<< Предыдущая

стр. 41
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

любого банка могут стать жертвами фишинга (для этого нужно зарегистрировать сайт с тем же именем,
что и атакуемый банк, но буква "а" должна быть не латинская, а кириллическая.
Не потеряли своей актуальности вредоносные программы, которые могут быть без ведома
пользователя тайно загружены на его компьютер. Программа активизируется автоматически, когда
пользователь заходит на определенные веб-сайты, например банковские, тайно записывает личные
данные и пересылает их мошеннику.
Существует цепочка преступной интерактивной деятельности, использующая инструментарий
интернет-методов. По словам исполнительного директора антиспамовой компании Ironport Скотта
Вайсса (Scott Weiss), представители организованной преступности финансируют компьютерных хакеров,
рассылающих вирусы, разработанные для создания "виртуальных компьютерных сетей" зомби-машин.
После этого злоумышленники распродают ресурсы на этих виртуальных компьютерных сетях,
предоставляя возможность рассылать через них миллионы фишинг-электронных писем, которые почти
невозможно отследить.
Старший полицейский офицер и глава Национального департамента Великобритании по борьбе
с преступлениями в сфере высоких технологий*(131) Мик Дитс (Mick Deats) заявляет, что зачастую после
взлома банковских счетов происходят сложные операции по отмыванию денег, проводимые в Сети. "В
основном преступные элементы приходят из Восточной Европы, ведь за последнее время мы
столкнулись с множеством обманутых русскоязычных пользователей, предоставлявших свои счета для
перевода денег обратно в Россию", - отмечает он. Обычно этих жертв находят с помощью программ
мгновенных сообщений (ICQ), проверяя их связи на родине (в России или странах СНГ), после чего
просят выручить "российского бизнесмена", пытающегося переслать немного денег домой, обещая,
естественно, за это вознаграждение.
Как определить, является ли письмо попыткой "фишинга"?
Приведем несколько внешних признаков того, что письмо является обманным.
1. Тема и тело письма бедно отформатированы и содержат много ошибок.
2. Письмо начинается с неличностного приветствия, такого, как "Дорогой клиент". Обычно
действительные компании посылают письма, в которых обращаются к получателю по имени.
3. Манера изложения письма беспокоящая или тревожная, как у писем, запрашивающих
финансовую или другую персональную информацию, в тревожном тоне в письме сообщается о том, что
многие клиенты потеряли свои учетные записи и это может случиться и с получателем.
4. Если письмо содержит ссылку, следует провести мышью над ней. Если видимая ссылка в теле
письма не совпадет со ссылкой в строке статуса, то существует большая вероятность, что письмо было
подделано (например, в строке написан адрес https://www.Nbank.com/signin/confirmation.jsp, а
гиперссылка ведет на адрес http://219.148.127.66/scripts/confirmation.htm).
Проблема фишинга в западных странах стала одним из главных приоритетов для правительств,
органов юстиции и финансовых компаний, в то время как информационно-техническое общество
пытается найти ее решение.
17 июня 2004 г. министерство финансов США, Организация защиты прав потребителей (Better
Business Bureau) и Федеральная торговая комиссия (Federal Trade Commission) объединились, чтобы
обучить пользователей компьютеров тому, как правильно избегать нападения фишинг-преступников.
Группа компаний, в состав которой вошли IBM и Fidelity Investments, открыли "Форум по надежным
электронным коммуникациям" (TECF) - торговую группу, основной целью которой стало создание
технических стандартов для борьбы с фишингом. Председатель TECF и директор по продуктовой и
маркетинговой стратегии компании PbstX Шон Элдридж (Shawn Eldridge) надеется, что группа сможет
создать ряд технологических и юридических стандартов для борьбы с мошенничеством.
Обещающим выглядит развитие интернет-технологий, которые могли бы гарантировать
законность получаемых сообщений. Компания Internet Engineering Task Force разрабатывает
спецификации для регистрации авторизированных серверов, занимающихся рассылкой электронной
почты. Подобная практика дополняет работу Microsoft над технологией Caller ID, а также компании
Pobox.com над системами Sender Policy Framework (как CallerlD, так и SPF-системы проверяют
электронные адреса, сравнивая серверы отправки с доменом отправляющего их человека).
Старший вице-президент технологической стратегии в компании MCI Винт Керф (Vint Cerf)
считает, что аутентичность должна стать решающим прорывом в будущее. По его мнению, возможность
проверить надежность источника электронной почты даст как минимум начало управления.
Другие антифишинговые решения включают систему Yahoo! DomainKeys, способную проверять
содержание сообщений и панелей от eBay и Earthlink, которые в случае обращения к одному из фишинг-
сайтов становятся красными или просто к ним перекрывается доступ.
28 июня 2004 г. корпорация MasterCard International официально присоединилась к программе по
борьбе с компьютерным мошенничеством, связанным с использованием подложных финансовых данных
и кредитных карт. Программа была инициирована компанией NameProtect, созданной специально для
борьбы с мошенничеством в этой области. Основной целью программы является проведение комплекса
мероприятий по предупреждению случаев мошенничества. Специалисты NameProtect установили
сервисы мониторинга во всех известных системах обмена и продажи финансовых данных.
Использование этих служб, по словам главы NameProtect обеспечивает наибольшую эффективность в
борьбе с мошенниками - "меч правосудия поражает непосредственно черный рынок кредитных карт".
Чтобы решить проблему фишинга, в американском Сенате подготовлен специальный
законопроект. Он запрещает подделку сайтов с целью принудить пользователя передать свои
идентификационные данные другому лицу. Преступлением согласно законопроекту является и подделка
обратных адресов электронной почты с целью заманивания пользователей на поддельные сайты.
В конце августа министерство юстиции США объявило о завершении операции "Веб-капкан", в
ходе которой было заведено 160 уголовных дел, где фигурируют свыше 150 тыс. потерпевших. В
сотрудничестве с властями Румынии и Нигерии были достигнуты следующие результаты: более 350
подследственных, 103 ареста и 53 приговора, 117 уголовных исков, обвинительных заключений и
извещений, исполнение более чем 140 ордеров на обыски и изъятия. К операции были привлечены
огромные ресурсы буквально по всему миру. 20-летний житель Техаса, который для получения номеров
кредитных карт заманивал пользователей сервиса PalPay на ложный сайт, был осужден на 46 месяцев
тюремного заключения (в результате своей деятельности он получил доступ к реквизитам 473 карт и 152
счетам).
5 мая 2004 г. британская полиция арестовала двенадцать выходцев из стран бывшего
Советского Союза, подозревающихся в организации махинаций с целью хищения информации о счетах
клиентов крупных банков. Преступники рассылали жертвам электронные письма с предложением
подтвердить информацию о своих счетах. При этом клиентам банков было необходимо заполнить
специальную форму, размещенную на фальшивом сайте. Естественно, внешний вид такого сайта
полностью копировал оформление и структуру официального ресурса. 14 октября 2004 г. в лондонском
магистратном суде на Боу-стрит были выдвинуты обвинения в фишинге четверым интернет-
мошенникам.
По информации интернет-издания CNews.ru, начальник пресс-службы "Управления К" Анатолий
Платонов, комментируя ситуацию с фишингом в России, отметил, что бороться с этим явлением
"Управление К" намерено "при помощи оперативно-розыскных мероприятий". Однако, чтобы бороться с
преступлением, управлению требуется как минимум заявление потерпевшего, которое тот может
написать в отделении милиции по месту жительства.
Пункт 2 Постановления Пленума Верховного Суда Российской Федерации от 25.04.95 N 5 "О
некоторых вопросах применения судами законодательства об ответственности за преступления против
собственности" гласит: "Дела о преступлениях против чужой, в том числе и государственной,
собственности являются делами публичного обвинения и не требуют для их возбуждения, производства
предварительного расследования и судебного разбирательства согласия собственника или иного
владельца имущества, ставшего объектом преступного посягательства". Постановление Пленума
Верховного Суда Российской Федерации от 27.12.2002 N 29 "О судебной практике по делам о краже,
грабеже и разбое" сохраняет в силе данный пункт.
Некоторые специалисты в области безопасности достаточно скептически оценивают будущее
борьбы с фишингом.
По мнению Дуга Пековера (Doug Peckover), президента компании Privacy, производящей
программное обеспечение, традиционные антифишинг-инструменты (такие, как фильтры) не работают,
необходимо внедрять новые средства.
Старший вице-президент в исследовательской фирме Meta Group Мет Каин (Matt Cain) считает,
что бурный рост фишинг-мошенничества, а заодно и универсального спама и вирусов, способствует
кризису, который может угрожать самому существованию электронной почты.
Основные уязвимости, которые использует фишинг - это человеческий фактор и слабые
средства защиты в технологии аутентификации.
Информация, которую получают фишеры от клиентов банков и платежных систем: имена,
фамилии, домашние адреса, телефоны, номера платежных карт, срок действия платежных карт,
