подписка
Подписаться
И. Голдовский
15/08/2002

Безопасность платежей в Интернете - Часть 2.4 "Виды интернет-мошенничества (продолжение)"

Источник: ИД 'Питер'

Остановимся теперь на втором типе мошенничества – компрометации персональных данных владельцев пластиковых карт. 2000-й год стал рекордсменом по числу взломов БД карточек в информационных системах крупных ТП. Так, в марте этого года появилось сообщение о том, как в Уэльсе два подростка украли более 26 тысяч реквизитов карт из БД одного из электронных магазинов. К сожалению, это был единственный случай, когда мошенники были задержаны.

Другой пример является еще более масштабным. В начале 2000 г. российским хакером была вскрыта БД объемом 300000 записей. После того, как мошенник, представившийся Максимом, потребовал за сохранение тайны о случившемся выкуп в размере 100 тысяч долларов и получил в ответ отказ, часть украденных номеров карт была выставлена в Интернете для общего обозрения. Спецслужбы, занимавшиеся расследованием данного случая, отметили чрезвычайно высокий профессиональный уровень хакера – для вскрытия БД использовались методы, известные только профессионалам в области защиты информации, Кроме того, преступник так искусно скрыл следы своего присутствия на сайте ТП, что единственное, что можно было установить, так это то, что он действовал, используя российский IP-адрес.

Известно также о случае кражи реквизитов 485 тысяч карт, выставленных в сети National Aeronautic & Space Administration после отказа заплатить преступнику запрошенный им выкуп.

В середине 2000 г. Интернет-магазин Egghead.com объявил о вскрытии его системы защиты информации и краже БД карточек. БД карточек этого магазина содержала реквизиты 3,7 млн карт.

Интернет-магазин является идеальной мишенью для мошенников, желающих украсть реквизиты работающих карт. По данным исследования, проведенного Международной ассоциацией потребителей, более двух третей сайтов торговых точек хранят эти данные по самым разным соображениям и для разных целей. К таким соображениям может относиться необходимость хранения информации о выполненных платежах, установление отношений со своими покупателями (Client Relationship Management), технические причины и т. п. Говоря о технических причинах, можно упомянуть технологию, используемую в Amazon, и состоящую в том, что реквизиты карт запоминаются на сайте этого ТП в том числе и для того, чтобы при следующем обращении клиента ему не нужно было бы вводить реквизиты своей карты заново.

По данным компании Meridien Research, уязвимость Интернет-магазинов усугубляется еще и тем, что лишь 30% онлайновых продавцов используют надежные системы защиты для борьбы с компьютерными мошенниками.

В заключение остановимся на третьем типе мошенничества – магазинах-бабочках, открывающихся с целью "отмывания" украденных реквизитов карт. После того как в руках криминальных структур появляются украденные реквизиты карт, возникает задача ими воспользоваться. Один из способов – организация виртуального ТП, "торгующего" программным обеспечением или другими информационными ресурсами (программы телевизионных передач, подписка на новости и т. д.). В действительности, такое ТП, как правило, имеет свой сайт, но ничем реально не торгует. При этом в обслуживающий банк регулярно направляются авторизационные запросы, использующие украденные номера карт, а, следовательно, магазин регулярно получает от обслуживающего банка возмещения за совершенные в нем "покупки". Так продолжается до тех пор, пока уровень chargeback (отказов от платежей), от эмитентов украденных реквизитов карт не станет свидетельством того, что имеет место мошенничество. Обычно к этому моменту и сами магазины, почувствовав запах жаренного, исчезают и становятся предметом поиска правоохранительных органов.

Магазины-бабочки обычно выбирают две крайние стратегии своей работы. Выбор стратегии определяется размером украденной БД карточек. Если размер украденной БД достаточно большой (десятки тысяч карт), то выбирается стратегия, в соответствии с которой транзакции делаются на небольшие суммы (порядка 10 долларов США). Основная идея такой стратегии заключается в том, что действительный владелец карты заметит небольшую потерю средств на своем счете далеко не сразу и в результате за имеющееся в распоряжении мошенников время (как правило, 1-3 месяца) можно на подобных небольших транзакциях украсть сотни тысяч долларов.

Наоборот, когда в распоряжении мошенников несколько десятков карт, выбирается стратегия выполнения транзакций на крупные суммы (несколько тысяч долларов). В этом случае активная жизнь магазина-бабочки составляет несколько недель, после чего магазин исчезает.

Резюмируя все сказанное, следует отметить следующее:

  • в основе всех мошенничеств в ЭК лежит попадание в руки криминала информации о реквизитах действующих карт;
  • внедрение дополнительных методов повышения безопасности транзакций ЭК (CVC2/CVV2, AVS), сводящихся к увеличению размеров статических реквизитов карт, даст эффект в течение относительно небольшого интервала времени, но не позволит решить проблему кардинальным образом. Криминал не оставит попыток приобретения реквизитов карт, используя для этого самые разнообразные методы, начиная от классических (сговора с персоналом ТП), и заканчивая вскрытием БД карточек ТП и созданием специальных магазинов, ставящих своей главной целью завладеть информацией о номерах карт.


    Купить книгу

  • Прокомментировать
    Читайте также
    Андрей
    24/12/2005
    PayPal 164
    Могу обналичить Paypal в Харькове или Киеве, возможно при договоренности и в других городах Украины. Пишите на мэйл kamashka117@yahoo.com
    Форум Ведение бизнеса Платежные системы
    16/08/2002
    "Яндекс", "Рапида", WebMoney объединятся в семинаре
    29 августа (РОЦИТ) проведет очередной бесплатный семинар, посвященный электронным платежным системам. Недавно стали известны и первые участники мероприятия. В их числе – представители ведущих платежных систем: «Рапиды», «Яндекс.Денег», WebMoney, - а также сотрудники корпорации «НИКОЙЛ»... Подробнее
    14/08/2002
    Take&Pay "обрастает" клиентами
    Примерно за месяц работы к новой системе присоединились пять продавцов и ни одного держателя средств (интернет-провайдера, сотового оператора и т.п.), кроме связанной с Take&Pay компании «Фраин»... Подробнее
    13/08/2002
    E-port подарила $100 неизвестно кому
    12 августа стало для системы e-port знаменательным днем – была выпущена милионная карта. ... Подробнее