- •Противодействие мошенничеству в банковской сфере с применением высоких технологий
- •Реферат
- •Содержание
- •Обозначения и сокращения
- •Введение
- •1 Обзор информационной безопасности банка
- •1.1 Нормативные и правовые документы соответствующие отраслевым и международным стандартам
- •Отраслевые стандарты
- •1.2 Программно-аппаратное обеспечение и его соответствие отраслевым стандартам
- •1.3 Виды угроз для банков
- •Выводы по главе
- •2 Угрозы информационной безопасности для банков
- •2.1 Банковские трояны
- •Банковские трояны на смартфонах
- •Троян Eurograbber
- •Банковский троян Cridex/Dapato распространяется через WordPress-сайты
- •Троян для Android подслушивает номера кредитных карт
- •Троян oddjob перехватывает банковские сессии
- •Троян iceix и перенаправление телефонных вызовов
- •Троян-вымогатель Reveton обзавёлся звуковыми эффектами
- •2.2 Дистанционное банковское обслуживание: проблемы функционирования в российской банковской практике
- •Системы интернет-трейдинга и брокерского обслуживания под угрозой
- •2.3 Фишинг
- •2.4 Кардинг
- •Кардинг и его виды
- •Скимминг
- •Тепловизоры помогут скиммерам в чтении пин-кодов
- •Шимминг – новый вид мошенничества
- •Найден способ обхода методов авторизации чиповых банковских карт
- •Социальная инженерия при фишинге
- •Объединенные кардеры
- •2.5 Учет и анализ существующих рисков в дистанционном банковском обслуживании
- •Выводы по главе
- •3 Противодействие современным угрозам в банковской сфере
- •3.1 Антискимминг
- •Методы противодействия
- •Активное антискимминговое устройство CardGuard
- •3.2 Защита банкоматов и pos терминалов от троянов
- •3.3 Антифишинг Борьба с фишингом и фармингом
- •3.4 Рекомендации для пользователей
- •Общие рекомендации
- •Рекомендации при совершении операций с банковской картой в банкомате
- •Рекомендации при использовании банковской карты для безналичной оплаты товаров и услуг
- •Рекомендации при совершении операций с банковской картой через сеть Интернет
- •3.5 Юридическая защита держателей банковских карт
- •Проактивная защита в сети интернет для пользователей
- •3.6 Рекомендации для банка Обязательные средства защиты на предприятии
- •Мероприятия, позволяющие влиять на уровень существующих рисков
- •Организационные мероприятия
- •Технические мероприятия
- •Краткие выводы
- •Дистанционное банковское обслуживание
- •3.6 Интернет-банкинг: признаки защищенности
- •Надежный банкинг с помощью антилоггера
- •Выводы по главе
- •Заключение
- •Список использованных источников
- •Приложение а список прикладного программного обеспечения
- •Приложение b список сетевого программного обеспечения
Шимминг – новый вид мошенничества
Мошенники изобретают новые способы красть данные кредитных карт. На смену скиммингу, с которым службы безопасности банков бороться уже более или менее научились, приходит новый вид мошенничества – шимминг. Об этом рассказал специалист Cisco Systems Джейми Хири в блоге Cisco Security Expert [28].
Скимминговые устройства – довольно громоздкие накладки на клавиатуру и кардридер банкомата, поэтому внимательный человек скорее всего сможет распознать такой аппарат. Шимминговая аппаратура имеет толщину всего одну десятую миллиметра, а это в два раза тоньше человеческого волоса. Это устройство заметить снаружи невозможно, введению карты в картридер оно также не мешает, поэтому клиент скорее всего о краже данных не заподозрит.
Случаи шимминга уже зафиксированы в Европе, в России же случаев «нового» мошенничества, по официальным данным, пока не было.
Кроме того, специалисты полагают, что в силу размера и технологических особенностей шим-устройств, стоить они будут достаточно дорого, поэтому в России вряд ли будут широко использоваться.
Защититься от шимминга непросто, потому что его непросто обнаружить. Эксперты дают ценный совет – чтобы не потерять деньги, обзаводитесь чипованными картами. Чипованная карта (от сленгового англ. «chip» - «микросхема») – это банковская карта, снабженная специальным микропроцессором. Скопировать информацию с чипа очень затруднительно, в тоже время банкомат производит авторизацию именно по данным чипа [28].
Найден способ обхода методов авторизации чиповых банковских карт
Исследователи из Кембриджского университета обнаружили фундаментальную уязвимость в протоколе EMV (Europay, MasterCard, Visa), который лежит в основе процесса авторизации дебетовых и кредитных карт, выпущенных по технологии “chip-and-PIN”.
В итоге было создано устройство, способное перехватывать обмен данными между картой и терминалом и посылать терминалу сигнал о том, что процесс авторизации пройден. В ходе испытаний устройства ученым удалось авторизовать чиповые карты шести эмитентов без необходимости ввода правильного PIN. Несмотря на то, что вводить сам четырехзначный PIN все же пришлось, терминал принимал любое сочетание цифр.
По словам авторов работы, для создания такого устройства требуются лишь самые элементарные инженерные навыки и базовые навыки программирования.
Дело в том, что большинство транзакций требует авторизации по PIN. Клиент вводит идентификационный номер в устройство ввода, после чего тот отсылается на карту и сравнивается со значением PIN, хранящимся в ее чипе. Если PIN-коды совпадают, карта отсылает терминалу код подтверждения правильности (0x9000), завершая тем самым процедуру проверки подлинности.
Исследователям удалось создать устройство “man-in-the-middle”, которое считывает данные с карты и в нужное время посылает терминалу код подтверждения 0x9000, причем делает это вне зависимости от того, какой PIN был введен.
Чтобы продемонстрировать работоспособность своей схемы, исследователи вставили подлинную чиповую карту в кард-ридер AlcorMicro, который был соединен с ноутбуком, выполняющим скрипт на языке Python. Сам ноутбук через последовательный порт был присоединен к программируемой плате Spartan-3E StarterKit, используемой для конвертации интерфейсов банковской карты и ПК.
Плата, в свою очередь, была соединена с интерфейсным чипом Maxim 1740, который был связан тонкими проводами с поддельной банковской картой, которую исследователи вставили в терминал.
После того, как карта была вставлена, скрипт на ноутбуке перехватил транзакцию, подавил отправленный терминалом запрос на подтверждение PIN и выдал в ответ код подтверждения 0x9000.
По словам авторов работы, злоумышленники могут пронести аналогичный аппаратно-программный комплекс в рюкзаке, а провода спрятать в рукаве. Это даст им возможность использовать для совершения покупок или перевода денег краденные действительные карты [29]. Подробнее об исследовании уязвимости можно прочитать в опубликованной авторами [30].