Безопасность банковских пластиковых карт — миф или реальность? / Хабр

Защита рынка пластиковых карт — задача банков

В последнее время в стране уделяется много внимания необходимости перехода всех граждан на безналичную систему оплаты и повышению грамотности населения в осуществлении безналичных платежей. Важное место в сфере безналичного обращения денежных средств занимают пластиковые карты. Что же ждет в ближайшем будущем рынок пластиковых карт? Каким путем будут развиваться в этой сфере банковские технологии?

Технологии пластиковых карт постоянно развиваются — штрихкод, магнитная полоса, смарт-карты. Но расширение рынка применения пластиковых карт привлекает к нему преступный мир, который тоже совершенствует свою технологию, совершает организованные не только единичные, но и массовые атаки по изъятию денежных средств. Происходит массовое изготовление поддельных пластиковых карт в странах Южной Америки, Юго-Восточной Азии, Африки. В последнее время правоохранительными органами были ликвидированы нелегальные производства в Великобритании и Узбекистане. Качество подделок различное — от среднего в странах Африки до высокого в Юго-Восточной Азии. Рост уровня преступности в этой сфере пропорционален росту оборота денежных средств, проходящих через пластиковые карточки. Вопрос защиты пластиковых карт на сегодня наиболее актуален. Он касается уже не самой карты, но и существования этого рынка безналичного оборота денежных средств. Высокие риски потерь в этой сфере могут привести к существенному ограничению применения пластиковых карт при расчетах.

Направления развития защиты пластиковых карт касаются трех сфер их применения: банки-эмитенты, торговля и услуги, владелец карты. Введение новых степеней защиты не должно сужать круг их использования. Особенно это касается сферы торговли и услуг, через которые должен проходить основной оборот таких денежных средств. Удорожание оборудования по работе с пластиковыми картами для предприятий торговли и услуг служит большим тормозом по внедрению дорогостоящих технологий защиты. Развитие аренды оборудования, лизинговых и кредитных программ со стороны банков-эмитентов может помочь решить эту проблему.

Однако на сегодня основным решением защиты пластиковой карты остаются множественные правила для ее владельца и время реакции банковских систем на внесение изменений состояния карты — блокировка, разблокировка, учет несанкционированного использования дубликата, проверка истории. По этим правилам владельцы "пластика" в большинстве случаев должны сами защищать свою карту, следить за подозрительными лицами в общественных местах, загораживать ввод ПИН-кода, оповещать банк в случае проблем с картой или платежами и многое другое.

В последнее время для выезжающих за рубеж существуют целые перечни стран Европы, Азии, Африки, Северной и Южной Америки, в которых не рекомендуется использовать пластиковые карты. Этот список включает почти все страны, которые посещают россияне. Но на сегодняшний день в нем, к счастью, пока отсутствуют Антарктида и Гренландия.

Развитие подделок и мошеннических ухищрений с пластиковыми картами приводит к тому, что профессиональные служащие (операторы банков, кассиры супермаркетов и др.) не всегда могут отличить поддельную карту от настоящей без дополнительной экспертизы. Что же говорить о простом рядовом ее владельце, который должен визуально распознать поддельный банкомат, увидеть спрятанное видеозаписывающее или считывающее устройство, уличить в "служащем" мошенника, защитить ПИН-код и пластиковую карту, которой он расплачивается в публичных местах, самостоятельно защититься от профессионала-карманника.

В результате этих указаний в большинстве случаев владельцы пластиковых карт должны действовать согласно пословице "Спасение утопающих — дело рук самих утопающих". Вопросы информационной безопасности, которые решаются в юридических организациях ростом штатных единиц, новых должностей и нормативными документами, мы просто перекладываем на физическое лицо — владельца пластиковой карты.

Цель банковской сферы на сегодня — защитить пластиковую карту, продлить ее жизнь. Давайте рассмотрим, как понимают эту цель банки и организации, сопутствующие банковским процессам. Сейчас основные силы российских банков направлены на то, чтобы защитить вклады, снизить риски потерь. Что на самом деле они защищают? Чаще всего собственные интересы банка, собственные риски. Давайте не будем забывать о том, что банковская сфера — это сфера предоставления клиенту услуг и защита именно его интересов должна лежать в основе банковского бизнеса. В чем состоит основная проблема пластиковых карт на сегодня? Не в том, чтобы банковские служащие могли отличить поддельную карту от настоящей, не в том, чтобы потери из-за поддельных карт банк компенсировал из своей прибыли и за счет вкладов других клиентов, а в том, чтобы защитить самого клиента, его интересы и его собственные вклады. Как банк ни защищал бы себя от поддельных пластиковых карт и ни перекладывал вопросы их защиты на клиента, отказ клиента от пользования пластиковой картой из-за угрозы потерь своих средств резко снизит обороты в безналичной банковской сфере. Опасность снижения безналичного оборота денежных средств не в том, что банки перестанут обслуживать пластиковые карты, а в том, что клиент перестанет пользоваться таким средством безналичных платежей, как пластиковая карта.

В настоящее время банковская сфера бросила огромные средства на решение проблем, связанных с защитой пластиковых карт. Это вызвало настоящий бум роста предприятий, занимающихся этими вопросами и имеющими доступ к секретам изготовления пластиковых карт. Повышенное внимание на рынке труда к специалистам, владеющим приемами обработки кодов, драйверов, привело в некоторых случаях к привлечению к решению проблемы защиты пластиковых карт хакеров. Мы понимаем, что далеко не все университеты выпускают специалистов, способных сразу приступить к решению подобных задач. Раньше таких специалистов было больше, и именно они пополнили в свое время ряды профессионалов в Силиконовой долине. Но не будем забывать о том, что сделало данного человека хакером, какая психологическая черта побуждает его к изучению средств защиты данных, доступ к которым ограничен законодательством. Его конечные мотивы — получение наживы. Наиболее часто его окружение — представители организованной преступности. Привлекать хакеров к созданию систем защиты — это бред больного воображения. Иногда хакеров привлекают к тестированию таких систем, но не стоит забывать о том, что редкий хакер будет делать это только с целью получения постоянной или временной зарплаты законопослушного гражданина.

Каковы же перспективы развития изготовления пластиковых карт и оборудования? Конечно же, это смарт-карты. Пути, которыми будут развиваться технологии изготовления пластиковых карт, — это смарт-карты:

  • имеющие соприкосновение со считывающим устройством. Имеют срок долговечности из-за физического соприкосновения со считывающим устройством. На сегодня они также ограничены памятью микрочипа (некоторые имеют от 32 кБ памяти — достаточно ли этого сейчас?). Технология микрочипов постоянно развивается, но есть ограничения в размере и удобстве пластиковой карты;
  • с RFID-технологией. Они не имеют физического соприкосновения со считывающим устройством, что увеличивает их долговечность и защищенность. Однако используемое на сегодня расстояние от такой карты до считывающего устройства — 15 — 30 см. Есть возможность вскрытия информации на карте, и (для карманного вора) визуально можно определить, где расположена такая карта.

Перечисленные выше смарт-карты обладают также еще одним недостатком, который позволяет их использовать (а такой способ мошенничества применяется нередко) в период времени между открытием счета и доставкой карты клиенту. Например, при распространенной в некоторых странах Европы и Америки доставке готовой карты владельцу по почте;

  • смарт-карты или даже карты с магнитной полосой, но разделенные на два элемента.

В перспективе наиболее оптимальное решение защиты — это разделение пластиковой карточки на два составляющих элемента. Удобно ли будет владельцу? По сравнению с риском потери собственных средств и потерь для банка-эмитента вряд ли это доставит много неудобств.

Какими будут эти дополнительные элементы и как будут реализованы технические и программные решения?

Рассмотрим некоторые дополнительные элементы, имеющие непосредственное соприкосновение со считывающими устройствами. Очень интересное и перспективное решение — это введение такого дополнительного элемента, как считывание отпечатка пальца. Такое нововведение усложняет задачу создания поддельной пластиковой карты, упрощает задачу авторизации. Введение дополнительного элемента, имеющего различные биометрические характеристики владельца карты, очень перспективно, но на сегодняшний день это непростое решение как с технической, так и с моральной точки зрения. В дальнейшем такая пластиковая карта сможет выступать в качестве удостоверения личности. Владельцы нескольких пластиковых карт будут иметь столько же аналогов "удостоверения личности", сколько у них карт. Хорошо ли это? Насколько будет противоречить законодательству о защите персональных данных распространение в сети безналичных расчетов через подобные пластиковые карточки личных персональных данных клиентов? Об этом говорить пока рано.

Введение дополнительного технического элемента к пластиковой карте, имеющего непосредственное физическое прикосновение к считывателю, неперспективно, так как в этом случае нет причин разделять пластиковую карту на два элемента. Зачем? То, что способен сделать второй элемент, можно заложить и в пластиковую карту. Для списания средств необходимо достать для визуального обозрения оба элемента, а также передать оба элемента служащему для проведения операции со счетом.

Наибольшая перспектива применения с пластиковыми картами у дополнительных элементов, не имеющих непосредственного физического соприкосновения со считывающими устройствами. Таким образом, спасение пластиковой карты в качестве средства проведения безналичных платежей необходимо проводить через разделение этого технического элемента безналичных платежей на два элемента, один из которых имеет непосредственное физическое соприкосновение со считывателем, а второй передает и принимает сигнал от считывателя при работе с пластиковой картой и визуально не предъявляется. Подобные технологии применяются в сигнализации для автомобилей, которые определяют владельца по дополнительному элементу сигнализации. Развитие беспроводных технологий позволяет сделать оборудование для сферы торговли и услуг не намного более дорогостоящим, чем применяемые сегодня. Алгоритмы, использующиеся в данной технологии, должны учитывать, что считывание кодовой информации с дополнительного элемента пластиковой карты не приводит к расшифровке следующего кода, пересылаемого этим устройством при следующей оплате. Отсутствие визуального предъявления второго элемента пластиковой карты резко снижает возможность его кражи и простого способа дублирования сразу двух элементов. Применение алгоритмов со счетчиком операций и сменой кодовой информации при следующем платеже снижает вероятность применения в расчетах дубликатов этих двух элементов. Два этих элемента пластиковой карты не только решают на сегодняшний день много вопросов по защите пластиковой карты, но и облегчают ее владельцу защиту собственных денежных средств. Количество правил для владельца сужается до правила аккуратности при хранении второго, не требующего визуального предъявления, элемента пластиковой карты.

Успешное использование разделенной пластиковой карты может привести в дальнейшем к тому, что останется опять один элемент. Но он уже не будет иметь непосредственного физического соприкосновения со считывателем и расстояние до считывателя будет больше, чем у смарт-карт с технологией RFID. Для того чтобы элемент беспроводной связи заменил полностью пластиковую карточку, необходимо будет внести дополнения в законодательство и нормативную базу, но главное — подготовить людей к новой системе оплаты. Введение такого элемента может решить многие существующие на сегодня проблемы защищенности пластиковой карты.

В сфере торговли и услуг, возможно, останется нерешенной проблема использования пластиковой карты для интернет-магазинов. Данная услуга широко распространяется, и в этой сфере активно начинают работать преступные группы по снятию информации с пластиковых карт. Для снижения рисков потерь для их владельцев уже звучат рекомендации по использованию отдельной пластиковой карты с минимально необходимым размером суммы денежных средств для покупок. Но интерес к таким услугам велик, и мы видим, насколько успешно развивается система оплаты через Web-Money. Скорее всего, система оплаты пластиковыми картами через Интернет разовьется в отдельную сферу банковских услуг, так как уже сегодня такая система оплаты ближе к системе оплаты через "клиент — банк", чем через традиционные пластиковые карты.

