Предложения по повышению уровня безопасности расчётных пластиковых карт (Ляпидов К.В.)

Предложения по повышению уровня безопасности расчётных пластиковых карт

Ляпидов К.В. (VII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России». 2011)

.

____На сегодняшний день, в связи с широким распространением расчётных пластиковых карт, всё более серьёзно встаёт проблема их защиты от взлома. По подсчётам специалистов ежегодный ущерб мировой экономике от действий интернет-мошенников (кардеров), ворующих деньги с виртуальных счетов, кредитных и дебетовых карт, а также других платёжных систем, с каждым годом растёт и приближается к 100 миллиардам долларов США. Об актуальности данной проблемы свидетельствует ещё и тот факт, что на долю электронных денег приходится около 90% от общей денежной массы.
____В настоящее время существует два основных типа расчётных пластиковых карт: карты с магнитной полосой (традиционная) и карты со встроенной микросхемой (смарт-карты). Основное различие этих двух типов заключается в принципе шифрования данных о счёте. На традиционных картах сведения зашифрованы на магнитной полосе, что делает их крайне уязвимыми для, т. к. карты с магнитной полосой легко поддаются копированию при помощи специального устройства — скиммера (устройство для считывания информации с карты). Кроме того, карта с магнитной полосой всегда имеет одинаковые идентификационные данные, которые передаются в банк-эмитент. В связи с этим существует возможность их перехвата и изготовления поддельной карты.
____В отличии от карт с магнитной полосой, в смарт-картах используется более сложный алгоритм  шифрования и каждая транзакция подтверждается  специальным одноразовым кодом, т.е. для проведения каждой следующей транзакции требуется новый код. Таким образом, использование данных прошедших транзакций становится бессмысленным. Создание дубликата смарт-карты на сегодняшний день практически невозможно. В настоящее время смарт-карты являются единственной действенной защитой от различных форм скимминга.
____Несмотря на очевидные преимущества смарт-карт, в России ни один банк их не выпускает. Связано это с отсутствием полноценной инфраструктуры по их приёму. Альтернативой на сегодня являются комбинированные карты имеющие как микропроцессор, так и магнитную полосу. Несмотря на универсальность комбинированных карт, они имеют все недостатки карт с магнитной полосой, в связи с этим рассматривать их следует только как переходную форму к полноценным смарт-картам.
____Одним из самых распространённых способов в последнее время становится оплата товаров и услуг через Интернет, однако этот способ является также и одним из самых опасных с точки зрения надёжности. Связано это с тем, что при проведении транзакции невозможно полностью идентифицировать законного держателя карты. Идентификация в большинстве случаев осуществляется посредством введения данных указанных на карте. Таким образом, кардер, скопировав информацию с карты (посредством скиммера) или зафиксировав её данные посредством видеокамеры (или иных устройств), получает возможность от лица законного держателя карты производить оплату товаров и услуг в своих корыстных целях.
____Внедрение в российском сегменте Интернета 3-D Secure — технологии аутентификации владельца карты в режиме on-line при проведении платежей через Интернет, позволяет исключить вероятность проведения незаконной транзакции. В основе безопасности 3-D Secure лежат следующие положения:
____— проверка личности владельца карты в реальном времени посредством специального пароля, известного только законному держателю карты и банку-эмитенту;
____— защита результатов проверки путём использования цифровой подписи;
____— защита конфиденциальной информации пользователя посредством использования защищённых страниц платёжного сервера.
____Учитывая всё вышесказанное, с целью повышения надёжности, предлагается введение  обязательного подтверждения о проведении транзакции по магнитной и комбинированной пластиковой карте при помощи SMS-оповещения на сотовый телефон держателя карты. Таким образом, все движения по счёту будут всегда контролироваться как со стороны банка-эмитента, так и со стороны держателя карты. Введение дополнительных сервисов для комбинированных карт позволит в более сжатые сроки создать инфраструктуру для полноценных смарт-карт.
____Наиболее перспективной на сегодняшний день является технология PayPass, она позволяет проводить экспресс оплату, прикладывая карту к специальному считывающему устройству (терминалу). Данная технология уже довольно долго и успешно используется в странах Европы и США.
____Несмотря на относительно высокую стоимость технологии 3-D Secure, необходимость её внедрения в российский сегмент Интернета очевидна. Внедрение технологии 3-D Secure также позволит увеличить объёмы электронной коммерции, кроме того, она закладывает перспективы развития универсальной коммерции т.е. проведения коммерческих операций с любого устройства, в любое время и из любой точки, практически исключая проведение незаконных транзакций.

.