Безопасность онлайн-платежей. Так ли они опасны?

Безопасность онлайн-платежей. Так ли они опасны?

Сущность природы такова, что для гармонии миру присуща двойственность вещей. Это рассуждение верно не только для философов, но и для «практиков». Онлайн-платежи дают клиентам банков удобство и скорость, но вместе с тем привлекают огромное количество злоумышленников, норовящих запустить руку в чужой карман. Чтобы не стать жертвой мошенников, достаточно соблюдать несколько простых правил.

 

 

1. Введение

2. Удобство неоспоримо

3. Ложка дёгтя

4. Реалии

5. Почему сложились такие реалии?

6. Всё ли настолько плохо?

7. Банковские стандарты

8. Что делать нам, держателям карт?

 

Введение

Немало лет прошло с момента развала СССР, но психологический шлейф сознания общества тех лет прослеживается и сейчас. К примеру, большинство людей по-прежнему больше доверяют свои деньги матрасам, шубам и полотенцам в шкафу, чем вкладу в банке. А, если где-то вдруг образовывается очередь, у человека подсознательно срабатывает «инстинкт дефицита». Слова «кто последний» уже сами стремятся сорваться с губ. Но все меняется. Меняются моральные ценности, технологии, но некоторые страхи и пережитки «идут в ногу со временем». Насколько сегодня опасны онлайн-платежи? Что можно противопоставить киберпреступникам и что делать, если деньги начали «уходить» со счёта? Ответы на эти и некоторые другие вопросы мы попытались дать ниже.

 

Удобство неоспоримо

Спрос, как известно, рождает предложение. А еще говорят, что лень – это двигатель прогресса. Думается, именно эти два принципа в полной мере отражены в онлайн-платежах. Но все же главное – удобство и скорость. Судите сами: не нужно носить с собой полный кошелек «бумажек», не нужно стоять в очереди к операционисту банка, чтобы оплатить коммунальные услуги. Интернет-банкинг сегодня и вовсе включает в себя весь перечень сервисов, доступных «в окошке», и даже больше. С помощью пластиковой карты можно совершать покупки в интернет-магазинах, бронировать гостиницы, покупать железнодорожные и авиабилеты, совершать всевозможные транзакции, переводы и обмены валют. И все это – не покидая «родных пенатов».

 

Ложка дегтя

В то же время спрос на онлайн-услуги не мог не привлечь внимание преступников. Ведь всегда найдутся те, кто предпочтет не зарабатывать самостоятельно, а запустить руку в чужой карман. Как правило, для успешного мошенничества преступникам необходимо заполучить некоторые данные: фамилию и имя владельца карты, номер телефона, а также данные самой карты (номер, PIN-код и т.п.). В итоге, совершив онлайн-платеж, «жертва» может не только не получить услугу, но и – в худшем случае – потерять все деньги со счета. Складывается интересная картина мнений: с одной стороны, платить по карточке через Сеть очень выгодно, с другой – очень опасно. Как обстоят дела на самом деле?

 

Реалии

«Не так страшен черт», уверен Александр Сизинцев, генеральный директор Biletix.ru – онлайн-ресурса, предоставляющего услуги бронирования авиационных и железнодорожных билетов, а также отелей. «На самом деле интернет-покупки не так кардинально отличаются от «традиционных», как многие привыкли думать. Первое, на что стоит обращать внимание при посещении виртуальных торговых ресурсов, – их репутация, известность и время работы в сфере. Если кто-то в интернете предлагает очень дешево купить товар в магазине www.roga-i-kopyta-u-uncle-bensa.nks.ru, наверняка это мошенники. Уважающая себя и клиентов площадка, как минимум, не будет использовать неизвестные домены ниже первого уровня. То же самое касается и времени присутствия на рынке. К примеру, наш ресурс успешно работает с 2008 г., а это напрямую влияет на уровень доверия покупателей», – советует Александр Сизинцев.

Полезно, прежде чем вводить какие-либо данные и совершать платеж, поискать отзывы о «продавце». Смотреть соответствующий раздел прямо на сайте, конечно, можно, но неэффективно – при желании злоумышленники могут написать там что угодно. Поэтому лучше воспользоваться любой поисковой системой и посмотреть выдачу по запросам «имя площадки отзывы», «имя площадки обман», «имя площадки мошенничество» и т.п. Здесь снова в выигрыше честный бизнес. За его плечами будет и история, и множество отзывов, в то время как у фирм-однодневок ничего этого нет.

Теперь непосредственно о платежах. Отдельное внимание стоит уделить самой странице, на которой вводятся данные для оплаты. Она обязательно должна быть защищена. Самый простой способ проверить это – обратить внимание на строчку в адресной строке браузера. В адресе всегда будут фигурировать https вместо http и рисунок замочка, что также является показателем шифрованного соединения.

 

Рисунок 1. Индикация сеанса защищённого соединения в адресной строке браузера

Индикация сеанса защищённого соединения в адресной строке браузера 

 

Но что делать, если ваши данные все-таки попали к злоумышленникам? Хорошего в этом, конечно, ничего нет. Но все не так плохо – со стороны хорошего продавца должна работать собственная служба безопасности, предотвращающая подобные сделки.

«У этого класса мошеннических действий есть собственное название – фрод (от англ. fraud), - поясняет Роман Идов, аналитик компании SearchInform. «Касаемо авиаперелётов фродом называют попытки купить авиабилеты, используя чужую банковскую карту. Это фрод с кредитными картами. Выделяют также SMS-фрод и GSM-фрод».

Но откуда у злоумышленников появляются чужие карты? Есть несколько вариантов. Один из самых популярных – взлом ресурсов, на которых содержится вся необходимая информация. Для примера подойдёт США, где на днях власти штата Южная Каролина признали факт утечки с серверов налоговой службы 3,6 млн номеров карт социального страхования, 387 тыс. кредитных карт, налоговых деклараций граждан и прочей информации о жителях штата и компаниях, ведущих здесь деятельность. Как сообщается, неизвестные злоумышленники (предположительно, из России) похитили подробную финансовую информацию о 80% жителей Южной Каролины и обо всех 657 тыс. компаниях, зарегистрированных в местной налоговой службе. Эта утечка стала крупнейшей в истории США.

Другой популярный способ получения данных о кредитных картах базируется на невнимательности самих пользователей. Речь идёт о скимминговом оборудовании, главным предназначением которого является запись информации с магнитной полосы карты («сделать дамп»), запись PIN-кода, а также оперативная пересылка этой информации мошенникам. Само устройство (скиммер) часто устанавливается в виде «нашлепки» к картоприёмнику банкомата.

 

Рисунок 2. Пример навесного скиммера

Пример навесного скиммера 

 

В дополнение к ней обязательно идёт устройство для «кражи» PIN-кода. В классическом случае это миниатюрная видеокамера, замаскированная под «естественный» фон.

 

Рисунок 3. Пример установленной мини-видеокамеры злоумышленниками возле банкомата

Пример установленной мини-видеокамеры злоумышленниками возле банкомата 

 

Хотя бывают и исключения, к примеру, в виде накладной клавиатуры.

 

Рисунок 4. Пример установленной накладной клавиатуры.

Пример установленной накладной клавиатуры. 

 

Судьба «дампов» может складываться по-разному. Порой эту информацию отдают «картонщикам», которые изготавливают поддельные кредитные карты, но чаще для совершения операции достаточно просто владеть информацией.

Отдельного упоминания достойны «банкоматные вирусы». Впервые о таком классе вредоносных объектов общественность узнала в 2003 году, когда в банкоматах компании Diebold, крупнейшего мирового производителя этих машин, был обнаружен вирус Welchia. Программа использовала дыру в функции RPC интерфейса DCOM, но не наносила вреда держателям карт, а просто генерировала паразитный трафик, пытаясь заразить остальные машины в сети.

О реальной опасности «банкоматных вирусов» всерьёз заговорили только в 2009 году, когда сразу несколько антивирусных компаний объявили о детектировании вредоносного объекта, написанного для ОС Windows XP Embedded (специализированная ОС для банкоматов) и способного перехватывать данные о банковских картах пользователей. Это означало, что для перехвата данных на банкомат не нужно навешивать дополнительного «железа» в виде скиммеров и видеокамер.

К счастью, этот способ пока не вошёл в общемировые тренды. В основном в силу того, что он довольно сложен в реализации. Как правило, сети банкоматов не связаны со Всемирной Паутиной, и единственный способ проникновения в них подобной вредоносной программы – помощь инсайдеров (людей, тесно связанных с банком или являющихся  сотрудниками службы обслуживания банкоматов). Именно инсайдеры передают злоумышленникам информацию о логике работы установленного ПО, структуре его кода и обеспечивают физический доступ к устройству для его заражения.

 

Почему сложились такие реалии?

