Что обеспечивает безопасность банкоматов. Простые и сложные антискимминговые устройства. Карты, которые подделывать невыгодно. Пока…
Риски. «Вы спрашиваете меня, дорого ли стоит банкам обеспечить безопасность данных по картам? Да, дорого. Делают ли банки что-то? Да, делают. Достаточно ли этого? Нет, недостаточно».
Эти слова принадлежат руководителю службы безопасности одной из крупных коммерческих структур. «Согласно статистике, отношение объема мошеннических операций к общему обороту по картам, умноженное на десятитысячный коэффициент, в мире составляет около 9, а в России – около 2. Цифра напрямую не связана с «продвинутостью» и объемом рынка, и тот факт, что этот показатель у нас относительно невелик, нельзя объяснить только тем, что в России карточный рынок недостаточно развит. То же самое касается и отдельных видов мошенничества. Например, если в Европе на 1000 банкоматов приходится в среднем 40 случаев компрометации АТМ-устройств, то в России этот показатель в десять раз ниже», – сообщили «Ф.» в Ассоциации российских членов Europay (АРЧЕ).
Эти данные позволяют банкам и платежным системам утверждать, что в сфере карточного «фрода» Россия пока в хорошем смысле «белая зона». Но даже при таком неплохом раскладе отрицать наличие проблемы нельзя: из года в год потери все же множатся. Ассоциация региональных банков, используя материалы Visa и Mastercard, подсчитала, что по итогам 2008 года они увеличились на 206% и составили 1 млрд рублей. Но самое главное – небывалыми темпами растет инновационность мошенничества. Карточное сообщество в последние месяцы все активнее занимается профилактикой и борьбой с «пластиковыми» кражами, подтягивая к этому занятию европейских коллег. Озабоченность проявляют не только эмитенты, эквайеры, платежные системы и инфраструктурные компании – вопросами информационной безопасности пришлось заняться розничным сетям.
Врезка. Основные виды карточного «фрода»
Fraud (англ.) – обман, мошенничество, жульничество
Операции без присутствия карты (CNP): хакерский взлом хранилищ данных платежной информации; создание «копий» различных вэб-сайтов с целью заставить пользователя ввести реквизиты карты и ПИН-код (фишинг); получение доступа к мобильному банку кардхолдеров, попытки выведать платежные данные по телефону (вишинг).
Подделка карт (Counterfeit): установка в банкоматы или POS-терминалы накладок и других устройств, которые копируют данные магнитной полосы и запоминают ПИН?код держателя (скимминг).
Кража карт или использование утерянного пластика (Lost/Stolen). Одна из «технологичных» разновидностей – траппинг («ливанская петля») – захват карты в кардридере с помощью специальных устройств с надеждой на то, что клиент уйдет, не дождавшись «ответа», и мошенник извлечет пластик из банкомата.
$10 тыс. в полете. Успешный предприниматель, вип-клиент одного из банков Сергей не так давно возвращался из Вены в Москву. Когда самолет приземлился, мобильный телефон Сергея впал в депрессию и завис – на него обрушилось сразу 27 сообщений. Из них предприниматель узнал, что за несколько часов с его карты было снято в общей сложности около $10 тыс. Снято, разумеется, не им (небесных банкоматов пока еще не придумали), а загадочными гражданами. Обналичка произошла в одной из кэш-машин Владивостока. «Когда я позвонил в банк, мой персональный менеджер сообщил, что не может уделить мне время, так как занят другим клиентом. В конце концов заявление, в котором я, естественно, оспорил все эти транзакции, было принято, но прошел уже месяц, а мне даже ни разу не позвонили», – рассказывает Сергей. В правоохранительных органах помочь вроде бы согласились, но никаких подвижек пока нет. «Нельзя сказать, что я не могу прожить без этих денег, но хотелось бы их вернуть», – признает Сергей. Кроме карточного счета, в том же банке у него был депозит на несколько сотен тысяч долларов. Часть денег Сергей забрал, что, однако, не заставило банк относиться к расследованию внимательнее. Судя по всему, деньги были обналичены с помощью поддельной карты, которая была скомпрометирована в одной из стран ближнего зарубежья. Сергей подозревает, что мошенник знал, когда на карту поступит солидная сумма – средства были списаны буквально через несколько часов после их зачисления на счет.
Такая ситуация не редкость ни в России, ни за рубежом. По экспертным оценкам, в мире насчитывается около 1,5 млн карточных мошенников. За последнее десятилетие масштабы их деятельности выросли более чем втрое. Локальные некогда кражи трансформировались в индустрию, участники которой обмениваются опытом и свежими идеями. Только в 2007 году из-за этого эмитенты кредитных карт во всем мире потеряли $5,6 млрд.
Индустрия без опасности. Классифицировать карточные мошенничества можно по-разному (см. «Основные виды карточного фрода»), но глобально они делятся на две большие группы. Преступники получают доступ к платежной информации или с помощью несанкционированного проникновения в хранилища данных, или путем внедрения в различные устройства, где содержится информация о пластике, вирусов и вредоносных программ (так называемого malware). Ярким примером первой группы может служить инцидент в Испании, который произошел в конце октября. Тогда держатели карт нескольких крупных российских банков обнаружили, что их пластик заблокирован. Причина такова: банки-эмитенты получили от платежных систем сообщение о массовой компрометации реквизитов карт, которые использовались в Испании в период с января по сентябрь. Похоже, были взломаны серверы процессинговых центров, которые хранят и обрабатывают данные. В результате кардхолдерам пришлось перевыпускать пластик. «Острота этой, в общем-то, штатной ситуации (платежные системы всегда уведомляют банки о компрометации карт по факту – «Ф.») была вызвана тем, что в Испании, в отличие от России, где локализовано более 100 процессинговых центров, всего несколько таких структур. И если мошенники получили доступ к информации по картам в испанских центрах, то это, по сути, означает, что скомпрометированными можно считать львиную долю карт, которые «гуляли» на территории страны. А поскольку Испания с точки зрения посещаемости далеко не последний регион, получилось, что российским банкам-эмитентам пришлось уведомлять очень большое число клиентов», – объясняет глава службы безопасности одной из крупных бизнес-структур.
Яркий образец из второй группы мошенничеств – обнаруженный в начале 2009 года в нескольких десятках банкоматов вирус, который поражает установленную в кэш-машинах операционную систему и программное обеспечение и считывает всю необходимую для злоумышленников информацию по картам. С «трояном» быстро справились, изготовитель кэш-машин бесплатно разослал банкам-владельцам «патчи», предотвращающие заражение, и вручную обследовал 10 тыс. своих АТМ. «Рынок программ для противодействия банкоматным «троянам» отсутствует, была зафиксирована, по сути, только одна подобная атака. С ней справлялись вручную, одновременно выстраивая и средства борьбы. Обнаружение «трояна» сейчас возможно как коммерческими антивирусными программами, так и специализированным ПО контроля целостности, включающим антивирусный продукт», – рассказывает советник гендиректора компании «Ланит» Андрей Владимиров. Последний известный случай поимки банкоматного «трояна» относится к июню.
Не столь важно, с помощью какого инструмента мошенникам удается получить доступ к деньгам кардхолдера, будь то скимминг, фишинг, вишинг или банальная карманная кража. Более значима степень «боевой готовности» участников процесса, к которым относятся не только банки-эмитенты, эквайеры и платежные системы, но и независимые процессинговые центры, производители АТМ, разработчики софта для кредитных организаций и, конечно же, ритейлеры, которые принимают к оплате пластиковые карты. В России упомянутые структуры наконец-то задумались над тем, как правильно защищать конфиденциальность платежной информации и сколько на это нужно потратить денег.
Еще несколько лет назад банки занимались вопросом безопасности пластиковых карт от случая к случаю и старательно скрывали свои проблемы с карточными мошенниками. Каждый жил в своем мире и считал, что любая открытость в этой области ему только вредит. Начальник управления взаимодействия с платежными системами Альфа-банка Алексей Голенищев объясняет нежелание операторов раскрывать данные по объемам несанкционированных списаний просто: «Некоторые абсолютные цифры по странам можно найти в открытом доступе, как и относительные коэффициенты. Поэтому даже точечная информация о незаконных транзакциях по картам конкретного банка теоретически поможет рассчитать примерные обороты по его «фроду» в целом. Ни один банк не заинтересован вскрывать свои потери».
Неудивительно, что из двух десятков крупнейших операторов, которым «Ф.» разослал письма с просьбой описать характеристики проблемных операций по картам, ответить согласился только один. Но между собой участники Payment Card Industry (PCI) начали взаимодействовать. «Если раньше забота о безопасности банковских карт замыкалась внутри банков, то сейчас банковское сообщество стремится к консолидации по двум направлениям: постоянная профилактическая работа и ситуационное реагирование», – объясняет президент АРЧЕ Андрей Королев. Так, после обнаружения «трояна» при АРЧЕ была создана экспертная АТМ-группа, куда вошли представители международных платежных систем, банков, поставщиков аппаратно-программных средств, независимые эксперты – примерно 20 человек. Около полутора лет назад для российских участников PCI появился закрытый онлайн ресурс, через который около 170 специалистов из 80 банков сейчас обмениваются информацией о карточных мошенничествах и новых методах защиты информации. Один из разделов форума модерируют представители ЦБ. Процесс пошел.
Риск-контроль. Начальник управления экономической безопасности Бинбанка Александр Туркин считает, что в каждой кредитной организации, которая занимается эмиссией и эквайрингом пластика, технологические решения по фрод-мониторингу транзакций должны быть. «В банках с крупными «карточными» портфелями логично установить комплексный специализированный софт, который предлагают профильные IT-компании. Кредитные организации с небольшими объемами операций, на мой взгляд, без ущерба для себя вполне могут обойтись разработками собственных IT-подразделений», – говорит эксперт. Цена вопроса различается. Так, если покупка IT-систем риск-контроля у независимого производителя и ее установка потребуют от банка инвестиции в сотни тысяч долларов (в пределах $1 млн), то защита, созданная внутри банка, стоит на порядки дешевле. Разработки западных игроков и международных платежных систем обойдутся примерно на 30–40% дороже, чем российские аналоги.
Принцип работы систем обоих типов – независимых и «своих» – похож. «Одна из рекомендаций Visa – наличие в банке системы мониторинга, которая позволяет составить примерную картину поведения клиента. Если система «замечает», что поведение отклоняется от привычной схемы, банк получает сигнал тревоги. На его усмотрение операция по карте может быть приостановлена, и торговая точка получит сообщение «свяжитесь с банком». Кредитная организация может и сама связаться с клиентом, чтобы выяснить, совершалась ли та или иная операция по карте», – объясняют в пресс-службе Visa. При этом, рассказывают «безопасники», система выполняет техническую функцию, а обзванивать клиентов придется уже сотрудникам СБ. Но большого количества рабочей силы здесь не потребуется: в банке среднего размера с задачей справляется несколько человек, зато такая штука помогает предотвратить около 80% возможных мошеннических транзакций.
Как работает система риск-контроля? Предположим, держатель карты банка Д. Иван Петров в будни обычно расплачивается пластиком один раз в день, в выходные совершает до четырех операций, а за границей использует карту около трех раз в год и не проводит платежи в интернете. Для системы такое поведение привычно, и в случае, если по карте резко увеличивается число операций, или же за неделю транзакции проходят в разных странах, система начинает «беспокоиться». Банк Д. может приостановить какую-либо операцию и связаться с клиентом. Ивана Петрова попросят произнести кодовое слово и подтвердить списание.
А вот как действует защита в реальной жизни. Реквизиты карты британской пенсионерки Алисы С. были скопированы мошенниками через скимминговое устройство в одном из лондонских банкоматов. Дельцы изготовили поддельный пластик и отправились отоваривать его подальше – в Сибирь. В одном из магазинов бытовой техники они попытались использовать фальшивую карту, и две покупки (пылесос и ноутбук) совершить-таки удалось. Но система риск-контроля английского банка-эмитента «подумала», что для Алисы С. не совсем типичен шопинг в небольшом сибирском городке. Ведь за последние семь лет старушка не выезжала из Великобритании ни разу. Банк заблокировал карту и сообщил пенсионерке об инциденте. Деньги ей вернули, но потери банка могли бы быть в несколько раз больше, если бы преступникам удалось израсходовать лимит по счету.
Возвращаясь к неприятности, которая произошла с российским предпринимателем Сергеем, можно посоветовать банку ввести в свою систему риск-контроля параметр, который установит: 27 транзакций подряд – «непорядок». «Мы считаем, что уровень применения систем безопасности в российских банках абсолютно адекватен характеру угрозы – сколько мошенники вредят, столько банки тратят на борьбу с ними», – уверен Андрей Владимиров из «Ланита». Алексей Голенищев из Альфа-банка напоминает, что по данным платежных систем уровень мошенничеств в России в несколько раз ниже, чем в Европе, а в Европе этот показатель меньше, чем в США. Но, конечно, это не повод расслабляться. По мнению IT– специалистов, рынок скоро дозреет до нового сегмента – консультантов по выбору систем информационной защиты для банков.
Раскрытая угроза. «Я бы не сказал, что за последний год количество мошеннических операций в России заметно выросло. Скорее в их массе увеличилось число банкоматных мошенничеств», – констатирует Алексей Голенищев. Похоже, вместе со свиным гриппом к нам залетела из Европы и эта зараза. По данным экспертов, в течение 2008 года европейские АТМ подверглись более чем 12 тыс. атак, из них примерно 10 тыс. – скиммерские. Число таких эпизодов по сравнению с предыдущим годом увеличилось более чем на 120%. В денежном выражении потери составили приблизительно 485 млн евро, в том числе от скиммеров – около 484 млн.
Российская статистика, а точнее выхваченные из разных источников цифры выглядят пока куда скромнее. Обобщенных данных нет, но известно, что в период с июня по август в Москве, Петербурге, Екатеринбурге, Алтайском крае, Калуге и Перми примерно в 70 банкоматах были обнаружены скимминговые и другие устройства. Российские игроки PCI озабочены. «Резко возросшая активность мошенников позволяет, по сути, говорить, что банковский рынок подвергается атаке криминального сообщества», – оценивает ситуацию один из участников дискуссии.
Простейшая антискимминговая накладка стоит около $20. Предположим, у банка 1500 банкоматов – на все «семейство» набегает $30 тыс. Но наиболее продвинутые решения обойдутся как минимум в 1200 евро. На те же 1500 аппаратов – это 1,8 млн евро. «Я не думаю, что кто-то из российских игроков теряет на банкоматном скимминге столь значительный объем средств, чтобы переоборудовать все свои АТМ. Возможно, некоторые сочтут целесообразным установить защиту от скиммеров в так называемых зонах повышенной опасности – местах, где карты уже были скомпрометированы. В этом есть смысл, но, полагаю, о массовой антискимминговой модернизации банкоматов по всей стране речь не идет», – резюмирует Алексей Голенищев.
Настоятельные рекомендации. PCI DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт) — международный документ, в котором перечислены правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении. Он разработан советом по безопасности индустрии платежных карт (PCI SSC). Эта структура основана платежными системами Visa, Mastercard, American Express, JCB и Discover. Недавно АРЧЕ стала членом этой организации и теперь может информировать ее о том, как внедряются стандарты PCI DSS в России. Требования стандарта сводятся не к обязательному использованию конкретных моделей софта или версий ПО. Речь идет об общих принципах организации информационной безопасности. Согласно PCI DCC, его условия должны соблюдать организации, так или иначе имеющие дело с информацией о кардхолдерах. «Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS», – говорится на сайте pcidcc.ru.
По сути своей соблюдение правил PCI DCC должно помочь в настройке инфраструктуры таким образом, чтобы минимизировать убытки. Как отмечается в презентации компании Visa для конференции представителей PCI, каждый случай утери платежной информации обходится организациям в среднем в $15 тыс., а на устранение проблемы в среднем тратится 175 рабочих часов IT-специалистов. Приводится такая статистика: на конец 2007 года 77% крупных и 62% средних компаний США выполнили требования PCI DSS.
Но в России «воз» едет неторопливо. Члены PCI CSS неофициально признают, что требовать в юридическом смысле этого слова от наших компаний не могут. Скорее настойчиво рекомендовать. И здесь забота о своем и чужом благосостоянии зависит только от сознательности игроков. Сейчас все крупные российские банки и процессинговые центры продвинулись в направлении сертификации PCI DSS. Очередная задача идеологов «движения» – стимулировать российских ритейлеров «сертифицироваться» и проводить необходимую модернизацию своих аппаратно-программных средств, POS-терминалов. Это уже следующий этап, и можно говорить о первых признаках оживления. Так, например, несколько западных розничных компаний, работающих в России (например IKEA), внедрили эти стандарты. С «чисто российскими» торговыми точками сложнее: скорее всего, они активизируются, когда «причесать» свое платежное оборудование их обяжет российское же законодательство.
Врезка. Безопасность по правилам
Требования стандарта PCI DSS разделены на 12 параграфов:
• применение межсетевых экранов
• правила настройки оборудования
• защита хранимых данных о владельцах платежных карт
• применение криптографических средств защиты при передаче данных
• применение антивирусных средств
• безопасная разработка и поддержка приложений и систем
• управление доступом пользователей к данным
• управление учетными записями
• обеспечение физической безопасности
• мониторинг безопасности данных
• регулярное тестирование систем
• разработка и поддержка политики информационной безопасности
Чип спешит на помощь
«По данным на середину 2009 года в России лишь каждая четвертая карта была оборудована микропроцессором», – рассказал глава представительства MasterCard Europe в России Илья Рябый.
«Преимущество чиповой карты по сравнению с картой с магнитной полосой, помимо большей функциональности, заключается в повышенной степени ее защиты», – пояснили «Ф.» в пресс-службе Visa.
Магнитная карта – это пластик, на который нанесена лента с цифровой информацией, позволяющей идентифицировать выпустивший ее банк и счет держателя. Скопировать полосу и ПИН-код в момент его ввода при помощи скимминговых устройств не представляет особой сложности для современных карточных мошенников. При этом затраты на создание фальшивого пластика относительно небольшие – от несколько десятков до нескольких сотен долларов (массовое производство обойдется на порядок дешевле). Так хищение средств с магнитной карты становится для преступников выгодным «бизнес-проектом».
В микропроцессорных банковских картах информация содержится в маленьком чипе. Главное ее преимущество перед магнитной – более дорогая технология подделки. Получается, что чиповый «бизнес» с точки зрения мошенников менее рентабельный: издержки могут превышать потенциальную прибыль. «Тот факт, что банки (в России – «Ф.») пока не озаботились переходом на более безопасные карты, говорит о том, что масштабы мошенничества с пластиком небольшие. Для примера: большинство стран ЕС до конца 2007 года перешло на чип», – объясняет Илья Рябый.
Нужно различать чиповые карты по уровням защиты. В случае с более «простенькими» решениями возможен перенос данных чипа на карту с магнитной полосой. Микропроцессорный пластик более высоких уровней не позволяет этого сделать, что значительно повышает стойкость защиты.
Себестоимость производства одной магнитной карты составляет около 50 евро-центов, а одной чиповой – до нескольких евро. Но по мере развития технологий себестоимость «микропроцессорного» пластика постоянно снижается, в то время как потери от карточных мошенников во всем мире растут. Поэтому можно говорить о том, что смарт-карты – это продукт будущего.
Впрочем, увеличение доли чиповых карт в целом по рынку может сделать этот сегмент более привлекательным для мошенников. «Вряд ли чип можно считать абсолютной панацеей от «фрода»: для эффективной борьбы с карточными хищениями нужно применять весь комплекс доступных мер, микропроцессор карты в данном случае – его важная составляющая», – резюмирует руководитель службы информационной безопасности компании ЦФТ Александр Володин.
10 советов. Как уберечься от мошенников
В октябре ЦБ разослал банкам письмо, рекомендуя провести разъяснительную работу с клиентами и, в частности, разместить в точках подготовленную регулятором памятку «О мерах безопасности использования банковских карт». «Ф.», в свою очередь, пригласил Mastercard, Visa, банкиров и производителей банкоматов поучаствовать в подборке рекомендаций для российских держателей пластиковых карт. Вот таким получился результат совместной работы.
1. Если вы собираетесь открыть карточный счет в банке или он уже открыт, непременно поинтересуйтесь, каким образом в банке осуществляется система контроля рисков по «пластиковым» операциям.
2. Никогда и никому не сообщайте ваш ПИН-код. ПИН-код генерируется специальной системой банка и известен только вам. Если его просят предоставить, то вы имеете дело с мошенником. ПИН-код нужно запомнить или хранить отдельно от банковской карты в «неявном» виде.
3. Не предоставляйте личную информацию в ответ на различные запросы по электронной почте и в интернете. Финансовые учреждения не связываются со своими клиентами по электронной почте для получения конфиденциальной информации. Если Вы совершаете покупку через сайт компании, обратите внимание на показатели безопасности сайта, как, например, значок секретности в строке состояния браузера или наличие «https:» в начале адреса сайта («s» обозначает «secure» – безопасный).
4. В конце каждого месяца нужно проверять все совершенные транзакции по выписке с вашего счета. Немедленно сообщайте о подозрительных операциях в банк-эмитент. В случае задержки предоставления выписки по счету нужно уточнить причину «неторопливости» в банке. Вообще телефон горячей линии для клиентов тех банков, картами которых вы пользуетесь, желательно всегда иметь при себе в мобильном телефоне или записной книжке.
5. Будьте особенно осторожны, сообщая конфиденциальную информацию о себе (например, девичью фамилию своей матери или номер карточки пенсионного страхования). Обязательно выясните, как эти данные будут использованы, кому еще их сообщат, и какие меры будут предприняты для обеспечения ее защиты.
6. При получении банковской карты распишитесь на ее оборотной стороне. Это снизит риск использования карты без вашего согласия в случае ее утери или кражи.
7. В случае кражи или утери карты необходимо немедленно сообщить об этом по телефону горячей линии банку-эмитенту и заблокировать счет.
8. Пользуясь банкоматом, убедитесь, что он выглядит нормально, на нем нет следов взлома, устройств на кардридере, накладок на клавиатуре, индикаторы мигают. Прикрывайте ладонью клавиатуру во время ввода ПИН-кода и обращайте внимание на людей, стоящих у вас за спиной. Если банкомат «захватил» карту или не выдал деньги, нужно немедленно связаться с банком – владельцем АТМ (телефон обычно указан на передней панели кэш-машины) и с банком – эмитентом карты.
9. Подключите услугу смс-информирования для отслеживания состояния вашего счета. О любых сомнительных транзакциях незамедлительно сообщайте в банк.
10. Не выбрасывайте платежные чеки после оплаты в торговых точках. Во-первых, они содержат платежную информацию о вас и карте. Во-вторых, чеки могут пригодиться в случае компрометации вашей карты мошенниками.
Материал взят с сайта журнала "Финанс": http://www.finansmag.ru/95297
