Мошенничество в платежной сфере. Бизнес-энциклопедия

Коллектив авторов

Для предотвращения хищения и взлома банкоматов некоторые компании предлагают различные инженерно-технические средства.

Охранные системы. Банкомат оборудуется различными датчиками и выводом тревожного сигнала на пульт охранных структур. Рассмотрим некоторые недостатки данных систем. Во-первых, охранные системы значительно удорожают стоимость владения банкоматами: цена оборудования охранного комплекта и монтажных работ (разовые затраты), стоимость технического обслуживания и услуг оперативного реагирования на срабатывание сигнализации (ежемесячные затраты). Затраты на охранные системы могут превысить потери от хищений и взломов банкоматов. Во-вторых, у банкоматов отсутствует надежный канал передачи тревожного сигнала. Для этой цели обычно используют комплекс из проводной и беспроводной (сотовой) связи. Оба канала достаточно легко нейтрализуются: проводной канал легко обнаруживается и повреждается, для сотовой связи используют «глушилки» или повреждают

антенну. В охранных системах исчезновение связи с объектом охраны воспринимается как срабатывание сигнала тревоги. Но для банкоматов пропадание канала связи по различным техническим причинам довольно частая ситуация. Дополнительно злоумышленники могут использовать имитацию обрыва связи как ложных срабатываний охранной сигнализации. Третья проблема — это реагирование на тревожный сигнал. Штатное время прибытия тревожной группы с момента поступления сигнала составляет 10–20 минут. Но в случае срабатывания, например, датчика открытия дверей сейфа банкомата прибытие тревожной группы в любом случае будет запоздалым, так как время между открытием сейфа (срабатывание датчика) и изъятием из него кассет с денежными купюрами составляет всего несколько секунд. Таким образом, установка данного датчика оказывается практически неэффективной. Для обеспечения более раннего реагирования на взлом сейфа банкомата используют другие типы датчиков: вибрации, нагревания, открытия верхнего кабинета, фальшпанели. Но даже они могут не дать ожидаемый результат. Если сейф банкомата (первой категории) вскрывает специалист, то время взлома составит менее пяти минут, что меньше расчетного времени прибытия тревожной группы. Если для взлома сейфа используют газообразные взрывчатые смеси, то указанные датчики также оказываются неэффективными. Даже если установить в сейф датчики-газоанализаторы, то время закачки газа и его взрыва окажется меньше времени прибытия тревожной группы. Для защиты от данной угрозы предлагается совместно с газоанализаторами, которые обнаруживают взрывоопасную смесь, использовать специальное устройство, которое распыляет специальный химикат и изменяет состав взрывчатой смеси, делая взрыв невозможным. Однако такая система может быть нейтрализована, если закачать газ в оболочку. Для того чтобы увеличить время с момента срабатывания сигнала тревоги до момента изъятия денежных средств, на рынке существуют предложения, затрудняющие действия злоумышленников. В качестве таких средств может использоваться стробоскопическая вспышка, безопасный туман (гликоль и вода), пиропатроны с красящими веществами и (или) перцовым газом. На использование таких систем необходимо разрешение собственника помещения. Также нужно иметь в виду, что система может сработать нештатно (ложное срабатывание). Если в дневное время в каком-либо торговом центре из банкомата пойдет слезоточивый газ, то, вероятно, у банка в связи с этим возникнут определенные проблемы. Дополнительные трудности для групп реагирования составляют места расположения банкоматов. Предположим, охранная сигнализация сработала на банкомате, который находится внутри здания (помещения) закрытого (под сигнализацией) в данное время (ночь). Группа реагирования прибывает к месту установки банкомата, но попасть в помещение не может. Необходимо дополнительное соглашение либо с собственником, либо с охранной структурой данного помещения, при этом срабатывание сигнализации на банкомате может быть ложным. В итоге получается, что охранная сигнализация на банкоматах, с одной стороны, достаточно дорогостоящее средство, а с другой — не может обеспечить 100 % безопасности денежных средств.

Для предотвращения хищений со стороны сотрудников инкассации производители банкоматов предлагают кассеты с функцией контроля открытия шторки кассеты.

В качестве универсального средства безопасности, которое должно сделать бессмысленным любое хищение денежных средств из банкоматов, предлагается использование специальных кассет, в случае несанкционированного вскрытия которых происходит окрашивание банкнот специальной краской. Нормативные документы Банка России позволяют использовать данное оборудование (см. Положение ЦБР от 24.04.2008 № 318-П и Указание ЦБР от 05.06.2009 № 2248-У). Но на сегодняшний день они не нашли применения в российских банках. Помимо общего увеличения стоимости банкомата, данные кассеты требуют определенного обращения со стороны служб инкассации для предотвращения ложных срабатываний. Помимо этого, нет гарантии, что купюры, залитые краской, не будут приняты банкоматами с функцией приема наличных в качестве платежеспособных. Прецеденты приема окрашенных евро российскими банкоматами уже были.

В качестве средства безопасности также предлагаются системы видеонаблюдения. Хотя необходимо заметить, что это скорее средство фиксации, которое не может затруднить хищение или взлом банкомата. При выборе данных систем необходимо учитывать следующие моменты:

1. Система работает в автономном режиме — видеоархив хранится локально на банкомате, удаленный доступ для проверки, настройки системы и получения видеозаписей отсутствует. Такая система не требует дополнительного канала подключения, что упрощает и удешевляет ее стоимость. Но для получения видеозаписи необходим выезд сотрудников к банкомату. В случае неисправности такой системы об этом может стать известно только после ее локальной проверки.

2. Система имеет удаленное подключение. Может быть реализован режим только удаленного контроля работоспособности либо дополнительно обеспечена возможность настройки системы и получения видеозаписей. Режим удаленного контроля работоспособности может быть реализован путем интеграции программного обеспечения системы видеорегистрации и банкомата и передачи статусов компонентов системы видеорегистрации по стандартному протоколу подключения банкомата. Удаленное получение видеозаписей требует дополнительного канала подключения.

3. Система видеорегистрации интегрирована с программным обеспечением банкомата. На видеозапись накладываются (в виде титров и записи в базу) системные события работы банкомата (карта вставлена, денежные средства выданы и др.). Интеграция может быть осуществлена по согласованию с производителем банкомата либо без такого согласования (информация в систему видеорегистрации поступает с уровня XFS). В последнем случае банк может иметь определенные проблемы с гарантийным и постгарантийным обслуживанием со стороны производителя банкомата.

4. Видеорегистратор выполнен в виде отдельного устройства или в виде платы видеозахвата, встроенной в системный блок компьютера банкомата. Второй вариант дешевле, но значительно уступает по надежности первому, так как проблемы одного устройства могут привести к проблемам на другом (одна операционная система, «зависание» и др.)

5. При выборе системы видеорегистрации также имеет значение, какие используются видеокамеры, качество видеозаписи, глубина архива.

6. При большом парке банкоматов и удаленном подключении системы видеорегистрации необходимо рассмотреть характеристики автоматизированного рабочего места оператора (контроль, мониторинг, настройка).

Необходимо отметить, что в настоящий момент наиболее востребованным средством минимизации потерь от физических атак на банкоматы является страхование самих банкоматов и находящихся в них наличных денежных средств. Остальные меры безопасности (охранная сигнализация, окрашивание купюр) на сегодняшний день являются для банков слишком затратными — потери от хищений меньше затрат на технические средства безопасности.

7.2.2. Интеллектуальные атаки

Наибольшие потери платежная индустрия несет от всевозможных скимминговых устройств, целью которых является получение информации с магнитной полосы платежной карты и ПИН-кода держателя. Скимминговые устройства могут либо накапливать информацию, либо сразу же передавать ее по беспроводным каналам.

Интересно, что в третьей версии стандарта PCI DSS (Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.0 November 2013) появились требования по отношению к скиммингу. Пункт 9.9 указывает, что необходимо защищать устройства, которые получают данные платежной карты через прямое физическое взаимодействие с картой, от вмешательства и замены (skimming). Однако в примечаниях оговаривается, что эти требования применяются к устройствам, используемым в транзакциях с присутствием карты в торговой точке. То есть требования предъявляются только к ПОС-терминалам, для банкоматов требований по защите от скимминговых устройств нет! (Требование 9.9 является рекомендацией, передовой практикой до 30 июня 2015 г., после становится обязательным.)

Рис. 7.1. Количество скимминговых устройств, выявленных в России. Данные АРЧЕ/АУМ

Копирование магнитной полосы осуществляется такими способами, как:

— установка скиммингового устройства на ридер банкомата;

— установка скиммингового устройства на штатную антискимминговую накладку ридера банкомата;

— установка скиммингового устройства на входной двери в помещение, где установлен банкомат;

— установка скиммингового устройства внутри банкомата;

Копирование ПИН осуществляется следующими способами:

— накладная ПИН-клавиатура;

— pinhole-камера;

— внешняя (вне банкомата) камера;

— ИК-камера.

Производители банкоматов, обеспокоенные данным явлением, стали предлагать дополнительные устройства для защиты банкоматов от этого вида угроз. На первоначальном этапе противодействия скиммингу использовались пассивные антискимминговые устройства, которые просто затрудняли физическую установку скимминга. Однако достаточно быстро появились скимминговые устройства, разработанные специально под пассивные антискимминговые накладки. В результате чего держатели не могли отличить, какое устройство установлено на банкомате.