СОВРЕМЕННЫЕ СТРАТЕГИИ ЗАЩИТЫ БАНКОВСКИХ КАРТ ОТ МОШЕННИЧЕСКИХ ОПЕРАЦИЙ

STRATEGIES FOR PROTECTING MODERN BANK CARDS AGAINST FRAUD

Vyacheslav Podgorsky

student of Power Engineering and Automated Systems Institute, Nosov Magnitogorsk State Technical University,

Russia, Magnitogorsk

АННОТАЦИЯ

В статье анализируются современные стратегии предотвращения мошеннических операций в сфере банковской деятельности в ходе безналичных расчетов с применением банковских пластиковых карт.

ABSTRACT

This paper analyzes modern fraud prevention strategies employed by banks in cashless payments using plastic card.

Ключевые слова: банковские пластиковые карты, мошеннические операции, коммерческие банки, платежная система, защита информации.

Keywords: bank plastic cards, fraudulent transactions, commercial banks, payment system, information protection.

Совершенно новая среда жизни современного человека характеризуется как несомненными достоинствами и удобством использования всевозможных удаленных сервисов, так и рисками, связанными с незаконным завладением персональной и финансовой информацией или финансовыми ресурсами. По мере развития финансовых технологий, основанных на удаленном доступе, указанные риски растут в геометрической прогрессии, и банки постоянно отмечают рост таких мошеннических операций.

Современный рынок финансовых услуг на базе банковских карт находится в стадии интенсивного развития, а вместе с его ростом увеличиваются и объемы финансовых потерь по мошенническим операциям. Это делает дальнейшую разработку механизмов обеспечения защиты банковских карт особенно актуальной.

Исследуя данную проблематику, охарактеризуем более детально банковскую карту как универсальный платежный инструмент, являющийся ключом доступа к одному или нескольким банковским счетам. Все карты, используемые физическими и юридическими лицами, можно подразделить на следующие типы:

- дебетовые (позволяют распоряжаться средствами в пределах доступного остатка на том депозитном счете, к которому привязана);

- кредитные (позволяют использовать как собственные средства, таки кредитный лимит, предоставляемый банком);

- зарплатные (инициатором выпуска выступает работодатель, могут быть как дебетовыми. таки с доступным кредитным лимитом);

- корпоративные (выпускаются к счету кредитного лица, имеют четко определенный набор операций).

Классификация карт по способу записи информации будет выглядеть следующим образом:

- графическая запись (применяется во всех картах, это самая ранняя и простая форма записи данных на карту);

- эмбоссирование (данные на карту наносятся в виде рельефных знаков);

- штрих-кодирование (запись информации с использованием технологии штрихового кодирования, не получила широкого применения в платежных системах);

- магнитная полоса (содержит информацию о номере карты, сроке и служебном коде, совершение операции возможно только в режиме онлайн);

- чип (или микросхема, характеризуется более высоким уровнем защиты информации);

- лазерная запись (или оптические карты, из-за высокой стоимости оборудования не получили широкого применения).

На сегодняшний день большинство банковских карт оснащены магнитной полосой и чипом. Магнитная полоса в зашифрованной форме фиксирует необходимую информацию, прежде всего данные о ПИН-коде – персональном идентификационном номере. Владельцем карты вводится ПИН-код. Затем идет сравнение запрашиваемой информации с зашифрованным на полосе ПИН-кодом. При несовпадении информации, набрать ПИН-код возможно еще дважды. При отрицательном результате происходит автоматическая блокировка карты.

Данные, записанные на смарт-карте (карте с чипом) позволяют осуществлять операции в оффлайн режиме, а именно в момент осуществления операции может отсутствовать связь с процессинговым центром. В связи с тем, что информация об остатке суммы средств на банковском счете хранится на карте, то авторизация здесь не требуется. При проведении операции, если сумма меньше или равна имеющемуся лимиту, то на счете будут уменьшены средства в процессе осуществления сделки и автоматически обновится остаток на счете. Когда лимит по карте превышен, операция отклоняется. В дальнейшем, при поступлении на счет денежных средств, обновляется лимит, о чем делается запись в микросхеме. По хранению информации возможности смарт-карт значительно шире, чем у карт с магнитной полосой. Информационные возможности хранения данных карт с микросхемой с технической стороны составляют 8 тысяч бит по сравнению с 1 тысячей бит у карт с магнитной полосой.

Опираясь на данные современных источников, можно констатировать, что на сегодняшний день в мире находится в обращении огромное количество платежных карт: порядка пяти миллиардов [3]. Причем, большую долю составляют карты ведущих международных платежных систем, а именно:

- China Union Pay (ок. 1 миллиарда карт);

-  Visa (более 1,6 миллиарда карт);

- Master Card (более 1,8 миллиарда карт).

За последние три года произошла стабилизация как годового оборота по банковским картам на уровне десяти миллиардов долларов США, так и темпов прироста объема карточной эмиссии на уровне двадцати процентов в год.

Наиболее рискованной зоной для проведения операций по картам является Интернет. Как свидетельствуют данные аналитических организаций Internet Fraud Prevention Advisory Council [4], от двух до сорока процентов интернет-транзакций по банковским картам с точки зрения возможного мошенничества являются подозрительными.

Одна из наиболее рисковых статей банковского сектора – это финансовые издержки кредитной организации, связанные с несанкционированными действиями мошенников, особенно в части реализации технологий на платформе банковских карт. Подтвержденный факт мошенничества, осуществленный с использованием банковских карт клиентов, несет в себе определенные, не желательные для кредитной организации финансовые, а также репутационные риски [2].

На сегодняшний день общепризнано, что базисом, способным обеспечить безопасность бизнеса банковских карт является соответствие требованиям стандарта PCI DSS [3]. Так как скопировать информацию из чипа сегодня не представляется возможным, то операция по чипу даёт гарантию присутствия в месте проведения операции оригинальной карты. В такой ситуации идентификация данной транзакции, как мошеннической, очень проблематична, так как нет четких ее характеристических особенностей. Иначе обстоит дело с магнитной полосой карты, которая поддается копированию [1, c. 48]. Впоследствии, опираясь на полученные таким образом данные, мошенники изготавливают копии карт, которые затем используются в банкоматах, не поддерживающих операции по чипу, для обналичивания денежных средств. Однако ряд стран (таких как Китай, Мексика, США, Тайланд, Малайзия, Филлипины, Индия и др.) в этих программах не участвуют. Поэтому именно для этих стран характерно осуществление мошеннических операций подобного рода. Интернациональный характер мошеннической схемы сводит перспективы расследования таких случаев к минимуму.

Для установления характера операций может использоваться алгоритм анализа времени перемещения между странами. Алгоритм построен на отказе обработки авторизованного запроса для операции в высокорисковой стране по магнитной полосе, если ей предшествовала операция в другой стране по чипу или по магнитной полосе, а интервал времени между этими двумя операциями недостаточен для перемещения между странами. При внешней простоте и разумности алгоритма, при более детальном его рассмотрении могут возникнуть вопросы. Так, временной промежуток при перемещении из Москвы в Нью-Йорк составляет ок. десяти часов, а время перемещения с Аляски на территорию Дальнего Востока – ок. трёх с половиной часов. И в первом, и во втором случае происходит смена стран «Россия – США». Так как детальнее произвести анализ местонахождения держателя по полям авторизованного запроса затруднительно, то и время перемещения однозначно определить тоже проблематично.

Важно отметить, что доля мошеннических CNP- операций постоянно растет. И это вполне объяснимо, причем не только из-за широкого распространения интернет- платежей, но и вследствие простоты реализации подобного рода атак. Нет необходимости изыскивать дополнительные материальные идентификаторы. Для удачного проведения мошеннической операции достаточно знать лишь реквизиты карты держателя.

Существуют два основных варианта получения реквизитов платежного средства.

1.  «Без участия владельцев»: данные о картах крадутся с серверов интернет-магазинов, банков, онлайн-сервисов и т.д.
2. «С непосредственной помощью владельцев»: методы социальной инженерии позволяют за счет различных уловок воздействовать на психику человека, в результате человек сам отдает мошенникам нужную информацию [2].

Выделяют следующие условия для реализации мошенничества с использованием банковских карт:

- банковская карта и /или реквизиты должны быть скомпрометированы злоумышленником;

- скомпрометированные данные банковской карты должны быть использованы для попытки осуществления не санкционированной держателем банковской карты операции со стороны злоумышленника;

- попытка проведения не санкционированной держателем банковской карты операции со стороны злоумышленника должна быть успешно завершена (авторизованный запрос должен быть направлен банком-эквайером банку-эмитенту);

- не санкционированная держателем банковской карты операция со стороны злоумышленника должна быть авторизована банком-эмитентом (денежные средства заблокированы на счете банковской карты).

Если нелегитимная операция была совершена, то ответственность за нее несет банк-эквайер, при условии, что не будет доказано, что держатель сам скомпрометировал реквизиты карты. Последнее сделать достаточно тяжело, поэтому, дабы сбалансировать риски, были внедрены технологии двойной аутентификации (3D-Secure), суть которых заключается в следующем: после получения реквизитов карты для оплаты товаров или услуг у клиента запрашивается дополнительная парольная информация для подтверждения платежа.

На современном этапе развития банковского сектора экономики кредитные организации используют различные системы фронд-мониторинга (слово «фронд» от английского слова «fraud» переводится как мошенничество), которые можно классифицировать:

- по типу и скорости реагирования (реальное время, отложенный режим);

- по типу принятия решения (автоматические, автоматизированные);

- по типу используемой при анализе информации (данные авторизованного сообщения, история операций по карте и /или торгово-сервисному предприятию);

- по типу используемого математического аппарата (логические проверки, методы статистического и интеллектуального анализа данных, системы на базе искусственных нейронных сетей);

- по типу анализируемых операций (эмиссионные, эквайринговые).

Когда пользователь совершает оплату или перевод средств на сайте, информация попадает в систему fraud-мониторинга. Кроме информации о данном платеже антифрод-система хранит профиль среднестатистического плательщика данного банка или интернет-магазина. Анализ алгоритма работы системы fraud-мониторинга позволяет вычленить факторы, имеющие принципиальное значение:

- страна, из которой совершен платеж;

- страна банка, который выпустил карту;

- размер платежа;

- количество платежей с карты;

- история платежей с банковской карты;

- профиль среднестатистического плательщика магазина.

Результатом проведенного анализа транзакции является присвоение особых «меток»: зеленой, красной или желтой, характеризующих способ обработки транзакции.

«Зеленая» метка означает, что эта транзакция характеризуется низкой вероятностью возникновения мошеннической операции.

«Желтая» метка означает степень вероятности возникновения мошеннической операции выше среднего. Соответственно эти платежи требуют дополнительного внимания служб информационной безопасности.

 «Красная» метка означает наибольшую вероятность мошеннических действий, поэтому для их проведения будет необходимо документальное подтверждение аутентичности владельца карты.

Система fraud-мониторинга позволяет существенно снизить риск возникновения мошеннических операций. Анализируя транзакции на трех уровнях (единичная банковская карта, профиль предприятия электронной коммерции, общий поток транзакций, обрабатываемых IPSP (Internet Payment Service Provider License), фрод-мониторинг позволяет повысить уровень безопасности при совершении оплат на сайтах клиентов и снизить риски по всем видам мошенничества, свойственным интернет-коммерции.

Но такая схема fraud-мониторинга имеет недостатки, связанные с тем, что владельцы карт не могут принимать участие в дополнении существующих фильтров безопасности. Собственноручное вмешательство в создание всех правил системы недопустимо, так как может нарушить работу системы и увеличить риски хищения денежных средств. Пользователю лишь можно доверить создание дополнительных правил фильтрации.

Таким образом:

1. Достоверно оценить степень риска для операции по чипу банковской карты практически невозможно.

2. Для парирования угрозы использования клонов банковских карт целесообразно использовать алгоритмы анализа географических перемещений и лимитов на операции по съему наличных денежных средств.

3. Использование систем fraud-мониторинга вместе с внедрением дополнительной динамической аутентификации при проведении CNP-операций является основным методом предотвращения мошенничества по банковским картам.

4. Процедура приема на работу персонала банковских организаций требует повышенного внимания, а именно: проверки подлинности документов, квалификации, точности биографических фактов, профессиональных навыков. Проверки должны носить регулярный порядок, а их результаты должны фиксироваться.

В заключении важно отметить, что киберпреступность активно развивает механизмы осуществления противоправной деятельности. Так, в 2019 году распространение вируса Android-троян Gustuff обеспечило возможность автоматического перевода денег со счета клиента на счет злоумышленников без уведомления пользователя через банковское мобильное приложение, установленное на смартфоне. По сообщению РБК, банки, столкнувшиеся с указанным вирусом, имеют специальные средства борьбы с ним, но, чаще всего троянская программа попадает на телефон в результате действий самого клиента при скачивании различных приложений, файлов и пр. Поэтому совершенно необходимо обеспечить клиентов систем дистанционного банковского обслуживания детальными инструкциями банков, с подробным описанием процедуры выполнения операций, транзакций и правил информационной безопасности. Необходимо также комплексно регламентировать и вопросы возможного телефонного общения клиентов с сотрудниками банка. Представляется разумным утверждение данных правил Банком России при определяющей роли ФинЦЕРТ с учетом его опыта по проведению информационной компании по финансовой безопасности и киберграмотности.

Такое же нормативное закрепление требуется и для требований к банкам по обязательному использованию двухфакторной аутентификации с последующим использованием одноразового пароля из SMS, по ограничению сроков его действия и запрету подбора пароля;  а для юридических лиц, использующим систему дистанционного банковского обслуживания, необходимо предусмотреть обязательное использование мер защиты против вредоносного кода, направленного на взлом программного обеспечения.

Список литературы:

1. Голдовский И.М. Банковские микропроцессорные карты. – М.: Изд-во «Альпина», 2010. – 694 с.
2. Чернышов А.С. Преимущества и перспективы развития интернет-банкинга в России // Вестник Белгородского университета потребительской кооперации. – № 4-2. – С. 276-279.
3. Payment Card Industry Data Security Standard // URL: https://www.pcisecuritystan- dards.org/security_standards /documents.php.
4. Visa International Operating Regulations 15 April 2013 // URL: http://usa.visa.com/download/merchants/visa -international-operating-regulations- main.pdf.