Платежные карты: Бизнес-энциклопедия - Проект

К уязвимостям стандарта EMV следует отнести, во-первых, легкую доступность ПИН-кода (учитывая, что магнитная полоса остается на смарткартах, по ним возможно проведение не чиповых операций, что увеличивает риск компрометации карт). Во-вторых, EMV предполагает аутентификацию карты и эмитента, но не предусматривает аутентификацию подлинности терминала, в связи с чем усилятся атаки на сам терминал — от простой подмены, до модернизации. Что уже сейчас подтверждается данными. Так, исследователи Кембриджского университета 5 января 2007 г. перепрограммировали «ЧИП и ПИН»-терминал, превратив его в игровую приставку для игры в «тетрис».

Появились новые атаки на уровне терминала (разновидность мошеннического ПИН-ПАДа) — атака трансляцией. Данный вид атаки позволяет злоумышленнику с использованием относительно недорогого оборудования (при реализации затраты комплектующих составили 442 долл. США) осуществить перехват и трансляцию всего трафика между подлинной МПК картой и подлинным торговым терминалом. При этом подлинные карта и терминал географически находятся в разных точках и осуществляют взаимодействие через поддельные терминал и карту соответственно, которые имеют удаленную связь между собой.

Для уменьшения потерь от банкоматного мошенничества из-за компроментации ПИН-кода в торговых предприятиях для верификации (проверки) держателя необходимо использовать верификацию держателя по подписи chip-and-signature (ЧИП и подпись). Для повышения общего уровня безопасности ПИН-кодом требуется соблюдение требований PCI DSS и усиление криптографической безопасности — переход с криптографического алгоритма DES на 3DES с ключами двойной длины; поточное шифрование, создание VPN-туннелей при подключении терминальных устройств к процессинговым центрам; использование функции макирования (МАС) на всех терминальных устройствах; внедрение технологии удаленной загрузки терминальных мастер ключей (Remote Key Management).

Другой угрозой наиболее сильно влияющей в последнее время на банкоматное мошенничество, особенно в России, являются физические нападения на банкоматы. Связано это с тем, что первоначально в России развитие карточного бизнеса начиналось с зарплатных проектов. Как следствие банкоматы в большинстве своем ставили на территории предприятия и доступ к ним со стороны посторонних лиц был либо существенно затруднен, либо банкомат находился под контролем местной охраны. С развитием розницы в карточках, ориентации на клиентов «с улицы», а так же при высокой конкуренции между банками, количество общедоступных банкоматов увеличивается. При этом, если при зарплатном проекте администрация предприятия, на котором установлен банкомат, понимает, что данное устройство обеспечивает выдачу заработной платы её работникам и это, таким образом выгодно и самому предприятию, следовательно, предпринимает необходимые меры по его охране и безопасности. В случае же установки большинства общедоступных банкоматов в условиях конкурентной борьбы банков предприятие, предоставляющее в аренду площадь для установки банкомата, не заинтересовано в дополнительных затратах на его безопасность. Вместе с тем при физическом нападении на банкоматы используются традиционные криминальные методы, которые уже отработаны на протяжении достаточно длительного периода времени и имеют своих подготовленных исполнителей. То есть для физического нападения на банкомат не требуются новые высокотехнологические технологии, а применяются давно известные способы кражи или вскрытия сейфов. На новую отрасль банковской индустрии в настоящее время обращает свое внимание традиционный криминал. С его точки зрения банкомат — это сейф с деньгами. И этот сейф может быть установлен не в специально оборудованном средствами инженерно-технической защиты помещении, а в свободном доступе.

В 2003 г. за полгода в Японии было совершено 49 ограблений банкоматов при помощи экскаваторов. Ущерб составил несколько миллионов долларов. В связи с тем, что для строительной техники используется один ключ для всей серии, ее очень легко угнать с ближайшей стройки.

В США в основном похищают небольшие по габаритам и весу (low-end) банкоматы из магазинов не оборудованных сигнализацией. В Нью-Йорке январе-июле за 2004 г. изъято 23 банкомата, в штат Иллинойс за 2004 г. изъято 27 банкоматов, в Филадельфии декабрь 2003 г. — май 2004 г. более 30 банкоматов.

