17 августа 2012, 16:17
Количество просмотров 333

Банкомат-один в поле воин

Банкомат-один в поле воин

Под обеспечением безопасности в рамках реали­зации проектов установки и эксплуатации банкома­тов обычно понимают

• обеспечение безопасности банков и других участников платежных систем;

• обеспечение безопасности держателей кар­точек.

Безопасность для банков

Говоря о безопасности для банков, мы имеем в виду сохранность наличных средств банка, заклады­ваемых в банкомат, устойчивость банкомата к по­вреждениям, а также защиту от совершения незакон­ных операций через банкомат.

Сохранность наличных средств банка, помещен­ных в банкомат, обеспечивается:

• системой мер по предотвращению несанкцио­нированной инкассации кассет из сейфа и наличнос­ти из кассет;

• корректной работой модуля выдачи наличных (cash-dispenser);

•    безопасностью хранения и передачи данных;

• защитой от несанкционированного доступа к дисководам банкомата;

• реализацией функции изъятия поддельных кар­точек, карточек, числящихся в стоп-листе, а также карточек, с которыми совершаются операции, напо­минающие мошенничество (три и более попытки на­бора неправильного PIN-кода и пр.).

Корректная работа модуля для выдачи наличных

В кассеты загружаются как новые, так и бывшие в употреблении, смятые и засаленные банкноты, и ха­рактеристики бумаги меняются не только от партии к партии, но и от банкноты к банкноте. Поэтому при выборе банкомата есть смысл обратить внимание на то, как зарекомендовал себя модуль выдачи наличных при работе с изношенными, мятыми и даже надорван­ными купюрами.

Сохранность кассет внутри сейфа и невозможность их несанкционированной инкассации

Решение этой проблемы обеспечивается:

• использованием специальных конструкций сей­фов, соответствующих стандартам безопасности, — при установке в охраняемых помещениях;

• установкой одного или нескольких сейфовых замков: кодового замка, замка с ключом или их ком­бинаций, например, ключа и кодового замка, кодово­го замка с сигнализацией — в качестве главного и кодового замка или кодового замка с сигнализацией — как дополнительного. В некоторых моделях банкома­тов применяется двойная комбинация сейфовых за­мков. В таком случае сейф открывают два человека, каждому из которых известна кодовая комбинация одного замка. Дополнительным средством защиты является стандартная комплектация сейфа замком с бесшумной сигнализацией;

• наличием на внутренней двери сейфа датчи­ков состояния двери, реагирующих на любое откры­тие или закрытие сейфа. Дата и время операции фиксируются журнальным принтером (и/или в элек­тронном журнале); соответствующая информация также может передаваться на внешние охранные ус­тройства;

• наличием электронного таймера задержки1 открытия дверей;

• наличием сейсмодетекторов, датчиков нагре­вания и т. д.;

• наличием сигнализации. Сигналы от внутрен­них детекторов банкомата пересылаются в систему управления банкоматами и могут также передаваться на внешние системы сигнализации различных типов. Сигнализация срабатывает под воздействием вибра­ции, нагревания, а также по команде переключателя статуса режима2; в этом случае информация о статусе текущего режима пересылается в хост-компьютер и может быть протестирована. Банкомат может быть связан с терминалом охранной системы (Security ter-minаl),

' При наличии таймера дверца сейфа открывается че­рез заранее установленный промежуток времени. За это время сигнал о попытке вскрытия сейфа может быть пере­дан на внешнее устройство.

2 Банкомат может функционировать в одном из двух режимов: нормальном (normal) или повышенной безопас­ности (supervisor).

обеспечивающим соединение с внешним пуль­том сигнализации. Терминал принимает и обрабаты­вает сигналы от сейсмодетекторов, датчиков нагрева, датчиков состояния дверей сейфа, а также контроли­рует расположенные рядом окна, двери и т. д.);

• возможностью встраивания видеокамеры внутрь банкомата;

• возможностью подключения банкомата к сис­темам внешнего обзора.

