Под прицелом – банкомат

Банкомат

Фото: pixabay

Связь между кризисом в экономике и ростом ATM-мошенничества точно доказать невозможно. Но факт остается фактом: именно за последний год в Украине зафиксировано рекордное количество преступных действий, связанных с банкоматами. Злоумышленники с каждым днем становятся все изобретательнее в вопросе о том, как украсть активы банков, – ведь сейчас в Интернете, обладая определенными знаниями, можно найти любую информацию. В этой ситуации все более актуальной становится необходимость быть на шаг впереди карточных мошенников.

«В нашей практике мы столкнулись с использованием специальных устройств для кражи карт и пин-кодов, – говорит Андрей Микитенко, Председатель Правления ОАО «ЭРДЭ БАНК». — Конечно, в первую очередь, необходимо уделять внимание технической защищенности банкоматов, средствам удаленного мониторинга и тем параметрам работы Процессингового центра, которые отвечают за обработку рисковых транзакций».

Большинство случаев мошенничества с банкоматами связано, в основном, со скиммингом – когда информация с магнитной полосы карты клиента, а также пин-код воруются с помощью модифицированного устройства для чтения карт, которое мошенники незаметно монтируют в банкомат, после чего вся собранная информация используется для создания дубликата карты.

Пин-код может быть украден посредством небольшой камеры-шпиона, накладки на клавиатуру банкомата, или же его могут подсмотреть «из-за плеча». Все чаще преступники используют беспроводную технологию bluetooth, которая передает данные карты и пин-код на удаленный ноутбук.

Скимминговые устройства могут быть размещены даже в карт-ридере на входящей двери отделения банка. Жертва использует карточку, чтобы попасть в холл, где стоят банкоматы, а в это время преступники крадут информацию с магнитной полосы карточки, и одновременно камера, расположенная над банкоматом, используется для получения пин-кода.

Проблема недостаточной надежности хранения информации на магнитной полосе, которую довольно просто скопировать и подделать, была частично решена путем введения EMV смарт-карт, также известных как чиповые карточки. Хотя эти карты имеют магнитную полосу, этого недостаточно, чтобы банкомат осуществил транзакцию. Таким образом, поддельные экземпляры EMV-карт не могут быть использованы для получения наличности в EMV-совместимых банкоматах. Ожидается, что большинство европейских стран будет иметь EMV-совместимые карты к концу 2010 года.

Производители банкоматов, в свою очередь, добавляют в свои машины новые современные устройства для защиты от мошенничества.

БЕЗОПАСНОСТЬ КАРТ-РИДЕРОВ

Большинство карт-ридеров современных банкоматов сконструированы так, чтобы снизить угрозу от карточного скимминга и траппинга (когда карта удерживается в банкомате с помощью механических приспособлений). Скажем, значительно усложняют установку скиммера для карт внешняя поверхность полосы вокруг слота для чтения карт и оригинальная подсветка.

Представляет особый интерес «технология варьирования» (Jitter technology), которая произвольно меняет скорость движения карты в карт-ридере, использует серию быстрых остановок и пусков и создает сложности для скиммингового устройства при чтении данных с карточки. Также банкомат обязательно должен иметь устройство мониторинга шторки карт-ридера, которое гарантирует, что она остается закрытой в то время, когда банкомат не используется.

Производители банкоматов предпочитают держать в секрете все антимошеннические устройства, но не скрывают, что их последние разработки в части алгоритмов обнаружения скиммеров качественно улучшились. «Теперь все новые банкоматы оборудованы рядом сенсоров (например, Wincor Nixdorf’s ASKIM II), которые принимают во внимание различия между отдельными видами скимминга, факторами окружающей среды, а также действиями пользователя и оборудованы защитой от ложного срабатывания», — говорит Роман Гуменюк, менеджер проектов Wincor Nixdorf.

Отметим, что еще в 2007 году NCR — мировой лидер по производству и поставке банкоматов — представил свое популярное решение Intelligent Fraud Detection (IFD), способное мгновенно обнаруживать попытки несанкционированного считывания и перехвата данных с карт. «Броский дизайн и подсветка приемного устройства для платежных карт сразу же привлекают внимание к блокиратору мошеннических устройств (FDI, Fraudulent Device Inhibitor). Таким образом, блокиратор препятствует подключению дополнительных приборов к блоку считывания информации с пластиковых карт и снижает вероятность несанкционированного копирования данных с их магнитной полосы», — уточняет Виктор Якубенко, глава представительства NCR в Украине.

БЕЗОПАСНОСТЬ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ

Конфиденциальность во время самообслуживания зависит от сохранения безопасности счетов клиентов. Банкоматы банка должны обеспечивать конфиденциальное окружение для клиентов, чтобы они могли проводить операции в условиях максимальной безопасности. Это достигается за счет установки зеркал заднего обзора для клиентов, встраиваемых козырьков и ширм, которые защищают персональную информацию клиента от глаз потенциальных мошенников.

Вдобавок к этому, шилды на некоторых пин-падах (устройствах для ввода пин-кода) обеспечивают дополнительную защиту от перехвата пин-кода вне той зоны, которая остается видимой для пользователя банкомата. Чеки печатаются с информацией на обратной стороне, что предоставляет пользователю еще одну опцию сохранения безопасности данных.

Вместе с тем в мире чрезвычайно распространен и такой вид мошенничества с использованием платежных карт, как фишинг. Название происходит от английского слова «рыбалка» из-за схожести методов совершения преступления: злоумышленники не взламывают компьютеры и пароли банка, как это принято у хакеров, а выуживают всю информацию у его клиентов, используя «наживку». В качестве таковой выступают письма на электронные адреса клиентов якобы из банка, в которых мошенники под любым предлогом (как правило, участие в различных акциях и розыгрышах ценных призов) просят сообщить персональную информацию, указанную на карте клиента: номер карты, срок ее действия, код CVV. В этом случае безопасность пользовательских данных зависит только от самого клиента: при малейших сомнениях нужно немедленно звонить в банк.

ШИФРОВАНИЕ ПИН-ПАДА

Технология шифрования пин-пада содержится в секретном модуле, который сразу шифрует пин-код после его ввода пользователем. В большинстве старых банкоматов используются устаревшие и небезопасные модули шифровки с помощью единичного DES-ключа.

Многие современные банкоматы настроены на создание ключей вдвое длиннее, а также с использованием тройного DES-шифрования (Triple-DES). Например, клавиатура Wincor Nixdorf EPP V6 умеет шифровать различными методами: Triple DES (Triple Data Encryption Standard) с размером ключа 168 bit и AES (Advanced Encryption Standard) с размером ключа 192 bit. При этом, чтобы взломать ключ Triple DES, понадобится порядка 4,6 млрд. лет, а для взлома ключа AES придется ждать 149 трлн. лет (из расчета скорости подбора 255 ключей в секунду).

Вдобавок в новых банкоматах используются современные механизмы безопасной удаленной транспортировки для эффективной доставки DES-ключей в банкомат, которые содержат дополнительную защиту идентификаторов, генераторы случайных чисел, цифровые сертификаты.

БЕЗОПАСНОСТЬ ДИСПЕНСЕРА

Очевидно, что системы безопасности кэш-диспенсеров (внешней части) должны быть сконструированы для сдерживания банкоматного скимминга, траппинга, сторонних устройств и оборудованы алгоритмом аннулирования ложных транзакций.

В качестве особенностей некоторых диспенсеров предусмотрены механизмы блокировки, а также форма дверей, которая обеспечивает плотное прилегание шторки после ее закрытия, чтобы исключить несанкционированный доступ. Датчики диспенсера при этом постоянно мониторят движение вокруг, чтобы опознать присутствие траппингового или скиммингового устройства и рапортовать о его наличии. Связь между процессором и диспенсером банкомата обязательно должна быть зашифрована, чтобы предотвратить его взлом с помощью стороннего компьютера.

БИОМЕТРИЧЕСКИЕ ХАРАКТЕРИСТИКИ

Бесспорно, опасность для банков таится в использовании старой техники и отсутствии обновлений. «В конечном счете, любому банку это, безусловно, грозит убытками. Помимо прямых и непрямых финансовых рисков, есть также затраты, связанные с выделением человеческих ресурсов на мониторинг, ремонт, работу с инцидентами. Не говоря уже о репутационном риске банка», — утверждает Андрей Микитенко.

И здесь приходит на помощь новая фишка производителей банкоматов — дополнительные аппаратные средства авторизации по биометрическим характеристикам: отпечаток пальца, рисунок сетчатки глаза, рисунок вен на руке, которые также входят в список предлагаемых производителями решений по повышению безопасности.

Ожидается, что в ближайшее время банки будут модифицировать или менять устаревшую технику для поддержки чиповых технологий и интенсифицируют усилия по максимальному обеспечению работоспособности и безопасности банкоматов. Учитывая то, что волна АТМ-мошенничества уже докатилась до Украины, банки, которые предпочтут игнорировать важность усилий в сфере безопасности банкоматов, рискуют попасть в самый эпицентр проблем, понести существенные убытки, а также потерять деловую репутацию.

Автор: Артем Румянцев
для журнала “БАНКИРЪ” № 1 (31) 2010


онлайн кредит от МФО на карту за 15 минут!

Кредит от европейской компании, соблюдающей нормы Евросоюза

кредит наличными от ведущего банка

До 200 тыс грн наличными на любые цели без залога и поручителей

кредитная карта банка - не откладывай жизнь на завтра!

Успей бесплатно получить кредитную карту World с кредитом 200 тыс, грейс 55 дней