Как работает защита транзакций
Операции с банковскими картами проходят по сложной цепочке, которая призвана обеспечить как высокую скорость оплаты, так и достаточный уровень безопасности. Если коротко, то все сводится к обмену данными между торговой точкой, банком-эквайером, платежной системой и банком-эмитентом. При этом для ускорения расчетов используются специальные счета в процессинговых центрах – информация по ним обновляется буквально в режиме реального времени, а операции по карточному счету в банке занимают до 3-х рабочих дней.
Чтобы транзакции были безопасными, все каналы связи должны быть хорошо защищены. Например, POS-терминал в торговой точке получает данные карты, а если он не бесконтактный, то еще и пин-код. Соответственно, канал связи терминала с сервером банка должен быть защищен. Соответственно, весь дальнейший обмен информацией между звеньями цепочки транзакций должен быть защищен.
Крупные банки обычно открывают собственные процессинговые центры, банки поменьше заключают договоры со сторонними центрами. Кроме того, определенная часть информации обрабатывается в дата-центрах. Дата-центры обычно предоставляют полноценную систему защиты данных, которая включает в себя:
- Защита от вторжений посторонних (в том числе от сетевых атак);
- Мониторинг систем информационной безопасности;
- Защита от несанкционированного доступа на рабочие места сотрудников;
- Брандмауэры и разграничение сетевых потоков;
- Антивирусная защита и многое другое.
Все это дает свои результаты – сейчас подавляющее большинство случаев кражи денег с карт связано с тем, что мошенники используют методы социальной инженерии и обманывают конечного пользователя – держателя карты.
Какие технологии используются для защиты
Как мы уже писали, банки, платежные системы, процессинговые центры и центры обработки данных используют многоуровневую защиту данных клиентов, и она достаточно эффективна. Его эффективность обеспечивается применением самых современных технологий (и затраты на такие системы соответствующие).
Например, облачный сервис от G-Core Labs недавно начал обработку транзакций для банков, финтех-компаний и ритейлеров по всему миру, получив сертификацию PCI DSS 3.2.1 для хранения, обработки и передачи данных платежных карт. Сам стандарт представляет собой набор требований по обеспечению безопасности данных держателей карт. Кроме того, облачная инфраструктура позволяет использовать так называемые анклавы — когда пользовательский код выполняется в изолированных областях памяти для защиты от внешних процессов. Для этого на уровне IaaS облака G-Core Labs используется стандарт шифрования Intel SGX.
Но и это еще не все — теперь технологии позволяют защищать данные на уровне конечного пользователя систем. Итак, для защиты от мошенничества де-факто уже стал стандартом следующий набор технологий:
- Протокол SSL (Secure Socked Layer) — позволяет шифровать данные, передаваемые с компьютера пользователя на сервер. На самом деле данные передаются по протоколу HTTPS — и современные браузеры выделяют такие сайты специальными пометками;
- 3D-Secure — его суть в том, что для подтверждения любой онлайн-транзакции вам необходимо ввести код, который приходит в СМС на номер телефона, привязанный к карте. Сейчас, конечно, мошенники постепенно научились «обходить» эту защиту через удаленный рабочий стол, но все опять упирается в социальную инженерию (то есть просто обман пользователя);
- Авторизация на уровне платежной системы — это касается использования PayPal, Apple Pay или Google Pay. Эти системы самостоятельно передают информацию о картах на сервер, а клиенту достаточно авторизоваться в системе или просто разблокировать смартфон паролем или отпечатком пальца.
- Системы защиты от мошенничества — оценивайте весь поток операций и старайтесь выделить те, которые чем-то отличаются от других. Например, поток однотипных транзакций с одной карты может свидетельствовать о несанкционированном доступе к ней — и такие операции временно приостанавливаются.
Однако никакая технология не защитит деньги на карте, если клиент банка сам передаст мошеннику свои данные.
Не теряйте бдительности
Большинство случаев мошенничества с картами сейчас — результат того, что злоумышленники достаточно хорошо освоили методы социальной инженерии. Они способны «вытягивать» данные карты, СМС-коды и другие данные даже у тех клиентов банка, которые прекрасно осведомлены обо всех мошеннических схемах. И есть только один способ справиться с этим — постоянно информировать пользователей о новых рисках.
Самое простое правило — банк никогда не звонит клиенту и не спрашивает у него реквизиты карты (хотя бы потому, что они у него уже есть). И не просит перевести деньги на «резервный счет», и не просит устанавливать какие-то приложения.
Мошенники совершенствуют свои «технологии». Например, могут убедить человека в том, что он действительно является сотрудником банка, раскрыв некоторые персональные данные клиента - адрес, ФИО, место работы и т. д. Но на самом деле, если данные «утекли» из банка, то в полная - и такая осведомленность о данных клиента вполне понятна.
Некоторые банки предлагают страховку от карточного мошенничества. Делать это или нет - личное дело каждого. Но следует понимать, что если деньги будут украдены по вине банка, именно он вернет их клиенту. А если клиент сам сообщит мошеннику свои данные, то никакая страховка этот ущерб не покроет.