Календарь мероприятий


Безопасность в платежной сфере: что было и к чему готовиться?


Журнал "ПЛАС" выяснил у экспертов в сфере безопасности, какими событиями ознаменовался 2017 г. и что ждать от наступившего 2018 г.
2017 год был очень насыщенным и в плане событий безопасности платежных технологий. А поскольку на него пришелся памятный юбилей - с момента установки первого в мире банкомата прошло 50 лет, - хотелось бы начать с двух основных тенденций, связанных с атаками на эти устройства самообслуживания.
По мнению независимого эксперта Николая Пятиизбянцева, количество случаев установки скимминговых устройств в России продолжает снижаться, проблема скимминга практически отошла на второй план и стала незначительной. Связано это в первую очередь с требованием ЦБ РФ выпускать с 2015 года исключительно микропроцессорные карты, также крупные российские банки-эквайреры в большом количестве оснастили свои банкоматные сети устройствами активного антискимминга.
Напротив, серьезную проблему продолжают составлять атаки, направленные на несанкционированную выдачу наличных банкоматами: прямой диспенс - либо с использованием вредоносного программного обеспечения, либо аппаратными средствами типа black box. Особенно тревожным было сообщение от одного из ведущих вендоров о появлении новой разновидности black box атаки с использованием? эндоскопа. По мнению экспертов, в настоящий момент такая атака может нейтрализовать любые защитные средства. Возможно, в 2018 году мы столкнемся с массовым проявлением данной атаки.
Использование преступниками вредоносного программного обеспечения для выдачи наличных денежных средств также несколько изменилось. Если на первоначальном этапе заражение банкоматов, как правило, осуществлялось локально, то в настоящий момент это делается в большинстве случаев удаленно, путем захвата контроля над компьютером, с которого осуществляется штатный удаленный контроль над банкоматами. Данная тенденция сохранится и в 2018 году. С одной стороны, это связано с тем, что имеет место общий тренд смещения фокуса атаки на банковские системы. После такого проникновения за защищаемый периметр злоумышленнику достаточно получить управление над компьютером, удаленно управляющим банкоматами, в результате возможно заражение большого количества устройств и как следствие, большая экономическая эффективность атаки. С другой стороны, в настоящий момент отсутствуют какие-либо требования по средствам удаленного управления ATM. Инструментарий, предлагаемый производителями банкоматов для банков, все еще достаточно дорог. Поэтому многие для данной цели используют более дешевые решения типа R-admin, active directory и т. п. Данные решения позволяют выполнять задачи по удаленному управлению банкоматами, но снижают уровень их защищенности. Вероятно, тенденция атак на банки и процессинговые центры в 2018 году усилится, так как такие атаки становятся проще и выгоднее.
В 2017 году произошли значимые события в области уголовного права, которые, безусловно, скажутся на 2018-м. В уходящем 2017 году все большее распространение получила технология токенизации: Apple/Samsung/Android Pay. В связи с положительными моментами данных сервисов появились и случаи их мошеннического использования. В настоящий момент все они связаны с несанкционированной регистрацией чужой карты в приложении. В результате чего злоумышленник получает в свое распоряжение полноценное электронное средство платежа. Учитывая, что верификация держателя в этом случае происходит не по ПИН-коду, который выдал банк или выбрал легитимный держатель, а по ПИН-коду, выбранному злоумышленником на своем мобильном устройстве, или же по его отпечатку пальца, то мошенник пользуется данным средством без ограничений.
По мнению одного из ведущих экспертов в области безопасности, в некоторых вопросах токенизация, используемая в сервисах Pays, - шаг назад по сравнению с EMV-технологией с точки зрении рисков. Уже сейчас существуют теоретические разработки по перехвату и несанкционированному использованию токенов, и, возможно, вскоре мы на практике столкнемся с результатами их практической реализации, которые по понятным причинам не заставят себя ждать.
В 2017 году также произошли значимые события в области уголовного права, которые, безусловно, скажутся в 2018-м. С 1 января 2018 года вступает в силу статья 274.1. УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации". Учитывая, что Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" относит к субъектам КИИ информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в том числе в банковской сфере и иных сферах финансового рынка, данная статья, безусловно, коснется противоправных действий в платежных технологиях и кибератак на банковские системы.
Очень важным является Постановление Пленума Верховного суда Российской Федерации от 30 ноября 2017 г. N 48 "О судебной практике по делам о мошенничестве, присвоении и растрате". Из положительного можно отметить решение считать момент изъятия денежных средств с банковского счета их владельца моментом окончания преступления. Это будет способствовать возбуждению уголовных дел по месту хищения безналичных денежных средств.
Ранее материалы по таким фактам пересылались "по территориальности", и переписка продолжалась месяцами без возбуждения и расследования уголовных дел. Есть и решение, которое, напротив, может существенно затруднить процесс возбуждения уголовных дел. Речь идет о решении квалифицировать хищение от способа приготовления: конфиденциальная информация передана злоумышленнику самим держателем платежной карты; путем создания поддельных сайтов, использования электронной почты; использование чужих учетных данных без вмешательства в штатный процесс либо с вмешательством, которое нарушает штатный процесс. Дело в том, что для этого необходимо будет предварительно установить, каким образом осуществлялось приготовление к хищению. А сделать это без возбужденного уголовного дела будет значительно труднее.

Источник:  https://www.plusworld.ru/


 



Новости для банков
18.09.2018
Россияне всё еще любят рассчитываться наличными
18.09.2018
ЦБ сообщил о снижении прибыли банковского сектора в январе-августе на 10%
18.09.2018
ЦБ предложил разрешить микрокредиторам выдавать деньги из кассы Все новости
Новости ББТ
14.09.2018
О повышении ключевой ставки Банка России
26.08.2018
Обновление раздела ББТ "Кредитные операции" от 29.08.2018
26.08.2018
Обновление раздела ББТ "Информационная безопасность банка" от 29.08.2018
25.08.2018
Обновление раздела ББТ "Сделки и операции банков на фондовом и денежном рынках", "Эмиссия ценных бумаг кредитных организаций", "Профессиональная деятельность ба
25.08.2018
Обновление раздела ББТ "Банковские риски", "Внутренний контроль" от 29.08.2018 Все новости
Новости библиотеки
04.09.2018
Очередное обновление Электронной Библиотеки Банка от 04.09.2018
16.07.2018
Очередное обновление Электронной Библиотеки Банка от 16.07.2018 Все новости