Безопасность операций в Интернете с использованием банковских карт (Часть 1)
Ожидает приглашения
В связи с довольно большим количеством мошенничества по банковским картам, решил опубликовать топик, являющийся частью моей курсовой работы. Данная тематика посвящена безопасности работы с банковскими картами в Интернете, если интересно — читаем дальше.
1.1 Схемы взаимодействия всех участников процесса электронной коммерции
Сейчас существует две основные схемы взаимодействия всех участников процесса электронной коммерции. Первая схема отображена на рисунке 1.
Рисунок 1 – Предоставление сервисов и услуг оплаты поставщиков услуг (торговая точка) без выделения платежного сервиса
Основными функциями торговый точки являются электронный магазин и платежный сервис. То есть торговая точка заключает с банком-эквайрером договор на оказание услуг авторизации платежных транзакций, а клиент предоставляет данные своего платежного средства непосредственно магазину.
К положительным моментам относится то, что у торговой точки есть вся необходимая информация о клиенте, что позволяет более эффективно организовать обслуживание.
С другой стороны все обеспечение безопасности лежит всецело на торговом предприятии, тем самым многие мелкие предприятия не смогут оснастить себя хорошей системой безопасности, так как это вызовет слишком большие затраты.
К тому же, каждое предприятие будет обеспечивать безопасность платежей без ведома вышестоящего банка-эквайрера. А так как торговое предприятие может являться потенциально мошенническим, то это порождает новые угрозы безопасности. Так как мошенники смогут создать платежный сервис таким образом, чтобы получать реквизиты карт и другие данные пользователей.
Вторая схема отражена на рисунке 2.
Рисунок 2 – Предоставление услуг электронной коммерции с выделением платежного сервиса
При сравнении со схемой на рисунке 1, можно отметить, что здесь к основным функциям относится только электронный магазин, а платежный сервис предоставляется магазину либо банком-эмитентом, либо специализированными компаниями в области электронной коммерции.
Тем самым, затраты торговой точки на поддержание системы безопасных платежей уменьшаются, как и опасность создание мошеннического платежного сервиса.
Конечно, эффективность работы торговой точки существенно снижается, за счет того что торговая точка не имеет данных о клиентах с которыми она взаимодействует, то есть не сможет вести какую-либо БД, для поддержания более быстрой работы.
В ходе исторического развития банковская сфера приобрела множество сложно разрешимых проблем. Ни одна из вышеперечисленных схем не дает полных гарантий того, что мошеннические транзакции будут исключены. Ниже сформулированы несколько важных факторов, которые необходимо учитывать при разработке систем защиты:
• Аутентификация клиента является крайне сложной задачей, так как действительно проверить личность клиента невозможно.
• Реквизиты должны храниться в базах данных либо торгового предприятия, либо банка. Тем самым возникает вероятность компрометации личных данных, путем взлома БД (не учитывая PCI DSS).
• Не считая алгоритма 3-D secure, ответственность за проведение платежа лежит либо на торговой точке, либо на банке-эквайрере.
Существует множество способов мошенничества в электронной коммерции. Некоторые из них крайне затратные и сложны для злоумышленников. Поэтому предпочтение они отдают более простым и дешевым способам. Тем не менее, основной целью является получение верных реквизитов пользователей, для последующего проведения транзакции по ним. Или продажи этих реквизитов другим мошенникам.
Конечно же, злоумышленники могут попробовать расшифровать передачи данных, которые защищены протоколами, но это крайне трудоемкая задача, занимающая время.
Взлом БД – задача тоже сложная, но решаемая. Но так как сейчас все банки должны следовать стандарту PCI DSS, практически никакие кричные данные пользователей не хранятся в БД. Единственным «слабым звеном» тут являются ТП, если они, по каким либо причинам ведут свою БД пользователей. Тогда для мошенников открывается дополнительная возможность получения реквизитов карт.
Второй же слабой частью транзакции является сам клиент банка. Так как его не информированность очень часто приводит к тому, что он передает свои критичные данные мошенникам, сам не подозревая об этом. На рисунке 3 отражена простая модель получения реквизитов карт, используя клиента банка, как основной объект атаки.
Рисунок 3 – Основные способы дискредитации реквизитов клиента, в случае его не информированности
Выше были специально не рассмотрены вероятности взлома БД, а так же генерации номера и другие. Так как в этих случаях объект атаки не клиент. Как было отвечено выше — мошенники очень часто пользуются неинформированностью клиента. Например, данные опроса Profi Online Research, по вопросу «Сталкивались ли Вы когда-либо с хищением средств с банковских карт?» отображены на рисунке 4.
Рисунок 4 – Сталкивались ли Вы когда-либо с хищением средств с банковских карт? (Profi Online Research)
Итого получается, что каждый третий клиент банка, никогда даже не слышал о возможности кражи реквизитов и использования их в мошеннических целях. Таким образом, именно они являются потенциальными жертвами мошенников. Для классификации мошенников была разработана модель клиентов исходя из вышеизложенных данных, приведенная на рисунке 5.
Рисунок 5 – Классификация клиентов.
На рисунке изображены два основных типа клиентов, тех, кто сталкивался с мошенниками и тех, кто нет. И каждый содержит по два подтипа. Итого мы получаем 31% людей – это составляющая второго типа, второго подтипа (тех, кто не сталкивался и не знает). Значит, на все остальные типы приходится 69%. Однако, в них так же входит процент людей, кто столкнулся с проблемой мошенничества на своем примере. В итоге получается, что в основном люди узнают о мошенниках, только на своем примере. Тем самым неинформированность – оружие, которое используют злоумышленники.
Существует три основные схемы мошеннических предприятий.
Первая, её также можно назвать схемой «фишинга», она будет рассмотрена позднее в разделе 1.4. Основной её идеей идет рассылка множества писем с адресами мошеннических копий банковских сайтов, с фиктивными платежными сервисами. Вторая схема работы предполагает создание временных торговых точек в Интернете, для получения реквизитов и данных пользователей. В третьей схеме мошенническое торговое предприятие продает несуществующие товары. При покупке пользователем товаров, ТП не осуществляет доставки, или ссылается на её продолжительное время. Тем самым оно получает компенсации от банка-эквайрера, а товары не продает.
Рассмотрим схематично порядок работы первого вида мошенников. В дальнейшем, предприятия, работающие на такой основе, будем называть – мошенническими предприятиями первого типа. Схема работы отображены на рисунке 6.
Рисунок 6 – Схема работы мошеннической торговой точки №1
Стоит отметить, что для мошенников это самая безопасная и простая схема. Так как она не требует заключения договора об эквайринге с банком. Не требует создания настоящего платежного сервиса. А работает лишь на людей, вероятнее всего не слишком продвинутых в сфере информационного образования. Человек, попадающий на сайт, вероятнее всего не увидит там ничего похожего на платежный сервис. Там не будет информации о том, с каким банком заключен договор об эквайринге. Исходя из психологического фактора, многие люди попробуют там что-либо приобрести только за счет низких цен и наличие товара, которого нельзя купить в обычных магазинах, это обычно приводит к снижению внимательности пользователя.
Однако у многих таких магазинов, возможно, отсутствует сам платёжный сервис вовсе. Оплата представляет собой ввод реквизитов карты в полях сайта и передача данных в незащищенном безопасными протоколами канале. Одним из важных признаков мошенников будет являться отсутствие описания, как пользоваться платежным сервисом, и каким образом он защищен.
В некоторых случаях мошенникам удобнее использовать дополнительное ПО, для того чтобы реквизиты ваших карт сохранялись например не в базе у них на сайте, а перенаправлялись куда-нибудь от вас в другие БД мошенников. Возможно, такое ПО позволит им контролировать и реквизиты других карт, введенные на других интернет-магазинах. В таком случае на сайте злоумышленников, будет предложена к скачиванию дополнительная программа.
Исходя из характеристики работы мошеннических торговых предприятий такого типа, возможно, выделить их основную цель – получение реквизитов клиентов банка.
Рассмотрим также вторую схему работы мошеннических предприятий. В дальнейшем называть будем её – мошенническое предприятие второго типа. Схема работы данного предприятия предоставлена на рисунке 7.
Рисунок 7 – Схема работы мошеннической торговой точки №2
Стоит сразу отметить, что здесь под «продажей» понимается – принятия заказа от клиента и списание денег с его счета. Товара в наличии у магазина нет, или он просто не доставляется клиенту. Но, тем не менее, данное предприятие выглядит как обычный интернет-магазин. У него есть настоящий договор с банком-эквайрером, существует платёжный сервис. Все работа с платежным сервисом осуществляется на безопасных протоколах. Конечно, мошенники не собираются доставлять клиенту заказанный товар, скорее всего его, нет в наличии. Или он один на всю фирму. Тогда они будут завышать сроки доставки, и не дадут доступ к своему складу. То есть у них будет отсутствовать система самовывоза. Существует вероятность, то что сам юридический адрес, по которому зарегистрирована фирма – будет отсутствовать. Хотя такое возможно, только в случае крайне неполной проверки банком-эквайрером данного предприятия, перед заключением контракта. Если же мошенническая фирма просуществовала довольно долго, то либо сам банк-эквайрер проведет проверку и выявит факт мошенничества, либо жертвы мошенников могут подать в суд на данную фиктивную фирму. В любом случае подобная фирма обычно отличается крайне коротким сроком работы, чтобы избежать этого, и тем самым, найти какие-либо данные на неё крайне сложно.
Основная цель – получение компенсаций от банка-эквайрера за осуществленные «продажи».
Продолжение следует…
1.1 Схемы взаимодействия всех участников процесса электронной коммерции
Сейчас существует две основные схемы взаимодействия всех участников процесса электронной коммерции. Первая схема отображена на рисунке 1.
Рисунок 1 – Предоставление сервисов и услуг оплаты поставщиков услуг (торговая точка) без выделения платежного сервиса
Основными функциями торговый точки являются электронный магазин и платежный сервис. То есть торговая точка заключает с банком-эквайрером договор на оказание услуг авторизации платежных транзакций, а клиент предоставляет данные своего платежного средства непосредственно магазину.
К положительным моментам относится то, что у торговой точки есть вся необходимая информация о клиенте, что позволяет более эффективно организовать обслуживание.
С другой стороны все обеспечение безопасности лежит всецело на торговом предприятии, тем самым многие мелкие предприятия не смогут оснастить себя хорошей системой безопасности, так как это вызовет слишком большие затраты.
К тому же, каждое предприятие будет обеспечивать безопасность платежей без ведома вышестоящего банка-эквайрера. А так как торговое предприятие может являться потенциально мошенническим, то это порождает новые угрозы безопасности. Так как мошенники смогут создать платежный сервис таким образом, чтобы получать реквизиты карт и другие данные пользователей.
Вторая схема отражена на рисунке 2.
Рисунок 2 – Предоставление услуг электронной коммерции с выделением платежного сервиса
При сравнении со схемой на рисунке 1, можно отметить, что здесь к основным функциям относится только электронный магазин, а платежный сервис предоставляется магазину либо банком-эмитентом, либо специализированными компаниями в области электронной коммерции.
Тем самым, затраты торговой точки на поддержание системы безопасных платежей уменьшаются, как и опасность создание мошеннического платежного сервиса.
Конечно, эффективность работы торговой точки существенно снижается, за счет того что торговая точка не имеет данных о клиентах с которыми она взаимодействует, то есть не сможет вести какую-либо БД, для поддержания более быстрой работы.
В ходе исторического развития банковская сфера приобрела множество сложно разрешимых проблем. Ни одна из вышеперечисленных схем не дает полных гарантий того, что мошеннические транзакции будут исключены. Ниже сформулированы несколько важных факторов, которые необходимо учитывать при разработке систем защиты:
• Аутентификация клиента является крайне сложной задачей, так как действительно проверить личность клиента невозможно.
• Реквизиты должны храниться в базах данных либо торгового предприятия, либо банка. Тем самым возникает вероятность компрометации личных данных, путем взлома БД (не учитывая PCI DSS).
• Не считая алгоритма 3-D secure, ответственность за проведение платежа лежит либо на торговой точке, либо на банке-эквайрере.
1.2 Классификация типов мошенничества в электронной коммерции
Существует множество способов мошенничества в электронной коммерции. Некоторые из них крайне затратные и сложны для злоумышленников. Поэтому предпочтение они отдают более простым и дешевым способам. Тем не менее, основной целью является получение верных реквизитов пользователей, для последующего проведения транзакции по ним. Или продажи этих реквизитов другим мошенникам.
Конечно же, злоумышленники могут попробовать расшифровать передачи данных, которые защищены протоколами, но это крайне трудоемкая задача, занимающая время.
Взлом БД – задача тоже сложная, но решаемая. Но так как сейчас все банки должны следовать стандарту PCI DSS, практически никакие кричные данные пользователей не хранятся в БД. Единственным «слабым звеном» тут являются ТП, если они, по каким либо причинам ведут свою БД пользователей. Тогда для мошенников открывается дополнительная возможность получения реквизитов карт.
Второй же слабой частью транзакции является сам клиент банка. Так как его не информированность очень часто приводит к тому, что он передает свои критичные данные мошенникам, сам не подозревая об этом. На рисунке 3 отражена простая модель получения реквизитов карт, используя клиента банка, как основной объект атаки.
Рисунок 3 – Основные способы дискредитации реквизитов клиента, в случае его не информированности
Выше были специально не рассмотрены вероятности взлома БД, а так же генерации номера и другие. Так как в этих случаях объект атаки не клиент. Как было отвечено выше — мошенники очень часто пользуются неинформированностью клиента. Например, данные опроса Profi Online Research, по вопросу «Сталкивались ли Вы когда-либо с хищением средств с банковских карт?» отображены на рисунке 4.
Рисунок 4 – Сталкивались ли Вы когда-либо с хищением средств с банковских карт? (Profi Online Research)
Итого получается, что каждый третий клиент банка, никогда даже не слышал о возможности кражи реквизитов и использования их в мошеннических целях. Таким образом, именно они являются потенциальными жертвами мошенников. Для классификации мошенников была разработана модель клиентов исходя из вышеизложенных данных, приведенная на рисунке 5.
Рисунок 5 – Классификация клиентов.
На рисунке изображены два основных типа клиентов, тех, кто сталкивался с мошенниками и тех, кто нет. И каждый содержит по два подтипа. Итого мы получаем 31% людей – это составляющая второго типа, второго подтипа (тех, кто не сталкивался и не знает). Значит, на все остальные типы приходится 69%. Однако, в них так же входит процент людей, кто столкнулся с проблемой мошенничества на своем примере. В итоге получается, что в основном люди узнают о мошенниках, только на своем примере. Тем самым неинформированность – оружие, которое используют злоумышленники.
1.3 Анализ торговых предприятий на предмет доверия к ним
Существует три основные схемы мошеннических предприятий.
Первая, её также можно назвать схемой «фишинга», она будет рассмотрена позднее в разделе 1.4. Основной её идеей идет рассылка множества писем с адресами мошеннических копий банковских сайтов, с фиктивными платежными сервисами. Вторая схема работы предполагает создание временных торговых точек в Интернете, для получения реквизитов и данных пользователей. В третьей схеме мошенническое торговое предприятие продает несуществующие товары. При покупке пользователем товаров, ТП не осуществляет доставки, или ссылается на её продолжительное время. Тем самым оно получает компенсации от банка-эквайрера, а товары не продает.
Рассмотрим схематично порядок работы первого вида мошенников. В дальнейшем, предприятия, работающие на такой основе, будем называть – мошенническими предприятиями первого типа. Схема работы отображены на рисунке 6.
Рисунок 6 – Схема работы мошеннической торговой точки №1
Стоит отметить, что для мошенников это самая безопасная и простая схема. Так как она не требует заключения договора об эквайринге с банком. Не требует создания настоящего платежного сервиса. А работает лишь на людей, вероятнее всего не слишком продвинутых в сфере информационного образования. Человек, попадающий на сайт, вероятнее всего не увидит там ничего похожего на платежный сервис. Там не будет информации о том, с каким банком заключен договор об эквайринге. Исходя из психологического фактора, многие люди попробуют там что-либо приобрести только за счет низких цен и наличие товара, которого нельзя купить в обычных магазинах, это обычно приводит к снижению внимательности пользователя.
Однако у многих таких магазинов, возможно, отсутствует сам платёжный сервис вовсе. Оплата представляет собой ввод реквизитов карты в полях сайта и передача данных в незащищенном безопасными протоколами канале. Одним из важных признаков мошенников будет являться отсутствие описания, как пользоваться платежным сервисом, и каким образом он защищен.
В некоторых случаях мошенникам удобнее использовать дополнительное ПО, для того чтобы реквизиты ваших карт сохранялись например не в базе у них на сайте, а перенаправлялись куда-нибудь от вас в другие БД мошенников. Возможно, такое ПО позволит им контролировать и реквизиты других карт, введенные на других интернет-магазинах. В таком случае на сайте злоумышленников, будет предложена к скачиванию дополнительная программа.
Исходя из характеристики работы мошеннических торговых предприятий такого типа, возможно, выделить их основную цель – получение реквизитов клиентов банка.
Рассмотрим также вторую схему работы мошеннических предприятий. В дальнейшем называть будем её – мошенническое предприятие второго типа. Схема работы данного предприятия предоставлена на рисунке 7.
Рисунок 7 – Схема работы мошеннической торговой точки №2
Стоит сразу отметить, что здесь под «продажей» понимается – принятия заказа от клиента и списание денег с его счета. Товара в наличии у магазина нет, или он просто не доставляется клиенту. Но, тем не менее, данное предприятие выглядит как обычный интернет-магазин. У него есть настоящий договор с банком-эквайрером, существует платёжный сервис. Все работа с платежным сервисом осуществляется на безопасных протоколах. Конечно, мошенники не собираются доставлять клиенту заказанный товар, скорее всего его, нет в наличии. Или он один на всю фирму. Тогда они будут завышать сроки доставки, и не дадут доступ к своему складу. То есть у них будет отсутствовать система самовывоза. Существует вероятность, то что сам юридический адрес, по которому зарегистрирована фирма – будет отсутствовать. Хотя такое возможно, только в случае крайне неполной проверки банком-эквайрером данного предприятия, перед заключением контракта. Если же мошенническая фирма просуществовала довольно долго, то либо сам банк-эквайрер проведет проверку и выявит факт мошенничества, либо жертвы мошенников могут подать в суд на данную фиктивную фирму. В любом случае подобная фирма обычно отличается крайне коротким сроком работы, чтобы избежать этого, и тем самым, найти какие-либо данные на неё крайне сложно.
Основная цель – получение компенсаций от банка-эквайрера за осуществленные «продажи».
Продолжение следует…