Сохранность средств в кассетах

Сохранность средств в кассетах обеспечивается механическим, электронным или электромеханичес­ким запиранием кассет; кроме того, кассеты могут снабжаться "индикатором вскрытия" (tamper-indicati­on) — устройством регистрации времени открывания кассеты, датчиком расхода платежных средств и дат­чиком звукового сигнала ввода кассеты в сейф.

Безопасность хранения и передачи данных

Одно из предпосылок обеспечения безопасности хранения и передачи данных — целостность информа­ционных связей между автоматами, осуществляющих информационный обмен с центральным компьютером системы в режиме реального времени, и центральным компьютером.

Существует определенная вероятность наруше­ния целостности канала обмена информацией между автоматом и компьютером путем подключения к нему специального устройства — спуфера (spoofer). Это устройство постоянно будет посылать банкомату ин­струкцию "выдать наличные", пока кассеты с банкно­тами не опустеют.

Спуфер — электронное устройство, подключе­ние которого к линии связи без соответствующих мер предосторожности не может быть обнаружено ни банком, ни банкоматом. Единственная функция устройства — имитация связи между банкоматом и центральным компьютером. Например, подключе-

ние к коммуникационной линии спуфера, постоянно передающего банкомату инструкцию "выдать на­личные", может привести к существенным потерям банковских средств, если не применена специаль­ная защита целостности линий связи и передавае­мой информации.

Незаконный терминал — это приспособление, которое, как и спуфер, встраивается в канал связи между центральным компьютером и банкоматом с целью "обмана" не банкомата, а всей системы. По сравнению со спуфером, незаконный терминал явля­ется более сложным устройством, с помощью которо­го можно получить доступ к информационным масси­вам, хранящимся в центральном компьютере, и ввести в центральный компьютер команду о выполнении любой финансовой операции, допустимой в системе. Таким образом, в отличие от спуфера, угрожающего сохранности средств в банкомате, незаконный терми­нал представляет собой потенциальную опасность для любого вклада, хранящегося в банке.

Способы защиты от внедрения в систему спуфера и незаконного терминала аналогичны. Это, во-пер­вых, установка технических средств и программного обеспечения, способного зафиксировать наличие незаконного терминала на линии связи, и, во-вторых, создание дополнительных трудностей для подключе­ния к линиям связи спуфера и незаконного терминала.

Другой способ защиты передаваемых данных — их шифрование, которое обеспечивается с помощью базового шифрующего устройства PIN-клавиатуры или шифрующего устройства контроллера клавиату­ры (ЕКС)3.

Базовое шифрующее устройство PIN-клавиатуры выполняет следующие функции:

•     шифрование передаваемых данных;

•    DES4 -шифрование введенного PIN-кода;

3 ЕКС — Encryptor keyboard controller, 4 DES — Data Encryption Standart — федеральный стан­дарт шифрования США.

Фрагменты нападения на банкомат POHIA EESTI PANK в апреле 1995 г. ,


ПРОБЛЕМЫ   БЕЗОПАСНОСТИ

• PIN-верификация с использованием криптоал-го ритма;

•    аутентификация передаваемых сообщений.

Попытки несанкционированного доступа к этому модулю или мошенничества с использованием шиф­рующего устройства вызывают удаление ключей шиф­рования.

Шифрующее устройство контроллера клавиатуры поддерживает те же функции, что и базовое шифру­ющее устройство PIN-клавиатуры, и дополнительно — функции "он-лайн" аутентификации и начальной за­грузки ключей в security-module банкомата с исполь­зованием алгоритма RSA. Попытки несанкциониро­ванного доступа к этому модулю или мошенничества инициируют переход в режим обеспечения повышен­ной безопасности, разрешающий доступ к этому модулю только с использованием пароля.

Защита от несанкционированного доступа к дисководам банкомата

Дисководы для работы с жестким диском (дисками) и дискетами предназначены для начальной установки операционной системы с гибких дисков, для обновле­ния стоп-листа при работе банкомата в офф-лайн режиме, для загрузки прикладного программного обеспечения (ППО) при невозможности его центра­лизованной рассылки и пр. Использование дисково­дов банкомата посторонними лицами, например, для установки специализированного ППО для перехвата PIN-кодов и номеров карточек или для внесения изме­нений в стоп-лист при работе банкомата в офф-лайн режиме может привести к самым печальным послед­ствиям. Поэтому для защиты от несанкционированно­го доступа к дисководам используется специальный чехол, который может быть заперт, опломбирован, а также подключен к системе сигнализации.

Изъятие карточек, числящихся в стоп-листе

Изъятие таких карточек обеспечивает специаль­ный механизм. В некоторых моделях предусмотрена

возможность подключения модулей проверки подлин­ности карточек   — CIM86, MM, Watermark.

Устойчивость банкомата к повреждениям склады­вается из:

• оборудования банкоматов специальными щи­тами;

• использования специальных покрытий для за­щиты монитора и клавиатуры от вандализма и клима­тических воздействий, наличия специальных шторок для приемного окна устройства чтения-записи карто­чек (картридера);

•    установки банкоматов 'через стену";

•    установки банкоматов в охраняемых местах;

•    наличия систем видеонаблюдения.

Тем не менее, возникают ситуации, когда ни ком­плектация картридера специальной шторкой, предот­вращающей взлом и попадание посторонних предме­тов внутрь банкомата, ни щиты, ни установка банко­матов "через стену*, ни даже системы видеонаблюде­ния не дают ожидаемых результатов.

Пользование банкоматами требует от держате­лей карточек не только некоторых навыков, но и оп­ределенного культурного уровня. Поэтому банки, устанавливающие свое оборудование, например, в помещениях институтов, должны быть морально гото­вы к дополнительным трудностям, связанным с удале­нием из банкоматов телефонных жетонов, монет и посторонних предметов. Причем при желании эти предметы можно поместить в банкомат, невзирая ни на какие шторки.

Аналогично дело обстоит и с и установкой защит­ных щитов и систем видеонаблюдения. За последний год в Эстонии, например, произошло три нападения на банкоматы (это немало, учитывая небольшое чис­ло установленных банкоматов). Причем два нападе­ния из трех совершены на банкомат, установленный 'через стену" здания центрального офиса Северного Эстонского Банка (Pohia Eesti Pank). При первом на­падении был разбит монитор, при втором — повреж­дено защитное стекло, установленное после первого

 

снятые скрытой камерой внешнего видеонаблюдения

нападения на банкомат. Оба нападения фиксирова­лись с помощью камер наблюдения, установленных по периметру здания банка. О камерах нападавший знал. Кроме того, весной 1995 г. зарегистрировано нападение на отделение Кейла-банка (Keila-Bank), в ходе которого преступники безуспешно пытались вскрыть сейф встроенного в стену банкомата произ­водства Olivetti.

Сложнее обстоит дело с предотвращением совер­шения незаконных операций через банкомат. Необ­ходимые предпосылки:

•    безопасность хранения и передачи данных;

• защита от несанкционированного доступа к дисководам банкомата и жесткому диску;

• изъятие поддельных карточек, карточек, числя­щихся в стоп-листе и карточек, с которыми соверша­ются операции, напоминающие мошенничество (3 и более попытки набора неправильного PIN-кода и пр.).

К сожалению, соблюдения вышеперечисленных ус­ловий явно недостаточно для предотвращения неза­конных операций в банкоматах по поддельным, похи­щенным и даже абсолютно легальным карточкам. Число подобных мошенничеств продолжает увеличи­ваться.

По словам Дэна Марчителло (Dan Marchitello), главы отдела Службы безопасности (Нью-Хэйвен, штат Коннектикут), банки предпочитают нести ежегодные потери до 30—40 тыс. долларов США, нежели пуб­лично признавать, что они стали жертвой мошенни­чества. С большой вероятностью это можно отнести и к российским банкам, предпочитающим сохранять все происходящее в тайне и производить расследова­ния собственными силами. Хотя большая часть приве­денных в статье примеров взята из зарубежной прак­тики, это не означает, что подобного рода мошенни­чества не совершаются в России.

Мы не раз уже сообщали о столь популярных видах мошенничества, как перехват отправленных по почте карточек и кража карточек, хранящихся вместе с PIN-кодом. По оценке Ричарда Янека (Richard Yanak), президента локальной сети банкоматов 'YANKEE 24", девять из десяти случаев мошенничеств такого рода совершаются друзьями и знакомыми жертвы и воз­можны только благодаря халатному отношению к хранению карточки и PIN-кода.

Нередки случаи, когда сам пользователь карточ­ки, получая в банкомате наличные, вытягивает из пачки банкнот в окне выдачи лишь несколько штук. Осталь­ные банкноты при этом отправляются в кассету для забытых купюр, а транзакция оформляется как сбой или возврат. Мошенник, в зависимости от склада своего характера, либо открещивается от получения денег в банкомате, либо сообщает, что ему непра­вильно выдали требуемую сумму. Такой способ мо­шенничества, безусловно, требует не только перво­начальных навыков в использовании банкомата, но и определенных знаний о его устройстве.

Перечисленные выше способы предполагают мо­шенническое использование настоящих, "дееспособ­ных* карточек как посторонним лицом, так и собствен­но держателем карточки. Возможность воспользо­ваться чужой настоящей карточкой у преступников появляется нечасто. Поэтому подавляющее большин­ство мошенничеств совершается с поддельными кар­точками, для изготовления которых мошенникам не­обходимо получить доступ к информации о номере карточки, состоянии счета клиента, PIN-коде и т. д.

Информацию о PIN-коде и номере связанного с карточкой счета получить несложно. В частности, в странах, где уличные банкоматы получили широкое распространение, так же широко распространено "подглядывание из-за плеча*. В 1993 г. в Нью-Йорке были задержаны сразу две банды, спецализирующи-еся на систематической записи чужих PIN-кодов. Правда, "подглядывание из-за плеча" осуществлялось на качественно новом уровне. Рационализируя свой труд, мошенники использовали для получения инфор­мации фургоны, напичканные перископами, видеока­мерами и специальным оборудованием для скрытой съемки, которые ставились в непосредственной бли­зости от банкоматов. Дополнительным источником информации служили выбрасываемые пользователя­ми банкоматов квитанции и выписки со счетов с про­ставленными в них номером счета и суммой остатка средств.

Более сложный способ был избран преступника­ми, установившими похищенный банкомат на ярмар­ке в Манчестере, штат Коннектикут. Машина была перепрограммирована на считывание данных с кар­точки, запоминание введенного PIN-кода и вывод на экран сообщения о сбое при выполнении транзакции. Используя полученные данные, мошенники изготови­ли поддельные карточки и успели получить деньги в различных сетях банкоматов на сумму около 107 тыс. долларов США. Когда преступники были разоблаче­ны, выяснилось, что они предполагали воспроизвести ту же схему еще в ряде мест и с этой целью по под­дельным документам закупили пять новых банкоматов Fujitsu, один бывший в употреблении Diebold и про­граммное обеспечение к ним.

Стал уже хрестоматийным случай, когда преступ­ники установили собственный банкомат рядом с при­надлежащим банку и использовали его для перехвата информации о номере счета и связанном с ним номе­ре карточки, а также PIN-кодов, вводимых держателя­ми карточек.

Техническая мысль развивается, и подтверждение тому — еще один оригинальный способ, позволивший преступникам похитить со счетов жертв изрядные де­нежные суммы. На этот раз мошенники действовали под видом службы безопасности банка, производя­щей "проверки на местах". Наметив жертву, пользу­ющуюся банкоматом после закрытия банковского отделения, преступники показывали ей фальшивые удостоверения и требовали предъявить банковскую карточку. Затем карточка вставлялась в некое ус­тройство с экраном", хранящееся в небольшом че­моданчике, а владельцу предлагали сообщить PIN-код или просто набрать его на клавиатуре и ответить на ряд вопросов (о дневном лимите снятия наличных и о величине только что снятой суммы). По окончании процедуры владельцу сообщалось, что карточка в порядке и он свободен. В течение следующего часа со счета держателя карточки снимались все налич­ные в пределах дневного лимита.

Тем не менее, это — мелкомасштабное жульничес­тво, хотя и выполненное на высоком техническом уров­не. Гораздо большие опасения вызывают участившие­ся случаи, когда группы мошенников получают доступ к внутрибанковской информации, затем приобретают оборудование для изготовления и персонализации кар­точек (причем вполне легально — под предлогом изго­товления карточек для внутренних целей компании). Имея доступ к банковской информации, мошенники превращают безобидный 'белый пластик' и обычные карточки в престижные 'золотые*. Подобные операции планируются заранее очень тщательно при поддержке и активном участии мафии. В 1994 г. преступной груп­пировке выходцев из Израиля удалось похитить более 65 тыс. долларов США, переводя средства с банков­ских счетов ни о чем не подозревающих истинных вла­дельцев. При этом мошенники широко использовали поддельные кредитные карточки.

На руку преступникам сыграли три обстоятельст­ва. Во-первых, для осуществления своего плана они выбрали Южную Африку — страну, где контроль за мошенничеством по карточкам находится на более низком уровне, чем, например, в Западной Европе. Во-вторых, преступники имели своего человека в банке Leumi (Израиль), от которого сумели получить внутрибанковскую информацию. В-третьих, свою роль сыграли связи с израильской мафией в Лос-Анжелесе и Южной Африке, которая помогла изго­товить поддельные карточки.

Преступники, прибыв в Преторию, открыли пункт обмена валюты и установили там два банкомата, которые обслуживали самостоятельно. В результате был получен список из 150 PIN-кодов кредитных карточек Visa, большинство которых было эмитиро­вано израильским банком Leumi. На основе получен­ной информации были изготовлены поддельные кар­точки, по которым из-за границы в Преторию и пе­реводились средства.

Единственное, чего не приняли в расчет преступни­ки, — это наличие в банке эффективной системы отсле­живания и регистрации транзакций, которые имеют подозрительное происхождение и не подходят под одну из стандартных моделей использования карточки. Про­следить путь нестандартных транзакций не составило труда, поскольку все операции совершались с теле­фонного номера одного из отелей Претории.

Безопасность для держателей карточек

Безопасность для держателей карточек (сохран­ность средств на карточном счете) наряду с перечис­ленными в разделе 'Безопасность для банков" метода­ми обеспечивается с помощью:

•    конфиденциальности ввода данных; -     •    гарантии сохранности забытых карточек в бан­комате;

•    гарантии сохранности наличных, забытых в окне выдачи банкомата. Конфиденциальность ввода данных

Конфиденциальность ввода данных обеспечива­ется:

•    углубленным расположением клавиатуры;

• устройством шифрования ЕРР (Encrypting PIN-Pad);

• экранным фильтром "приватности', представля­ющим собой тонкую пластину, покрывающую монитор, с целью уменьшения угла обзора и предотвращения чтения данных со стороны.

Сохранность забытых карточек в банкомате

Сохранность забытых в банкомате карточек дости­гается двумя способами:

• с помощью механизма захвата забытых карто­чек, которым комплектуется большинство моделей бан­коматов;

• программированием банкомата таким обра­зом, что выдача купюр не производится до извлечения карточки клиентом.

Сохранность наличных, забытых в окне выдачи банкомата

В банкоматах первых поколений купюры поступали к клиенту не в виде отдельной пачки, а падали в спе­циальный лоток, и возврат в банкомат забытых купюр реализован не был. В большинстве современных моде­лей банкоматов наличные поступают к клиенту через окно выдачи в виде пачки банкнот. Если банкноты не изымаются в течение определенного времени, вся пач­ка втягивается внутрь и транспортируется в специаль­ную кассету. Следовательно, существует гарантия со­хранности забытых средств внутри банкомата, и кли­ент может впоследствии их востребовать.

Выводы

Основная роль в создании надежно действующей системы безопасности сети банкоматов, безусловно, принадлежит банкам. Однако свой вклад в систему обеспечения безопасности могут внести и сами держа­тели карточек. От них требуется не так уж много: со­блюдать конфиденциальность при хранении и наборе своего PIN-кода, следить, чтобы карточки и квитанции с номерами счетов не попали в чужие руки, а также обращать внимание на любые отклонения в 'поведе­нии" банкоматов.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube