29 Мая, 2013

Постулаты безопасности карточного бизнеса (Часть 3 из 3)

BMS Consulting
В предыдущих частях статьи (см. Часть 1 , Часть 2 ) мы подняли проблематику карточного бизнеса в современной среде, рассмотрели наиболее распространенные виды мошенничества для эмитента и определили первоочередные защитные меры, которые необходимо предпринять (внедрить) для предотвращения/противодействия мошенничеству.

В данной части рассмотрим наиболее распространенные виды мошенничества по отношению к эквайеру, определим первоочередные защитные меры, которые необходимо внедрить для обеспечения комплексной защиты эквайера.

name='more'> Итак, рассмотрим самые распространенные ВИДЫ МОШЕННИЧЕСТВА ДЛЯ ЭКВАЙЕРА:

Предприятия, регистрируемые для совершения мошенничества
Целью мошенничества является регистрация предприятия в банке на услугу «Торговый эквайринг» с открытием расчетного счета или перечислением на счет в другом банке, совершение ряда операций по утерянным, украденным или/и поддельным картам, получение по операциям возмещения от банка-эквайера и последующее исчезновение до момента обнаружения мошенничества.

В ТСП могут проводиться операции как с использованием POS-терминала, так и импринтера. Последний расширяет возможности мошенников для использования эмбоссированного «белого пластика» без кодированной магнитной полосы. По совершенным операциям банк-эквайрер получает опротестования, которые становятся его убытками.

Повышенный риск представляют такие «одноразовые» торговые предприятия в среде Интернет-торговли, где мошенникам нет необходимости использовать реальный пластик. Убытки от их деятельности могут иметь на порядки больший размер. Показателен пример с мошенничеством в бизнесе продажи авиабилетов. ТСП, занимающееся продажей авиабилетов, принимает от клиентов оплату наличными. Далее ТСП оформляет бронь авиабилетов через интернет-ресурсы автоматизированных систем бронирования с оплатой по украденным или поддельным платежным картам. С учетом высокой стоимости авиабилетов данная схема мошенничества остается актуальной. Регистрация фиктивного ТСП может иметь целью сбор платежных реквизитов карт для их последующего использования в мошеннических целях. Для этого удобно подходят технологии телемаркетинга, когда от клиента для оформления покупки требуется передать реквизиты карты через Интернет, факс или телефон. До получения реального товара или услуги дело, как правило, не доходит. В этом плане подозрительными являются заманчивые предложения о продаже ходовых товаров или услуг с несоизмеримыми с реальной ценой товара скидками, о бесплатной рассылке товара с предоплатой по карте клиентом только почтовых затрат.

Причина этого вида мошенничества – неспособность банка-эквайера распознать криминальные цели организации на этапе проверки ее документов до подписания договора на услугу и отсутствие контроля за деятельностью ТСП.

Мероприятия по противодействию данному мошенничеству:
  • комплексная проверка ТСП до подписания договора на предоставление услуги;
  • мониторинг проводимых в ТСП операций, а также отказов в авторизациях, их причины;
  • инспекция ТСП посещением сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному ранее.
Мошенничество персонала торговой точки
Сговор работника ТСП с ворами-карманниками или организованными мошенническими структурами с целью получения товара или денежных средств с использованием украденных, утерянных или поддельных карт. Работники ТСП могут пойти на сговор под давлением мошенников, контролирующих бизнес ТСП (его владельцев), или «гастролеров».
К этому же виду относится мошенничество работника ТСП, связанное с использованием служебного положения:
  • двойное проведение операции посредством POS-терминала (electronic data capture);
  • неоднократное копирование торгового слипа и выставление его к оплате (multiple imprints);
  • ручной ввод на POS-терминале платежных реквизитов карты в отсутствие карты и ее владельца (PAN key entry).
Здесь же уместно напомнить о таком старом виде мошенничества, как подделка торговых слипов (altered sales drafts), когда после подписания законным держателем карты слипа работником ТСП изменяется в большую сторону сумма операции, которая без ведома держателя авторизуется.

Выявить компрометацию карт в ТСП – организационно сложная задача. Во многих сетевых ресторанах и супермаркетах текучка кадров – явление постоянное, на работу принимаются нерезиденты-мигранты, студенты, временные работники. Низкая оплата труда, правовая и финансовая безграмотность, а также запугивание и шантаж со стороны криминала – причины, по которым сотрудники ТСП начинают сотрудничать с мошенниками. Следует помнить, что работники ТСП являются самым слабым звеном в построении системы безопасности карточного бизнеса.

Мероприятия по противодействию данному мошенничеству:
  • комплексная проверка ТСП до подписания договора на предоставление услуги;
  • мониторинг за случаями опротестовывания операций из данной ТСП, расследование их причин;
  • финансовые санкции и зафиксированная договором ответственность ТСП за убытки, связанные с мошенничеством со стороны работников ТСП;
  • контроль со стороны банка за использованием слипов в ТСП.
Перехват счета ТСП (Merchant Account Takeover) 
Направление в банк-эквайер мошенниками поддельного извещения от имени ТСП об изменении платежных реквизитов для перечисления денежных средств по договору на услугу торгового эквайринга с указанием номера подставного расчетного счета. Мошенники используют информацию о руководящих лицах торговой организации, подделывают их подписи и печать организации. Далее письменно извещают банк об изменении платежных реквизитов и похищают переведенные денежные средства.

Мероприятия по противодействию данному мошенничеству:
  • настаивать на открытии расчетного счета ТСП в банке-эквайере;
  • осуществлять проверку извещений об изменении платежных реквизитов ТСП на предмет соответствия заверяющих подписей образцам подписей, хранимых в банке, а также печати организации;
  • направить ТСП ответное письмо с подтверждением изменений.
Мошенничество с использованием банкоматов – «Скимминг»
«Скимминг» уже упоминался выше, поговорим о нем подробнее.

Для банка-эквайера, «скимминг» – не меньшая головная боль, чем для несущего финансовую ответственность эмитента, тем более что зачастую эмитент и эквайер выступают в одном лице в качестве пострадавшего. К сожалению, в большинстве случаев о «скимминге» эквайер узнает последним, когда потерпевшие убытки банки-эмитенты вычислили устройство, где были скомпрометированы карты. Реже службам эквайера или бдительным клиентам удается заметить накладки на банкоматы и ликвидировать их. Но и в этом случае карты, по которым прошли транзакции во время нахождения накладки на банкомате, подлежат блокировке и перевыпуску. Здесь платежные системы являются связующим звеном в оперативном обмене информации между банками по скомпрометированным картам.

Для противодействия «скиммингу» производителями банкоматов предлагаются различные антискимминговые устройства, интегрированные в картридеры и экраны, закрывающие от посторонних глаз клавиатуру для ввода ПИН-кода.

Антискимминговые устройства делают физически невозможным установку преступниками скимминговых накладок и могут быть оснащены датчиками, останавливающими работу банкомата в случае повреждения слота картридера. Некоторые модели антискимминговых устройств оснащены функцией, называемой Jitter – неравномерность скорости движения карты в картридере, что затрудняет считывание полосы скимминговой накладкой.

Сами банки пытаются организовать защиту своими силами: размещают заставку на банкомате или печатные плакаты с изображением, как должна выглядеть передняя панель банкомата, ставят помехи для мобильных телефонов в зоне размещения банкоматов для противодействия передаче скопированных данных по GPRS-каналу.

Мероприятия по противодействию данному мошенничеству:
  • периодический обход банкоматов техниками и службой инкассации для обнаружения любых посторонних предметов на лицевой панели;
  • размещение банкоматов с учетом безопасности для клиентов, техников и инкассаторов;
  • организация зоны безопасности перед банкоматом;
  • оборудование банкоматов видеокамерами;
  • установка антискимминговых устройств;
  • размещение на заставке банкоматов фотографии штатного картридера;
  • использование уникальных стикеров для опломбирования клавиатуры банкомата и панели картридера.
Снятие наличных по картам, украденным вместе с ПИН-кодом
Очень часто сам держатель карты своими действиями компрометирует ПИН-код, выданный к его карте. Проблема заключается в том, что владельцы карт не могут или не хотят запоминать ПИН-код и записывают его на самой карте, в записной книжке, мобильном телефоне или носят конверт с ПИН-кодом в кошельке. Рано или поздно это приводит к тому, что карту и ПИН-код воруют одновременно и с предсказуемым результатом: денежные средства с карты снимаются похитителем в ближайшем банкомате еще до звонка клиента в банк и блокировки карты.
Компрометация ПИН-кода может произойти непосредственно в момент совершения законным держателем операции снятия наличных средств в банкомате или POS-терминале.

Посторонний человек, «случайно» оказавшийся рядом, может подсмотреть ПИН-код из-за плеча или на расстоянии с помощью оптических приборов, а похитить саму карту для профессиональных карманников не составляет труда. С ростом количества чиповых карт и введением требования ПИН-кода по картам Maestro компрометация ПИН-кода при его вводе стала актуальной проблемой.

Для получения ПИН-кода «не отходя от кассы» мошенники могут представиться сотрудниками банка, к примеру, у неработающего банкомата, и предложить свою помощь в проведении операции. Клиента просят воспользоваться банкоматом и ввести при них ПИН-код. Далее либо владелец карты становится жертвой «скимминга», либо карту банально воруют или подменяют.

Мероприятия по противодействию мошенничеству:
  • обучение держателей карт мерам безопасного обслуживания карт.
«Дружественное» мошенничество
Использование карты членом семьи, коллегой или другом без разрешения владельца карты. Чаще речь идет о совершенных операциях выдачи наличных средств через банкомат, которые оспаривает законный держатель карты. Следует отметить, что не исключены варианты сговора держателя и «друга».

Мероприятия по противодействию мошенничеству:
  • обучение держателей карт мерам безопасного обслуживания карт;
  • оборудование банкоматов видеокамерами.
«Ливанская петля» (card trapping)
Данный вид мошенничества заключается в том, что мошенник помещает в слот картридера банкомата кусок пластиковой ленты, образующий петлю, препятствующую возврату карты. Когда у законного владельца карты не получается получить карту обратно, появляется «доброжелатель» с рекомендацией повторно ввести ПИН-код. Если держатель соглашается, то мошенник подсматривает ПИН-код «из-за плеча». Держатель карту обратно не получает, а мошенник после ухода держателя достает карту за край ленты, приклеенный на внешнюю сторону картридера.

Мероприятия по противодействию мошенничеству:
  • оборудование банкоматов антискиминговыми накладками на картридер.
Подмена или хищение карты
При проведении операции по карте в банкомате перед тем, как карта возвращается банкоматом обратно, мошенники отвлекают держателя. При этом карта похищается либо ее подменяют. Мошенники действуют в группе, один отвлекает, другой забирает или меняет карту. PIN-код похищенной карты подсматривается «из-за плеча».

Мероприятия по противодействию мошенничеству:
  • обучение держателей карт мерам безопасного обслуживания карт.
Cash Trapping (накладки на лотке для выдачи наличных)
Мошенник размещает накладку над лотком для выдачи наличных. Конструкция накладки такова, что выданные банкоматом купюры захватываются, но держателю карты не выдаются. Когда клиент не дождавшись выдачи наличных уходит, мошенник снимает накладку вместе с задержанными денежными средствами.

Мероприятия по противодействию мошенничеству:
  • оборудование банкоматов видеокамерами, направленными на лоток выдачи купюр.
Мошенничество, направленное на сбор информации о платежных реквизитах карт Фишинг (phishing). Фарминг (pharming)
Электронные письма, смс-сообщения или телефонные звонки якобы от имени банка, содержащие просьбу сообщить платежные реквизиты банковской карты, ПИН-код или персональные данные клиента, носят название phishing – симбиоз английских слов phone и fishing. Метод действительно напоминает рыбалку: массовой рассылкой вбрасывается большое количество писем-«приманок», далее собираются ответы от тех, кто попался на крючок. Уязвимые места, используемые при фишинге, –  человеческий фактор и несовершенство средств аунтентификации клиента банком.

Рекомендации для клиентов, как определить письмо, являющееся фишингом, следующие: банки никогда не запрашивают предоставления персональных данных карты, кроме как при личном присутствии клиента в офисе или посредством систем ДБО с обязательной аутентификацией клиента. Кроме того, текст письма может содержать грамматические ошибки, обращение к клиенту не на прямую (например, «Уважаемый клиент!»), тон письма тревожный, предостерегающий возникновением проблем (например, «потерей учетных записей») в случае, если клиент не предоставит требуемую информацию.

Одна из разновидностей фишинга получила название «фарминг». Клиент, набирая в адресной строке правильный адрес интернет-сайта банка, перенаправляется на сайт, контролируемый мошенниками. Дизайн подставного сайта почти полностью копирует оригинальный банковский и содержит перечень полей для заполнения личными данными.

Метод может быть использован как на компьютере клиента с помощью «троянов» (изменяется таблица соответствия DNS имен и IP-адресов), так и непосредственно на DNS сервере интернет-провайдера клиента. Клиент пребывает в уверенности, что пользуется услугами банка и безбоязненно вводит платежные реквизиты. После этого личные данные клиента становятся доступными мошенникам, а клиент перенаправляется на официальный сайт банка.

Для профилактики фарминга клиентам надлежит в обязательном порядке рекомендовать использование для доступа и совершения операций в системах ДБО только собственные персональные компьютеры с актуальной обновленной версией антивирусной программы с функциями «антихакер» и «антишпион». В противном случае нет никакой гарантии, что компьютер не заражен шпионскими (spyware) программами, собирающими персональные данные (логины, пароли), или «троянами» изменяющими параметры сетевой защиты и делающими компьютер уязвимым для несанкционированного доступа. Использовать для хранения ключевых данных USB-токены.

Мероприятия по противодействию мошенничеству:
  • обучение держателей карт мерам безопасного обслуживания карт, в том числе посредством систем ДБО. Клиент должен знать, что банки никогда не запрашивают ПИН-код. Адреса сайтов банковских систем ДБО содержат признак использования защищенного протокола https://;
  • использование одноразовых динамических паролей для аутентификации клиентов.
Подведем итоги и рассмотрим первоочередные защитные меры, которые необходимо внедрить  для обеспечения КОМПЛЕКСНОЙ ЗАЩИТЫ ЭКВАЙЕРА:
  1. Действующая политика обеспечения безопасности терминальной сети для обслуживания карт, устанавливающая обязанности и полномочия всех задействованных в процедурах развития и эксплуатации терминальной сети подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.
  2. Действующие процедуры проверки заявлений ТСП перед заключением договоров.
  3. Периодическая инспекция ТСП – посещение сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному в заявлении.
  4. Использование систем онлайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в проведении операции, блокировка терминала).
  5. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка терминала, блокировка ТСП).
  6. Организация мониторинга программной, аппаратной и коммуникационной составляющих банкоматной сети на подверженность мошенническим воздействиям.
  7. Соответствие процедур key-management требованиям международных платежных систем, криптозащита информации, передаваемой через публичные коммуникационные сети.
  8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS, RIS, NMAS, MATCH).
  9. Поддержка базы данных ТСП, договоры с которыми были расторгнуты или заявления на обслуживание в банке были когда-либо отклонены.
  10. Поддержка протокола 3D Secure на стороне эквайера, поддержка EMV в банкоматной и POS-терминальной сети.
  11. Обязательное обучение работников ТСП правилам приема и обслуживания банковских платежных карт, стандартам безопасности международных платежных систем, выявлению и пресечению попыток использования поддельных и украденных карт. Разъяснение правовой ответственности за соучастие в мошенничестве с платежными картами, персональной ответственности работников ТСП за соблюдение правил банка и и соответствующего законодательства Украины. 
  12. Обязательное обучение сотрудников банка, задействованных в развитии и эксплуатации терминальной сети, мерам по защите от мошенничества.
  13. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц.
  14. Выполнение требований стандарта безопасности данных платежных карт PCI DSS.
Источники:
Материалы конференции «Банковские карты: эффективный бизнес».
Пятиизбянцев Н. П. Банкоматные потери (Доклад) / Материалы семинара «Стратегия защиты пластиковых карт от мошенничества. Анализ рисков в электронном обращении с картами».
Голенищев А. А. Безопасность и управление рисками в бизнесе эквайринга пластиковых карт/Обзор современных видов мошенничества в России и за рубежом (Доклад) / Материалы семинара «Стратегия защиты пластиковых карт от мошенничества. Анализ рисков в электронном обращении с картами».