Под прицелом – банкомат

Банкомат

Фото: pixabay

Связь между кризисом в экономике и ростом ATM-мошенничества точно доказать невозможно. Но факт остается фактом: именно за последний год в Украине зафиксировано рекордное количество преступных действий, связанных с банкоматами. Злоумышленники с каждым днем становятся все изобретательнее в вопросе о том, как украсть активы банков, – ведь сейчас в Интернете, обладая определенными знаниями, можно найти любую информацию. В этой ситуации все более актуальной становится необходимость быть на шаг впереди карточных мошенников.

«В нашей практике мы столкнулись с использованием специальных устройств для кражи карт и пин-кодов, – говорит Андрей Микитенко, Председатель Правления ОАО «ЭРДЭ БАНК». — Конечно, в первую очередь, необходимо уделять внимание технической защищенности банкоматов, средствам удаленного мониторинга и тем параметрам работы Процессингового центра, которые отвечают за обработку рисковых транзакций».

Большинство случаев мошенничества с банкоматами связано, в основном, со скиммингом – когда информация с магнитной полосы карты клиента, а также пин-код воруются с помощью модифицированного устройства для чтения карт, которое мошенники незаметно монтируют в банкомат, после чего вся собранная информация используется для создания дубликата карты.

Пин-код может быть украден посредством небольшой камеры-шпиона, накладки на клавиатуру банкомата, или же его могут подсмотреть «из-за плеча». Все чаще преступники используют беспроводную технологию bluetooth, которая передает данные карты и пин-код на удаленный ноутбук.

Скимминговые устройства могут быть размещены даже в карт-ридере на входящей двери отделения банка. Жертва использует карточку, чтобы попасть в холл, где стоят банкоматы, а в это время преступники крадут информацию с магнитной полосы карточки, и одновременно камера, расположенная над банкоматом, используется для получения пин-кода.

Проблема недостаточной надежности хранения информации на магнитной полосе, которую довольно просто скопировать и подделать, была частично решена путем введения EMV смарт-карт, также известных как чиповые карточки. Хотя эти карты имеют магнитную полосу, этого недостаточно, чтобы банкомат осуществил транзакцию. Таким образом, поддельные экземпляры EMV-карт не могут быть использованы для получения наличности в EMV-совместимых банкоматах. Ожидается, что большинство европейских стран будет иметь EMV-совместимые карты к концу 2010 года.

Производители банкоматов, в свою очередь, добавляют в свои машины новые современные устройства для защиты от мошенничества.

БЕЗОПАСНОСТЬ КАРТ-РИДЕРОВ

Большинство карт-ридеров современных банкоматов сконструированы так, чтобы снизить угрозу от карточного скимминга и траппинга (когда карта удерживается в банкомате с помощью механических приспособлений). Скажем, значительно усложняют установку скиммера для карт внешняя поверхность полосы вокруг слота для чтения карт и оригинальная подсветка.

Представляет особый интерес «технология варьирования» (Jitter technology), которая произвольно меняет скорость движения карты в карт-ридере, использует серию быстрых остановок и пусков и создает сложности для скиммингового устройства при чтении данных с карточки. Также банкомат обязательно должен иметь устройство мониторинга шторки карт-ридера, которое гарантирует, что она остается закрытой в то время, когда банкомат не используется.

Производители банкоматов предпочитают держать в секрете все антимошеннические устройства, но не скрывают, что их последние разработки в части алгоритмов обнаружения скиммеров качественно улучшились. «Теперь все новые банкоматы оборудованы рядом сенсоров (например, Wincor Nixdorf’s ASKIM II), которые принимают во внимание различия между отдельными видами скимминга, факторами окружающей среды, а также действиями пользователя и оборудованы защитой от ложного срабатывания», — говорит Роман Гуменюк, менеджер проектов Wincor Nixdorf.

Отметим, что еще в 2007 году NCR — мировой лидер по производству и поставке банкоматов — представил свое популярное решение Intelligent Fraud Detection (IFD), способное мгновенно обнаруживать попытки несанкционированного считывания и перехвата данных с карт. «Броский дизайн и подсветка приемного устройства для платежных карт сразу же привлекают внимание к блокиратору мошеннических устройств (FDI, Fraudulent Device Inhibitor). Таким образом, блокиратор препятствует подключению дополнительных приборов к блоку считывания информации с пластиковых карт и снижает вероятность несанкционированного копирования данных с их магнитной полосы», — уточняет Виктор Якубенко, глава представительства NCR в Украине.

БЕЗОПАСНОСТЬ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ

Конфиденциальность во время самообслуживания зависит от сохранения безопасности счетов клиентов. Банкоматы банка должны обеспечивать конфиденциальное окружение для клиентов, чтобы они могли проводить операции в условиях максимальной безопасности. Это достигается за счет установки зеркал заднего обзора для клиентов, встраиваемых козырьков и ширм, которые защищают персональную информацию клиента от глаз потенциальных мошенников.

Вдобавок к этому, шилды на некоторых пин-падах (устройствах для ввода пин-кода) обеспечивают дополнительную защиту от перехвата пин-кода вне той зоны, которая остается видимой для пользователя банкомата. Чеки печатаются с информацией на обратной стороне, что предоставляет пользователю еще одну опцию сохранения безопасности данных.

Вместе с тем в мире чрезвычайно распространен и такой вид мошенничества с использованием платежных карт, как фишинг. Название происходит от английского слова «рыбалка» из-за схожести методов совершения преступления: злоумышленники не взламывают компьютеры и пароли банка, как это принято у хакеров, а выуживают всю информацию у его клиентов, используя «наживку». В качестве таковой выступают письма на электронные адреса клиентов якобы из банка, в которых мошенники под любым предлогом (как правило, участие в различных акциях и розыгрышах ценных призов) просят сообщить персональную информацию, указанную на карте клиента: номер карты, срок ее действия, код CVV. В этом случае безопасность пользовательских данных зависит только от самого клиента: при малейших сомнениях нужно немедленно звонить в банк.

ШИФРОВАНИЕ ПИН-ПАДА

Технология шифрования пин-пада содержится в секретном модуле, который сразу шифрует пин-код после его ввода пользователем. В большинстве старых банкоматов используются устаревшие и небезопасные модули шифровки с помощью единичного DES-ключа.

Многие современные банкоматы настроены на создание ключей вдвое длиннее, а также с использованием тройного DES-шифрования (Triple-DES). Например, клавиатура Wincor Nixdorf EPP V6 умеет шифровать различными методами: Triple DES (Triple Data Encryption Standard) с размером ключа 168 bit и AES (Advanced Encryption Standard) с размером ключа 192 bit. При этом, чтобы взломать ключ Triple DES, понадобится порядка 4,6 млрд. лет, а для взлома ключа AES придется ждать 149 трлн. лет (из расчета скорости подбора 255 ключей в секунду).

Вдобавок в новых банкоматах используются современные механизмы безопасной удаленной транспортировки для эффективной доставки DES-ключей в банкомат, которые содержат дополнительную защиту идентификаторов, генераторы случайных чисел, цифровые сертификаты.

БЕЗОПАСНОСТЬ ДИСПЕНСЕРА

Очевидно, что системы безопасности кэш-диспенсеров (внешней части) должны быть сконструированы для сдерживания банкоматного скимминга, траппинга, сторонних устройств и оборудованы алгоритмом аннулирования ложных транзакций.

В качестве особенностей некоторых диспенсеров предусмотрены механизмы блокировки, а также форма дверей, которая обеспечивает плотное прилегание шторки после ее закрытия, чтобы исключить несанкционированный доступ. Датчики диспенсера при этом постоянно мониторят движение вокруг, чтобы опознать присутствие траппингового или скиммингового устройства и рапортовать о его наличии. Связь между процессором и диспенсером банкомата обязательно должна быть зашифрована, чтобы предотвратить его взлом с помощью стороннего компьютера.

БИОМЕТРИЧЕСКИЕ ХАРАКТЕРИСТИКИ

Бесспорно, опасность для банков таится в использовании старой техники и отсутствии обновлений. «В конечном счете, любому банку это, безусловно, грозит убытками. Помимо прямых и непрямых финансовых рисков, есть также затраты, связанные с выделением человеческих ресурсов на мониторинг, ремонт, работу с инцидентами. Не говоря уже о репутационном риске банка», — утверждает Андрей Микитенко.

И здесь приходит на помощь новая фишка производителей банкоматов — дополнительные аппаратные средства авторизации по биометрическим характеристикам: отпечаток пальца, рисунок сетчатки глаза, рисунок вен на руке, которые также входят в список предлагаемых производителями решений по повышению безопасности.

Ожидается, что в ближайшее время банки будут модифицировать или менять устаревшую технику для поддержки чиповых технологий и интенсифицируют усилия по максимальному обеспечению работоспособности и безопасности банкоматов. Учитывая то, что волна АТМ-мошенничества уже докатилась до Украины, банки, которые предпочтут игнорировать важность усилий в сфере безопасности банкоматов, рискуют попасть в самый эпицентр проблем, понести существенные убытки, а также потерять деловую репутацию.

Автор: Артем Румянцев
для журнала “БАНКИРЪ” № 1 (31) 2010


деньги от МФО здесь и сейчас!

Востребованный сервис - онлайн-кредит на карту без справки о доходах

кредит наличными от банка - не плати лишнего!

До 50 тыс грн, до 5 лет - от самого надежного европейского банка

кредитная карта банка - не откладывай жизнь на завтра!

Успей бесплатно получить кредитную карту World с кредитом 200 тыс, грейс 55 дней