Как могут испариться ваши вклады

Риски испарения денег отрабатываются в двух сегментах, обслуживающих физических и юридических лиц. Когда происходят инциденты, связанные с мошенническим выводом денег со счетов их законных владельцев (fraud, фрод), то страдают в первую очередь физические лица. О них банки беспокоятся лишь в тех случаях, когда за ними стоит бизнес с зарплатным проектом, который может, во-первых, уйти к другому банку, а во-вторых, начать оказывать на банк давление через репутационные ущербы.

Банки хорошо подстраховались в этом отношении. Случаи, когда после снятия денег через банкомат при краже карты или ее дублировании можно заставить банк вернуть деньги, крайне редки. По опыту можно сказать, что в инцидентах, связанных с троянскими программами на банкоматах, вернуть деньги удается только на прямых знакомствах. Это связано с тем, что позиция банка закреплена в договоре, и при снятии денег с карточки пользователь персонально ответственен за сохранение в секрете данных карты.

Еще одна категория потенциальных жертв мошенничества — это бизнес, обычно средний: юридические лица с оборотом от 10 млн руб. в месяц, которые используют банк для своих операций. В основном это онлайн-доступ к системе ДБО, денежные переводы. С точки зрения мошенничества банки чаще всего беспокоятся об этой категории пользователей, потому что здесь кроется наибольший объем ущерба с одного клиента.

Для физического лица, как правило, разовый ущерб невелик (существует ограничение на разовое снятие суммы), да и заметить вовремя такой инцидент проще: обычно клиентам рассылаются СМС-уведомления на телефон. В случае мошенничества для бизнеса со средней транзакцией около миллиона ущерб может быть существенным, и разбираться с этим сложнее.

Где обычно случается мошенничество? Прежде всего это сфера операций на банкоматах. Наиболее распространенный механизм мошенничества в этом сегменте — использование скимеров. Рядом может быть установлена замаскированная видеокамера (для считывания PIN-кода при его вводе с клавиатуры).

Современные скимеры весьма интеллектуальны, они могут устанавливаться незаметно. Уже появились варианты, интегрированные с телефоном: оснащенные сим-картой, они способны передавать перехваченную информацию через СМС напрямую злоумышленнику, чтобы тому не нужно было приближаться к банкомату физически.

Дубликат отсканированной банковской карты может быть изготовлен путем использования отпечатанного чека со всей снятой информацией. Для устаревших карточек с магнитной полосой подобное проделать не так уж и сложно. В Европе сейчас запретили использовать такие модели, и это дало свои результаты. С внедрением стандарта EMV на карты с чипом воровство из банкоматов начало заметно сходить на нет, а европейские мошенники переключились на приезжих владельцев устаревших типов карточек.

Но в отечественных банках отказ от магнитной полосы означает большие дополнительные инвестиции. Поэтому в российском банковском сообществе вопрос пока ставится о комбинированных карточках (магнитная полоса на них остается). В грядущей единой платежной карте сохранен комбинированный принцип, подразумевающий использование чипа, магнитной полосы и RFID (последняя — только для расчетов в транспорте). Правда, для надежности вся информация, связанная с государственными учреждениями, будет храниться на чипе. Он также может использоваться для банковских операций.

Банки, естественно, вводят лимиты, усиливают физическую безопасность (видеонаблюдение, проверка на скимеры, антискимеры) и вводят страховки. Но магнитная полоса все равно остается архитектурной проблемой, которую можно исправить, лишь перейдя на другую чиповую технологию.

Следующая проблема банкоматов — троянские программы, ставшие причиной уже многих инцидентов, в том числе и в России. Внедряющиеся в ПО банкомата трояны зачастую написаны людьми, которые обслуживают эти устройства и хорошо знают специфику их работы. Встречаются и варианты сетевых атак, но это единичные случаи. Такие трояны — это серьезная проблема, потому что до того, как она обозначилась, у банкоматов не было встроенных средств защиты наподобие антивирусов или межсетевых экранов. Сейчас производители пытаются такие средства защиты внедрять, но это тоже связано с инвестициями и обновлением парка (некоторые изменения в ПО банкомата невозможно сделать без замены самого устройства).

В вышеупомянутых случаях клиент банка практически бессилен доказать, что снял деньги не он. Даже если владелец карточки в момент пропажи денег из банкомата находился в другом городе, он вряд ли сможет представить доказательства того, что это не предварительный сговор. Банки во всех случаях стараются переложить ответственность на владельца карты. А для снижения рисков предлагают страхование операций: владелец счета в случае мошенничества получает компенсацию, если платит ежегодные отчисления.

Риски ДБО

Но особенно серьезная проблема связана с безопасностью систем ДБО, причем не только непосредственно владельцев пластиковых карт, но и магазинов, которые осуществляют по ним продажи.

По сути, система ДБО — это крупное сетевое приложение, распределенное по компаниям с разным уровнем безопасности. Бывают ситуации, когда злоумышленник может, не ломая банкомата, скомпрометировать то место, где обрабатываются транзакции, куда приходят платежи из магазинов, куда стекаются чеки из ресторанов и т. д. Если такая система компрометируется, злоумышленник получает сведения о целом потоке кредитных карточек, которые он потом может использовать для совершения онлайн-платежей.

К сожалению, разбогатевшие на мошенничестве персонажи быстро уходят за грань наказуемости. В любой стране человек со 100 млн долларов гораздо более защищен, нежели тот, у кого их нет. Принцип неотвратимости наказания в области карточного мошенничества во всем мире работает очень слабо. После того как эти люди заработали большие деньги, они, как правило, встают над законом.

Но со временем в процессинговых центрах, в системах ДБО ситуация улучшается. В отличие от операций с банкоматами, в случае инцидента с онлайн-платежом в банке существует процедура расследования и опротестования. Например, при платеже по Интернету доказать, что это не вы платили, гораздо проще. Потому что эти ситуации отрабатываются по правилам международных платежных систем.

В случае инцидента в системе ДБО чаще всего деньги теряют сами банки. Львиная часть мошенничества идет через взлом рабочих мест (клиентов ДБО). Вредоносные программы в этом случае пишут очень квалифицированные люди, зачастую под обход конкретных защитных средств. Здесь можно вспомнить о разработанной специальной версии трояна для нескольких российских банков, знавшей особенности их системы ДБО. В конце 2011 года ее разместили на взломанных сайтах «Банкир.Ру» и «Главбух.Ру». Злоумышленники, найдя уязвимости сайтов, установили соответствующие эксплойты, после чего, заходя на эти страницы, пользователи заражались. Это пример хорошо продуманной и спланированной атаки.

Вредоносное ПО отработало один раз, потом его перепродали в пользование менее интеллектуальным «ловцам удачи», забрасывающим свой «невод» на авось. В подобных схемах степень анономности гораздо выше, чем в случае с банкоматами. Для злоумышленников существует множество готовых инструментов, позволяющих собирать информацию о платежных карточках, а потом либо перепродавать ее, либо пользоваться для покупок в интернет-магазинах.

Существует также категория инсайдерского мошенничества, когда, например, сисадмин может скопировать себе ключи и получить доступ к финансовой информации. Но это менее массовый риск, нежели взлом рабочих мест.

Что делать?

Некоторые проблемы сегодня вполне разрешимы. То же мошенничество с банкоматами можно серьезно сократить, перейдя на чиповую карту. Это дорого, но пора признать, что технология карт на магнитных полосах уже давно себя исчерпала. Что касается онлайн-мошенничества со взломом рабочих мест, то здесь банки идут по радикальному пути, вынося все критические операции на отдельное устройство. Если компания пропускает через банк солидные деньги, банк может продать или подарить ей отдельное устройство, которое выполняет только эту операцию, и дополнительно его контро лировать.

Но защита клиентской части в ДБО не решается радикальными средствами для массового рынка. Поэтому вместо превентивных мер банки предприняли коррекционные. Многие системы ДБО сейчас начинают включать в себя элементы контроля защищенности и антивирусные системы. Когда клиент осуществляет транзакцию, система проводит проверку и сообщает об отсутствии обновлений (системных компонентов, патчей). Если речь идет о крупных платежах, система ДБО может информировать банк, который сделает прозвон клиенту, действительно ли он подтверждает платежную операцию.

Повысить защищенность транз акций ДБО может тот же стандарт EMV. Если в случае магнитной карты вводится PIN-код, то для чиповой необходим кардридер — защищенное устройство, которое непросто перехватить. Подобные устройства на российский рынок поставляют компании Alladdin и Active. И, конечно же, использующим онлайн-платежи компаниям нужно серьезно озаботиться безопасностью рабочих мест.

Сергей Обухов    http://i-business.ru/