МОШЕННИЧЕСТВО с карточками в электронной торговле

Ситуация выходит из-под контроля?

Одним из новейших «достижений» в этой области стали успешные атаки хакеров на базы данных держателей карточек, находящихся на серверах виртуальных торгово-сервисных компаний.

Максус, Курадор и другие

В конце 1999 г. хакер, известный под кличкой Максус, взломал базу данных покупателей крупного американского виртуального торгового центра CD Universe и украл информацию о номерах 300 тыс. кредитных карточек. Сразу после новогодних праздников Максус направил послание по электронной почте в адрес материнской компании CD Universe — eUniverse Inc. — c требованием выплатить ему 100 тыс. долл. в качестве «отступного». Компания немедленно ответила отказом, после чего конфиденциальная информация о номерах карточек и счетов 25 тыс. клиентов СD Universe из украденной базы данных появилась на сайте другой американской фирмы — Lightrealm Inc. Данные продержались в открытом доступе несколько дней, прежде чем 9 января 2000 г. ФБР уведомило Lightrealm Inc. о том, какого рода «сюрприз» ожидал посетителей их сайта. Естественно, конфиденциальная информация о номерах карточек сразу же исчезла с сайта, но ущерб уже был нанесен.

Компании Discover Financial Services Inc. (Discover Card), American Express, а также ряд американских банков — эмитентов Visa и MasterCard были вынуждены перевыпустить десятки тысяч кредитных карточек, номера которых содержались в похищенной базе данных.

Столь масштабная атака на базы данных держателей карточек в Интернете случилась впервые. До этого прецедента своеобразным рекордом считался взлом, осуществленный в мае 1997 г. (также в США) неким Карлосом Фелипе Сальгадо-младшим, «стащившим» данные о держателях 100 тыс. кредитных карточек у одного из Интернет-провайдеров. По жестокой иронии судьбы при первой же попытке продать информацию Сальгадо «нарвался» на агентов ФБР, в результате чего незадачливый хакер был взят с поличным и арестован.

В отличие от случая с Сальгадо виновник взлома в CD Universe до сих пор не найден. Источники в ФБР, ведущем расследование этого преступления, утверждают, что подлинное имя Максуса — Максим Иваньков и он является гражданином России или одной из стран бывшего СССР.

Хотя владельцы виртуального торгового центра CD Universe уверяют, что пока не заметили никакой активности со стороны мошенников, связанной с похищенной информацией, это отнюдь не означает, что Максус-Максим Иваньков или кто-то из его подельников не воспользуется этой информацией в ближайшем будущем. Более того, Джон Вранесевич, руководитель американской компании AntiOnline News, занимающейся проблемами компьютерной безопасности, считает, что Максус уже успел продать несколько тысяч номеров из похищенной базы данных и в настоящее время в американской криминальной среде идет активная торговля номерами карточек по цене 500 долл. за «пакет» из 50 номеров.

Согласно Дж. Вранесевичу, у ФБР также имеются сведения, что Максус успел основать собственную виртуальную торговую точку и с помощью похищенных номеров кредитных карточек инициировать весьма значительный платежный трафик. Полученные в результате махинаций средства якобы были переведены на счет в одном из банков в Риге (еще одно подтверждение о «постсоветском» гражданстве Максуса-Иванькова).

Ни следователи, ни эксперты в области сетевой безопасности до сих пор не пришли к единому мнению, каким образом был осуществлен взлом базы данных в CD Universe. До недавнего времени считалось, что Максус использовал для этого программное обеспечение ICVerify, разработанное системой CyberCash. Однако представители этой системы категорически отвергли данную версию, заявив, что ICVerify не применяется в виртуальном торговом центре CD Universe.

Случай с Максусом-Иваньковым — это далеко не первое «высокотехнологическое» карточное мошенничество, в котором участвовали граждане России и других стран бывшего Советского Союза. В течение 1999 г. несколько российских фирм-однодневок, воспользовавшись украденными кредитными карточками, эмитированными западными банками, сумели «нагреть» американских виртуальных торговцев компьютерной техникой на солидную сумму посредством оформления заказов в Интернете. Любопытно, что доверчивые американцы, поддавшись на уловку российских мошенников, фактически пострадали дважды. Мало того что оплата поставок была осуществлена с помощью украденных карточек, так вдобавок российские заказчики упросили американских продавцов существенно занизить цену на компьютерное оборудование якобы для того, чтобы избежать проблем на российской таможне. Теперь участники сделок с американской стороны не могут получить полного возмещения ущерба от своих страховых компаний.

