загрузка...
 
2.4.3. Забезпечення безпеки електронних платежів
Повернутись до змісту

2.4.3. Забезпечення безпеки електронних платежів

В першу чергу нас цікавить стан справ на ринку масових електронних розрахунків в Україні. Відзначимо, що аналіз основних статистичних по­казників діяльності банків України на ринку платіжних карток за останні роки дозволяє зробити висновок про стійку тенденцію зростання потен­ціалу цього ринку в Україні. Загальна кількість платіжних карток, еміто­ваних українськими банками (за якими була здійснена хоча б одна опера­ція протягом року), лише протягом 2004 року збільшилась на 48 % з 11529 тис. шт. до 17079 тис. шт. Співвідношення кількості карток, емітованих різними платіжними системам на території України, показано на Рис. 2.4.31. При збільшенні загальної кількості платіжних карток в цілому в Україні,спостерігається тенденція скорочення частки так званих неплат­іжних карток. Найбільш активний приріст за кількістю емітованих кар­ток спостерігається в таких платіжних системах,як Національна система масових електронних платежів, MasterCard та VISA.

Рис. 2.4.31. Картки, емітовані різними платіжними системами в Україні

Наступні питання ілюструють проблеми, пов'язані з необхідністю до­віряти комусь при роботі з системами електронних платежів.

Коли ви користуєтесь кредитною карткою для здійснення поку­пок через інтернет, яким чином ви можете бути впевненими, що хто-небудь не захоче перехопити номер вашої картки під час пе­редачі по мережі і не використає його в своїх власних цілях?

Коли ви контактуєте з сайтом Е-комерції з наміром здійснити покупку, яким чином ви можете дізнатися, чи є цей сайт легі­тимним?

Коли одна компанія пересилає рахунок іншій компанії через інтернет, як реципієнт може переконатися, що рахунок не було змінено?

Якщо покупець надсилає вашій компанії електронний чек, а пізніше відмовляється від цього, яким чином ви можете довести зворотнє?

Лише використання досконалої системи захисту при роботі в режимі он-лайн забезпечує необхідний рівень безпеки.

Головною для безпеки електронних платежів є інфраструктура відкри­того ключа (PKI — Public Key Infrastructure), яка дозволяє здійснювати шифрування, робити цифрові підписи та створювати цифрові сертифіка­ти. Серцевиною РКІ технології є шифрування з відкритим ключем, яке гарантує конфіденційність та секретність повідомлення при його пере­міщенні по мережі у зв'язку з неможливістю, високою вартістю або вели­кими витратами часу на дешифрування. У випадку електронних платежів повідомлення може містити інформацію щодо кредитних карток, яка вхо­дить у стандартні форми або умови контрактів між двома компаніями. Сучасні криптографічні системи використовують складні математичні формули і комп'ютерні алгоритми. Незалежно від рівня складності всі криптографічні методи мають чотири основних частини: вихідний текст, шифрований текст, алгоритм шифрування, ключ.Існує два основних класа систем шифрування: симетрична, або система з секретним ключем, та аси­метрична, або система з відкритим ключем.

Навіть якщо алгоритм стає відомим, повідомлення є захищеним доти, доки невідомим залишається ключ. В принципі ключ можливо розгада­ти, для чого потрібно за допомогою комп'ютера перебрати всі можливості для розшифровки тексту. Комп'ютери з високою продуктивністю при па­ралельній роботі можуть робити мільйони спроб в секунду. Ось чому дов­жина ключа (у бітах) є головним фактором у захисті повідомлення. Відомо, що 40-бітовий ключ зламується протягом декількох секунд, 56-бітовий ключ—протягом декількох днів, а 64-бітовий—протягом декількох років, в залежності від потужності комп'ютера.

При шифруванні відкритим ключем використовується пара ключів — відкритий ключ для шифрування повідомлення і секретний ключ для дешифрування послання. Найбільш вживаним алгоритмом шифрування з відкритим ключем є алгоритм RSA, в якому використовуються ключі змінної довжини від 512 біт до 1024 біт. Перевага шифрування з відкри­тим ключем полягає в тому, що один з ключів пари може бути несекрет- ним. Тепер,коли Web-сайт розсилає свій відкритий ключ великій групі потенційних покупців, цей факт не має значення, оскільки єдиною мож­ливістю для дешифрування повідомлення, створеного за допомогою цьо­го відкритого ключа, є використання відповідного секретного ключа, який є лише на Web-сайті.

Головною проблемою при шифруванні за допомогою відкритого клю­ча є швидкість. Воно не може використовуватися для шифрування та роз- шифровки великих масивів даних. Симетричні алгоритми є набагато швидшими у порівнянні з алгоритмами відкритого ключа, оскільки вони потребують значно коротших ключів.

На практиці для шифрування повідомлень використовується комбі­нація симетричного та відкритого ключів, яка називається цифровою оболон­кою (digital envelope). В цьому випадку той, хто відсилає повідомлення, спочатку створює симетричного ключа (який ще називають ключем для сеансу зв'язку), шифрує його за допомогою відкритого ключа реци-пієнта і відсилає реципієнту. Реципієнт дешифрує зашифрований ключ для се­ансу зв'язку за допомогою свого секретного ключа. Тепер обидва мають ключа для сеансу зв'язку. Після цього той, хто відсилає повідомлення, використовує цього ключа для шифрування великих масивів даних і відси­лає їх реципієнту. Реципієнт використовує того ж ключа для сеансу зв'яз­ку для розшифровки великого за обсягом повідомлення.

У США 2 жовтня 2000 року Національний інститут стандартів та тех­нології (NIST) оголосив про перехід на новий Федеральний стандарт об­робки інформації (FIPS), в основу якого покладено алгоритм бельгійця Рюйндала, що виявився серед інших алгоритмів найменшим, найшвид­шим та по захисту еквівалентним 128-бітовому ключу. Завдяки своєму розміру та швидкості цей алгоритм зможе використовуватися для захисту передачі інформації в нових мобільних телефонах.

Розглянемо питання, пов'язані з крадіжками грошей з пластикових кар­ток. Такі крадіжки скоюються злодіями, хоча кожен власник пластико- вої картки багато разів чув про те, що пін-код потрібно зберігати дуже ретельно, номер картки ніколи і нікому не давати і не показувати, а саму картку зберігати від викрадення.

На практиці ж навіть просте отримання готівки у банкоматі може за­кінчитися погано,оскільки потрібно знати способи, якими користують­ся аферисти.

Спосіб перший:

Часто грабіжники використовують пристрої, які після встановлення на банкоматі допомагають їм отримати інформацію про картку користу­вача. Є групи, які встановлюють на клавіатури спеціальні «насадки», які зовнішньо повторювали оригінальні кнопки. Власник картки знімав гроші з рахунку без будь-яких проблем, але при цьому підробна клавіату­ра запам'ятовувала всі натиснуті клавіші, в тому числі і пін-код. Порада власнику картки полягає у необхідності уважно вивчити клавіатуру не­знайомого банкомату перед тим, як знімати гроші.

Спосіб другий:

Зловмисниками використовується пристрій, який називають lebanese loops. Це пластикові конверти, розмір яких трохи більший за розмір кар­тки. Такий конверт попередньо закладають в щілину банкомату. Коли хазяїн кредитки намагається зняти гроші, то банкомат не може зчитати дані з магнітної стрічки. До того ж в наслідок конструкції конверту не вдається повернути картку. В цей момент підходить зловмисник і каже, що буквально за день перед цим з ним трапилось те ж саме. Щоб поверну­ти картку, потрібно просто ввести пін-код і натиснути два рази на клаві­шу Cancel. Власник картки робить це і, ясна річ, йому нічого не вдається. Він вирішує, що картка залишилась в банкоматі і йде для того, щоб звяза- тися з банком. Зловмисник після цього спокійно дістає кредитку разом з конвертом за допомогою простих засобів. Пін-код власник (тепер вже бувший) пластикової картки сам ввів його в присутності афериста. Зло­дію залишається лише зняти гроші з рахунку.

Спосіб третій:

Технічно складно, але в принципі можливо перехопити дані, які бан­комат відправляє до банку для того, щоб переконатися у наявності гро- шей на рахунку. Для цього зловмисникам потрібно підключитися до відповідного кабелю, не руйнуючи його, і зчитати необхідні дані. Врахо- вучи той факт, що в інтернеті легко знайти відповідні інструкції, то мож­на бути переконаним, що такий варіант буде зустрічатися досить часто.

Спосіб четвертий:

Для того, щоб дізнатися про пін-код, деякі аферисти встановлюють неподалеку мініатюрну відеокамеру. Самі ж вони в цей час знаходяться в найближчому автомобілі з ноутбуком, на екрані якого можна бачити циф­ри, які вводить власник картки. Тому при введенні пін-коду бажано при­кривати клавіатуру вільною рукою.

Спосіб п'ятий:

Дорогий, але дуже надійний спосіб, який полягає в тому, що зловмис­ники встановлюють у людному місці свій власний «банкомат». Він, зви­чайно, не працює (чому майже ніхто не дивується) і, ясна річ, ніяких гро­шей не видає. Зате успішно зчитує з картки всі необхідні дані. А потім з'ясовується, що власник ще вчора зняв всі гроші з рахунку і чомусь не може цього згадати.

Спосіб шостий:

В свій час зловмисники встановлювали у отвори для кредитних карток спеціальні пристрої, які запам'ятовували всі дані щодо встановленої у бан­комат картки. Після цього зловмисникам залишалось лише отримати пін- код або описаними вище способами, або банально підглядаючи із-за плеча.

Спосіб сьомий:

З цим способом боротися неможливо, а можна лише змиритися. В цьо­му випадку ніщо не залежить від вашої уважності, обережності або перед­бачливості. Просто бувають випадки, коли у зговір зі зловмисниками всту­пають ті люди, яким добратися до ваших кредиток і так дуже просто: на­приклад, службовцям банків. Це буває дуже рідко, але від таких випадків не застрахований ніхто.

Що стосується намагнічування та ембосування (нанесення на пласти- кову картку випуклих елементів), то на київському радіоринку можна абсолютно вільно придбати пристрої, що дозволяють як ембосувати кар­ту, так і нанести на неї магнітну стрічку і «завести» відповідну інформа­цію. Ціна таких пристроїв — біля сотні доларів.

В Україні маштаби діяльності кардерів (людей, що займаються аферами з пластиковими картками) поки що не дуже великі. Найбільш розпов­сюджений вид шахрайства полягає в тому, що злочинці добувають рек- візіти карток з метою подальшого використання для здійсненя покупок в інтернет-магазинах. Копію картки при цьому робити необов'язково, а витратити чужі гроші таким чином навіть простіше.

Копіюють картки у нас поки що достатньо рідко: у багатьох українсь­ких магазинах при оплаті пластиковою карткою просять показати пас­порт, а підробка паспорту—це не лише зайві клопоти, а й ще одна стаття Кримінального Кодексу. Якщо хтось такою діяльністю і займається, то частіше за все підробні картки продаються на Захід або призначені для українців, які відправляються в турпоїздки.

Якщо у2001 році шахрайство з кредитними картками обійшлося бізне­су приблизно в 9 млрд. дол. США, то до 2005-го, за оцінками Meridien Research, його обсяг сягнув більше 60 млрд. дол. США.

Ще нещодавно пластикова картка в гаманці робила її власника в очах оточуючих багатою людиною. Нині ж на це дивляться простіше: масшта­би емісії платіжних карток в Україні оцінюються в мільйонах. Як резуль­тат, «пластик» можна зустріти навіть у портфелі школяра. Звісно, зросли й обсяги сервісу таких карток у торговельній мережі країни. В Законі України «Про внесення змін до Закону України «Про платіжні системи та переказ грошей в Україні» від 6 жовтня 2004 року № 2056-IV, який набрав чинності 03.11.04 р., міститься пункт, що зобов'язує торговців забезпе­чити можливість розрахунків платіжними картками:

«14.7. Торговці, які здійснюють підприємницьку діяльність у сфері продажу товарів, громадського харчування та послуг та які відповідно до закону повинні використовувати реєстратори розрахункових операцій, зобов'язані забезпечити можливість здійснення держателями спеціаль­них платіжних засобів розрахунків за продані товари (надані послуги) з використанням цих спеціальних платіжних засобів (як мінімум трьох міжнародних і/або внутрішньодержавних платіжних систем).

Умови переведення торговців на обов'язкове приймання спеціальних платіжних засобів в оплату за продані ними товари (надані послуги), ви­нятки щодо виконання таких розрахунків окремими категоріями тор­говців визначаються Кабінетом міністрів України».

Технічне забезпечення можливостей здійснення розрахунків за про­дані товари з використанням спеціальних платіжних засобів здійснюєть­ся за допомогою так званих POS-терміналів (від англійського «point of sale terminal», тобто «термінал торгової точки»). Цей спеціальний елект­ронний пристрій, що знаходиться у торговій точці, дозволяє зчитувати інформацію з пластикової картки (а точніше, з її магнітної смуги чи мікро- чіпа), здійснюючи зв'язок із банком-емітентом для ідентифікації даних картки та проведення операції оплати (це називають авторизацією). Та­кий зв'язок здійснюють каналами телефонного зв'язку, виділеними лінія­ми, Ethernet, CDMA, інтернетом, супутниковими і радіоканалами зв'язку тощо. З карткового рахунку власника списують необхідну суму для опла­ти товару, а касир торговельного залу оформляє необхідні розрахункові документи. Більшість касових апаратів, що продаються в Україні, сумісні з POS-терміналами, тобто дозволяють підприємству організувати єдину розрахункову систему. Існують і так звані імпринтери—механічні пристрої, що дозволяють отримати відбиток даних картки та даних торгової точки на спеціальному чеку (сліпі), який підписують касир і покупець. Потім банк інкасує сліпи та списує кошти з карткового рахунку клієнта. Однак, у сфері торгівлі поширення набули саме POS-термінали.

Положення про порядок емісії платіжних карток і здійснення опе­рацій з їх застосуванням було затверджено постановою правління Нац­банку України від 27 серпня 2001 року № 367. Цим документом визнача­ються умови діяльності з технологічного, інформаційного обслуговуван­ня торговців і виконання розрахунків із ними за операції, здійснені із застосуванням платіжних карток. Така діяльність називається еквайрин- гом. Донедавна еквайрингом займалися лише банки, але не всі, а лише ті, які одержали спеціальну ліцензію. Нині саме вони пропонують напра­цьовані та найзручніші схеми. Тому, хто бажає обзавестися терміналом, насамперед потрібно знайти такий банк (еквайрингову організацію). Умо­ви, на яких банки надають послуги еквайрингу, приблизно такі:

безкоштовне встановлення й обслуговування необхідного устат­кування (POS-термінали) та програмного забезпечення; така без­коштовність — мабуть, головний плюс усієї системи еквайрин­гу;

складання всієї звітної документації;

безкоштовне навчання персоналу роботи з POS-терміналом;

оперативні консультації з питань, що виникають у процесі об­слуговування клієнтів за пластиковими картами;

стягування банківської комісії за послуги еквайрингу;

перевірка платоспроможності картки при використанні імприн- терів;

безкоштовна інкасація чеків (сліпів) при використанні імприн- терів.

Конкретні умови зазначаються у договорі з банком. У ньому ж необхі­дно передбачити обов'язкові умови, що містяться в п.4.1 Положення НБУ.

Організація розрахунків з допомогою платіжних карток у магазині має низку переваг:

безпека (мінімізується можливість пограбування, втрати готів­ки, помилки касира в розрахунках);

економія (як мінімум, на послугах інкасації);

психологічний фактор (за статистикою, розраховуючись карт­кою, клієнти легше витрачають гроші, ніж при оплаті готівкою).

В той же час існують проблемні питання:

розмір банківської комісії. Він коливається від 2,5—3% по най­поширеніших картках (VISA та Mastercard) до 7% (по картках American Express). При цьому вже згаданий п.4.1. Положення містить вимогу про те, що торговець не може підвищувати ціну на товар (послугу), якщо його (її) оплачують з допомогою платіжної картки, а не готівкою. Таке зобов'язання фіксується у договорі з банком-еквайром. Це означає, що з прибутку у вигляді 10-відсот- кової націнки торговець має віддати банку третину;

термін зарахування коштів, списаних із карткового рахунку, на поточний рахунок продавця. Як правило, в договорах еквай- рингу він становить від одного до п'яти банківських днів. Та на практиці, на жаль, нерідко трапляється, коли на гроші доводить­ся чекати значно довше;

термін проведення розрахункової операції.

Тут можуть бути цілком об'єктивні проблеми, пов'язані з якістю телефонного чи іншого зв'язку при встановленні з'єднання між магазином і банком.

проблеми ідентифікації особи. Багато банків «забивають» у до­говорі умову, відповідно до якої продавець для проведення ав­торизації зобов'язаний вимагати у клієнта документ, що пос­відчує особу (коли сума перевищує певний ліміт, встановлений у договорі). Напевно, не варто наводити статистику того, скільки людей, вирушаючи до супермаркету за покупками на вихідні, беруть із собою паспорт.

проблеми конфіденційності. Багато клієнтів негативно ставляться до того, що змушені випускати з рук картку при проведенні розрахунків.

Пояснити це легко: кількість злочинів, пов'язаних із шахрайством у сфері електронних платежів, зростає. Що вже казати, коли клієнт не просто випускає картку з рук, а й на певний час втрачає її з поля зору (наприклад, при розрахунку в ресторані). Розв'язати цю проблему мають переносні Р08-термінали. З їх допомогою офіціант може «прокатати» картку про­сто на столику клієнта.

ризик шахрайства при використанні платіжних карток. Наприк­лад, зняття з рахунку клієнта більшої, ніж потрібно, суми. Фахівцям з карткових розрахунків відомо про існування спеціальних картридерів, що зовні нічим не відрізняються від Р08-терміналів, які не лише зніма­ють гроші з рахунку, а й зчитують і зберігають усю інформацію кредитної картки для створення її дубліката. Поки що в Україні такі прийоми прак­тично невідомі саме через незначну поширеність кредиток. Але обсяг шах- райств у світі зростає високими темпами.

Умови переходу на використання Р08-терміналів має встановити Ка­бінет міністрів України. Цілком можливо, що він визначить строки пере­ходу на використання Р08-терміналів у різних сферах торгівлі та послуг, а також обсяг товарообігу, перевищення якого потребує встановлення термі­нала в торговій точці, роз'яснить, чи потрібно мати стільки ж Р08-термі- налів, скільки в торговій точці РРО. Тож, напевне, те чи інше підприєм­ство потрапить до розряду винятків. Законодавство дозволяє торгувати без РРО (насамперед ідеться про приватних підприємців, які сплачують єди­ний податок) — вони, як і раніше, працюють без касових апаратів.

Згідно даних Національного банку України середні темпи приросту електронних платежів складає близько 20%. У більшості випадків корис­тувачі просто знімали у банкоматах гроші. І лише 5% припадає на долю розрахунків у торговій мережі. На першому місці знаходяться крадіжки грошей за допомогою підробок платіжних карток, на другому місці - кра­діжки, які стали можливими завдяки викраденню-втрати платіжних кар­ток (до 35% загального обсягу). Часто громадяни зберігають картку разом з РШ-кодом, що значно полегшує тому, хто викрав картку або знайшов гаманця з карткою процес зняття грошей. Інші випадки зустрічаються значно рідше. Несанкціонований доступ до рахунку, наприклад, пов'яза­ний з незаконним взламуванням банківських інформаційних систем, що непросто зробити в технічному плані і пов'язано з ризиком. А крадіжки через інтернет поки в Україні малорентабельні внаслідок незначних об­сягів фінансових операцій такого роду. Хоча в майбутньому таких вид кримінального бізнесу може стати прибутковим, як зараз в Європі.

Підрахувати збитки, пов'язані з комп'ютерною злочинністю в Ук­раїні, досить важко з декількох причин. Одною з головних причин є ла­тентність правопорушень такого роду. Власники пластикових платіжних засобів не завжди повідомляють про факт викрадення грошей. Також не завжди про це правоохоронним органам повідомляють і банковські установи. У зв'язку з цим важко точно підрахувати кількість правопорушень і рівень їх розкриття. Суттєвою перешкодою є відсутність дієвої структу­ри або механізму, які могли б забезпечити збирання подібної інформації, її аналіз, виявлення тенденцій і статистичних показників. Банківські пра­цівники визначають рівень латентності на рівні 60%, розуміючи під цим випадки, коли клієнти беруть відповідальність на себе і не повідомляють про це ані правоохоронні органи, ані банк. Причина цього досить проста— відсутність надії на ожливість повернення втрачених грошей.

Експерти називають такі дані: річний обсяг збитків українських клієнтів від шахрайських операцій з рахунками за підсумками минулого року складає біля 300 тис. доларів США. В позаминулому році ця цифра була вдвічі меншою, що дозволяє зробити висновок: злочинність, пов'я­зана з платіжними картками, зростає швидше, ніж обсяги операцій з легальними пластиковими картками.

Практика показує, що у випадку розкриття злочину викрадені кошти можна все-таки повернути. Однак реальні шанси мають лише ті користу­вачі, які втратили суми 50-150 гривен. Це відбудеться лише тоді, коли злочинці будуть заарештовані і будуть мати необхідне для повернення збитків майно або суми грошей. Процес повернення тягнеться довго, мова про індексацію не йде. Отже, особливого прогресу в Україні з цього пи­тання поки нема.

Поки шахраї знаходять нові способи взламування пластикових кар­ток, фахівці намагаються знаходити все нові способи недопущення кра­діжки. Виходячи з того, що стопроцентний захист можливий лише у ви­падку припинення бізнесу, банківські установи націлені на мінімізацію збитків. У відповідності з правилами платіжних систем банки повинні проводити моніторинг операцій карток з метою виявлення сумнівних. Після виявлення сумнівних карток всі можливі заходи повинні вжива­тись з метою недопущення подальших збитків: блокування рахунку, заміна карток, виявлення джерел витоку інформації тощо. Забезпечити захист клієнтів можна шляхом впровадження в картковий бізнес чіпів.

Крім того, торгова точка повинна забезпечити прозоре обслуговування, що дозволяє покупцю спостерігати процес розрахунку за допомогою кар­тки від початку до кінця. При укладанні договору кожний банк повинен навчати власників карток і видавати їм на руки правила користування карткою. При виконанні всіх цих вимог ризик буде зведено до мінімуму.

Необхідно зауважити, що в основному договори українських фінан­сових установ або взагалі не містять положень щодо відповідальності у випадку шахрайства (крім втрати або крадіжки), або передбачають повну відповідальність клієнта за шахрайство з платіжною карткою. Операції, які було підтверджено РШ-кодом, повністю вважаються відповідаль­ністю клієнта. Пояснюється це тим, що засіб доступу до рахунку було видано клієнту і тільки він може точно знати, що відбувається з його карткою, чи виконуються зобов'язання з використання платіжного засо­бу. Зараз відсутні чіткі і зрозумілі законодавчі механізми регулювання в цьому питанні.



загрузка...