Главная » Полезные статьи

Может ли мошенничество быть электронным риском ответ

На чтение 16 мин Просмотров 215 Опубликовано

Автор: Владислав Павперов, старший консультант отдела управления рисками и комплаенс, КПМГ в России и СНГ

Развитие систем электронных платежей

Электронные платежные системы и платежные терминалы стали привычным атрибутом повседневной жизни. Бурный рост этого рынка услуг в 2000-е годы привел к тому, что по данным Национальной ассоциации участников электронной торговли, оборот платежных терминалов в 2009-м году составил 630 миллиардов рублей, количество установленных платежных терминалов перевалило за 350 тысяч, а количество совершенных транзакций – за 5 миллиардов.

Наиболее крупные и устойчивые платежные сети в России – компания ОСМП (розничный бренд QIWI), ОАО «Киберплат», группа e-port и «Евросеть». В совокупности они удерживают более 85% рынка.

В последние годы к этому бизнесу направлено пристальное внимание как со стороны банков, которые стремятся активно развивать платежные сервисы для физических лиц, так и со стороны регуляторов рынка финансовых услуг. До недавнего времени эта сфера финансовых услуг не была подтверждена жесткому регулированию со стороны государства, однако картина существенно поменялась со вступлением в силу с 1 апреля 2010 года Федерального закона «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами».

Сервисы электронных платежей постоянно развиваются, предлагая все новые и новые виды услуг. Если в начале 2000-х основная часть платежей приходилась на оплату услуг операторов связи и Интернет, то на сегодняшний день лидеры рынка предлагают широкий спектр услуг — от традиционной оплаты услуг сотовых операторов, Интернет-провайдеров, коммерческого телевидения, IP-телефонии, до платежей в системах «электронных денег», таких как WebMoney, PayPal, Яндекс.Деньги, платежей по банковским кредитам, совершения денежных переводов через системы денежных переводов, оплаты услуг ЖКХ, штрафов ГИБДД и техосмотра, а также оплаты других товаров и услуг.

С расширением спектра предлагаемых услуг, сращиванием традиционных сервисов платежных систем с банковскими услугами, увеличением сумм, проходящих через платежные системы, встал вопрос контроля за рисками. Условно риски мошенничества в системах электронных платежей можно разделить на технологические риски, связанные непосредственно со слабостями и уязвимостями используемых информационных систем и технологий, и риски, связанные с недостатками контрольной среды, обеспечивающей достоверность, надежность и корректность совершаемых платежных операций.

Типичные технологические риски

Любая система электронных платежей представляет собой совокупность вычислительных комплексов – компьютеров, серверов, взаимодействующих посредством приложений и протоколов, связанных между собой через сети связи, зачастую общедоступные, например, Интернет.

Любой из компонентов системы электронных платежей потенциально имеет уязвимости, вызванные как ошибками в настройке систем, неумением или нежеланием использовать более безопасные технологии и протоколы, так и ошибками в реализации механизмов защиты. Как следствие – мошенники могут использовать эти «дыры» для получения контроля над объектами систем электронных платежей. Основными объектами «интереса» мошенников являются платежные терминалы, серверы участников платежных систем – операторов и агентов, шлюзы в смежные платежные системы – банковские, системы «электронных денег», системы денежных переводов.

Говоря об угрозах в отношении платежных терминалов, важно помнить, что терминалы включают в себя обычный, хоть и специальным образом защищенный и настроенный компьютер – чаще всего под управлением Windows или одной из версий Linux. Традиционные для обычных компьютеров угрозы заражения «вирусами» и «троянскими конями» также актуальны и для платежных терминалов. В последнее время в банковской среде активно обсуждаются участившиеся случаи кражи секретных ключей клиентов Интернет-банкинга с использованием троянских программ и последующие хищения денег клиентов. Очевидно, что терминалы как устройства для проведения платежей, достоверность которых также подтверждается цифровой подписью, являются приманкой для мошенников. Также актуальна и угроза получения удаленного контроля над терминалом – анализируя внутреннюю логику установленного программного обеспечения, мошенники могут проводить платежи, создавать новых получателей платежей, вносить изменения в реквизиты получателей платежей, или менять пользовательский интерфейс таким образом, что плательщик сам переведет деньги туда, куда нужно мошенникам, не подозревая об этом. Заражение терминала происходит и традиционными методами: через ручное обновление программного обеспечения, через «флэшку», через заражение базы обновлений на сервере, и через локальную сеть в случае «проводного» подключения терминала.

Еще одним объектом внимания мошенников могут стать каналы связи между терминалами и сетью оператора платежной системы – как правило, это GPRS-каналы, проводные и WiFi-линии, связывающие терминалы с платежной сетью через Интернет. Если канал связи недостаточно защищен, мошенники могут читать информацию о платежах, могут проводить повторные платежи за счет внедрения в канал связи «скопированных» кусков трафика или его повторения, могут изменять реквизиты совершаемых платежей, подменять реквизиты самого терминала.

Защита от подобного рода угроз достигается традиционными методами – установка антивирусов, регулярные проверки, своевременная установка обновлений, использование защищенных протоколов для удаленного управления, сетевая фильтрация, настройка конфигураций в соответствии с рекомендациями по безопасности для соответствующих операционных систем, настройка соответствующих журналов регистрации и их мониторинг. Канал связи между терминалом и платежной сетью необходимо шифровать, и кроме того, обеспечить аутентификацию при установлении сетевого соединения, как самого терминала, так и сервера, с которым он осуществляет взаимодействие. Особое внимание следует обратить на лиц, имеющих (потенциально имеющих) физический или удаленный доступ к терминалам – администраторов систем электронных платежей, обслуживающий персонал, разработчиков и тестировщиков, специалистов технической поддержки. Необходимо оценить, насколько безопасно организованы процедуры генерации и распределения секретных ключей, убедиться, что доступ к секретным ключам имеется только у доверенных лиц, и никто из третьих лиц не имеет доступа к ним. Нелишним будет периодически проводить тестирование защищенности платежных терминалов с тем, чтобы еще раз убедиться в надежности защиты терминалов.

Читать дальше:  Куда можно перевестись из медицинского университета?

Мошенники также могут обратить внимание на другие объекты систем электронных платежей – серверы, осуществляющие прием и обработку транзакций от платежных терминалов, прием и обработку транзакций от агентов, а также шлюзы в смежные платежные системы – банковские, системы «электронных денег», системы денежных переводов. Риски совершения мошенничества здесь повышаются за счет того, что суммы могут многократно превышать платежи через платежные терминалы, мошенниками могут оказаться как сотрудники операторов электронных платежных систем, имеющие доступ к системам, так и агенты.

Зачастую обмен транзакциями в этих системах реализован через незащищенные протоколы – файловый обмен, через Web и FTP-интерфейсы. Сами системы подвержены большему числу уязвимостей по сравнению с терминалами – у них более разнообразные и развитые интерфейсы взаимодействия. Если доступ к терминалу может быть ограничен только защищенными соединениями с отдельных сетевых адресов, то аналогичные меры в отношении серверов не всегда применяются.

Программное обеспечение систем также подвержено уязвимостям, в частности, самой архитектуры приложения (на последовательность и связность формирования транзакций, достоверность и целостность транзакций, проверку корректности транзакций, на методы хранения ключей, и т. д). От угроз такого рода операторы платежных систем могут защититься либо анализом текущей архитектуры программного обеспечения (ПО) на предмет уязвимостей, либо разработкой нового ПО с учетом методологий безопасной разработки, таких, как, например, SDL (Security Development Lifecycle).

Внимание мошенников направлено на возможности фальсификации транзакций, подлога или совершения транзакций от имени других участников электронной платежной системы, изменения реквизитов транзакций. Мошенники могут попытаться получить доступ к серверам и шлюзам с целью получения секретных ключей и паролей участников платежных систем с целью дальнейшей кражи денежных средств участников системы. Известны случаи атак на платежные системы, когда объектами атаки становились пароли агентов системы. Получив пароль или привилегии в системе, мошенники получают возможность манипулировать денежными средствами на счетах агентов в платежной системе.

Также для операторов электронных платежей актуальны угрозы в отношении доступности системы. Известен случай, когда один из лидеров этого рынка стал жертвой атаки, в результате которой доступность системы была нарушена, и платежи через нее не проводились. С развитием ботнетов и появлением предложений в Интернет по взлому компьютерных систем или по совершению атак на «отказ в обслуживании» на системы, когда заказчик атак остается неизвестным, риск потери доходов, а также партнеров и агентов от простоя системы в результате подобных действий существенно вырос.

Мерами защиты в данном случае является весь комплекс рекомендаций по обеспечению информационной безопасности финансовых систем – от разработки и внедрения соответствующих политик и процедур в отношении сотрудников, управления доступом, конфигурациями, уязвимостями, инцидентами, до внедрения безопасных и защищенных механизмов информационного обмена, с использованием методов усиленной аутентификации, криптографии и пр.

Риски контрольной среды

Вторая группа рисков – это риски, связанные с недостатками и слабостями контрольной среды при использовании информационных систем. Эти риски направлены на использование недостатков в процедурах контроля и проверок при проведении транзакций, на совершение мошеннических действий за счет избыточных прав доступа, недостатков в разграничении прав доступа или отсутствия контроля за действиями сотрудников, совершение фальсификаций, подлогов или искажения информации о транзакциях за счет отсутствия механизмов контроля ввода, проверки целостности и достоверности информации, корректности ее обработки.

Для электронных платежных систем актуальны давно традиционные для банков внутренние атаки на платежные процедуры (сдвоенные платежи, «коррекция», сторнирование и возврат, возврат по рекламациям, и т. д). Ожидаемо, что и меры защиты будут аналогичны применяемым в банках: гибкая система настраиваемых лимитов, сверки, принципы «двух рук», «четырех глаз», разделение обязанностей на уровне ролей в системе обработки платежей, и другие подобные контрольные меры.

Со стороны служб внутреннего контроля необходим тщательный анализ всей цепочки движения денежных средств в системе на предмет возможных злоупотреблений и мошенничества, нарушения базовых принципов безопасности платежей – авторизации сторон взаимодействия, достоверности представленной информации по транзакции, обеспечения ее целостности на всех этапах ее обработки, корректности ее обработки, подотчетности всех операций.

Читать дальше:  Дефектная ведомость на ремонт фасада здания образец

Очевидно, что система контролей должна быть выстроена и в отношении взаимодействия между партнерами (банками, провайдерами услуг), оператором электронных платежей и агентами с целью снижения рисков мошенничества в отношении друг друга. Известны примеры, как недобросовестных агентов, так и операторов, принимавших платежи, но не переводивших их конечным получателям, в результате чего существенно подрывается доверие к системам электронных платежей и участникам этих систем.

Стоит учесть, что в системе электронных платежей осуществляется обработка сведений, составляющих, как персональные данные физических лиц, так и коммерческую тайну, разглашение которых, может повлечь за собой значительный ущерб для оператора систем электронных платежей. Особое внимание следует уделить вопросам конфиденциальности данных, как плательщиков, так и участников системы и формирования системы контролей, исключающих неавторизованный доступ к этим данным или их утечку.

Гарантии доверия

Многочисленные случаи мошенничества существенно подрывают доверие к системам электронных платежей. И если люди зачастую принимают риски, связанные с использованием таких систем, при небольших платежах (например, при платежах в несколько десятков или сотен рублей при оплате услуг сотовых операторов), то при необходимости совершения более крупных операций люди все-таки чаще предпочитают идти в банк. Повышение доверия к системам электронных платежей как со стороны участников систем, так и со стороны физических лиц – одна из основных задач.

Вступивший в силу закон устанавливает требования к участникам электронных платежных систем, к формам и качеству оказания услуг, выполнение которых позволит в какой-то степени снизить риск мошенничества и повысить доверие к системам электронных платежей.

На западе помимо проверки соответствия требованиям регуляторов широко практикуется практика внешнего аудита системы внутреннего контроля. Отчет аудиторской компании по стандарту SAS70 позволяет в какой-то степени гарантировать, что контрольная среда сервисной организации (а оператор системы электронных платежей является сервисной организацией для прочих участников электронных платежей) реализована корректно и покрывает риски мошенничества, связанные с осуществлением платежей.

Мошенничество в сети Интернет

Вам пришло письмо на электронную почту: «Ваша банковская карта заблокирована. Для разблокировки пройдите по ссылке, введите номер карты и её PIN-код». Ваши действия?

1 Перейду по ссылке и введу данные.

2 Введу данные и положу на карту ещё денег, чтобы её больше не блокировали.

3 Порекомендую ссылку другу— на случай, если и у него возникнут проблемы с картой.

4 Не буду переходить по ссылке и вводить свои данные. Позвоню в банк и попробую разобраться в ситуации.

Мобильный оператор прислал вам смс с паролем от личного кабинета на его сайте. После этого вам звонит незнакомый человек и говорит: «Извините, я случайно указал ваш номер телефона на сайте мобильного оператора, и вам пришёл мой пароль. Перешлите мне его, пожалуйста!» Что вы сделаете?

1 Сразу же перешлю пароль.

2 Перешлю, конечно, и посоветую поменять пароль, так как этот теперь мне известен.

3 Не стану пересылать никакую персональную информацию незнакомому человеку.

4Поделюсь паролем незнакомца со своими друзьями.

Вам пришло электронное письмо о выигрыше в лотерею. Чтобы получить приз, нужно оплатить его доставку. Как вы поступите?

1 Оплачу доставку и буду ждать приз.

2 Свяжусь с организатором лотереи по контактам в письме, уточню реквизиты для платежа и только потом оплачу доставку.

3 Свяжусь с организатором, чтобы узнать, можно ли самому приехать и забрать приз.

4 Проигнорирую письмо, так как ничего не знаю об этой лотерее.

Вы ищите сайт, где можно купить билеты на самолёт. На что нужно обратить внимание при выборе такого сервиса?

1 Внешний вид сайта.

2 Цены на билеты.

3 Отзывы пользователей на самом сайте.

4 Отзывы пользователей, размещенные на других ресурсах.

Вы хотите купить смартфон в интернет-магазине. Как определить, что этому магазину можно доверять?

1 Поискать отзывы о магазине на других ресурсах (например, на Яндекс.Маркете).

2 Почитать отзывы на сайте самого магазина.

3 Проверить, предлагает ли магазин гарантию на смартфон.

4 Посоветовать магазин другу, который тоже собирается купить смартфон, и проверить на нём надежность сайта.

Вам пришло сообщение, что нужно заплатить по квитанции за электричество. Но указанные реквизиты не совпадают с теми, по которым вы платите обычно. Что вы сделаете?

1 Заплачу по указанным реквизитам.

2 Спрошу у соседей, менялись ли у них реквизиты.

3 Не стану платить.

4 Позвоню в Энергосбыт и уточню, не менялись ли реквизиты, если не менялись — повешу объявление в подъезде, чтобы соседи не попались.

Читать дальше:  Альфа банк заявление на расследование платежа скачать

Вы решили посмотреть фильм в интернете. Сайт просит ввести ваш мобильный номер, чтобы вы могли посмотреть фильм в хорошем качестве и без рекламы. Что вы сделаете?

1 Введу номер телефона.

2 Вместо своего номера введу случайную комбинацию цифр.

3 Введу свой номер и номера родителей, чтобы сразу оформить подписку и на них.

4 Поищу другой сайт, который не требует вводить личные данные для просмотра фильмов

Что нужно, чтобы максимально обезопасить свой электронный кошелёк?

1 Пользоваться одноразовыми платежными паролями для подтверждения операций.

2 Придумать пароль для доступа к кошельку не менее чем из 16 символов.

3 Не хранить деньги в электронном кошельке, а пополнять его непосредственно перед платежом и сразу тратить всю сумму.

4 Каждый месяц задавать новый пароль для входа на сервис.

Банк прислал вам смс-уведомление, что с вашей карты были сняты деньги. При этом вы сами ничего не снимали. Ваши действия?

1 Напишу письмо в банк с подробным описанием проблемы и скриншотом смс.

2 Отложу этот вопрос на потом, так как сейчас нет времени им заниматься.

3 Немедленно позвоню в банк и заблокирую карту.

4 Ничего не буду делать. Скорее всего, это ошибка. Банк сам разберется и вернет деньги.

Что нельзя сообщать другим о своей банковской карте?

1 Имя владельца карты.

