А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия Страница 5
- Категория: Бизнес / О бизнесе популярно
- Автор: А. Алексанов
- Год выпуска: 2012
- ISBN: 978-5-4257-0018-6
- Издательство: Московская финансово-промышленная академия; ЦИПСиР
- Страниц: 127
- Добавлено: 2018-07-25 16:47:25
А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия краткое содержание
Прочтите описание перед тем, как прочитать онлайн книгу «А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия» бесплатно полную версию:В книге дано подробное описание политики безопасности на всех этапах жизненного цикла банковской карты — от цеха, где производится пластиковая заготовка будущей карты, до торговой и сервисной сферы, где карта принимается к оплате. Отдельно рассмотрены международные стандарты PSI DSS и практика их применения. Дана классификация карточных рисков, изложена методика оценки рисков эмитента с использованием мониторинга карточных транзакций. Подробно описаны виды карточного мошенничества и методы его профилактики. Отдельные главы посвящены претензионной работе по операциям с банковскими картами и обеспечению безопасности процессингового центра. Проанализировано действующее российское законодательство, изложена судебная практика с подробным описанием уголовных дел, связанных с карточным мошенничеством, доведенных до суда. Даны общие рекомендации по информационной безопасности корпоративной системы банка как фундамента безопасности карточного бизнеса.
Книга ориентирована на сотрудников карточных подразделений, отделов информационной безопасности коммерческих банков, специалистов процессинговых центров, правоохранительных органов, занимающихся уголовными делами по карточному мошенничеству, руководящего персонала супермаркетов, прочих торговых организаций, студентов финансовых вузов.
А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия читать онлайн бесплатно
С повсеместным распространением электронных POS-терминалов мошенники переориентировались на перекодирование магнитной полосы, как наиболее технически простой и дешевый способ подделки. Перекодируют полосу чаще на подлинной карте — такая карта не вызывает подозрений при обслуживании в торговой сети. Однако хорошо обученный кассир обязан обратить внимание на несоответствие платежных реквизитов на самой карте и на бумажном чеке, где распечатываются данные с магнитной полосы.
Полностью поддельная карта имитирует подлинную платежными реквизитами, дизайном, названием банка-эмитента, защитными признаками платежной системы, кодированием магнитной полосы. Встречаются высококачественные подделки, изготовленные на профессиональном типографском оборудовании и персонализированные промышленными эмбоссерами. Это результат деятельности организованных преступных групп, работающих с международным размахом. Для небанковских специалистов, не имеющих доступа к BIN-Member tables (справочник соответствия БИНов названиям банков), выявить такую подделку весьма проблематично.
У кустарно подделанных карт не так много шансов быть принятыми в торгово-сервисной сети и практически нет шансов снять по ним наличные в офисах банков, где и кассиры более профессионально обучены и требуется удостоверение личности. Тем не менее подделки эволюционировали благодаря удешевлению и доступности микропроцессорной техники: мошенники стали использовать карты с магнитной полосой преимущественно для перекодирования информации на ней, т. е. нанесения данных, считанных с легальных карт. Мошенничество, связанное с копированием магнитной полосы карты (часто в совокупности с перехватом ПИН-кода), называется «скимминг» (skimming). Это явление получило в последние годы всемирное распространение, а в некоторых странах Восточной Европы и Юго-Восточной Азии приобрело глобальные масштабы. Мошенничество заключается в том, что магнитная полоса карты копируется с помощью накладки на слот кардридера банкомата (рис. 1.1).
ПИН-код копируется накладной клавиатурой (рис. 1.2) или записывается миниатюрной видеокамерой. Злоумышленники используют данные с магнитной полосы для изготовления клона карты и с ее помощью обналичивают деньги. Распознать эти накладки для неспециалиста затруднительно: внешне они имитируют штатные устройства. Скимминг может произойти и в торгово-сервисном предприятии, где кассир или официант в сговоре с преступниками незаметно прокатывает карту через считывающее магнитную полосу мобильное устройство. ПИН-код в этом случае подсматривается «из-за плеча» при обслуживании карты с чипом по процедуре Chip&PIN.
Доступ злоумышленников к данным магнитной полосы и ПИН-коду упростил им задачу получения наличных — часто мошенниками для этого используется так называемый «белый пластик». Это заготовки карт с кодированной магнитной полосой, но без каких-либо элементов дизайна. Чтобы «белый пластик» не бросался в глаза случайным прохожим или сотрудникам службы безопасности банка, которые будут просматривать записи с камеры банкомата, на карту наклеивают цветные стикеры, или пластик окрашивают любым доступным способом.
Были отмечены нетривиальные случаи использования для скимминга «доработанных» мошенниками POS-терминалов, перехвата информации посредством врезки в коммуникационные каналы связи, взлома баз данных ТСП или банковских процессингов.
Чаще всего держатель карты не замечает, где и когда он стал жертвой скимминга, а обнаруживает уже совершенные по его карте мошеннические транзакции. Ответственность за такого рода операции ложится на банк-эмитент.
Мероприятия по противодействию мошенничеству:
• обучение держателей мерам безопасного обслуживания карт (соблюдение мер, направленных на сохранение конфиденциальности платежных реквизитов карты и ПИН-кода);
• миграция на EMV карты и использование правила Chip&PIN (перенос рисков финансовой ответственности на эквайрера за проведение им операции с чтением только магнитной полосы карты);
• случайная генерация номеров карт;
• проверка CVV (CVC), CVV2 (CVC2) при авторизации, сверка срока действия карты в авторизационном запросе с параметром в базе данных процессинга;
• использование фрод-мониторинга авторизационного трафика с возможностью автоматически блокировать карту;
• использование услуги смс-информирования о проведенных авторизациях;
• установка лимитов снятия наличных денежных средств в банкоматах на ежедневной и ежемесячной основе;
• обучение сотрудников ТСП выявлению поддельных карт. Периодические тренинги и практикумы с аттестацией. Вознаграждение со стороны банка-эквайрера сотрудников ТСП за задержанную поддельную карту.
Оплата по реквизитам карты Card Not Present (CNP-фрод)Платежная транзакция, совершаемая без предъявления карты, т. е. в условиях, когда в точке совершения транзакции отсутствует не только сама платежная карта, но и ее держатель, называется Card Not Present transaction. Такая транзакция совершается по указанию держателя карты, данному устно или письменно (факс, электронная почта и т. д.). Card Not Present мошенничество основывается на использовании платежных реквизитов банковской карты не ее законным владельцем. Оплату с использованием реквизитов платежного средства практикуют в интернет-магазинах и торговых точках, оформляющих заказы дистанционно через почту, телефон, электронную почту (mail order/telephone order (MO/TO) transaction) или интернет-сайты ТСП, использующие оформление транзакций по правилам электронной коммерции (e-commerce). У ТСП нет возможности проверить принадлежность карты ее законному держателю, нет возможности сличить подпись или проверить удостоверение личности. Серьезных мошенников интересует прежде всего покупка дорогого и легко реализуемого товара по реквизитам краденных банковских карт. Сегодня таким товаром являются компьютерная техника, фото/видео/ аудиотехника, мобильные телефоны и аксессуары к ним, прочие гаджеты. Однако физический товар требует реального адреса для доставки и получить его должно конкретное физическое лицо по предъявлении документа, удостоверяющего личность. Поэтому с точки зрения преступника эта схема рискованна и реализуема только через подставное лицо. Менее требовательные мошенники из числа компьютерных хулиганов довольствуются покупкой софта и мультимедийного контента, доступного для скачивания посредством Интернета, для покупки которых не требуется адрес доставки. Суммы таких операций не превышают 100 долл., но доставляют проблемы эмитенту в случае массового характера. Подобные разовые операции возможно опротестовать претензионными процедурами, массовые случаи могут потребовать предметного разбирательства непосредственно с банком-эквайрером и с привлечением платежных систем, когда торговую точку поставят перед выбором: или прекращать прием карт в оплату или совершенствовать защитные меры.
Жалоба
Напишите нам, и мы в срочном порядке примем меры.