозу, так как мошенники могут использовать их для совершения транзакций до того, как держатель карты заметит проблему. TC40 и SAFE помогают минимизировать ущерб следующим образом:

4.1. Быстрая блокировка скомпрометированных карт​

• Как только держатель карты сообщает о мошеннической транзакции, банк-эмитент фиксирует данные карты как скомпрометированные. Эти данные передаются в TC40 или SAFE, что позволяет:
  • Заблокировать карту: Банк-эмитент может немедленно заблокировать карту или установить ограничения на её использование (например, запрет на онлайн-транзакции).
  • Перевыпустить карту: Держателю выдаётся новая карта с другим номером, что делает украденные данные бесполезными.
• Пример: Если мошенник использует скиммированные данные для покупки в интернет-магазине, держатель карты сообщает об этом в банк. Банк передаёт данные в TC40/SAFE, и карта блокируется, предотвращая дальнейшие транзакции.

4.2. Чёрные списки IP и устройств​

• IP-адреса: Если мошенник использует определённый IP-адрес для совершения транзакций с несколькими скиммированными картами, этот IP заносится в чёрный список. Последующие попытки транзакций с этого IP могут быть отклонены или потребовать дополнительной аутентификации.
• Отпечатки устройств: Платёжные шлюзы и банки собирают данные об устройстве (например, версия браузера, операционная система, разрешение экрана). Если устройство связано с мошенническими транзакциями, оно добавляется в чёрный список, что затрудняет кардинг.
• Пример: Мошенник использует VPN с IP-адресом 192.168.1.1 для тестирования украденных карт. Этот IP фиксируется в TC40/SAFE, и последующие транзакции с него блокируются или требуют 3-D Secure.

4.3. Интеграция с 3-D Secure​

• TC40 и SAFE работают в связке с протоколами 3-D Secure (Verified by Visa, MasterCard SecureCode), которые требуют двухфакторной аутентификации для онлайн-транзакций.
• Если карта помечена как скомпрометированная, банк-эмитент может автоматически требовать 3-D Secure для всех операций с этой картой. Это означает, что мошеннику нужно не только иметь данные карты, но и доступ к телефону или паролю держателя, что значительно усложняет кардинг.
• Пример: Мошенник пытается использовать скиммированные данные для покупки на сайте. Система 3-D Secure запрашивает код из SMS, которого у мошенника нет, и транзакция отклоняется.

4.4. Выявление точек компрометации​

• TC40 и SAFE помогают выявить мерчантов или терминалы, где произошёл скимминг. Например:
  • Если несколько карт, использованных у одного мерчанта, были позже помечены как скомпрометированные, это указывает на возможную утечку данных или установку скиммера.
  • Платёжные системы могут уведомить банк-эквайер, чтобы тот провёл проверку мерчанта.
• Пример: Если данные карт, использованных в определённом магазине, появляются в даркнете, TC40/SAFE выявляют этого мерчанта как источник компрометации. Магазин проверяется, а его терминалы заменяются или обновляются.

4.5. Снижение уровня чарджбеков​

• Чарджбеки (возвраты средств по оспариваемым транзакциям) являются ключевым индикатором мошенничества. TC40 и SAFE фиксируют данные о чарджбеках, что позволяет:
  • Выявить мерчантов с высоким уровнем мошенничества.
  • Предупредить банки-эквайеры о необходимости усилить контроль над такими мерчантами.
• Если мерчант часто фигурирует в отчётах TC40/SAFE, он может быть оштрафован, помещён в программу мониторинга или исключён из платёжной системы, что стимулирует его внедрять меры против кардинга (например, антифрод-системы).

4.6. Анализ трендов и предотвращение массовых атак​

• Платёжные системы используют данные TC40 и SAFE для анализа мошеннических трендов. Например:
  • Если определённый IP-адрес или устройство связаны с массовым тестированием карт (carding enumeration), они заносятся в чёрные списки.
  • Если выявляется новая схема кардинга (например, использование прокси или ботов), платёжные системы обновляют свои алгоритмы, чтобы блокировать такие операции.
• Пример: Мошенники покупают базу скиммированных карт в даркнете и начинают массово тестировать их через определённый сайт. TC40/SAFE выявляют всплеск мошеннических транзакций, и сайт помечается как рискованный, что приводит к усилению проверок.

5. Практические примеры применения TC40 и SAFE в борьбе с кардингом​

Пример 1: Скимминг в офлайн-магазине​

• Мошенник устанавливает скиммер на POS-терминал в магазине. Данные карт собираются и используются для онлайн-покупок.
• Держатели карт замечают несанкционированные транзакции и сообщают в банки. Банки передают данные в TC40/SAFE, указывая магазин как точку компрометации.
• Visa/MasterCard уведомляют банк-эквайер, который проверяет терминалы магазина и обнаруживает скиммер. Магазин обновляет оборудование, а скомпрометированные карты блокируются.

