Реферат: Мошенничество в сфере электронного банкинга

Риски электронных и компьютерных преступлений по отношению к банкоматам могут быть застрахованы либо как расширение покрытия по полису страхования банкоматов и денежной наличности в них, либо в рамках комплексного полиса страхования банка от электронных и компьютерных преступлений.

Несмотря на то что большинство банков в рамках договора с клиентами формально не несет ответственности за утрату клиентами средств при использовании пин-кода пластиковой карты, суды в большинстве случаев встают на сторону клиентов. Такие риски могут быть застрахованы в рамках полиса страхования рисков эмитентов банковских карт.

Любой банк обязан выполнять требования по обеспечению защиты информации следующих внешних по отношению к финансовой организации нормативно-правовых актов:

- Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных";

- Федеральный закон РФ от 7 августа 2001 г. № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем";

- Стандарт межународной платежной системы VISA PA DSS (в контексте требований стандарта PCI DSS для программного обеспечения процессингового центра);

- Рекомендации ЦБ РФ, направленные циркулярным письмом Московского ГТУ Банка России № 33-00-18/3183 от 25.01.2010 г. "О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга".

2. Виды и методики осуществления мошенничества в сфере интернет-банкинга

Мошенничество с картами и мошенничество с ДБО, соединенные в один технологический «узел», дают синергетический эффект для мошенничеств. Потери от таких действий в десятки раз превосходят отдельно взятые воровство из интернет-банкинга и кражи денег из банкоматов. Интернет-банкинг позволяет воровать деньги с банковских счетов, а банкоматные сети дают возможность украденные деньги обналичивать.

Как пластиковые карты вовлекаются в интернет-мошенничество? В первую очередь через расчеты за услуги через Интернет. Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт. Используются порой совершенно незащищенные технологии. Как только клиент ввел на небезопасный сайт данные своей карты, он может быть уверен, что вскоре получит уведомление о совершенной с его карты покупке в каком-нибудь «левом» интернет-магазине.

С другой стороны, пластиковые карты служат для аутентификации клиента в системах дистанционного банковского обслуживания, в том числе даже без наличия электронно-цифровой подписи. Так для мошенников открывается путь в системы ДБО.

И еще: карты стали соединять с электронными деньгами и счетами в сотовой связи.

Основные виды правонарушений

- Самый распространенный вид мошенничеств через ДБО - это хищение денежных средств со счетов клиентов с использованием краденых «ключевых» данных клиентов.

- Следующий вид правонарушения - кража персональных данных для изготовления персональной карты через специальные программы, скимминговые устройства, данные процессинговых центров.

Далеко не все онлайн-магазины предлагают защищенные сервисы для использования платежных карт

Теперь мошенники стремятся украсть персональные данные или данные пластиковых карт не только для непосредственного их использования, но и для управления банковскими счетами. Самое простое - когда секретные ключи лежат на носителе, который можно потерять. Либо воры могут украсть ключи с использованием троянов или просто могут получить мошеннический удаленный доступ к компьютеру клиента и использовать честно защищенные данные.

Прошли времена хакеров-одиночек. Сейчас чаще всего действует организованная группа или даже несколько различных функциональных групп или группировок. Нынешнее мошенничество - это высокотехнологичная операция с очень специфическими функциями, где на каждом этапе нужна очень профессиональная подготовка. Универсалы-одиночки здесь не справятся. Работа таких групп сильно распределена по четко выраженным этапам, а также территориально.

Деятельность каждой отдельной группы направлена на проведение, как правило, только одной операции. Бывает, что группы не связаны ни единым замыслом, ни единой технологией, ни конечной целью. Например , одна группа пишет и продает трояны. Другая группа делает БОТ-сеть, которая распространяет эти данные. Третья группа сортирует и приводит в товарный вид все украденные данные - распределяет, где логины - пароли, каким банкам они принадлежат, какой тип системы ДБО используется и т.д.

В «помощь» мошенникам появились «зарплатные карточные проекты» фиктивных компаний

Когда проведен подготовительный этап, определены цели, сроки, задачи, пути вывода наличных, средства прикрытия и блокировки сервисов ДБО, можно начинать собственно операцию: преступники получают доступ непосредственно к счету или карте клиента и осуществляют несанкционированный перевод на заранее подготовленный промежуточный счет. Затем нужна хорошая ДОС-атака, которая обрушит сервис, чтобы клиент не смог своевременно получить информацию о движении средств на его счете. ДОС-атака должна закончиться в тот момент, когда деньги будут обналичены.

Этапы операции по атаке на системы ДБО:

- создание специального «инструментария» - программ-троянов для сбора данных;

- создание специального «инструментария» - программ-троянов для организации DDoS-атак;

- распространение троянов и создание БОТ-сетей;

- создание центра управления (координации) «операцией»;

- проведение «операции»;

- «зачистка» следов проведения «операции» - проведение DDoS-атак на системы ДБО.

Технические приемы получения данных пластиковых карт: