Спецпроект

Как банки определяют мошенников и безопасно ли платить смартфоном? Говорим с экспертами

29 086
138
07 августа 2020 в 8:00
Автор: Станислав Иванейко. Фото: Александр Ружечка
Спецпроект

Как банки определяют мошенников и безопасно ли платить смартфоном? Говорим с экспертами

Банковские карты давно стали повсеместным платежным инструментом, но и они рискуют скоро уйти в прошлое — по крайней мере в физическом смысле как кусок пластика. Смартфоны, умные часы, кольца, браслеты — все это превращается в новый бумажник, что требует соответствующего отношения к этим девайсам. Onliner вместе с A1 banking заканчивает цикл материалов о бесконтактных платежах. Сегодня мы говорим с руководителями провайдера электронных платежей Assist Вячеславом Сениным и Артуром Ангилевичем о финансовом криминале и принципах работы платежных систем. Также начальник отдела мобильных финансовых сервисов A1 Сергей Лабкович рассказал о правилах защиты данных на смартфоне, который уже стал полноценным отделением банка.


Звоночки для банков

— Расскажите, как банки распознают мошенничество, на примере какой-нибудь расхожей схемы.

Вячеслав: Классическая схема — например, создается туристическая компания с красивым сайтом, и через этот сайт начинают «прогоняться» ворованные карточные данные. Цель этого сайта — получить инструмент приема платежей. Все, что нужно преступнику, — это оформить счет в банке. Потенциальная жертва смотрит: вроде бы компания «чистая», учредители — тоже, сумма чека хорошая, все-таки продают пакетные туры — и совершает платеж. Ну а дальше дело времени: как быстро придет в банк опротестованная операция от клиента или банк заметит подозрительную активность.

Вячеслав Сенин

Как правило, преступники взламывают базу данных одного банка. Система мониторинга всегда покажет, если у какой-нибудь одной турфирмы вдруг появились сотни покупателей туров из одного банка — это очень подозрительно. Беларусь — небольшая страна, и всплески сразу видны, они не свойственны рынку.

Допустим, средний оборот по картам у туристической фирмы — $30 тыс. в месяц. И вдруг пошли сотни тысяч за один-два дня. Если банк «проморгает» такое, у него будут проблемы. Именно банку возмещать ущерб.

Артур: Получается так: согласно договору с банком, все риски лежат на юрлице. Но если мошенник и есть юрлицо, то риски остаются на банке, потому что именно он принимал платеж.

Артур Ангилевич

Вячеслав: Банки мотивированы ужесточать контроль, а худший вариант для них — отзыв лицензии со стороны платежных систем. Фактически это остановит весь бизнес.

Артур: Даже отзыв лицензии от одной платежной системы уже лишает всю работу смысла: условно говоря, кто пойдет в банк, который принимает платежи только от Mastercard или только от Visa?

— Наивный вопрос, но все же: откуда берутся базы данных карт?

Вячеслав: Можно вспомнить случай с Российской железной дорогой несколько лет назад. Был обновлен SSL-сертификат, который оказался уязвимым. Программисты, которые заметили проблему, сообщили о ней РЖД: мол, у вас есть уязвимость. Также сделали сайт для проверки, могла ли карта быть скомпрометирована.

Обычно компании проходят ежегодный аудит на надежность проходящего трафика. Понятно, что сейчас много сервисов, в которых сами карточные данные не используются. Например, применяется токен. Да, его тоже могут украсть. Но это ничего не даст, поскольку операцию не проведешь: если токен скомпрометирован, его обнулят, создадут новый, а предыдущий не будет валиден. Онлайн-системы платежей работают как раз по такой схеме.

3-D Secure: что не так с этой защитой

— Почему иногда на одном и том же сервисе 3-D Secure срабатывает, а иногда оплата проходит без запроса кода из SMS? Суммы примерно одинаковые.

Вячеслав: Для потребителя это видится безопасным: 3-D Secure представляется как дополнительная мера защиты. А для провайдера это «ножницы», которые урезают конверсию, то есть процент успешных операций. Из сотни операций при использовании 3-D Secure успешными будут около 75%, и то такой показатель считается хорошим. Не пришла SMS, не открылась страница, в мобильном браузере не отобразилось поле для ввода пароля — все это минус успешные операции. Получается, что торговый объект привлек покупателя, тот уже готов совершить покупку, и на последнем этапе случается проблема.

Мы также практикуем отключение 3-D Secure, но не бездумно. И инициатива исходит как раз от торговых точек, когда они хотят увеличить конверсию. Основная доля карт в нашей стране — продукты белорусских банков. Далее мы смотрим на средний чек: какая максимальная сумма покроет 90% платежей. Например, до 100 рублей без 3-D Secure. Ну а если чек выше, то только с 3-D Secure. И для карт банков-нерезидентов также всегда с 3-D Secure.

В общем, банки поняли, что 3-D Secure не так уж и идеальна. Поэтому сейчас активно внедряется версия 2.0. Там уже задействована нейросеть, которая на основе многих параметров определяет, стоит ли запрашивать пароль.

Нейросеть изучает поведенческую модель пользователя: если ранее он оплачивал в этих точках или сумма небольшая, то зачем отнимать время на SMS?

О «крутых мошенниках» и дилетантах

— В целом какой в Беларуси уровень мошенничества с картами и онлайн-сервисами?

Вячеслав: Из того, что мы встречаем, — очень низкий. Наверное, это и хорошо. В основном это даже не мошенники, а дилетанты.

Артур: Крутые ребята тоже есть, но Беларусь как минимум сейчас им не сильно интересна. В 2014 году пострадали некоторые банки, и тогда все удивлялись, как такие масштабы возможны в Беларуси.

Вячеслав: Сложность в том, что банки довольно закрыты и мало делятся информацией между собой. Если преступная группа «работает», то обычно переходит от одного банка к другому. Если банки быстро сообщат коллегам о новой схеме, она уже не будет рабочей.

Был случай, когда пострадали несколько банков. Суммы ущерба были огромными у каждого банка. Спасти деньги удалось. Авторизации операций прошли, то есть транзакции уже были одобрены, оставалось только списать деньги, но процесс успели остановить.

— Недавно в одном из банкоматов нашли шиммер. Это можно считать устаревшей темой?

Артур: Думаю, кто-то экспериментировал или начитался форумов и решил попробовать. В Беларуси, мне кажется, это не особо актуально: редко кто хранит на карт-счете большие суммы.

Вячеслав: Мне кажется, ребята, которые поставили этот шиммер, очень плохо осведомлены. Схема слишком рисковая: нужно физическое присутствие, камеры сейчас просто повсюду, требуются стальные нервы — риски огромны.

Как кочуют деньги со счета

— Покупатель совершает оплату картой или смартфоном, часами, браслетом. Что происходит в эту секунду? Как деньги переходят с одного счета на другой?

Вячеслав: Оплата в интернете или терминал — разница небольшая. Если используем терминал, реквизиты карты считываются с чипа, магнитной полосы или бесконтактного чипа. При необходимости запрашивается ПИН-код. В интернете происходит то же самое, просто реквизиты карты вы вводите вручную. Далее идет авторизационный запрос. Он содержит обязательные реквизиты (номер карты, срок ее действия, CVC-код). Банк-эквайер (который будет принимать платеж) направляет запрос в банк-эмитент (который выпустил карту клиента) примерно такого плана: «Пришла ваша карта в торговую точку, разрешаете ли вы проводить по ней операцию?» Эмитент отвечает: «Да, разрешаю, вот код авторизации». Дальше пошел ответ об одобренной операции через процессинги и платежные системы на терминал. Когда видите чек со словом «Одобрено» или «Успешно», деньги на вашем счете блокируются, снять их уже нельзя. Но со счета они еще не списаны. Поэтому в выписках по карт-счету две графы: дата совершения операции и дата отражения по счету.

Есть такое понятие, как закрытие смены на терминале. Когда кассир нажимает кнопку «Закрыть смену», формируется запрос на списание этих заблокированных денег. То есть банк-эквайер подтверждает, что операцию нужно провести. Эмитент, получив подтверждение, переводит деньги эквайеру через платежные системы.

— Зачем в этой схеме нужны платежные системы и провайдеры платежей?

Вячеслав: Платежная система определяет правила игры. Это как с ПДД: банки — водители, а платежные системы — сотрудники ГАИ и авторы самих правил.

Почему банки не могут переводить деньги напрямую между собой? Нужно, чтобы все со всеми договорились. Плюс правила и требования как для эмитентов, так и для эквайеров. Соответственно, все эти вещи контролируются платежными системами.

Заодно платежные системы выгодны и банкам. Вот откуда берутся кешбэки? Эмитент получает вознаграждение от банка-эквайера, который обслужил платеж. Допустим, это 1%. Второй компонент — остатки на карт-счетах. Когда клиент снял все деньги через банкомат, то все, банк не может ими пользоваться. А когда клиента через кешбэки и другие бонусы мотивируют хранить деньги на счете, банк может ими пользоваться — кредитные ресурсы будут дешевле.

А провайдеры платежей обеспечивают техническую часть: мы встречаемся с клиентами, упрощаем подключение к системам онлайн-платежей, обеспечиваем безопасность.

— Через 5—10 лет пластиковые карты уйдут в прошлое?

Артур: Как сказать. Наличные ведь до сих пор никуда не ушли. Думаю, и карты тоже останутся.

Вячеслав: Именно как пластик, думаю, карты все же перестанут существовать, но не как форма платежа. Просто данные карт будут храниться (хотя они уже хранятся) в приложениях на умных часах, смартфонах и так далее.

Артур: А я думаю, что некоторые клиенты будут хотеть пользоваться именно картами. Просто их станет меньше, но так, чтобы мы избавились от пластиковых карт полностью, думаю, это вопрос лет 20—30.

До сих пор ведь некоторые принципиально используют только наличные: мол, с пластика деньги украдут, а вот из кармана на молнии — никогда. Это, конечно, неправда, но порой людей не переубедить.

Вячеслав: А мне недавно привели такой пример, и я задумался. Коллега из одного банка говорит: «Вот что безопаснее — код из 4—6 цифр или Face ID либо Touch ID?» Казалось бы, эти системы определяют множество точек и очень надежны. Но будешь где-то в бессознательном состоянии — отпечаток пальца сработает. А код никто без тебя не знает. Пусть ситуация гипотетическая, но она ведь возможна.


Оплата покупок через банковские приложения уже стала привычным делом — даже в маленьких городах никого не удивляет прикладывание смартфона или умных часов к терминалу в магазине. Смартфон стал полноценным кошельком, что требует соответствующего отношения к безопасности данных. О правилах работы с банковскими приложениями мы поговорили с начальником отдела мобильных финансовых сервисов A1 Сергеем Лабковичем.

Безопасность в смартфонах

— По каким признакам можно понять, что приложение надежное и ему можно доверить реквизиты карты?

— Первое, на что нужно обращать внимание, — это что скачивать приложения необходимо только из официальных источников: Google Play, App Store и Huawei AppGallery. Второй момент — нужно использовать официальную версию прошивки для своего устройства. Дело в том, что доступ к root-правам даже при использовании официального приложения может позволить увести логин, пароль или получить доступ к конфиденциальной информации из других приложений.

— Доступ банковского приложения к камере и, например, галерее снимков можно разрешать?

— Если используете официальное ПО и магазины, а на устройстве нет сторонних приложений, то да, вы фактически сводите риски на нет. Доступ к камере обычно нужен только для удобного добавления карты: не вводить реквизиты вручную, а отсканировать их.

