Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Лицом к фроду

(Нет голосов)

11.10.2006 Количество просмотров 1391 просмотр
В Москве прошла IX международная конференция “Безопасность пластиковых карт”
С 30 октября по 1 ноября 2006 г. в московском отеле “Swissotel Красные Холмы” прошла IX международная конференция “Безопасность пластиковых карт”, генеральным спонсором которой выступила Ассоциация российских банков-членов Visa, спонсорами и партнерами – компании ACI Worldwide, БПЦ, Compass Plus, NCR, Global Payments, OpenWay, РУКАРД, TietoEnator и РОСНО.

В мероприятии приняли участие порядка 200 представителей банковского сообщества России и стран СНГ, международных платежных систем, процессинговых центров, страховых и IT-компаний, а также ЦБ РФ и правоохранительных органов.

В рамках конференции ее участники обсудили широкий круг актуальных вопросов в сфере обеспечения безопасности платежей с использованием банковских карт, в числе которых – доминирующие тенденции в области карточного мошенничества на рынках России, Украины и в странах СНГ в целом, анализ наиболее распространенных типов мошеннических операций по картам различных международных платежных систем, включая банкоматное мошенничество, эффективность применения стандартов защиты информации в индустрии платежных карт, а также законодательные и правовые аспекты противодействия преступлениям в сфере платежных карт.

Представители ведущих IT-компаний и процессинговых центров в ходе своих выступлений ознакомили собравшихся с наиболее интересными решениями для выявления и предотвращения мошеннических операций в таких сегментах, как кредитование и обслуживание карточных платежей, а также средствами обеспечения безопасности транзакций.

В своем докладе Татьяна Смирнова, зам. генерального директора Ассоциации российских банков-членов Visa, осветила основные положения стратегических программ по противодействию мошенническим операциям с картами, реализуемых Ассоциацией на российском рынке. В их числе – ряд законодательных инициатив, в частности, организация “круглого стола”, посвященного обсуждению вопросов совершенствования законодательства в области электронных платежей, а также предложенные изменения и поправки в Налоговый кодекс РФ, которые позволят законодательно закрепить использование банками продукта cash rebate, а также предоставить торгово-сервисным предприятиям льготы по налогу на прибыль, стимулирующие организацию приема карт.

Рассказывая о деятельности Ассоциации по управлению рисками и борьбе с карточным мошенничеством, Т.Смирнова отметила такие меры, как регистрация банков-агентов по эквайрингу (число которых за последний год выросло на 32 банка и достигло 152 кредитных организаций), организацию мониторинга эквайрингового рынка для выявления нелегальных банков-агентов, проведение ежегодного конкурса “лучший офицер безопасности банка”, регулярные заседания рабочей группы по борьбе с мошенничеством, внедрение банками систем онлайнового мониторинга карточных транзакций, проведение обучающих программ и программ повышения финансовой грамотности населения, а также ежегодное проведение конференции “Безопасность пластиковых карт”.

В частности, с 15 сентября 2006 г. российским банкам – членам Visa International доступна пилотная версия аналога системы NMAS (National Merchant Alert Service), созданной для оповещения о выявлении подозрительных торговосервисных предприятий.

Менеджер по борьбе с мошенничеством Visa International в России и СНГ Павел Стромский рассказал об актуальных тенденциях в сфере борьбы с этим видом преступлений в области платежных карт. Представив вниманию собравшихся последние статистические данные, докладчик сообщил, что принятые меры по борьбе с мошенничеством на рынках России и Украины привели к весьма оптимистичным результатам, в частности, к резкому снижению числа и объема мошеннических операций. Так, например, внедрение российскими и украинскими банками-членами Visa International систем онлайнового мониторинга позволяет каждому из банков предотвратить мошенническое использование сумм размером от 30 тыс. до 100 тыс. долл. США в квартал. Однако показатели мошенничества на рынках Армении и Молдовы в последнее время стали расти.

Ввиду того, что в 2008г. в регионе СЕМЕА перенос ответственности за мошеннические операции распространится и на сети ATM, необходимо активизироватьпроцесс по организации приема EMVкарт и в банкоматных сетях.В ходе конференции широкое внимание было уделено работе независимых бюро кредитных историй, недавно развернувших свою деятельность на российском рынке. Так, в своей презентации под названием “Global Payments. Управление рисками” директор филиала Global Payments Russia Станислав Цоуфал кратко осветил современные позиции и спектр деятельности компании на международном и российском рынках, а также проанализировал актуальные тенденции мировой индустрии процессинговых услуг.

В числе преимуществ компании были названы многолетний успешный опыт работы, надежность, высокий уровень безопасности и защиты данных от потери, хакерских атак, финансовая стабильность, снижение издержек и качество оказываемых услуг.

Более подробно С.Цоуфал рассмотрел два направления из перечня предоставляемых компанией сервисов – Систему мониторинга подозрительных транзакций и бюро кредитных историй Global Payments Credit Services, учредителями которого выступили Global Payments и Home Credit&Finance Bank. По сообщению Департамента внешних и общественных связей Банка России, Global Payments Credit Services является крупнейшим в России Бюро кредитных историй по количеству накопленных записей о кредитных историях заемщиков. Его база данных насчитывает свыше 4,5 млн. записей. Технологическое решение для мониторинга карточных транзакций представляет собой отдельный модуль в линейке процессинговых услуг, поставляемых Global Payments Europe, разработанный на основе правил и требований Visa International и MasterCard Worldwide. В числе его функциональных особенностей были названы: формирование предупреждения, содержащего полную информацию для детального анализа (Alert) в течение не более 1 мин. с момента проведения транзакции, обработка всех авторизаций (АТМ, POS, MO/TO, E-commerce), параметризация банком условий мониторинга и формирование статистических отчетов. Внедрение данного модуля предоставляет банку ряд преимуществ, среди которых – отсутствие инвестиционных затрат на приобретение и сопровождение программного комплекса, минимальный уровень технических требований для организации удаленного рабочего места, возможность управлять рисками путем параметризации схем контроля, разграничение уровней доступа, а также удобство и простота в использовании.

Выступление Даниэля Зеленского, главы российского филиала ExperianScorex, было посвящено вопросам проведения анализа кредитных заявок на предмет мошенничества. Так, возможности бизнес-решения компании позволяют выявлять попытки мошенничества уже на момент подачи кредитной анкеты потенциальным клиентом, путем проверки анкеты на нелогическое соответствие информации в самой анкете, совпадения с уже отработанными заявками, а также сверки с базой данных подозреваемых и выявленных фактов мошенничества, используя алгоритмы сравнения предоставляемых данных для обнаружения несоответствий.

Механизм действия бизнес-решения Experian-Scorex состоит из ряда последовательных шагов: кредитный представитель вводит данные клиента в систему, проводит проверку заявки в соответствии с правилами, находит нелогичные изменения или случаи несоответствия и направляет заявку на ручной анализ; кредитный аналитик проводит анализ совпадений в Hunter II, определяет статус заявки и принимает кредитное решение. Как следствие – потенциальный случай мошенничества предотвращается еще до факта его наступления.

Д.Зеленский провел анализ основных групп правил выявления мошенничества (выявление несоответствий в заявлении, сравнение новых заявок с ранее принятыми или отклоненными, мошенничество и множественные заявления) и привел примеры выявления мошеннических заявлений на получение кредита по каждой из перечисленных групп правил, а также обрисовал используемые схемы ведения расследования, отчетности и мониторинга. Резюмируя свое выступление, докладчик отметил, что предлагаемые сегодня на рынке специализированные решения по обнаружению мошенничества еще на этапе подачи кредитного заявления помогут банку снизить уровень потерь и плохих долгов, эффективно распределив при этом свои ресурсы по расследованию. Широкий интерес участников конференции вызвала презентация “Преступления в сфере платежных карт. Банкоматное мошенничество” Николая Пятиизбянцева, начальника сектора технических средств защиты информации Газпромбанка, в ходе которого он классифицировал и подробно проанализировал особенности каждого типа преступлений в отношении банкоматов. Так, данные преступления могут быть направлены: • непосредственно на держателя карты (ограбление держателя карты при получении или внесении денежных средств (mugging), получение держателем денежных средств под принуждением со стороны преступника (forcedwithdrawals), мошенничество со стороны легитимных держателей карт; • на наличные денежные средства, размещенные в банкомате (хищение банкомата вместе с денежными средствами, взлом сейфа банкомата, хищение денежных средств путем модернизации или монтажа дополнительных устройств механизма выдачи купюр, ограбление при инкассации); • на карту и/или ее реквизиты (копирование магнитной полосы (skimming), захват карты в ридере с целью ее дальнейшего незаконного изъятия (jamming, trapping), подмена карты незаметно для держателя после выполнения операции на банкомате (swapping), установка поддельных или фиктивных банкоматов, методы отвлечения пользователя, сопровождаемые присваиванием или захватом карты, кибератака); • на ПИН-код (подглядывание через плечо пользователя (shoulder surfing), установка скрытых видеокамер, использование увеличительных оптических приборов, криптографические атаки, модификация или неавторизованный доступ в систему банкоматов, запись тональных сигналов при наборе ПИН-кода); • на банкомат (нарушение целостности, конфиденциальности или доступности системы ATM посредством несанкционированного кибервторжения) и другие.

По каждому из перечисленных типов мошенничества докладчик привел примеры реализованных преступниками операций, продемонстрировал фотографии различного вида мошеннических устройств, устанавливаемых на банкомате, и обрисовал способы обнаружения последних. Выступление Андрея Доронина, старшего следователя отдела по делам об особо опасных преступлениях в сфере экономической деятельности СК МВД РФ, было посвящено законодательным и правовым аспектам противодействий преступлениям в сфере оборота платежных карт. По словам докладчика, одной из проблем при раскрытии и расследовании преступлений данной категории является несовершенство законодательства, регулирующего оборот платежных карт на территории России. Количество преступлений, совершаемых с использованием эмитированных в России платежных карт, и размеры причиняемого в их рамках ущерба ежегодно увеличивается с ростом объема отечественного карточного рынка. Так, по данным ГИАЦ МВД России, за первые 6 месяцев текущего 2006г. органами внутренних дел зарегистрировано более 600 преступлений, связанных с изготовлением и сбытом кредитных и расчетных карт и иных платежных документов, а также мошенничеств, совершенных с платежными картами, совокупный ущерб от которых превысил 94,5 млн. рублей. При этом сложности с применением норм УК РФ на практике возрастают из года в год, так как за последние 10 лет данные нормы оставались неизменными. Ситуацию осложняет отсутствие остаточной законодательной базы, регулирующей оборот платежных карт на территории России, а также многообразие противоречащих друг другу комментариев и разъяснений к существующим законодательным и нормативным актам (разъяснения Верховного суда РФ, Генеральной прокуратуры, заслуженных юристов российских вузов идр.).

А.Доронин подробно рассмотрел недостатки действующей редакции ряда статей УК РФ, предлагаемые экспертами варианты их изменения, а также пути выхода из сложившейся ситуации. В числе последних были названы совместная подготовка ряда поправок в УК РФ, работа над подготовкой Федерального закона “Об использовании платежных карт в Российской Федерации”, соответствующие обучение и подготовка кадров правоохранительных органов и служб безопасности банков, а также работа со СМИ по профилактике данной категории преступлений. Лариса Макарова, менеджер по борьбе с мошенничеством Представительства Visa International в Украине, в своем выступлении обрисовала ситуацию с данным видом преступлений на украинском рынке. По ее словам, за период с IV квартала 2004г. по III квартал 2005 г. в стране были выявлены значительные объемы мошеннических операций по снятию наличных в банкоматах с использованием реквизитов скомпрометированных карт местных банков-эмитентов.

В процессе расследования в банкоматах были изъяты всевозможные образцы так называемого белого пластика (кредитных, дисконтных, дебетовых карт и т. д.), “накладок” на банкоматы обнаружено не было, и единой точки компрометации также обнаружить не удалось, поскольку выяснилось, что подозреваемые банкоматы принадлежали разным банкам-эквайерам, обслуживались разными процессинговыми центрами, а также были разнесены территориально, что весьма усложнило процесс расследования. Единственной выявленной общей характеристикой разных точек компрометации стало то обстоятельство, что все подозреваемые банкоматы были подключены через R-pad, а шифрование ПИН-блока осуществлялось посредством морально устаревшего криптоалгоритма DES. Ориентировочная общая сумма убытков от мошенничества составила 1,5 млн. гривен (порядка 30 тыс. долл. США).

Чтобы обезопасить себя от дальнейших убытков, Visa International рекомендовала украинским банкам перейти на шифрование ПИН-блока АТМ алгоритмом 3DES ранее установленных обязательных сроков (до 1 января 2006 г.). Кроме того, практически все украинские банки установили лимиты на совершение операций по снятию наличных в сетях ATM, перевыпустили все карты, которыми клиенты ранее успели воспользоваться в скомпрометированных банкоматах, ввели процедуру SMS-информирования клиентов об авторизациях, движениях денежных средств по карточному счету, реализовали онлайновый мониторинг банкоматных операций, причем не только по своим, но и по картам сторонних банков-эмитентов, а также активизировали взаимодействие с местными правоохранительными органами. При этом введение онлайнового мониторинга ATM-транзакций позволило только в течение 2005 г. провести около 15 задержаний мошенников.

Как сообщила Л.Макарова, в III квартале 2006г. на украинском рынке эксперты столкнулись с абсолютно новым видом мошенничества. Проводя инкассацию своих банкоматов, банки-эквайеры зафиксировали недостаток значительных наличных денежных сумм, при этом в историях авторизаций этих банкоматов операции на данные суммы зафиксированы не были. Расследование установило, что мошенниками практиковался перехват авторизационного запроса, инициирование которого проводилось с помощью карт с определенными номерами. В настоящее время расследование по данным мошенническим операциям продолжается. Снизить такого рода риски банки могут путем перехода на шифрование трафика от банкомата до хоста и строгого соблюдения соответствия стандартам безопасности данных PCI DSS.

Значительное место в рабочей программе конференции было уделено решениям в области риск-менеджмента и фрод-мониторинга. Так, с презентациями комплексных решений по мониторингу транзакций и предотвращению мошеннических операций, в рамках которых был рассмотрен также опыт их практического использования, выступили заместитель директора по развитию бизнеса компании OpenWay Service Кирилл Булгаков, директор по консалтингу компании БПЦ Алексей Демидов, менеджер по продажам отдела финансовых решений NCR Константин Хоткин, эксперт по новым технологиям ACI Worldwide Дмитрий Алексеев, директор по развитию бизнеса Compass Plus Григорий Кузнецов и генеральный директор компании TietoEnator Дмитрий Леньшин.

Подробно ознакомиться с наиболее интересными презентациями участников IX международной конференции “Безопасность пластиковых карт” вы можете на нашем сайте www.recon.ru.

Текст статьи читайте в журнале ПЛАС № 10 за 2006 год

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… предоплаченные платежные карты возникли как платежный инструмент в середине 1990-х гг., и первыми из них были карты Electronic Benefits Transfer (EBT) в США, на которые заменили ранее выдаваемые нуждающимся бумажные продовольственные сертификаты?