Источник: http://www.bre.ru/security/5857.html
С каждым днем электронная торговля становится все более актуальной формой ведения бизнеса. В силу объективных экономических причин, характеризующих развитие России на протяжении последнего десятилетия, вступление нашей страны в Интернет-бизнес несколько запоздало по сравнению с развитыми зарубежными странами, однако это отставание не столь велико, как в других отраслях народного хозяйства, а сама отрасль развивается опережающими темпами, что обуславливает скорейший выход национальной информационной индустрии на общеевропейский уровень. Это влечет за собой как отрицательные, так и положительные моменты, связанные уже сегодня с развитием этого интересного и перспективного направления в Российской экономике. Некоторое отставание по времени востребованности технологий, используемых в электронной коммерции, позволяет не допускать нами повторения ошибок рубежных компаний, занимающихся разработкой программного обеспечения для электронной коммерции. С другой стороны, прошедшее время успешно использовано и различного рода мошенниками, накопившими значительный опыт программного взлома закрытых сетей и хранилищ информации.
Принимая решение об организации электронного бизнеса, необходимо быть готовым к тому, что использование пластиковых карт в качестве основного платежного инструмента может спровоцировать попытки различного видов мошенничеств, наложенных на передовые Интернет технологии. Однако как устрашающе не выглядит такая перспектива, практика показывает, что успешная борьба с мошенниками возможна. При этом необходимо непременное объединение усилий и знаний специалистов служб безопасности и технических экспертов (специалистов по защите информации).
Сами по себе противоправные действия, связанные с использованием пластиковых карт начались задолго до появления Интернет, поэтому к настоящему моменту в службах безопасности банков накоплен достаточный опыт по решению данной проблемы. Для успешного его применения достаточно только небольшая его коррекция с учетом реалий электронного бизнеса.
Переходя к рассмотрению комплекса задач, решаемых для предотвращения мошенничества с использованием пластиковых карт интересно рассмотреть основные виды мошеннических действий, совершаемых в электронной коммерции.
Покупки в электронных магазинах относятся к так называемым заказам по почте/телефону (МОТО Mail Order/Telephone Order), т.е. продавец не может увидеть непосредственно покупателя и подержать в руках его кредитную карту.
Основные виды мошеннических действий злоумышленников:
Приобретение товаров и услуг по украденным реквизитам кредитных карт наиболее распространенный вид неправомерного деяния. Попытки получить товар, услуги или доступ к информационным ресурсам, данным способом, рассматриваются многим, как невинную шалость. Ведь фактически деньги как таковые никто не крадет, да и самого покупателя не видно (всегда есть возможность спрятаться за многочисленными зарубежными прокси-серверами).
Широкое распространение данный вид злоумышленничества получил потому, что он не требует больших финансовых вложений и фактически любой пользователь персонального компьютера, имеющий доступ в Интернет, обладающий продвинутыми знаниями в области вычислительной техники и построении компьютерных сетей, потенциально может совершить подобные деяния. В настоящее время, с помощью поисковых серверов Интернет можно получить описание пластиковых карт, их генераторы а, зачастую, и некоторые сведения о технологии функционирования отдельных платежных систем. Фактически это все, что необходимо для осуществления попыток совершения подобных преступлений. В данном случае основные убытки несет непосредственно электронный магазин.
Организация мошеннических Интернет-магазинов - данное деяние является менее распространенным, в силу необходимости достаточно больших финансовых вложений, привлечения квалифицированных программистов и приобретения дорогостоящих средств вычислительной техники. Целью создания данных Интернет-магазинов является перевод денежных средств со счетов держателей пластиковых карт на расчетные счета мошенников с последующим их обналичиванием. Ущерб, причиняемый действиями подобными "предпринимателями", может исчисляться миллионами рублей. В данном случае весь груз финансовой ответственности перед держателями пластиковых карт, чьи номера были использованы в мошеннических целях, ляжет на платежную систему, зарегистрировавшую данный Интернет-магазин.
Взлом баз данных, содержащих сведения о держателях пластиковых карт, осуществляющих покупки в электронных магазинах - наименее распространенный вид противозаконных действий, требующий высочайшей квалификации лиц, совершающих данные действия.
Основной целью при подобных действий (взлома компьютерной системы) ставится формирование базы данных кредитных карт, с последующей ее продажей или использованием в организованном этими же мошенниками электронном магазине.
Как показала практика, основными объектами для нападения злоумышленников являются Интернет-магазины зарубежных торговцев. В первую очередь это связано с тем, что за рубежом Интернет-магазины хранят у себя данные по кредитным картам покупателей (номер карты, имя держателя, срок действия карточки), совершивших оплату за товар или услугу.
Взлом баз данных платежных систем и коммерческих банков существенно затруднен и потребует огромных организационных затрат, финансовых вложений и привлечения квалифицированных специалистов. Как правило, банки уделяют огромное внимание защите подобных информационных ресурсов и привлекают высоко квалифицированных специалистов по защите информации, с целью недопущения проявления подобных фактов мошенничества.
Эффективность построения системы безопасности во многом зависит от максимально полного учета и задействования всего множества факторов, влияющих на ее решение. Ниже представлены основные направления деятельности службы безопасности платежной системы (интернет-магазина) решение которых необходимо учесть при разработке мероприятий, направленных на выявление и предотвращение мошеннических действий с использованием пластиковых карт в среде Интернет.
К таковым можно отнести следующее:
· контроль за разработкой и реализацией технологии, обеспечивающей безопасное проведение электронных платежей (выработка рекомендаций и предложений);
· сопровождение всех этапов подготовки, согласования, внесения изменений и подписания договоров (только для работы СБ в платежных системах);
· организация всестороннего мониторинга транзакций и отслеживание деятельности предприятий (клиентов) но различным параметрам;
· организация особого внутреннего контроля в подразделениях, где но роду своей деятельности сотрудники имеют доступ к конфиденциальной информации и базам данных, содержащих сведения но пластиковым картам, использованным в системе при совершении покупок.
Технологические аспекты обеспечения безопасности проведения платежей в среде Интернет являются одними из основных направлений, которые приходится решать при создании платежной системы или электронного магазина.
Применительно к платежным системам к ним можно отнести:
· разработка идеологии функционирования платежной системы, выбор протоколов взаимодействия между ее участниками (определение методов защиты информации от перехвата и изменения);
Основным документом, регулирующим взаимоотношения между участниками платежной системы, является договор на обслуживание юридического лица. В целях исключения возможности подключения к системе магазинов мошенников, служба безопасности должна сопровождать все этапы, предшествующие подписанию договора и влиять на результат его подписания. Необходимо выработать процедуру по проверке сведений, представленных предприятием при регистрации, сформулировать критерии их предварительной оценки, результатом которой будет являться выработка рекомендаций о целесообразности подключения того или иного клиента.
Следующим этапом по предотвращению мошеннических действий, является организация мониторинга функционирования электронного магазина с целью раннего выявления мошеннических действий, совершаемых при осуществлении покупок его клиентами (или самими организаторами). Эта задача может быть решена только путем организации автоматического анализа транзакций по различным параметрам за определенный промежуток времени. Какие именно параметры, и за какой промежуток времени необходимо анализировать, зависит от конкретной платежной системы, количества клиентов (электронных магазинов).
Например, разработанный программный продукт может осуществлять анализ показателей работы по следующим параметрам:
Организация внутреннего контроля в подразделениях компании направлена на предотвращение несанкционированного доступа к массивам информации, содержащим сведения о клиентах, их платежах и используемых пластиковых картах, ее модификации, копирования и уничтожения. Успешное решение данной задачи возможно только с привлечением различных категорий специалистов. Основные направления работы включают в себя:
На открытых Думских слушаньях было принято решение об объединении усилий комитетов, занимавшихся подготовкой проектов Законов, регулирующих правовые отношения в среде Интернет, что позволит перейти электронному бизнесу в России на следующую ступень развития и расширит законодательную базу, позволяющую более эффективно бороться с мошенническими действиями, совершаемыми с использованием пластиковых карт.
Уровень разработки систем мониторинга операций с банковским картами в банке определяется уровнем развития бизнеса банковских карт и ресурсами, которые банк может выделить на решение задач мониторинга. Система мониторинга может быть разработана специалистами банка либо приобретена у платежной системы или фирмы-производителя соответствующего программного обеспечения. Поводом для развития систем мониторинга обычно служили убытки, которые понес банк из-за мошеннических транзакций. Убытки из-за мошеннических транзакций по картам банка стимулировали развитие систем мониторинга в области эмиссии карт. Развитие систем мониторинга эквайринга до недавнего времени не имело явно выраженной мотивации, так как банк-эквайрер редко нес убытки из-за мошеннических операций в его торгово-сервисной сети. Естественно такое положение дел не устраивало платежные системы, так как наиболее эффективным методом снижения объема мошеннических транзакций в рамках платежной системы является проведение мероприятий по снижению риска операций именно с торгово-сервисной сетью, а не развитие систем мониторинга в области эмиссии карт. В связи с вышесказанным платежные системы стали разрабатывать комплекс мер, призванных стимулировать развитие систем управления рисками в области эквайринга. К таким мероприятиям можно отнести следующие:
1. Система учета уведомлений от банков-эмитентов о проведении мошеннических транзакций в торговой точке банка-эквайрера. При превышении установленных платежной системой значений (обычно это процент от оборота и максимальная накопленная сумма мошеннических транзакций за определенный период) торговая точка помещается в списки рисковых точек, которые рассылаются во все байки-эмитенты. Для торговых точек из этого списка устанавливается временной период, в течение которого банк эквайрер обязан в безусловном порядке принимать все возвраты платежей от банков эмитентов по транзакциям, прошедшим в торговой точке. Период устанавливается величиной до года, причем начало периода может быть установлено задним числом.
2. Программа по контролю за уровнем возврата платежей по торговой точке. В случае превышения установленных платежной системой параметров на банк-эквайрер накладываются штрафные санкции в сумме до 100$ за каждый дополнительный возврат платежа. Особенно рисковым для банка-эквайрера является обслуживание INTERNET merchants.
3. Введение обязательных стандартов для банка эквайрера по мониторингу торгово-сервисной сети. Несоответствие этим стандартам влечет за собой наложение штрафов на банк-эквайрер до 25 000$ и лишение лицензии на обслуживание торгово-сервисной сети.
Системы мониторинга можно распределись на три группы по уровню сложности решаемых задач и соответственно по эффективности:
1. Система контроля, построенная на анализе нескольких параметров активности карты. Рассматриваются обычно следующие параметры: остаток по счету, количество негативных отказов в авторизационной системе, количество транзакций без авторизации, крупные покупки и пр. По результатам работы системы формируется отчет “Exception report”, который анализируется специалистами банка и принимается решение о дальнейших действиях. Система позволяет выявить случаи мошенничества и принять соответствуюшие действия только после анализа отчета. В связи с этим реакция на проведение мошеннических транзакций бывает поздней, что обуславливает низкую эффективность такой системы.
2. Системы мониторинга, построенные на принципе “Rule based model”. Система более высокого уровня, позволяющая в автоматическом режиме проводить мероприятия по уменьшению рисков в случае если активность карты соответствует определенным правилам. Мероприятия проводятся непосредственно после идентификации подозрительной активности карты в автоматическом режиме, что обуславливает достаточно высокую эффективность системы. Обычно проводится анализ транзакций и авторизационных запросов, поступивших за день и автоматически принимается решение о блокировании карты с определенным статусом или формируется отчет для проведения других мероприятий по минимизации риска. В таких системах могут учитываться регионы использования карты, суммы операций, количество операций, конкретные торговые точки и эквайреры.
3. Системы
мониторинга, основанные на анализе моделей поведения клиента
(NEURAL NETWORK). В простейшем виде - это модифицированная система
мониторинга “Rule based model” с дополнительной возможностью в режиме
On-line анализировать поступающие авторизационные сообщения,
сопоставлять их с установленными параметрами и ограничениями карты и в
режиме реального времени принимать решение об отказе в авторизации или
блокировании карты. Такие системы наиболее эффективны, однако очень
сложны в программной реализации и отличаются высокой стоимостью в
случае покупки у фирмы-производителя программного обеспечения.
Платежная система VISA регламентировала минимальные требования к стандартам мониторинга операций в торгово-сервисной сети. Начиная с 01.01.2001 года все эквайреры должны соответствовать этим стандартам. Платежная система оставляет за собой право анализировать транзакции, поступающие из торгово-сервисной сети и проводить проверки систем мониторинга эквайрера. При проведении проверок платежная система может предъявить транзакции, которые с ее точки зрения должны были быть обработаны системой мониторинга и потребует предоставить отчеты, которые содержат указанные транзакции и перечень мероприятий, которые были проведены для проверки транзакции.
VISA устанавливает следующие параметры мониторинга торгово-сервисной
сети:
Мониторинг транзакций:
1. Максимальное за период инкассации (DEPOSIT) значение транзакции в торговой точке;
2. Общее количество и сумма транзакций за период инкассации;
3. Количество и сумму транзакций по одному номеру карты в торгово-сервисной сети банка (группировка по номеру карты);
4. Общее количество и сумма запросов документов и возвратов платежей;
5. Общее количество key-entered транзакций;
6. Процент транзакций ниже Floor Limit в торговой точке;
7. Количество и сумму транзакций по одному BIN в торгово-сервисной сети банка (группировка по BIN);
8. Количество и сумма кредитовых операций в торговой точке;
9. Торговые точки, у которых не было активности более определенного периода;
10. Торговые точки, у которых интервал между последними инкассациями превысил установленный период.
Мониторинг авторизации.
Мониторинг ведется по тем же параметрам, только основан не на периоде между инкассациями, а на рабочих днях торговой точки. Дополнительно проводится мониторинг негативных ответов авторизационной системы.
Мониторинг целесообразно базировать на таблице, содержащей средние значения параметров мониторинга, вычисленные за последние 90 дней. А именно среднее значение суммы инкассации и количества операций, среднее значение суммы и количества операций за день, среднее значение транзакции. Текущее значение параметров (на сегодня) сравнивается со средними значениями и если хотя бы по одному параметру фиксируется отклонение от среднего на определенную величину (например 200%), то торговая точка включается в Exception отчет. В Exception отчет целесообразно включать активность точек из списка Exception merchants, которые ведется оператором системы мониторинга.
Для удобства анализа Exception отчета необходимо иметь информационную поддержку, содержащую:
• индивидуальные характеристики точки (род деятельности, дата открытия и пр.)
• история негативных ответов на авторизации;
• история возвратов платежей, fraud advices, запросов документов;
• статистические характеристик точки;
В случае возникновения подозрений в законности проведения операции, что является следствием анализа поведения торговой точки, система мониторинга должна позволять в автоматическом режиме формировать факс-запрос в банк-эмитент, выпустивший карточку.
По получении запроса на подтверждение транзакции от банка-эквайрера банк-эмитент должен связаться с своим клиентом и выяснить правомерность проведения операции. После выяснения деталей транзакции банк-эмитент направляет ответ на запрос.
Оператор службы мониторинга ведет учет негативной информации о торговой точке и ответов от банков-эмитентов и в зависимости от ситуации формирует представление в службу безопасности банка на проведение одного или нескольких мероприятий по минимизации рисков, а именно:
- Провести дополнительное обучение сотрудников торговой точки правилам приема карт;
- Проинформировать руководство торговой точки о проведении мошеннических транзакций;
- Обязать торговую точку вносить информацию с документа держателя карты на чек/слип;
- Оборудовать торговую точку терминалом с возможностью ввода ПИНа;
- Рекомендовать разорвать договорные отношения с торговой точкой.
______________