Несколько фактов проведения мошеннических операций в некоторой стране или группе стран могут свидетельствовать о единой точке компрометации — это может быть терминальное устройство, торговое предприятие, эквайрер, процессинговый центр. Часто бывает сложно быстро установить точные сроки и выявить точку компрометации. Например, уведомление от МПС может содержать информацию о масштабной компрометации данных в некоторый промежуток времени в крупном процессинговом центре (ПЦ), при этом банку рекомендуется предпринять меры по ограничению потерь по своим картам. В таких случаях банк обычно осуществляет блокировку скомпрометированных карт и повторный выпуск их с другими номерами за свой счет. Однако может оказаться, что временной интервал компрометации более длительный. В результате банк сталкивается с проведением мошеннических операций по картам, бывшим в данном ПЦ в другое время.
В течение последних нескольких лет действуют мошеннические схемы в Турции и Украине. В Турции выявлен ряд мошеннических ТСП, где держателя карты просят ввести ПИН-код для проведения операции покупки или получения наличных в этом ТСП. Операция часто завершается неудачно, однако злоумышленники осуществляют несанкционированное копирование содержимого магнитной полосы карты и подсматривают ПИН-код. Затем проводятся мошеннические операции получения наличных денежных средств в банкоматах Турции.
Как минимум с конца 2004 г. известно о существовании мошеннической схемы, связанной с операциями в банкоматах Украины. В результате использования держателем своей карты в банкомате в Украине высок риск компрометации данных магнитной полосы карты и ПИН-кода. Через некоторое время мошенники используют поддельные карты для проведения операций в банкоматах в различных странах, таких как США, Эстония, Египет, Аргентина, Тунис, Перу. Временной интервал между компрометацией и использованием подделки, как показывает практика, часто не превышает одного года.
В СМТ на основе анализа подобных выявляемых схем необходимо создать правила анализа транзакций, отслеживающие использование карт в регионах с высокой вероятностью компрометации данных (и ПИН-кодов). Если затем карта обнаруживается в регионе предполагаемого использования поддельной карты, то происходит срабатывание правила и, в зависимости от его настройки, могут быть установлены ограничения по операциям в автоматическом режиме.
Выявление мошеннических операций в сети ИнтернетВ сети Интернет существует множество сервисов, предоставляющих услуги, оплата за которые может осуществляться по реквизитам банковской карты (например, PayPal, AOL, iTunes). При этом для проверки действительности карты при подписке на сервисы осуществляется операция на небольшую сумму по номеру карты и сроку действия. В случае успеха процесс регистрации и подписки продолжается.
Злоумышленники могут воспользоваться такими сервисами для проверки действительности карт, реквизиты или данные которых им удалось получить. Такое тестирование карты обычно называют «пробивкой» или «прозвоном». Возможны следующие сценарии поведения злоумышленника.
1. Данные магнитной полосы или реквизиты карты скомпрометированы. Проводится несанкционированная операция «пробивки» номера карты и срока действия для проверки ее статуса. В случае успеха реквизиты используются для проведения операций без присутствия карты (например, в Интернете) либо для изготовления поддельной карты для покупок в ТСП в случае наличия данных магнитной полосы.
2. Данные магнитной полосы скомпрометированы. Изготавливается поддельная карта для проведения операций в ТСП. Проводятся операции в ТСП и «пробивки» для постоянного контроля действительности карты.
Следует отметить, что в последнее время «пробивка» используется мошенниками для проверки статуса карт со скомпрометированными данными магнитной полосы и/или ПИН-кодом.
Практика выявления точек «пробивки» позволяет формировать в СМТ списки терминалов и эквайреров, по которым могут осуществляться несанкционированные операции проверки статуса карт. Правила анализа транзакций по точкам «пробивки» позволяют выявлять как факты компрометации данных, так и подбор номеров карт и мошенническое тестирование заблокированных по причине компрометации карт.
* * *
В области противодействия мошенничеству в платежной системе банковских карт (ПСБК) оценка рисков может быть осуществлена количественно, поскольку мошенничество в ПСБК всегда связано с несанкционированными операциями по банковскому счету с использованием банковской карты как инструмента доступа к нему. Количественная оценка возможна на основе собираемой статистики по фактам компрометация данных платежных карт и мошенничеству в ПСБК. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков. Система мониторинга транзакций (СМТ) является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК.
Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса
Основные принципы защиты рабочих станций сотрудников банкаВ зависимости от того, в каких технических условиях проходит работа сотрудников, которые имеют доступ к информации о клиентах и их картах, способы защиты персональных рабочих компьютеров могут и должны быть различными. К техническим условиям мы относим в первую очередь способы защиты периметра информационной системы (набор инструментов, поставщик решений, внутренние регламенты). При этом высокий статус вендоров решений по безопасности может создавать впечатление, что все надежно защищено, но на практике ситуация выглядит иначе. Часто любой из сотрудников банка имеет физическую возможность войти на любой компьютер под своей учетной записью. Поскольку не все сотрудники хранят свои служебные документы на сетевых дисках, где им положено быть, или хотя бы в своем профиле, а на локальных дисках в общедоступных папках, то к этим документам потенциально имеют доступ все сотрудники. Конечно, можно просто запретить сотрудникам внутренним приказом хранить документы на локальных дисках и уповать на их добросовестность. Но как быть, если в открытом виде хранятся не только документы, а еще и файлы конфигураций или файл «мои пароли. txt»? Чем это грозит? Как это учитывать, если доступ к очень важным системам дается по связке «логин + пароль» с привязкой к статическому IP-адресу? Опять издавать приказы и надеяться, что их будут строго выполнять?