mastercard customer technical conference · l global fraud trends january 30, 2020 source: fraud...
TRANSCRIPT
Evgeny Balezin, Director, Franchise Europe, Customer Engagement and Performance (CEP)
January 30, 2020 Kazakhstan, Almaty
30 January 2020
Mastercard Customer Technical Conference
©2
01
6 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
2OCTOBER 6, 2016
Statement of Confidentiality and Disclaimer
Стороны согласны, что данная презентация носит исключительно информационный характер.
Детали сотрудничества, в том числе его финансовые и прочие условия, подлежат отражению в
соглашении между Сторонами. Данная презентация не является офертой, соглашением или
иным документом, способным определять взаимные обязательства Сторон (за исключением
обязательств по конфиденциальности, указанных ниже).
Данная презентация содержит конфиденциальную информацию, являющуюся собственностью
компании и/ или компаний ее группы MasterCard International Incorporated (“MasterCard”).
Указанная конфиденциальная информация сопровождается по тексту презентации грифом
«Конфиденциально» или “Proprietary and Confidential”.
Конфиденциальная информация, содержащаяся в данной презентации, может
использоваться Получающей стороной исключительно в целях оценки потенциала
коммерческих взаимоотношений между Сторонами, связанных с картами MasterCard. Данная
информация не может быть использована Получающей стороной в иных целях, в том числе
несанкционированно опубликована или раскрыта третьим лицам без письменного разрешения
MasterCard.
Fraud overview and Analysis
Основные тренды мошенничества скартами
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
GLOBAL FRAUD TRENDS
JANUARY 30, 2020 SOURCE: FRAUD INTELLIGENCE AND STRATEGY 4
YEARFRAUD BPS
(Indexed – 2014 World = 100)
2014 100.0
2015102.7
2016124.8
2017101.1
201898.9
2019 YTD93.1
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
GLOBAL FRAUD BASIS POINTSBY TRANSACTION CHANNEL
JANUARY 30, 2020 SOURCE: FRAUD INTELLIGENCE AND STRATEGY 5
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
GLOBAL TOTAL FRAUD LOSSBY FRAUD TYPE
2017 Q3 – 2018 Q2 VS. 2018 Q3 – 2019 Q2
JANUARY 30, 2020 SOURCE: FRAUD INTELLIGENCE AND STRATEGY 6
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
GLOBAL TOTAL FRAUD LOSSBY ACQUIRER REGION
2017 Q3 – 2018 Q2 VS. 2018 Q3 – 2019 Q2
JANUARY 30, 2020 SOURCE: FRAUD INTELLIGENCE AND STRATEGY 7
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
GLOBAL FRAUD BASIS POINTSBY ACQUIRER REGION
2017 Q3 – 2018 Q2 VS. 2018 Q3 – 2019 Q2
JANUARY 30, 2020 MASTERCARD GLOBAL FRAUD TRENDS 8
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
GLOBAL CARD PRESENT FRAUD BASIS POINTSBY ACQUIRER REGION
2017 Q3 – 2018 Q2 VS. 2018 Q3 – 2019 Q2
JANUARY 30, 2020 MASTERCARD GLOBAL FRAUD TRENDS 9
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
GLOBAL CARD NOT PRESENT FRAUD BASIS POINTSBY ACQUIRER REGION
2017 Q3 – 2018 Q2 VS. 2018 Q3 – 2019 Q2
JANUARY 30, 2020 MASTERCARD GLOBAL FRAUD TRENDS 10
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
11
Acquirer Countries
Страны-лидеры по уровню мошенничества в мире (исключая США)
SOURCE: FRAUD INTELLIGENCE AND STRATEGY
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
EUROPEFRAUD TRENDS BY TRANSACTION CHANNEL & FRAUD TYPE
JANUARY 30, 2020 SOURCE: FRAUD INTELLIGENCE AND STRATEGY 12
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
TOP 10 MCCS FOR FRAUD
MERCHANT CLASSIFICATION GROUP
5734 - Продажа программного обеспечения для компьютеров
5732 - Продажа электроники
5311 - Универсальные магазины
4722 - Туроператоры и турагентства
6011 – Банкоматы
7011 – Отели и другие места проживания
5812 – Рестораны и столовые
5411 – Бакалейно-гастрономические супермаркеты
5968 – Прямые продажи/поставки, продажи по подписке
5541 – Станции обслуживания автомобилей
MERCHANT CLASSIFICATION GROUP
5734 – Продажа программного обеспечения для компьютеров
5732 – Продажа электроники
5311 – Универсальные магазины
4722 – Туроператоры и турагентства
6211 – Торговля ценными бумагами / брокерские услуги / бинарные опционы
7995 – Казино и игровые автоматы
5999 – Разнообразные и специализированные розничныемагазины
5816 – Цифровые товары и игры
5691 – Мужская и женская одежда
5735 – Магазины звукозаписи
TOP 10 MCCS FOR E-COMMERCE FRAUD, EUROPE
13
Fraud trends
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
TOP 10 MCC FRAUD RUSSIA
MERCHANT CLASSIFICATION GROUP
6538 – Денежные переводы
6540 – Пополнение электронных «кошельков»
6051 – Финансовые услуги, квази-кеш
7011 – Отели и другие места проживания
6211 – Торговля ценными бумагами / брокерские услуги / бинарные опционы
4812 – Продажа телекоммуникационного оборудования, включая телефоны
4814 – Оплата услуг связи, включая предоплату и рекурентные платежи
4511, 3011 – Авиаперевозчики/продажа авиабилетов
5533 – Продажа автозапчастей
8999 – Профессиональные услуги различных категорий, не подпадающие под классификацию
14
Fraud trends
©2
01
6 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
15
Fraud stats _ Kazakhstan vs Russia/Europe/Global 4Q18 - 3Q19
Основные угрозы и тенденции
©2
01
6 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
20
Основные угрозы и риски. Перечень
• БИН атаки
• Атаки типа man-in-the-middle и социальная инженерия. Fake and
Phishing sites
• Кредитовые операции
• Операции по потерянным/украденным картам
• Операции по поддельным картам
• Атаки на системы управления карточными счетами и АБС
• Компрометация/кража карточных данных и Кардинг. Digital
Skimming
• Денежные переводы, включая сервис Mastercard MoneySend
• Мошеннические торговые точки
©2
01
6 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
21
Основные угрозы и риски. Перечень
• PF и DWO non compliance
• MCC miscoding
• Мошенничество с использованием Pay “wallets”, включая транспорт(«зайцы»)
• Легальные/Серые/Мошеннические финансовые инструменты(Брокеры, Финансовые пирамиды, Бинарные опционы и пр.)
• АТМ риски
• First Party/Friendly fraud, мошенничество со стороны самихдержателей карт, включая off-line операции and «дропы»
• Рекуррентные платежи
• Злоупотребление диспутными процедурами Мастеркард
БИН атаки
BIN attacks
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
23
High volume of authorization trxs.(0100/0110 messages)
New assigned BIN
А massive attack in numerous e-commerce (CNP) merchants and different Acquirers (huge numbers of non existed cards transactions)
• Issuers incorrectly use decline response codes RC 91, 92 or 96 rather than RC 05 or 14
• The main goal of attack is testing the possibility of incorrectly BIN implementation set up and route transactions to Stand-In/Xcodeauthorization
• Impact: Issuers direct losses
Type 1
BIN attack risks
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
24
High volume of authorization trxs.(0100/0110 messages)
• Well-known e-commerce/digital merchants (PayPal, Netflix, Google, Amazon, Uber etc) and the biggest Acquirers (US, UK, Holland, China)
• Existed and just new assigned BINs are targeted
• Non existing cards (“no such cards” or “invalid card”) decline response from Issuers
• The main goal of this activities is BIN/PAN testing for using existing cards in future
• Impact: NO direct Issuers losses; auth. fees; IMP non-compliance due to high XB decline rate
Type 2
BIN attack risks
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
25
High volume of authorization trxs.(0100/0110 messages)
А massive attack in several merchants (incl. collusive) where fraudsters used a huge amount of cloned cards and placed huge number of mag stripe transactions
• The main goal of attack is targeting the Peak Transaction Per Second (TPS) capability of the issuer’s host and route to Stand-In/Xcodeauthorization
• Impact: Issuers direct losses
Type 3
BIN attack risks
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
26
CVC 1 testing via authorization trxs.(0100/0110 messages)
• Target a merchant’s retail terminals or its website’s online payment system using malware or phishing techniques
• Attempts to determine the correct card validation code 1 (CVC 1) value for previously stolen card account via authorization request (0100/0110 messages)
• The main goal of this activities is CVC 1 testing for creation counterfeit cards and committing subsequent ATM or point-of-sale (POS) fraud
• Impact: NO direct Issuers losses; auth. fees; IMP non-compliance due to high XB decline rate
Type 4
BIN attack risks
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
27
High volume of auth. reversals (0400/0410 messages)
Well-known single Merchant and one of the biggest Acquirer, single non existing card (single PAN)
Repeated 8 000 - 10 000 reversal trxs. (0400/0410) during a very short period of time (like DDoS attack), Issuer Host had been failed 3 times (for 30-45 min)
- The main goal of this attack is unknown
Type 5
BIN attack risks
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
28
CVC 1 Brute Force Attack Prevention, Global Security Bulletin No. 7, 13 July 2012
Brute Force Attacks — Overview and Mitigation Best Practices, Global Security Bulletin No. 8, 15
August 2013
Heightened Awareness and Best Practices For EMV Issuers to Identify Suspicious Transactions and
Mitigate Fraud, Bulletin No.,5 • 10 November 2014
Heightened Awareness and Monitoring of Transaction Data, Security Notice, Bulletin No.,3 • 20
August 2015
Heightened Awareness and Monitoring of Transaction Data, Security Notice, Bulletin No.,1 • 16
February 2016
Heightened Awareness and Monitoring of Transaction Data—Clarification, Security Notice, Bulletin
No.,3 • 4 March 2016
Mastercard docs
BIN attack risks
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
Социальнаяинженерия: атакатипа «мошенникпо середине»
(Man in the Middle)
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
Фишинговый сайт, использующий софт
для захвата данных иих дальнейшей
передачи (робот)
MIM атака на примере сервиса MoneySendКартхолдер ищет платёжную web-страницу (например, покупкаавиабилета) и выбирает ту, что появляется первой1
Вводит данные карты2
Картхолдер вводит одноразовый пароль длязавершения операции 6
Web Site (where fraud occurs)
www.moneysend.ru
Робот вставляет данныекарты на реальном сайте
и инициируетMoneySend Payment
Transaction
3
Issuer
Сервис MoneySend MPI начинает
процесс SecureCode аутентификации
картхолдера черзбанк-эквайрер
4
Эмитентотправляетчерез SMS
одноразовыйпароль на моб.
телефонкартхолдера
5
7 Мошеннический софт передаёт одноразовыйпароль на MoneySend site для завершения
операции
Cardholder
30
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
- Фейковые сайты по продаже товаров и услуг
- Мошеннические опросы и лотереи!!!!
- Платежи и переводы в социальных сетях
- Фейковые страницы мгновенной выдачи карт и сервиса P2P-транзакций
- Реальные интернет-площадки по продаже товаров между физ.лицами
- Подставные Call Center
- Вирусы на ПК и мобильных устройствах клиентов
- SMS/Phone fishing и другие способы «социальной инженерии»
- Вывод средств через:
• открытые витрины MS на карты «дропов» (money mules) с последующим ихобналичиванием
• сервис MS, встроенный в системы интернет и мобильного банкинга на карты«дропов» с последующим их обналичиванием, включая другие платёжныесистемы
Основные схемы / методы социальной инженерии
31
Цель:компрометация
данных или кражаденежных средств
©2
01
8 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
©2
01
7 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
В основном преступники используют два метода – «телефонный» и «цифровой». Но онимогут использоваться и совместно. Единственным ограничением здесь может служитьтолько изобретательность мошенников.
Каким образом социальная инженерия помогает совершать преступления?
Использование методов социальной инженерии для целеймошенничества
32
1. «Телефонный» метод 2. «Цифровой» метод
Фишинг
Адресный фишинг
Смишинг
©2
01
8 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al
©2
01
7 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
• Используются слабые стороны процессов и методов, которые Эмитент задействует дляаутентификации держателей своих карт, когда они обращаются за картой, просят ееобновить, запрашивают регистрацию своего мобильного устройства, а после этогопросят активировать цифровой кошелек или решение 3DS (СМС или мобильноеприложение).
• Цель мошенника – получить доступ к подлинным платежным инструментам (подлиннойкарте/ПИН-коду, Токену, идентификатору по безопасному коду (SecureCode), паролю, активации кошелька или к мобильному устройству).
• Мошенничество, совершенное с помощью таких подлинных платежных инструментов, классифицируется как «мошенническое заявление» или «перехват счёта/эккаунта».
Основные характеристики
Кража идентификатора держателя
33
Refund/Credit fraud
Основные угрозы и тенденции
Стандарты Mastercard поконтролю убытков отмошенничества
Chapter 6 – Mastercard Security Rules & Procedures(Глава 6 - Правила и процедуры безопасности Mastercard)
Обязательные минимальные стандарты и дополнительныерекомендации
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
Мастеркард рекомендует, что бы Эмитенты дополнительномониторили следующие параметры (Mastercard recommends that Issuers additionally monitor the following parameters:• PAN атаки (Account-generated attacks)• Ошибки в данных следующих кодов: CVC 1, CVC 2, and CVC 3
validation failures• Ошибки в дате окончания срока действия карты (Expiration date
failures)• Несуществующие номера карт (Invalid account number (miss-posting)
transactions)• Транзакции в терминалах, где клиенты сами инициируют операции
(Cardholder-activated terminal (CAT) transactions)• Кредитовые (возвратные) операции и авторизационные ревёсалы
(Credit transactions (such as refunds) and Merchant authorization reversal)
• Лист неактивных «спящих» карт (Dormant Card list (monthly)
Дополнительные рекомендациидля эмитентов по мониторингу(recommended additional issuer monitoring)
Fraud loss control program & standards
36
©2
01
9 M
ast
erc
ard
. Pro
pri
eta
ry a
nd
Co
nfi
de
nti
al.
37
Ежедневные отчеты или оповещения в режиме реального времени при мониторинге депозитов ТСП должныформироваться не позднее дня, следующего за днем запроса авторизации и должны основываться наследующих параметрах:
• Увеличение объемов депозита ТСП в сравнении с профилем ТСП или группой сопоставимых компаний
• Увеличение размера среднего чека ТСП и количества трансакций на депозит в сравнении с профилем ТСПили группой сопоставимых компаний
• Пропорция объемов трансакций CP в сравнении с CNP, изменение с течением времени
• Необычное количество кредитов, или объем долларов по кредиту превышает уровень объемов продажпо доллару, соответствующий категории ТСП
• Крупные суммы кредитовых трансакций, существенно больше размера среднего чека для продаж ТСП
• Кредиты выпущены после получения возврата с тем же номером счета и с последующим вторымпредъявлением
• Кредиты выпущены на номер счета, который ранее не использовался в месте нахождения ТСП
Требования к эквайрерам по мониторингу Депозита ТСП