Без «помощи» бюрократической машины не обошлось. Согласно статье 159 УК РФ мошенничеством (а именно под эту категорию подпадает фрод) признается хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием. Согласно постановлению Пленума ВС РФ от 27.12.2007 г. № 51 «обращение лицом в свою пользу или пользу других лиц денежных средств, находящихся на счетах в банках, совершенное с корыстной целью путем обмана или злоупотребления доверием (например, путем представления в банк поддельных платежных поручений, неправомерного внедрения в чужую информационную систему заведомо вредоносных программ для ЭВМ) квалифицируется как мошенничество». Но есть важный нюанс. В большинстве случаев при совершении киберпреступления происходит завладение обманным путем логином, паролем и закрытым ключом и совершение от его имени денежных переводов. Такое преступление считают оконченным только с момента зачисления этих средств на счет мошенника.

Проблема в том, что исходя из указанной позиции Верховного суда, по сути, расследование кибер-преступлений должно проводиться по месту окончания мошенничества, то есть, по месту физического получения мошенником денежных средств. И это приводит сразу к нескольким серьёзным проблемам.

Во-первых, чтобы не привлекать к себе внимания преступники всё чаще прибегают к распределённой системе вывода украденных средств для их дальнейшего обналичивания. На такой шаг они были вынуждены пойти после внедрений в ведущих российских банках в 2010–2011 гг. систем мониторинга подозрительных операций в ДБО, а также после введения лимитов на дневные и единовременные переводы. Однако, в силу несовершенства законодательства, расследование «расползается», если по одному инциденту было проведено несколько переводов в разные места для последующего снятия денег. Также при таком определении места совершения кибер-преступления значительное время затрачивается на передачу материалов из одного подразделения МВД в другое. А время сегодня играет ключевую роль. В2010 г. это время нахождения «чужих» денег на транзитных и конечных счетах не превышало 18–24 часов, в2011 г. оно уменьшилось до 12–18 часов. Сегодня некоторые эксперты уже говорят о потолке в 4-8 часов. Таким образом, если жертва или банк протянут с обращением «куда следует» более суток, с вероятностью близкой к 100% денежные средства будут обналичены злоумышленниками, и вернуть их вряд ли удастся.

 

Всё ли настолько плохо?

Конечно, нет. Существует много критериев, из-за которых транзакция может автоматически попасть под подозрение службы безопасности. К примеру, если платёж поступает из какой-нибудь африканской страны. Судите сами, маловероятно, что из Нигерии человек будет покупать билет на рейс «Москва-Новосибирск». На отлов таких «логических парадоксов» обычно и настраиваются системные фильтры: транзакции могут отсеиваться как по целым странам, так и по определённым IP-адресам. Кроме того, существует единый чёрный список, в который занесены данные всех проходивших ранее фродовые атаки.

Таким образом, если у сотрудников службы безопасности возникают подозрения в отношении проходящего платежа, они могут принять дополнительные меры, чтобы удостовериться в подлинности личности держателя карты. «Чаще всего запрашиваются отсканированные изображения банковской карты и паспорта. И именно поэтому их подделывают в первую очередь. Вот почему служба безопасности может пойти на более серьёзный шаг и провести телефонную авторизацию, позвонив владельцу карты лично», - поясняет Роман Идов.

Зачем же выстраивать такую серьёзную защиту? Дело в том, что от действий мошенников страдают не только держатели карт. Во-первых, сама компания, допустившая фродовый платёж, несёт убытки так как обманутый держатель обратится в свой банк и тот отзовёт деньги у проводившей операцию организации. Во-вторых, Visa и MasterCard также штрафуют и даже могут лишить права продажи компании, фродовые транзакции в которых достигают 2%-4%. В-третьих, «обманутые вкладчики» - это всегда удар по имиджу. Вряд ли авиакомпании захотят сотрудничать с онлайн-тревел агентством, если оно допускает фродовые транзакции.

 

Банковские стандарты

Защита держателя карты организована и на глобальном уровне, с помощью международных и отраслевых банковских стандартов. Для понимания того, что в итоге делается для «простых людей» рассмотрим международный стандарт PCI DSS (Payment Card Industry Data Security Standard - стандарт безопасности данных индустрии платёжных карт), разработанный Советом по стандартам безопасности индустрии платежных карт, а также Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС).

PCI DSS объединил в себе требования программ международных платёжных систем по защите информации, таких как Account Information Security (AIS), Cardholder Information Security (CISP) и Site Data Protection (SDP), сформировав в итоге список из 12 детализированных пунктов:

  1. установка и обеспечение функционирования межсетевых экранов для защиты данных держателей карт;
  2. неиспользование выставленных по умолчанию производителями системных паролей и других параметров безопасности;
  3. обеспечение защиты данных держателей карт в ходе их хранения;
  4. обеспечение шифрования данных держателей карт при их передаче через общедоступные сети;
  5. использование и регулярное обновление антивирусного программного обеспечения;
  6. разработка и поддержка безопасных систем и приложений;
  7. ограничение доступа к данным держателей карт в соответствии со служебной необходимостью;
  8. присвоение уникального идентификатора каждому лицу, имеющему доступ к информационной инфраструктуре;
  9. ограничение физического доступа к данным держателей карт;
  10. контроль и отслеживание всех сеансов доступа к сетевым ресурсам и данным держателей карт;
  11. регулярное тестирование систем и процессов обеспечения безопасности;
  12. разработка, поддержка и исполнение политики информационной безопасности.

Требования стандарта распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. Причём, чем больше у компании обрабатываемых транзакций (то есть, чем больше людей пользуются услугами этой компании), тем больше требований стандарта она должна выполнять. Очевидно, что в силу бурного роста технологий, стандарт будет неизбежно устаревать. В связи с этим международным советом был принят трёхлетний цикл обновления стандарта. В первый год стандарт внедряется в индустрию, второй год посвящён сбору отзывов, комментариев и пожеланий от участников индустрии, в третий год на основе анализа обратной связи разрабатывается новая версия стандарта. В России PCI DSS действует с 2006 года.

СТО БР ИББС, в свою очередь, был разработан Банком России и носит рекомендательный характер. Однако в соответствии с указанным Федеральным Законом № 184-ФЗ «О техническом регулировании» от 27.12.2002 стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение о присоединении. По открытым данным за 2011 год порядка 70% от общего количества кредитных организаций России приняли стандарт либо планируют это сделать в ближайшем будущем. Остальные участники индустрии либо вовсе отказались (порядка 5-10%), либо заняли выжидательную позицию. Связано это прежде всего с тем, что ряд положений СТО БР ИББС конфликтует с ФЗ №152 «О персональных данных». К примеру, федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010). Этим объясняется «выжидательная» позиция неприсоединившихся к стандарту организаций. Грубо говоря, они сомневаются, смогут ли они себе позволить закупку рекомендуемых сертифицированных систем (так как из-за дороговизны и сложности самой процедуры сертификации, не все производители решаются на ней, что приводит к ограниченному количеству предложений средств защиты информации на рынке). Тем не менее, стандарт введёт и успешно действует. Помимо общих положений Банком России разработаны и введены в действие стандарты по аудиту информационной безопасности, а также методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20хх.

 

Что делать нам, держателям карт?

Но не стоит полагаться только на защиту банков. Ведь сегодня мошенничество в этой сфере перестало быть исключительно «механическим», пополнившись новыми «софтовыми» способами. Тем более, как можно было убедиться выше, порой сообщники преступников находятся именно в банке.

Но, как известно, «спасение утопающего» зависит от него самого. Разумно ввести дополнительный шаг авторизации для операций с деньгами. Например, чтобы банк присылал одноразовый код-подтверждение (mTAN). Причём стоит помнить, что современные вирусы научились работать парами «ПК-мобильный телефон». Это значит, что реально обезопасить себя вы сможете, если заведёте для mTAN’ов отдельную SIM-карту, которая будет вставлена в отдельный старый мобильный телефон (т.е. не с Android, iOS и прочими «умными» операционными системами).

Также для повышения безопасности собственных сбережений по возможности выбирайте банкомат рядом с банком (как правило, здесь расположено больше наружных видеокамер, – злоумышленники стараются избегать таких мест), а обнаружив что-нибудь подозрительное на банкомате, позвоните в банк и сообщите о своей «находке».

Если же вы обнаружили, что со счёта списаны деньги, первым делом обязательно позвоните в банк и заблокируйте карточку. В принципе, некоторые банки позволяют сделать это даже через Интернет. Не помешает также написать заявление в полицию, однако надеяться на оперативное завершение дел вряд ли стоит. О причинах мы писали выше.

Тем не менее, сегодня в безопасности потребителя заинтересованы все, кроме злоумышленников. Банки и платежные системы внедряют дополнительные проверочные шаги (верификационные коды, 3D-Secure и т.д.), не подключают клиентам банкинги без обязательного уведомления о платежах по SMS. Покупателю же остается быть более внимательным, и не спешить отдавать деньги «безымянным» продавцам.

 

Авторы:
Дмитрий Авдосьев
Алексей Дрозд

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru