курс цб на 22.01: USD 66.3634 EUR 75.5481
криптовалют: BTC 3533.4$ ETH 115.81$
Архив / 2015 / ЖУРНАЛ ПЛАС № 12(223) / 376 просмотров

FICO: эволюция карточного мошенничества в Европе

Новые данные о тенденциях CNP-, трансграничного и иных видов фрода в Европе в 2014 году представлены в отчете FICO «Europe’s Card Fraud Is Evolving»

В ходе работы над отчетом специалисты компании FICO провели мониторинг развития мошенничества с использованием платежных карт за период с 2007 по 2014 г. Работая с эмитентами по всей Европе, FICO отметила существенные изменения в сфере мошенничества с платежными картами, которые проиллюстрированы в том числе новыми данными Euromonitor International. Последние показывают, как применение средств защиты, эффективные методы транзакционного анализа и внедрение EMV-технологии в различных странах вынуждают киберпреступников перемещать свою активность из одной страны в другую и переключаться на новые виды атак.

Основной угрозой по-прежнему остается CNP-фрод

Как показано на рис. 2, в 2014 г. по картам, эмитированным в Европе, был зафиксирован относительно небольшой рост убытков от мошеннических операций. При этом по сравнению с предыдущим 2013 г. в странах с самыми высокими показателями уровня фрода, измеряющимися сотыми долями процента от общих объемов транзакций по картам, изменений не произошло. Как показано на рис. 3 и 4, во многих странах наблюдалось лишь незначительное повышение уровня мошенничества.

Кто побеждает в борьбе с CNP-фродом?

В течение последних трех лет FICO отмечала на основании обобщенных данных по распространению мошенничества в различных странах Европы, что основной проблемой безопасности европейской платежной индустрии является именно CNP-фрод. Например, на долю поддельных карт, составлявших основную угрозу FICO: эволюция карточного мошенничества в Европе десять лет назад, сегодня приходится всего 10% мошеннических операций в Великобритании, аналогичная ситуация наблюдается и во многих других европейских странах, утверждается в недавнем отчете FICO.

Изменения активности мошенничества в различных европейских странах в период 2013–2014 гг.

Исходя из данных по рынку Великобритании, в 1998 г. на фрод по CNP-транзакциям приходилось всего 10% от общего объема убытков от мошенничества, но уже к 2008 г. (когда мошеннические операции по платежным картам в Великобритании и Европе достигли своего пика) убытки от этого вида мошенничества увеличились в 24 раза в денежном выражении, составив 54% от общего объема фрода по картам. В 2014 г. на долю CNP-транзакций пришлось уже 70% всех убытков от фрода. В то же время по сравнению с 2008 г. данные убытки в Великобритании в денежном выражении выросли всего на 3 млн фунтов стерлингов.

Если взглянуть на эти цифры через призму изменений в объеме расходов за этот же период, говорится в отчете FICO, то можно увидеть, что банки и розничные сети Великобритании добились значительных успехов в борьбе с карточным фродом. Стандарт EMV появился на европейском рынке в 2006 г., после чего, как и ожидалось, карточное мошенничество начало мигрировать в сторону CNP (включая трансграничные операции). В 2007 г. объем транзакций по операциям электронной торговли в Великобритании достиг 41 млрд фунтов стерлингов. К 2013 г. этот показатель почти удвоился и составил 91 млрд ф. ст.

Если бы уровень CNP-фрода увеличивался прямо пропорционально росту объемов CNP-транзакций, мы наблюдали бы более чем двукратное увеличение связанных с ними убытков (в денежном выражении) по сравнению с уровнем 2008 г. (328 млн ф. ст.), подчеркивается в отчете FICO. Вместо этого в 2014 г. уровень убытков от фрода в Великобритании был всего лишь на 3 млн фунтов стерлингов выше этой цифры – 331 млн ф. ст., что составляет рост менее чем на 1%.

Объемы убытков от фрода в Великобритании

Разнообразие клиентских устройств и динамическая аутентификация

Такие цифры, по мнению аналитиков FICO, говорят о том, что, возможно, европейские финансовые институты начали отыгрывать потери от CNP-фрода. Однако Европе все еще предстоит пройти долгий путь, чтобы полностью взять его под контроль. При этом все большую роль здесь будет играть эффективная аутентификация пользователей и их клиентских устройств.

Сегодня у потребителей больше различных коммуникационных устройств, через которые мошенники могут получить доступ к данным держателя карты, чем когда-либо ранее, подчеркивают в FICO. Только в одной Великобритании в 2013 г. в качестве рождественских подарков было получено 11 млн различных устройств с возможностью выхода в интернет. При этом лишь 44% пользователей используют на своих устройствах средства защиты информации в интернете, и менее чем один из трех применяют для защиты устройств сложный пароль. Более того, 57% жителей Великобритании не утруждают себя проверкой безопасности веб-сайта, прежде чем совершить покупку. Поэтому не стоит удивляться тому вниманию, которое СМИ уделяют киберпреступности, а также увеличивающейся изощренности атак вредоносных программных средств, резюмируют аналитики FICO.

Уровни мошенничества с картами

Широкое использование динамической аутентификации пользователей станет огромным шагом вперед, – говорится в отчете компании, – т. к. кража данных в значительной степени утратит всякий смысл. Так, достаточно надежная аутентификация, например, двухфакторная с использованием шифрования, используется в онлайн-банкинге, на долю которого в Великобритании приходится всего 12% убытков от мошенничества по картам. Изменения в законодательстве ЕС, например, принятие нового предписания SecuRe Pay также выводят роль аутентификации и обеспечения идентификации держателя карты на передний план. В сочетании с отраслевыми инициативами, такими как токенизация, новые достижения в области аналитики, которые используются для оценки поведения покупателей и позволяют составить профиль не только держателей карт, но и устройств, а также самих ТСП, помогут отрасли успешно противостоять мошенникам, причем не только в Европе.

Влияние EMV-миграции в США на уровень фрода в Европе

В октябре 2015 г. в США началась реализация принципа переноса ответственности по карточным транзакциям, совершаемым в торгово-сервисных предприятиях, после чего в 2017 г. такие же изменения вступят силу в отношении банкоматов и киосков самообслуживания. Для США сегодня характерно беспрецедентное увеличение количества скимминговых атак на банкоматы, принадлежащие как банкам, так и небанковским организациям, отмечают в FICO, подчеркивая, что киберпреступники спешат извлечь для себя максимальную выгоду до миграции этого рынка на стандарт EMV.

В 2014 г. в Великобритании FICO зафиксировала 25%-ное увеличение уровня трансграничного мошенничества по дебетовым картам по сравнению с 2013 г. При этом 47% мошеннических трансграничных транзакций по картам британских эмитентов пришлось на США, что связано именно с задержкой внедрения там стандарта EMV.

Учитывая, что большинство европейских банков исключили возможность использования магнитной полосы для мошеннических транзакций еще несколько лет назад, карты любого европейского банка также находятся под прицелом, так как преступники пытаются «максимально наполнить свои карманы», прежде чем США закроют все лазейки для скимминга.

Структура и динамика карточного мошенничества в Великобритании

Великобритания

Убытки от мошенничества по платежным картам в Великобритании в 2014 г. выросли на 29 млн ф. ст. – рост по сравнению с предыдущим годом составил 6%. В то же время, если взглянуть на убытки более внимательно, можно увидеть, что их рост напрямую связан с мошенничеством по трансграничным операциям. Убытки на внутреннем рынке остались на уровне прошлого года. При этом наблюдалось небольшое снижение числа хищения идентификационных данных и аналогичный рост количества мошеннических CNP-транзакций.

CNP-фрод – еще одна проблема Великобритании, выявленная в ходе анализа данных, в то время как мошенничество с использованием поддельных, утерянных и украденных, а также перехваченных карт (кража карт в процессе их почтовой пересылки держателям) остается на том же уровне. Все же это не останавливает преступников от попыток кражи реквизитов карт и ПИН-кодов: они звонят уязвимым группам населения и представляются их банковскими агентами или даже полицейскими, активно практикуя фишинг и приемы социальной инженерии.

На долю CNP-мошенничества приходится 70% всех убытков от фрода, а объемы электронной торговли растут, и, учитывая взятый британскими банками курс на отнесение качества обслуживания клиентов к главным приоритетам, все их усилия сейчас направлены на противодействие мошенничеству без привлечения внимания клиентов.

Структура и динамика карточного мошенничества в Германии

Германия

Основными видами мошенничества, характерными для Германии, являются использование поддельных карт и CNP-фрод, на долю которых приходится в совокупности 93% общих убытков от общего объема фрода. В целом убытки от мошеннических транзакций по платежным картам остаются в Германии на стабильном уровне, при этом небольшое снижение фрода по поддельным картам компенсировано резким увеличением убытков от CNP-фрода, отмечается в отчете FICO.

В начале 2015 г. FICO заявила, что по сравнению с предыдущим годом уровень мошенничества по картам в Германии вырос на 17%. Учитывая, что общий рост объема транзакций в денежном выражении составил всего лишь 5%, можно говорить об активизации действий мошенников. Убытки от мошенничества по отношению к общему объему транзакций (в денежном выражении) по кредитным карточным продуктам составляют 0,11%. При этом общие убытки от карточного фрода составляют всего 0,02%, что отражает тот факт, что на рынке Германии доминируют дебетовые карты. Таким образом, убытки от мошенничества по дебетовым карточным продуктам на внутреннем рынке находятся на низком уровне, подчеркивают в FICO.

Структура и динамика карточного мошенничества в России

Россия

В России по-прежнему сохраняется тенденция значительного роста мошенничества, в результате чего убытки от фрода в 2014 г. по сравнению с 2013 г. увеличились на 24% (при этом в 2013 г. наблюдался рекордный рост этого показателя – на 28% по сравнению с 2012 г.). Фактический рост карточного мошенничества в 2014 г. в 2,5 раза превышает убытки, зарегистрированные в далеком 2006 г.

Наибольший объем убытков от фрода в России, с точки зрения аналитиков FICO, приходится на транзакции по поддельным картам (39%) в отличие от более развитых рынков платежных карт, таких как Великобритания и Германия. Такой рост неудивителен, учитывая, что объем расходов физических лиц по платежным картам в России вырос на 36% по сравнению с 2013 г. в денежном выражении и на 16% – по количеству транзакций.

На долю мошеннических транзакций по поддельным картам приходится почти 40% всех убытков. Это является в том числе следствием той ситуации, когда EMV-транзакции в России составляют всего около половины от их общего количества – по сравнению с 96% в Европе. Тем не менее количество EMV-транзакций увеличилось в России в 2014 г. на 8%. И в дальнейшем структура мошенничества здесь, согласно наблюдаемому тренду, будет все больше походить на западноевропейскую, по мере того как в России будут ограничиваться возможности для фрода с использованием поддельных карт, оснащенных только магнитной полосой.

Мошеннические транзакции

На долю случаев CNP-фрода в России приходится всего 3% всех убытков. (По данным внешних экспертов «ПЛАСа», столь низкие оценки уровня CNP-фрода в России со стороны аналитиков FICO отстоят далеко от реальности. Так, по данным Николая Пятиизбянцева, эксперта по информационной безопасности в платежной индустрии, они в 11 раз больше. «Ряд данных четко указывает на то, что реальные масштабы CNP-фрода сопоставимы с потерями от мошенничества с использованием поддельных картам (40% по данным FICO), а потери по утраченным картам (lost/stolen fraud) составляют в России около 15% от общих потерь. В частности, по данным MasterCard за 2014 год, доля случаев мошенничества с использованием поддельных карт в общем ущербе от российского фрода составила 36% (что близко к цифрам FICO), потерь от CNP-фрода – 33%, и от фрода типа lost/stolen – 17%», – отмечает Н. Пятиизбянцев в своем комментарии для «ПЛАС».) И этот показатель, как полагают в FICO, не начнет расти до тех пор, пока мошенники не будут вынуждены изменить используемые методы атак на фоне широкой EMV-миграции. В Великобритании и Германии на долю CNP-фрода приходится 70% всех мошеннических транзакций, поэтому ожидается, что в России будет наблюдаться аналогичная тенденция по мере внедрения EMV.

Учитывая, что российские карточные мошенники предпочитают иметь дело c card present операциями, неудивительно, что второе место по объему убытков занимают фродовые транзакции по утерянным или украденным картам (lost/stolen fraud) – 33% от общего объема убытков. Ожидается, что использование мошенниками утерянных и украденных карт ощутимо снизится, когда доля EMV-транзакций в стране достигнет 80%, так как обладателю украденной карты потребуется вводить еще и ПИН-код. В результате мошенникам будет недостаточно просто украсть кошелек или сумку – необходимо будет еще подсмотреть ПИН-код, вводимый на клавиатуре банкомата или на POS-терминале.

На долю недоставленных карт (украденных при доставке) приходится около 11% всех убытков от карточного мошенничества в России. Этот показатель также будет снижаться по мере внедрения EMV, так как сама по себе карта, без знания преступником значения ПИН-кода, будет бесполезна, вследствие чего ее добыча перестанет быть целью преступления.

В FICO также отмечают, что на любом развивающемся рынке наблюдается рост краж идентификационных данных держателей карт, так как мошенники стараются максимально эффективно использовать процесс маркетинга и выдачи карты, чтобы заполучить действительную карту и действующий ПИН-код, при помощи которых они совершают мошеннические транзакции. Что касается России, то здесь на долю краж идентификационных данных держателей приходится около 15% от общих убытков от мошенничества в России, что в три раза превышает показатели развитых рынков, таких как рынок Великобритании. «Российским эмитентам следует обратить особое внимание на эту область по мере распространения EMV – преступникам нужны действительные карты и ПИН-код: зачем красть кошелек с чужой картой, если банк сам отправит вам карту с кодом по почте?» – подчеркивают аналитики FICO. Последний тезис, впрочем, подвергают сомнению внешние эксперты журнала «ПЛАС», указывающие на то, что российские банки все больше переходят на безбумажные технологии доставки ПИН-кода, а также применяя многофакторную идентификацию держателя, в том числе с помощью номера телефона и даже биометрических технологий (распознавание голоса и пр.).

Редакция журнала «ПЛАС» также обратилась за комментариями относительно текущих показателей карточного фрода в России к Николаю Пятиизбянцеву, одному из ведущих экспертов по информационной безопасности в платежной индустрии. В своем комментарии он приводит следующие данные:

«По данным MasterCard за 2014 год, эмиссионные потери по России составляют 42%, а эквайринговые – 58% от общей суммы потерь по России. Если сопоставить 42% с данными ЦБ РФ по эмиссионным потерям, по которым они равны 1,5814 млрд руб., то общие потери по России должны составить 3,7 млрд руб. Это относительно близко к данным FICO, согласно которым общие потери от карточного мошенничества в России составили 77,2 млн евро в 2014 г.: при среднем курсе евро 50,46 рубля мы получаем сумму в 3,9 млрд руб., что несколько больше, чем расчеты ЦБ. Однако если принять данные ЦБ РФ по обороту по картам за 2014 год (учитывая эмиссию карт для физических и юридических лиц + эквайринг), который составил 62 трлн руб., то относительные потери за 2014 г. от карточного мошенничества в базисных пунктах составят: 0,6, по данным FICO, или 0,3, по данным ЦБ РФ, – различие в два раза».

Структура и динамика карточного мошенничества в Испании

Испания

Структура мошенничества в Испании существенно отличается от остальных стран Западной Европы. Трудно встретить где-либо еще CNP-мошенничество на уровне 4%, подчеркивается в отчете FICO. Мошенники здесь всегда преимущественно использовали поддельные карты, на долю которых приходится 65% от общего объема убытков от фрода.

Около четверти убытков приходится на транзакции по утерянным или украденным картам, т. е. поддельные, утерянные или украденные карты вместе генерируют 90% всех убытков. Таким образом, картина здесь отличается от наблюдаемой в Западной Европе еще больше, чем ситуация в России. Похоже, что для Испании все еще характерно положение, когда преступники стремятся украсть физическую карту и ПИН-код, потому что на долю этого вида мошенничества еще с 2007 г. приходится 25% всех убытков. Довольно странно, отмечают аналитики FICO, что в 2006 г. этот тип фрода стал причиной порядка 60% всех убытков, в то время как убытки от использования поддельных карт составили всего около 20%. Это показывает переменчивость развития карточного мошенничества в Испании, которое постоянно меняет свою форму в попытке найти «самое слабое звено».

Много лет назад, пытаясь снизить объем использования поддельных карт на внутреннем рынке, в Испании на магнитную полосу карт стали добавлять специальную информацию, которая считывалась и проверялась эмитентами карт при проведении транзакции через банкоматы. Можно предположить, что потребность преступников в краже действительной карты для проведения мошеннической транзакции через банкомат сохранилась и после широкого внедрения EMV-технологий (которые, как известно, при условии наличия у мошенника действительной чиповой карты и знания им значения ПИН-кода не в состоянии предотвратить фрод). Таким образом, кража действительной карты представляет собой наследие, специфичное для испанского рынка.

Структура и динамика карточного мошенничества в Дании и Норвегии

Скандинавские страны

Уровень мошенничества в Дании, согласно данным FICO, значительно ниже, чем в остальных скандинавских странах, и составляет, например, чуть больше 25% от убытков Швеции. Основную долю в структуре мошеннических транзакций страны составляют транзакции по утерянным и украденным картам, уровень этого мошенничества приблизительно соответствует уровню 2008 г., а также CNP-фрод, доля которого выросла до 50% от общего объема убытков от мошенничества в Дании. Такой рост отражает внедрение EMV-технологии.

В Норвегии с 2009 г. наблюдается значительное снижение уровня карточного фрода – только уровень мошенничества с использованием поддельных карт упал на 54%. На долю транзакций с использованием поддельных карт все еще приходится около трети всех убытков от мошенничества, но в 2008 г. они обуславливали порядка 50% объема всех убытков от фрода. Еще одна хорошая новость для норвежских эмитентов – убытки от транзакций по утерянным и украденным картам снизились с 2008 г. наполовину.

Уровень CNP-мошенничества за последние пару лет увеличился, что вполне ожидаемо с учетом развития электронной торговли и роста в Европе количества устройств, подключенных к интернету. Данная проблема останется актуальной как для Норвегии, так и для Европы в целом, отмечается в отчете FICO.

Структура и динамика карточного мошенничества в Швеции

В Швеции также наблюдается снижение уровня мошеннических транзакций по поддельным картам, который на сегодняшний день составляет 50% от показателя 2008 г., отмечают аналитики FICO. При этом наблюдается общий рост уровня мошенничества: только по транзакциям по утерянным и украденным картам рост составил 28% по сравнению с 2008 г.

Неожиданным называют в FICO резкий рост краж идентификационных данных держателей карт (на 80% по сравнению с уровнем 2008 г.). Это позволяет предположить, что мошенники в Швеции вернулись к практике краж или обмана держателей с помощью методов социальной инженерии. Уровень CNP-мошенничества в Швеции на 44% выше, чем в 2008 г., что согласуется с тенденцией, наблюдаемой в большинстве стран Европы.

Выводы

Аналитики FICO констатируют, что дальнейшее внедрение стандарта EMV продолжает влиять на уровень фрода, заставляя мошенников менять виды своей преступной активности в разных странах Европы. Однако фрод в Европе все еще остается проблемой, требующей принятия решительных мер. Учитывая, что в этом году в США также начинается масштабная миграция на EMV, тренды карточного мошенничества, наблюдаемые сегодня в мире, вероятно, в скором времени существенно изменятся. Тем не менее, подчеркивают в FICO, «еще никогда перед эмитентами не стоял столь остро вопрос внедрения самых последних достижений в области аналитики и передовых практик в их борьбе с киберпреступниками».

Читайте в этом номере: