Мошенничество в платежной сфере. Бизнес-энциклопедия
Шрифт:
Кредитным организациям, в том числе при привлечении специализированных организаций, рекомендуется:
классифицировать места установки устройств по степени риска подвергнуться попыткам физического взлома, установки скиммингового оборудования и (или) воздействия вредоносного кода, а также совершения несанкционированных операций (далее — атаки);
пересматривать классификацию мест установки устройств по мере развития технологий, в том числе технологий атак;
оснащать устройства защитным оборудованием и специальным программным обеспечением, при этом их тип, комплектацию и функциональные возможности рекомендуется выбирать с учетом классификации места установки (предполагаемой установки) устройства;
осуществлять на регулярной основе, в зависимости от классификации места установки устройства, контроль внешнего вида устройства, включая его целостности и отсутствия несанкционированного оборудования, а также действий обслуживающих данное устройство организаций;
использовать системы удаленного мониторинга состояния устройства, обеспечивающие контроль надлежащего функционирования защитного оборудования и специального программного обеспечения;
оборудовать устройства системами видеонаблюдения (минимум двумя видеокамерами) со сроком хранения записей видеосъемки не менее 60 календарных дней. Требования к типу и качеству систем видеонаблюдения, хранению информации, а также местам их установки (внутри или вне устройства) должны обеспечивать получение видеоизображения надлежащего качества;
обеспечить обнаружение, фиксацию фактов атак и попыток их совершения и информирование о них заинтересованных участников рынка розничных платежных услуг, а также Банка России;
проводить анализ и устранять выявленные уязвимости в случаях, когда используемое устройство подверглось атакам или попыткам их совершения;
совершенствовать применяемые решения и процедуры, направленные на обнаружение, фиксацию, идентификацию
осуществлять сотрудничество с иными кредитными организациями, а также осуществлять на регулярной основе обмен информацией в целях развития и совершенствования безопасности устройств;
размещать на экране устройства либо в пределах прямой видимости от него предупреждающие сообщения о необходимости соблюдения мер предосторожности при наборе персонального идентификационного номера при использовании устройства;
устанавливать устройства в безопасных местах (например, в государственных учреждениях, своих подразделениях, крупных торговых комплексах, гостиницах, аэропортах и тому подобное) с учетом настоящих Рекомендаций;
осуществлять крепление устройства к стене или к полу в помещениях и к фундаменту вне помещений, если это допускает его конструкция;
устанавливать устройства с антивандальным исполнением корпуса и панелей;
предусматривать при установке устройства возможность его безопасного использования маломобильными группами населения, людьми, с ограниченными возможностями здоровья;
страховать устройства и (или) наличные денежные средства, находящиеся внутри данных устройств.
Относительно физической безопасности банкоматов интерес представляет Письмо Отделения № 1 Московского Главного Территориального Управления ЦБ РФ от 10.08.2011 № 51-52-7/21227 «О направлении информации ГУ МВД России по г. Москве»:
Управление уголовного розыска ГУ МВД России по г. Москве предлагает:
1. Закреплять банкоматы с помощью анкерного крепления.
2. Оборудовать банкоматы фронтальным видеорегистратором со звукофиксацией.
3. Устанавливать в банкоматах GPS-трекер, с помощью которого можно определить местонахождение похищенного банкомата.
4. Использовать химловушки.
5. Усилить ригель замков хранилищ банкоматов.
6. Осуществлять постановку банкоматов на пультовую охрану УВО ГУ МВД России по г. Москве.
В последнее время органы МВД РФ проявляют большой интерес к обеспечению физической безопасности банкоматов. Учитывая парк банкоматов (на 1 июля 2013 г. — 137 865), постановка их на пультовую охрану вневедомственной охраны представляет большой финансовый рынок. В связи с этим МВД разработаны различные документы. В качестве примера в сети Интернет можно найти «Инструкцию по организации комплексной безопасности банкоматов кредитно-финансовых учреждений Краснодарского края (разработана для частных охранных организаций и мониторинговых компаний, осуществляющих охрану банкоматов)», которая является Приложением к Распоряжению ГУ МВД России по Краснодарскому краю от 20.12.2012 № 351.
Для банкоматов существуют рекомендации международных организаций, например Рекомендации по антискимминговым решениям для банкоматов для региона SEPA (Approved by Plenary — 17 December 2008).
1. Минимальные требования для антискимминговых решений с независимым тестированием.
Все поставщики банкоматов и многие их продавцы в состоянии обеспечить антискимминговые решения. Европейская группа безопасности банкоматов (European ATM Security Team — EAST) определила и поддерживает базу данных антискимминговых решений и их функциональных возможностей. Некоторые решения более эффективны, чем другие, однако в настоящее время нет никакого свидетельства или независимой оценки этих решений. Это делает выбор решения трудным, также преступники успешно обошли многие антискимминговые меры. Поэтому Рабочая группа по картам Cards Working Group рекомендует определить минимальные требования для антискиммингового решения и предоставить их для независимого анализа, тестирования и оценки.
Антискимминговое решение может использовать различные подходы, которые должны включать некоторые из ниженазванных:
• Устройство ввода карты в считыватель должно предотвратить крепление скимминговых устройств и (или) сделать такие устройства заметными.
• Необходимо обнаруживать, создавать помехи или нарушать работу скимминговых устройств, когда они присоединены к банкомату.
Везде, где возможно, эти решения должны быть в состоянии обнаружить скимминговые атаки и любое вмешательство
в устройство должно привести к закрытию банкомата или к генерации тревожного сообщения.
Кроме того, рекомендуется, чтобы система контроля банкоматов была в состоянии удаленно обнаружить, находятся ли электронные антискимминговые устройства в рабочем состоянии.
2. Операторы банкоматов должны также рассмотреть дополнительные меры, которые можно использоваться в зависимости от конкретных обстоятельств и экономических обоснований:
• Защитные экраны, чтобы скрыть руку клиента.
• Демонстрация на банкомате предупреждения, просящего клиентов «закрывать и заслонять свой ПИН».
• Демонстрация на банкомате предупреждения о скимминговых устройствах и телефон поддержки клиентов, чтобы сообщить об инцидентах.
• Общие рекомендации относительно безопасного использования банкоматов, которые будут изданы для повышения уровня образования клиентов.
• Предусмотреть неиспользование платежных (ATM) карт в системах контроля доступа, например, для прохода к банкомату.
• Регулярный визуальный осмотр банкоматов обслуживающим персоналом, обученным на предмет поиска скимминговых устройств.
• Использование экранов банкоматов для демонстрации того как должны выглядеть банкомат и считыватель карты.
• Контроль доступа при обслуживании банкоматов с отслеживанием людей, осуществлявших доступ к банкомату.
3. В случае установки нового банкомата в помещении с высоким риском и (или) при межстенном расположении антискимминговое устройство должно быть установлено как стандартная опция поставщиком банкомата или третьим лицом (сервисной службой).
Необходимо провести градацию мест установки банкоматов по категориям риска. Например, к зонам повышенного риска можно отнести межстенные банкоматы, банкоматы вне зоны наблюдения, с 24-часовым доступом. Категории риска места установки банкомата должны периодически пересматриваться.
4. Если банкомат подвергся нападению, антискимминговое устройство должно быть модернизировано.
Так как не все банкоматы или места их расположения одинаково уязвимы, то необходимо дополнительно рассмотреть рекомендации пункта 2 для банкоматов, которые подверглись нападению.
5. Операторы банкоматов, эмитенты и производители карт должны совершенствовать системы и процедуры определения скимминговых атак и мошеннических операций. Необходимо развивать сотрудничество и обмен информацией, чтобы свести потери к минимуму.
PCI Security Standards Council в январе 2013 г. выпустил документ Information Supplement: ATM Security Guidelines, который носит рекомендательный характер. В данном документе говорится, что нужен глобальный стандарт по безопасности банкоматов, регламентирующие документы PCI PTS POI Security Requirements и PCI PIN Security Requirements являются превосходными отправными точками для необходимого стандарта. При этом указывается, что они применяются только для ПОС-терминалов и возможность их применения для ATM только рассматривается PCI SCC. Во-первых, непонятно, что подразумевается под SCC. Возможно, это опечатка и имелся в виду SSC — Security Standards Council? Во-вторых, получается, что регламентирующих документов в отношении безопасности банкоматов со стороны PCI SSC нет, в том числе не подлежат обязательному исполнению PCI PTS и PCI PIN. Хотя в данных документах имеются прямые указания на требования в том числе и к банкоматам. Например, PCI PIN просто начинается с упоминания о банкоматах — в этом документе содержится полный комплект требований по безопасному управлению, обработке и передаче данных персонального идентификационного номера (ПИН) в процессе транзакции платежной карты в режимах онлайн и офлайн в банкоматах и терминалах для производства платежей в месте совершения покупки (ПОС-терминалах). В PCI PTS также говорится, что он распространяется на банкоматы, например ПИН-клавиатура банкомата должна быть сертифицирована по данному документу. Недостаточная проработанность данного документа (ATM Security Guidelines) проявляется в пункте 3.2, в котором говорится, что похищенная на банкоматах информация ПИН и трек (account data) применяются криминалом для изготовления поддельных карт и используется по всему миру, включая снятия в банкоматах, покупки в ПОС с ПИН, а также покупки без ПИН в операциях без присутствия карты. Такое утверждение свидетельствует о полном непонимании технологии мошенничества. Если у злодея есть трек и ПИН, зачем ему нужно в торговом ПОС-терминале осуществлять покупку (с использованием ПИН-кода), вместо того чтобы просто снять наличные в банкомате? Если есть только трек, но ПИН-кода нет, то изготавливают поддельную карту и используют в торговом ПОС-терминале, а не в card-not-present, так как нет CW2/CVC2 и 3D Secure.
Положение ЦБР от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монет Банка России в кредитных организациях на территории Российской Федерации» указывает, что в качестве средств безопасности кредитные организации могут применять специальные кассеты для банкоматов, которые в случае несанкционированного их вскрытия окрашивают купюры специальной краской.
7.3. При перевозке наличных денег, инкассации наличных денег кредитная организация может использовать специальные устройства для упаковки наличных денег, в случае несанкционированного вскрытия которых происходит окрашивание банкнот Банка России специальной краской, обладающей устойчивостью к воздействию растворителей, химических реактивов и другими отличительными характеристиками, позволяющими идентифицировать ее наличие на банкноте Банка России. В этом случае, а также при страховании наличных денег, перевозимых или инкассируемых в автотранспорте, требования, установленные в абзаце первом пункта 7.2 настоящего Положения, к оборудованию автотранспорта могут не применяться.
7.2. Для перевозки наличных денег, инкассации наличных денег кредитные организации, ВСП применяют технически исправный автотранспорт, оборудованный броневой защитой.
Условия приема ЦБ РФ окрашенных купюр от банков определены в Указании ЦБР от 05.06.2009 № 2248-У «Об условиях и по рядке приема на экспертизу и обмена банкнот Банка России, окрашенных специальной краской, на территории Российской Феде рации».
1. Головные расчетно-кассовые центры Банка России (далее — ГРКЦ) принимают на экспертизу от кредитной организации (филиала) (далее — кредитная организация) банкноты Банка России, окрашенные специальной краской в результате срабатывания специальных устройств для упаковки наличных денег (далее — спецконтейнеры).
Кредитная организация принимает от юридического лица, не являющегося кредитной организацией (далее — юридическое лицо), использующего спецконтейнеры, банкноты Банка России, окрашенные специальной краской в результате срабатывания спецконтейнера (далее — окрашенные банкноты) для их передачи на экспертизу в ГРКЦ.
2. Прием на экспертизу и обмен окрашенных банкнот осуществляется ГРКЦ только при наличии у них информации об используемых кредитной организацией (юридическим лицом) спецконтейнерах, а также характеристик специальной краски.
3. Кредитная организация не менее чем за 30 рабочих дней до начала использования спецконтейнеров и специальной краски направляет в Банк России (Департамент наличного денежного обращения Банка России) образцы специальной краски и техническую документацию на спецконтейнеры и специальную краску.
Юридическое лицо не менее чем за 30 рабочих дней до начала использования спецконтейнеров и специальной краски направляет в кредитную организацию образцы специальной краски и техническую документацию на спецконтейнеры и специальную краску.
Кредитная организация не позднее 3 рабочих дней со дня получения от юридического лица образцов специальной краски и технической документации на спецконтейнеры и специальную краску направляет их в Банк России (Департамент наличного денежного обращения Банка России).
По результатам исследования представленных образцов специальной краски и технической документации на спецконтейнеры и специальную краску Департамент наличного денежного обращения Банка России в течение 15 рабочих дней со дня получения образцов специальной краски и технической документации на спецконтейнеры и специальную краску направляет в территориальные учреждения Банка России письменное сообщение, содержащее: характеристики специальной краски, позволяющие идентифицировать ее наличие на банкнотах Банка России, а также полное фирменное наименование кредитной организации (юридического лица), использующего эту специальную краску и спецконтейнеры (далее — сообщение).
4. Прием ГРКЦ на экспертизу окрашенных банкнот осуществляется в порядке, установленном Указанием Банка России от 27.08.2008 № 2060-У «О кассовом обслуживании в учреждениях Банка России кредитных организаций и иных юридических лиц».
7. Направление юридическим лицом окрашенных банкнот в кредитную организацию осуществляется в порядке, установленном Положением Банка России от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации».
8. В случае признания экспертизой окрашенных банкнот платежеспособными их сумма возвращается: ГРКЦ кредитной организации в порядке, установленном Указанием Банка России № 2060-У для сомнительных денежных знаков, кредитной организацией юридическому лицу в порядке, установленном Положением Банка России № 318-П для сомнительных денежных знаков. В случае признания экспертизой окрашенных банкнот имеющими признаки подделки или неплатежеспособными, не содержащими признаков подделки, работа с ними осуществляется в порядке, установленном Указанием Банка России № 2060-У, Положением Банка России № 318-П.
В июле 2014 г. экспертная ATM-группа Ассоциации участников «МастерКард» (АУМ) выпустила «Рекомендации по защите банкоматов от несанкционированного доступа»:
В целях повышения безопасности и защиты от несанкционированного доступа к программному обеспечению банкоматов, работающих под управлением операционной системы Windows, а также для защиты от вредоносных программ рекомендуется произвести следующий комплекс мероприятий:
1. Произведите настройки BIOS.
А. Отключите загрузку с внешних устройств.
После запуска BIOS происходит поиск устройств хранения информации для запуска операционной системы — обычно это жесткий диск. Различные типы BIOS могут использовать разную технику выбора устройств хранения. Некоторые требуют полностью отключить загрузку с внешних устройств. Также есть BIOS, которые имеют способность обходить нормальную процедуру загрузки через PC-клавиатуру, например нажатием клавиши ESC во время загрузки. Такую возможность тоже нужно отключить. В BIOS возможность загрузки с USB при отсутствии загрузочного USB-устройства может не отображаться и, следовательно, при настройке это устройство по факту может оказаться первым. Если в BIOS запрещена загрузка со всех устройств, кроме HD, возможен вариант игнорирования запрета на запуск с CD, рекомендуется установить загрузку с CD второй, то есть когда неисправен HD.
Б. Установите пароль в BIOS.
После того как сделаны все настройки BIOS, доступ к нему должен быть защищен паролем. Большинство BIOS имеют два пароля: Supervisor и User. Нужно использовать только Supervisor. Пароль User должен быть выключен (disabled). Длину и корректные символы для ввода пароля определяет тип BIOS.
2. Осуществляйте инсталляцию ПО на банкомате при отключенном сетевом кабеле.
3. Произведите настройку учетных записей в Windows.
Для доступа к рабочему столу нужно использовать не менее двух учетных записей: администратор и рабочая.
4. Установите парольную политику и измените пароли по умолчанию у всех учетных записей.
Необходимо установить/изменить все пароли, установленные по умолчанию, в том числе для удаленного доступа, установки обновлений и т. п.
5. Отключите функцию автозапуска (autoplay, autorun).
6. Используйте стойкое шифрование каналов связи.
7. Установите межсетевой экран или используйте изолированную сетевую инфраструктуру.
8. Удалите неиспользованные службы и приложения.
9. Установите политику обновлений программного обеспечения (по согласованию с поставщиком ПО).
10. Задайте различные учетные записи пользователя прикладного ПО.
Прикладное ПО должно работать под учетной записью с минимальными полномочиями.
11. Обеспечьте мониторинг сигнала оповещения при открытии верхнего кабинета банкомата.
12. Используйте в диспенсере функцию шифрования.
13. Используйте программное обеспечение контроля запускаемого на исполнение ПО («белый» список).
14. Используйте систему удаленной загрузки терминальных мастер-ключей (Remote KeyManagement).
15. Используйте промышленную операционную систему, поддерживаемую производителем.
16. Используйте прикладное ПО, сертифицированное по стандарту PA-DSS.
17. Банкоматное программное обеспечение должно устанавливаться с инсталляционных дисков по технологии и регламентам, рекомендованным поставщиками банкоматов и ПО.
18. Используйте EPP клавиатуру, сертифицированную по стандарту PCI PTS.
19. Используйте режим ЕРР клавиатуры, соответствующий стандарту PCI PTS (защищенный ввод криптографических ключей).
20. Для неконсольного административного доступа к банкомату используйте программное обеспечение, обеспечивающее стойкое шифрование аутентификационных данных.
21. Заблокируйте или отключите не используемые для обслуживания порты ввода/вывода.
7.2. Некоторые виды атак на банкоматы и средства защиты
7.2.1. Физические атаки
Основные способы — это либо взлом сейфа на месте установки банкомата, либо хищение банкомата и его последующий взлом.
Проблема характеризуется тем, что большинство банкоматов оснащено сейфами первого класса устойчивости к взлому, что позволяет относительно просто и быстро их взламывать. В качестве инструментов используются шлифовальные машины типа «болгарка», газовые резаки, гидравлические инструменты для отжима дверей и др. Некоторое время назад по России прокатилась волна взломов банкоматов NCR, когда использовалась технологическая слабость запирающего механизма ригеля замка. В боковой стенке сейфа напротив середины ригеля с помощью фрезы высверливалось небольшое отверстие, в которое вставлялся прочный металлический стержень, по нему наносился сильный удар, и запорный механизм ломался. В последнее время, в том числе и в России (17 апреля 2013 г., Долгопрудный, ул. Гранитная, отделение Сбербанка), сейфы банкоматов стали взламывать, используя газообразные взрывчатые вещества. Ацетилен или бутан закачиваются в сейф, после чего производится детонация. Достаточно часто банкомат просто похищают и уже после этого вскрывают сейф, что дает больше времени для взлома и не требует какой-либо квалификации.
Штатная защита от хищений банкоматов — это их крепление:
1) к бетонному полу четырьмя анкерными болтами, закрепляемыми в скважине при помощи синтетической смолы, диаметром не менее 12 мм и глубиной не менее 150 мм;
2) к деревянному полу четырьмя анкерными болтами к стальной плите, которая крепится не менее чем четырьмя болтами к балкам перекрытия (рекомендации ATMIA). К сожалению (для банков), не каждый собственник помещения разрешит таким образом закрепить банкомат.
Предложение от производителей банкоматов по усилению устойчивости к взлому — это банкоматы с сейфами третьего класса. Такие банкоматы существенно тяжелее, что, с одной стороны, дополнительно затрудняет хищение самого банкомата, но с другой — накладывает определенные требования по обеспечению соответствующей стойкости к нагрузкам для перекрытий, на которые устанавливается банкомат. К тому же такие банкоматы дороже по стоимости.