Analiza mijloacelor de probă a tranzacțiilor bancare

Cu popularitatea în creștere de Internet banking și plăți online tot mai acută devine problema de fraudă în acest domeniu. Scopul atacatorilor este de a obtine detaliile unui card de credit sau, în cazul de conectare online banking și parola pentru a accesa contul. detalii de carduri bancare utilizate în operațiuni fără prezentarea cardului este în principal de a plăti pentru bunuri în magazine. Până atunci, unele bănci pentru astfel de tranzacții utilizate numai CVV2-cod. imprimate pe hartă. Cunoașterea acestui cod, de fapt, nu înseamnă că cumpărătorul este detinatorul real al cardului. Pentru a crește nivelul de securitate băncile au folosit parole o singură dată, activă numai pentru o singură tranzacție. Ca rezultat, atacatorii au început să utilizeze o mai mare a metodelor de interceptare și spoofing detaliile tranzacțiilor efectuate, mai degrabă decât să urmărească propriile lor detaliile tranzacției furate. În punerea în aplicare a fraudei, este, de asemenea, o parte importantă a platformei de tranzacție.

Atacatorii de frauda prin diverse metode, cum ar fi „omul în mijloc» ( "Man-in-the-middle") și „omul în browser» ( "Man-in-the-Browser"), printr-un site-uri de phishing fals, reemite Sim- cărți, etc.

Ce băncile utilizează pentru a minimiza riscul de fraudă?

Unele dintre ele ca un factor de autentificare suplimentar folosind o parolă permanentă. Utilizatorul setează parola o dată (pentru înregistrare) și în comisia fiecărei plăți on-line intră în numele său. Cu toate acestea, în realitate, această metodă de protecție a fost ineficientă. Deoarece parola este neschimbat de la o operație la alta, este suficient pentru a fura o dată pentru toate tranzacțiile frauduloase. Atacatorii au învățat să facă acest lucru prin utilizarea software-ului antivirus. Parola poate fi obținută de la calculatorul victimei troian clic de stocare pe tastatură (keylogger) sau scrie date din formulare web (formular hapsân) sau care prezintă o potențială victimă a unui site fals (magazin online), care culege informații de card (phishing). Mai multe moduri.

Sistemele de plăți internaționale (IPS), precum și băncile sunt îngrijorați cu privire la nivelul de securitate tranzacției. O bună dovadă în acest sens sunt sistemul de tranzacționare de confirmare „Verified by Visa“ si „MasterCard SecureCode“, bazat pe tehnologia 3D Secure. O caracteristică specială a acestei tehnologii confirmă tranzacția este în proces de confirmare a faptului că implicat terț (de la 3D - 3 domenii), și anume în plus față de banca cumpărătorului (emitentul) și banca vânzătorului (dobânditorului) MPS este implicată în autentificare. De fapt, funcțiile de bază ale CIG aici - găsi banca emitentă și verificarea că clientul serviciul 3D Secure, precum și colecția de povestiri de autentificare a clientului. Important în această tehnologie - transferul de responsabilitate de la banca achizitoare la banca emitentă, ca și în acest caz, este acesta din urmă permite ( „Semne“) tranzacție. La rândul său, un mijloc de confirmare a tranzacției nu depinde de CIG și poate fi orice.

Ca un mijloc de protecție împotriva tranzacțiilor frauduloase ale diverselor soluții oferite autentificare suplimentară clienților băncii la plata prin Internet (confirma tranzacțiile bancare de către client). Banca oferă clienților săi o varietate de căi de atac, variind de la SMS-informații și cartele de reîncărcare și se termină kriptokalkulyatorami hardware costisitoare și parola generatoare de o singură dată. Până în prezent, „piață“ oferă următoarele instrumente:

SMS-urile cu parole unice

Generatoare autonome Coduri de unică folosință

cititori PAC EMV

aplicații mobile (software kriptokalkulyator)

Aplicații mobile folosind QR-code

cartele răzuibile, etc.

Analiza mijloacelor de probă a tranzacțiilor bancare

Cele mai utilizate pe scară largă în rândul băncilor au primit SMS-uri de notificare. Metoda constă în faptul că atunci când o confirmare a clientului a tranzacției pe Internet de pe dispozitivul mobil primi SMS care conține o singură dată parola (OTP), pe care trebuie să apelați pentru a confirma.

Generatoare Hardware coduri de unică folosință sunt soluții mai sigure, deoarece fără dezavantaje inerente SMS-informații. Principalul dezavantaj al acestei soluții, în plus față de costul relativ ridicat (aproximativ 400 de ruble.), - absența legării cod unic pentru a face tranzacții, ceea ce permite înlocuirea ordinului de plată prin utilizarea unui site fictiv.

Hardware kriptokalkulyatory una dintre cele mai sigure soluții. Acest dispozitiv elimină posibilitatea de orice substituire. Cu toate acestea, în afară de prețul ridicat (700 de ruble.), Această soluție necesită introducerea manuală a detaliilor în dispozitivul client în comisia fiecărei tranzacții, care, desigur, va provoca disconfort clientului.

Un alt tip de mijloace de sine stătătoare de autentificare - aceasta carte de cititori care acceptă tehnologia EMV PAC. Acestea sunt caracterizate de preț relativ scăzut (în jur de 500 de ruble.) Și un nivel ridicat de securitate. nepersonalizate cititor de card în sine. De fapt, generarea de cod a fost EMV-cip încorporat într-un card de plastic al clientului. Pentru a introduce informații, și de ieșire codul finit utilizează un cititor ieftin. Această tehnologie este deja utilizat de către unele organizații de credit rusești.

Codurile de verificare generate de tehnologia EMV PAC la marginea băncii sunt verificate cu ajutorul software specializat. Acest software interacționează cu hardware-ul de stocare protejate (HSM), care stochează chei secrete carte de EMV folosit pentru a calcula simetrice parola și verificare coduri o singură dată. Particularitatea acestei tehnologii - protecția numai chipovat carduri. Cardurile cu benzi magnetice vor rămâne vulnerabile.

Principalul avantaj al token-uri optice înainte de kriptokalkulyatorami nu este nevoie să introduceți manual datele. Toate informațiile cu privire la ordinul de plată este citită de pe un ecran de computer cu un senzor optic, built-in semn. După introducerea detaliile operațiunii de pe ecranul computerului afișează un cod de cod de confirmare și pâlpâire, în care datele codificate la token-ul. Citindu-le, display-uri simbolism ecranul încorporat, și detalii ale codului de răspuns decodat, calculat cu utilizarea de recuzită. Utilizatorul validează detalii și introduce codul de răspuns. Principalul dezavantaj al acestor decizii - costul lor ridicat (de la 1500 rub.).

O altă soluție, folosind o nouă generație de QR-code, - tehnologia VASCO CrontoSign. QR-code aici este o matrice de culoare criptografic care conține detalii ale ordinului de plată. VASCO oferă atât o soluție software (aplicație mobilă), și hardware - DIGIPASS 760.

Deoarece soluțiile bazate pe hardware sunt adesea scumpe, și software-ul au un nivel scăzut de securitate, unele bănci oferă clienților încă o cartelă de reîncărcare cu o listă de parole unice.

Ce este bun, ei nu depind de orice factori externi și au un cost relativ scăzut (uneori, clientul este gratuit). Dar conțin un număr limitat de parole (în majoritatea cazurilor - 112), care ar avea nevoie de utilizator activ de călătorii Internet banking constant la sucursală a unei bănci. Desigur, puteți lua mai multe. Prin urmare, principalul dezavantaj este faptul că parolele one-time nu sunt legate de operațiunea. Frauda atacator poate trimite clientul la un site fals și schimba detaliile de plată sau solicitați următoarea parolă o singură dată de numărul din listă, referindu-se la desincronizat cu serverul. În acest din urmă caz, clientul va face o plată reală, dar în urma unei astfel de plăți trebuie să fie frauduloase.

Analiza mijloacelor de probă a tranzacțiilor bancare

Analiza mijloacelor de probă a tranzacțiilor bancare

În plus față de tehnicile deja descrise în rezolvarea problemelor de fraudă pot ajuta clienții tehnologie de protecție proactivă. Aceste tehnologii sunt utilizate într-o companie străină produse Trusteer în produsele „Kaspersky Lab“. Acestea oferă banca informații cu privire la riscul de fraudă de către contul de client, istoricul datelor de client de compromis, și, de asemenea, permite clientului pentru a evita furtul și înlocuirea datelor în timpul tranzacției. Modulul client al acestui tip de soluție este un fel de „anti-virus“ pentru browser-ul de verificare site-ul online banking, care protejează detaliile ferestrelor de intrare și așa mai departe. D. O astfel de tehnologie de protecție, desigur, nu poate înlocui tehnologia de verificare tranzacție. Dar utilizarea băncii și client, în același timp, acest tip de soluții se va reduce riscul de fraudă în online banking și plăți on-line la un nivel minim.