Сергей Лабкович

— Расскажите о базовых правилах защиты данных на телефоне применительно к банковским приложениям.

— Самое важное — никому не передавать данные, которые связаны с личной информацией пользователя и логином, паролем для входа в мобильное приложение. Плюс история с сессионными ключами, которые банки присылают в SMS, — код безопасности, код подтверждения. Передавать их никому категорически нельзя. Дополнительно защита может быть установлена со стороны поставщика услуг: мы, например, в своем финансовом сервисе используем алгоритм защиты, не позволяющий передать злоумышленнику код безопасности, которым подтверждается операция оплаты.

«Банк без удаленного оформления продукта — уже аутсайдер»

— Большинство банковских операций доступны со смартфона, что хорошо. Но иногда это может приводить к повышенному риску: нежелательные кредиты, например. Как здесь быть?

— Да, именно поэтому и отношение к смартфону должно быть серьезным. Смартфон — это ключ к деньгам, отделение банка прямо в вашей руке. Приложение банка и его физическое отделение — сейчас они находятся на одном уровне по количеству предлагаемых услуг. Если банк или любой игрок финансового рынка не предлагает удаленного оформления продукта, то история для него уже тупиковая, никакого развития эти продукты не получат.

Безопасность ведь все равно обеспечивается: в первый раз вам нужно физически присутствовать в отделении с паспортом, ознакомиться с договорами и поставить подпись, а уже потом вы можете пользоваться продуктами удаленно.

Все так же, как с оформлением SIM-карты у оператора: сперва приезжаете в офис с документом, а уже потом можете менять тарифы, подключать дополнительные услуги по своему усмотрению без визита в отделение.

— Какая система защиты — числовой пароль, сканер лица, отпечатка пальца — наиболее безопасна?

— С точки зрения баланса «удобство vs безопасность» — Face ID. Подделать лицо значительно сложнее, чем отпечаток пальца.

— Через 10—15 лет банковские отделения и карты будут не нужны?

— Сейчас много дискуссий об этом, все предрекают отделениям закрытие. Да, тенденция действительно есть, отделений становится меньше. Это связано и с оптимизацией затрат, и с изменением поведения пользователей: все больше услуг можно получать удаленно, и люди стали меньше ходить в офисы банков.

Что касается карт, то, думаю, на отрезке 5—10 лет карты действительно будут использоваться все меньше. Недавно, например, в Минске было анонсировано решение с использованием биометрии: карта привязывается к счету, и, отсканировав лицо, можно проходить в метро, не прикладывая к терминалу карту или устройство. Безусловно, будущее за такими технологиями. Как таковые карты не исчезнут, но они будут трансформированы в виртуальные и смарт-устройства — это факт.


Оплачивать любые услуги, не выходя из дома, помогает универсальное бесплатное приложение A1 banking. Оно подходит для онлайн-платежей в ЕРИП, бесконтактной оплаты смартфоном и мгновенных переводов с карты на карту. Пользоваться им могут абоненты всех операторов и клиенты всех банков Беларуси (если у вас несколько разных карт, привязать к приложению можно все сразу).

Бонусы A1 banking:

  • Виртуальная карта с кешбэком для оплат в интернете.
  • Оплата топлива на АЗС «Белоруснефть» без необходимости личного контакта с кассиром и другими посетителями.
  • Для абонентов A1 — «A1 Кошелек», то есть возможность пользоваться ежемесячным лимитом в размере 100 рублей для совершения платежей.
Спецпроект подготовлен при поддержке УП «A1», УНП 101528843.
Android, экран 6.53" IPS (720x1600), Mediatek Helio G25, ОЗУ 2 ГБ, флэш-память 32 ГБ, карты памяти, камера 13 Мп, аккумулятор 5000 мАч, 2 SIM

Читайте также:

Наш канал в Telegram. Присоединяйтесь!

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. nak@onliner.by

Автор: Станислав Иванейко. Фото: Александр Ружечка
Без комментариев