Обзор подготовлен

версия для печати
Защищаем операции по картам: чем больше, тем лучше

Защищаем операции по картам: чем больше, тем лучше

По подсчетам МВД, ущерб от мошенничества по банковским картам в 2011 г. достиг 1,6 млрд руб. В поисках панацеи кредитные организации берут на вооружение новые методы защиты данных, но даже самые совершенные из них не дают стопроцентной гарантии.

Почти половина трудоспособных граждан России имеет хотя бы одну банковскую карту. По данным Центробанка, в 2011 г. кредитные организации эмитировали более 157 млн пластиковых карт, оборот по которым превысил 13 трлн руб. С увеличением количества выпущенных карт пропорционально растет и число мошеннических операций с ними. По сведениям МВД России, только в первой половине 2011 г. было зафиксировано более 2,2 тыс. преступлений в этой сфере. В целом, по итогам прошлого года ущерб от мошеннических операций составил 1,6 млрд рублей. По оценкам специалистов Центробанка, за последний год наблюдался 40%-ный рост потерь от мошенничеств по безналичным расчетам.

Печальная статистика вынуждает кредитные организации искать новые и более действенные способы повышения безопасности операций по эмитированным картам. "Здесь действует принцип, противоположный принципу "меньше, да лучше", – делится мнением Виктория Смоленская, директор платежной системы "Золотая Корона". – Чем больше разных средств защиты и подтверждения транзакций в арсенале банка, чем они разнообразнее, тем, в конечном итоге, в большей безопасности деньги клиента. Ведь главная цель – предотвратить и уменьшить риски, связанные с возможными мошенническими действиями и, соответственно, избежать финансовых потерь (в крайнем случае - снизить их) в результате такого рода операций".

Технологии мошенников

Способов мошенничества существует множество, но основным по-прежнему остается скимминг. Потери от него настолько велики, что в борьбу со злоумышленниками включились и производители банкоматов. Они продумывают всевозможные приспособления, препятствующие установке считывающих устройств. Например, снабжают специальными датчиками, которые при малейшем подозрении останавливают работу АТМ и оповещают службы, ответственные за обеспечение безопасности, об угрозе. Кроме того, в некоторых банкоматах устройства считывания пластиковых карт оснащаются специальным механизмом, который встряхивает банковскую карту, меняет скорость ее движения, что не позволяет точно списать данные.

Еще один распространенный метод – фишинг (мошенники обманными путями получают данные). Например, злоумышленники отправляют держателю карты электронное письмо с просьбой перейти на страницу банка в интернете и обновить свои данные, либо просят связаться с сотрудником банка по указанному телефону.

Нередко причиной проблем становится невнимательность и пренебрежение правилами безопасности самих держателей платежных карт. Например, некоторые из них хранят карты вместе с ПИН-кодом. Нельзя исключать и вероятность их утери, кражи или подмены. Допустим, в ресторане у владельца берут карту для оплаты счета, возвращают уже другую. Обман становится очевиден, когда злоумышленники уже сняли все деньги со счета.

Превентивные средства защиты

Банки постоянно совершенствуют способы противодействия мошенничеству, но внедрение новых методов, повышающих безопасность операций по пластиковым картам, приводит к тому, что злоумышленники придумывают варианты, позволяющие обойти эти элементы защиты. "Схемы проведения несанкционированных финансовых операций постоянно совершенствуются, – комментирует Александр Горшков, начальник управления банковских технологий интегратора "Техносерв". – Ни для кого не секрет, что в большинстве случаев неправомерные платежные документы подтверждаются и подписываются с использованием легальных ключей. Появились вирусы, которые встраиваются в аппаратный комплекс на уровне BIOS (базовая система ввода-вывода), и от их действий, направленных на искажение информации, не всегда спасает даже применение решений по созданию доверенной среды".

Тем не менее, в арсенале банков есть несколько методов, позволяющих нивелировать риски. Рассмотрим их подробнее.

ПИН-код

Пожалуй, это самый простой способ подтверждения транзакций. "Требование ввода ПИН-кода позволяет существенно снизить риск выполнения мошеннических операций по картам в POS-инфраструктуре, – уверена Виктория Смоленская. – А это около 50% от всего числа мошеннических операций".

Одноразовые пароли

Клиенты некоторых кредитных организаций, в частности "Альфа-Банка", могут подтверждать операции в интернет-банке с помощью одноразовых паролей (без рассылки смс-сообщений), которые генерирует специальная программа, установленная на их мобильном телефоне. "Одноразовые пароли используются почти в 100% случаев операций для физических лиц, – комментирует Александр Горшков. – Это обусловлено их простотой и невысокой стоимостью затрат. В некоторых случаях, когда выполняется перевод денежных средств между внутрибанковскими счетами клиента, такое подтверждение не требуется".

Карты переменных кодов (скретч-карты)

Основное преимущество данной технологии – ее простота и удобство. "Карта переменных кодов занимает мало место и всегда может быть при клиенте, для подтверждения операции необходимо стереть защитный слой для очередного пароля и использовать его для подтверждения транзакции. Каждый пароль можно использовать только один раз, чем достигается высокий уровень информационной безопасности – доступ третьих лиц к совершению платежей со счета клиента без этого пароля невозможен, – говорит Игорь Бурцев, руководитель отдела ISO компании Leta. -– К минусам можно отнести то, что такие карты уязвимы против устройств, способных "просвечивать" материалы, из которых создается защитный слой (например, яркий фонарик). Поэтому его целостность еще не говорит о том, что никто не знает скрываемые под ними одноразовые пароли. Не стоит забывать и о том, что карта переменных кодов может быть просто украдена".

Смс-уведомления

Рассылка сообщений по телефону, пожалуй, самый популярный среди российских банков способ защиты транзакций. "Чтобы держатель карты имел возможность своевременно среагировать на возникшую угрозу, в нашем банке используется смс-информирование клиентов, – рассказывает Алексей Киричек, директор департамента сопровождения розничного бизнеса "ТрансКредитБанка".По каждой расходной операции на указанный номер мобильного телефона клиента направляется смс-сообщение, содержащее сумму, дату, время и место (наименование торговой точки) проведения операции. Таким образом, при получении информации о несанкционированой операции клиент может заблокировать карту или установить лимит на сумму операций". Тем не менее, у этой технологии защиты данных есть и существенные недостатки. "В большинстве случаев полученное сообщение и своевременная реакция клиента позволяют значительно минимизировать ущерб от совершения мошеннических операций, – подчеркивает Павел Гоголев, начальник отдела претенциозной работы и контроля рисков "СБ Банка". – Минимизировать, но, к сожалению, не исключить, так как, по крайней мере, одна мошенническая операция, по которой пришло оповещение, уже совершена. В этой связи важным является полноценное смс-информирование клиента не только об одобренных банком операциях по карте, но и о попытках совершения операций, по которым банк отклоняет авторизационные запросы".

Электронная подпись

Для обеспечения безопасности данных клиентов банки также используют электронные подписи. "С математической точки зрения – наиболее сильное средство подтверждения транзакций и принципиально отличается от предыдущих способов, – рассуждает Игорь Бурцев. – В данном случае на основании платежного документа формируется электронная подпись с использованием закрытого ключа шифрования, которая совместно с платежным документом передается в банк. Но основные проблемы, возникающие при использовании ЭЦП, связаны с хранением и использованием носителей ключевой информации, а также защитой компьютеров клиентов, с которых осуществляются платежи".

Голосовая биометрия

Клиенты, звонящие в контакт-центры банков или осуществляющие транзакции через мобильные приложения, практически всегда сталкиваются с тем, что для подтверждения их личности операторы запрашивают конфиденциальные данные. Это могут быть паспортные данные клиента, кодовые слова или заранее выбранные пароли. К сожалению, все эти механизмы авторизации также могут быть подвержены фишинг-атакам. "Голосовая биометрия значительно упрощает процесс авторизации и при этом делает его более безопасным", – отмечает Виталий Юрченко, представитель компании Nuance.

Как это работает? На основе поведенческих особенностей (произношение, скорость речи, акцент) и физиологических особенностей (форма вокального тракта, форма и размер рта и носовой полости) создается "отпечаток" голоса клиента, который и используется для авторизации. "Теперь для мгновенной авторизации клиенту достаточно сказать, например, "В моем банке мой голос – мой пароль", – рассказывает Виталий Юрченко. – Технология голосовой биометрии также способна работать в фоновом режиме, когда она "подслушивает" разговор клиента с оператором и выводит результат авторизации на экран оператора. По опыту внедрения в банках, технологии голосовой биометрии способны сократить время авторизации во время звонка с 23 секунд до 5 секунд, при этом практически исключая доступ мошенников к чужой банковской информации". Сегодня голосовая биометрия используется в Bank Leumi, Bank Negara Indonesia.

Проверка на прочность

Наконец, методология разработки и использования ПО для должна учитывать необходимые элементы проверки, тестирования на предмет соблюдения правил ИБ. Сегодня системы защиты транзакций строятся исходя из предположения, что банковское приложение, принимающее и проводящее их, – идеально, то есть выполняет исключительно обозначенные задачи. "К сожалению, это не так, – утверждает Рустэм Хайретдинов, генеральный директор Appercut Security. – Поэтому в статистике мошенничеств с банковскими транзакциями присутствуют и такие методы злоумышленников, как использование уязвимостей банковских интернет-приложений. Поскольку банки такие приложения предпочитают разрабатывать самостоятельно, то контроль за отсутствием критичных уязвимостей возлагается чаще всего на самих разработчиков, которые заинтересованы поскорее сдать приложение. Поэтому для большей защищенности транзакций нужно контролировать не только их источник, но и приложение, которое их обрабатывает".

Комплексный подход

Ни для кого не секрет, что любые, даже самые надежные на первый взгляд методы аутентификации и защиты данных можно обойти. "Нельзя концентрироваться на чем-то одном, – не сомневается Дмитрий Сивохин, директор департамента продаж и услуг компании "Форс". – Усилия должны быть сосредоточены не на технических решениях, не на отдельных элементах ИТ-инфраструктуры, как это было раньше, а на прямых способах защиты самой информации, таких как управление учетными записями, правами доступа, событиями, обеспечение безопасности пользовательских устройств, мобильных сервисов и так далее. Сегодня уже нельзя полагаться исключительно на средства защиты периметра. И потому технические средства для обеспечения безопасности должны быть максимально приближены к данным, которые они защищают". Соглашается с коллегой Виктория Смоленская. По ее словам универсальных способов защиты данных пока не существует, а потому банкам необходимо использовать целый комплекс мер, который позволит минимизировать риски – не только внешние, но и внутренние.

Амина Атавова

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS