Эта проблема, безусловно, актуальна, но в целом, надо отметить, сегодня существует немало эффективных способов противодействовать этой угрозе.
Между тем существует немало рисков, связанных с угрозами «изнутри». Речь идет о перехвате данных во время обмена ими между банкоматом или POS-терминалом и банком. В случае успешной атаки злоумышленник получает доступ к банковским данным владельца карты и, как следствие, возможность снять деньги с его счета.
Сказать определенно, насколько распространены, а главное, успешны атаки, связанные с нарушением безопасности транзакций, невозможно. Точной статистики по количеству киберпреступлений нет, поскольку банки предпочитают их не афишировать, дабы не подвергать испытаниям свою репутацию и не вызывать беспокойство у своих клиентов |
А есть ли угроза?
Перехват трафика во время банковских транзакций более сложен и затратен, чем физические атаки, считает руководитель отдела аудита и консалтинга компании Group-IB Андрей Комаров. Кроме того, мошенники больше рискуют быть обнаруженными во время перехвата, нежели при скимминге, когда факт перехвата данных банковской карты остается незамеченным практически до момента хищения средств, добавляет архитектор FMRA решений компании «Инфосистемы Джет» Алексей Сизов. По его словам, большинство терминальных устройств сегодня оснащено механизмами контроля соединения, и теоретически попытка подключения к линии, выполненная даже при краткосрочном разрыве текущего соединения, будет зафиксирована на стороне банка круглосуточными службами мониторинга состояния терминального парка.
И все же сказать определенно, насколько распространены, а главное, успешны атаки, связанные с нарушением безопасности транзакций, невозможно. Точной статистики по количеству киберпреступлений нет, поскольку банки предпочитают их не афишировать, дабы не подвергать испытаниям свою репутацию и не вызывать беспокойство у своих клиентов. Конечно, в соответствии с требованиями международных платежных систем (МПС), банки обязаны уведомлять регулятора о фактах хищений, однако проконтролировать общие объемы не представляется возможным, поскольку клиент обращается с претензией в банк, его обслуживающий, рассказал Сизов. Именно банк, по его словам, принимает решение о том, является ли данный инцидент мошенничеством, и определяет, необходимо ли уведомлять МПС о данном факте в соответствии с принятой классификацией мошенничества.
Таким образом, степень угрозы хищения банковской информации путем перехвата трафика во время транзакции можно оценить лишь косвенно, в том числе через изучение и классификацию рисков для пользователей, связанных с оплатой услуг через банкоматы и киоски, а также способов защиты каналов связи, по которым осуществляется передача персональных данных владельцев банковских карт.
Заметные изменения
Как правило, к рискам транзакций, связанным с использованием банкомата или POS-терминала, относят не только попытки проникновения посторонних лиц. В Group-IB выделяют три основных типа рисков: модификация данных, их хищение, а также нарушение доступности отправки транзакции. В качестве примера последнего можно привести технический сбой в работе базы данных процессинга Сбербанка России, произошедший в июле этого года. Сначала в течение нескольких часов не производилось обслуживание пластиковых карт банка как в стране, так и за ее пределами, а на следующий день неработоспособными оказались банкоматы Сбербанка. Отказ в обслуживании, то есть внешнее воздействие, приводящее к недоступности сервиса для клиента, прокомментировал Сизов, влияет на репутацию кредитно-финансовой организации и на величину недополученной ею прибыли. По некоторым оценкам, ущерб Сбербанка в результате июльского сбоя составил несколько сотен миллионов рублей недополученной прибыли.
Если же говорить о риске, связанном с модификацией данных, то здесь можно выделить несколько типов такой модификации, пояснил Сизов. Во-первых, это корректировка суммы операции, например для изменения данных о запросе выданных денежных средств. Это позволяет изменять фактическую сумму, что приводит к некорректному изменению текущего баланса банковской карты. Таким образом, злоумышленник способен многократно увеличить баланс, что позволяет снимать в десятки, а иногда и в сотни раз больше денежных средств, чем доступно на карте. Однако, как отметил Сизов, банкоматы ведут учет количества выданных купюр и их номинала внутренними средствами, поэтому определение подобных мошеннических операций обычно не вызывает проблем (вплоть до определения реквизитов карты и ее владельца), так как недостачи в банкоматах выявляются весьма оперативно. Для данной схемы мошенничества необходимо использовать украденную карту либо карту, которая была неперсонифицированной или оформлялась по подложным документам.
Вторым типом модификации является корректировка идентификаторов платежного инструмента – номера карты. Эта возможность не приводит к формированию корректной операции, поскольку данная авторизация будет отвергнута из-за нарушения целостности номера банковской карты, контролируемого значением CVV (значение PIN-кода, параметр PIN-блока). Для вычисления этих значений, по сути являющихся результатами криптографических преобразований, необходимо знать криптографические ключи, которые отвечают за их формирование. Использовать же для подмены готовый набор номера карты, CVV и т. д. (например, украденные ранее), не имеет смысла, считает Сизов, так как проще изготовить дубликат с таким набором параметров. Он также отмечает, что подобная возможность рассматривается для банковских карт, не имеющих микропроцессора, то есть карт, не отвечающих стандарту EMV. Это международный стандарт для операций по банковским картам с чипом, совместно разработанный компаниями Europay, MasterCard и Visa. При наличии у карты чипа EMV сложность криптографических вычислений увеличивается в разы, и хищение таких данных, как и последующая их подмена, практически невозможны без компрометации ключей банка эмитента и уникальных ключей карты, пояснил Сизов.
И наконец, возможна корректировка назначения платежа, например при операциях card-to-card или person-to-person, осуществляемых через банкоматы. По мнению Сизова, это единственный вариант, при котором можно перенаправить денежные средства в момент совершения операции абсолютно легитимным пользователем. Поскольку целостность данных получателя в составе транзакции не контролируется, такая подмена может быть осуществлена при отсутствии шифрования транзакции. Активный рост числа подобных операций на рынке переводит их в разряд наиболее реальных угроз для атак на платежные транзакции через каналы связи, подчеркнул Сизов.
Также, по его словам, очень остро на сегодняшний день стоит проблема обеспечения целостности процесса формирования и обработки операций. Однако эта задача информационной безопасности относится к узлам создания и верификации реквизитов операции, то есть процессов, совершаемых внутри банковских терминальных устройств, и специализированного банковского ПО; следовательно, она должна решаться внутри банкомата, POS-терминала или платежного киоска.
Что касается средств хищения данных, то среди наиболее популярных у мошенников Комаров отметил специализированные сетевые снифферы, адаптированные к работе POS/ATM-решений. Злоумышленники размещают данные средства непосредственно в банковской сетевой инфраструктуре либо на самом POS-терминале или банкомате, уточнил Комаров.
По заданным критериям
Оценка безопасности банковских транзакций в целом очень традиционна для сферы ИБ. Комаров здесь выделяет следующие критерии: контроль основных характеристик ИБ (целостность, конфиденциальность, доступность); наличие доверенной среды передачи данных; криптографически закрытый канал; процедуру регистрации транзакции в части персональных данных, осуществляемую в шифрованном виде.
Кроме того, по мнению Олега Скородумова, главы департамента Visa по управлению рисками в России, СНГ и Юго-Восточной Европе, для оценки уровня безопасности транзакции могут использоваться такие критерии, как тип торгово-сервисного предприятия, где проводилась оплата, сумма транзакции, степень защиты карты, использованной для оплаты, и многие другие. Например, использовать чиповые карты более безопасно, чем карты с магнитной полосой. Помимо того,что взлом и подделка такой карты практически невозможны, при ее использовании для оплаты покупок, как правило, требуется введение PIN-кода, что обеспечивает дополнительную защиту от несанкционированного использования.
Линия защиты
Защита банковских данных обеспечивается всеми участниками процесса, включая владельца банковской карты. Но если от последнего требуется, по сути, простое неразглашение конфиденциальных данных, включая PIN-код и другие данные банковской карты, то сферы ответственности остальных участников процесса, разумеется, гораздо шире. Так, банк, обслуживающий карту, отвечает за конфиденциальность, целостность и доступность информации при передаче на сторону процессингового центра. Аналогичные зоны ответственности имеет процессинговый центр при обработке и последующем хранении данных.
Все участники транзакции, как добавил Скородумов, должны учитывать требования стандарта защиты информации PCI DSS (Payment Card Industry Data Security Standard). Он также отметил, что Visa поддерживает повсеместное внедрение этого стандарта, которому, по правилам платежной системы, должны соответствовать все институты, владеющие информацией о банковских картах. В случае проведения транзакций посредством POS-терминалов за соответствие этому стандарту торговых точек отвечают банки-эквайеры, уточнил он. Стандарт PCI DSS определяет 6 областей контроля и 12 основных требований по безопасности, включая требования по построению и сопровождению защищенной сети, ее регулярному мониторингу и тестированию, а также поддержке программы управления уязвимостями.
Для обеспечения безопасности каналов связи, рассказал Комаров, службами информационной безопасности используется целый комплекс защитных решений. В частности, это технические и криптографические средства защиты информации, включая средства реализации выделенных VPN-каналов с наличием шифрования; криптографическая подсистема обработки и хранения данных владельца карты; межсетевые экраны для пограничной защиты; антивирусное программное обеспечение; системы защиты от несанкционированного доступа; системы обнаружения и предотвращения вторжений и даже DLP-решения на уровне банковского учреждения либо процессингового центра.
Если говорить о механизмах защиты самих данных, в частности на примере банкомата, то их шифрование в большинстве случаев осуществляется стандартными механизмами на сетевом уровне, отметил Сизов. По его словам, для этих целей используются программно-аппаратные комплексы, конфигурирование которых проводится банковскими специалистами перед установкой банкомата. Шифрование данных в этой схеме осуществляется внутри банкомата после формирования платежной операции и перед передачей по каналу данных. Данное шифрование не является частью стандартов по формированию реквизитов транзакций (CVV, PVV, PIN-блока). На этот процесс невозможно повлиять без получения доступа к оборудованию физически либо административными интерфейсами. Аналогичным способом шифрование применяется и для POS-терминалов, используются лишь другие протоколы и механизмы.
Обеспечение целостности данных в случае использования банкомата обычно не рассматривается как отдельный элемент защиты, добавил Сизов. Однако, ввиду полного шифрования трафика, воспользоваться этой уязвимостью без перехвата ключей шифрования мошенникам не удастся, считает он, так как сформировать корректную транзакцию, зашифрованную соответствующими алгоритмами, невозможно.
Со своей стороны, платежные системы призывают сочетать вышеупомянутые способы защиты с внедрением мер предотвращения мошенничества, основанных на использовании динамических данных. К примеру, в Visa, по словам Скородумова, предлагают использовать такие модели защиты, при которых похищенная информация не давала бы возможности злоумышленникам проводить мошеннические транзакции. В частности, принцип динамической аутентификации для платежей в Интернете реализуется с помощью технологии Verified by Visa, а в обычных торгово-сервисных предприятиях — с помощью уже упоминавшихся чиповых карт.
Еще одним эффективным способом защиты транзакции, по мнению Скородумова, является мониторинг и анализ транзакций в режиме реального времени. Если система мониторинга и анализа транзакций банка «замечает», что использование карты клиента отклоняется от привычной схемы и является типичным для мошенников (например, за несколько минут совершается несколько транзакций, причем в торговых точках разных стран), то банк получает сигнал тревоги и может приостановить проведение транзакций. В качестве такого инструмента Visa предлагает банкам использовать систему мониторинга и анализа транзакций Visa Advanced Authorization, которая, используя информацию со всего мира, оценивает риски той или иной транзакции на этапе ее авторизации, то есть до проведения платежа, рассказал Скородумов.
Кроме того, важным элементом защиты банковских данных является совместная деятельность участников в сфере противодействия мошенническим действиям. Кибермошенничество тоже не стоит на месте, поэтому для более эффективного предотвращения преступлений участникам рынка необходимо постоянно обмениваться своими наработками и опытом в борьбе с похитителями банковских данных.