Пример 2: Кардинг в интернет-магазине​

• Мошенник использует украденные данные карт для покупки цифровых товаров в интернет-магазине. Он использует VPN с IP-адресом, который ранее был связан с мошенничеством.
• После чарджбеков банк-эмитент передаёт данные в TC40/SAFE. IP-адрес заносится в чёрный список, и последующие транзакции с него отклоняются.
• Мерчант внедряет фильтр, блокирующий транзакции с этого IP, и активирует 3-D Secure для всех операций.

Пример 3: Массовое тестирование карт​

• Мошенники покупают базу скиммированных карт и тестируют их, совершая мелкие транзакции (например, $1) на сайте с низким уровнем защиты.
• Банки-эмитенты фиксируют множество чарджбеков и передают данные в TC40/SAFE. Платёжные системы выявляют сайт как рискованный и уведомляют банк-эквайер.
• Сайт попадает в программу мониторинга, и ему предписывается внедрить антифрод-системы, чтобы предотвратить дальнейший кардинг.

6. Ограничения TC40 и SAFE в борьбе с кардингом​

Несмотря на их эффективность, TC40 и SAFE имеют несколько ограничений:

1. Задержка в передаче данных:
   • Данные TC40/SAFE могут передаваться с задержкой (особенно в случае SAFE — до 60 дней), что позволяет мошенникам использовать скиммированные данные до их блокировки.
   • Решение: Банки и мерчанты должны использовать дополнительные системы мониторинга в реальном времени.
2. Ограниченный доступ для мерчантов:
   • Мерчанты редко получают прямой доступ к данным TC40/SAFE, так как они передаются через банки-эквайеры. Это затрудняет оперативное реагирование.
   • Решение: Мерчанты могут использовать сторонние антифрод-системы (например, Signifyd, Riskified), которые интегрируются с данными платёжных систем.
3. Неполное покрытие мелких транзакций:
   • Если сумма мошеннической транзакции мала (например, менее $8), банк может возместить средства без инициирования чарджбека, и такие случаи не попадают в TC40/SAFE.
   • Решение: Мерчанты должны самостоятельно отслеживать подозрительные мелкие транзакции.
4. "Дружеское мошенничество":
   • TC40 и SAFE не могут эффективно бороться с ситуациями, когда держатель карты сам инициирует чарджбек, утверждая, что транзакция была мошеннической (хотя он её совершил).
   • Решение: Мерчанты должны собирать доказательства легитимности транзакции (например, данные доставки, IP-адрес, подпись).
5. Ограниченная защита от новых методов кардинга:
   • Мошенники постоянно разрабатывают новые способы обхода систем, такие как использование прокси, эмуляция устройств или социальная инженерия.
   • Решение: Платёжные системы должны регулярно обновлять алгоритмы и интегрировать данные TC40/SAFE с ИИ-системами для выявления новых паттернов.

7. Дополнительные меры для усиления борьбы с кардингом​

Для повышения эффективности TC40 и SAFE участники платёжной экосистемы могут использовать дополнительные инструменты:

• Антифрод-системы: Платформы, такие как Kount, Sift или Forter, анализируют поведение пользователей, IP-адреса, устройства и другие параметры в реальном времени, дополняя данные TC40/SAFE.
• 3-D Secure: Обязательное использование двухфакторной аутентификации для онлайн-транзакций.
• Токенизация: Замена номеров карт токенами, которые бесполезны для мошенников вне конкретной платёжной системы.
• Геолокационные проверки: Сравнение местоположения устройства с адресом держателя карты.
• Поведенческий анализ: Отслеживание паттернов поведения пользователя (например, скорость ввода данных, типы покупок).
• Обучение мерчантов: Регулярное обучение сотрудников магазинов и банков для выявления скиммеров и фишинговых атак.

8. Заключение​

Visa TC40 и MasterCard SAFE — это мощные инструменты в борьбе с кардингом, обеспечивающие обмен информацией о скомпрометированных картах, IP-адресах и устройствах между банками, платёжными системами и мерчантами. Они помогают:

• Быстро блокировать скомпрометированные карты.
• Создавать чёрные списки IP и устройств, затрудняя повторное использование скиммированных данных.
• Выявлять точки компрометации (скиммеры, уязвимые сайты).
• Снижать уровень чарджбеков и повышать безопасность экосистемы.

Однако их эффективность ограничена задержками в передаче данных, ограниченным доступом для мерчантов и неспособностью полностью предотвратить новые методы кардинга. Для максимальной защиты от кардинга банки и мерчанты должны дополнять TC40 и SAFE современными антифрод-системами, 3-D Secure, токенизацией и анализом поведения пользователей. Эти меры, в сочетании с данными TC40 и SAFE, создают многоуровневую защиту, которая значительно снижает риски мошенничества и защищает держателей карт, мерчантов и банки от финансовых потерь.