Специалисты из Американского торгового департамента отмечают, что преступники из России и стран бывшего СССР при совершении подобного рода махинаций сознательно выбирают небольшие компании, никогда прежде не осуществлявшие поставок на экспорт и не представляющие «национальных особенностей» бизнеса в России. При оформлении сделки российские мошенники обычно указывают несуществующий почтовый адрес фирмы, а отправленный товар встречают непосредственно на таможне в аэропорту. Сразу после получения заказов такие фирмы ликвидируются. Понятно, что ни одного мошенника, участвовавшего в подобных аферах, поймано не было.

Увеличение масштабов карточного мошенничества в Интернете с непосредственным участием граждан России и других стран бывшего СССР всерьез беспокоит американские правоохранительные органы, равно как и эмитентов, эквайреров и виртуальных торговцев. Они считают, что ожидаемый «взрыв» на рынке электронной коммерции неизбежно приведет к еще большему росту активности хакеров и карточных мошенников из стран бывшего коммунистического блока, и прежде всего России. Случаи карточного мошенничества в Сети также сильно нервируют американских держателей карточек, заставляя их сомневаться в безопасности платежных Интернет-трансакций.

Впрочем, не следует думать, что во взломах Web-серверов американских или западноевропейских торговых компаний повинны только граждане «постсоветских» государств.

31 января 2000 г. американский хакер, подписавшийся именем Курадор, совершил успешный «налет» на базу данных покупателей компании SalesGate.com., после чего разместил данные об 1 тыс. держателей карточек в глобальной Сети. Курадор также объявил, что в его распоряжении находится информация еще о 5 тыс. номеров кредитных карточек, в числе которых имеется и номер одной из «кредиток» «многострадального» Билла Гейтса.

Данные, недавно опубликованные Федеральным бюро расследований США, свидетельствуют, что в 1999 г. общее число взломов в Интернете (не обязательно связанных только с карточным мошенничеством) в этой стране составило 1154 — более чем двукратное увеличение по сравнению с 547 атаками в 1998 г. Сопоставимы с этими цифрами оказались и данные, полученные в результате исследования компании ICSA Inc., специализирующейся на вопросах компьютерной безопасности: число американских онлайн-магазинов, пострадавших от действий компьютерных взломщиков, в 1999 г. увеличилось на 92% по сравнению с предыдущим годом.

Кто виноват?

Раздосадованные торговцы, равно как и большая часть держателей карточек, склонны винить в создавшейся ситуации руководство ведущих платежных ассоциаций и компаний — Visa International, MasterCard/Europay International, American Express, Discover Card. Однако, как выясняется, в большинстве случаев ответственность за успешные атаки хакеров лежит на самих Интернет-магазинах.

Сразу после того как информация о взломах баз данных CD Universe и SalesGate.com. попала на страницы американских СМИ, специалисты компании MSNBC (совместное предприятие корпорации Microsoft и телевизионного канала NBC) решились на проведение собственного «следственного эксперимента». Используя совершенно стандартное и широко распространенное на рынке ПО для «построения» баз данных, специалисты этой компании смогли без проблем получить доступ к конфиденциальной информации о клиентах на серверах семи (!) виртуальных торговых точек. «Улов» состоял не только из номеров кредитных карточек покупателей, но и из других персональных сведений о клиентах: номеров карточек социального страхования и водительских лицензий, почтовых адресов, рабочих и домашних телефонов и т. п. Прежде чем предать гласности результаты своего эксперимента, MSNBC уведомила виртуальных торговцев о грубых нарушениях с их стороны правил хранения конфиденциальной информации. И что характерно, ни один из них так и не заметил взлома своих баз данных.

Представители платежных карточных систем и специалисты в области сетевой безопасности полагают, что легкость, с которой хакеры проникают в базы данных онлайновых магазинов, объясняется либо элементарной безалаберностью и безграмотностью торговцев, либо их стремлением сэкономить на защите конфиденциальной информации.

В настоящее время платежные карточные системы настоятельно рекомендуют фирмам, работающим на рынке e-коммерции, хранить всю информацию о совершенных платежных трансакциях и конфиденциальные сведения о покупателях на отдельных серверах, не подключенных к Интернету. Кроме того, в правилах международных платежных систем содержится требование зашифровывать такого рода информацию.

Но как видно, на практике эти требования и рекомендации далеко не всегда выполняются. Крупные виртуальные торговцы явно недооценивают масштабы угрозы, а мелкие онлайновые фирмы зачастую просто не могут позволить себе приобрести необходимое программное обеспечение или содержать в штате специалистов по компьютерной безопасности.

Проблема дискредитации карточек как инструмента платежей в электронной торговле

Впрочем, платежные системы отнюдь не в выигрыше от того, что в большинстве случаев успешные атаки хакеров происходят в результате неадекватной защиты информации на серверах виртуальных торгово-сервисных компаний. В конечном счете держателям карточек абсолютно все равно, кто виноват в пропаже их денег и в том, что хакеры открывают базы данных с конфиденциальной информацией так же легко, как двери собственных квартир. Небезопасность покупок в глобальной Сети с помощью платежных карточек по-прежнему остается одним из ключевых факторов, тормозящих поступательное развитие электронной коммерции.

За последнее время платежные ассоциации — как самостоятельно, так и в союзе с другими крупнейшими участниками карточного бизнеса (IBM, Microsoft, Motorola, Hitachi и др.) — немало сделали для того, чтобы платежи с помощью карточек в Интернете стали более надежными и удобными для покупателей. Достаточно назвать разработку и внедрение международных стандартов SSL и SET, которые, несмотря на определенные недостатки, способны обеспечить покупателям гарантии безопасности в плане идентификации участников трансакции и надежности проведения платежей.

Начало реализации программы мультифункциональных микропроцессорных кредитных карточек Blue card компанией American Express считается очередным крупным прорывом в решении проблемы безопасности Интернет-платежей, поскольку держателям этих карточек предоставляется возможность получения «электронного бумажника» и покупки недорогого считывающего устройства (картридера). Это устройство, соединенное с ПК пользователя, способно обеспечить идентификацию держателя карточки, а также надежную и безопасную обработку платежной информации. Наличие личного «электронного бумажника» освобождает покупателя от необходимости каждый раз вводить персональную информацию, прежде чем осуществить покупку в виртуальном магазине. В результате вероятность перехвата конфиденциальных сведений о номере карточки и специфике трансакции резко снижается.

Справедливости ради следует отметить, что подавляющая часть «карточных» платежей в области электронной торговли в настоящее время совершается с помощью кредитных или расчетных карточек. В США, где более 80% жителей в возрасте старше 21 года являются держателями кредитных продуктов платежных систем, ситуация в принципе устраивает и платежные системы, и самих покупателей товаров и услуг в глобальной Сети. При возникновении конфликтов (как, например, в случае мошеннических действий, приведших к материальным потерям держателя кредитной карточки) ответственность потребителя, если таковая предусмотрена, ограничивается суммой в 50 долл., а в большинстве случаев держатель кредитной карточки вообще не несет ответственности.

В европейских странах положение совсем иное: 2/3 эмитированных карточек являются дебетовыми, непосредственно связанными с остатками средств на счетах держателей. Согласно принятой в Европе практике (за исключением Великобритании), при оплате покупок в «физическом» и виртуальном мире держатель дебетовой карточки обязан вводить персональный идентификационный код (PIN-код) для авторизации карточки в режиме онлайн. Считается, что необходимость ввода PIN-кода при совершении платежной трансакции увеличивает риски держателя, и кардинального решения этой проблемы пока не найдено.

Имеются проблемы у платежных систем и в разработке единых международных стандартов для предоплаченных микропроцессорных карточек — «электронных кошельков». В настоящее время в мире существует более десятка национальных и международных схем таких карточек, которые технологически несовместимы друг с другом. А использование «электронных кошельков» для оплаты небольших по стоимости покупок также могло бы способствовать долгожданному «взрыву» на рынке Интернет-торговли.

С карточными мошенниками в Сети можно бороться. Но защититься от них полностью практически нереально.

Несмотря на увеличение масштабов мошеннических операций в Интернете и рост числа случаев взломов баз данных на серверах виртуальных торговцев, большинство специалистов относятся к сложившейся ситуации весьма философски.

За свою 50-летнюю историю (первая платежная расчетная карточка Diners Club была выпущена в 1950 г.) карточный бизнес неоднократно сталкивался с периодами резкого взлета объемов мошеннических операций. Каждый раз эмитенты, эквайреры и платежные системы «гасили пожар». Правда, карточные мошенники немедленно изобретали новые методы и технологии подделки или кражи конфиденциальной информации о номерах и держателях карточек.

Американский эксперт в области управления рисками Майкл Мур говорит: «Существуют двери, которые могут задержать взломщика на 10 минут. Есть двери, способные остановить его на 2 часа. Но таких дверей, чтобы вообще не позволили бы взломщику проникнуть внутрь, если он этого сильно захочет, не существует в принципе».

Карточное мошенничество в электронной торговле имеет две крайне неприятные особенности: анонимность и потенциально большие масштабы потерь.

Хакеры часто направляют свои атаки на базы данных Интернет-магазинов или банков «в обход», используя чужие компьютеры или чужие серверы. Взлом баз данных конкретной виртуальной компании технически может быть осуществлен из любой точки земного шара. Все это чрезвычайно затрудняет эффективность борьбы с сетевыми преступлениями.

Поскольку электронная торговля молода, у правоохранительных органов разных стран еще нет перечня «обычных подозреваемых» — отдельных хакеров или организованных преступных групп, регулярно совершающих атаки на базы данных и перехватывающих информацию о платежных трансакциях в глобальной Сети. Для сбора данных о компьютерных мошенниках в США под эгидой ФБР был образован Национальный Центр по защите инфраструктуры. Сообщается, что этот Центр уже накопил сведения о 10 тыс. американских и международных хакеров, способных нанести ущерб сетевой безопасности.

Большие объемы похищенной информации о карточках и их держателях с серверов виртуальных банков и торгово-сервисных компаний — еще одна причина для головной боли у эмитентов, платежных систем и правоохранительных органов. Хотя число случаев успешных атак хакеров на такие базы данных пока невелико, потенциальные потери от преступных действий в глобальной Сети несоизмеримо больше, чем в «физическом» мире. Традиционные методы карточного мошенничества приводят к дискредитации в худшем случае нескольких десятков карточек, причем сами эти карточки удается достаточно быстро блокировать, а потери локализовать. В случае же «высокотехнологического» преступления потерянными могут оказаться тысячи карточек, сам факт взлома зачастую обнаруживается не сразу, а процедура блокирования карточек и внесения их номеров в стоп-листы, рассылаемые торговцам, занимает очень долгое время. В результате преступники успевают использовать похищенную информацию неоднократно и нанести серьезный ущерб торговцам, эмитентам и самим держателям карточек.

В целях предотвращения подобных ситуаций платежные системы усиливают координацию действий и обмен информацией с правоохранительными органами во всех регионах, особенно в странах с нестабильным развитием экономики и финансовой сферы. Платежные системы также регулярно проводят семинары и презентации для виртуальных торгово-сервисных компаний, с тем чтобы последние смогли правильно обеспечить защиту конфиденциальной информации о покупателях и их карточках. И Visa International, и MasterCard/Europay International в настоящее время имеют в своей структуре подразделения, занимающиеся развитием карточного бизнеса в области e-коммерции. Эти подразделения также призваны отслеживать ситуацию с «высокотехнологическим» мошенничеством и разрабатывать эффективные методы управления рисками, возникающими в процессе Интернет-торговли.

Руководители платежных систем уверены, что уже сейчас осуществление электронных покупок с помощью карточек столь же безопасно, как и в «физическом» мире. Этот рынок станет для держателей карточек еще надежнее, когда онлайновые магазины начнут более внимательно относиться к обеспечению надлежащих методов защиты конфиденциальной информации о покупателях.

Специалисты карточного бизнеса категорически отвергают предположение, что карточки утрачивают свою роль в качестве основного платежного иструмента в Интернете в связи с возросшей активностью хакеров. Американское подразделение компании Visa International сообщило, что в 1999 г. потери электронных торговцев от «высокотехнологического» мошенничества в США не превысили 0,09% от общего объема платежных Интернет-трансакций. Для сравнения: аналогичные потери в «физическом» мире находились на уровне 0,07%. Европейские аналитики также считают опасения, связанные с ростом карточного мошенничества в Сети, явно преувеличенными. Директор подразделения по предотвращению мошенничества компании Europay International Питер Уорнер заявляет, что ситуация находится под контролем платежной системы во всех странах Европы, включая и страны бывшего Советского Союза. Ему вторит и один из советников британского правительства Майкл Леви: «Мошенничеству в Интернете уделяется незаслуженно много внимания».

По данным ряда исследований консультационных компаний, проведенных в 1997–1999 гг., доля платежей с помощью карточек в сфере онлайновой торговли в США и странах Европейского Союза составляет 85–90%. Очевидно, что руководство платежных ассоциаций не намерено допустить, чтобы карточное мошенничество в Сети привело к снижению этой доли в обозримом будущем.

Олег Смородинов — к. э. н., старший аналитик консультационной компании «Рекон»,
е-mail: recon@ropnet.ru.