Фрод-моніторинг не панацея, але альтернативи немає

Продовжуємо цикл інтерв'ю з визнаними експертами українського платіжного ринку. Сьогодні ми запропонували поділитися своїми поглядами на специфіку сучасної ситуації з шахрайством в платіжній сфері Олексія Голенищева, директора дирекції моніторингу електронного бізнесу Альфа-Банку.

ПЛАС. На початку нашої бесіди не могли б ви уявити загальну оцінку сучасної ситуації з фродом в платіжній сфері? Які види шахрайства найбільш поширені в даний момент?

А. Голенищев. Не побоюся повторити фразу, в останні роки стала традиційною для моїх колег: «шахрайство в сфері платіжних технологій за рівнем своєї організованості, масштабами і географічним охопленням вже давно перетворилося на якусь глобальну кримінальну індустрію». Чому це сталось? Банківський бізнес розвивається стрімко, причому розвивається перш за все за рахунок інтеграції каналів доступу, іншими словами, за рахунок прив'язки основних роздрібних продуктів до віддалених засобів доступу до рахунку, до послуг, до платіжних карт, які в свою чергу також є єдиним способом доступу до рахунку і можливостям того чи іншого продукту. Відповідно, на всі ці високотехнологічні канали направлено сьогодні основна увага злочинців, які шукають вразливі місця в даних напрямках. І тут на перший план постає питання ціни розкрадання інформації: будь-яке шахрайство направлено на отримання прибутку, за своєю суттю будучи бізнесом, хоча і кримінальним, і, як будь-який бізнес, воно має свої витратні статті. Тому, якщо шахраї бачать, що в даний момент певний канал банківських послуг недостатньо сильно захищений і його використання для крадіжки даних нескладно і не надто витратно, вони акцентують свої зусилля на зломі саме цього каналу. В принципі, високопрофесійно викрасти майже будь-які дані для шахраїв не проблема - але в ряді випадків вони просто не роблять зусиль в напрямку конкретних добре захищених каналів, якщо на даний момент це фінансово недоцільно, оскільки пов'язано з високими витратами, і при цьому існують більш дешеві з точки зору злому варіанти. Серед деяких фахівців з інформаційної безпеки навіть побутує така думка: «Ви думаєте, у вас не вкрали гроші, тому що у вас їх не можна вкрасти? Насправді до вас просто не дійшла черга ». У поняття «черга» в даному випадку вкладається складність отримання несанкціонованого доступу, вартість атаки і т. Д.
Не можна також забувати, що грань між потребами бізнесу і необхідністю забезпечення безпеки сама по собі дуже тонка. Так, в даний час у банків достатньо коштів і можливостей, як фінансових, так і технологічних, вибудувати систему безпеки на найвищому рівні. Однак така система безпеки, крім того, що виявиться вкрай дорогої і громіздкою, просто-напросто зруйнує роздрібний бізнес банку, оскільки будь-яке посилення засобів безпеки має на увазі досить великі «призначені для користувача» незручності для клієнтів за рахунок додаткових процедур ідентифікації, аутентифікації і т. П. Відповідно , чим більше надійність такої системи буде наближатися до максимуму, тим більш трудомістким і складним буде ставати процес користування банківськими послугами для клієнтів банку. Хоча сучасні споживачі більш просунуті з точки зору розуміння безпеки, ніж це було ще якихось п'ять років тому, питання «юзабіліті» для них як і раніше залишається пріоритетним при виборі банку. На цьому тлі фінансових установ дуже важливо дотримати грань між простотою і зрозумілістю каналу надання послуг для роздрібного клієнта і питаннями безпеки. Розглядаючи поточну ситуацію з шахрайством на платіжному ринку, почнемо з банківських карт. Ключовим методом атаки на тут як і раніше є скімінг, що дозволяє скомпрометувати дані магнітної смуги. При цьому найбільш популярний у злочинців банкоматний скімінг. Банкомати використовуються і як точки компрометації даних реальних карт, і для зняття готівки за підробленими картками, виготовленим з використанням викрадених даних. Це пояснюється тим, що скімінг з використанням POS-терміналів більш трудомісткий: крім персоналізації «білого пластику», достатнього для використання в банкоматі, в разі використання підробленої карти в торгово-сервісній мережі злочинцям необхідно виготовити карту, максимально схожу зовні на справжню. Незважаючи на те, що зараз широко поширені недорогі кольорові принтери, за допомогою яких можна надрукувати практично все що завгодно, а сама необхідність імітації захисної голограми також перестала бути зупиняє фактором, це досить витратна виробництво. Крім того, є присутнім ризик, що касир в магазині, куди прийде шахрай або так званий дроп з фальшивою картою, розпізнає підробку, викличе охорону і злочинець буде затриманий.

ПЛАС. Повертаючись до проблеми скіммінгу: які варіанти протидії даному виду шахрайства ви бачите найбільш ефективними?

ПЛАС. Які види шахрайства зловмисники практикують сьогодні для атак на POS-термінали?