Основной вопрос - кто оплатит убытки?
Пункт 2 Постановления Пленума Верховного Суда Российской Федерации от 25.04.95 N 5 О некоторых вопросах применения судами законодательства об ответственности за преступления против собственности гласит: Дела о преступлениях против чужой, в том числе и государственной, собственности являются делами публичного обвинения и не требуют для их возбуждения, производства предварительного расследования и судебного разбирательства согласия собственника или иного владельца имущества, ставшего объектом преступного посягательства. Постановление Пленума Верховного Суда Российской Федерации от 27.12.2002 N 29 О судебной практике по делам о краже, грабеже и разбое сохраняет в силе данный пункт.
Некоторые специалисты в области безопасности достаточно скептически оценивают будущее борьбы с фишингом.
По мнению Дуга Пековера (Doug Peckover), президента компании Privacy, производящей программное обеспечение, традиционные антифишинг-инструменты (такие, как фильтры) не работают, необходимо внедрять новые средства.
Старший вице-президент в исследовательской фирме Meta Group Мет Каин (Matt Cain) считает, что бурный рост фишинг-мошенничества, а заодно и универсального спама и вирусов, способствует кризису, который может угрожать самому существованию электронной почты.
Основные уязвимости, которые использует фишинг - это человеческий фактор и слабые средства защиты в технологии аутентификации.
Информация, которую получают фишеры от клиентов банков и платежных систем: имена, фамилии, домашние адреса, телефоны, номера платежных карт, срок действия платежных карт, защитные коды карт (CVV2/CVC2), ПИН-коды, тип платежных карт, название банка, номер банковского счета; имя и пароль для доступа к счету через Интернет.
Практически это весь перечень запрашиваемого на фишинг-сайтах. Данной информации оказывается достаточно, чтобы получить несанкционированный доступ к счетам клиентов. Платежные системы (eBay) используют в качестве идентификации клиентов только имя и пароль.
То же самое делают многие зарубежные банки при предоставлении доступа к счету через Интернет (в качестве имени может запрашиваться номер банковской карты, а в качестве пароля - ПИН-код). Данная технология является явно недостаточно защищенной.
Для оплаты товаров и услуг с использованием банковских карт по почте и телефону, а также в большинстве случаев оплаты через Интернет (если банк-эмитент и банк-эквайрер не используют защищенные технологии платежей Verified by Visa и Secure Code - на сегодняшний день они еще недостаточно распространены) достаточно знать номер карты, срок ее действия и код верификации карты (CW2/CVC2).
Что касается получения наличных денежных средств через банкомат, то знания номера карты, срока ее действия и защитного кода CW2(CVC2) (т.е. тех данных, которые знает клиент и может сообщить их мошеннику) будет недостаточно, т.к. на магнитной полосе дополнительно записана еще некоторая информация, которую держатель карты не знает. Это так называемый код верификации ПИН-кода (PW) - четыре десятичные цифры (10 000 значений) и код верификации карты (CW/CVC) - три десятичные цифры (1000 значений), который отличается от записанного на полосе для подписи кода (CW2/CVC2). Таким образом, чтобы изготовить карту и получить по ней деньги в банкомате, помимо сведений, которые держатель может сообщить сам (номер карты и срок ее действия), необходимо иметь комбинацию из семи десятичных цифр (10 000 000 возможных значений).
Существует еще одна сфера деятельности мошенников в области банковских карт. Это так называемый скимминг - несанкционированное копирование информации с магнитной полосы карты. Целью скимминга является получение второй дорожки магнитной полосы. Именно эта дорожка содержит все необходимые данные, передаваемые в процес-синговый центр эмитента для получения авторизации. Классическое копирование магнитной полосы карты осуществлялось в торговых предприятиях, когда держатель передавал свою карту для оплаты.
Данный способ существует и на сегодняшний день. Однако развитие компьютерных технологий, использование протокола TCP, появление в крупных магазинах локальных сетей, по которым передается информация со вторых дорожек, деятельность хакеров по взлому компьютерных систем и утечка информации от провайдеров электронных каналов связи привели к колоссальному увеличению случаев данного мошенничества. На кардерских сайтах*(132) существуют предложения о продаже огромного количества дампов скопированных карт.
В силу массовости и больших масштабов фишинга и скимминга происходит симбиоз данных направлений мошенничества. В результате фишинга имеется достаточно большая база данных номеров карт с ПИН-кодами, а в результате скимминга есть подобная база со вторыми дорожками магнитных карт. Мошенники из обеих групп обмениваются информации и получают возможность изготовить поддельную банковскую карту с известным ПИН-кодом.
В западных технологиях особенно уязвимым является интернет-доступ к счету клиента. Достаточно каким-либо образом узнать имя и пароль доступа к счету (например, от самого же клиента, путем перебора или иными методами), и злоумышленник получает полный контроль над финансовыми средствами. При использовании слабых алгоритмов аутентификации клиентов (например, использование только статических паролей) в новых технологиях интернет-платежей Verified by Visa и Secure Code получаемая фишерами информация позволит обойти защитные механизмы протокола 3D-secure.
Российские банки в связи с более жестким законодательством по использованию средств криптографической защиты в большинстве своем при организации услуг интернет-банкинга используют сертифицированные ФАПСИ или ФСБ средства криптографической защиты информации. Доступ к счету клиента и взаимная аутентификация банка и клиента осуществляются с использованием надежных криптографических алгоритмов (секретные ключи обладают достаточной длиной и хранятся на отчуждаемых носителях информации). Фишинговая атака на такие технологии окажется явно бессмысленной.
В результате российские банки предоставляют своим клиентам более защищенную, а следовательно, и более качественную услугу. На фоне тех потерь, что несут зарубежные банки, это может использоваться отечественными банками как сильный маркетинговый ход.
***
В заключение выделим некоторые направления действий в борьбе с фишингом.
1. Применение защищенных технологий. Переход на чиповые карты, использование технологии платежей Verified by Visa и Secure Code, применение криптографии для аутентификации и для закрытия каналов связи.
2. Информирование клиентов о безопасных способах использования банковских услуг. Какая бы защищенная технология не использовалась, все будет зависеть от того, правильно ли ее применяют.
3. Изменение российского законодательства. В последнее время значительно изменились способы совершения преступлений. Принятые же законодательные акты не восполняют имеющиеся пробелы.
Создание системы, охватывающей все вопросы, от нормативно-правовых до организационных, позволит эффективно противодействовать любым вызовам и угрозам в информационной сфере.
4. Взаимодействие правоохранительных органов и различных коммерческих структур. Только объединив усилия, можно должным образом противостоять высокотехнологичной преступности.
Претензионная работа с картами
Основной вопрос - кто оплатит убытки?
Статистика платежных систем утверждает, что все банки и компании, связанные с карточным бизнесом, в ходе работ в большей или меньшей степени несут финансовые потери от мошеннических операций с пластиковыми картами либо из-за собственных ошибок при обработке транзакций. При этом необходимо иметь в виду, что любая платежная система, готовая оказать всемерное содействие развитию бизнеса банка и росту его доходов, занимает крайне отстраненную позицию, когда речь заходит об убытках. Система никогда не принимает убытки на себя.
Если же платежная система в показательных целях выплачивает некоторую сумму пострадавшему клиенту из своих фондов, это исключение из правил.
Теоретически в каждом отдельном случае возникновения убытков от операции с пластиковой картой виновником может быть любой из ее участников: держатель карты, банк-эмитент, торговая точка, в которой произведена операция, или банк-эквайрер. Соответственно каждая из сторон является кандидатом в плательщики.
Процесс выявления причин возникновения убытков, соотнесение их с правилами платежных систем и с договорными взаимоотношениями участников, а также последующее урегулирование финансовых вопросов между участниками спорных транзакций по покрытию убытков и составляют суть претензионной работы.
Как правило, процесс разбирательства начинается в банке-эмитенте. Клиент - держатель карты сообщает, что в своей выписке он видит транзакцию (или много транзакций), которую он не совершал. Если верить клиенту, потери пока на его стороне. Возникает целый ряд вопросов. Правду ли говорит клиент?
Действительно ли он не совершал транзакцию или просто не хочет платить? Если он действительно ее не совершал, виноват ли он в том, что по его карте произведена транзакция другим лицом?
Интересные записи
- Роль платежных систем
- Претензии, связанные с подозрением на мошенничество.
- Сокращение издержек клиента на банковское обслуживание
- Средние совокупные издержки
- О новом Положении Банка России и его принципах
