Виды рисков при безналичном расчете

Размещено на http://www.allbest.ru/

Виды рисков при безналичном расчете

Сурина А.А. студент магистратуры 2 курс, факультет Управления Южный федеральный университет Россия, г. Ростов-на-Дону

Аннотация: Объектом исследования в данной статье являются виды рисков при безналичном расчете.

В статье определены основные виды рисков в современном виде. Предметом исследования является банки, клиенты и мошенники. Особое внимание в работе уделяется, различным видам мошенничества.

Ключевые слова:банк, виды мошенничества, злоумышленники, идентификация, SWOT-анализ, вишинг, фишинг.

Abstract: The object of research in this article are the types of risks in noncash settlement. The article defines the main types of risks in their modern form. The subject of the study is banks, customers and fraudsters. Special attention is paid in the work to various types of fraud.

Keywords: bank, types of fraud, intruders, identification, SWOT analysis, phishing, phishing. банк мошенничество злоумышленник идентификация

Современное общество и экономику невозможно представить без банков. Они прочно заняли свое место в нашей жизни. При этом банки и банковский бизнес являются весьма специфичным явлением. Они обеспечивают экономику необходимыми ресурсами и услугами и помимо огромного экономического значения имеют и важную социальную роль.

Банковские карты являются универсальным платежным средством, ключом к доступу к управлению банковскими счетами и позволяют их владельцам оплачивать товары и услуги в различных магазинах [1, c 6]. Эти магазины принимают карты, получают деньги, пользуются другими дополнительными услугами, и вопросы безопасности очень серьезны для банков и общества. Сегодня в процессе использования банковских карт все участники четко осознают, что злоумышленники подвергаются риску выхода из строя оборудования, технического сбоя и мошенничества [2, c 455].. Все эти риски оказывают негативное влияние на банки и клиентов. Для последнего это потеря денег, а для банка - финансовый риск и риск потери деловой репутации [3, c 89]. Все это вынуждает банки постоянно совершенствовать свои системы, чтобы минимизировать риски, связанные с банковскими картами и системой ДБО.

Подразделение банковских карт в современных условиях характеризуется множеством рисков из-за стремительного роста карточного мошенничества. Согласно полученной информации, наиболее распространенными схемами мошенничества с банковскими картами являются следующие:

-Раскрыть информацию о PIN-коде владельца карты. Это означает, например, запись PIN-кода, хранящегося вместе с картой, на карту или любой носитель (лист бумаги, записную книжку, мобильный телефон). Поэтому, если карта утеряна или украдена (за исключением сумок, кошельков), у мошенника есть и карта, и личный код;

- Дружеский обман. Используйте карту в своих собственных целях и предварительно узнайте почтовый индекс у членов семьи, близких друзей и коллег по работе. Другими словами, человек, у которого есть доступ к месту, где хранится карта памяти. Я оглянулся через плечо. Когда пароль вводится в банкомате, мошенник может узнать PIN-код владельца банковской карты, взглянув на его плечо. Затем злоумышленник крадет карту и использует ее в своих целях;

- «Ливанская петля». Или посмотри на свои плечи. Когда владелец карты загружает ее в банкомат, она застревает. В это время подходит "консультант" и рекомендует вам срочно позвонить, например, в службу поддержки клиентов. Владелец карты уходит, в течение этого периода "консультант" видит, как он вводит ПИН-код, достает карту и снимает деньги;

- Фальшивый банкомат. Мошенники проектируют и изготавливают поддельные банкоматы или переделывают старые, чтобы они выглядели как настоящие. Банкоматы расположены в самых людных местах. После ввода карты и PIN-кода на дисплее поддельного банкомата обычно появляется надпись, указывающая на то, что в банкомате нет денег или банкомат работает неправильно. К тому времени мошенник скопировал информацию об учетной записи человека и его личный идентификационный номер с магнитной полосы карты;

-Копия магнитной полосы (скимминг). Этот вид мошенничества предполагает использование специального типа устройства для считывания информации с магнитной полосы карты. Обычно они перекрывают существующие специальные клавиатуры. Законный владелец банковской карты выполняет операцию путем ввода личного идентификационного номера (PIN-кода), в ходе которой дополнительное устройство считывает и записывает информацию на магнитную полосу, то есть злоумышленник располагает необходимыми данными для дальнейшего изготовления поддельной карты и отправляет ее на магнитную полосу.

- Поддельный ПИН-ПАД. Владельцу карты может быть предложено ввести PIN-код не на реальном PIN-PAD (устройстве ввода PIN-кода), а на его имитации, которая запомнит введенный код. Такие поддельные устройства иногда устанавливаются рядом с датчиками считывания, предназначенными для прохода в помещение с банкоматом с использованием банковской карты в качестве удостоверения личности (электронного ключа).

- Кража держателя карты. Самый простой способ. Клиент снимает наличные: вор крадет;

-Фишинг (от английского Phishing). В вольном переводе "забрасывание

удочки". Термин появился для обозначения новых схем, в результате которых путем обмана становятся доступными данные банковской карты и PIN-код.

Его масштабы варьируются от крупных нападений, нацеленных на сотни жертв, до целей направленных нападений, нацеленных на небольшую группу людей. Более того, поскольку это в значительной степени зависит от тактики социальной инженерии, которая использует человеческий фактор, это является наиболее предпочтительным и распространенным типом киберпреступной атаки. Когда фишеры планируют свою атаку, они учитывают несколько факторов, включая личность цели, подлежащей атаке, средство коммуникации и технику. Что касается идентификации цели, они могут осуществить крупномасштабную атаку на конкретные организации или случайных людей, а также мелкомасштабную атаку на группу людей, о которых они ищут существенные детали, чтобы помочь им лучше спланировать тактику атаки и инструменты [4, с. 56]. Например, крупномасштабная фишинговая атака (кампания) требует более свободной тактики, в то время как таргетинг высокопоставленные лица (`фишинг с копьем') требуют более индивидуального подхода.

Средство коммуникации -- это средство, с помощью которого злоумышленник инициирует атаку. Этими средствами массовой информации могут быть веб-сайты, мессенджеры мгновенного обмена сообщениями, мобильные приложения, социальные сети, служба коротких сообщений (SMS) или служба мультимедийных сообщений (MMS), сообщения или голосовые медиа, хотя наиболее часто целевой средой является электронная почта.

Чтобы выполнить свой план, злоумышленники выбирают определенные технические и поведенческие методы атаки [4, с.96]. Примеры технических приемов включают поддельные URL-адреса, которые, то есть манипулирование вредоносными URL-адресами, чтобы они выглядели как надежные (например, путем добавления ожидаемого идентификатора в неправильную позицию URL-адреса, такую как поддомен) - и использование сокращенных ссылок, что затрудняет пользователям прогнозирование того, какой веб-сайт они посещают. Другим примером являются поддельные электронные письма, которые манипулируют адресом отправителя, чтобы выдать себя за законного пользователя. Поведенческие методы иллюстрируются социальной инженерией:тактикой убеждения или манипулирования людьми выполнить просьбу злоумышленника (например, предоставить конфиденциальную информацию). Подготовка фишинговых материалов зависит от целевых средств коммуникации [5].

Например, когда злоумышленники используют канал электронной почты, они подготавливают текст электронного письма и вредоносный элемент, такой как URL-адреса или вложения. Примечательно, что фишинговые атаки не требуют специальных знаний, поскольку фишеры могут либо разработать фишинговую атаку с нуля, либо использовать существующие ресурсы[6].

Рисунокі-Пример URL-адреса вместе с его структурой.

Как показано на рисунке 1, URL-адрес состоит из протокола, аутентификации, имени хоста, порта, пути и запроса. Они, в свою очередь, состоят из более мелких компонентов.

Имя хоста, например, состоит из поддоменов, домена и домена верхнего уровня (TLD). Только протокол и TLD строго необходимы для создания рабочего URL, хотя на практике домен также требуется. Как правило, для разрешения URL-адреса браузер использует систему доменных имен (DNS) для определения IP-адреса имени хоста, затем связывается с сервером, используя протокол и порт, он также предоставляет путь, запрос, и аутентификацию, чтобы сервер мог `найти' запрошенный ресурс. Фишер хочет, чтобы пользователи загружали страницу под контролем фишера. Для этого фишер должен для домена, который он контролирует, точно указать протокол, домен и TLD. Этот домен/ TLD может быть похож на организацию, за которую они хотят выдавать себя, но не может быть идентичным. Поддомены контролируются владельцем домена, поэтому фишер может создавать произвольные поддомены для своего домена практически без контроля. Другие элементы (аутентификация, порт, путь и запрос) могут быть проигнорированы вредоносным сервером, и, следовательно, может содержать любую синтаксически достоверную информацию, которая нужна фишеру. Ограничения, установленные для URL-адреса, означают, что домен / TLD является наиболее точным с точки зрения того, куда приведет URL-адрес, но фишер может выбрать домен, который вводит в заблуждение, или поместить элементы URL-адреса, выглядящие корректно, в другие элементы, чтобы запутать читателей.

- Вишинг (устранение неоднозначности vishing) - относится к мошенничеству, которое подразумевает использование голосовых вызовов, где цель мошенника заключается в социальных манипуляциях, чтобы обмануть жертв с целью получения финансовой выгоды.

Пользуясь доверием или утверждая, что обладает полномочиями,

мошенник обманывает жертв, чтобы они воздерживались от определенных действий или выполняли их, например, подписывали логины, одобряли

транзакции или раскрывали другую конфиденциальную информацию, такую как банковские коды [7]. Мошенник убеждает жертву действовать в соответствии с данными им инструкциями. Для достижения таких процедур они внушают большое доверие и часто действуют профессионально в социальном взаимодействии, мошенники точно знают, как выразить себя и чтоподчеркнуть, чтобы заставить жертву выполнять инструкции [7]. Подходы, используемые мошенниками, как правило, различаются, однако мошенникчасто утверждает, что что-то срочно, чтобы вызвать стресс у жертвы.

Подвергаясь воздействию стрессовых ситуаций или событий, люди более склонны принимать решения, которые менее продуманы. Затем мошенники пытаются установить некоторое доверие, заверяя жертву, что ситуация разрешится, если они будут следовать предоставленным инструкциям [8]. Мошенники часто заявляют, что они звонят из таких органов, как полиция, больницы, управление общественного здравоохранения или финансовые учреждения, такие как банки или кредитные компании (именуемые мошенничеством с полномочиями), что означает, что они используют доверие широкой общественности к таким органам, что увеличивает шансы мошенничества на преуспевайте, как отдельные личности автоматически стремятся соответствовать авторитетным цифрам. В первую очередь от таких атак страдают пожилые люди, поскольку существует общее мнение, что пожилым людям не хватает или они обладают меньшими техническими знаниями о том, как работают различные технические средства, и поэтому они менее способны защитить себя, например, от мошенничества с использованием vishing[9].

-Мошенники взламывают страницы клиентов в социальных сетях и рассылают от имени пострадавшего письма с просьбой перевести денежные средства («в долг», «на лечение родственника»), указывая данные мошенника для получения денежных средств. м. Заражение компьютера / телефона вирусным программным обеспечением при скачивании программ / приложений в интернете, которое передает данные по карте или данные для входа в систему ДБО мошенникам.

-Реклама в интернете для моментального получения налоговых вычетов, выигрышей, для получения которых сначала нужно заплатить комиссию, почтовый сбор и пр.

-Кража / утеря карт. Рядом с картой может быть написан ПИН-код, либо можно осуществлять бесконтактную оплату в торговых предприятиях до 1000 рублей без ввода ПИН-кода. т. Кража / утеря телефона. Возможность зайти в систему ДБО и совершать переводы, подтверждая их одноразовыми паролями, которые поступают на телефон (SMS-сообщение, PUSH-уведомление).

Методы биометрической аутентификации имеют ряд преимуществ по сравнению с традиционные средства аутентификации [10]. Традиционные средства основаны на информации секретные данные, известные пользователю (Personal Identification Number (PIN-код), пароль и т. д.) Или что-то еще что есть (ключи, карты и т. д.). Поэтому эти средства не они позволяют различать подлинного пользователя и самозванца, потому что самозванца достаточно обладайте объектом или информацией, которая гарантирует вам такой доступ для его передачи подлинным пользователем. Поскольку традиционные методы имеют уязвимости, возникла область биометрии, которая относится к использованию физических характеристик (лицо, радужная оболочка, отпечатки пальцев) или поведенческие (голос, подпись, режим ходьбы), называемые биометрическими идентификаторами, для автоматического распознавания людей.

Во многих приложениях высокий уровень безопасности обеспечивается различными биометрические устройства. В частности, наиболее распространены сканеры отпечатков пальцев для идентификации лиц. Отпечатки пальцев очень используются для идентификации биометрические, в основном за их способность различать человека. Характеристика отпечатков пальцев человека уникальна.

Был проведен SWOT-анализ для оценки и систематизации слабых мест в текущей конструкции банкомата. SWOT-анализ обобщил данные, предназначенные для выявления текущих проблем с оборудованием на основе распространенных методов мошенничества и идентифицируемых сбоев.[11] Выявленные проблемы при проектировании машин были отнесены к одному из четырех секторов: сильные и слабые стороны, возможности и угрозы.

Преимущества, связанные с первоначальным дизайном банкомата, усилили безопасность банкомата и общую производственную стратегию.

Выявленные недостатки (внутренний фактор) свидетельствуют о многих методах, которые создают слабое место в процессах банкомата между вводом учетных данных (карты и PIN-кода) и обработкой внутри машины. В процессах обеспечения безопасности существуют препятствия. Эти идентифицированные Слабые стороны позволили получить представление о пробелах в текущей конструкции машины и о возможных улучшениях. Замеченные пробелы в безопасности машины включали: (1) отсутствие стандартизированные процессы оповещения обо всем, что добавляется к машинам, (2) отсутствие широко принятой практики биометрии и (3) непоследовательное обслуживание персонала влияет как на финансовые центры, так и на продавцов наличных.

Выявленные возможности (внешние факторы) позволили осознать необходимость улучшения текущей конструкции машины. Производители банкоматов смогут применить эти изменения.

В таблице 4 обобщен SWOT-анализ, показывающий области, вызывающие наибольшую озабоченность [12].

Таблица 1- SWOT-анализ

Слабые стороны и угрозы, которые необходимо учитывать для перехода на более совершенную систему, учитывающую потенциал сокращения случаев скимминга, что приведет к повышению качества обслуживания финансовых учреждений и потребителей. Выявленные угрозы (внешний фактор) демонстрируют негативные последствия в рамках текущей конструкции машины, поскольку она не развивается постоянно, чтобы конкретно реагировать к практике скимминга [13]. Риски, связанные с сохранением оригинальной конструкции машины, по--прежнему будут способствовать успешному проведению мероприятий по скиммингу, что приведет к увеличению затрат для финансовых учреждений и потребителей.

В настоящее время подавляющее большинство расчетов между организациями осуществляется в безналичном порядке, путем перечисления средств со счета плательщика на счет их получателя. В этом вопросе большое значение имеет выбор наиболее подходящей стратегии. Основной целью такого управления банковскими рисками служит минимизация либо ограничение возникновения возможности финансовых потерь. Важную роль в развитии безналичных расчетов могут играть негосударственные расчетные и клиринговые организации система прямых расчетов кредитных организаций через взаимные корреспондентские счета.

Список литературы:

1. Банковское дело. Экспресс-курс: учеб. пособие / О.И. Лаврушин [и др.]. - 4-е изд., стер. - М.: КноРус, 2011. - 348 с.

2. Банковское дело: учебник / под ред. д-ра экон. наук, проф. Г.Г. Коробовой. - изд. с изм. - М.: Экономистъ, 2010. - 766 с.

3. Усоскин В.М. Платежные системы: эволюция и риск-менеджмент // Международные банковские операции. -- 2006. -- № 3. -- С. 56-69.43. Шмелев В.В. Международные банковские расчеты. -- М.: МГИМО -- Университет, 2006. -- 136 с.

4. Mohamed Al shamouby, Furkan Alaca, and Sonia Chiasson. Why phishing still works: User strategies for combating phishing attacks. International Journal of Human-Computer Studies, 82:69-82, 2015.

5. LOGOPHILIA LIMITED. Phishing. https://wordspy.com/index.php? word=phishing, Aug. 2003. Accessed Nov. 2022.

6. Marc Rader and Shawon Rahman. Exploring historical and emerging phishing techniques and mitigating the associated security risks. CoRR, abs/1512.00082, 2015.

7. 7 Daniel Jampen, Gurkan G " ur, Thomas Sutter, and Bernhard Tellenbach. Don't " click: towards an effective anti-phishing training. A comparative literature review. Human-centric Computing and Information Sciences, 10:33, 2020.

8. WHO. Beware of criminals pretending to be WHO. https://www.who.int/ about/communications/cyber-security, 2020. Accessed Nov. 2022.

9. Электронные деньги и мобильные платежи. Энциклопедия / кол. авторов. -- М.: Кнорус: ЦИПСиР. 2009. -- 368 с.

10. CONTRERAS, Rodrigo Colnago. Detec?ao de impressoes digitais fraudulentas utilizando padroes mapeados localmente em multiescala. 2015. 87 f. Disserta?ao (mestrado) - Universidade Estadual Paulista Julio de Mesquita Filho, Instituto de Biociencias, Letras e Ciencias Exatas, 2015

11. IN-SCALE https://in-scale.ru/blog/swot-analiz/. Accessed Nov. 2022.

12. CONTRERAS, Rodrigo Colnago. Detec?ao de impressoes digitais fraudulentas utilizando padroes mapeados localmente em multiescala. 2015. 87 f. Disserta?ao (mestrado) - Universidade Estadual Paulista Julio de Mesquita Filho, Instituto de Biociencias, Letras e Ciencias Exatas, 2015.

13. Усоскин В.М. Банковские пластиковые карточки. -- М.: ИПЦ «Вазар-Ферро», 1995. -- 144 с.

Размещено на Allbest.ru