Nadużycia kartowe typu card-not-present

Data: 9 lipca 2010 | Autor: | Brak komentarzy »

W ostatnim wpisie dotyczącym nadużyć w iTunes Store użyłem sformułowania „nadużycia kartowe typu card-not-present”. Jest więc zatem dobry moment, aby przybliżyć czytelnikom nieco ten termin.

Samo zdarzenie CNP nie oznacza z definicji nadużycia. Jest to po prostu każda transakcja kartą, przy której w miejscu sprzedaży nie ma fizycznie samej karty płatniczej ani jej właściciela. W dzisiejszych czasach jest to powszechna sytuacja we wszelkiego rodzaju zakupach internetowych, zamówieniach opłacanych poprzez podanie numeru karty przez telefon / faksem, czy też zamówieniach składanych za pośrednictwem poczty.

Zazwyczaj w takiej transakcji należy podać numer karty, datę jej ważności, imię, nazwisko i adres właściciela, a w większości wypadków także (zwłaszcza przy przy płatnościach w internecie) kod bezpieczeństwa (CVC dla kart MasterCard, CVV dla VISA) – trzycyfrowy numer znajdujący się na odwrocie karty (karty American Express mają analogiczny kod umieszczony z przodu i liczy on 4 znaki).

Oczywiście poza wygodą, taka sytuacja niesie ze sobą także ryzyko – przyjmujący płatność nie ma pewności czy osoba podająca dane karty jest faktycznie jej właścicielem, czy też weszła nielegalnie w posiadanie karty bądź też samych informacji o niej. Tutaj właśnie tkwi istota możliwości nadużycia CNP – wystarczy przechwycić wspomniane wyżej dane i już w zasadzie można rozkoszować się zakupami na koszt nieświadomego (przynajmniej przez jakiś czas) posiadacza karty. Ponieważ są to w większości wypadków zakupy „na odległość” stąd też jedyną rzeczą, o którą musi zatroszczyć się oszust, jest zorganizowanie fizycznego odbioru przesyłki z zakupem. Problem ten odpada w przypadku zakupu usług lub dóbr niematerialnych.

Oczywiście organizacje płatnicze walczą z tego typu nadużyciami, przy czym koncentrują się raczej na stronie sprzedającej niż na samym kliencie. Faktem jest co prawda, że posiadacze kart, poza zdrowym rozsądkiem przy ich używaniu oraz ochroną danych karty, niewiele mogą zrobić, zwłaszcza bezpośrednio od momentu, w którym ich karta została skompromitowana. Znacznie więcej metod prewencji i detekcji takich nadużyć mają sprzedawcy oraz obsługujący transakcje CNP. Organizacje płatnicze starają się po pierwsze budować świadomość sprzedawców w zakresie transakcji podejrzanych z natury, tj. okoliczności transakcji, charakteru zakupów, zachowania kupującego (przykładowe symptomy nadużycia CNP na stronie Visy). Po drugie dostarczają systemów mających na celu zweryfikować tożsamość i dane obu stron transakcji, ponownie z naciskiem na kupującego – służą temu:

  • wspomniane już kody bezpieczeństwa CVV, CVC i inne – dla innych organizacji rozliczeniowych (np. CID dla Discover),
  • systemy Verified by Visa i MasterCard Secure Code przy transakcjach on-line (dodatkowe kody/hasła potwierdzające transakcję)
  • usługa AVS (Address Verification Service) umożliwiająca potwierdzenie adresu rozliczeniowego posiadacza karty u jej wydawcy (ponieważ adres nie znajduje się na karcie, trudniej jest go zdobyć oszustom i często podają fałszywe dane przy transakcji).

Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.