Обороты в системе безналичных расчетов значительно увеличились. Поэтому все вопросы вокруг этой темы на сегодняшний день становятся все более актуальными. Этот вопрос касается не только развития рынка пластиковых карт, систем оплаты через "клиент — банк", SMS-оплат через биллинговые системы, но и сопутствующего программного и технического обеспечения, в том числе особое место в решении проблем на этих рынках будут играть скорость обработки данных и их передачи по Интернету.

П.Ильина

Финансовый аналитик

Защитит ли алюминиевая фольга, банковскую карту от воровства?

Оформляя банковскую карту (кредитную или дебетовую), мы редко обращаем внимание на то, «чипованная» эта карта или нет. Между тем, наличие чипа на карте повышает уровень безопасности ваших денег и в то же время может поставить вас в затруднительное положение в момент оплаты. Разбираем главные свойства, недостатки и преимущества «чипованных» и «нечипованных» карт.

Наличие на карте магнитной дорожки или микро-чипа, в принципе, не влияет на конечную функциональность самой карты. В плане безопасности данных, открывающих доступ к вашим деньгам, надежней если эти данные записываются на микро-чип. С магнитной полосы считать данные достаточно легко. Для этого мошенники используют скимминг-устройства, которые считывают данные и выводят в удобном виде. С микро-чипом так не выйдет, так как в процессе записи или чтения данных используются сложнейшие алгоритмы и кодировки, которые взломать невозможно.

Микро-чипы могут быть контактными и бесконтактными. Карты, где используются бесконтактные микро-чипы, вовсе необязательно прислонять к считывающему устройство. Вполне достаточно быть в зоне действия считывающего аппарата. Контактные необходимо вставлять в специальный слот считывающего аппарата, в котором есть разъем для «чипованной карты».

Используя «чипованную» карту, вы можете не беспокоится относительно скимминг-мошенничества в банкоматных зонах при снятии наличных денег. Но обратите внимание, что при использовании «чипованной» карты в магазинах, вам придется набирать свой ПИН-код. Это действие можно подсмотреть по движениям пальцев. Мошеннику этот ПИН-код пригодится только если он незаметно украдет вашу карту, и без промедления воспользуется ближайшим банкоматом, пока вы не обнаружили пропажу карты и не заблокировали её.

Использование

В нашей стране широкое распространение получили «нечипованные» карты. Небезопасное и экономное решение для банков. В Европе наоборот, уже давно используются «чипованные» карты. И будучи в одной из стран Европы, есть все шансы, что вы не сможете воспользоваться своей «нечипованной» картой, так же как «чипованной» картой в России.

В идеале, у вас должно быть две карты: одна с микро-чипом, другая с магнитной полосой. Используйте «чипованную» карту в качестве основной платежной карты. А «нечипованную» в тех случаях, когда для совершения оплаты применяется терминал оплаты или банкомат не работающий с микро-чипами.

Выводы

Используйте «чипованную» карту для ежедневных покупок везде где можно, а на крайний случай, вас выручит карта с магнитной полосой.

Используя «нечипованную» карту, обратите внимание на признаки скимминг-мошенничества. Используя «чипованную» карту, вводите пин-код как можно скрытней, но без лишнего фанатизма.

На обратной стороне «чипованной» или «нечипованной» карты, очень рекомендуется закрасить CVV2 код для карт Visa и CVC2 для карт MasterCard.

Виды защиты пластиковых карт

Все большее число людей предпочитают оплачивать счета и расплачиваться в магазинах с помощью пластиковых карт.

Мошенничество с банковскими картами: способы защиты

И чем чаще карты используются, тем больше они нуждаются в защите от подделывания. Существуют различные варианты защиты карт, благодаря которым увеличивается срок их использования, исключается возможность появления клонов, и деньги, хранящиеся на карте, останутся нетронутыми посторонними лицами.

Защита механическая

Таких способов всего два – это покрытие лакирующими и ламинирующими пленками. Ламинированные карты покрывают высокопрочной прозрачной пленкой, которая не искажает информацию на карте, но защищает ее. Ламинат (пленка, используемая для ламинирования) лучше выбирать матовый, т.к. глянцевый может давать блики при разном освещении, таким образом, информация на карте визуально может несколько искажаться в восприятии. Матовые пленки придают виду карты исключительную респектабельность. Таким образом, часто ламинируют визитки и дорогую рекламную продукцию.

С помощью ламинирования можно значительно увеличить срок службы карты, благодаря снижению вероятности механических повреждений информации содержащейся на поверхности карты. Ламинирование увеличивает прочность карты, делает ее более стойкой к истиранию.

Ламинирование карты потребует некоторых финансовых затрат, но при учете продолжительности срока службы, и высокой гарантии сохранности средств на карте, деньги, потраченные на покрытие ламинатом, будут минимальными, а сама процедура – финансово оправданной.

Лакирование — это способ защиты, при котором карту покрывают защитным лаком, инициатором отверждения которого являются УФ-лучи. Этот способ значительно уступает ламинированию, причем не, только в технологии нанесения, но и в качестве защиты.

Визуальные элементы для защиты

Карты, предъявляемые для оплаты, всегда проходят визуальный контроль. Иногда это делают службы безопасности. Визуальный контроль используется, как экспресс-метод для обнаружения карт-подделок. Исходя из этого, и было предложено использовать визуальные элементы, которые отличали бы карту от других. Карты могут быть оригинальными с индивидуальными дизайнами, могут иметь отдельные локальные графические изображения и подобное.

При использовании визуальных способов, стоит помнить о том, что изображение должно быть исключительно индивидуальным. Любое копирование повышает риск появления подделки. Не стоит использовать графически примитивные изображения – они вряд ли послужат защитой, т.к. подделка такой карты не составит особого труда. Перегружать карту многообразными или очень пестрыми изображениями и вычурной графикой, также, нет смысла. Это может раздражать.

Еще один вариант визуальной защиты – графические защитные голограммы. Они обеспечивают дополнительную визуальную защиту. Их подразделяют на псевдоголограммы и настоящие голограммы.

Голограммы

Представляют собой фотографии интерференционной картины, содержащей информацию о фазе света и его интенсивности, который отражает объект. Когерентный источник освещает голограмму, в результате чего восстанавливается волна с амплитудой соответствующей волне объекта на голограмме. Формируется трехмерный образ объекта. Т.е. на карте с голограммой содержится индивидуальное изображение, трехмерное, цветное, скопировать которое достаточно трудно.

Голограммы наносят на карту при помощи ламинирующей ленты. Голограмма заранее наносится на нее, и прочно фиксируется на карте. Стоимость подобной защиты зависит от ряда факторов, таких, как персонализация или оригинальность голограммы, тираж, размер голограммы, материал, номер, сама голограмма и т.д. Чем выше уникальность голограммы, тем больше степень защиты, и тем, соответственно, выше цена.

Псевдоголограммы

Это особый муаровый узор, который наносится на поверхность всей карты. Он имеет полупрозрачное изображение – текстовое или графическое, которое становится видимым под определенным углом. Узор формируют методом воздействия градиентного температурного режима по отдельным участкам карты. Этот метод защиты менее дорогой.

Гильоширные элементы

Еще один вариант защиты карты – гильоширные элементы, которые представляют собой нанесенный на карту фоновый рисунок из различных по толщине линий. Они обычно кривые, имеют различную толщину и различные направления. Наносят такие элементы на часть поверхности или на всю поверхность. Линии могут быть монохромные, а могут быть разноцветные.

Гильоширная композиция довольно сложна, и воспроизвести ее весьма не просто. Ее очень сложно сканировать, линии повторяются периодично. Такие объекты занимают огромный объем памяти, поэтому на компьютере обработать массив довольно проблематично.

УФ-изображение

Еще один вариант защиты – УФ-изображение, которое становится видимым под действием источника излучения с определенной длиной волны. т.е. необходимо специальное оборудование. Чаще так формируют логотипы компаний.

Микрошрифт

Хороший способ защиты карты – микрошрифт. Его наносят при помощи специальных аппаратов, позволяющих печатать символы, размером в 250 мкм. Воспроизвести такой шрифт может только специальное полиграфическое оборудование, а прочитать текст без мощной лупы невозможно.

О пластиковых картах

Карта с чипом или без?

На сегодняшний день банковские карты систем Visa International и Master Card, которые выпускаются на рынке, в обязательном порядке должны иметь магнитную полосу, которая содержит данные владельца пластиковой карточки и его данные о его карт-счете в закодированном виде. Но в связи с тем, что защищенность информации на таких устройствах весьма слабая, существует большой риск прочтения либо копирования карт, а также других способов подделок оригинала мошенниками. Кроме того, карты часто приходят в полную негодность в связи с воздействием на них электромагнитного поля.

Добавление на такую банковскую карту дополнительного микропроцессорного чипа стало невероятно большим прыжком вперед с точки зрения защиты информации и осуществления платежей через Всемирную Сеть.

Чиповая карта привычна каждому, ведь внешний вид абсолютно не поменялся. На ней даже имеется магнитная полоса, как и в обычной карте, но главным отличием является наличие чипа. Применять карточку не сложнее прежнего, принцип работы для клиента аналогичен.

Основная масса банковских учреждений, существующих в мире, занимается выпуском совмещенных карт, на которых содержится и магнитная полоса и чип. Объяснить это можно тем, что на сегодняшний день подготовить инфраструктуру к обслуживанию только карт, оснащенных чипами, сложно. В ближайшее время нельзя сказать, смогут ли кредитные организации полностью перейти к производству исключительно банковских карт с чипом.

Преимущества карт с чипом

Подделать такую карточку нереально, потому что степень защиты на новом оборудовании высочайшая.

Основные элементы защиты карт Visa и MasterCard

Благодаря чипу можно защитить с 100%-ной гарантией информацию. Нужно отметить также меньшую уязвимость относительно электромагнитных полей, они не влияют никоим образом на её работоспособность.

Получить деньги в банкомате или оплатить покупку в магазине также легко, как и раньше, потребуется буквально несколько секунд. Ввод PIN-кода остается главным принципом идентификации владельца. За счет этого сотрудники в торговых точках могут проводить все операции без требования подписи.

Чиповые карточки имеют стандарт EMV, принимают их во всех уголках планеты, потому людям, выезжающим за рубеж, они будут как нельзя кстати.

Особенности пользования чиповых карт

После совершения операции с любой картой (с микропроцессором или без) вся информация автоматически попадает в банк. Если банковская организация устанавливает по карте ограничение на количество операций в сутки или на сумму операции, лимит сохранится независимо от типа карты. Крайне редко существует исключение, когда банк предусматривает особенные условия для чиповой карты. Прочие условия обслуживания карточки, имеющей чип, такие как комиссия и т.д., не имеет никаких принципиальных отличий от условий обслуживания остальных карт.

Владелец чиповой карты может не переживать о том, сможет ли касса или банкомат принять его карту с чипом: как было описано выше, на чип-карте имеется также магнитная полоса, потому кассир или банкомат смогут выбрать, каким образом лучше всего обслужить карту.

Важное отличие рассматриваемых карточек от остальных — необходимость вводить свой PIN-код при проведении операций оплаты услуг и товаров каждый раз. Делается это для повышения уровня безопасности эксплуатации. Если говорить об остальных правилах пользования, то они идентичны правилам применения карт с магнитной полосой.

Галина Скородумова

Отзывы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *