Историй о том, как злоумышленники списали средства с банковской карты без ведома ее владельца, становится все больше. Только за 2014 год с карт россиян украли 1,58 млрд руб., говорится в июньском обзоре ЦБ. В 68% случаев для проведения транзакций мошенники использовали реквизиты чужих карт, в 21% случаев изготавливали поддельные карты. Только 11% несанкционированных списаний произошло по утерянным или украденным картам.
При этом большую часть суммы (свыше 1 млрд руб.) мошенники украли через интернет-банки и мобильные приложения. В будущем этот разрыв увеличится: число «физических» краж (с помощью изготовления копий карт) сойдет на нет, а виртуальных станет в разы больше, утверждает руководитель направления по развитию продукта Group-IB Павел Крылов.
По данным ЕЦБ, с 2009 по 2013 год число именно таких краж выросло на 16%. Похожая ситуация и в США, где, по данным, которые приводит NASDAQ, совершается больше всего карточных краж в мире. Здесь в 2014 году от мошенников пострадали 12,7 млн держателей карт, а общая сумма незаконно списанных денег достигла $16 млрд. Чаще всего мошенники списывали деньги с двух до шести часов ночи, когда держатели карт спали.
Как и в России, самыми уязвимыми в 2014 году оказались мобильные транзакции (покупка в интернет-магазине или оплата через приложения), а не физические (оплата через POS-терминал), хотя в числе всех операций доля мобильных невелика (всего 14%): на них пришелся 21% краж.
Действующие способы защиты карт со своими задачами справляются далеко не всегда, особенно если речь идет об онлайн-оплате. РБК нашел четыре новые технологии, которые могут прийти на смену нынешним способам идентификации клиентов, и попросил экспертов оценить, насколько они надежны.
Селфи
Кассовая зона супермаркета — не самое удачное место для селфи, но скоро все может измениться. Компания First Tech Federal Credit Union (НКО со штаб-квартирой в Калифорнии и 40 региональными представительствами) и MasterCard запустили пилотный проект по идентификации владельца карты по фотографии.
Схема напоминает привычную процедуру оплаты: вы прикладываете карту к терминалу или вводите ее данные, если оплата происходит онлайн, после чего делаете селфи. Если мобильное приложение, привязанное к карте, распознает фотографию — происходит списание средств. Сейчас технологию тестируют 200 сотрудников First Tech Federal Credit Union, используя стандартную процедуру идентификации (PIN-код или СМС-пароль) и систему селфи. По итогам компания оценит эффективность нововведения. Такую же систему идентификации пользователя планирует запустить в 2017 году китайский интернет-гигант Alibaba (в рамках собственного платежного сервиса Alipay).
Сейчас сервис также тестируется, однако пока 100% качества распознавания добиться не удалось. Одна из главных проблем — программа «не понимает», когда клиент делает селфи, а когда его фотографирует кто‑то другой, говорит Емешева из Тинькофф Банка. Кроме того, программа не может доказать, что фотография была сделана именно в момент транзакции, а не раньше: мошенник может просто найти ее в соцсети, говорит Крылов из Group-IB. Надежность этого метода пока невысокая — три из пяти баллов, и у него есть шансы дополнить существующие технологии, но не заменить их, заметил Матущенко из Бинбанка.
Датчик сердцебиения
Использованием биометрических данных для защиты карты от мошенников уже никого не удивить. Правда, чаще всего речь идет об отпечатках пальцев. Канадский разработчик программного обеспечения Nymi совместно с MasterCard и канадским банком Toronto-Dominion пошли дальше. Они пытаются привязать карту к ритму сердцебиения ее владельца. C июля механизм заработал в тестовом режиме в отделениях TD Bank в Торонто, Оттаве и Рейджане.
Если технология докажет свою эффективность, то банк собирается внедрить ее в остальных отделениях. Система работает так: карты в привычном представлении здесь нет, вместо нее клиент банка получает браслет-кардиомонитор со встроенным чипом, который нужно поднести к POS-терминалу для оплаты. Браслет не отслеживает пульс, он строит кардиограмму, так что вас не примут за мошенника, даже если вы попытаетесь расплатиться своей картой после пробежки.