защитные коды карт (CVV2/CVC2), ПИН-коды, тип платежных карт, название банка, номер банковского
счета; имя и пароль для доступа к счету через Интернет.
Практически это весь перечень запрашиваемого на фишинг-сайтах. Данной информации
оказывается достаточно, чтобы получить несанкционированный доступ к счетам клиентов. Платежные
системы (eBay) используют в качестве идентификации клиентов только имя и пароль. То же самое
делают многие зарубежные банки при предоставлении доступа к счету через Интернет (в качестве
имени может запрашиваться номер банковской карты, а в качестве пароля - ПИН-код). Данная
технология является явно недостаточно защищенной.
Для оплаты товаров и услуг с использованием банковских карт по почте и телефону, а также в
большинстве случаев оплаты через Интернет (если банк-эмитент и банк-эквайрер не используют
защищенные технологии платежей Verified by Visa и Secure Code - на сегодняшний день они еще
недостаточно распространены) достаточно знать номер карты, срок ее действия и код верификации
карты (CW2/CVC2).
Что касается получения наличных денежных средств через банкомат, то знания номера карты,
срока ее действия и защитного кода CW2(CVC2) (т.е. тех данных, которые знает клиент и может
сообщить их мошеннику) будет недостаточно, т.к. на магнитной полосе дополнительно записана еще
некоторая информация, которую держатель карты не знает. Это так называемый код верификации ПИН-
кода (PW) - четыре десятичные цифры (10 000 значений) и код верификации карты (CW/CVC) - три
десятичные цифры (1000 значений), который отличается от записанного на полосе для подписи кода
(CW2/CVC2). Таким образом, чтобы изготовить карту и получить по ней деньги в банкомате, помимо
сведений, которые держатель может сообщить сам (номер карты и срок ее действия), необходимо иметь
комбинацию из семи десятичных цифр (10 000 000 возможных значений).
Существует еще одна сфера деятельности мошенников в области банковских карт. Это так
называемый скимминг - несанкционированное копирование информации с магнитной полосы карты.
Целью скимминга является получение второй дорожки магнитной полосы. Именно эта дорожка содержит
все необходимые данные, передаваемые в процес-синговый центр эмитента для получения
авторизации. Классическое копирование магнитной полосы карты осуществлялось в торговых
предприятиях, когда держатель передавал свою карту для оплаты. Данный способ существует и на
сегодняшний день. Однако развитие компьютерных технологий, использование протокола TCP,
появление в крупных магазинах локальных сетей, по которым передается информация со вторых
дорожек, деятельность хакеров по взлому компьютерных систем и утечка информации от провайдеров
электронных каналов связи привели к колоссальному увеличению случаев данного мошенничества. На
кардерских сайтах*(132) существуют предложения о продаже огромного количества дампов
скопированных карт.
В силу массовости и больших масштабов фишинга и скимминга происходит симбиоз данных
направлений мошенничества. В результате фишинга имеется достаточно большая база данных номеров
карт с ПИН-кодами, а в результате скимминга есть подобная база со вторыми дорожками магнитных
карт. Мошенники из обеих групп обмениваются информации и получают возможность изготовить
поддельную банковскую карту с известным ПИН-кодом.
В западных технологиях особенно уязвимым является интернет-доступ к счету клиента.
Достаточно каким-либо образом узнать имя и пароль доступа к счету (например, от самого же клиента,
путем перебора или иными методами), и злоумышленник получает полный контроль над финансовыми
средствами. При использовании слабых алгоритмов аутентификации клиентов (например,
использование только статических паролей) в новых технологиях интернет-платежей Verified by Visa и
Secure Code получаемая фишерами информация позволит обойти защитные механизмы протокола 3D-
secure.
Российские банки в связи с более жестким законодательством по использованию средств
криптографической защиты в большинстве своем при организации услуг интернет-банкинга используют
сертифицированные ФАПСИ или ФСБ средства криптографической защиты информации. Доступ к счету
клиента и взаимная аутентификация банка и клиента осуществляются с использованием надежных
криптографических алгоритмов (секретные ключи обладают достаточной длиной и хранятся на
отчуждаемых носителях информации). Фишинговая атака на такие технологии окажется явно
бессмысленной. В результате российские банки предоставляют своим клиентам более защищенную, а
следовательно, и более качественную услугу. На фоне тех потерь, что несут зарубежные банки, это
может использоваться отечественными банками как сильный маркетинговый ход.

***

В заключение выделим некоторые направления действий в борьбе с фишингом.
1. Применение защищенных технологий. Переход на чиповые карты, использование технологии
платежей Verified by Visa и Secure Code, применение криптографии для аутентификации и для закрытия
каналов связи.
2. Информирование клиентов о безопасных способах использования банковских услуг. Какая бы
защищенная технология не использовалась, все будет зависеть от того, правильно ли ее применяют.
3. Изменение российского законодательства. В последнее время значительно изменились
способы совершения преступлений. Принятые же законодательные акты не восполняют имеющиеся
пробелы. Создание системы, охватывающей все вопросы, от нормативно-правовых до организационных,
позволит эффективно противодействовать любым вызовам и угрозам в информационной сфере.
4. Взаимодействие правоохранительных органов и различных коммерческих структур. Только
объединив усилия, можно должным образом противостоять высокотехнологичной преступности.

Претензионная работа с картами


Основной вопрос - кто оплатит убытки?

Статистика платежных систем утверждает, что все банки и компании, связанные с карточным
бизнесом, в ходе работ в большей или меньшей степени несут финансовые потери от мошеннических
операций с пластиковыми картами либо из-за собственных ошибок при обработке транзакций. При этом
необходимо иметь в виду, что любая платежная система, готовая оказать всемерное содействие
развитию бизнеса банка и росту его доходов, занимает крайне отстраненную позицию, когда речь
заходит об убытках. Система никогда не принимает убытки на себя. Если же платежная система в
показательных целях выплачивает некоторую сумму пострадавшему клиенту из своих фондов, это
исключение из правил.
Теоретически в каждом отдельном случае возникновения убытков от операции с пластиковой
картой виновником может быть любой из ее участников: держатель карты, банк-эмитент, торговая точка,
в которой произведена операция, или банк-эквайрер. Соответственно каждая из сторон является
кандидатом в плательщики.
Процесс выявления причин возникновения убытков, соотнесение их с правилами платежных
систем и с договорными взаимоотношениями участников, а также последующее урегулирование
финансовых вопросов между участниками спорных транзакций по покрытию убытков и составляют суть
претензионной работы.
Как правило, процесс "разбирательства" начинается в банке-эмитенте. Клиент - держатель карты
сообщает, что в своей выписке он видит транзакцию (или много транзакций), которую он не совершал.
Если верить клиенту, потери пока на его стороне. Возникает целый ряд вопросов. Правду ли говорит
клиент? Действительно ли он не совершал транзакцию или просто не хочет платить? Если он
действительно ее не совершал, виноват ли он в том, что по его карте произведена транзакция другим
лицом?
В тех случаях, когда со стороны клиента нет формальных нарушений предусмотренных
договором правил использования карты (или когда нет возможности доказать факт нарушения), банк
обязан вернуть деньги на карту. Но даже когда доказано, что несанкционированное использование карты
стало возможным из-за оплошности клиента (например, он потерял карту и не сразу сообщил об этом),
банк-эмитент в целях поддержания своего имиджа делает все возможное, чтобы вернуть деньги
клиенту. Разумеется, закрывать минус на карте клиента собственными средствами не входит в
намерения эмитента. Но он примет меры, чтобы привлечь к ответственности других участников
транзакции - торговую точку и банк-эквайрер.
Таким образом, в классическом варианте претензионного процесса участники представлены, с
одной стороны, банком-эмитентом, отстаивающим интересы своего клиента - держателя карты, и с
другой - банком-эквайрером, защищающим свою торговую точку.
Отклонения от данной схемы могут быть разнообразными. Например, держатель карты является
не пострадавшей стороной, а инициатором мошеннической акции и причиной финансовых потерь своего
банка; в этом случае эмитент будет "сражаться" уже за свои собственные средства. Другой вариант -
торговая точка намеренно нарушает правила обслуживания карт с целью незаконного присвоения
средств, и этот факт очевиден из-за многочисленных сигналов потерпевших банков-эмитентов в адрес
платежной системы. В таком случае банк, не желающий рисковать своей репутацией и лицензией на
эквайринг, займет сторону эмитента в судебном разбирательстве против скомпрометировавшей себя
торговой точки.
Очевидно, что классический процесс противоборства эмитента и эквайрера, не контролируемый
авторитетной нейтральной стороной, не приведет ни к какому результату и ни одна из сторон
добровольно не признает себя ответственной. Поэтому в таких ситуациях платежные системы берут на
себя роль координатора совместных действий, аналитического центра и, естественно, карающей
(стабилизирующей) силы.
Роль платежных систем

Платежными системами разработаны системы разрешения споров между участниками. Ведение
претензионной работы жестко регламентировано специальной документацией, в частности Dispute
Resolution Rules для Visa International и Chargeback Guide для MasterCard International.
Комплекс технологических решений обеспечивает информационный обмен и автоматические
финансовые взаиморасчеты. Для нетривиальных случаев, требующих вмешательства платежной
системы, организован арбитражный комитет.
Системы разрешения споров в крупнейших платежных системах Visa International и MasterCard
International в принципе аналогичны по своей организации, но имеют довольно существенные
расхождения в деталях: основания представления финансовых претензий, регламенты обмена
подтверждающей документацией, временные рамки различных этапов претензионного процесса,
количество попыток урегулирования спора между банками без привлечения арбитражной комиссии и т.д.
Следует отметить, что последние изменения, внесенные Visa International в операционные правила, в
частности отмена второй финансовой претензии и сокращение временных лимитов, существенно
сблизили схемы претензионных процессов обеих систем. Учитывая количественное преобладание карт
Visa как в России, так и в мире, рассмотрим порядок урегулирования спорных вопросов на примере этой
платежной системы.

Этапы претензионного процесса

Условно полный цикл разрешения споров можно разбить на несколько этапов, представленных
на рисунке.
Началу диспута предшествует презентация (или представление) транзакции эквайрером и
соответствующее действие платежной системы - перевод суммы транзакции со счета эмитента на счет
эквайрера. Получив возмещение от платежной системы, эквайрер рассчитывается с торговой точкой.
Эмитент списывает сумму транзакции со счета держателя карты.

1 этап - запрос копии подтверждающих документов (Retrieval Request)

Держатель карты обращается в банк с требованием объяснить ему, по какой причине в его
выписку включена транзакция, которой он не совершал. Банк-эмитент направляет банку-эквайреру
запрос копии документа, подтверждающего транзакцию. Запрос выполняется эмитентом в форме
транзакции Retrieval Request специального формата, содержащего данные об оригинальной транзакции
и причине запроса. Максимальный срок ожидания ответа от эквайрера, установленный правилами, - 30
дней. Далее возможны несколько вариантов развития событий: 1) в течение установленного срока
эмитент получает от эквайрера ответ (Retrieval Request Response). Копия документа предъявляется

<< Предыдущая

стр. 41
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>