Безопасность в платежной сфере: что было и к чему готовиться?
Журнал "ПЛАС" выяснил у экспертов в сфере безопасности, какими событиями ознаменовался 2017 г. и что ждать от наступившего 2018 г.
2017 год был очень насыщенным и в плане событий безопасности платежных технологий. А поскольку на него пришелся памятный юбилей - с момента установки первого в мире банкомата прошло 50 лет, - хотелось бы начать с двух основных тенденций, связанных с атаками на эти устройства самообслуживания.
По мнению независимого эксперта Николая Пятиизбянцева, количество случаев установки скимминговых устройств в России продолжает снижаться, проблема скимминга практически отошла на второй план и стала незначительной. Связано это в первую очередь с требованием ЦБ РФ выпускать с 2015 года исключительно микропроцессорные карты, также крупные российские банки-эквайреры в большом количестве оснастили свои банкоматные сети устройствами активного антискимминга.
Напротив, серьезную проблему продолжают составлять атаки, направленные на несанкционированную выдачу наличных банкоматами: прямой диспенс - либо с использованием вредоносного программного обеспечения, либо аппаратными средствами типа black box. Особенно тревожным было сообщение от одного из ведущих вендоров о появлении новой разновидности black box атаки с использованием? эндоскопа. По мнению экспертов, в настоящий момент такая атака может нейтрализовать любые защитные средства. Возможно, в 2018 году мы столкнемся с массовым проявлением данной атаки.
Использование преступниками вредоносного программного обеспечения для выдачи наличных денежных средств также несколько изменилось. Если на первоначальном этапе заражение банкоматов, как правило, осуществлялось локально, то в настоящий момент это делается в большинстве случаев удаленно, путем захвата контроля над компьютером, с которого осуществляется штатный удаленный контроль над банкоматами. Данная тенденция сохранится и в 2018 году. С одной стороны, это связано с тем, что имеет место общий тренд смещения фокуса атаки на банковские системы. После такого проникновения за защищаемый периметр злоумышленнику достаточно получить управление над компьютером, удаленно управляющим банкоматами, в результате возможно заражение большого количества устройств и как следствие, большая экономическая эффективность атаки. С другой стороны, в настоящий момент отсутствуют какие-либо требования по средствам удаленного управления ATM. Инструментарий, предлагаемый производителями банкоматов для банков, все еще достаточно дорог. Поэтому многие для данной цели используют более дешевые решения типа R-admin, active directory и т. п. Данные решения позволяют выполнять задачи по удаленному управлению банкоматами, но снижают уровень их защищенности. Вероятно, тенденция атак на банки и процессинговые центры в 2018 году усилится, так как такие атаки становятся проще и выгоднее.
В 2017 году произошли значимые события в области уголовного права, которые, безусловно, скажутся на 2018-м. В уходящем 2017 году все большее распространение получила технология токенизации: Apple/Samsung/Android Pay. В связи с положительными моментами данных сервисов появились и случаи их мошеннического использования. В настоящий момент все они связаны с несанкционированной регистрацией чужой карты в приложении. В результате чего злоумышленник получает в свое распоряжение полноценное электронное средство платежа. Учитывая, что верификация держателя в этом случае происходит не по ПИН-коду, который выдал банк или выбрал легитимный держатель, а по ПИН-коду, выбранному злоумышленником на своем мобильном устройстве, или же по его отпечатку пальца, то мошенник пользуется данным средством без ограничений.
По мнению одного из ведущих экспертов в области безопасности, в некоторых вопросах токенизация, используемая в сервисах Pays, - шаг назад по сравнению с EMV-технологией с точки зрении рисков. Уже сейчас существуют теоретические разработки по перехвату и несанкционированному использованию токенов, и, возможно, вскоре мы на практике столкнемся с результатами их практической реализации, которые по понятным причинам не заставят себя ждать.
В 2017 году также произошли значимые события в области уголовного права, которые, безусловно, скажутся в 2018-м. С 1 января 2018 года вступает в силу статья 274.1. УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации". Учитывая, что Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" относит к субъектам КИИ информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в том числе в банковской сфере и иных сферах финансового рынка, данная статья, безусловно, коснется противоправных действий в платежных технологиях и кибератак на банковские системы.
Очень важным является Постановление Пленума Верховного суда Российской Федерации от 30 ноября 2017 г. N 48 "О судебной практике по делам о мошенничестве, присвоении и растрате". Из положительного можно отметить решение считать момент изъятия денежных средств с банковского счета их владельца моментом окончания преступления. Это будет способствовать возбуждению уголовных дел по месту хищения безналичных денежных средств.
Ранее материалы по таким фактам пересылались "по территориальности", и переписка продолжалась месяцами без возбуждения и расследования уголовных дел. Есть и решение, которое, напротив, может существенно затруднить процесс возбуждения уголовных дел. Речь идет о решении квалифицировать хищение от способа приготовления: конфиденциальная информация передана злоумышленнику самим держателем платежной карты; путем создания поддельных сайтов, использования электронной почты; использование чужих учетных данных без вмешательства в штатный процесс либо с вмешательством, которое нарушает штатный процесс. Дело в том, что для этого необходимо будет предварительно установить, каким образом осуществлялось приготовление к хищению. А сделать это без возбужденного уголовного дела будет значительно труднее.
Источник: https://www.plusworld.ru/