А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

Тут можно читать онлайн А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия - бесплатно полную версию книги (целиком) без сокращений. Жанр: О бизнесе популярно, издательство Московская финансово-промышленная академия; ЦИПСиР, год 2012. Здесь Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Безопасность карточного бизнеса : бизнес-энциклопедия
Автор:

А. Алексанов
Жанр:

О бизнесе популярно
Издательство:

Московская финансово-промышленная академия; ЦИПСиР
Год:

2012
Город:

Москва
ISBN:

978-5-4257-0018-6
Рейтинг:

3.67/5. Голосов: 91
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия краткое содержание

Безопасность карточного бизнеса : бизнес-энциклопедия - описание и краткое содержание, автор А. Алексанов, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

В книге дано подробное описание политики безопасности на всех этапах жизненного цикла банковской карты — от цеха, где производится пластиковая заготовка будущей карты, до торговой и сервисной сферы, где карта принимается к оплате. Отдельно рассмотрены международные стандарты PSI DSS и практика их применения. Дана классификация карточных рисков, изложена методика оценки рисков эмитента с использованием мониторинга карточных транзакций. Подробно описаны виды карточного мошенничества и методы его профилактики. Отдельные главы посвящены претензионной работе по операциям с банковскими картами и обеспечению безопасности процессингового центра. Проанализировано действующее российское законодательство, изложена судебная практика с подробным описанием уголовных дел, связанных с карточным мошенничеством, доведенных до суда. Даны общие рекомендации по информационной безопасности корпоративной системы банка как фундамента безопасности карточного бизнеса.

Книга ориентирована на сотрудников карточных подразделений, отделов информационной безопасности коммерческих банков, специалистов процессинговых центров, правоохранительных органов, занимающихся уголовными делами по карточному мошенничеству, руководящего персонала супермаркетов, прочих торговых организаций, студентов финансовых вузов.

Безопасность карточного бизнеса : бизнес-энциклопедия - читать онлайн бесплатно полную версию (весь текст целиком)

Безопасность карточного бизнеса : бизнес-энциклопедия - читать книгу онлайн бесплатно, автор А. Алексанов

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

При этом карта похищается либо ее подменяют. Мошенники действуют в группе, один отвлекает, другой забирает или меняет карту. PIN-код похищенной карты подсматривается «из-за плеча».

Мероприятия по противодействию мошенничеству:

• Обучение держателей карт мерам безопасного обслуживания карт.

«Щипачество»

Мошенничество совершает законный держатель карты. Из лотка для выдачи купюр забирается не вся пачка наличных, а лишь некоторое количество купюр из середины пачки. Банкомат захватывает оставшиеся деньги как «забытые» клиентом. До массовых случаев «щипачества» карточные процессинги отрабатывали такой возврат, как full reversal с зачислением полной суммы невыданных средств на карточный счет клиента. Инкассация банкомата, выявление недостачи и последующее расследование позволяли вычислить мошенника, но к этому моменту средств на счете уже не было, да и доказать факт мошенничества банку весьма проблематично. В настоящее время практика работы с не выданными банкоматом по разным причинам суммами предусматривает их возврат на счета клиентам только после проверки кассой результатов инкассации.

Мероприятия по противодействию мошенничеству:

• оборудование банкоматов видеокамерами, направленными на лоток выдачи купюр

Cash Trapping (накладки на лотке для выдачи наличных)

Мошенник размещает накладку над лотком для выдачи наличных. Конструкция накладки такова, что выданные банкоматом купюры захватываются, но держателю карты не выдаются. Когда клиент не дождавшись выдачи наличных уходит, мошенник снимает накладку вместе с задержанными денежными средствами. Мероприятия по противодействию мошенничеству:

• оборудование банкоматов видеокамерами, направленными на лоток выдачи купюр.

Мошенничество, направленное на сбор информации о платежных реквизитах карт

Фишинг (phishing). Фарминг (pharming)

Электронные письма, смс-сообщения или телефонные звонки якобы от имени банка, содержащие просьбу сообщить платежные реквизиты банковской карты, ПИН-код или персональные данные клиента, носят название phishing — симбиоз английских слов phone и fishing. Метод действительно напоминает рыбалку: массовой рассылкой вбрасывается большое количество писем-«приманок», далее собираются ответы от тех, кто попался на крючок. Уязвимые места, используемые при фишинге, — человеческий фактор и несовершенство средств аунтентификации клиента банком.

Рекомендации для клиентов, как определить письмо, являющееся фишингом, следующие: банки никогда не запрашивают предоставления персональных данных карты, кроме как при личном присутствии клиента в офисе или посредством систем ДБО с обязательной аутентификацией клиента. Кроме того, текст письма может содержать грамматические ошибки, обращение к клиенту неличностное (например, «Уважаемый клиент!»), тон письма тревожный, предостерегающий возникновением проблем (например, «потерей учетных записей») в случае, если клиент не предоставит требуемую информацию.

Одна из разновидностей фишинга получила название «фарминг». Клиент, набирая в адресной строке правильный адрес интернет-сайта банка, перенаправляется на сайт, контролируемый мошенниками. Дизайн подставного сайта почти полностью копирует оригинальный банковский и содержит перечень полей для заполнения личными данными. Метод может быть использован как на компьютере клиента с помощью «троянов» (изменяется таблица соответствия DNS имен и IP-адресов), так и непосредственно на DNS сервере интернет-провайдера клиента. Клиент пребывает в уверенности, что пользуется услугами банка и безбоязненно вводит платежные реквизиты. После этого личные данные клиента становятся доступными мошенникам, а клиент перенаправляется на официальный сайт банка.

Для профилактики фарминга клиентам надлежит в обязательном порядке рекомендовать использование для доступа и совершения операций в системах ДБО только собственные персональные компьютеры с актуальной обновленной версией антивирусной программы с функциями «антихакер» и «антишпион». В противном случае нет никакой гарантии, что компьютер не заражен шпионскими (spyware) программами, собирающими персональные данные (логины, пароли), или «троянами» изменяющими параметры сетевой защиты и делающими компьютер уязвимым для несанкционированного доступа. Использовать для хранения ключевых данных USB-токенов.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт, в том числе посредством систем ДБО. Клиент должен знать, что банки никогда не просят сказать или выслать им ПИН-код. Адреса сайтов банковских систем ДБО содержат признак использования защищенного канала связи https://;

• использование одноразовых динамических паролей для аутентификации клиентов.

Фальшивые банкоматы и пункты выдачи наличных

Это достаточно экзотичный для России вид мошенничества, но имеющий немало прецедентов в мировой практике. Под видом банкомата устанавливается внешне похожее на банкомат устройство — либо изготовленное кустарно, либо собранное из запчастей. В США законодательно разрешается приобретение банкоматов частным лицам для получения комиссионного дохода, чем также пользуются мошенники. В любом случае устройства устанавливаются с одной целью: скопировать магнитную полосу и ПИН-код.

В Турции зафиксированы неоднократные случаи компрометации реквизитов карт туристов в так называемых Post-office — конторах, предлагающих выдачу наличных по банковским картам с минимальной комиссией за операцию. Также надлежит избегать предложений со стороны торговцев обналичить денежные средства через POS-терминал, предназначенный для оформления покупки.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт, в том числе использования банкоматов и пунктов выдачи наличных за границей, принадлежащих местным официальным кредитным организациям. Расположение банкоматов и банковских офисов можно заранее узнать на сайтах банков или сайтах международных платежных систем.

Мировая практика противодействия мошенничеству показывает эволюционный характер развития мошеннической активности: наряду с появлением новых видов совершенствуются и адаптируются к новым условиям и старые. Мошенничество — динамичный процесс, требующий постоянного анализа и оперативного принятия ответных мер со стороны банковского сообщества. Однако к настоящему времени средства, которыми располагают банки для защиты своей эмиссии карт с магнитной полосой, оказались исчерпаны. Тяжелые финансовые и репутационные последствия, которые несет за собой скимминг, заставляют платежные системы, кредитные организации и их вендоров работать над продвижением технически совершенных EMV-технологий. Наработана достаточно убедительная статистика, показывающая смещение мошеннической активности от массово переходящих на микропроцессорные карты европейских стран в развивающиеся рынки Восточной Европы, России и страны Азиатского региона. Также благодаря модернизации банкоматной и POS-терминальной сети с поддержкой EMV произошло смещение объемов мошенничества в область транзакций CNP. Обратной стороной медали стало увеличение числа случаев компрометации ПИН-кода при его более частом использовании. Этот пример показывает, насколько важен комплексный подход в решении вопросов обеспечения безопасности, учитывающий интересы и возможности всех участников рынка.