Поддельность объекта можно определить по совокупности следующих признаков:
— объект обладает характерными качествами подлинного;
— не соблюдены правила изготовления объекта (технические или правовые);
— цель изготовления или использования поддельного объекта — использование по назначению.
Для проведения транзакции по поддельной карте в ТСП злоумышленник должен представить к оплате карту, внешне похожую на настоящую, чтобы ее «поддельность» не была заметна для кассира. При этом ПИН-код злоумышленнику может не понадобиться, если он не требуется в качестве способа аутентификации держателя такой карты.
Мошенническая транзакция в банкомате может быть проведена только при условии знания злоумышленником ПИН-кода, при этом внешний вид поддельной карты не должен соответствовать оригиналу (может быть использован так называемый белый пластик), поскольку визуальная проверка подлинности карты не производится.
Из вышеизложенного следует, что при знании ПИН-кода поддельная карта будет использована в банкомате, а если ПИН-код неизвестен — то в ТСП. В обоих случаях для изготовления подделки нужны данные магнитной полосы карты — трека. Следует отметить, что в случае микропроцессорной карты для обеспечения обратной технологической совместимости карта часто содержит также и магнитную полосу. В настоящее время злоумышленники подделывают банковские карты, в основном используя существующие уязвимости карт с магнитной полосой. Также обнаружены и опубликованы уязвимости в технологии EMV, приводящие к компрометации данных карты и ПИН-кода, несанкционированной модификации параметров транзакции.
Таким образом, риск по поддельным картам можно рассматривать как сумму двух рисков: с неизвестным злоумышленнику ПИН-кодом и наличием поддельной карты, и поддельной карты с ПИН-кодом, то есть
Далее следует определить требования к СМТ при ее выборе и эксплуатации.
4.3.5. Системы мониторинга транзакций в платежной системе
Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия со стороны клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для уменьшения рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности платежной системе и должны проводиться в рамках мероприятий по управлению операционным риском в банке.
Характерной особенностью современной задачи защиты информации является комплексность защиты. Под комплексностью понимается решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). Так, MasterCard определяет следующие методы и средства защиты платежной системы от мошенничества и снижения рисков: юридические аспекты, взаимодействие участников, обучение, аналитическая работа, расследования, отчетность, мониторинг, продукты и сервисы. В смысле обеспечения защиты платежной системы от мошенничества следует говорить об инструментальной комплексности и рассматривать СМТ как один из применяемых инструментов.
Как было отмечено ранее (рис. 4.2, для проведения мошеннической транзакции необходимы компрометация данных, их использование злоумышленником и инициирование транзакции. Если эти три условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на запрос авторизации проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени).
СМТ предназначена для противодействия мошенничеству на самом последнем этапе, когда мошенническая транзакция уже инициирована и может быть завершена.
Далее сформулируем общие требования к СМТ и задачи мониторинга транзакций в платежной системе:
1. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых транзакций по банковским картам в платежной системе и принятие решений по подозрительным на предмет мошенничества транзакциям для уменьшения рисков.
2. Система мониторинга транзакций является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности платежной системы банка.
Выбор той или иной СМТ банком должен основываться на анализе рисков. Система должна использоваться для снижения финансовых потерь банка и держателей карт (в случае мониторинга эмиссии), снижения недовольства клиентов и повышения доверия к банку.
В стандарте СТО БР ИББС-1.0-2010 мониторинг информационной безопасности (ИБ) организации банковской системы РФ определяется как постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Событием мониторинга в данной терминологии является любое событие, имеющее отношение к ИБ. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели.
Исходя из определения ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», мониторинг безопасности информации представляет собой постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
По терминологии МПС под транзакцией (или операций) понимается одно из следующих определений:
— инициируемая держателем карты последовательность сообщений, вырабатываемых и передаваемых друг другу участниками системы для обслуживания держателей карт, при соблюдении свойств неделимости (должны выполняться все составляющие транзакции или не выполняться ни одна), согласованности (транзакция не нарушает корректности информации в базах данных), изолированности (отдельная транзакция не зависит от других), надежности (завершенная транзакция должна восстанавливаться после сбоя, а незавершенная — отменяться);
— единичный факт использования карты для приобретения товаров или услуг, получения наличных денежных средств или информации по счету, следствием которого является дебетование или кредитование счета клиента.
Таким образом, СМТ в платежной системе является одним из средств выявления и противодействия мошенничеству с банковскими картами.
4.3.5.1. Классификация СМТНа рисунке 4.2 приведена классификация СМТ.
По скорости реагирования СМТ предлагается подразделять на следующие классы:
1. Системы реального времени (онлайновые, on-line). Такие системы работают в реальном времени, есть возможность влиять на результат авторизации транзакции.
2. Системы псевдореального времени (псевдоонлайновые, pseudo-online, near-online). Анализ транзакций проводится в реальном времени, но невозможно влиять на результат авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции.
3. Системы отложенного режима (офлайновые, off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения.
По типу принятия решений:
1. Автоматические. Решение по транзакции принимается системой автоматически без участия человека.