курс цб на 19.01:
56.7597
69.2582
курс криптовалют:
11286.1 $
1023.43 $

Безопасность в платежной сфере: что было и к чему готовиться?

9 января 2018 15:04 Количество просмотров298 просмотров

Журнал «ПЛАС» выяснил у экспертов в сфере безопасности, какими событиями ознаменовался 2017 г. и что ждать от наступившего 2018 г. 

2017 год был очень насыщенным и в плане событий безопасности платежных технологий. А поскольку на него пришелся памятный юбилей – с момента установки первого в мире банкомата прошло 50 лет, – хотелось бы начать с двух основных тенденций, связанных с атаками на эти устройства самообслуживания.

По мнению независимого эксперта Николая Пятиизбянцева, количество случаев установки скимминговых устройств в России продолжает снижаться, проблема скимминга практически отошла на второй план и стала незначительной. Связано это в первую очередь с требованием ЦБ РФ выпускать с 2015 года исключительно микропроцессорные карты, также крупные российские банки-эквайреры в большом количестве оснастили свои банкоматные сети устройствами активного антискимминга.

Напротив, серьезную проблему продолжают составлять атаки, направленные на несанкционированную выдачу наличных банкоматами: прямой диспенс – либо с использованием вредоносного программного обеспечения, либо аппаратными средствами типа black box. Особенно тревожным было сообщение от одного из ведущих вендоров о появлении новой разновидности black box атаки с использованием… эндоскопа. По мнению экспертов, в настоящий момент такая атака может нейтрализовать любые защитные средства. Возможно, в 2018 году мы столкнемся с массовым проявлением данной атаки.

Использование преступниками вредоносного программного обеспечения для выдачи наличных денежных средств также несколько изменилось. Если на первоначальном этапе заражение банкоматов, как правило, осуществлялось локально, то в настоящий момент это делается в большинстве случаев удаленно, путем захвата контроля над компьютером, с которого осуществляется штатный удаленный контроль над банкоматами. Данная тенденция сохранится и в 2018 году. С одной стороны, это связано с тем, что имеет место общий тренд смещения фокуса атаки на банковские системы. После такого проникновения за защищаемый периметр злоумышленнику достаточно получить управление над компьютером, удаленно управляющим банкоматами, в результате возможно заражение большого количества устройств и как следствие, большая экономическая эффективность атаки. С другой стороны, в настоящий момент отсутствуют какие-либо требования по средствам удаленного управления ATM. Инструментарий, предлагаемый производителями банкоматов для банков, все еще достаточно дорог. Поэтому многие для данной цели используют более дешевые решения типа R-admin, active directory и т. п. Данные решения позволяют выполнять задачи по удаленному управлению банкоматами, но снижают уровень их защищенности. Вероятно, тенденция атак на банки и процессинговые центры в 2018 году усилится, так как такие атаки становятся проще и выгоднее.

В 2017 году произошли значимые события в области уголовного права, которые, безусловно, скажутся на 2018-м. В уходящем 2017 году все большее распространение получила технология токенизации: Apple/Samsung/Android Pay. В связи с положительными моментами данных сервисов появились и случаи их мошеннического использования. В настоящий момент все они связаны с несанкционированной регистрацией чужой карты в приложении. В результате чего злоумышленник получает в свое распоряжение полноценное электронное средство платежа. Учитывая, что верификация держателя в этом случае происходит не по ПИН-коду, который выдал банк или выбрал легитимный держатель, а по ПИН-коду, выбранному злоумышленником на своем мобильном устройстве, или же по его отпечатку пальца, то мошенник пользуется данным средством без ограничений.

По мнению одного из ведущих экспертов в области безопасности, в некоторых вопросах токенизация, используемая в сервисах Pays, – шаг назад по сравнению с EMV-технологией с точки зрении рисков. Уже сейчас существуют теоретические разработки по перехвату и несанкционированному использованию токенов, и, возможно, вскоре мы на практике столкнемся с результатами их практической реализации, которые по понятным причинам не заставят себя ждать.

В 2017 году также произошли значимые события в области уголовного права, которые, безусловно, скажутся в 2018-м. С 1 января 2018 года вступает в силу статья 274.1. УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». Учитывая, что Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» относит к субъектам КИИ информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в том числе в банковской сфере и иных сферах финансового рынка, данная статья, безусловно, коснется противоправных действий в платежных технологиях и кибератак на банковские системы.

Очень важным является Постановление Пленума Верховного суда Российской Федерации от 30 ноября 2017 г. № 48 «О судебной практике по делам о мошенничестве, присвоении и растрате». Из положительного можно отметить решение считать момент изъятия денежных средств с банковского счета их владельца моментом окончания преступления. Это будет способствовать возбуждению уголовных дел по месту хищения безналичных денежных средств.

Ранее материалы по таким фактам пересылались «по территориальности», и переписка продолжалась месяцами без возбуждения и расследования уголовных дел. Есть и решение, которое, напротив, может существенно затруднить процесс возбуждения уголовных дел. Речь идет о решении квалифицировать хищение от способа приготовления: конфиденциальная информация передана злоумышленнику самим держателем платежной карты; путем создания поддельных сайтов, использования электронной почты; использование чужих учетных данных без вмешательства в штатный процесс либо с вмешательством, которое нарушает штатный процесс. Дело в том, что для этого необходимо будет предварительно установить, каким образом осуществлялось приготовление к хищению. А сделать это без возбужденного уголовного дела будет значительно труднее.

Читайте также об итогах и прогнозах в других направлениях платежной сферы в колонке редактора свежего номера журнала «ПЛАС». 

По материалам PLUSworld.ru




В рубриках:
Безопасность
Форум экспертов
50-рублевые банкноты – слухи об их смерти явно преувеличены
На платежном рынке России одним из главных событий уходящего года стал ввод в обращение новых купюр номиналом 200 и 2000 рублей. В декабре 2017 г. ряд СМИ активно обсуждал информацию о выводе из оборота 50-рублевых купюр через пять лет в связи с политикой ЦБ по сокращению наличного денежного оборота в стране. Эксперт-консультант, партнер компании Currency Research (США), член Международной ассоциации IACA Виктор Ионов считает подобные тезисы и столь долгосрочный прогноз довольно наивными. Об этом он рассказал порталу PLUSworld.ru.
29 декабря 2017 13:04
eIDAS – новый гарант доверия к электронным транзакциям в Евросоюзе?
О сути грядущих законодательных изменений на рынках стран Евросоюза рассказывает Павел Есаков, эксперт по системам аутентификации компании CompuTel System Management. 
25 декабря 2017 14:15
Робоэдвайзерам есть чему поучиться у автомобильной промышленности
«Количество роботов превысит количество людей на планете Земля к 2035 году», – таким прогнозом поделились с индустрией эксперты на форуме инновационных финансовых технологий «Финополис-2017» в Сочи. В современном мире машины становятся неотъемлемой частью нашей жизни, и все большее значение они приобретают и в сфере финансовых услуг. Так, робоэдвайзеры (роботы-консультанты) играют важную роль в управлении активами, помогая инвесторам осваивать цифровую торговлю за счет использования автоматизированных решений. Однако насколько успешными в реальной жизни окажутся гибридные решения, пока не ясно. Финтех-индустрии стоит обратить внимание на уроки из опыта автомобильной промышленности, чтобы избежать ошибок, которые могут замедлить технологический прогресс, считает Игорь Домброван, директор отдела институциональных продаж, Saxo Bank. 
22 декабря 2017 14:25
Лента новостей
Безопасность
Мероприятия SiGMA 2017: Итоги
18 января 2018 13:41
Количество просмотров 114 просмотров
Криптовалюты Биткоин резко упал в цене 
11 января 2018 13:59
Количество просмотров 424 просмотра