Вообще, Nymi выпускает такие браслеты уже несколько лет, предлагая использовать идентификатор биения сердца (HeartID) для открытия дверей автомобиля, автоматической идентификации пользователя на компьютерах и планшетах и т. д. Браслеты представлены в трех цветах (белый, черный и красный) и продаются вместе с зарядным USB-устройством.
У технологии есть заметный недостаток. Из-за привязки к браслету продукт обойдется и банку, и клиенту (комплект стоит $149) дорого, говорит руководитель управления разработки продуктов Бинбанка Александр Матущенко. Таким гаджетом, по его словам, не слишком удобно пользоваться — носить браслет, не снимая, согласится далеко не каждый.
В то же время технология может быть востребована в исключительных ситуациях — например, на отдыхе, когда носить с собой карту неудобно, а вероятность мошенничества или кражи, напротив, достаточно высока, подчеркивает вице-президент по развитию новых продуктов Тинькофф Банка Александра Емешева. Главная опасность этой технологии, по мнению Крылова из Group-IB, в том, что мошенник может украсть деньги, даже если браслет на руке у владельца: незаметно с помощью портативного терминала списать средства. Систему это не насторожит: ритм сердцебиения подтвержден, объясняет Крылов из Group-IB.
Биометрия
15 сентября Visa заявила о запуске новой системы защиты своих карт. Она предполагает оснащение карт чипом, содержащим разные типы биометрических данных: отпечатки пальцев, голос, данные о радужной оболочке глаза и совокупности черт лица. Карты с таким чипом в качестве эксперимента начал выпускать южноафриканский Absa Bank (дочерняя компания Barclays Africa). В ходе испытания считывать биометрические данные будут лишь некоторые банкоматы Absa Bank. И в этом большая проблема: чтобы система работала, специальное оборудование придется установить во всех торговых точках.
Этот способ — самый надежный: пять баллов из пяти, считает Матущенко из Бинбанка. Для большей гарантии нужно, чтобы сверялись данные из трех источников: те, что считывает банкомат, данные карты и самого банка. Если последнего звена не будет, то мошенник сможет «взломать» чип и записать на него свои данные — банкомат этого не заметит, отмечает Крылов из Group-IB. Технология обойдется банку неоправданно дорого: придется создавать новую инфраструктуру, полагает замдиректора департамента безопасности Связь-банка Сергей Курочкин.
Геолокация
Еще один способ защитить карту от мошенников предложили в компании Wells Fargo’s labs — подразделении американской финансовой компании Wells Fargo c активами под управлением $1,7 трлн.
Причем изначально эту технологию придумали для мобильного маркетинга и геотаргетированной рекламы. По задумке разработчиков, мобильное приложение получает доступ к службе геолокации, датчику высоты и камерам телефона, чтобы максимально точно определять его положение в пространстве.
Защитить от мошенничества система может так: если транзакция по карте происходит далеко от того места, где находится телефон, то приложение блокирует карту. У Wells Fargo’s labs эта технология находится на стадии идеи. Однако некоторые стартапы вроде мультикарты Coin (электронная карта, хранящая данные всех ваших карт, цена $117 c налогами и доставкой) уже отслеживают перемещения клиента. Правда, не так детально, как предлагают Wells Fargo’s labs, — все ограничивается геолокацией.
При физической оплате это очень эффективный метод, говорит Курочкин из Связь-банка. Его надежность — четыре из пяти баллов, оценивает Матущенко из Бинбанка. Однако и он не спасет, если мошенники попытаются не снять деньги в банкомате, а провести онлайн-оплату. Карта может лежать на столе у владельца, и программа не остановит злоумышленника, подчеркивает Емешева из Тинькофф Банка. «Кроме того, клиенту придется подписаться на то, что банк фактически будет следить за ним 24 часа в сутки. Я бы на это не согласился», — говорит Крылов из Group-IB.
Анастасия Стогней