Анализ безопасности электронных платежных систем

2) Фишинговый сайт можно отличить от обычного: по сложносоставленному адресу, отсутствию отзывов, очень дешёвым товарам и услугам. Всё это должно насторожить и привести к отказу от покупки на данном ресурсе.

3) Необходимо установить и периодически обновлять антивирус. Также рекомендуется регулярно обновлять операционную систему. Делается это для того, чтобы вирусы не смогли обосноваться в компьютере. При обновлении системы разработчик дорабатывает ошибки системы и устраняет лазейки для вирусов.

4) Постарайтесь не использовать для покупок чужие компьютеры, не будучи уверенными в его безопасности. Особенно это касается интернет-кафе и компьютеров общего доступа.

5) При введении данных карты обратите внимание на адресную строку браузера. Конфиденциальная финансовая информация должна передаваться по защищенному соединению. В этом случае вы увидите, что адресная строка подсвечивается желтым цветом, присутствует значок замка, а адрес в обязательном порядке начинается с префикса https://. Если же вы щелкните мышкой по значку замка, браузер предоставит информацию об узле.

6) По возможности, необходимо запоминать часто используемые адреса интернет-магазинов и своего интернет-банка. Дело в том, что мошенники могут заменить всего 1-2 символа, а вы попадете на совершенно другой сайт.

7) Откройте карточку для оплаты в интернете. На неё переводите только ту сумму, которая будет необходима вам в тот или иной момент. Таким образом, оплачивая покупку вы исключаете снятие большей суммы денег.

8) Если оплата требует перехода по ссылкам, копируйте их в буфер обмена, не кликая по ним мышкой. Далее вставьте в адресную строку браузера. Связано это с тем, что показываться может одна ссылка, а при нажатии откроется другая, ведущая на мошеннический сайт.

9) Подключите услугу SMS-информирования, чтобы всегда быть в курсе состояния своего счёта.

10) Если вам по какой-то причине необходимо переслать фотографию банковской карты через интернет (почта, skype и проч.) помните о том, что существуют программы, которые ищут и распознают подобные фотографии. А значит ваши данные могут попасть к мошенникам.

2.2 Безопасность заочных карточных транзакций

Современная система информационной безопасности заочных транзакций должна позволять клиенту использовать все каналы для передачи информации, а специалистам по информационной безопасности анализировать информационные потоки, идущие по этим каналам. При этом реализация комплексной политики информационной безопасности невозможна при наличии хотя бы одного неконтролируемого службой безопасности канала потенциальных утечек.

Украденные и потерянные карты.

Самый старый и естественный вид мошенничества - держатель карты теряет карту сам либо ее у него крадут. До момента обнаружения пропажи и блокировки карты в системе проходит время, которым пользуются мошенники, в руках которых оказалась карта.

Долгое время этот вид мошенничества являлся самым популярным. Сейчас в Европе по данным крупнейших платежных систем на него приходится 25-30 % всего объема фрода.

Неполученные карты.

Карты, украденные во время их пересылки из банка клиенту. Вся ответственность за мошенничество в этом случае лежит на эмитенте. По данным крупнейших платежных систем на этот вид мошенничества приходится 3,0-5,5 % всего объема фрода.

Поддельные карты.

Этот вид мошенничества состоит в том, что мошеннику удается изготовить карту с реквизитами, совпадающими с реквизитами реальной карты настолько, что по поддельной карте можно выполнять операции, выдавая ее за реальную карту.

Подделка карт начиналась с технологии срезанных цифр карты и перестановки их местами. Потом стало практиковаться переэмбоссирование номера карты. С появлением и распространением электронных терминалов основным способом подделки карт стал скимминг (sкimming)-- перенос данных магнитной полосы реальной карты на другую карту, которую мошенники изготавливают сами или получают в результате кражи заготовок карт в банке или производящем заготовки карт предприятии.

Данные реальной карты мошенники чаще всего получают с помощью недобросовестного персонала магазина, который незаметно для держателя карты копирует содержимое магнитной дорожки карты с использованием специального устройства, имеющего считыватель магнитной полосы и способного хранить информацию о нескольких десятках карт.

Саrd nоt рrеsеnt-фрод.

По определению СNР-транзакция (саrd nоt рrеsеnt) представляет собой операцию покупки по пластиковой карте, в момент совершения которой клиент лично не присутствует в точке продажи (торговом предприятии). В этом случае он сообщает торговому предприятию реквизиты своей карты (обычно номер карты, ее срок годности и значение СVV2/СVС 2), необходимые для проведения авторизации, заочно (письмом, по телефону, сети передачи данных и т. д.).

Существуют три основных вида СNР-транзакций: рекуррентные платежи, МО (ТО) - транзакции и транзакции электронной коммерции (далее - ЭК). Под транзакцией электронной коммерции понимается СNР-транзакция, при совершении которой обмен данными между держателем пластиковой карты и торговым предприятием по реквизитам карты и платежа происходит через Интернет. [6]

2.3 Протокол защищенности электронных транзакций SSL

Протокол SSL (Secure Socket Layer) разработан американской компанией Netscape Communications. SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии в соединениях "точка-точка". Ранее можно было без особых технических ухищрений просматривать данные, которыми обмениваются между собой клиенты и серверы. Был даже придуман специальный термин для этого - "sniffer".

Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия:

- пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;

- после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;

- при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (ассиметричные) криптосистемы, в частности, RSA.

Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40 и др.). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code, или MAC), вычисляемых с помощью хэш-функций (например, MD5).

Протокол SSL включает два этапа взаимодействия сторон защищаемого соединения:

- установление SSL-сессии;

- защита потока данных.

На этапе установления SSL-сессии осуществляется аутентификация сервера и (опционально) клиента, стороны договариваются об используемых криптографических алгоритмах и формируют общий "секрет", на основе которого создаются общие сеансовые ключи для последующей защиты соединения. Этот этап называют также "процедурой рукопожатия".

На втором этапе (защита потока данных) информационные сообщения прикладного уровня нарезаются на блоки, для каждого блока вычисляется код аутентификации сообщений. Затем данные шифруются и отправляются приемной стороне. Приемная сторона производит обратные действия: расшифрование, проверку кода аутентификации сообщения, сборку сообщений, передачу на прикладной уровень.

Наиболее распространенным пакетом программ для поддержки SSL является SSLeay. Он содержит исходный код на C, который может быть встроен в такие приложения, как Telnet и FTP.

В SSL используется криптография с открытым (публичным) ключом, также известная как асимметричная криптография. Она использует два ключа: один - для шифрования, другой - для расшифровывания сообщения. Два ключа математически связаны таким образом, что данные, зашифрованные с использованием одного ключа, могут быть расшифрованы только с использованием другого, парного первому. Каждый пользователь имеет два ключа - открытый и секретный (приватный). Пользователь делает доступным открытый ключ любому корреспонденту сети. Пользователь и любой корреспондент, имеющий открытый ключ, могут быть уверены, что данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с использованием секретного ключа.

Если два пользователя хотят быть уверенными, что информацию, которой они обмениваются, не получит третий, то каждый из них, должен передать одну компоненту ключевой пары (а именно открытый ключ), другому и хранит другую компоненту (секретный ключ). Сообщения шифруются с помощью открытого, расшифровываются только с использованием секретного ключа. Именно так сообщения могут быть переданы по открытой сети без опасения, что кто-либо сможет прочитать их.

Целостность и аутентификация сообщения обеспечиваются использованием электронной цифровой подписи.

Теперь встает вопрос о том, каким образом распространять свои публичные ключи. Для этого (и не только) была придумана специальная форма - сертификат. Сертификат состоит из следующих частей:

- имя человека/организации, выпускающей сертификат;

- субъект сертификата (для кого был выпущен данный сертификат);

- публичный ключ субъекта;

- некоторые временные параметры (срок действия сертификата и т.п.).

Сертификат "подписывается" приватным ключом человека (или организации), который выпускает сертификаты. Организации, которые производят подобные операции, называются Certificate authority (CA). Если в стандартном Web-браузере, который поддерживает SSL, зайти в раздел security, то там можно увидеть список известных организаций, которые "подписывают" сертификаты. Технически создать свою собственную CA достаточно просто, но также необходимо уладить юридическую сторону дела, и с этим могут возникнуть серьезные проблемы.

SSL на сегодня является наиболее распространенным протоколом, используемым при построении систем электронной коммерции. С его помощью осуществляется 99% всех транзакций. Широкое распространение SSL объясняется в первую очередь тем, что он является составной частью всех браузеров и Web-серверов. Другое достоинство SSL - простота протокола и высокая скорость реализации транзакции.

В то же время, SSL обладает рядом существенных недостатков:

- покупатель не аутентифицируется;

- продавец аутентифицируется только по URL;

- цифровая подпись используется только при аутентификации в начале установления SSL-сессии. Для доказательства проведения транзакции при возникновении конфликтных ситуаций требуется либо хранить весь диалог покупателя и продавца, что дорого с точки зрения ресурсов памяти и на практике не используется, либо хранить бумажные копии, подтверждающие получение товара покупателем;

- не обеспечивается конфиденциальность данных о реквизитах карты для продавца.

2.4 Протокол защищенности электронных транзакций SET

SET (Security Electronics Transaction). Стандарт исполнения защитных транзакций, созданный фирмами MasterCard (мастеркарт) и VISA при участии IBM, GlobeSet и других партнеров. SET позволяет покупателям покупать товары по интернету, с самым защищенном в наше время механизм выполнения платежей. Стандарт SET выполнен ввиде многостороннего протокола с целью выполнения безопасных операций с применением платежных карт в сети интернет.

SET осуществляет на счету владельца электронной пластиковой карты кросс-аутентификацию, торговые площадки и его банковского учреждения с целью утверждения готовности оплаты продукции, неразрозненность и конфиденциальность перевода зашифрованность данных представляющих особую ценность и имеющих наибольшую уязвимость.

Поэтому SET можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карточек через Интернет позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернет, с помощью криптографии, применяя, в том числе, и цифровые сертификаты.

SET выгодно отличается от обычных протоколов, тем что всегда позволяет выполнять поставленные задачи по охране платежей.

Для основной защиты информации используется организация доступности, целостности, конфиденциальности и юридической значимости.

С учетом вышеизложенного для решения означенных проблем компании VISA и MasterCard совместно с известными компаниями, осуществляющим работу связанные с решением технических вопросов (IBM, являющаяся главным разработчиком и проектировщиком протокола SET), разработали особенности набора протоколов для стандарта SET. (Приложение B)

Открытый набор протоколов используется для обеспечения взаимодействия между реализациями разных производителей, позволяет использовать определённые требования по защите операционных действий при выполнении коммерции в электронном виде:

- сохранение информации о переводе денежных средств и секретность по данным о заказе, который передается одновременно с массивом данных об оплате;

- индивидуальная криптография с помощью открытого ключа для осуществления авторизации;

- авторизацию владельца по пластиковой карте, которая выполняется с использованием цифровой подписи владельца карты;

- авторизацию торговой площадки с разрешением приема платежей с платежных карт с использованием сертификата торговой площадки;

- защищенность обмена данных с помощью специально разработанной криптографией.

SET использует цифровые сертификаты (стандарта X.509, 3 версия), которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений платежных систем VISA и MasterCard позволяют сохранить существующие отношения между банком, держателями карточек и продавцами, и интегрируется с существующими системами, опираясь на следующие качества:

- открытый, полностью документированный стандарт для финансовой индустрии;

- основан на международных стандартах платежных систем;

- опирается на существующие в финансовой отрасли технологии и правовые механизмы.

Рассмотрим детальнее процесс взаимодействия участников платежной операции в соответствии со спецификацией SET, представленный на схеме с сайта компании IBM. Схема расположена в приложении А.

На схеме показано:

- Держатель карточки - покупатель, делающий заказ.

- Банк покупателя - структура, которая создала кредитную карточку для покупателя.

- Предприятие, с товарами и услугами.

- Банк продавца - структура, выполняющая операции финансового характера по обслуживанию продавца.

- Платежный шлюз - системная программа, которая находиться под контролем банка торговой площадки и обслуживает операции торговой площадки, а также выполняет переводы со счетов человека осуществляющего покупки.

- Сертифицирующая организация - доверительная структура, выдающая и проверяющая сертификаты.

Отношения людей, участвующих в этой операции на рисунке, обозначаются сплошными линиями и пунктирными линиями (разные возможные операции).

Созданы специальные агенства (центры) сертификации в Internet для безопасности сделок от мошенничества, следящие за получением уникального электронного сертификата, каждым участником электронной коммерции. В нем при помощи секретного ключа сертификации зашифрован открытый ключ этого участника сделки. Для того чтобы получить сертификат понадобится предоставить в центр сертификации документ, который подтвердит личность участника, и затем, имея открытый ключ, участвовать в сделках.

2.5 Протоколы защищенности заочных платежей стандарта SPA

Корпорация MasterCard International представила Secure Payment Application (SPA) - новое решение для обеспечения безопасности кредитных и дебетовых платежей между владельцами карточек, продавцами и финансовыми учреждениями. SPA является последней новинкой в ряду интернет-решений MasterCard в сфере защиты всех сторон, участвующих в онлайновых денежных операциях - владельца карточки, продавца и эмитента карточки представляет собой схему обеспечения безопасности, которая использует преимущества инфраструктуры Universal Cardholder Authentication Field (UCAF) корпорации MasterCard. Система UCAF предназначенная для передачи данных после сопоставления данных о банке эмитента карты и имеющуюся информацию, которая известна торговой площадке, гарантирует легитимность выполнения операции настоящим владельцем карты.

Принцип действия технологии SPA аналогична электронному чеку, выписываемому от имени владельца счёта. Система предполагает использование покупателем цифрового кошелька - Е -Wаllеt (SPA-совместимого кошелька). С этой целью потребитель скачивает адаптированный программный продукт, находящийся на сайте MasterCard.

Когда авторизованный покупатель осуществляет сделку, SPA генерирует (Accountholder Authentication Value, AAV)"показатель удостоверения владельца счета", это тридцати двухзначный код, который содержит информацию о сделке (информация о товаре и сумме платежа). Поэтому, уникальное значение переменной, меняющееся с каждой транзакцией, разрешает идентифицировать хозяина карты, фактически сковывая владельца счета со сделкой, которая имеет место в отношении к определенному торговому предприятию на конкретную сумму. Идентичное значение используемых переменных данных, которые изменяются при выполнении каждой покупки подтверждает санкционированное использование пластиковой карты.

Достоинства SPA (Secure Payment Application):

В SPA технологии нет необходимости в глобальных денежных затратах, потому что добавляется в существующие системы безопасности. Эта технология предоставляет продавцу эквивалент подписи владельца карточки, подтверждая, что эмитент уже проверил владельца карточки еще до завершения платежной операции обеспечивает идентификацию владельца карточки, никак не влияет на продолжительность времени, необходимого для совершения онлайновых покупок или для подтверждения платежа. (Приложение B)

Ответственность за мошеннические транзакции, не санкционированные владельцем карточки, снимается с онлайновой торговой точки и компании, осуществляющей эквайринг, поддерживает применение различных устройств доступа в Интернет для совершения транзакций (например, транзакции с мобильного телефона) [5]

Недостатки:

Основным недостатком технологии можно считать, более сложную реализацию системы SPA, чем, например, технологии 3D-Secure от Visa International

Так же недостатком является то, что пользователю приходиться предварительно скачивать дополнительное приложение, с web-страницы банковского учреждения.

Система VISA спроектировала новейший протокол 3-D Secure (иначе носит название три домена) это позволяет повысить качество транзакций в онлайне и как следствие увеличить количество электронных операций.

Развитие и внедрение этого протокола должно принести выгоду всем участникам онлайновой транзакции, предоставив банкам-эмитентам возможность аутентифицировать держателей карт во время онлайновой покупки, что в свою очередь повысит надежность, а также безопасность транзакций и сократит шанс мошенника использовать кредитную карту в Интернете - при условии покупок с использованием 3D-secure технологии. (Приложение B)

Трехдоменная архитектура позволяет снизить потенциальные затраты денежных средств всеми сторонами транзакции так как значительно понижается выполненных чарджбэков осуществляемых владельцами электронных пластиковых карт из-за того, что пластиковая карта попала в руки к элементам, совершающим мошеннические действия.

Основные преимущества трехдоменной архитектуры:

- У клиентов нет необходимости покупать новое ПО

- Возможно расширение и дополнение банком-эмитентом, для соответствия требований клиентов, к тому же банкам-эквайрам и мерчантам вводить дополнения в протокол со своей стороны не нужно.

- Протокол можно использовать на мобильных телефонах, карманных компьютерах, цифровых телевизорах.

- Протокол основан на поддержании международных организаций, которые применяются в технических стандартах.

Сущность предлагаемой модели заключается в том, что сам процесс авторизации применяемый для обеспечения безопасности транзакции, делится на 3 домена: Issuer Domain (Доменэмитента) - он предназначен для того, чтобы банковская система могла провести авторизацию торговой площадки с применением правил и метода принятых этим же банком (тогда все риски по авторизации лягут на банковскую систему в которой обслуживается торговая площадка); Acquirer Domain (Домен эквайра) - он предназначен для того, чтобы сформировать порядок проведения данных.

Схема аутентификации платежа представлена на рисунке 2.1.

Рис.2.1 Схема аутентификации платежа.

Держатель платежной карты выполняет операцию покупки.

Во время осуществления покупки держателем пластиковой кредитной карты он предоставляет информацию со своего счета (карты) или применяет разработанную программу для этих целей (кошелек в цифровой шифровке), для того чтобы выполнить эту операцию.

Если получатель карты выполняет действие по подтверждению осуществления транзакции, происходит выполнение плагина сервера мерчанта (ПСМ) Merchant Server Plug-in (MPI).

ПСМ обычно присутствует на сайте магазина или у эквайера.

2.6 Защищенность транзакций с использованием электронных денег

Новое словосочетание "электронные деньги" появилось совсем не давно и зачастую используется в самом широком смысле, для обозначения электронных документов, которые создаются на основе новейших технологических разработках области перевода денег по электронным системам.

В результате чего, на сегодняшний день нет единого мнения в названии электронных денег, которые бы полностью выявила их принадлежность к экономической и правовой системе.

Электронные деньги обычно разделяют на два типа: на базе смарт-карт (англ. card-based) и на базе сетей (англ. network-based). Как первая, так и вторая группа делятся на конфиденциальные системы, в рамках которых позволяется осуществлять операции, не используя идентификацию пользователя, а также конфиденциальные системы с обязательным применением идентификационных данных о пользователе.

В настоящее время некоторые пользователи ошибочно считают электронные деньги как способ доступа к банковскому счету, то есть распространенных платежных карт (с магнитной лентой или микропроцессором), или же интернет - банкинга.

В этом случае будет использован консолидированный счет в банке эмитента денежных средств в электронном виде, но не как не текущие корреспондентские и карточные счета на имя пользователя.

Когда используются электронные деньги, в этот момент общепринятые денежные средства переводятся на банковский счет эмитента.

Обычные денежные средства убираются с банковского счета эмитента сразу же после предоставления электронных денег.

Электронные деньги, скорее анонимные наличные, чем персонифицированные безналичные. Анонимности обеспечивается правилами обращения электронных денег в определенной платежной системе.

Использование криптографии для реализации электронных денег предложил David Chaum. Им также предложено несколько протоколов шифрования и электронной подписи. David Chaum использовал алгоритм конфиденциальной связи для сокрытия связей между транзакциями сбора и внесения финансов. Сущность разработки Davidа Chaum заключается в новой форме подписи в цифровом виде под названием "слепая", когда клиент удостоверяющий данные видит подпись в разрешенной ему части и при этом подписью удостоверяет легитимность всего массива данных, а эмитенту доступна достоинство купюр и возможность подтвердить их легитимность, однако ему не известна информация о серийных номерах купюр доступные владельцу денежных средств

Если есть необходимость, то легко доказуемо, что подобная "слепая" подпись обеспечивает правдоподобность всей содержательной части купюры с высокой степенью надежности так же, как и широко распространенная подпись в цифровом виде, каковая в последнее время является одной из самых распространенных при необходимости гарантирование легетимности документов в электронном виде. [7]

Основой служит метод RSA-шифрования.

2.7 Защищенность платежных смарт-карт и электронных кошельков

EMV стандарт Europay, MasterCard и VISA - стандарт для работы с пластиковыми картами с чипом. Он был разработан усилиями этих фирм Europay, MasterCard и Visa, для возрастания уровень безопасности денежных операций.

С картой EMV при каждом платеже через терминал необходимо вводить пин - код (в магазинах, ресторанах и т.д.)

Вышеуказанный стандарт EMV выполняет определение факта физического, информационного электронного взаимного действия банковской пластиковой карты и терминалом для платежей при выполнении операции финансового характера.

Бывают стандарты, используемые контактные карты, они основаны на ISO/IEC 7816, и ISO/IEC 14443 для бесконтактных карт.

Самый первый стандарт для платёжных карт был создан во Франции в начале 1990 года под названием Carte Bancaire стандарт. Немецкая национальная платёжная система Geldkarte в Германии предшествовал EMV. EMV совместим с обоими стандартами. Во Франции все карты, которые выпускаются в стране, имеют стандарт EMV.

Распространенные варианты EMV:

- международный стандарт для операций по банковским картам с чипом EMV - VISA;

- новый сервис MChip - MasterCard;

- AEIPS - American Express;

- J Smart - JCB.

Было известно, что весной 2010 года в Нью-Йорке было объявлено об запуске в оборот новейшей карты стандарта EMV в США от банка United Nations Federal Credit Union.

Главное достоинство EMV - обеспечения хорошей защиты транзакций и выполнения контроля в режиме оффлайн.

Главная цель EMV - поднять уровень функциональности карт (платежная карта с электронным проездным и т.д.).

Назначение протокола COPS применяемого при передачи данных о политике работы серверов (Policy Decision Point или PDP) и политике тех, кого они обслуживают (Policy Enforcement Points или PEP).

Примером клиента политики является RSVP-маршрутизатор, который должен реализовывать управление доступом, базирующееся на определенной политике [RSVP].

WebMoney - это универсальная система онлайн-платежей, которая обеспечивает в режиме реального времени проведение расчетов между зарегистрированными участниками, получившими уникальный идентификатор пользователя (WMID). Условные единицы, используемые в системе, носят названия WM - units иначе говоря специальные знаки, имеющим размерность согласно различным валютам при этом храниться в электронных кошельках различных видов: WMR - рублевый эквивалент или WMZ - долларовые знаки на кошельках - Z и т.д.

В системе WebMoney Transfer персонализация счета обязательна, анонимность платежей поддерживается и остается на усмотрение пользователя. При желании клиент может получить электронное свидетельство, которое составляется по предоставленным персональным данным.



Рис.2.2. Финансовая модель платежной системы "WebMoney Transfer"

Безопасность системы WebMoney Transfer обеспечивается целым комплексом технологий. Существует 3 типа аутентификации: WMID, файлы кошельков и ключей, персональных цифровых сертификатов и системы E-Num.

Одновременно с этим данные поступают в сеть в кодированном виде с использованием криптографического алгоритма на основе ключа, имеющего длину 1024 бит и более (подобного RSA) и оригинальные одноразовые ключи.

В данной системе хорошо реализована устойчивость к обрывам связи.

Способы изъятия средств с карты. Оплата банковской картой через интернет связана с серьезным риском потери средств, обманывать могут по-разному, например:

Один из самых распространенных способов обмана "фишинг" (по-русски, рыбалка). Суть фишинга заключается в том, чтобы создать сайт интернет-магазина с дешёвыми и необходимыми товарами, на который пользователь "клюёт", то есть покупает товары. При оплате покупатель вводит данные карты и теряет все деньги.

Второй способ обмана характерен не только для интернета. Связан он с тем, что при регистрации заказа покупатель оставляет контакты. Далее мошенники связываются с ним и под различными предлогами, представившись сотрудником банка или сотового оператора, просит предоставить конфиденциальную информацию: пароль, пин-код или код CVV2/CVC2 банковской карты. Используя полученные данные, мошенники быстро выводят с карты деньги, оплачивая покупки или переводя средства на чужие счета.

Еще один способ использования чужой банковской карты - заражение компьютеров вирусными программами. Эти программы нацелены на хищение информации карты пользователя при её введении (номер, срок действия и т.д.). Программа сохраняет и пересылает эту информацию мошенникам. А далее можно прощаться с деньгами. [8]

3. Безопасность систем "Клиент-Банк"

Главной опасностью при использовании ДБО системой является угроза получения злоумышленником несанкционированного доступа к управлению счетом клиента и к документам, передаваемым в Банк через ДБО систему. Основными способами несанкционированного доступа к системе ДБО:

- перехват злоумышленником управления компьютером покупателя;

- хищение логина и пароля клиента для входа в систему ДБО, а также закрытой части ключа ЭП клиента;

- перехват данных, передаваемых клиентом в Банк и получаемых клиентом из Банка.

Получение несанкционированного доступа может быть осуществлено:

- штатными сотрудниками организации клиента;

- нештатными сотрудниками, приходящими по вызову для обслуживания компьютеров организации клиента;

- злоумышленниками, получившими доступ к компьютерам организации клиента через сеть Интернет или иные каналы связи.

Важно:

- минимизировать количество пользователей, которые имеют право доступа к компьютеру с установленным рабочим местом системы ДБО, ограничив его кругом лиц, непосредственно использующих систему ДБО;

- осуществлять оценку деловой репутации пользователей, имеющих доступ к системе ДБО;

- использовать на компьютерах только лицензионное программное обеспечение;

- регулярно обновлять операционную систему и используемое для работы с ДБО программное обеспечение. Установку обновлений необходимо производить только с официальных сайтов разработчиков соответствующего программного обеспечения;

- установить на компьютерах систему антивирусной защиты. Обновление баз данных антивирусного ПО должно осуществляться ежедневно, либо по мере выхода новых официальных версий баз данных;

- при работе с электронной почтой не открывать письма и прикрепленные к ним файлы, полученные от неизвестных отправителей, не переходить по содержащимся в таких письмах ссылкам. Наилучшей практикой является отказ от использования электронной почты на компьютерах с установленными рабочими местами системы ДБО;

- использовать для размещения закрытых ключей ЭП только внешние извлекаемые носители информации. Использование в качестве места хранения ключевой информации реестра или жесткого диска компьютера увеличивает риск хищения закрой части ключей ЭП;

- извлекать ключевой носитель сразу после окончания сеанса работы с системой ДБО;

- хранить ключевой носитель в недоступном для постороннего места, например, в сейфе;

- не использовать ключевой носитель для иных, кроме работы с системой ДБО, целей, для хранения файлов, электронных документов и т.д.

- не передавать ключи ЭП и не сообщать логин и пароль доступа к системе ДБО кому-либо;

- организационно или технически ограничить доступ в Интернет с компьютеров, на которых установлены рабочие места системы ДБО, разрешив доступ только к доверенным ресурсам сети Интернет. К доверенным сайтам следует отнести сайты:

а) *.ofc.ru, *. otkririefc.ru, *. otkririe-fc.ru;

б) сайты и адреса, необходимые для функционирования системы ДБО "BS-Client";

в) официальные сайты разработчиков используемого на рабочем месте программного обеспечения (в т.ч. операционной системы, системы антивирусной защиты, сетевого экрана);

- не использовать компьютер, на котором установлено рабочее место системы ДБО, не по назначению, например, для игр, просмотра фильмов и т.п.;

- если компьютер установлен внутри локальной сети организации, провести мероприятия по защите локальной сети от зловредных воздействий со стороны сети Интернет. [9]

3.1 Защищенность систем межбанковских расчетов

Межбанковские расчеты - осуществляются между банками на основе корреспондентских отношений, то есть договорными отношения между банками об осуществлении платежей и расчетов одним из них по поручению и за счет другого. Перевод денежных средств с корреспондентского счета одного коммерческого банка на другой происходит по желанию плательщика, а с коммерческого банка на центральный - проводится в обязательном порядке.

При проведении расчетов каждая кредитная компания, расположенная в Российской Федерации с лицензией банка России для осуществления банковских операций, открывает корреспондентский счет в банке России. Он в свою очередь выполняет то же, что и расчетный счет предприятия.

Расчеты между банками при помощи корреспондентских счетов осуществляются двумя способами:

- децентрализованный, основанный на корреспондентских отношениях коммерческих банков друг с другом,

- централизованный, при котором расчеты между банками проводятся через их корреспондентские счета, открываемые в ЦБР.

В России расчеты между банками опираются на (централизованный) вариант. Проведение расчетов между банками осуществляют специально создаваемые для этих целей органы ЦБР - расчетно-кассовые центры (РКЦ).

При выполнении расчетов РКЦ, связанных с коммерческими банками и собственными оборотами по перечислению денежных средств, проходят в системе межфилиальных оборотов.

На балансе ЦБР открываются два счета по межбанковским расчетам: № 830 "Начальные межфилиальные обороты" и № 840 "Ответные межфилиальные обороты". В центральном офисе осуществляющим действие по переводам денежных средств в первоначальном виде (начальный провод), можно назвать офисом Б и офис В будет являться приемным филиалом, принимающим документооборот по ответному проводу.

Действия этих офисов РКЦ выполняет на основе особых документов - авизо, которые выполнены в виде официального извещения о проведении операций по переводу денежных средств. Они могут быть почтовыми и телеграфными, а также дебетовыми или кредитовыми (в зависимости от содержания операции).

Большим недостатком используемой организации расчетов между банками через РКЦ ЦБР (постоянное опоздание с проведением платежных операций факты проникновения из вне в банковскую систему) вынуждают частные банки выстраивать перевод денежных средств непосредственно напрямую.

В отдельных коммерческих банках на долю прямых расчетов приходится более десятой части общей суммы межбанковского платежного оборота. При проведении подобных расчетов корреспондентский счет оформляют в банках на договорной основе между двумя сторонами или же в одностороннем порядке.

Однако и данные расчеты пока далеки от совершенства. Они, как правило, являются многоступенчатыми, так что в одной операции может участвовать 3-4 банка. Списание средств с корреспондентских счетов производится на основе факсокопий, юридическая сила которых не узаконена. Отрицательно отражается на проводимых расчетах и при этом проводит негативную политику по наличию техники в негосударственных банковских структурах.

Непосредственные межбанковские расчеты не смогут сыграть определяющей роли: их возможно расценивать лишь в качестве дополнения к общей национальной системе взаимных расчетов между банками. [10]

3.2 Российские платежные системы электронной коммерции и их защищенность

CyberPlat - отечественная встроенная многоцелевая мультибанковская платежная система, оперирующая также на рынках стран СНГ, Европы, Азии и Северной Америки. CyberPlat является крупнейшей по масштабам сети приема платежей платежной системой с общим числом пунктов обслуживания более 480 тыс., из которых более 310 тыс. - в России и странах СНГ, 170 тыс. - в других странах мира. Является членом Всемирной GSM-ассоциации. Платежная система CyberPlat осуществляет перевод денежных средств на счета более 1600 представителей, осуществляющих различные услуги, такие как например:

- различных представителей организации мобильной связи

- провайдеры всемирной сети интернет

- представителей поставщиков сигнала кабельного телевидения

- организаций, поставляющих электроэнергию, и осуществляющих работы в сфере ЖКХ

- банковских структур для выполнения операций по переводу денежных средств

Стабильная и защищенная CyberPlat - в числе ведущих на рынке России электронных платежей.

PayCash - это созданная на использовании электронной подписи платежная система. Она представляет собой доступное средство быстрого проведения платежей в широком диапазоне сумм в рамках всемирной сети Internet.

Создание PayCash стало возможным после появления в криптографии одного из вариантов электронно-цифровой подписи - слепой подписи (blind signature). Одним из важных достоинств электронной системы PayCash было и остается скрытность платежей, их недоступность и быстрое выполнение переводов.

При необходимости пользователи системы PayCash имеют возможность завести "платежную книжку", в виде определенного набора достаточно большого количества цифр с текущей информацией, при этом участником системы является как клиент системы, переводящий денежные средства, так и участник, которому переводится платеж.

Во время осуществления платежа определенный шифрованный код поступает на ЭВМ торговой площадки и затем связывается с банком-оператором PayCash, при этом происходит определение соответствия платежной книжки имеющимся данным.

В последующем улучшении в PayCash внедрение программы от банковской системы позволяет людям, пользующимся PayCash с высокой долей безопасности пользоваться настоящим счетом в банке РФ.

Платежные системы с технологией PayCash:

- ЯндексДеньги - одна из ведущих на рынке интернет платежных систем.

- IDEALER - этот проект перешел по выгодной цене к одному из ведущих игроков, северной столицы РФ, занимающихся установкой платежных банкоматов на самообслуживании, компании ООО "Альтер-И" торговой марки MoneyMoney

- МобиДеньги - молодой и многообещающий проект на рынке мобильных платежных систем.

- Moneta Express - компания, предоставляющая услуги денежных переводов.

4. Результаты оценки уровня защиты платежных систем

Яндекс Деньги

Второй по популярности сервис на территории русскоязычного интернета. Был запущен в 2002 году как совместный проект компаний Яндекс и Paycash. Со временем вторая доля была выкуплена Яндексом и перешла под их полноценный контроль. Сейчас система ведет свою деятельность в статусе небанковской кредитной организации, хотя 75% ее акций было приобретено ОАО" Сбербанк России".

Достоинства:

- Облегченная процедура регистрации.

- Удобный и интуитивно-понятный веб-интерфейс.

- Быстрая авторизация и минимальный набор действий для отправки денежных средств.

- Очень высокий уровень безопасности. Собственное приложение - кошелек.

- Популярность. Используется для расчета практически во всех интернет магазинах России и стран СНГ.

Недостатки:

- Операции через систему осуществляются только в рублях.

- Отсутствует анонимность. При регистрации у вас запрашивают паспортные данные для идентификации своей личности.

- Использование Яндекс Денег разрешается только физическим лицам. Если вы будете управлять счетом как юридическое лицо, служба безопасности его заблокирует.

- Если сравнивать с другими электронными платежными системами, комиссионные тут не самые маленькие.

Webmoney

Самая известная в странах СНГ система безналичных расчетов, которая создала удобную среду для денежных переводов и ведению коммерческой деятельности в сети. Легитимность операций для всех валют поддерживаются компаниями - гарантами. Реализовано большое количество вспомогательных сервисов: мобильный банк, периодические и массовые платежи, коллективное управление платежами и т.д.

Достоинства:

- Безопасность. Несколько уровней защиты, собственное клиентское приложение и авторизация при помощи SMS гарантируют безопасность ваших средств.

- Распространенность. Webmoney принимается многими интернет магазинами, провайдерами, через систему можно пополнять счет на телефоне и т.д. Большое множество способов пополнения счета и вывода денег.

- Большое разнообразие валют для расчета. Российский рубль, гривна, евро, доллар и многие другие.

- Система оценки надежности пользователей, показатель BL. Сильно осложняет жизнь мошенникам.

Недостатки:

- Не поддерживает прямой обмен с большинством популярных платежных систем.

- Администрация не ограничена в полномочиях. Могут заблокировать кошелек без какой-либо веской причины.

- Пользователям запрещено участвовать в пирамидах, HYIP-программах и прочих сомнительных мероприятиях.

- Для пользования всеми возможностями системы нужно пройти платную аттестацию подразумевающую передачу своих личных данных в чужие руки.

PayPal

Крупная дебетовая платежная система. Главный офис располагается в Калифорнии (США), но поле деятельности распространяется почти на 200 стран во всем мире. Недавно в этот список вошли Украина, Россия, Армения, Азербайджан и Казахстан. Paypal популярен способом расчета на основных зарубежных интернет ресурсах, среди них крупнейший мировой аукцион Ebay и магазин Amazon.

Достоинства:

- Простой и понятный интерфейс, переведенный на множество языков, включая русский.

- Огромное количество поддерживаемых валют.

- Имеет возможность застраховать свои пользовательские счета.

- Совершение электронных платежей посредством телефона. Компания официально лицензирована, поэтому за сохранность сбережений можно не переживать.

Недостатки:

- Постсоветское пространство входит в зону повышенного риска в связи с не малым количеством незаконных валютных операций. Прямая возможность вывода денег из системы для жителей стран СНГ неосуществима.

- Нет возможности обмена PayPal на другие популярные электронные валюты.

- Ограничения минимальной и максимальной суммы перевода, причем для их расчета нет единых критериев.

- При малейшем подозрении пользовательский счет может быть заблокирован. Хоть на их сайте и есть процедура подачи апелляции, шанс обжаловать решение очень мал.

QIWI

В настоящее время платежная система QIWI одна из лидеров в области осуществления моментальных платежей для 22 стран мира. Расчеты производятся с большинством видов электронной валюты (но ЯндексДеньги являются исключением), денежными единицами социальных сетей. При желании можно создать виртуальную карту стандарта VISA.

Достоинства:

- Низкие комиссии. Переводы суммой до 500 рублей абсолютно бесплатны.

- Проведение платежей через терминал или отправкой SMS-сообщений. Очень удобно, когда нет возможности подключиться к интернету.

- Работа с системой не подразумевает отправку своих персональных данных.

- Есть возможность делать переводы людям, не имеющим аккаунта в системе. Они получат доступ к средствам после регистрации с указанного номера мобильного телефона.

- Большое количество способов пополнения и совмещения с другими платежками.

Недостатки:

- Высокая комиссия на вывод средств (4%) да и выбор способов вывода очень мал.

- Сумма платежа ограничена 15 000 рублей, крупные переводы придется осуществлять частями.

- Отсутствуют дополнительные методы верификации, что является существенным минусом для тех, кто хранит в электронной валюте не малые суммы денег.

E-Gold

Это старый и надежный американский сервис (функционирует с 1996 года). Характерная особенность которого - отсутствие привязки к какой-либо национальной валюте, с ее помощью очень удобно совершать международные платежи. Денежный резерв гарантируется ценными металлами: золотом, серебром, платиной и палладиумом. Колебания их курсов серьезно влияют на стоимость валюты.

Достоинства:

- Согласно законодательству USA, какие-либо судебные требования, поданные в адрес компании третьими лицами, отклоняются.

- Универсальность и интернациональность. Пользователем системы может быть гражданин любой страны мира.

- Несколько степеней защиты аккаунта, что обеспечивает сохранность денег и защищенность при проведении финансовых операций.

- Для работы с системой не нужно указывать реальные паспортные данные.

Недостатки:

- За хранение средств взымается ежемесячная комиссия в размере 0.08% от суммы на счете.

- Нет возможности использовать банковские расчеты. Пользователям придется выводить деньги через частные обменники или встроенный сервис Omnibox.

- Отсутствие поддержки русскоязычного сообщества.

Мы провели исследования уровня безопасности наиболее часто используемых платежных систем (Webmoney, "Яндекс. Деньги", PayPal и E-Gold) по нескольким критериям, каждому из которых соответствует собственная шкала оценок. По результатам суммы набранных баллов в процессе каждого испытания мы расставили вышеуказанные системы по своим местам в общем ранжире.

Общеизвестно, что основным критерием защиты информации в техническом плане является, шифрование данных, а именно - криптографические алгоритмы, с помощью которых они реализованы.

Три из рассматриваемых систем Webmoney, "Яндекс. Деньги", PayPal. используют широко известный алгоритм RSA с применением ключей различной длины: в Webmoney и "Яндекс. Деньги" 1024 бита, а в PayPal используется ключ в два раза короче длиной 512 бит. Соответственно, первые две системы по этому критерию получили максимальный балл в 3 единицы, а PayPal на один балл меньше.

В системе E-Gold применяется шифрование через SSL-протокол третьей версии. Фактически шифрование реализовано с помощью SSL-ключей, которые уникальны и генерируются во время сессии, поэтому и названы сеансовыми ключами. Длина SSL-ключа в системе E-Gold варьируется в пределах от 40 до 128-ми бит, что, по оценкам экспертов, вполне достаточно для приемлемого уровня безопасности транзакций. В графе "шифрование" мы выставили системе 1 балл благодаря применению прогрессивного протокола PGP для шифрования сообщений электронной почты.

Следующий параметр в нашем критерии - доступ к системе с помощью специального аппаратного обеспечения, например, USB-ключей. Подобную дополнительную опцию из всех систем имеет лишь Webmoney, остальные не предоставляют такой возможности. Однако в Webmoney данный сервис является добровольным и с учетом весового коэффициента, Webmoney получает по этому параметру 1 балл, а все остальные - по нулю.

Следующий параметр в "техническом обеспечении информационной безопасности транзакций" - "аутенфикация", то есть совокупность решений, которые нужны пользователю для доступа к его собственной персональной информации. В системах Webmoney и "Яндекс. Деньги" для доступа используются два критерия, в то время как в PayPal и E-Gold - только один. В Webmoney для доступа в систему и проведения платежей необходимо вводить пароль и специальный ключ или специальная программа-кошелек в системе "Яндекс. Деньги". В системе E-Gold для работы по SSL-протоколу web-сервер должен иметь специальный цифровой сертификат, который получен от одной из уполномоченных компаний. Этот сертификат используется для аутентификации web-сервера клиента. Соответственно, Webmoney и "Яндекс. Деньги" получают по три балла, E-Gold - один и PayPal - 0 баллов.

Второй критерий - "организационно-правовое обеспечение безопасности транзакций" представляет собой сумму параметров, которые обеспечивают защиту пользователя конкретной платежной системы от любого известного вида электронного мошенничества, например от фишинга.

Для данного критерия имеет значение возможность анонимной работы в платежной системе и с позиции информационной безопасности это скорее минус, чем плюс, так как анонимность выгодна мошенникам, чтобы постоянно менять кошельки, счета и прочее для применения хитрых схем добывания чужих денег.

Только E-Gold не предоставляет возможность анонимной работы, так как предназначена только для расчетов между юридическими или юридическими и физическими лицами. E-Gold активно применяет электронную цифровую подпись, что способствует безопасности. В E-Gold мошенник оказывается открытым, и пути для его грязных дел намного сложнее, чем в других системах. Таким образом, E-Gold получает максимальный балл по параметру "анонимность".

Два остальных участника рейтинга, "Яндекс. Деньги" и PayPal, не используют каких-либо специальных решений и методик для борьбы с мошенничеством По "анонимности" "Яндекс. Деньги" и PayPal получают каждый по одному баллу.

Webmoney предоставляет ряд сервисов, которые стимулируют пользователя к открытой работе не на условиях анонимности и все эти сервисы являются добровольными. В этой платежной системе разработана специальная система аттестации с получением специального сертификата, который подтверждает статус каждого участника системы.

Подобное решение имеется только в WebMoney, поэтому по параметру "анонимности", с учетом весового коэффициента система получает 2 балла.

Один из компонентов рассматриваемого параметра называется система "черных списков" используется лишь в одной из рассматриваемых платежных систем - Webmoney. Дополнительно к этому в Webmoney реализована так называемая система арбитража. По совокупности данных параметров система Webmoney получает максимальный балл, а другие участники рейтинга, из-за несоответствия данным параметрам, получают минимальную оценку.

По результатам проведенной оценки вышеуказанных критериев была сформирована таблица и выстроен рейтинг платежных систем по сумме набранных баллов. Самой безопасной платежной системой является Webmoney, так как пользователь, использующий все предоставленные ей сервисы обеспечения безопасности, может остаться фактически неуязвимым для мошенников. Второе место заняла система "Яндекс. Деньги", третье и четвертое место разделили - PayPal и E-Gold.

Заключение

Электронные деньги все более явно становятся нашей повседневной реальностью, многие крупные фирмы предлагают оплату своих услуг и товаров через электронные расчеты. Одновременно с этим, потребитель теряет значительно меньше своего времени.

ПО для заведения электронного кошелька и для работы с финансами очень адаптировано для обычных компьютеров, и не вызывает у стандартного пользователя абсолютно никаких проблем. Электронные деньги - открывают все более обширные возможности человека, имеющего доступ к интернету.

...