2 Название банка, выпустившего карту.

3 Три цифры на обратной стороне карты (CVC-код).

4 Последние четыре цифры номера карты.

Что нельзя делать со своим паролем от электронного кошелька?

1 Сообщать пароль другим людям, даже сотрудникам службы поддержки платежного сервиса.

2 Часто менять пароль.

3 Задавать более простой пароль, чем установлен сейчас.

Безопасное поведение в криминогенных ситуациях

Список вопросов теста

Вопрос 1

Кого мошенник должен прежде всего обмануть, чтобы с успехом обманывать других?

Варианты ответов
  • самого себя
  • своих знакомых
  • своих родственников
Вопрос 2

Что такое мошенничество?

Варианты ответов
  • хищение чужого имущества или приобретение права на чужое имущество путём обмана и злоупотреблением доверия
  • тайное хищение чужого имущества
  • открытое хищение чужого имущества с угрозой применения физической силы
  • хищение чужого имущества с угрозой применения оружия
Вопрос 3

Какая черта является основной для мошенников?

Варианты ответов
  • способность быстро вживаться в любую роль, вести себя непринуждённо и естественно
  • способность совершать дерзкие нападения и избегать уголовного наказания
  • способность умело обращаться с холодным и огнестрельным оружием
Вопрос 4

Что является главным оружием мошенника?

Варианты ответов
  • найти слабые места у своей жертвы и вынудить её добровольно расстаться с деньгами, драгоценностями и прочим имуществом
  • нож
  • пистолет
Вопрос 5

Основами какой науки владеет мошенник?

Варианты ответов
  • психология
  • химия
  • биология
Вопрос 6

Какими приёмами обладают мошенники?

Варианты ответов
  • самбо
  • дзюдо
  • дзюпосле
  • гипноза
Вопрос 7

Вступая в разговоры с незнакомыми людьми на улице, соблазняясь на "выгодные" предложения покупки, почаще вспоминайте: "Ах, обмануть меня не трудно! Я сам обманываться рад!" Кому принадлежат эти слова?

Варианты ответов
  • А.С. Пушкину
  • М.С. Горбачёву
  • Б.Н. Ельцину
  • Сергею Мавроди
Вопрос 8

Какая статья Уголовного кодекса РФ предусматривает наказание за мошенничество?

Варианты ответов
  • 159
  • 158
  • 160
Вопрос 9

Какая форма мошенничества является наиболее распространённой?

Варианты ответов
  • обман
  • злоупотребление доверием
Вопрос 10

Что Вы подумаете, если Вам предложили купить дорогую вещь по заведомо низкой цене?

Варианты ответов
  • вещь ворованная или краденная
  • продавец придурок
  • человеку нужны деньги
Вопрос 11

Лишением свободы на срок от 2 до 6 лет наказывается мошенничество, совершённое

Варианты ответов
  • лицом с использованием своего служебного положения, а равно в крупном размере
  • группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину
Вопрос 12

Доверите ли вы присмотреть за своими вещами посторонним людям?

Варианты ответов
  • Нет
  • Да, если они до этого доверили мне присмотреть за их вещами
Вопрос 13

Какое максимальное наказание за мошенничество предусматривает УК РФ?

Варианты ответов
  • лишение свободы на срок до 10 лет
  • лишение свободы на срок до 6 лет
  • лишение свободы на срок до 5 лет
Вопрос 14

Что такое обман?

Варианты ответов
  • сознательная дезинформация будущей жертвы
  • умышленное искажение действительного положения вещей
  • преднамеренное введение жертвы в заблуждение относительно определённых обстоятельств и событий
  • использование доверительных отношений, сложившихся между мошенником и жертвой
Вопрос 15

Какое минимальное наказание за мошенничество предусматривает УК РФ?

Варианты ответов
  • штраф
  • арест
  • обязательные работы
Вопрос 16

Лишением свободы на срок до 5 лет наказывается мошенничество, совершенное

Варианты ответов
  • группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину
  • лицом с использованием своего служебного положения, а равно в крупном размере
Вопрос 17

Что делают мошенники для того, чтобы завладеть чужим имуществом?

Нет связанных сообщений

Оцените статью
Добавить комментарий