Читаем Безопасность карточного бизнеса : бизнес-энциклопедия полностью

Рекомендации для клиентов, как определить письмо, являющееся фишингом, следующие: банки никогда не запрашивают предоставления персональных данных карты, кроме как при личном присутствии клиента в офисе или посредством систем ДБО с обязательной аутентификацией клиента. Кроме того, текст письма может содержать грамматические ошибки, обращение к клиенту неличностное (например, «Уважаемый клиент!»), тон письма тревожный, предостерегающий возникновением проблем (например, «потерей учетных записей») в случае, если клиент не предоставит требуемую информацию.

Одна из разновидностей фишинга получила название «фарминг». Клиент, набирая в адресной строке правильный адрес интернет-сайта банка, перенаправляется на сайт, контролируемый мошенниками. Дизайн подставного сайта почти полностью копирует оригинальный банковский и содержит перечень полей для заполнения личными данными. Метод может быть использован как на компьютере клиента с помощью «троянов» (изменяется таблица соответствия DNS имен и IP-адресов), так и непосредственно на DNS сервере интернет-провайдера клиента. Клиент пребывает в уверенности, что пользуется услугами банка и безбоязненно вводит платежные реквизиты. После этого личные данные клиента становятся доступными мошенникам, а клиент перенаправляется на официальный сайт банка.

Для профилактики фарминга клиентам надлежит в обязательном порядке рекомендовать использование для доступа и совершения операций в системах ДБО только собственные персональные компьютеры с актуальной обновленной версией антивирусной программы с функциями «антихакер» и «антишпион». В противном случае нет никакой гарантии, что компьютер не заражен шпионскими (spyware) программами, собирающими персональные данные (логины, пароли), или «троянами» изменяющими параметры сетевой защиты и делающими компьютер уязвимым для несанкционированного доступа. Использовать для хранения ключевых данных USB-токенов.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт, в том числе посредством систем ДБО. Клиент должен знать, что банки никогда не просят сказать или выслать им ПИН-код. Адреса сайтов банковских систем ДБО содержат признак использования защищенного канала связи https://;

• использование одноразовых динамических паролей для аутентификации клиентов.

Фальшивые банкоматы и пункты выдачи наличных

Это достаточно экзотичный для России вид мошенничества, но имеющий немало прецедентов в мировой практике. Под видом банкомата устанавливается внешне похожее на банкомат устройство — либо изготовленное кустарно, либо собранное из запчастей. В США законодательно разрешается приобретение банкоматов частным лицам для получения комиссионного дохода, чем также пользуются мошенники. В любом случае устройства устанавливаются с одной целью: скопировать магнитную полосу и ПИН-код.

В Турции зафиксированы неоднократные случаи компрометации реквизитов карт туристов в так называемых Post-office — конторах, предлагающих выдачу наличных по банковским картам с минимальной комиссией за операцию. Также надлежит избегать предложений со стороны торговцев обналичить денежные средства через POS-терминал, предназначенный для оформления покупки.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт, в том числе использования банкоматов и пунктов выдачи наличных за границей, принадлежащих местным официальным кредитным организациям. Расположение банкоматов и банковских офисов можно заранее узнать на сайтах банков или сайтах международных платежных систем.

Мировая практика противодействия мошенничеству показывает эволюционный характер развития мошеннической активности: наряду с появлением новых видов совершенствуются и адаптируются к новым условиям и старые. Мошенничество — динамичный процесс, требующий постоянного анализа и оперативного принятия ответных мер со стороны банковского сообщества. Однако к настоящему времени средства, которыми располагают банки для защиты своей эмиссии карт с магнитной полосой, оказались исчерпаны. Тяжелые финансовые и репутационные последствия, которые несет за собой скимминг, заставляют платежные системы, кредитные организации и их вендоров работать над продвижением технически совершенных EMV-технологий. Наработана достаточно убедительная статистика, показывающая смещение мошеннической активности от массово переходящих на микропроцессорные карты европейских стран в развивающиеся рынки Восточной Европы, России и страны Азиатского региона. Также благодаря модернизации банкоматной и POS-терминальной сети с поддержкой EMV произошло смещение объемов мошенничества в область транзакций CNP. Обратной стороной медали стало увеличение числа случаев компрометации ПИН-кода при его более частом использовании. Этот пример показывает, насколько важен комплексный подход в решении вопросов обеспечения безопасности, учитывающий интересы и возможности всех участников рынка.