інформаційно-аналітичний портал Українського агентства фінансового розвитку
на головну
Як захистити гроші від карткових шахраїв: сучасні загрози, можливості і технології

М.Корф

Платіжні картки, що порівняно недавно увійшли в життя громадян та організацій, стають все більш популярними. Їх переваги очевидні: платіжна картка має майже усі зручності готівкових розрахунків (доступність, простота, швидкість) і позбавлена багатьох недоліків (насамперед – економить місце в гаманці та кишенях). Власник платіжної картки позбавлений формальностей, пов’язаних з відвідуванням банків, обміном валют, перевезенням готівки через кордони. За допомогою карток зручно здійснювати і безготівкові розрахунки, у тому числі з використанням інтернет-банкінгу та інших досягнень технічного прогресу. З іншого боку, як у самій країні, так і за кордоном мешкає безліч окремих осіб, які мають недобрі наміри щодо чужих карток та грошових коштів, а також володіють спеціальними навичками і технічними можливостями для втілення своїх намірів в життя.

Що може протиставити злочинним намірам чесний володар платіжної картки? Відповіді на ці питання і поради, що стосуються безпеки карткових розрахунків, наводяться нижче.

Насамперед, картку завжди необхідно тримати при собі і нікому не повідомляти PIN-код. Не варто зберігати записаний PIN-код разом з карткою, при цьому рекомендується не довіряти нікому – навіть банкомату в своєму офісі! Крім того, на думку експертів, потрібно мати дві картки – для звичайних платежів та для розрахунків через Інтернет; не тримати на картках грошей більше, ніж потрібно; використовувати чіпові картки – вони безпечніші; встановити ліміт на проведення інтернет-платежів. У своєму банку слід поцікавитися рекомендаціями щодо захисту картки, а також уточнити телефон процесингового центру для зв’язку в екстрених випадках. Бажано не заходити в Інтернет-банк з чужого комп’ютера, а свій потрібно обладнати, як мінімум, регулярно оновлюваним антивірусом.

Основні правила безпеки використання платіжних карток:
- оформити додаткову картку для оплати покупок, розрахунку в інтернет-магазинах або поїздках. Така картка повинна бути прив’язана до окремого рахунку, на якому повинні перебувати невеликі суми грошей;
- намагатися не передавати картку незнайомій особі;
- при передачі картки незнайомій особі стежити, щоб картка завжди знаходилася в межах видимості;
- перед використанням банкомату оглянути його на предмет наявності скімерів та несанкціоновано встановлених відеокамер або інших пристроїв. Намагатися використовувати банкомати, що знаходяться в охоронних зонах;
- обов’язково підключитися до сервісів оперативного оповіщення про списання грошових коштів.

Для користувачів систем інтернет-банкінгу потрібно:
- забезпечити актуальний захист комп’ютера (постійні оновлення оперативної системи та антивіруса, мінімізація привілеїв користувача на роботу в системі та мережі Інтернет);
- регулярно міняти паролі;
- забезпечити двофакторну аутентифікацію;
- використовувати всі можливі сервіси отримання інформації щодо проведених транзакцій.

Якщо несанкціоноване списання коштів з карткового рахунку все-таки відбулося, необхідно відразу ж після виявлення цього факту звернутися в центр підтримки клієнтів банку. Його телефон вказаний в обов’язковому порядку на зворотному боці платіжної картки. Оператори центру допоможуть оперативно заблокувати як саму картку, так і рахунок, до якого вона прив’язана. Надалі необхідно звернутися з письмовою заявою до банку з вимогою анулювати несанкціоновані операції.

Рекомендації власникам банківських карток:
Ніколи не користуватися простими паролями там, де він захищає ваші кошти (наприклад, в інтернет-банкінгу).
Для того, щоб запам’ятати складний набір цифр і букв паролю зручно використовувати відомі тільки вам ключові фрази. Для фрази «Я вперше потрапив до Єгипту в 99 році» пароль за першими літерами буде мати вигляд: «ЯвпдЄв99р», а зміна розкладки клавіатури c російської на латиницю перетворить цей пароль в наступний: «Zdgl”d99h».
При появі найменших підозр щодо неправомірного списання грошей з вашого рахунку, потрібно не вагаючись, негайно звертатися в банк. До моменту повідомлення банку-емітента відповідальність повністю лежить на клієнті – тому потрібно якнайшвидше повідомити банк про втрату своєї картки.

В цілому ж держателю картки потрібно чинити так, як написано в його договорі з банком. Щоб не радили експерти, фактична сторона питання – штрафи, можливості оскаржити списання та інше – все це визначається договором з банком. Далі, якщо неможливо досягти урегулювання суперечки, проблему можна вирішувати вже в судовому порядку.

Експерти виділяють дві загальні тенденції в розвитку карткових розрахунків: у фізичному світі картки все більше оснащуються мікропроцесорами (чіпами), а у віртуальному – переходять на платежі по технології 3D Secure. Держателю картки, серйозно стурбованому питаннями безпеки, пропонується звернути увагу на те, що саме пропонує йому його банк, і чи надає банк своїм клієнтам сучасні можливості. Можна адресувати свої питання банку офіційно – направити лист і чекати відповіді. Банк обов’язково відповість, а питання клієнтів для банків дуже важливі – вони дозволяють правильно будувати стратегію.

Вони також радять для платежів у мережі Інтернет мати виділені віртуальні картки (наприклад, QIWI Visa Virtual, віртуальна картка Visa Virtuon Ощадбанку тощо) та переводити на них гроші тільки в сумі, необхідній для здійснення поточного платежу. При перенаправленні з сайту інтернет-магазину на сайт процесингу слід перевірити, чи здійснено редирект на обіцяний платіжний шлюз. Сервіс оперативного інформування про авторизаціях за картками (sms-інформування), а також входу/здійснення платежів в системі інтернет-банкінгу дозволить оперативно виявити факт шахрайства. Ну і, звичайно, слід користуватися інтернет-банкінгом надійних банків, які серйозно ставляться до ризиків, та реалізують достатні захисні заходи щодо аутентифікації в системі та підтвердження платежів.

При оплаті товарів та послуг карткою необхідно, щоб операція проводилася в присутності її господаря. Якщо немає послуги смс-інформування, то її треба підключити; для оплати в Інтернеті слід завести окрему картку з окремим рахунком і зараховувати туди тільки необхідні для оплати суми; рекомендується використовувати індивідуальні ліміти витрачання коштів.

У разі виникнення проблем, або якщо власник картки не впевнений у будь-яких транзакціях, треба звертатися в банк, незалежно від строку проведення операції. Іноді інформація, яка прийшла в смс про назву магазину, може відрізнятися від назви, яке буде у виписці по рахунку. Тому для початку потрібно порівняти дату операції та її суму, а вже потім приймати рішення про звернення в банк.

Вибір платіжного засобу повинен бути доцільним. Тобто, картка повинна максимально відповідати тим завданням, які вона покликана вирішувати. Наявність декількох платіжних карток – принципово правильна позиція, оскільки таким чином диверсифікуються ризики, які при використанні фінансових інструментів існують завжди.

Мова не йде про те, щоб під кожну операцію потрібно заводити окрему картку. Однак це здається не просто розумно, але і зручно використовувати для розрахунків різні картки. Набір сервісів, обмежень, заходів безпеки варіюється залежно від банку та платіжної системи. Отримання готівки без комісії, щоденна швидка оплата товарів в регіоні вашого проживання, розрахунки за кордоном, оплата комунальних послуг, грошові перекази, погашення кредиту, розрахунки в Інтернеті, розрахунки в транспорті, участь в бонусних накопичувальних програмах – це хоч і широкий, але далеко не повний перелік послуг, які сьогодні можна отримати з використанням банківських карток.

Відповідь на питання, чи можна вибрати одну картку, яка може однаково добре задовольнити всі заявлені вище потреби, очевидний.

Наступна проблема – чи є гарантії, що карта буде обслуговуватися 365 днів на рік та 24 години на добу? Банки та платіжні системи роблять все можливе, щоб це було так, але 100% гарантії ніхто дати не може.

Якщо власник картки здійснює платежі в Інтернеті, часто розраховується за покупки в торгово-сервісних підприємствах або знімає готівку в банкоматах, то існує (низька, але, все-таки ненульова) ймовірність компрометації даних картки і зняття зловмисником коштів з карткового рахунку.

Якщо клієнтові необхідні швидкі розрахунки, йому знадобиться картка, яка добре працює в off-line, без введення PIN-коду і без процедури підписів чека (наприклад, платіжна картка з транспортним додатком). Суми і кількість таких операцій строго контролюються системою та банком. Мабуть, не існує людини, яка б хотіла, щоб у разі компрометації карти без PIN-коду, без чека та без авторизації, хтось інший здійснював транзакції за допомогою цієї картки і гроші списувалися з рахунку?.

Саме тому для мінімізації ризиків та для отримання більш якісних сервісів слід вибирати спеціалізовані інструменти, призначені під конкретний тип операцій. Потрібно диверсифікувати ризики. Використовувати чіпові картки, сервіси інформування про здійснені операції, технологію одноразових паролів або смарт-ключі для входу в Інтернет-банк, регулярно оновлювати антивірусний захист. Обов’язково потрібно періодично відстежувати стан рахунку – отримуючи виписку по рахунку та перевіряючи вміст свого гаманця. Виявивши сумнівну операцію потрібно негайно звернутися у банк, який має всі можливості, щоб повернути вкрадені гроші.

Сучасні технології захисту карткових розрахунків

На думку експертів, міжнародні платіжні системи, такі як VISA International, MasterCard WorldWide, строго регламентують технології випуску пластикових карток. Відповідно, вони досконально прописують всі елементи захисту при виготовленні карток. Окремі з них дублюють норми виробництва паперових грошей – наприклад, елементи, що світяться; якщо взяти картку і покласти під лампу, то можна побачити певні знаки. Крім того, дані регламенти та маркування на картці дозволяють досить точно визначити, коли і ким вона була випущена. Люди, які займаються випуском контрафактної продукції, навряд чи знають про такі нюанси.

Кожна картка після стадії виробництва проходить процедуру затвердження в платіжній системі. Це також є певним ступенем захисту. Банк завжди замовляє точну кількість карток, що друкується на картковому заводі. Після цього банк звітує за весь тираж в платіжну систему.

На сучасних карткових заводах використовуються спеціальні фарби для забезпечення високого ступеня захисту банківських карток. Тільки підприємство, сертифіковане на випуск банківських карток, знає тонкощі виробництва таких карток (шрифт, кегль, світність фарби та інші графічні можливості).

Постійно ведуться розробки нових систем IT-безпеки. Таких розробок чимало. Але вся складність полягає у тому, що галузь інформаційної безпеки досить жорстко регламентується. Існують нормативні акти, що описують вимоги до систем захисту, а також вимоги до їхньої оцінки відповідності. Нові системи повинні відповідати цим вимогам, що дуже непросто; це змушує банки або застосовувати несертифіковані засоби захисту, або не використовувати їх зовсім.

Але основна проблема в іншому – багато компаній не використовують навіть існуючі засоби безпеки, що добре себе зарекомендували, не кажучи вже про новинки.

Постійне вдосконалення методів та інструментів, якими користуються кіберзлочинці, призводить до необхідності створювати нові системи інформаційної безпеки. Сьогодні розробники таких рішень вже відмовилися від так званого «принципу замка», який базувався виключно на ідеї «не пускати». Практика показала, що найбільш ефективний метод полягає не в стримуванні, а в реалізації активного відгуку на загрозу інформаційній безпеці.

Створення таких систем є пріоритетним завданням у сфері захисту інформації. Такі продукти будуть не тільки детектувати порушення та припиняти його, але й автоматично здійснювати збір цифрових доказів. Ці дані дозволять правоохоронним органам оперативно виявити зловмисників та притягнути їх до відповідальності. Подібні технічні засоби сприятимуть не лише захисту інформації, а безпосередньо допоможуть знизити сам рівень кіберзлочинності.

Переваги USB-токену в плані захищеності карткового рахунку

Експерти вважають, що USB-токен в звичайному режимі його використання не дає 100% захисту, так як клієнт не знає, скільки і які документи він підписує. У разі компрометації комп’ютера зловмисники можуть вільно користуватися коштами його власника.

За словами експертів, USB-токен застосовують для протидії розкрадань шкідливими програмами – троянами – секретних ключів ЕЦП, необхідних для підтвердження платежу від імені клієнта банку. Принцип захисту – формування ЕЦП клієнта безпосередньо всередині токена (на вході – електронний документ, на виході – ЕЦП), причому криптографічні ключі генеруються всередині токена, зберігаються в захищеній пам’яті та не можуть бути прочитані з токена шляхом копіювання.

USB-токени широко застосовуються банками. Однак це, звичайно, не панацея у випадку, якщо зловмисник отримав повний доступ до комп’ютера, з якого клієнт взаємодіє з інтернет-банкінгом, і при постійно «увімкненому» USB-токені.

В цілому, на думку експертів, використання USB-токена робить роботу з Інтернет-банком більш захищеною, особливо якщо криптографічні ключі ніколи не виходять з цього токена.

USB-токен підвищує рівень захищеності системи, але не гарантує повної безпеки. У першу чергу це пов’язане з порушеннями правил використання токенів. Наприклад, найпоширеніший випадок грубого порушення – це коли токен постійно підключений до комп’ютера. Таким чином, нічого не заважає зловмисникові проводити шахрайські операції з використанням засобів віддаленого адміністрування або шкідливого програмного забезпечення.

Використання одноразових паролів у поєднанні з USB-токеном дозволяє мінімізувати ризики, пов’язані з дистанційним управлінням, але, у свою чергу, не забезпечує захист від шкідливого програмного забезпечення, яке підміняє платіжні доручення під час їх підписуванні.

Чим більш популярною стає якась технологія, тим більше уваги їй приділяють зловмисники. На сьогоднішній день близько 70% всіх проблем з безпекою систем USB токени знімають. Але існує 5% атак, які обходять USB-токени і дозволяють викрадати секретні ключі ЕЦП навіть з них. І кількість таких атак буде тільки зростати.

Безпека використання картки з безконтактним чіпом

Будь-яка безконтактна технологія безпечна за умови її правильної реалізації та використання. Предметно говорити можна тільки про конкретну реалізацію системи безконтактних платежів. В цілому в системі транспортних розрахунків ризики витоку інформації з картки, як і її взлому, не настільки значні, щоб створювати потужну систему захисту з шифруванням безконтактного з’єднання тощо. Якщо ж застосовувати таку карту і для інших платежів, то, зрозуміло, необхідно зважити всі за і проти.

Для оплати в торгових мережах вже використовується безконтактна технологія. Вона дуже зручна, оскільки швидкість обслуговування істотно вище. З точки зору безпеки, ця технологія аналогічна контактному чіпу.

Сфера застосування безконтактних технологій широка. Це, в першу чергу, ринок мікроплатежів. Він характеризується трьома основними факторами: масовість, невелика сума окремого чека та необхідність швидкого обслуговування. Один із сегментів цього ринку – розрахунки на транспорті; але є й інші, де безконтактні технології не просто доречні, але й необхідні. Це ресторани швидкого харчування, ритейл нафтопродуктів, аптечні мережі, магазини формату «у будинку», студентські містечка, вузи і школи, готелі, пансіонати, торгово-розважальні центри.

Мікроплатежі та платежі на дрібні суми – сегмент, де історично домінують готівкові гроші. Для масових мікроплатежів «класичні» картки непридатні: повільне обслуговування карток і швидке зношення устаткування через підвищену кількість операцій робили практично будь-які проекти по організації такого сервісу нежиттєздатними. Та і в очах кінцевого споживача «класичні» картки з їх PIN-кодами, підписанням чеків, авторизацією жодним чином не асоціюються з інструментом для дрібних та швидких розрахунків.

А ось мікропроцесорні, і зокрема безконтактні картки, дозволяють вирішити всі основні проблеми та організувати систему повсякденних швидких та зручних розрахунків. Деяким чіповим карткам не страшні збої зв’язку, оскільки вони є авторизованими і не вимагають з’єднання з центром обробки даних в режимі реального часу, що дає можливість знизити вартість транзакції та підвищити швидкість обслуговування в торгових точках до 4-5 секунд.

Мікропроцесори нового покоління дозволяють поєднувати на одній картці контактний і безконтактний інтерфейс, тому набір додатків обмежується тільки об’ємом пам’яті картки. На чіпі можуть розміщуватися товарні або грошові гаманці, бонусні схеми, ідентифікаційні та інші додатки. Чіпові картки відрізняє максимальна захищеність даних, відсутність необхідності пред’являти посвідчення особи та підписувати чеки в торгових точках при розрахунку.

Нові загрози банківської безпеки у зв’язку з розвитком мобільного банкінгу

На думку експертів, в даному випадку ризики носять як технологічний, так і правовий характер. Мобільні платформи далеко не завжди дозволяють встановити на них будь-які засоби захисту по причині або закритості платформи (як, наприклад, BlackBerry), або через брак ресурсів. У підсумку мобільна платформа залишається абсолютно незахищеною перед вже відомими погрозами, наприклад, «троянами».

Сучасний смартфон є, по суті, портативним комп’ютером, на який можна встановити будь-які мобільні додатки, у тому числі і для управління власними банківськими рахунками. Відповідно всі ризики, пов’язані з інтернет-банкінгом, автоматично застосовуються по відношенню до мобільного банкінгу, але їх підсилює висока можливість втрати або викрадення смартфона. Це загрожує власникові втратою важливої конфіденційної інформації, наприклад, смс-повідомлення з одноразовими паролями.

Мобільний банкінг – це всього лише ще один канал доступу до системи дистанційного обслуговування, причому використовує бездротове середовище передачі даних і клієнтський пристрій, не контрольований банком (мобільний телефон власника). Будь-який новий канал доступу до даних вводить в систему нові ризики інформаційної безпеки.

Найбільші ризики в системі мобільного банкінгу пов’язані з питаннями аутентифікації транзакції. Крім того, це перехоплення даних при передачі, зміна передачі даних транзакцій, отримання даних рахунків або карток, що зберігається безпосередньо в телефоні та інші. Проте при правильному дизайні системи мобільного банкінгу, застосування надійної схеми аутентифікації клієнта (наприклад, CAP-аутентифікації) і за умови, що розробники не наробили «дірок» при реалізації задуманого, а банк запровадив достатні захисні заходи на серверну частину системи, мобільний банкінг стає не менш безпечним, ніж обслуговування клієнта в офісі банку.

Експерти вважають мобільні канали більш доступними злочинцям для атаки. Якщо говорити про смартфони, чим більш «інтелектуальним» стає пристрій, що використовується для платежу, тим більше він піддається зараженню вірусами. Смартфони, наприклад, можна «зомбувати» та змушувати пересилати преміум-смс на задані номери. Будучи зараженим, смартфон розсилає шкідливе програмне забезпечення іншим власникам та створює таким чином бот-мережу, яка може використовуватися злочинцями в комерційних цілях.

Не секрет, що самі мобільні апарати крадуть частіше, ніж банківські карти. Для боротьби з такими злочинами доступ до мобільного гаманця зазвичай захищається додатковим PIN-кодом. Крім того, радіочастотний сигнал можна перехопити та заглушити, що зробить платежі неможливими.

Хоча ризики є в усіх технологіях, остаточно оцінити рівень безпеки платіжних систем та інструментів можливо лише з часом.