Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


ПРОТИВОДЕЙСТВИЕ МОШЕННИЧЕСТВУ В БАНКОВСКОЙ СФЕРЕ С ПРИМЕНЕНИЕМ ВЫСОКИХ ТЕХНОЛОГИЙ



ПРОТИВОДЕЙСТВИЕ МОШЕННИЧЕСТВУ В БАНКОВСКОЙ СФЕРЕ С ПРИМЕНЕНИЕМ ВЫСОКИХ ТЕХНОЛОГИЙ

 

Дипломная работа

 

Студент 5 курса 58 группы

специальности «Организация и

технология защиты информации»

очной формы обучения

 

Руководитель: ст. преп. кафедры

информатики и информационных

технологий

Чиркин Евгений Сергеевич

 

 

Тамбов – 2013

РЕФЕРАТ

 

Алпатов О.С. Противодействие мошенничеству в банковской сфере с применением высоких технологий: диплом. работа/ Алпатов Олег Сергеевич; Тамб. гос. ун-т им. Г.Р. Державина: каф. информатики и информационных технологий; Науч. рук.: ст.преп. Е.С.Чиркин. – Тамбов, 2013. –89 с., рис.8, табл. 3.

Ключевые слова: банковская система, банковский троян, пользователь.

Цель работы является обзор угроз в банковской системе и разработка мер по предотвращению и профилактике случаев мошенничества.

В ходе работы был произведен обзор нормативных и правовых документов, оборудования ОАО «Россельхозбанк», на соответствие отраслевым и международным стандартам. Приведены угрозы в банковской сфере, связанные с вредоносными программами (цели и пути проникновения, разновидности), фишингом, кардингом (описаны классификация и методы получения данных банковских карт). Для снижения рисков при проведении различных банковских операций, были разработаны меры по защите данных клиента в сети интернет, действия пользователей для безопасного управления своими финансами, использованию специализированного оборудования и программного обеспечения. Следование данным рекомендациям позволит повысить уровень технической и организационной защиты банка и сохранить денежные средства клиентов последними.

СОДЕРЖАНИЕ

 

 

Обозначения и сокращения. 4

Введение. 5

1 Обзор информационной безопасности банка. 8

1.1Нормативные и правовые документы соответствующие отраслевым и международным стандартам. 8

1.2Программно-аппаратное обеспечение и его соответствие отраслевым стандартам 12

1.3 Виды угроз для банков. 12

2 Угрозы информационной безопасности для банков. 15

2.1 Банковские трояны.. 15

2.2 Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике. 23

2.3 Фишинг. 27

2.4 Кардинг. 31

2.5 Учет и анализ существующих рисков в дистанционном банковском обслуживании 41

3 Противодействие современным угрозам в банковской сфере. 44

3.1 Антискимминг. 44

3.2 Защита банкоматов и pos терминалов от троянов. 51

3.3 Антифишинг. 55

3.4 Рекомендации для пользователей. 57

3.5 Юридическая защита держателей банковских карт. 64

3.6 Рекомендации для банка. 72

3.6 интернет-банкинг: признаки защищенности. 78

Заключение. 82

Список использованных источников. 83

Приложение A Список прикладного программного обеспечения. 88

Приложение B Список сетевого программного обеспечения. 89

ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

 

АС – автоматизированная система;

БС – банковские системы;

ДБО – дистанционное банковское обслуживание;

ИБ – информационная безопасность;

ПИН – персональный идентификационный номер;

ПО – программное обеспечение;

СКП – сертификат ключа пользователя;

СТО БР ИББС - стандарт банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации;

ФСФР – федеральная служба по финансовым рынкам;

PIN – personal identification number.

ВВЕДЕНИЕ

 

Современные информационные технологии (ИТ) — важный источник средств развития банковского дела. В банках руководство понимает, какую выгоду может принести использование достижений в области ИТ и как они кардинально изменяют бизнес, выводя его на принципиально иной уровень.

ИТ являются специфической и стремительно развивающиеся областью деятельности, к ним применяются организационные подходы, соответствующие их специфике. ИТ могут быть не только источником развития банковских технологий, но и средством серьезных ограничений бизнес-инициатив по стоимости, времени, качеству и реализуемости. Оптимизация и постоянное совершенствование ИТ являются ключевым подходом в реализации бизнес-процессов и эффективном достижении бизнес-целей.

Самым важным фактором среди процесса организации, оснащения, функционирования и развития ИТ являются тесное взаимодействие с бизнесом, связь со стратегией инноваций конкретных банков, удовлетворение требований бизнеса и достижение бизнес-целей.

Современная банковская система - это сфера многообразных услуг предоставляемых своим клиентам - от традиционных денежно-ссудных и расчетно-кассовых операций, определяющих основу банковского дела, до новейших форм денежно кредитных и финансовых инструментов, используемых банковскими структурами (лизинг, факторинг и т.д.).

В условиях усиливающейся межбанковской конкуренции успех предпринимательской деятельности будет сопутствовать тем банкирам, которые лучше овладеют современными методами управления банковскими процессами, а автоматизированные информационные технологии этому очень помогают.

Прошли времена, когда можно было легко зарабатывать на спекулятивных операциях с валютой и мошенничестве. Сегодня все больше банков делает ставку на профессионализм своих сотрудников и новые информационные, компьютерные технологии и безопасность информационных систем и банковских терминалов.

Сложно представить себе более благодатную почву для внедрения новых компьютерных технологий, чем банковская деятельность. В принципе, почти все задачи, которые возникают в ходе работы банка, достаточно легко поддаются автоматизации. Быстрая и бесперебойная обработка значительных потоков информации является одной из основных задач любой крупной финансовой организации [1].

Цель работы - исследование угроз в банковской системе и разработка мер по предотвращению и профилактике случаев мошенничества.

Задачи:

1) описать и проанализировать систему информационной безопасности банка:

· нормативные документы, циркулирующие в банке и определение их соответствия отраслевым и международным стандартам;

· используемого программно-аппаратного обеспечения и его соответствие отраслевым стандартам.

2) проанализировать основные угрозы информационной безопасности банка:

· фишинг;

· банковские трояны;

· кардинг, скимминг;

· угрозы при использовании дистанционного банковского обслуживания.

3) разработать меры и рекомендации по уменьшению или нейтрализации угроз и уязвимостей в банковской системе безопасности. Привести пошаговое руководство по различению мошенничества и методов улучшения защиты.

 

 

Практическая значимость.

Результатом работы является пошаговый алгоритм (руководство) по различению мошенничеств и рекомендации по увеличению эффективности защиты банка. Руководство также может быть полезно пользователям и при подготовке банковских служащих.

ОБЗОР ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА

 

Отраслевые стандарты

В настоящее время в международном праве существует большое число законов, отраслевых стандартов для финансовых институтов, телекоммуникационных компаний, учреждений здравоохранения и обязательных и рекомендательных документов, затрагивающих защиту информации от внутренних угроз и управление операционными рисками.

Для банковской системы применяются в основном стандарт Банка России СТО БР ИББС-1.0-2010, кодекс корпоративного поведения ФСФР, PCI DSS:

Стандарт Банка России СТО БР ИББС-1.0-2010 для банков, исполнение положений которого пока носит рекомендательный характер. В стандарте, затронута необходимость защиты от действий инсайдеров, в том числе необходимость контроля использования Интернета и корпоративной почты, а также ведения архива электронной почты, что повышает уровень защиты БС в целом. Принят и введен в действие Распоряжением Банка России от 25 декабря 2008 года №Р_1674.

Кодекс корпоративного поведения ФСФР представляет собой свод правил и рекомендации ФСФР России для компаний-участников рынков ценных бумаг России. Основная цель Кодекса — обеспечение равенства прав акционеров и защита их интересов, а одна из важнейших глав Кодекса — контроль финансово-хозяйственной деятельности общества. В Кодексе корпоративного поведения регламентируется создание прозрачной системы менеджмента и построение системы управления операционными рисками, а также необходимость создания условий для независимой оценки любой финансово-хозяйственной операции. Корпоративное поведение должно обеспечивать высокий уровень деловой этики в отношениях между участниками рынка [3].

Кодексу корпоративного поведения ФСФР соответствуют лицензии выданные ОАО,, Россельхозбанк” Федеральной службой по финансовым рынкам:

· Лицензия на осуществление депозитарной деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №077-08461-000100)

· Лицензия на осуществление дилерской деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №077-08456-010000)

· Лицензия на осуществление брокерской деятельности (выдана Федеральной службой по финансовым рынкам от 19.05.2005 №007-08455-100000)

· Лицензия биржевого посредника, совершающего товарные фьючерсные и опционные сделки в биржевой торговле (выдана Федеральной службой по финансовым рынкам от 17.11.2009 №1473) [4].

PCI DSS – это стандарт безопасности данных индустрии платежных карт PCI DSS, объединивший в себе требования международных платежных систем к обеспечению информационной безопасности, который был разработан советом PCI SSC. В него вошли такие карточные бренды, как Visa, MasterCard, JCB, AmericanExpress и Discovery [5].

В стандарте регламентируется необходимость шифрования носителей информации, содержащих данные платежных карт, и надежной защиты ключей шифрования. В PCI DSS определена необходимость генерации стойкого ключа и разделение криптографического ключа между несколькими лицами. Согласно стандарту операторы платежных карт должны защищать информацию от утечек по различным каналам, жестко регламентировав использование внешних устройств и перемещение конфиденциальных данных. В PCI DSS определена необходимость использования двухфакторной аутентификации для доступа к данным [6].

Россельхозбанк подтвердил соответствие своего процессинга требованиям стандарта PCI DSS. ОАО «Россельхозбанк» получил также сертификат соответствия стандарту PCI DSS (Payment CardIndustry DataSecurity Standard), что свидетельствует о высокой степени безопасности операций, проводимых с выпускаемыми банком платежными картами.

В настоящее время Россельхозбанк предоставляет своим клиентам услуги по выпуску и обслуживанию платежных карт международных платежных систем VISA Int. и Master Card World Wide. С этой целью в банке функционирует собственный процессинговый центр, обслуживающий операции, совершаемые более миллионом действующих платежных карт, выпущенных банком, 2500 банкоматами и более 3000 POS-терминалами [7].

 

 

Виды угроз для банков

 

Как и в любой сфере связанной с финансами, нельзя забывать про безопасность информационных и платежных систем которым могут угрожать злоумышленники. Рассмотрим угрозы используемые злоумышленниками в банковской сфере, которые с течением времени совершенствуются, а значит для которых требуются более эффективные способы защиты. К ним относятся:

· Фишинг

· Угрозы при использовании дистанционного банковского обслуживания

· Банковские трояны

· Кардинг

Фишинг — мошенники от имени банка связываются склиентом по электронной почте и просят его подтвердить некоторые конфиденциальные данные своей карты. Также распространеноиспользуется и телефонный фишинг (вишинг), когда держатель пластиковой карты получает телефонный звонок либо с информацией о том, что по его карте произведен платеж на некоторую сумму, либо с просьбой погасить просроченную задолженность по кредиту. В основном как правило, информирование происходит в автоматическом режиме («электронный голос»), а название банка, из которого пришел звонок, не уточняется. Для получения дополнительной информации рекомендуется следовать указаниям системы. Владелец карты соединяется с оператором и узнает, что является клиентом или заемщиком банка, с которым на самом деле никаких отношений не поддерживает, но оператор любезно предлагает свою «помощь» в прояснении ситуации, для чего просит сообщить конфиденциальные данные имеющейся у владельца карты для поиска в «межбанковской системе» [9].

Дистанционное банковское обслуживание – это одно из направлений, способствующих предоставлению клиентам максимального удобства в их работе, является дистанционное банковское обслуживание (ДБО), осуществляемое через сеть Интернет. Возможность полностью управлять своим личным счётом при условии простоты выполнения операций, комфорта и мобильности всегда привлекало, и будет привлекать клиентов.

Основными направлениями распределения рисков в области безопасности для систем ДБО являются:

- каналы связи используемые для транзакций;

- вопросы организации эксплуатации систем ДБО;

- клиенты, обслуживаемые через Интернет;

- глобальная сеть Интернет [10].

Банковские трояны к которым относятся вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания. Многие банковские трояны сочетают в себе функции бэкдора и шпионских программ [11].

Кардинг — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией форм граббера (шпионская программа, служит для перехвата введённых паролей и логинов)). Самым распространённым методом похищения номеров платежных карт на сегодня является фишинг — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт [12].

 

Выводы по главе

 

В главе были рассмотрены международные стандарты безопасности, отраслевые стандарты и положения Центробанка о безопасности банковской деятельности, определены виды угроз и которые существуют в банковской сфере и которые осуществимы с помощью высоких технологий и специализированного оборудования.

Банковские трояны

 

К категории банковских троянов относят вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания. Многие банковские трояны сочетают в себе функции бэкдора и шпионских программ.

Типичными представителями семейства банковских троянов являются:

· Trojan.Carberp;

· Perkele

· Trojan.PWS.SpySweep (также известен как SpyEye).

· Flame или Flamer

· Trojan.PWS.Ibank;

· Trojan.PWS.Panda (также известен как Zeus и Zbot);

· Win32/Caphaw

· Wiper/Viper

· Trojan.Zekos

· Trojan.Proxy.23968

· Trojan.Mayachok.18607

 

Цели проникновения которые преследуют злоумышленники:

· похищение сертификатов систем защищенного документооборота и паролей от программ с целью обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания и торговым платформам (Trojan.Carberp, Trojan.PWS.Panda);

· перевод денежных средств на счета злоумышленников через системы ДБО;

· похищение конфиденциальной информации (Trojan.PWS.SpySweep, Android.SpyEye.1);

· перехват нажатий клавиш, данных, вводимых с использованием экранной клавиатуры, создание снимков экрана, иные способы шпионажа;

· включение зараженных машин в управляемые ботнеты, координируемые из одного (или нескольких) командных центров, в том числе команды на удаление операционной системы или системных файлов (Trojan.Carberp);

· запуск и удаление различных программ на инфицированном компьютере (Trojan.Carberp, Trojan.PWS.SpySweep, Trojan.PWS.Panda);

· встраивание в процессы программ системы " Банк-Клиент" (Trojan.Carberp).

Банковские трояны обладают весьма развитым вредоносным функционалом. Трояны семейства Trojan.Carberp имеют функционал по приему команд от управляющего центра, способны служить прокси-сервером, с помощью которого злоумышленники могут анонимно работать в Интернете[14].

Методы маскировки мошенников от средств контроля и наблюдения:

· Отслеживание запущенных в инфицируемой системе приложений-отладчиков, средств виртуализации, брандмауэров и антивирусных программ.

· Попытки завершения процессов антивирусных программ и брандмауэров.

· Противодействие попыткам запуска процессов антивирусных программ в инфицированной системе.

· Блокировка доступа пользователей к веб-сайтам компаний-производителей антивирусного ПО и сайтам, распространяющим обновления систем безопасности.

· Шифрование вирусными упаковщиками (вредоносные программы часто сжимаются различными способами упаковки, совмещенными с шифрованием содержимого файла для того, чтобы исключить обратную разработку программы и усложнить анализ поведения проактивными и эвристическими методами) [14].

Иллюстрацией опасности высокотехнологичных мошенничеств в банковской сфере служит ряд нижеприведённых случаев, получивших широкий общественный резонанс, либо имевших значительную сумму ущерба.

Троян Eurograbber

Группа злоумышленников, которая распространяла по сети банковский троян Eurograbber, установила новый рекорд по объёму средств, изъятых у жителей Западной Европы. По информации из отчёта, опубликованного компаниями Versafe и Check Point Software Technologies, ущерб от этой вредоносной программы оценивается в сумму около 36 миллионов евро, а количество пострадавших — примерно в 30 000 человек.

Eurograbber — один из вариантов известного трояна Zeus, а точнее — модифицированная версия трояна ZITMO (Zeusinthemobile), мобильной версии зловреда. Оптимизирован на обход двухфакторной аутентификации, которая используется в ряде банков. Это осуществляется за счёт перехвата одноразовым номеров, отправляемых банком на мобильный телефон по SMS, которые нужно вводить для подтверждения финансовых транзакций на веб-сайте онлайн-банкинга. Троян успешно проделывал это, заразив предварительно и персональный компьютер, и смартфон жертвы. После заражения персонального компьютера он никак себя не проявлял до тех пор, пока не установит аналогичного трояна (Eurograbber для телефона) на мобильное устройство.

Заражение смартфона осуществлялось через сайт онлайн-банкинга, куда троян внедрял JavaScript с сообщением о необходимости осуществить обновление безопасности устройства, запрашивал версию мобильной ОС (Android, BlackBerry, iOS, Symbian или другая) и номер телефона. Информация, собранная у всех жертв, сохранялась на предварительно взломанном веб-сайте. После этого на известный номер жертвы высылалась SMS с просьбой завершить апгрейд. Скачав и установив файл, жертва завершала процедуру установки трояна.

Eurograbber угрожал клиентам 16 банков Италии, 7 банков Испании, 6 банков Германии и 3 банков Нидерландов. Специалисты предупреждают, что иные варианты Eurograbber могли применяться и за пределами Евросоюза. Перевод средств с банковских счетов осуществлялся в автоматическом режиме, когда пользователь заходил на сайт онлайн-банкинга, суммы ущерба варьируются от 500 евро до 223 тысяч евро на одного человека [16].

Фишинг

 

Атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Но в любом случае клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Часто в качестве причины, по которой пользователь должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»). На рисунке 1 приведен пример фишингового письма с требованием пройти по ссылке и обновить свои данные в системе FederalCreditUnion.

Рисунок 1 - Пример фишингового письма в системе Federal Credit Union [25]

 

Фишинговые сайты, как правило, живут недолго (в среднем — 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен — он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники.

Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свой логин и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем — к электронному счету. Но не все фишеры сами обналичивают счета жертв. Дело в том, что обналичивание счетов сложно осуществить практически, к тому же человека, который занимается обналичиванием, легче засечь и привлечь мошенников к ответственности. Поэтому, добыв персональные данные, некоторые фишеры продают их другим мошенникам, у которых, в свою очередь, есть отработанные схемы снятия денег со счетов [25].

Целями фишинга являются — банки, электронные платежные системы, аукционы и пользователи. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Но не только. Также популярна кража личных данных от электронной почты — эти данные могут пригодиться тем, кто рассылает вирусы или создает зомби-сети.

Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка/ сайта/ провайдера, выглядящее в точности так же, как настоящее. Ничего не подозревающий пользователь переходит по ссылке «Перейти на сайт и залогиниться», но попадает на самом деле не на официальный сайт, а на фишерский его аналог, выполненный с высочайшей точностью.

Еще одной хитростью фишеров являются ссылки, очень похожие на URL оригинальных сайтов. Ведь достаточно наблюдательный пользователь может обратить внимание на то, что в командной строке браузера высвечивается ссылка, совершенно отличная от легитимного сайта. Такие «левые» ссылки тоже встречаются, но рассчитаны они на менее искушенного пользователя. Часто они начинаются с IP-адреса, хотя известно, что настоящие солидные компании давно не используют подобные ссылки.

Поэтому фишинговые URL часто похожи на настоящие. Они могут включать в себя название настоящего URL, дополненное другими словами (например, вместо www.examplebank.com стоит www.login-examplebank.com).Также в последнее время популярный фишинговый прием — ссылка с точками вместо слешей, внешне очень похожая на настоящую (вместо www.examplebank.com/personal/login/стоит www.examplebank.com.personal.login). Можно привести еще такой фишерский вариант: www.examplebank.com-personal.login.

Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Бдительность пользователя притупляется еще тем, что в письме может быть несколько второстепенных ссылок, ведущих на официальный сайт, но основная ссылка, по которой пользователю надо пройти и залогиниться, ведет на сайт мошенников.

Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно[25].

Атаки фишеров бывают случайными и целевыми. В первом случае атака производится случайным выбором жерты. Атакуются наиболее крупные и популярные объекты — такие как аукцион Ebay — так как вероятность того, что случайный получатель имеет там учетную запись, довольно высока. Во втором случае мошенники узнают, каким именно банком, платежной системой, провайдером, сайтом пользуется адресат. Этот способ более сложен и затратен для фишеров, зато больше шансов, что жертва пойдет на провокацию. На рисунке 2 показано пример фишингового письма — фрагмент поддельного уведомления популярной платежной системы PayPal.

Рисунок 2 - Пример фишингового письма системы PayPal [25]

 

Воровство конфиденциальных данных — не единственная опасность, поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую, следуя по ней, можно получить программу-шпиона, кейлоггер или троян. Так что если даже у вас нет счета, которым мошенники могли бы воспользоваться, нельзя чувствовать себя в полной безопасности.

Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. И хотя на многих сайтах, требующих конфиденциальной информации, опубликованы специальные предупреждения о том, что они никогда не просят сообщать свои конфиденциальные данные в письмах, пользователи продолжают слать свои пароли мошенникам. В 2003 году была создана Anti-Phishing Working Group (APWG) — группа по борьбе с фишингом, в которую входят как компании-«мишени» фишеров, так и компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. В настоящее время (2013 год) в APWG насчитывается более 3200 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании. По оптимистическим прогнозам, через некоторое время пользователи научатся остерегаться фишерских сайтов [25].

 

Кардинг

 

Вопреки сложившемуся стереотипу, пластиковой карте деньги не хранятся. Карточка по сути своей является аналогом ключа к банковской ячейке. Только к ячейке электронной. Значит вместо денег она хранит нечто более ценное — уникальную информацию о том, как добраться до счета «где деньги лежат».

Похитив идентификационную информацию с пластиковой карты, злоумышленник может выдать себя за хозяина карты и начать расхищать денежные средства [26].

По данным отчета 2012 года компании Symantec, разброс оптовых цен на данные кредитных карт составляет от 17 долл. за 10 карт до 300 долл. за 1 тыс. карт. Для кражи этой ценной информации злоумышленники используют все доступные методы – от фишинга и спама до мобильных технологий. По данным Symantec, в 56% случаях фишинг-атак злоумышленники маскировались под банки [24].

Кардинг и его виды

Пластиковая карта — это ключ от сейфа, находится масса желающих завладеть им. При этом воровать карту — неправильный ход. Владелец может ее хватиться и, позвонив в банк-эмитент, заблокировать. Как и в случае настоящего ключа, правильнее всего сделать его слепок, то есть снять информацию, хранящуюся на карте. И потом с дубликатом карты можно совершать похищения денежных средств.

Карточные воры в своей среде называют друг друга кардерами. Своих жертв они называют холдерами (от англ. cardholder — владелец карты). Кардеры обычно одиночки или действуют в малочисленных мобильных группах.

Если посмотреть на схемы выполнения транзакций в обычных и интернет-магазинах, можно легко понять, где находятся кардеры. Узкими местами проведения транзакций являются чеки-слипы(слип - документ (чек), подтверждающий проведение по банковской карте операций), POS-терминалы (кстати, банкомат — это POS-терминал с сейфом), и каналы интернета, используемые интернет-магазинами. На рисунке 3 представлены самые распространенные виды кардинга через которые мошенники осуществляют похищение данных банковских карточек.

Рисунок 3 - Виды кардинга [26]

 

Исходя из специфики этих каналов утечки данных о картах, кардеры специализируются на следующих видах воровства:

 

 

Скимминг

Скимминг (skimming) — самый адреналиновый вид кардерства. Кардеры, занимающиеся скиммингом, должны быть весьма хладнокровны, артистичны и ловки. Название мошенничества происходит от названия прибора для считывания данных о карте с ее магнитной полосы или встроенного чипа — скиммера (skimmer). Самым наглым и опасным способом скимминга является установка скиммера прямо на банкомат. Жертва вставляет карту в приемник банкомата, не подозревая, что перед ним стоит хорошо замаскированный скиммер, «прокатывающий» данные карты и передающий их по беспроводному каналу или (более дешевый вариант) записывающий их во внутреннюю флэш-память. Пример скиммера представлен на рисунке 4[26].

Рисунок 4 - Скиммер, вид спереди и сзади [26]

 

Объединенные кардеры

По сведениям Ассоциации региональных банков России, за 2009 год со счетов россиян кардерами было украдено более 1 миллиарда рублей. И это в России, где пластиковые карты используются сравнительно недавно.

Однако самый большой урон платежным системам наносят не один кардер, а организованные преступные группировки. Кроме финансового урона, такие группировки ставят под удар репутацию платежных систем: люди зачастую отказываются пользоваться их услугами.

И если операция одного кардера может разорить одного или нескольких человек, то группировки опустошают счета миллионов вкладчиков. Сложность борьбы с организованными кардерами заключается в распределенном характере их деятельности. У кард-группировщиков есть четкое разделение функций. При этом большинство веток системы устроены так, что в случае локального провала остальные части системы не вскрываются, что позволяет ей функционировать в штатном режиме[26].

В основе организованного кардерства лежит крупная утечка данных о картах и их владельцах. Чаще всего утечки происходят оттуда, где этих сведений огромное количество например, из процессинговых центров или даже из банков-эмитентов. Утечка может быть плановой или случайной и быть организована техническими (хакеры, ботнеты) или социально-инженерными и даже коррупционными методами. Пример схемы утечки информации представлен на рисунке 5.

Рисунок 5 - Система группы кардеров [26]

 

В любом случае в руки кардеров попадают гигабайты информации о держателях платежных карт. Информацию можно использовать по назначению или заработать, продав другим кардерам. Обычно владеет такой информацией кардер называемый Supplier — поставщик. Он чаще всего ведет вполне легальный образ жизни.

Полученные в ходе утечки данные о картах не применяются бездумно. Они порциями передаются команде под названием Account Washers (отмывальщики учетных записей). Они собирают полные сведения о владельцах карт, пользуясь разными законными путями. Цель — знать о холдерах все, включая то, где они находятся в данный момент. Получив эти сведения, отмывальщики передают их в руки Account Preparers — подготавливающим учетные записи. Команда эта работает тихо и незаконно. Она изготавливает поддельные документы на имя владельцев карточек, подглядывает заводимыми в банкоматы PIN-кодами, то есть создают почву для практически легального проведения транзакций. Чтобы счетами жертв можно было пользоваться многократно и без вызывания подозрений, в группировке трудится бригада Account Maintainers(формирователи учетной записи). Они планируют, сколько нужно снять со счета и положить на него, чтобы кредитная линия банка всегда была открыта и владелец-жертва не заподозрил, что его обманывают.

Только после всего этого подготовительного этапа поддельные карты, документы, даты совершения транзакций, их суммы и даже места проведения передаются в так называемые ячейки (Cells) — армию рядовых кардеров. Ячейки делятся на Foot Soldiers —кардеры которые кочуют между указанными им банкоматами и снимают нужные суммы с нужных счетов в нужный момент времени, и Shoppers — покупателей, виртуозно исполняющих роли владельцев карт, вплоть до имитации внешности и использования поддельных документов.

Группа кардеров, пойманная в США в ходе операции Plastic Pipe Line, одномоментно сняли со счета жертв на 12 миллионов долларов [26].

 

Выводы по главе

 

В главе рассмотрены самые распространенные способы хищения в банковской сфере, которые осуществляются с помощью фишинговой рассылки с фиктивными адресами банковских сайтов, банковских троянов для телефонов, смартфонов, банковских троянов, использующих уязвимости телефонов на операционных системах Symbian, Android, iOS и планшетных компьютерах и пользующихся неосведомленностью пользователей в плане безопасности их конфиденциальных данных. Существуют модификации троянов, использующих для похищения системы дистанционного банковского обслуживания. Вышеперечисленные угрозы, а также угрозы, связанные с кардингом показывают, что клиенты банков должны быть внимательны при выполнении финансовых операций, обналичивании денежных средств.

Антискимминг

 

По борьбе со всеми известными способами скимминговых атак на банкоматы (и в том числе с шиммингом) существуют разные решения представленные на рынке. В том числе и портфель антискимминговых решений и сервис удаленного мониторинга Diebold ATM Security Protection Suite. В портфель входит специальное устройство, создающее электромагнитное поле вокруг банкомата и мешающее скиммеру или шиммеру считывать информацию с магнитной полосы банковской карты в картридерах, так что данные владельца карты оказываются надежно защищены [28].

Методы противодействия

Уменьшить возможный риск стараются как производители банкоматов и платежных терминалов, так и сами банки. Банковские автоматы устанавливаются в хорошо просматриваемых местах, используется видеонаблюдение. Конструкция самих банкоматов разрабатывается таким образом, чтобы максимально усложнить присоединение скимминговых устройств. Используются специальные технологии, позволяющие определить постороннее устройство на банкомате и активизировать тревогу, а также посылающие электромагнитные помехи для скиммеров.

Имеются решения, позволяющие не только усложнить работу преступников, но и быстро их вычислить, а также предотвратить возможное преступление. Системы проактивной защиты производят слежение за банковскими автоматами в реальном времени и анализируют происходящие события. При возникновении подозрительных ситуаций, программное обеспечение блокирует банкомат и оперативно оповещает об этом сотрудников службы безопасности по e-mail или с помощью текстовых сообщений, что значительно снижает время, необходимое на расследование финансовых операций[34].

Cerber

Изделие «Cerber» (условное обозначение — АЕРВ.468200.053), производимое Обществом с ограниченной ответственностью «АНСЕР ПРО», является устройством активного противодействия несанкционированному считыванию данных магнитной полосы пластиковых карт, при их пользовании в банкоматах и прочих терминалах финансового самообслуживания.


Поделиться:



Популярное:

Последнее изменение этой страницы: 2017-03-03; Просмотров: 1828; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.125 с.)
Главная | Случайная страница | Обратная связь