А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

Безопасность карточного бизнеса : бизнес-энциклопедия

Автор:

А. Алексанов

Издательство:

Московская финансово-промышленная академия; ЦИПСиР

Жанр:

О бизнесе популярно

Год:

2012

ISBN:

978-5-4257-0018-6

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Безопасность карточного бизнеса : бизнес-энциклопедия"

Описание и краткое содержание "Безопасность карточного бизнеса : бизнес-энциклопедия" читать бесплатно онлайн.

В течение нескольких последних лет зафиксированы многочисленные случаи компрометации данных магнитной полосы карты в Таиланде, Тайване, Шри-Ланке, Индонезии, Малайзии, Гонконге, Сингапуре.

Несколько фактов проведения мошеннических операций в некоторой стране или группе стран могут свидетельствовать о единой точке компрометации — это может быть терминальное устройство, торговое предприятие, эквайрер, процессинговый центр. Часто бывает сложно быстро установить точные сроки и выявить точку компрометации. Например, уведомление от МПС может содержать информацию о масштабной компрометации данных в некоторый промежуток времени в крупном процессинговом центре (ПЦ), при этом банку рекомендуется предпринять меры по ограничению потерь по своим картам. В таких случаях банк обычно осуществляет блокировку скомпрометированных карт и повторный выпуск их с другими номерами за свой счет. Однако может оказаться, что временной интервал компрометации более длительный. В результате банк сталкивается с проведением мошеннических операций по картам, бывшим в данном ПЦ в другое время.

В течение последних нескольких лет действуют мошеннические схемы в Турции и Украине. В Турции выявлен ряд мошеннических ТСП, где держателя карты просят ввести ПИН-код для проведения операции покупки или получения наличных в этом ТСП. Операция часто завершается неудачно, однако злоумышленники осуществляют несанкционированное копирование содержимого магнитной полосы карты и подсматривают ПИН-код. Затем проводятся мошеннические операции получения наличных денежных средств в банкоматах Турции.

Как минимум с конца 2004 г. известно о существовании мошеннической схемы, связанной с операциями в банкоматах Украины. В результате использования держателем своей карты в банкомате в Украине высок риск компрометации данных магнитной полосы карты и ПИН-кода. Через некоторое время мошенники используют поддельные карты для проведения операций в банкоматах в различных странах, таких как США, Эстония, Египет, Аргентина, Тунис, Перу. Временной интервал между компрометацией и использованием подделки, как показывает практика, часто не превышает одного года.

В СМТ на основе анализа подобных выявляемых схем необходимо создать правила анализа транзакций, отслеживающие использование карт в регионах с высокой вероятностью компрометации данных (и ПИН-кодов). Если затем карта обнаруживается в регионе предполагаемого использования поддельной карты, то происходит срабатывание правила и, в зависимости от его настройки, могут быть установлены ограничения по операциям в автоматическом режиме.

В сети Интернет существует множество сервисов, предоставляющих услуги, оплата за которые может осуществляться по реквизитам банковской карты (например, PayPal, AOL, iTunes). При этом для проверки действительности карты при подписке на сервисы осуществляется операция на небольшую сумму по номеру карты и сроку действия. В случае успеха процесс регистрации и подписки продолжается.

Злоумышленники могут воспользоваться такими сервисами для проверки действительности карт, реквизиты или данные которых им удалось получить. Такое тестирование карты обычно называют «пробивкой» или «прозвоном». Возможны следующие сценарии поведения злоумышленника.

1. Данные магнитной полосы или реквизиты карты скомпрометированы. Проводится несанкционированная операция «пробивки» номера карты и срока действия для проверки ее статуса. В случае успеха реквизиты используются для проведения операций без присутствия карты (например, в Интернете) либо для изготовления поддельной карты для покупок в ТСП в случае наличия данных магнитной полосы.

2. Данные магнитной полосы скомпрометированы. Изготавливается поддельная карта для проведения операций в ТСП. Проводятся операции в ТСП и «пробивки» для постоянного контроля действительности карты.

Следует отметить, что в последнее время «пробивка» используется мошенниками для проверки статуса карт со скомпрометированными данными магнитной полосы и/или ПИН-кодом.

Практика выявления точек «пробивки» позволяет формировать в СМТ списки терминалов и эквайреров, по которым могут осуществляться несанкционированные операции проверки статуса карт. Правила анализа транзакций по точкам «пробивки» позволяют выявлять как факты компрометации данных, так и подбор номеров карт и мошенническое тестирование заблокированных по причине компрометации карт.

В области противодействия мошенничеству в платежной системе банковских карт (ПСБК) оценка рисков может быть осуществлена количественно, поскольку мошенничество в ПСБК всегда связано с несанкционированными операциями по банковскому счету с использованием банковской карты как инструмента доступа к нему. Количественная оценка возможна на основе собираемой статистики по фактам компрометация данных платежных карт и мошенничеству в ПСБК. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков. Система мониторинга транзакций (СМТ) является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК.

В зависимости от того, в каких технических условиях проходит работа сотрудников, которые имеют доступ к информации о клиентах и их картах, способы защиты персональных рабочих компьютеров могут и должны быть различными. К техническим условиям мы относим в первую очередь способы защиты периметра информационной системы (набор инструментов, поставщик решений, внутренние регламенты). При этом высокий статус вендоров решений по безопасности может создавать впечатление, что все надежно защищено, но на практике ситуация выглядит иначе. Часто любой из сотрудников банка имеет физическую возможность войти на любой компьютер под своей учетной записью. Поскольку не все сотрудники хранят свои служебные документы на сетевых дисках, где им положено быть, или хотя бы в своем профиле, а на локальных дисках в общедоступных папках, то к этим документам потенциально имеют доступ все сотрудники. Конечно, можно просто запретить сотрудникам внутренним приказом хранить документы на локальных дисках и уповать на их добросовестность. Но как быть, если в открытом виде хранятся не только документы, а еще и файлы конфигураций или файл «мои пароли. txt»? Чем это грозит? Как это учитывать, если доступ к очень важным системам дается по связке «логин + пароль» с привязкой к статическому IP-адресу? Опять издавать приказы и надеяться, что их будут строго выполнять?

Подходы к решению задачи защиты рабочих станций могут быть разными, но большинство специалистов-практиков склоняются к стандартным способам технической реализации. Например, посредством такой утилиты Windows, как «Объект групповой политики» (GPO — Group Policy Object), можно принудительно закрыть другим сотрудникам возможность входа на компьютеры сотрудников, которые работают с данными клиентов. При этом надо учитывать, что USB-токены не являются панацеей (как в данном случае, так и в случае использования их при проведении платежей). Возможность туннелировать трафик USB на компьютер злоумышленника остается всегда, пока сам токен включен в компьютер, и не секрет, что многие специалисты просто оставляют ключ в USB-порту на весь рабочий день.

Следующая важная мера — программное обеспечение, не используемое на компьютере, должно быть удалено или отключено, таким образом будет закрыто множество уязвимых мест[83].

Многое из того, что следовало бы сделать, чтобы максимально (полностью не получится никогда) обезопасить рабочие станции сотрудников, можно придумать и самому, для этого всего лишь необходимо исходить из принципа «минимальных привилегий» пользователя для организации доступа, а также здравого смысла во время технической реализации. Использовать настройки поумолчанию не рекомендуется никогда, и это не зависит от того, к чему применяется данное утверждение. Если есть техническая возможность поменять в конфигурационных файлах порты — сделайте это (например, на продакшн-серверах SSH перемещается с 22-го порта на 2002, если он не занят), если сотрудники поддержки могут дойти до компьютера пользователя, например, работают в одном офисе — на компьютере пользователя можно как минимум включить встроенный файрвол на блокировку всех входящих соединений без исключения. Почему без исключений? Да просто потому, что техническая возможность ICMP-туннеля[84] на компьютер жертвы, т. е. сотрудника, также есть, поэтому, не закрыв пресловутый пинг[85] из-за возможности мониторить, включен ли компьютер (или еще хуже — сервер), может обернуться открытым шеллом[86] с возможностью полного управления с компьютера злоумышленника. Что уж говорить про другие незакрытые возможности удаленного воздействия. Можно также использовать уже проверенные временем и постоянно дорабатываемые международные Best practice, которые всегда можно найти на сайте CIS (www.cisemrityorg), причем не только для Windows всех мастей, но и сетевого оборудования, веб-серверов, UNIX, Apple, Check-Point, Oracle и многое другое, даже для прикладного ПО, например Firefox или Opera. Поскольку все приведенные на сайте рекомендации достаточно хорошо и полно описаны, думается, нет смысла их дублировать.