Мошенники придумывают все новые способы обмана. Но банковские технологии тоже не стоят на месте

Как устроена защита транзакций

Транзакции по банковским картам проходят по сложной цепочке, которая призвана обеспечить как высокую скорость оплаты, так и достаточный уровень безопасности. Говоря кратко, все сводится к обмену данными между торговой точкой, банком-эквайером, платежной системой и банком-эмитентом. При этом для ускорения расчетов используются специальные счета в процессинговых центрах – информация по ним обновляется буквально в режиме реального времени, тогда как транзакции по карточному счету в банке проходят в срок до 3 рабочих дней.

Чтобы транзакции были безопасными, все каналы связи должны быть хорошо защищены. Например, POS-терминал в торговой точке получает данные карты, а если она не бесконтактная – то еще и пин-код. Соответственно, канал связи терминала с сервером банка должен быть защищен. Соответственно, весь дальнейший обмен информацией между звеньями цепочки транзакции должны быть защищены.

Крупные банки обычно открывают собственные процессинговые центры, банки поменьше заключают соглашения со сторонними центрами. К тому же определенная часть информации обрабатывается в центрах обработки данных. В ЦОДах обычно обеспечивается полномасштабная система защиты данных, которая включает:

• защиту от вторжений посторонних (в том числе от сетевых атак);
• мониторинг систем информационной безопасности;
• защита от несанкционированного доступа к рабочим местам сотрудников;
• межсетевые экраны и разграничение сетевых потоков;
• антивирусная защита, и многое другое.

Все это дает свои результаты – сейчас подавляющее большинство случаев воровства денег с карт связано с тем, что мошенники используют методы социальной инженерии и обманывают конечного пользователя – держателя карты.

Какие технологии применяются в защите

Как мы уже написали, банки, платежные системы, процессинговые центры и центры обработки данных используют многоуровневую защиту данных клиентов, и она вполне эффективна. Эффективность ее обеспечивается использованием самых современных технологий (и расходы на такие системы соответствующие).

Например, недавно облачный сервис от компании G-Core Labs начал обработку транзакций банков, финтех-компаний и розницы по всему миру, получив сертификацию стандарта PCI DSS 3.2.1 в хранения, обработки и передачи данных платёжных карт. Сам стандарт – совокупность требований к обеспечению безопасности данных о держателях карт. Кроме того, облачная инфраструктура позволяет использовать так называемые анклавы – когда пользовательский код работает в изолированных областях памяти для защиты от внешних процессов. Для этого используется стандарт шифрования Intel SGX на IaaS-уровне облака G-Core Labs.

Но и это еще не все – сейчас технологии позволяют защитить данные и на уровне конечного пользователя систем. Так, для защиты от мошенничества уже де-факто стал стандартом такой набор технологий:

• протокол SSL (Secure Socked Layer) – он дает возможность зашифровать данные, передаваемые от компьютера пользователя к серверу. По сути, данные передаются по протоколу HTTPS – и современные браузеры выделяют такие сайты специальными отметками;
• 3D-Secure – ее суть в том, что для подтверждения любой онлайн-транзакции нужно ввести код, который приходит в смс на привязанный к карте номер телефона. Сейчас, конечно, мошенники постепенно научились «обходить» эту защиту через удаленный рабочий стол, но все снова упирается в социальную инженерию (то есть, попросту обман пользователя);
• авторизация на уровне платежной системы – это касается использования PayPal, Apple Pay или Google Pay. Эти системы самостоятельно передают информацию о картах на сервер, а клиенту достаточно авторизоваться в системе или просто разблокировать смартфон паролем или отпечатком пальца№
• антифрод-системы – оценивают весь поток операций и пытаются выделить те из них, которые так или иначе отличаются от других. Например, поток однотипных транзакций с одной карты может свидетельствовать о несанкционированном доступе к ней – и такие операции временно приостанавливаются.

Однако ни одна технология не защитит деньги на карте, если сам клиент банка передаст ее данные мошеннику.

Бдительность терять не стоит

Сейчас большинство случаев мошенничества с картами – следствие того, что злоумышленники неплохо освоили методы социальной инженерии. Они способны «вытащить» данные карты, коды из смс и другие данные даже из тех клиентов банков, которым хорошо известны все мошеннические схемы. И бороться с этим можно только одним способом – постоянно просвещать пользователей о новых рисках.

Самое простое правило – банк никогда не звонит клиенту и не просит у него данные карты (хотя бы потому, что они у него и так есть). И не просит перевести деньги на «резервный счет», и не просит установить какие-то приложения.

Мошенники совершенствуют свои «технологии». Например, они могут убедить человека, что действительно являются сотрудниками банка, раскрыв какие-то личные данные клиента – адрес, ФИО, место работы и т.д. Но на самом деле, если из банка «сливают» данные, то в полном объеме – и такая осведомленность о данных клиента вполне объяснима.

Некоторые банки предлагают подключить страховку от мошенничества по карте. Делать это или нет – личное дело каждого. Но стоит понимать, что если деньги украдут по вине банка, именно он будет их возвращать клиенту. А если клиент сам раскроет мошеннику свои данные – то никакая страховка этот ущерб не покроет.