Анализ на начините за доказване на банкови сделки
С нарастването на популярността на интернет банкиране и онлайн плащания всички толкова по-остра става на проблема с измамите в тази област. Целта на нападателите е да получи данни за кредитна карта или, в случай на онлайн банкиране потребителско име и парола за достъп до сметката. подробности за банкови карти, използвани в операции, без да представи картата е най-вече да плащат за стоки в магазини. До тогава, някои банки за такива сделки се използват само CVV2 код. отпечатан върху картата. Познаването на този код, всъщност, не означава, че купувачът е истинският картодържател. За да повишат нивото на сигурност банки са използвали еднократни пароли, активни само за една транзакция. В резултат на това нападателите са започнали да използват повече от методите за прихващане и спуфинг подробности за сделките, извършвани, а не да се занимават със собствените подробности за транзакцията откраднати. При изпълнението на измами също е важна част от платформата на сделка.
Нападателите измами, използвайки различни методи, като "човек по средата» ( "Човекът-в-средата") и "човек в браузъра" ( "Човекът-в-Browser"), чрез фалшиви фишинг сайтове, преиздаване на SIM картата карти и т.н.
Какво банки използват, за да се намали риска от измами?
Някои от тях като допълнителен фактор удостоверяване с помощта на постоянна парола. Потребителят определя паролата веднъж (за регистрация) и в извършването на всяка онлайн плащане влиза името му. В действителност обаче, този метод на защита е било неефективно. Тъй като паролата е непроменена от една работа към друга, това е достатъчно, за да открадне веднъж за всички измамни сделки. Нападателите са се научили да направите това с помощта антивирусен софтуер. Паролата може да бъде получена от компютъра на жертвата на Троян, като кликнете върху съхранението на клавиатура (Keylogger) или писане на данни от уеб формуляри (форма захващане) или представляващи потенциална жертва на фалшив сайт (онлайн магазин), който събира информация за картата (фишинг). Много начини.
Международни платежните системи (IPS), както и банките са загрижени за нивото на сигурността на сделката. Един добър доказателство за това са системата за сделка потвърждение "Проверено от Visa" и "MasterCard SecureCode", въз основа на Secure технологията 3D. Характерна особеност на тази технология се потвърди сделката е в процес на потвърждаващо, че участва трета страна (от 3D - 3 области), т.е. в допълнение към банката на купувача (емитента) и банката на продавача (приобретател) MPS участва в установяването на автентичността. В действителност, основните функции на МПК тук - да намерят банката-издател и проверка, че 3D-Secure клиентът на услугите, както и събирането на удостоверяване на клиента истории. Важно в тази технология - прехвърлянето на отговорността от приемащата банка за банката-издател, като в този случай тя е последният позволява ( "Знаци") сделка. На свой ред, средство за потвърждаване на сделката не зависи от МПК и може да бъде всеки.
Като средство за защита срещу измамни сделки на различните решения, предлагани допълнително удостоверяване на банковите клиенти при плащане чрез интернет (потвърдите банкови операции от страна на клиента). Банката предлага на своите клиенти широка гама от средства за защита, които варират от SMS-информация и скреч карти и завършва скъп хардуер kriptokalkulyatorami и еднократни генератори парола. Към днешна дата, "пазар" предоставя следните инструменти:
SMS-съобщения с еднократни пароли
Автономните генератори за еднократна употреба код
EMV читатели ОСП
Мобилно приложение (софтуер kriptokalkulyator)
Мобилни приложения, използващи QR-код
Скреч карти и др
Най-широко използваните сред банките получили SMS-известяване. Методът се състои в това, че когато един клиент потвърждение на сделката в интернет на мобилния си устройство получавате SMS, съдържащи еднократна парола (OTP), който трябва да наберете, за да потвърдите.
Хардуер генератори за еднократна употреба кодове са по-сигурно решение, тъй като без недостатъци, присъщи на SMS-информация. Основният недостатък на това решение, в допълнение към относително високата цена (около 400 рубли.), - липса на задължителен единен код за сключване на сделки, което дава възможност за заместване на платежното нареждане с помощта на сляпо сайт.
Хардуер kriptokalkulyatory един от най-сигурните решения. Това устройство премахва възможността за всяка смяна. Въпреки това, независимо от високата цена (700 рубли.), Това решение изисква ръчно въвеждане на данни в клиентското устройство в извършването на всяка сделка, която, разбира се, ще доведе до клиентския дискомфорт.
Друг вид на самостоятелни средства за удостоверяване - това четци на карти, които поддържат технологията EMV ОСП. Те се характеризират с относително ниска цена (около 500 рубли.), Както и високо ниво на сигурност. неперсонализираното самия четец на карти. В действителност, генерирането на код е EMV-чип, вграден в пластмасова карта на клиента. За да въведете информацията, и на изхода на готовия код използва евтин четец. Тази технология вече се използва от някои руски кредитни организации.
Кодове за потвърждение, генерирани от технологиите EMV ОСП от страната на банката се проверяват с помощта на специализиран софтуер. Този софтуер взаимодейства с хардуер защитено хранилище (HSM), който съхранява тайни ключове EMV карти, използвани за изчисляване на симетрични парола и проверка кодовете еднократни. Особеността на тази технология - защита само chipovat карти. Магнитните карти ще останат уязвими.
Основното предимство на оптични жетони преди kriptokalkulyatorami е необходимо да въведете данните ръчно. Цялата информация за платежното нареждане се чете от екрана на компютъра с оптичен сензор, вграден в знак. След въвеждане на информация за операцията на екрана на компютъра се показва код за потвърждение и трептене код, където кодирани данни на токен. Четейки, символични дисплеи вградения екран, както и подробна информация за кода на декодирана отговор, изчислени с използването на подпори. Потребителят проверява информация и въведе кода за отговор. Основният недостатък на тези решения - високата им цена (от 1500 търкайте.).
Друго решение, като се използва ново поколение QR-код, - VASCO CrontoSign технология. QR-код тук е криптографски цвят матрица, съдържаща подробности за платежното нареждане. VASCO предлага както софтуерно решение (мобилно приложение) и хардуер - DIGIPASS 760.
Тъй като хардуерно базирани решения често са скъпи, и софтуер, са с ниска степен на сигурност, някои банки все още предлагат на клиентите скреч карта със списък на еднократни пароли.
Какво е добро, те не зависят от никакви външни фактори и имат сравнително ниска цена (понякога клиентът е безплатно). Но съдържа ограничен брой пароли (в повечето случаи - 112), който ще изисква активен потребител на интернет банкиране постоянни пътувания до банков клон. Разбира се, можете да вземете няколко. Ето защо, основният недостатък е, че паролите за еднократни не са обвързани с операцията. измамата на нападателя да се обърнете на клиента да фалшив уебсайт и да превключвате си за плащането или да поиска от следващата еднократна парола от номер от списъка, позовавайки се на в синхрон със сървъра. В последния случай, клиентът ще се направи реална плащане, но след това плащане трябва да е измамна.
В допълнение към вече описаните техники в решаването на проблемите на измама може да помогне на клиентите да проактивна технология за защита. Тези технологии се използват в чуждестранна компания Trusteer продукти в "Лаборатория Касперски" продукти. Те осигуряват на банката с информация за риска от измами чрез сметката на клиента, историята на данни компромис клиент, а също така позволява на клиента да се избегне кражба и подмяна на данни по време на сделката. Клиентският модул на този тип решение е един вид "анти-вирус" за браузър проверка за онлайн банкиране, която защитава данните за вход прозорец и така нататък. Г. Такава технология за защита, разбира се, не може да замени технологията проверка сделка. Но използването на банката и клиента в същото време този тип решения ще се намали рискът от измами при онлайн банкиране и онлайн плащания до минимум.