Иностранцы, приезжающие в Россию, часто принимают платежные терминалы либо за банкоматы, либо за информационные киоски для туристов, и требуется некоторое время для того, чтобы объяснить им предназначение этих невиданных за рубежом устройств. Культурные и исторические особенности развития инфраструктуры платежей частных лиц – такие как колоссальный, по сравнению с Западом, объём наличности на руках у населения, недоверие к банковским картам, особенности российского банковского законодательства и, главным образом, непопулярность личных расчетных чеков как платежного средства – предопределили появление на российских улицах терминалов моментальных платежей.
Революция на рынке наличных платежей
Если в США для оплаты коммунальных услуг, телефона и интернета человек посылает письмо с вложенным чеком на требуемую сумму, либо платит через web-сайт с помощью кредитной карты, либо, что реже, договаривается со своим банком о безакцептном ежемесячном списании требуемых средств, то в России до недавнего времени альтернативы походу в отделение банка не было.
Появившиеся в начале 2000-х годов терминалы решили эту проблему и произвели революцию на рынке наличных платежей. По данным Национальной ассоциации участников электронной торговли, оборот платежных терминалов в 2009-м году составил 630 млрд рублей, количество установленных терминалов перевалило за 350 тысяч, а количество совершенных транзакций – за 5 миллиардов.
Приведенная статистика показывает значимость платежных терминалов на рынке электронных финансовых услуг. Представители Банка России отмечали, что «терминальщики» фактически создали параллельную банковскую систему. Однако и банки, и банковский регулятор обратили внимание на бурно растущую отрасль далеко не сразу. Лишь с 1 апреля 2010 года полностью вступил в силу Федеральный закон «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами».
Основные риски
Как и всякая новая технология, платежные терминалы, кроме очевидных удобств, принесли как плательщикам, так и владельцам (или арендаторам) терминалов и сопутствующие риски мошенничества. Риски, связанные с информационными технологиями, занимают далеко не последнее место.
Одним из основных факторов риска является прямой доступ к системам «электронных денег». В отличие от традиционных платежей за услуги ЖКХ или сотовую связь, где возврат неверного или незаконного платежа провести относительно легко, платеж, проведенный в пользу систем «электронных денег», может быть оперативно обналичен, что делает возврат практически невозможным. Проблематичен так же и возврат платежей в счет погашения кредита, не говоря уже о платежах в пользу ГИБДД или ФМС.
Дополнительным, «инновационным» риск-фактором является появление на рынке киберпреступности, такого явления как FaaS (Fraud-As-A-Service), или «мошенничество, как услуга». Суть этого явления в том, что если еще несколько лет назад «хакеры» взламывали компьютерные системы ради прямой личной выгоды (и, косвенно, демонстрации своих возможностей), то сегодня они предлагают мошеннические услуги другим нечистоплотным пользователям, работая за «комиссию» от мошеннической сделки. Так, Рунет полон объявлениями «киньте мне тысячу рублей, и я переведу 1,5 тысячи рублей вам на мобильный».
Еще одним немаловажным фактором является агрессивность некоторых пользователей. В отношении терминалов случаются акты вандализма, причем как физического характера, так и компьютерно-технологического (это особенно актуально в регионах, удаленных от больших населенных пунктов, где комиссия за проведение платежа, как правило, выше, чем в крупных городах, и недовольство комиссионной политикой владельцев терминалов сильнее).
Риски, связанные с автоматизацией, можно условно разделить на две группы: риски, реализующиеся в результате физических атак, но от которых можно защититься компьютерными средствами, и собственно «компьютерные» риски, связанные с атаками на терминалы, сами платежные системы и каналы связи между ними.
«Терминальщики» фактически создали параллельную банковскую систему. Однако и банки, и банковский регулятор обратили внимание на бурно растущую отрасль далеко не сразу. Лишь с 1 апреля 2010 года полностью вступил в силу Федеральный закон «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами»
Типичные атаки и методы противодействия им
Самой примитивной и часто реализуемой «физической» атакой на терминал является его кража. Компьютерные средства защиты включают в себя активный и пассивный мониторинг терминала, включая систему оповещения в реальном времени, видеонаблюдение (реальное или мнимое) и мониторинг на открывание и удар («сторожевой таймер», или «watchdog»). Установка кассет с защитными несмываемыми чернилами, часто используемая в банкоматах, обычно непопулярна.
Любопытной вариацией на тему физической кражи терминала является нашумевший «балаковский» сценарий, или, как его назвали журналисты, «размножатель денег»: в пригороде Саратова мошенники похитили и увезли терминал, подключили его к сети в своем гараже и многократно «прокатывали» через него одну тысячную купюру, проводя платежи в свою пользу.
Методы защиты от такого рода атаки включали бы следующее: энергонезависимое питание купюроприемника, мониторинг оповещений о его открытии (или частоте выключений терминала), географический мониторинг модемов и настройки на серверном программном обеспечении, которые позволили бы обнаружить нетипичный случай многократного, частого платежа купюрой одного и того же номинала.
Известны так же случаи установки «неавторизованного», или «черного» терминала с внешним видом и интерфейсом, имитирующими терминалы известных компаний, что несет репутационные риски для владельцев. Методов защиты от такого рода мошенничества, в общем, немного, но сам по себе риск снижен высокими накладными расходами для злоумышленников (сравнимыми с денежной емкостью кассеты купюроприемника).
Ставшие «городскими легендами» рассказы о проведении платежей с помощью фальшивых купюр из «банка приколов», или так называемой «рыбалки», то есть вытягивании уже введенной купюры из купюроприемника с помощью специальным образом прикрепленной снасти, на сегодняшний день уже практически нереализуемы. Абсолютное большинство современных терминалов оборудовано валидаторами высокого качества, исключающими такого рода атаки.
Компьютерные атаки
Говоря о компьютерных атаках на платежные терминалы, важно помнить, что, как и банкоматы, терминалы включают в себя обычный, хоть и специальным образом защищенный и настроенный компьютер. Как и для обычного компьютера, для терминалов актуальна угроза заражения компьютерными «вирусами» и «троянами», что, в случае получения злоумышленником контроля над терминалом, может позволить ему проводить незаконные платежи, создавать новых получателей платежей, подменять «иконки» на сенсорном экране терминала, удалять или добавлять записи, накапливающиеся в файле терминала для «офлайн-платежей», а так же подменять логи валидатора и чекового принтера (или, с недавнего времени, контрольно-кассовой техники).
Заражение терминала происходит также традиционными методами: через ручное обновление программного обеспечения, через «флэшку», через заражение базы обновлений на сервере, и через локальную сеть в случае “проводного” подключения терминала. Средства защиты так же традиционны: регулярные обновления, своевременная установка так называемых «патчей», управление конфигурациями, отключение ненужных и неиспользуемых сервисов.
Еще одной целью для «хакеров» являются программы удаленного администрирования терминалов. Обычно низкоскоростные GPRS-каналы для удаленного управления терминалом не используются, однако в случаях, когда выезд ИТ-специалиста для настройки терминала обходится слишком дорого или сопряжен с организационными сложностями, могут применяться программы типа «remote desktop».
Методы защиты включают в себя все те же «контрольные меры ИТ», что и в вышеприведенном сценарии с намеренным заражением компьютерными вирусами.
Само программное обеспечение терминала также подвержено атакам, в частности, на саму архитектуру приложения (на последовательность и связность формирования платежа, электронно-цифровую подпись (ЭЦП), на методы хранения ключей, и т.д.). От атак такого рода владельцы терминалов могут защититься либо анализом текущей архитектуры программного обеспечения (ПО) на предмет уязвимостей, либо разработкой нового ПО с учетом методологий безопасной разработки, таких, как, например, SDL (Security Development Lifecycle).
На заре появления программного обеспечения для терминалов были популярны также атаки с целью получения доступа к командной оболочке (shell). Эти атаки опирались на манипуляции с сенсорным экраном и перезагрузкой терминала, а также на недокументированные возможности доступа к отладочному режиму, (манипуляции с поиском кнопки «Пуск», быстрое переключение клавиш, не отключенные методы сенсорного экрана, несовпадение размеров «покрытия» сенсорного экрана и физического экрана, иконки «за гранью экрана», выход в «safe mode», выход в инженерное меню через «специальный» телефонный номер, и т.д.).
На сегодня большинство подобных уязвимостей устранены как на уровне программного обеспечения, так и настроек операционной системы и самого сенсорного экрана.
Существуют также атаки на трафик GPRS-модема, поскольку многие терминалы не используют VPN, и ограничиваются шифрованием на уровне программного обеспечения (симметричным и ассиметричным), фильтрацией динамического диапазона IP на уровне сервера и IP-сервера на уровне терминалов. К счастью, подобные атаки упираются в сложность метода перехвата GPRS-трафика и сравнительную дороговизну необходимого для этого оборудования.
Атаки на трафик при подключении через локальную сеть включают в себя все традиционные атаки на канал: «session hijacking», «session replay», «man-in-the-middle», и так далее. Методы защиты столь же традиционны – это защита как на уровне протоколов (SSL/VPN), так и на уровне инфраструктуры – использование коммутаторов, логическое разделение локальной сети на VLAN, фильтрацию трафика внутри сети – «списки доступа».
Кроме того, злоумышленники не обходят вниманием и серверы (или шлюзы платежных систем), к которым подключаются терминалы. Атаки ведутся и на серверное программное обеспечение как таковое (sql injection), и на хранимые ключи электронно-цифровой подписи, и на сопутствующую информацию (логи, адреса и другая информация об агентах, используемая позже для “фишинга”), и на хранилище обновлений к программному обеспечению (и заражение их вирусами).
Как и всякая новая технология, платежные терминалы, кроме очевидных удобств, принесли как плательщикам, так и владельцам (или арендаторам) терминалов и сопутствующие риски мошенничества. Риски, связанные с информационными технологиями, занимают далеко не последнее место
Атаки конкурентов
Сами платежные системы не раз становились объектами атаки мошенников (или, как считают некоторые, недобросовестных конкурентов). В числе их и известная атака типа «отказ в обслуживании» (DDoS) на популярную российскую платежную систему два года назад, и относительно недавняя атака на агентские пароли в той же платежной системе.
Методы защиты от атак DDoS – сейчас одна из самых «горячих» тем, как для телекоммуникационных провайдеров, так и для всех компаний, опирающихся в своем бизнесе на интернет, в частности, для систем ДБО в банках.
Что же касается защиты от атак на пароли, то здесь платежные системы обладают широким диапазоном возможных решений – это и программы «security awareness» для агентов-участников, и внедрение методов «сильной» или «двухфакторной» аутентификации, и, возможно, обязательный набор антивирусного и фильтрующего ПО для агентов.
Кроме того, для самих платежных систем актуальны давно традиционные для банков внутренние атаки на процессинг платежей (сдвоенные платежи, «коррекция», сторнирование и возврат, возврат по рекламациям, и т.д.).
Ожидается, что и меры защиты будут аналогичны банковским: гибкая система настраиваемых лимитов, принципы «двух рук», «четырех глаз», разделение обязанностей на уровне ролей в процессинговом ПО, и другие подобные контрольные меры.
И лечение, и профилактика
Подводя итоги, можно сказать, что платежные терминалы, в принципе, подвержены всем традиционным компьютерным уязвимостям. Сети платежных терминалов, разрабатываемые банками (или для банков) «с нуля», скорее всего, будут защищены на привычном для банков уровне, но уже существующие сети, приобретаемые банками, будут нуждаться в «доводке» методов защиты от мошенников.
На основании многолетнего опыта КПМГ в области рисков, связанных с компьютерными системами, в том числе банковскими и платежными, ключевым фактором безопасности систем платежных терминалов является следование методам разработки безопасных приложений в сочетании с последующим периодическим тестированием информационной безопасности этих систем, либо собственными силами, либо внешними – сторонними консультантами.
В защите от мошенничества, как и в медицине, постоянно появляющиеся новые «заболевания» ведут за собой и эволюцию методов защиты, а здоровый образ жизни и ранняя профилактика возможных проблем оказываются лучше терапии пост-фактум.
Автор: Николай Легкодимов, Старший менеджер отдела управления рисками и комплаенс, КПМГ в России и СНГ
Источник: Аналитический банковский журнал №4 (178) апрель 2010