По данным Европейской группы по безопасности банкоматов (EAST) с января по сентябрь 2004 г. в Европе было зафиксировано 600 случаев данного вида преступлений, общий ущерб составил 6 млн евро; в 2005 г. — 1572 случая данного вида инцидентов, общий ущерб составил 20,2 млн долл. США.

В 2005 г. в США было украдено 200 банкоматов, в Великобритании — более 125.

В Нидерландах в 2005 г. отмечено 17 физических нападений на банкоматы. Из них 10 с использование тяжелых транспортных средств, 5 — газообразных взрывчатых веществ (в сейфе отверстие, заполняется газом и взрывается, банкноты не повреждаются).

В США 80 % страховых случаев с физическими нападениями на банкоматы — это кражи. Согласно данным, опубликованным компанией Diebild, в 4,5 млн долл. в год — обходятся в США физические нападения на банкоматы.

В России только в Санкт-Петербурге в 2005–2006 гг. было совершено 11 нападений на банкоматы, общая сумма ущерба составила 12 545 899 руб. В целом по стране статистика тоже малоутешительна (см. далее хронику банкоматного мошеничества в Приложение 1 к настоящему разделу).

Преступники взламывают сейфы банкоматов, разрезают их сваркой или «болгаркой», похищают с места установки. Способы хищений самые разнообразные — тайные, разбойные, путем обмана под видом сотрудников банка, осуществляющих плановую замену банкомата и т. п.

В связи с этим банкам необходимо разработать внутренние регламентирующие документы по выбору мест установки банкоматов. Приведенные ниже рекомендации являются шаблоном для собственной методики, которая должна учитывать особенности бизнеса конкретного банка.

При выборе места установки банкомата необходимо учитывать:

1) безопасность держателей карт при пользовании банкоматом;

2) безопасность работников, осуществляющих инкассацию;

3) возможность хищения банкомата;

4) возможность вскрытия банкомата в целях хищения денежных средств или оборудования, находящегося внутри;

5) возможность вандализма по отношению к банкомату;

6) криминогенную обстановку в данной местности;

7) наличие инженерно-технических средств защиты (охранная сигнализация, видеонаблюдение и др.).

Рекомендуется ввести категории безопасности мест установки банкоматов (I — самая безопасная).

I. В помещениях кредитной организации.

II. В помещениях других предприятий (организаций, учреждений) с ограниченным доступом (пропускной режим).

III. В помещениях других предприятий (организаций, учреждений) со свободным доступом.

IV. В стенах (проемах) зданий для обслуживания клиентов со стороны улиц.

В зависимости от категории места разрабатываются различные требования к ним. Разумеется, приведенный список является примерным и может изменяться или добавляться в зависимости от специфики конкретного банка (например, дополнительно можно ввести следующие категории — в помещениях железнодорожных вокзалов; на метрополитене).

Общие рекомендации по установке банкомата:

1) пространство перед банкоматом должно быть освещено, в том числе в темное время суток, если режим работы банкомата предполагает обслуживание клиентов в это время.

2) должен быть обеспечен подъезд инкассаторского автомобиля на максимально близкое расстояние ко входу в помещение, где установлен банкомат.

3) расположение банкомата должно позволить бригаде инкассации своевременно принять необходимые меры в случае нападения как на пути следования к банкомату, так и во время его обслуживания.

4) все банкоматы оснащаются системами видеорегистрации.

5) запрещается установка банкоматов рядом с зеркальными поверхностями, в том числе под зеркальными потолками, позволяющими со стороны увидеть процесс ввода ПИН-кода.

Далее необходимо разработать конкретные требования для каждой категории.

1. Место установки банкомата должно хорошо просматриваться службой местной охраны, работающим персоналом или клиентами либо находиться под контролем системы видеонаблюдения.

2. Должна быть предусмотрена так называемая «зона безопасности», чтобы держатель мог без опасений ввести ПИН-код и забрать наличные денежные средства.

3. Помещение, где установлен банкомат, должно быть оборудовано охранной сигнализацией с выводом сигнала срабатывания на пульт охраны одной из ниже перечисленных структур: собственной службы безопасности, вневедомственной охраны (ПЦО), дежурной части органа внутренних дел, частного охранного предприятия.