Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Фрод-мониторинг: не панацея, но альтернативы нет

(Нет голосов)

17.10.2013 Количество просмотров 2535 просмотров
Мошенничество в сфере платежных технологий по своему масштабу превратилось в глобальную криминальную индустрию

Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка


Продолжаем цикл интервью с признанными экспертами российского платежного рынка. Сегодня мы предложили поделиться своими взглядами на специфику современной ситуации с мошенничеством в платежной сфере Алексея Голенищева, директора дирекции мониторинга электронного бизнеса Альфа-Банка.

ПЛАС: В начале нашей беседы не могли бы вы представить общую оценку современной ситуации с фродом в платежной сфере? Какие виды мошенничества наиболее распространены в настоящий момент?

Ключевым видом фрода сегодня по-прежнему является скимминг, позволяющий скомпрометировать данные магнитной полосы

А. Голенищев: Не побоюсь повторить фразу, в последние годы ставшую традиционной для моих коллег: «мошенничество в сфере платежных технологий по уровню своей организованности, масштабам и географическому охвату уже давно превратилось в некую глобальную криминальную индустрию». Почему это произошло? Банковский бизнес развивается стремительно, причем развивается прежде всего за счет интеграции каналов доступа, иными словами, за счет привязки основных розничных продуктов к удаленным средствам доступа к счету, к услугам, к платежным картам, которые в свою очередь также являются средством доступа к счету и возможностям того или иного продукта. Соответственно, на все эти высокотехнологичные каналы направлено сегодня основное внимание преступников, которые ищут уязвимые места в данных направлениях.

Скимминг с использованием POS-терминалов более трудоемок, но тем не менее число этих инцидентов растет

И здесь на первый план встает вопрос цены хищения информации: любое мошенничество направлено на извлечение прибыли, по своей сути являясь бизнесом, хотя и криминальным, и, как любой бизнес, оно имеет свои затратные статьи. Поэтому, если мошенники видят, что в данный момент определенный канал банковских услуг недостаточно сильно защищен и его использование для кражи данных несложно и не слишком затратно, они акцентируют свои усилия на взломе именно этого канала. В принципе, высокопрофессионально похитить почти любые данные для мошенников не проблема – но в ряде случаев они просто не предпринимают усилий в направлении конкретных хорошо защищенных каналов, если на данный момент это финансово нецелесообразно, поскольку связано с высокими расходами, и при этом существуют более дешевые с точки зрения взлома варианты. Среди некоторых специалистов по информационной безопасности даже бытует такое мнение: «Вы думаете, у вас не украли деньги, потому что у вас их нельзя украсть? На самом деле до вас просто не дошла очередь». В понятие «очередь» в данном случае вкладывается сложность получения несанкционированного доступа, стоимость атаки и т. д.

Скимминг с использованием POS-терминалов более трудоемок, но тем не менее число этих инцидентов растет

Нельзя также забывать, что грань между потребностями бизнеса и необходимостью обеспечения безопасности сама по себе очень тонка. Да, в настоящее время у банков достаточно средств и возможностей, как финансовых, так и технологических, выстроить систему безопасности на высочайшем уровне. Однако такая система безопасности, помимо того, что окажется крайне дорогостоящей и громоздкой, просто-напросто разрушит розничный бизнес банка, поскольку любое ужесточение средств безопасности подразумевает достаточно большие «пользовательские» неудобства для клиентов за счет дополнительных процедур идентификации, аутентификации и т. п. Соответственно, чем больше надежность такой системы будет приближаться к максимуму, тем более трудоемким и сложным будет становиться процесс пользования банковскими услугами для клиентов банка. Хотя современные потребители более продвинуты с точки зрения понимания безопасности, чем это было еще каких-нибудь пять лет назад, вопрос «юзабилити» для них по-прежнему остается приоритетным при выборе банка. На этом фоне финансовым учреждениям очень важно соблюсти грань между простотой и понятностью канала предоставления услуг для розничного клиента и вопросами безопасности. Рассматривая текущую ситуацию с мошенничеством на платежном рынке, начнем с банковских карт. Ключевым методом атаки на здесь по-прежнему является скимминг, позволяющий скомпрометировать данные магнитной полосы. При этом наиболее популярен у преступников банкоматный скимминг. Банкоматы используются и как точки компрометации данных реальных карт, и для снятия наличных по поддельным картам, изготовленным с использованием похищенных данных. Это объясняется тем, что скимминг с использованием POS-терминалов более трудоемок: помимо персонализации «белого пластика», достаточного для использования в банкомате, в случае использования поддельной карты в торгово-сервисной сети преступникам необходимо изготовить карту, максимально похожую внешне на настоящую. Несмотря на то, что сейчас широко распространены недорогие цветные принтеры, с помощью которых можно напечатать практически все что угодно, а сама необходимость имитации защитной голограммы также перестала быть останавливающим фактором, это достаточно затратное производство. Кроме того, присутствует риск, что кассир в магазине, куда придет мошенник или так называемый дроп с фальшивой картой, распознает подделку, вызовет охрану и преступник будет задержан.

ПЛАС: Не могли бы вы рассказать подробнее о современных трендах банкоматного мошенничества?

А. Голенищев: Картина с банкоматным мошенничеством совершенно иная: на сегодняшний день здесь, к сожалению, практически отсутствуют сдерживающие факторы. АТМ-фрод давно уже превратился в прекрасно отлаженный международный преступный бизнес. Скимминговые устройства, которые могут копировать данные магнитной полосы, или всевозможные устройства вроде видеокамер или накладок на клавиатуру для компрометации ПИН-кода сегодня стоят копейки, при этом риск при их установке на уличные банкоматы практически отсутствует.

Вспомним, например, случаи установки таких накладок на банкоматы одного известного производителя. Само скимминговое устройство устанавливалось на ATM одним движением руки, удерживаясь с помощью двустороннего прозрачного скотча, а после завершения скимминговых операций точно так же легко снималось.

Налицо тенденция, когда мошенники, определяя по номеру скомпрометированной карты ее эмитента, стараются снимать деньги по изготовленному с использованием похищенных реквизитов «белого пластика» именно в банкоматах банка, выпустившего реальную карту. Известно, что для своих клиентов у кредитно-финансового учреждения лимиты снятия наличных зачастую выше, а система мониторинга транзакций настроена мягче, чем для клиентов «с улицы», что дает преступникам возможность с меньшим риском обналичить более крупные суммы, чем это было бы возможно сделать в АТМ сторонних банков.

Скиммеры, видеокамеры или накладки на клавиатуру сегодня стоят копейки, при этом риск при их установке на уличные банкоматы практически отсутствует

Также существует тенденция, когда с использованием данных реальной карты, которые незаконно копируются с помощью скимминговых устройств в одной стране, изготавливается «белый пластик» и затем снимаются денежные средства в других странах. В данном случае отчетливо наблюдается сильная миграция мошенничства в те регионы, которые еще не перешли полностью на чиповые карты. И если Европа на 99,9% уже завершила EMV-миграцию, то в ряде стран, например, в США – на крупнейшем мировом карточном рынке, ситуация просто плачевная. Американские эквайеры планируют полностью перевести свои POS-терминальные и банкоматные сети на обслуживание EMV-карт по чипу только в 2015 г. При этом к программе переноса ответственности по мошенническим операциям Chip Liability Shift для сетей АТМ и POS Соединенные Штаты присоединятся лишь в 2016 г., причем это объявила пока толькоMasterCard. Таким образом, эмитент скомпрометированной чиповой карты, данные магнитной полосы которой были похищены в результате скимминга в Европе, а средства по которой были незаконно сняты в банкомате в США, не сможет оспорить такую транзакцию и понесет потери от фрода, несмотря на то, что вложил огромные средства в EMV-миграцию своей карточной программы. И поэтому в данном случае огромную роль играет качество системы мониторинга банка-эмитента. Не секрет, что определенные подозрительные операции по картам в конкретно взятых странах с конкретным рисунком активности довольно легко выявляются эффективной системой фрод-мониторинга. Но для предотвращения мошенничества системе недостаточно обнаружить подозрительную транзакцию: банку необходимы механизмы, которые быстро проанализируют полученную информацию и позволят в режиме реального времени принять решение о дальнейших действиях, будь то мгновенная блокировка карты, мгновенное уведомление клиента о попытке проведения подозрительной транзакции и т. д. Чем быстрее эта цепочка сможет срабатывать, тем меньше потерь понесет банк . Разумеется, можно очень «жестко» настраивать системы, использующие популярные технологии нейронных сетей и т. п., но тут мы возвращаемся к вопросу баланса бизнеса и безопасности. Излишне жесткие настройки системы усложняют не только работу мошенникам, но и использование карты клиентом. Необходимо избегать и слишком грубой настройки закладываемых в систему правил о срабатывании неких определенных банком-эмитентом условий за рубежом, ведь любые настроенные условия достаточно формализованы под какую-то поведенческую структуру. В результате законный держатель карты, инициировавший транзакцию, случайно подпавшую под действие правила (что, как показывает практика, чаще и случается), получит серьезные проблемы при оплате покупки по карте, да еще находясь при этом в чужой стране, вплоть до риска задержания с препровождением в полицейский участок. Следствие такого инцидента для банка – потеря лояльности клиента и нанесение значительного ущерба собственной репутации. Неудивительно, что кредитно-финансовые учреждения, понимающие последствия таких репутационных рисков, готовы скорее потерять деньги в результате мошеннической транзакции, чем утратить лояльность клиента. Особенно с учетом современных каналов обмена информацией, таких как социальные сети, где любые негативные отзывы распространяются мгновенно, увеличивая неблагоприятные последствия для банка.

Ряд случаев выявления поддельных банкоматов был зафиксирован и в Киеве, и бук - вально пару месяцев назад – в Москве

ПЛАС: Возвращаясь к проблеме скимминга: какие варианты противодействия данному виду мошенничества вы видите наиболее эффективными?

А. Голенищев: На рынке представлено сегодня множество различных видов средств защиты от скимминга. Сначала финансовые учреждения массово устанавливали на банкоматы пассивные антискимминговые решения: всевозможные накладки на слот картридера в виде полушарий, клювов и т. д. Цель размещения на АТМ таких устройств заключалась в том, чтобы затруднить злоумышленникам установку своих «скиммеров». Но, как показала практика, данные средства защиты дают больше негативный, чем положительный эффект. Огромное многообразие пассивных антискимминговых устройств и промышленное качество производимых сегодня скиммеров, убедительно копирующих их дизайн, привело к тому, что не только клиенты, но уже сами сотрудники банка не всегда понимают, что за накладка установлена на АТМ – скимминговая или антискимминговая. К тому же некоторые антискимминговые устройства портят внешний вид банкоматов.

Справедливости ради надо отметить, что пока еще далеко не все банки отказались от пассивных средств защиты от скимминга. Например, недавно один крупный российский банк заказал большую партию пассивных антискимминговых устройств уникального дизайна. Однако, полагаю, этот «положительный эффект» не более чем вопрос времени: при «целевой задаче» мошенники смогут изготовить специальную скимминговую накладку под особенности дизайна именно этих устройств. Поэтому панацеи я здесь не вижу.

Решение данной проблемы в той или иной степени лежит сейчас, скорее всего, несколько в иной плоскости. Уже достаточно давно появились активные антискимминговые устройства, создающие электромагнитные помехи непосредственно в зоне потенциального размещения скиммингового модуля, которые препятствуют корректному копированию данных магнитной полосы карты. Эти решения приобретаются и устанавливаются сегодня многими крупными банками, включая Альфа-Банк. Они представляют собой своего рода рамки вокруг слота картоприемника, работающие следующим образом: когда держатель помещает карту в картоприемник, срабатывает датчик и включается устройство, генерирующее достаточно мощное электромагнитное излучение, направленное на область картоприемника. В результате на запись данных магнитной полосы карты (осуществляемой с помощью магнитной головки предполагаемого скиммингового устройства) накладываются электромагнитные помехи, исключающие возможность корректного считывания данных скиммером, карта же затягивается дальше в банкомат, в устройство штатного картридера. Стоимость подобного устройства составляет порядка 500–2000 долларов. Сегодня некоторые производители банкоматов уже предлагают свои системы активного антискимминга в качестве опции.

Сегодня не только клиенты, но и сами сотрудники банка не всегда понимают, что за накладка установлена на АТМ – скимминговая или антискимминговая

Казалось бы, проблема скимминга практически решена. Однако в последнее время здесь появляется новая опасность – стереоскимминг. В России уже выявлено несколько случаев применения данного вида мошенничества, пришедшего к нам из Европы. Принцип работы стереоскимминга следующий. Как правило, скимминговое устройство копирует данные со второй из трех дорожек магнитной полосы карты. Практически по всему миру банки-эмитенты записывают данные держателя карты на первую и вторую дорожки, оставляя третью дорожку пустой. Так вот, одна дорожка магнитной головки стереоскиммера копирует информацию со второй дорожки магнитной полосы и помехи активного антискиммингового устройства. Вторая дорожка головки скиммингового модуля «записывает» данные третьей, пустой дорожки магнитной полосы, вместо отсутствующих данных которой и «записывается» тот шум, который наводит устройство активного антискимминга. Впоследствии с помощью несложных процедур производится несложная операция вычитывания записи электромагнитных помех из записи, содержащей полезную для преступника информацию с данными держателя карты. Отмечу, что некоторые последние модели известных поставщиков активных антискимминговых решений предотвращают и возможность стереоскимминга, но, к сожалению, пока далеко не все. Поэтому стереоскимминг все еще остается популярным. В качестве решения данной проблемы можно предложить банкам-эмитентам записывать некую информацию и на третью дорожку магнитной полосы, например какие-либо случайные данные, или продублировать первую или вторую дорожку.

Очередным новшеством в области несанкционированного получения конфиденциальной информации стал звуковой скимминг. Случаи применения данного метода мошенничества уже были зафиксированы в Норвегии, во Франции и Германии. В отличие от классического скимминга при звуковом скимминге считывающее устройство не устанавливается на приемное окно картридера АТМ. Мошенник, например, снимает у банкомата фальш-панель, за которую обычно вставляются рекламные листовки, и встраивает в нее антенну, после чего устанавливает ее назад. Данный направленный приемник улавливает электромагнитные волны в звуковом диапазоне, исходящие при считывании информации с магнитной полосы карты магнитной головкой картридера банкомата. Впоследствии эти колебания оцифровываются для получения данных держателя карты. Препятствовать работе звуковых скиммеров могут активные антискимминговые устройства, как и в случае обычных скиммеров с магнитными головками.

Говоря о новинках скимминга, могу еще отметить: недавно проводились лабораторные исследования возможностей так называемого температурного скимминга (thermal-skimming). Температурный скимминг применяется как механизм копирования ПИН-кода и основывается на том, что клавиши клавиатуры банкомата, которых касается клиент при наборе ПИН-кода, нагреты более интенсивно, причем каждая из них – более или менее, в зависимости от очередности их касания. Термальные камеры скиммингового устройства могут «сфотографировать» в инфракрасном диапазоне уровень нагрева клавиш и, исходя из полученных данных, вычислить ПИН-код. Однако здесь необходимо учитывать, что держатель карты может набирать помимо ПИН-кода еще ряд комбинаций – например, сумму к получению, а также тот факт, что в очереди к банкомату может оказаться значительное число клиентов, каждый из которых своими действиями при снятии денег дополнительно нагревает клавиатуру АТМ. Поэтому я полагаю, что дальше лабораторного тестирования этот вид мошенничества не продвинется. Тем более что при «промышленном» использовании данного метода копирования ПИН-кода мошеннику придется каждый раз после клиента подходить (причем достаточно быстро) к банкомату для проведения съемки, а это, согласитесь, более трудоемкая и рисковая «логистика», чем разовая установка поддельных клавиатур или видеокамер.

Случаи установки на АТМ скимминговых накладок, имитирующих пассивные антискиммминговые устройства, давно уже перестали быть редкостью в России

ПЛАС: В России недавно было выявлено несколько случаев использования поддельных банкоматов. Вы оцениваете их как некий новый способ мошенничества или, вспоминая эпизоды выявления поддельных банкоматов в Европе в конце 1980-х – начале 1990-х гг., как хорошо забытое старое?

А. Голенищев: Поддельные банкоматы – этот тренд действительно далеко не нов. Когда в 1995 г. я пришел в банк и впервые окунулся в проблемы безопасности, мне рассказывали про один харизматичный случай. В одном из американских городов на улице стоял подделный банкомат, по сути, представляющий собой просто корпус АТМ. Внутри этого банкомата сидел негритенок, который «работал» картридером, т. е. втягивал внутрь карты клиентов, желающих снять наличные, каким-то образом подсматривал набираемый ПИН-код, после чего передавал карту кому-то из своих подельников, который тут уже снимал с нее деньги в реальном банкомате за углом. Не знаю, анекдот это или нет, но в начале 2011 г. имел место один нашумевший случай, когда поддельный банкомат обнаружи- ли в торговом центре в Киеве. АТМ был установлен очень грамотно, в одном ряду с банкоматами различных банков, и привлекал потенциальных жертв рекламой снятия наличных без комиссионных. Клиент подходил, вставлял в банкомат карту, набирал ПИН-код и желаемую сумму. На все операции банкомат давал отказ и возвращал карту, предварительно скопировав с нее конфиденциальную информацию. Незаконно полученные данные держателя карты, включая ПИН-код, направлялись на установленный внутри поддельного банкомата 3G-модем, который в режиме реального времени пересылал эти данные мошенникам через мобильный интернет. Учитывая, что фальшивый банкомат простоял в торговом центре не один день, от действий злоумышленников понесло ущерб значительное количество банковских клиентов.

Ряд случаев выявления поддельных банкоматов был зафиксирован буквально пару месяцев назад в Москве. Один из них, брендированный логотипом ранее существовавшего Внешинвестбанка, был установлен в торговом центре на Охотном Ряду, еще несколько фальшивых АТМ были обнаружены в столичных аэропортах, а также в городах Чувашской Республики и в Сочи.

Возвращаясь к банкоматному мошенничеству, необходимо упомянуть еще одну тенденцию, которая пришла в Россию в 2012 году, – но если раньше это были разовые случаи, то сейчас такого рода инциденты происходят все чаще. Речь идет о траппинге – т. е. о захвате карты при вводе ее в слот картридера (кард-траппинг (card-trapping) либо захвате наличных в момент их выдачи банкоматом (кэш-траппинг (cash-trapping).

Захват карты не представляет собой столь серьезной угрозы по сравнению со скиммингом, поскольку это все-таки разовые, хотя и повторяющиеся атаки. На зону картридера мошенниками устанавливаются специальные механические накладки (не путать с так называемыми ливанскими петлями), которые «захватывают» карту, когда держатель вводит ее в картоприемник АТМ. Зачастую рядом с жертвой оказывается мошенник, советующий держателю карты, находящемуся в явно стрессовой ситуации, повторно ввести ПИН-код, чтобы банкомат выдал карту обратно. Разумеется, после ввода ПИН-кода свою карту держатель не получает, но при этом зоркий злоумышленник уже владеет информацией о ПИН-коде, которой он может воспользоваться для снятия наличных с захваченной карты. Последнюю преступник вытащит из снятого с банкомата «захватывающего устройства» сразу после ухода законного держателя. Однако повторюсь, такие атаки являются одиночными и не несут системного риска для бизнеса, так как данные карт массово не компрометируются.

Мошенники стали использовать и более продвинутую, ставшую сегодня достаточно популярной схему так называемого Transaction Reversal Fraud (TRF) – более сложного вида кэш-траппинга

Кэш-траппинг представляет собой более серьезную опасность. Данный способ хищения наличных бывает двух видов. В первом случае кэш-траппинг является разовой кражей денег непосредственно у клиента: на зону презентера АТМ устанавливается специальная ловушка (это механические зажимы разных конструкций и устройства с супервязким клеем), которая захватывает денежные средства в момент выдачи их банкоматом. Второй вариант кэш-траппинга более сложный и является уже атакой как против клиента, так и против банка. Злоумышленник использует для хищения денег специальное механическое устройство, так называемую вилку, или «рогатку», которая устанавливается внутрь механизма выдачи наличных банкомата. Схема такова: мошенник самостоятельно производит операцию снятия по карте денежных средств на небольшую сумму в АТМ, в момент получения денег он механически отжимает шторку презентера банкомата и вставляет ловушку («рогатку»), после чего шторка закрывается. Последующая операция снятия наличных тем или иным добросовестным держателем карты заканчивается захватом денег – купюры упираются в специальный ступор «рогатки» и остаются внутри банкомата. Клиент, не получив денег, уходит, преступник возвращается, выламывает шторку презентера и вынимает ловушку с попавшими в нее денежными средствами. Такого рода атака также носит разовый характер, однако в дальнейшем мошенники стали использовать более продвинутую схему, так называемый Transaction Reversal Fraud (TRF) – мошенничество, связанное со снятием наличных денежных средств в банкомате.

Для применения этого метода мошенничества злоумышленник открывает в банке карту на дропа или на себя и кладет на депозит некую денежную сумму – например, 50 тыс. рублей. После чего, установив по вышеописанной схеме ловушку в банкомат при снятии небольшой суммы со своей карты, он проводит операцию снятия наличных на всю сумму остатка. Банкомат не может корректно завершить операцию по выдаче и «оценивает» ситуацию как сбой, о котором в банк, процессинговый центр (хост) поступает соответствующая информация с «командой» проведения операции reversal (онлайн-отмены операции выдачи наличных), в результате чего деньги, заблокированные ранее при операции снятия наличных, возвращаются на счет (снимается «холд»), а мошенник описанным выше способом забирает деньги из ловушки. А поскольку снятые средства вновь «вернулись» на счет, мошенник таким же способом снимает их уже в другом банкомате. Т. е. все происходит по принципу сказочного «неразменного пятака». И такие манипуляции могут быть осуществлены многократно, пока банк не выявит эти действия и не заблокирует карту. Подобные случаи какое-то время назад были очень популярны в России, сейчас волна TRF немного спала, но этот метод продолжает практиковаться ввиду дешевизны изготовления самой ловушки и принципа использования.

В качестве противодействия данному виду мошенничества производители банкоматов предлагают различные технические решения – от установки системы сигнализации, реагирующей на взлом шторок презентера, до усиленных бронированных шторок, которые невозможно сломать. Но опять же – это достаточно дорого, при желании же сломать можно все. Но согласно практике, в защите от данного вида мошенничества наиболее эффективно показала себя настроенная система фрод-мониторинга и комплекса противодействия, в результате чего мошенники сами оказывались в «ущербе» и не могли снять с карты даже изначально внесенные на них средства.

Как я уже отмечал, и в случае с активным и пассивным антискиммингом, нельзя забывать, что в принципе можно надежно защитить любую систему, но если это сделает ее сложной в использовании, недовольство со стороны клиента не заставит себя ждать. В то же время правильно настроенная система мониторинга с грамотно настроенными политиками и правилами, а также организационно-технологическими мероприятиями позволяет решать достаточно много проблем, не беспокоя клиентов понапрасну и не причиняя им неудобств.

ПЛАС: Какие виды мошенничества злоумышленники практикуют сегодня для атак на POS-терминалы?

А. Голенищев: В сфере POS-терминального оборудования, конечно, также существует опасность хищения данных карты. В Европе уже зафиксировано несколько случаев задержания с так называемыми шимминговыми устройствами (chip shimming device). В «шимминге» используется очень тонкая, гибкая плата – шим, или так называемая прокладка, которая устанавливается в чиповый картридер POS-терминала. Шим представляет собой некий фрагмент аналога платежной карты с элементом, имитирующим контактную группу чипа, к которому подключен программный модуль управления. Эта «прокладка» вставляется в чип-ридер POS-терминала. Далее, когда законный держатель расплачивается своей картой через POS-терминал, «прокладка» оказывается между контактной группой чипа карты и чип-ридером терминала, что позволяет устройству перехватить конфиденциальную информацию в момент «коммуникации» чипа карты и чип-ридера POS-терминала.

Термальный скимминг основывается на том, что клавиши клавиатуры банкомата нагреты неравномерно, в зависимости от очередности их использования клиентом при наборе ПИН-кода

Хотя документально в официальных источниках информация по шимминговым атакам пока отсутствует, однако следует иметь в виду данный риск, и, возможно, к нему стоит готовиться.

Не остались без внимания мошенников и мобильные, или mPOS-терминалы. Это простейшие устройства – картридеры, которые, как правило, вставляются в разъем аудиовыхода смартфона и позволяют считывать данные платежной карты с помощью специального мобильного приложения. Очевидно, что с точки зрения безопасности такого рода устройства вызывают массу вопросов.

В США mPOS-терминалы Square уже охватили огромный рынок с многомиллионными оборотами, в Европе наибольшей популярностью пользуются мобильные терминалы iZettle, поскольку они работают только с чиповыми картами.

В 2013 году аналогичные мобильные устройства для приема платежей (PayMe, 2can, LifePay и др.) были запущены в России. Альфа-Банк первым разработал устройство, которое стало работать как мобильный mPOS-терминал, передающий считанные с магнитной полосы данные в формате 3DES. Кодирование информации магнитной полосы карты идет непосредственно в самой магнитной головке, после чего считанная информация в зашифрованном виде отправляется на хост. Соответственно, пересылаемые данные невозможно скомпрометировать, поскольку при шифровании используются ключи банка, что обеспечивает конфиденциальной информации высокий уровень защиты.

Разумеется, в этом случае также существуют риски, поскольку областью применения mPOS-терминалов является малый и средний бизнес. В частности, это могут быть мелкие предприниматели, которым гипотетически за определенную долю может быть предложено участие в криминальном бизнесе с хищением карточных данных при помощи, например, поддельных мобильных терминалов. Поэтому здесь очень важен строгий контроль деятельности предприятий и частных предпринимателей, которым передаются mPOS-терминалы для приема платежей, со стороны банков-эквайеров, а также некая настройка самих этих мобильных устройств – лимиты на суммы платежа, ограничение количества операций в течение определенного временного периода и т. д. Соответственно, в рамках политики безопасности банка необходимо настраивать mPOS-терминал с учетом среднего чека, частоты операций, оборота, доверия к конкретной компании и т. д.

Однако в настоящее время я не вижу явно выраженного тренда, подтверждающего, что у бизнеса mPOS-терминалов в России огромное будущее. Потому что по своей сути мобильный терминал является неким «транспортом», который подключается к сотовому телефону. В большинстве случаев он позволяет лишь заменить ручной ввод данных карты считыванием магнитной полосы или чипа. Сейчас мобильный телефон стал настолько распространенным и многофункциональным устройством, что, по моему мнению, mPOS-терминалы вскоре будут заменены мобильными приложениями в телефоне без каких-либо дополнительных внешних устройств.

Тем не менее нельзя забывать, что банковский терминал – это банковское оборудование с определенным уровнем доверия. Когда же мы говорим о телефоне, то это уже не банковское оборудование, и «уровень доверия» здесь почти отсутствует, несмотря на «рекламируемую» защищенность/закрытость операционных средств. В настоящее время уже наблюдается выявлено довольно много случаев взлома операционных систем и приложений смартфонов с «заражением» специальными троянскими программами. Я предполагаю, что в дальнейшем вредоносные программы для сотовых телефонов станут серьезным трендом в сфере мошеннической деятельности, к которому необходимо готовиться – в частности, разрабатывать антивирусное ПО для телефонов, отделять модуль NFC от SIM-карты, защищать внутренние коммуникации и т. д. И поскольку сейчас банки активно продвигаются в область мобильной коммерции с точки зрения торговых эквайринговых сегментов и банковских сервисов, то уделять пристальное внимание безопасности нужно именно на этапе разработки новых продуктов и приложений. Приводя в пример наш банк, отмечу, что разработка всех продуктов Альфа-Банка, связанных с дистанционными сервисами, с эквайрингом и с электронной коммерцией, уже на этапе формирования ТУ происходит с привлечением специалистов по безопасности. Как показывает практика, увеличение при таком подходе сроков и сложности, а также, возможно, стоимости разработки компенсируется тем, что на выходе продукта у нас уже сняты основные риски, и сформировано четкое понимание, какие остаточные риски и угрозы можно получить с его запуском, а также предусмотрена определенная защита с учетом существования данных рисков. Поскольку борьба с негативными последствиями уже запущенного без такого подхода бизнеса, как известно, требует существенных финансовых затрат, очень много интересных коммерческих продуктов в разных компаниях было в свое время свернуто ввиду того, что обеспечить их безопасность оказалось практически нереально.

К сожалению, зачастую мошенники на шаг опережают разработчиков новых финансовых сервисов, и предвосхитить их действия трудно и недешево. Конечно же, банки с их финансовыми возможностями могут и делают многое от них зависящее в области безопасности. В большинстве банков технологии, продукты и каналы максимально защищены. Но нужно учитывать, что им при этом часто приходится использовать сервисы и каналы сторонних компаний, интернет-провайдеров, сотовых операторов и т. д., на уровень и технологии защиты которых банкам влиять сложно, что создает дополнительные риски.

Я уже упоминал, что стопроцентной защиты от преступной деятельности не существует. Поэтому, помимо всего прочего, особое внимание необходимо уделять мониторингу (причем именно в формате онлайн): по сути, он является оптимальным и эффективным решением, которое позволяет, не перегружая бизнес различными дополнительными технологиями – регистрации, аутентификации, авторизации и т. п., – выявлять и предотвращать фрод, минимизируя финансовые и репутационные потери банка от мошеннических операций, при этом не снижая пользовательского удобства и привлекательности продуктов и сервисов для клиентов.


Читать полную электронную версию Журнал ПЛАС № 10 (197) 2013

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… деньги из раковин на Соломоновых островах отличаются устойчивостью к любым финансовым кризисам? Если население отдаленных островов используют раковины в качестве расчетной единицы, то в более цивилизованных местах архипелага такие деньги используются как надежный запас на черный день, в то время как расчеты ведутся «обычными» деньгами. Недостаток у них один – недолговечность: раковины хрупкие, часто ломаются. Из-за этого денежная масса остается стабильной и не нарастает, что позволяет поддерживать постоянный курс.