Мероприятия по противодействию совершениям преступлений с использованием пластиковых карт
Внастоящее время не существует методов, гарантирующих всем участникам платежных систем защиту от финансовых убытков, связанных с мошенничеством. Платежные системы, банки-эмитенты и банки-эквайеры предпринимают значительные шаги для повышения экономической безопасности системы безналичных расчетов с использованием пластиковых карт, нахождения эффективных способов предотвращения мошенничества с использованием пластиковых карт. Этими организациями разрабатываются различные процедуры, внедряются новые технологии, которые направлены на понижение уровня несанкционированного использования карт. Все эти методы можно разделить на две категории – технические и финансово-технологические.
Первая категория связана с технической защищенностью самой пластиковой карты:
¾ пластиковые карты любой платежной системы удовлетворяют строго установленным стандартам (имеют стандартную форму, размер);
¾ идентификационный номер банка-эмитента в системе (BIN) номер карты, имя клиента и фамилия, срок действия карты эмбоссированы и размещены в строго установленных позициях на лицевой стороне, там же располагается символ платежной системы, выполненный голографическим способом;
¾ последние четыре цифры номера карты эмбоссированы непосредственно на голографическом символе, что делает невозможным копирование голограммы или переэмбоссирование без ее разрушения;
¾ на обратной стороне карты размещены магнитная полоса и область с образцом подписи владельца;
¾ на магнитной полосе в строго определенных позициях и с использованием криптографических алгоритмов записываются специальные коды;
¾ область образца подписи владельца имеет специальное покрытие (при малейшей попытке сделать подчистки или переправить подпись покрытие разрушается и проявляется подложка другого цвета с защитными символами платежной системы);
¾ сама карта защищена знаками, которые видны только в ультрафиолетовом свете.
К финансово-технологическим методам относится использование ПИН-кода для идентификации владельца карты его банком-эмитентом. Он представляет собой последовательность, состоящую из 4-12 цифр, известную только владельцу карты и его банку-эмитенту. Использование ПИН-кода производится таким образом, чтобы этот секретный параметр на всех этапах обработки транзакций оставался зашифрованным. Казалось бы, использование подобного идентификатора могло бы помочь решить проблему мошеннического использования пластиковых карт, однако это не так.
Использование данного метода не обеспечивает эффективного обмена непосредственно конфиденциальной информацией пластиковых карт между участниками платежных систем. Под эффективным обменом в данном случае понимается такой обмен, при котором невозможно использование данной информации в целях нанесения финансового ущерба, т.е исключается возможность ее просмотра и использования лицами, не имеющими на это право за счет специальных технических устройств прослушивания и перехвата при передаче между субъектами безналичных расчетов по каналам связи. Как уже отмечалось ранее, прослушивание и перехват внутрисетевого трафика является наиболее опасным типом угрозы в процессе передачи конфиденциальной информации пластиковых карт. Поскольку в шифрованном виде передается только информация о ПИН-коде, а данные с магнитной полосы пластиковой карты не шифруются, то при успешном проведении такой атаки вся необходимая информация о реально существующей карте (Ф.И.О. держателя карты, номер карты, срок действия, сервис-код, коды PW и CVC/CW) становится доступной.
Существует много доступных программных и аппаратных анализаторов трафика, которые делают задачу перехвата конфиденциальной информации пластиковых карт достаточно тривиальной. Еще более усложняется обнаружение этого типа угроз в сетях с глобальными связями, посредством которых реализуется связь терминальных устройств (банкоматов, POS-терминалов, кассовых аппаратов и т.д) с филиалами банков, головным отделением и далее – с процессинговым центром (рисунок 2).
Рисунок 2 - Схема канала связи для терминальных устройств
Для мошенников не составляет труда завладеть реальными заготовками пластиковых карт или даже изготовить поддельные заготовки высокого качества. Однако, без наличия конфиденциальной информации о реально существующих картах такой пластик не представляет никакой угрозы ни для банков, ни для платежных систем, ни для клиентов, чего нельзя утверждать в случае, если эти данные становятся известны преступникам. Значение ПИН-кода необходимо для получения наличных средств в банкоматах, а для проведения операций в торговых предприятиях данный параметр необязателен, поэтому порядка 90% всех мошеннических операций с поддельными картами происходят в предприятиях торговли и сервиса.
Глобальные связи, простирающиеся на десятки и тысячи километров, по своей природе являются менее защищенными, чем локальные связи, так как существует больше возможностей для прослушивания трафика. Такая опасность одинаково присуща всем видам территориальных каналов связи. В любом случае получение конфиденциальной информации пластиковых карт, являющейся собственностью банка-эмитента, другими лицами наносит ее владельцу существенный финансовый ущерб.
Особенно актуальна и наименее исследована данная проблема в России. В западных банках технология обмена конфиденциальной информацией пластиковых карт разрабатывается конкретно под каждый банк и во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ к передаваемой информации. Причем следует отметить следующие моменты:
¾ во-первых, разработчикам не всегда известны конкретные условия, в которых будут функционировать банковские «стандартные» пакеты, что приводит к снижению их надежности;
¾ во-вторых, поставщики данных пакетов не обеспечивают эффективность обмена конфиденциальной информацией пластиковых карт при их ее транспортировке по каналам связи, возлагая заботы о сохранении их конфиденциальности и целостности на покупателя;
¾ в-третьих, некоторые российские банковские пакеты не удовлетворяют требованиям безопасности международных платежных систем.
Несмотря на предпринимаемые дорогостоящие меры, функционирование информационных систем в России выявило наличие слабых мест в эффективности обмена конфиденциальной информацией пластиковых карт между участниками безналичных расчетов. Неизбежным следствием этого стали постоянно увеличивающиеся убытки, связанные с мошенническим использованием данной информации.
Для обмена конфиденциальной информацией пластиковых карт в настоящее время преимущественно используется схема реализации канала связи с оборудованием поставщика услуг сети общего пользования (рисунок 2). С точки зрения терминальных устройств канал прозрачен - программное обеспечение этих конечных узлов остается без изменений. Такой гибкий подход позволяет легко образовывать новые каналы для обмена конфиденциальной информацией пластиковых карт между терминальными устройствами и процессинговым центром независимо от их места расположения.
Однако, вариант, когда все работы по реализации обмена конфиденциальной информацией пластиковых карт возлагает на себя поставщик услуг сети общего пользования, оставляет сомнения в надежности:
¾ во-первых, незащищенными оказываются каналы доступа к сети общего пользования, через которые происходит утечка конфиденциальной информации пластиковых карт;
¾ во-вторых, потребитель услуг чувствует себя в полной зависимости от надежности поставщика услуг.
В последние годы ведущими международными платежными системами Visa Int. и MasterCard Int. для снижения уровня мошенничества активно проводится политика внедрения смарт-карт. Данный тип карт отличается наличием микропроцессора с содержанием логики, что и делает эти карты интеллектуальными.
Популярность смарт-карт в последнее время становится выше, и это связано с тем, что смарт-карты имеют серьезные отличия от обычных карт с магнитной полосой:
¾ смарт-карта содержит в себе память, из-за этого она может нести в себе гораздо большее количество информации, которая необходима для работы
¾ смарт-карты имеют встроенную систему защиты от считывания информации;
¾ смарт-карта является более долговечной, она не подвержена влиянию электромагнитных излучений.
Однако, во многих странах, в том числе и в России, существует серьезная оппозиция форсированному переходу на чиповые технологии. Переход на микропроцессорные карты потребует от банков серьезных дополнительных инвестиций, а к реальному повышению экономической безопасности системы это не приведет.
Кроме того, не совсем правильно утверждать, что с внедрением смарт-карт проблема мошенничества будет полностью решена. Единственное преимущество - исключение возможности мошенничества с использованием намеренных овердрафтов (при проведении любых операций в режиме оффлайн микропроцессор сам контролирует состояние счета клиента). Все остальные способы мошенничества также распространяются на смарт-карты и осуществляются при использовании:
¾ поддельных (клонированных) смарт-карт;
¾ торговых предприятий;
¾ сфер электронной коммерции.
Анализируя вышеизложенное, можно сделать вывод, что для повышения экономической безопасности системы безналичных расчетов России при использовании банковских пластиковых карт необходимо разработать методические принципы организации эффективного обмена конфиденциальной информацией пластиковых карт между участниками безналичных расчетов при передаче данной информации по внешним каналам связи.