28 ноября, 2011, BIS Journal №1(4)/2012

Презумпция вины


Ложкин Павел

Начальник службы информационной безопасности (АКБ «Абсолют Банк» (ЗАО))

Федеральный закон «О национальной платёжной системе» сделал банки «крайними» при инцидентах в сфере дистанционного обслуживания

Преимущества быстрых, простых и удобных электронных расчётов, которые прочно вошли в нашу жизнь, реализуются только при надёжной защите от хищений. Но информационная безопасность банков обеспечивается не только техническими средствами и организационными мерами, но и распределением ответственности между банками и клиентами. Этот баланс после принятия 27 июня 2011 года федерального закона «О национальной платежной системе» приходится выстраивать заново.

«КАРТОЧНЫЕ» ШУЛЕРЫ

Дистанционное банковское обслуживание подвержено разным типам угроз, в числе которых кражи  и мошенничество. Рассмотрим знакомую почти всем пластиковую банковскую карту с магнитной полосой, на лицевой стороне которой нанесены идентификационные данные − её номер и «срок годности», а также имя и фамилия владельца. На обратной стороне, на белой полосе, где владелец карты ставит свою подпись, может содержаться CVV-код из 3-х цифр, который формируется при помощи специального алгоритма и служит дополнительной защитой операций в интернете. К карте привязан PIN-код, который, как правило, требуется вводить только при снятии наличных в банкомате, но настройки оборудования могут требовать его ввода и при оплате покупок.

Существует большое количество приёмов мошенничества с пластиковыми картами. Наиболее распространены копирование магнитной полосы и изготовление клона карты, в том числе, с другим именем и фотографией. Дело в том, что данные о владельце, которые содержатся на первой дорожке магнитной полосы, в большей части регионов мира для проверки в банк не передаются, а используются только для печати чека при проведении платежа. Для проверки корректности операции используются данные только со второй, реже с третьей дорожки, на которых данных о владельце карты нет.

В результате, скопировав данные второй и третьей полосы и подменив данные первой магнитной полосы, можно создать карту-клон для другого владельца и производить с её помощью платежи до тех пор, пока настоящий владелец счета не заподозрит неладное. Операция копирования данных с магнитной полосы может произойти, когда карта находится вне поля зрения ее владельца. Например, при оплате в ресторане. К сожалению, мобильные терминалы, с помощью которых операция производится на виду у владельца карты, пока еще мало распространены.

Данные магнитной полосы банковской карты могут быть перехвачены и в процессе проверки, при передаче их процессинговому центру. Учитывая, что данные передаются через большое количество узлов, в том числе, по каналам Интернета, точек утечки может быть много. Чтобы записать на клон перехваченные данные магнитной полосы, требуется оборудование, применяемое для выпуска пластиковых карт. Приобрести его возможно, цены вполне доступны.

Уменьшить риск мошенничеств можно, только контролируя все операции по карточному счёту, включая изменения остатка, а также стараясь не выпускать карту из вида.

Другой распространенный вид мошенничества, связанный с пластиковыми картами, встречается при совершении операций в Интернете. Поскольку для таких операций достаточно имени владельца, номера и срока действия карты, также, но не всегда, требуется ввести CVV-код. Чтобы переписать эти данные, достаточно их запомнить, всего лишь взглянув на карту. Теоретически это может сделать продавец в любой торговой точке, которому дали карту для проведения платежа.

ДВУХКРАТНАЯ ПРОВЕРКА

Только оперативный контроль операций по пластиковой карте может помочь, если аутентификация не подкреплена иным методом. Например, при помощи 3Dsecure− дополнительного механизма защиты, предлагающего дополнительную аутентификацию проводимой операции. Средства проверки могут быть разнообразными: одноразовый ключ, или пароль, высылаемый SMS-сообщением на телефон владельца пластиковой карты, или заранее предоставленный список паролей.

Двухфакторная аутентификация существенно повышает безопасность операций в Интернете: кроме кражи данных банковской карты, от мошенника требуется получить доступ также и к сообщениям, поступающим на SIM-карту мобильного телефона её владельца. Ещё одним хорошим решением обеспечения безопасности расчётов в Интернете является виртуальная карта, для которой уровень риска не превышает суммы, перечисляемой  на неё для выполнения конкретного платежа.

В Абсолют Банке клиентам предоставляется возможность подключить SMS-информирование по всем операциям по счету, режим которого клиент может настроить самостоятельно. Удивительно, что не все пользуются такой возможностью, которая помогает моментально выявить несанкционированные операции и с большой долей вероятности успеть предотвратить кражу. Если сигнал о мошеннической транзакции поступает поздно, когда деньги уже перечислены и сняты со счёта, попытаться их вернуть можно только при помощи полиции.

Кроме описанных достаточно типовых приёмов мошенничества с пластиковыми картами существует, к сожалению, и множество других. Дело в том, что пластиковые карты с магнитной полосой − продукт, основанный на морально устаревших технических решениях середины ХХ века. Пытаться посредством некоей модернизации повысить безопасность платежей, совершаемых с их помощью, всё равно, что устанавливать на обычную телегу двигатель внутреннего сгорания и сложную многорычажную подвеску.

ПРОЩЕ ПРЕДОТВРАТИТЬ

Расследование случаев несанкционированных платежей с карточных счетов, как и вообще инцидентов в сфере электронных платежей − дело непростое. Периодически возникают ситуации, когда используются корректные данные пластиковой карты, полученные и сохраненные, например, при совершении предыдущей операции, но владелец электронного средства платежа не подтверждает произведённую операцию.

В таких случаях бывает трудно однозначно определить, кто виноват, возможны различные варианты. Например, клиент на самом деле совершил эту операцию, но по каким-то причинам это отрицает. Без санкции клиента операцию могли совершить в торговой точке, или же мошенники, завладевшие контрольными данными пластиковой карты.

Банк, который эмитировал пластиковую карту, клиент и торговая точка могут находиться в разных странах мира, законы которых могут сильно отличаться. Поэтому даже самый очевидный и логичный путь судебного урегулирования вопроса может оказаться крайне сложным. Оперативно установить владельца мошеннической торговой точки зачастую невозможно, поскольку такие ресурсы, как правило, недолговечны. Даже определение местоположения сервера, на котором находится web-сервис торговой точки, не позволяет напрямую выйти на её владельца за время существования подобной точки. А после становится поздно.

Став жертвой мошенников, владелец средства электронного платежа оказывается в сложной ситуации. Обычная процедура − подача заявления в кредитную организацию о блокировке пластиковой карты, чтобы предотвратить дальнейшие мошеннические операции. Затем банк совместно с соответствующей платежной системой начинает  расследование инцидента. Этот процесс, ввиду сложности, может затянуться на многие месяцы, и возврат клиенту денежных средств не гарантирован.

ДИСТАНЦИОННЫЕ «КИДАЛЫ»

Другим весьма удобным и широко распространённым видом электронных платежей является системы дистанционного банковского обслуживания. Видов систем «банк − клиент» существует много, для них используются различные по сложности и надёжности средства информационной защиты. В том числе, обычная пара логин-пароль, простая электронная подпись и использованием криптографических алгоритмов, которые наилучшим образом гарантируют целостность и конфиденциальность подписываемого и передаваемого платежного документа.

Для использования криптографических алгоритмов необходим специальный электронный ключ. Как правило, используется несимметричный алгоритм шифрования при помощи пары ключей. Посредством одного, секретного, ключа документ шифруется, а с помощью второго, так называемого открытого, зашифрованный документ можно расшифровать и проверить, какому физическому или юридическому лицу принадлежит данная электронная подпись.

Также в настоящее время практически все каналы связи, по которым передаются данные электронных платежей, защищены стойкой криптографией, Подключиться для перехвата ключей посредством атаки «maninthemiddle» и преодолеть информационную защиту соединения злоумышленнику нелегко, гораздо проще попытаться украсть пароль или ключ электронной подписи.

Слабым звеном системы электронных платежей являются компьютеры клиентов, которые чаще всего и становятся объектами атак мошенников. Как правило, злоумышленники пользуются тем, что не на всех компьютерах установлен антивирус, либо его база данных своевременно не обновляется. Такой компьютер легко заражается извне троянской программой, которая быстро находит пароли, ключи и отправляет их «хозяину».

Дальнейшее хищение денег клиента превращается в вопрос техники и времени. Деньги клиента от его имени перечисляются злоумышленником на заранее открытый «дропперский» счёт (от английского drop– кидать, сбрасывать), например, карточный, с которого потом в банкомате снимаются наличные.

БАЛАНС ОТВЕТСТВЕННОСТИ

Чтобы уменьшить риск кражи ключевой информации, банки стали широко использовать USB-токены с неизвлекаемым ключом. Однако мошенники научились обходить и этот вид защиты. В результате, пока не существует идеального удобного средства информационной защиты дистанционного банковского обслуживания − недоступного для вирусов доверенной среды, независимого от операционной системы и совмещающего все нужные функции в одном устройстве.

Кроме чисто технических мер информационной защиты, резервом повышения уровня безопасности при дистанционном банковском обслуживании и при использовании пластиковых карт является сбалансированное распределение ответственности между банком и клиентами на случай возможных инцидентов.

Клиентов в обязательном порядке информируют о необходимости следовать простым правилам: использовать для платежей выделенный компьютер, использовать антивирус и только лицензионное программное обеспечение, регулярно обновлять их, подключать USB-токен только на время подписания электронных платёжных документов, применять для этого два ключа.

Жертвами мошенников становятся клиенты, пренебрегающие неукоснительным выполнением этих нехитрых рекомендаций. Конечно, существуют дополнительные возможности предотвратить попытку хищения. Например, банк способен заблокировать показавшийся подозрительным платёж, нестандартный для данного клиента. Сам клиент должен как можно скорее сигнализировать банку о замеченном платеже, которого сам не совершал. При этом кибер-воры делают всё, чтобы помешать своевременной реакции.

Чтобы помешать проверить состояние счёта, сразу же после хищения они различными способами блокируют доступ к системе дистанционного банковского обслуживания или даже уничтожают всю информацию на компьютере клиента. В подобных ситуациях клиенту не следует тешить себя надеждами на технический сбой, а стоит незамедлительно звонить в свой банк. Если среагировать оперативно, есть возможность остановить перечисление денег и быстро и легко вернуть их законному владельцу.

ПЕРЕВОД СТРЕЛОК

До недавних пор в большинстве случаев ответственность за ущерб от действий мошенников нёс сам клиент. Однако, начиная с 1 января 2013 года ситуация кардинальным образом изменится после вступления в силу федерального закона ФЗ-161 от 27 июня 2011 года «О национальной платежной системе». В особенности важна статья 9, пункт 4 которой обязывает банки информировать клиента обо всех операциях с его счётом. Пункты 14 и 15 вводят своеобразную «презумпцию виновности» банков: в случае перевода денежных средств без согласия клиента оператор должен безусловно возместить ему ущерб.

Взыскать сумму компенсации обратно банки  могут лишь потом, доказав, что сам клиент виноват в нарушении порядка использования электронного средства платежа. В результате, «по умолчанию» ответственность за инциденты при дистанционном банковском обслуживании ложится на банки. По аналогии со сферой страхования, возможен всплеск мошенничеств со стороны недобросовестных клиентов, пытающихся «украсть у самих себя», а потом получить «автоматическую» компенсацию от банка.

Предотвратить всплеск попыток мошенничества может введение банками одноразовых паролей и SMS-ключей для совершения всех операций, а также другие средства дополнительной аутентификации, о которых мы говорили выше. В случае инцидента владельца пластиковой карты попросят объяснять, при каких обстоятельствах у него не только одновременно скопировали данные магнитной полосы, но и украли мобильный телефон, не защищённый блокировкой и PIN-кодом. Получит широкое распространение и страхование банковских информационных рисков.

Вводя «презумпцию виновности» банков, федеральный закон «О национальной платежной системе» побуждает банки выстраивать более сложную систему информационной безопасности электронных платежей. Это сделает дистанционное обслуживание и операции с пластиковыми картами более безопасными, но и более дорогими и менее удобными. Ведь иначе банки, как и все коммерческие организации, ориентированные на получение прибыли, просто не смогут эффективно работать.

 

Смотрите также

Дефицит недоверия

18 апреля, 2011
Подпишись на новости!
Подписаться