В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
В каких сферах использовали банковские карты клиенты Финансовой Группы Лайф в 2013–2014 гг.? Статистика (рис. 1) говорит о том, что в прошлом году клиенты активно использовали карты для снятия наличных и проведения различных операций в банкоматах, для оплаты товаров на предприятиях торговли и в Интернете. Однако в этом году объем денежных средств, снятых в банкомате, немного снизился. Зато повысился объем операций, связанных с выдачей наличных в кассах банка. Это свидетельствует о том, что клиенты банков перестали доверять банкоматам, на которые мошенники могут установить скимминговые устройства. Поэтому они предпочитают снимать деньги в кассе, где, на их взгляд, наиболее безопасно осуществлять подобные операции.
По сравнению с прошлым годом увеличилось число операций, связанных с переводом денежных средств с карты на карту (P2P). Данный сервис был внедрен платежными системами сравнительно недавно. В банкоматах проведение таких переводов защищено (необходимо вводить PIN-код). Однако в Интернете эта функция не обладает надежной степенью защиты, так как в Интернете нередко требуется ввести номер карты и ее срок действия. Если карта не подключена к системе 3D-Secure, она не пройдет вторую аутентификацию, и мошенник, зная номер карты и срок действия (этих данных вполне достаточно), самостоятельно проведет операцию перевода. В наибольшей степени мошенническим атакам подвержены неперсонализированные переводы, для совершения которых не нужно вводить персональные данные (регистрироваться в банке, вводить ФИО). Такие переводы можно сравнить с переводами через телеком-провайдеров.
Нет сомнений в том, что у каждого участника платежных операций должен быть свой мониторинг мошеннических операций. Его отсутствие не освобождает от ответственности. За отсутствие мониторинга банк может быть оштрафован или вовсе лишен лицензии. Остается только определить, какой мониторинг нужен современному банку – свой или аутсорсинговый?
Ответ на данный вопрос зависит от схемы размещения процессинга банка. На банк-эквайер при соблюдении некоторых условий надеяться можно. Что касается своего банка, то здесь есть одна важная особенность: если банк соединен с банком-спонсором по межхостовому соединению, то в данном случае желательно иметь собственный мониторинг, поскольку существуют мошеннические операции, которые банк-спонсор может не заметить. Однако если свой процессинг находится в системе банка-спонсора, то имеет смысл воспользоваться его фрод-мониторингом, так как он видит операции не только в вашем банке, но и в других банках-спонсорах, и у него больше возможностей для анализа и противодействия мошенничеству. Что касается платежных систем, у них также имеется свой фрод-мониторинг, с помощью которого они видят множество подключенных к ним банков.
В любом случае перед тем как выбрать, к какому банку подключаться, необходимо проанализировать ситуацию на рынке и возможности, которыми обладают банки, предоставляющие подобные сервисы.
На сегодняшний день существует довольно много методов, которые защищают банковские карты. Однако все они обеспечивают защиту в проведении операций лишь в какой-то определенной области. На текущий момент не существует ни одного элемента защиты, который в совокупности защищал бы и в банкоматах, и в ритейле, и в Интернете.
Карточные методы защиты
Некоторое время назад одним из карточных методов защиты являлась подпись держателя карты, которая располагалась на задней панели карты и могла спасти при проверке карты в розничном магазине при случае, если мошенник решил воспользоваться именно ей. Однако подпись спасает далеко не от любых подделок: мошенникам достаточно сделать копию карты, расписаться на ней и осуществлять платежи от лица держателя карты. Следующий элемент защиты – код CVV1, располагающийся на магнитной полосе. Однако мошенники могут скопировать магнитную полосу и несанкционированно воспользоваться картой.
Самым распространенным элементом защиты является PIN-код. Он может спасти при операциях, в которых запрашивается ввод PIN-кода, но не может защитить от несанкционированного списания средств в Интернете и в розничном магазине без PIN-кода.
