А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия Страница 54

• карта обычно выпускается сроком на два года;

• как правило, скомпрометированные данные банковских карт используются мошенниками в течение года, хотя известны и более продолжительные интервалы времени между компрометацией и использованием данных, вплоть до двух лет;

• известны схемы мошенничества, осуществляемые по одному и тому же сценарию в течение нескольких лет (например, компрометация в одной стране, а несанкционированные операции в любой из стран известного множества);

• обязательные со стороны МПС критерии мониторинга по эквайрингу устанавливают минимальный временной интервал, равный 90 дням активных операций по ТСП.

Таким образом, при расчете вероятностей по формулам (10) и (12) следует учитывать приведенные временные особенности и устанавливать время расчета вероятностей по операциям с картой не менее одного года.

Далее мы будем вести расчеты за период времени, равный одному году, если иное не оговорено.

Рассмотрим вероятность компрометации данных карты при ее использовании в n операциях в различных устройствах — терминалах ТСП, банкоматах и ПВН. Пусть вероятность компрометации данных при совершении операции есть Pi (кпр), где i — номер операции.

Пусть событие A состоит в том, что данные карты скомпрометированы в результате операции k в любом терминальном устройстве, а событие B — данные скомпрометированы в r-й операции в любом терминальном устройстве, причем k < r. Будем считать события A и B независимыми, т. е.

Вероятность того, что данные карты не были скомпрометированы ни в одной операции, можно записать в следующем виде с учетом формулы (14):

Исходя из формулы (15) вероятность компрометации данных карты хотя бы в одной операции:

Таким образом, для расчета вероятности компрометации данных карты требуется рассчитать значения вероятности компрометации данных карты в каждом использованном терминальном устройстве, что может быть сделано с использованием данных в БДО и БДМ, хранящихся в табл. 3.1, 3.3, 3.6. Расчет может производиться:

• по каждому уникальному терминалу;

• по категории торгового предприятия (merchant category code — MCC): различные коды ТСП, банкоматы, ПВН;

• по стране торгового предприятия;

• по категории и стране торгового предприятия;

• по категории, стране и городу торгового предприятия.

Далее будем вести расчеты по стране и категории торгового предприятия.

Например, для расчета вероятности компрометации данных магнитной полосы карты i в некоторой стране за год в торговом предприятии определенной категории подсчитываем число операций, удовлетворяющих данному условию, в результате которых данные оказались скомпрометированы, и общее число операций, а далее с учетом формулы (16) получаем:

где Wкпр(стрс, mccm)(i) — число операций, связанных с компрометацией данных, по картам банка в стране стрс и категории торгового предприятия mccm за год;

Wтрз (стрс, mccm)(i) — общее число операций по картам банка в стране стр c и категории торгового предприятия mccm за год.

Введем следующие обозначения:

Обозначим вероятность компрометации данных карты с учетом введенных обозначений и формулы (17) следующим образом:

В случае компрометации данных карты они могут быть использованы для совершения мошеннической операции. На основе данных БДМ можно рассчитать условные вероятности использования скомпрометированных в хотя бы одной точке использования карты ее данных:

где Wисп (стр, mcc)(i) — число фактов последующего использования скомпрометированных данных в точках использования карты i (страна и категория ТСП);

Wкпр(стр, mcc)(i) — число компрометаций данных карт в точках (страна и категория ТСП), в которых использовалась карта i.

Попытка проведения мошеннической операции может быть пресечена в торговом предприятии, до попадания авторизационного запроса по карте эмитенту. Рассмотрим возможности пресечения проведения мошеннической операции в зависимости от ее типа:

• операция по поддельной карте с известным ПИН-кодом в банкомате — в соответствии с формулой (8) вероятность успеха не зависит от способности выявления подделки банкоматом (за исключением упомянутого случая подделки магнитной полосы комбинированной карты и попытки ее использования в банкомате, поддерживающем проведение операций по микропроцессорным картам);

• операция по поддельной карте в ТСП — согласно формуле (4) вероятность мошенничества зависит от возможности обнаружения подделки кассиром;

• операция без присутствия карты — исходя из формулы (11) вероятность успеха мошенничества зависит от применяемой ТСП схемы безналичных платежей.

Проведенный анализ показывает, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших МПС VISA и MasterCard, можно избежать, если кассир выполняет следующие визуальные проверки карты:

• на наличие четырех напечатанных цифр под эмбоссированным номером карты;

• на наличие микропечати VISA по периметру логотипа карты VISA;

• на наличие голубя на картах VISA и букв «М» и «С» на картах MasterCard, появляющихся при облучении карты ультрафиолетом;

• при наклоне карты VISA на голограмме должен появиться летящий голубь, а MasterCard — надпись «MasterCard»;

• сравнение номера карты на чеке терминала и на карте;

• на наличие эмбоссированных секретных символов на карте (летящие буквы «V» и «M»).

Современная практика функционирования ПС показывает, что часто описанные проверки в ТСП не производятся, поэтому МПС отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати.

С учетом изложенных доводов вероятность проведения мошеннической операции по поддельной карте в ТСП с учетом формулы (4) можно, положив Pпод. крт (поп|кпр исп) = 1, рассчитывать по следующей формуле:

Следовательно, риск по поддельным картам в ТСП с учетом формулы (20):