CVV2 позволяет защищать платежи в Интернете, но используется он не всегда и также не защищает от несанкционированных действий в розничном магазине.
Одним из надежных средств защиты считается система 3D-Secure, которая защищает оплату с карты в Интернете в 3D-магазинах. Если карта подключена к этой системе, то при оплате она пройдет двойную аутентификацию, что позволит надежно защитить хранящиеся на ней средства при условии, что клиент подключил услугу в банке.
Такие элементы защиты, как чип, PayPass и payWave, защищают карту от подделки в чиповых устройствах, но не защищают от несанкционированного списания в Интернете, в нечиповых устройствах и при краже.
Банковские элементы защиты
Среди банковских элементов защиты следует назвать установление лимитов сумм и их количества по операциям выдачи наличных в торговых предприятиях; ограничение типов операций в зависимости от продукта карты; ограничение операций в рискованных МСС (крупные аптеки, покерный бизнес и др.).
Кроме этого, банки проводят онлайн- и офлайн-мониторинг операций, приводящий либо к блокировке карты, либо к ограничению ее использования. Не менее важными являются рекомендации платежных систем, а также активное использование их сервисов (MATCH, MOST, MRP, SAFE, ADPS, CAMC).
Одним из новейших методов защиты является технология идентификации держателя карты. Биометрия, несомненно, является следующим шагом в развитии идентификации клиентов, ее нужно развивать и улучшать.
За мошенничество платежные системы перекладывают ответственность либо на эмитента, либо на эквайера, а процесс опротестования выходит очень затратным и занимает довольно длительное время. В проигравших остается либо банк, либо клиент, но не мошенник – он свое уже унес.
Текущая схема прохождения платежей выглядит, как показано на рис. 2.
Во время прохождения платежей чип, PIN-код, CVV и номер карты находятся в одном месте в один и тот же момент, что позволяет злоумышленникам компрометировать карты, поскольку нет элемента защиты, который защищал бы карту на всех этапах. Это можно сравнить с открытой дверью, а номер карты с адресом, куда должен прийти мошенник и забрать деньги.
Реальным способом защиты на всех этапах должна стать двойная аутентификация, которая может снизить вероятность кражи средств до 0%. На текущий момент при использовании технологии 3D-Secure в Интернете карта вначале проверяется одной системой защиты, которая дает разрешение на проведение операции, после чего поступает запрос на введение номера карты и ее срока действия (рис. 3).
Следует отметить, что карта у пользователя, как правило, не заблокирована, а это значит, что злоумышленник может воспользоваться ее данными в любой момент.
Что же может помочь защитить карту при проведении операций и блокировать карту при ее неиспользовании?
Смысл технологии двойной аутентификации заключается в следующем. Изначально карта находится в блоке (неактивирована). Разблокировать ее перед операцией необходимо с помощью СМС путем введения определенных кодов. После этого можно воспользоваться картой в Интернете или банкомате, затем карта вновь будет заблокирована. Даже если на одном из этапов проведения операций мошенники скопируют данные карты, они не смогут ими воспользоваться, так как карта будет заблокирована, а код, пришедший по СМС для разблокировки, будет им неизвестен. Если им все же удастся скомпрометировать второй канал операции (СМС), то данные, содержащиеся в сообщении, не будут отражать информацию о том, к какой карте они относятся (рис. 4).
Двусторонний метод аутентификации позволяет защитить карту везде: и в банкомате, и в ритейле, и в Интернете. Затраты на его внедрение минимальны, поскольку не требуется сертификации от платежных и других систем, а банк может внедрить данную технологию самостоятельно. Антифрод-система банка сможет показать все неуспешные попытки по карте и выявить компрометацию без потери средств. А клиент сможет продолжать пользоваться картой даже при компрометации одного из каналов.
Таким образом, двойная аутентификация – очень важный метод защиты пластиковых карт. Банк, который начнет развивать данную технологию, будет иметь конкурентное преимущество на рынке по противодействию мошенничеству.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2014