Главная Обратная связь

Дисциплины:






Пластиковые карты, виды мошенничества и способы зашиты.



Электронная пластиковая карта - это носитель информации, который идентифицирует владельца и хранит определенные учетные данные. Различают кредитные и дебетовые карты.

Для идентификации владельца на пластиковую карту наносятся: логотип банка-эмитента; логотип платежной системы, обслуживающей эту карту; имя владельца карты; номер счета владельца карты; срок действия карты и т.п.

Кроме того, на карте может присутствовать фотография владельца и его подпись.

Алфавитно-цифровые данные (имя, номер счета и др.) могут быть эмбоссированы, т.е. нанесены рельефным шрифтом. Это дает возможность при ручной обработке принимаемых к оплате карт быстро перенести данные на чек с помощью специального устройства - импринтера, осуществляющего "прокатывание" карты.

По принципу действия различают пассивные и активные пластиковые карты. Пассивные пластиковые карты всего лишь хранят информацию. К ним относятся пластиковые карты с магнитной полосой.

Второй признак - функциональные возможности карты. Основные типы:

· карты-счетчики;

· карты с памятью;

· карты с микропроцессором.

Карты-счетчики применяются, как правила, в тех случаях, когда та или иная платежная операция требует уменьшения остатка на счете держателя карты на некоторую фиксированную сумму. Подобные карты используются в специализированных приложения с предоплатой (плата за использование телефона-автомата, отлата автостоянки и т.д.). Очевидно, что применение карт со счетчиком ограничено и не имеет большой перспективы.

Карты с памятью являются переходными между картами-счетчиками и картами с микропроцессором. Карта с памятью - это перезаписываемая карта-счетчик, в которой приняты меры, повышающие ее защищенность от атак злоумышленников.

Карты с памятью можно подразделить на два типа:

· с незащищенной (полнодоступной) памятью;

· с защищенной памятью.

Карты с микропроцессором называют также интеллектуальными картами или смарт-картами. Это по сути микрокомпьютеры, которые содержат все основные аппаратные компоненты:

· микропроцессор с тактовой частотой 5Мгц;

· оперативное ЗУ емкостью до 256 байт;

· постоянное ЗУ емкостью до 10 Кбайт;

· энергонезависимое ЗУ емкостью до 8 Кбайт.

Важными этапами подготовки и применения пластиковой карты являются персонализация и авторизация.

Персонализация осуществляется при выдаче карты клиенту. При этом на карту заносятся данные, позволяющие идентифицировать карту и ее владельца, а также осуществить проверку платежеспособности карты при приеме ее к оплате или выдаче наличных денег. Первоначальным способом персонализации было эмбоссирование.



Авторизация - это процесс утверждения продажи или выдачи наличных по карте. Для проведения авторизации точка обслуживания делает запрос платежной системе о подтверждении полномочий предъявителя карты и его финансовых возможностей. Технология авторизации зависит от типа карты, схемы платежной системы и технической оснащенности точки обслуживания.

Виды мошенничества:

· Кражи денег с пластиковых карт с использованием банкоматов (использование скиммеров – специальных накладных устройств для банкомата, которые считывают номер карточки ).

· Использование потерянных\украденных карт, когда банк вовремя не блокирует счет пропавшей карточки.

· Подделка карт: полученная незаконным путем информация о чужой карте эмбоссируется на пластик подделки.

· Заказ по почте, телефону, интернету различных товаров и услуг с использованием данных платежной карточки человеком, не являющимся владельцев данной карты.

· Указание ложных данных в заявлении на получение карты.

· Интернет-мошенничество: использование реквизитов карты, полученных незаконным путем, для транзакций в виртуальной среде.

Для обеспечения функций защиты информации на отдельных узлах системы электронных платежей должны быть реализованы следующие механизмы защиты:

· управление доступом на оконечных системах;

· контроль целостности сообщения;

· обеспечение конфиденциальности сообщения;

· взаимная аутентификация абонентов;

· невозможность отказа от авторства сообщения;

· гарантии доставки сообщения;

· невозможность отказа от принятия мер по сообщения;

· регистрация последовательности сообщений;

· контроль целостности последовательности сообщений.


14.1. Идеальная служба информационной безопасности (изучить самостоятельно, есть соответствующий файл в папке «для Дмитрия»)

Что должно быть реализовано в организации при условии, что служба информационной безопасности работает в некоторых идеальных условиях (неограниченный бюджет, достаточное количество квалифицированных специалистов и т.п.):

1. Вся работа службы информационной безопасности (как и всего предприятия) организована в строгом соответствии с законодательством государства.

2. Все кандидаты для приема на работу проходят собеседование и проверку службой информационной безопасности. Вновь принятые работники и сторонние специалисты по контракту проходят обучение основам безопасности, ознакомление с нормативными документами по безопасности, теcтирование на уровень квалификации для работы с информационными системами и подтверждают подписью свое обязательчтво следовать нормативам организации (в том числе и по безопасности). Увольняющиеся работники проходят собеседование с представителем службы безопасности, увольнение работника сразу отражается в информационных системах (блокирование и удаление учетных записей, изъятие карт доступа и т.д.). Сотрудники организации проходят периодические семинары и обучение по информационной безопасности.

3. Ведется анализ моральной и психологической обстановки в организации, учет нарушений безопасности конкретными сотрудниками для выявления возможных тенденций. Поощряется тесный информационный контакт пользователей со службой безопасности. Выборочно или постоянно анализируется электронная почта сотрудников с соответствующим нормативным оформлением процедуры. Регулярно производится авторизованный мониторинг активности пользователя на рабочей станции.

4. Все данные, объекты и информационные системы проклассифицированны. Субъекты распределены по ролям. Определена надежная структура и внедрен механизм доступа субъектов к объектам с учетом наименьших привилегий и разделения обязанностей. Каждый новый объект своевременно классифицируется и устанавливается в общую схему информационного пространства.

5. Обеспечено нормативное пространство. Для всех информационных систем существуют политики, для функциональных обязанностей пользователей - правила, процедуры и методики. Изменения в работе организации и сотрудников адекватно отражаются в соответствующих документах.

6. Способы аутентификации пользователей находятся под контролем службы информационной безопасности, т.е. производится периодический анализ отсутствия слабых паролей, фактов передачи паролей другим лицам, оставление токенов без надзора и т.п. Идентификация пользователей стандартизирована, имеется четкая таблица соответствия пользователь - сетевые адреса, разрешенные для работы данного пользователя (username, IP-адрес, MAC-адрес и т.д.).

7. Внешний удаленный доступ в информационную сеть предприятия (выход во внешнее информационное пространство) ограничен единственным центральным шлюзом плюс существует резервный канал связи, неактивный в штатном режиме. Оба канала защищены межсетевыми экранами, которые надежно функционируют, корректно настроены и регулярно подвергаются проверке службой информационной безопасности. Все модемы и другие устройства удаленного доступа учтены и также сведены к указанной единой точке входа/выхода. Снаружи по отношению к точке входа установлен агент сетевой системы обнаружения атак (СОА).

8. Агент сетевой СОА присутствует на каждом сегменте в сети организации. Для СОА сигнатурного типа базы данных сигнатур регулярно обновляются, имеется специалист по созданию собственных сигнатур. Для СОА с выявлением аномалий определены все необходимые профили, которые регулярно пересматриваются. Кроме этого производится периодический анализ сетевой активности средствами сетевого мониторинга (перехватчиками сетевых пакетов - снифферами).

9. Агента СОА-хоста установлены на каждом узле сети, база данных атак (или профили) регулярно обновляются. Кроме этого производится периодический выборочный анализ регистрационных журналов (которые настроены на фиксацию всех событий), в том числе лично уполномоченным персоналом. СОА интегрирована с межсетевым экраном и другими устройствами защиты.

10. Настроено подробное ведение регистрационных журналов по всем информационным системам. Ведется регулярная автоматизированная обработка этих журналов, а также периодический выборочный ручной их анализ на предмет выявления подозрительных или злоумышленных событий. Система анализа информационной активности интегрирована с системой физического доступа сотрудников в здание и к рабочим местам. Все регистрационные журналы сохраняются наряду с резервными копиями и архивами бизнес-данных.

11. На каждый компьютер в сети установлен антивирусный пакет, кроме того антивирусы установлены на почтовый сервер, межсетевой экран и другие ключевые узлы. Режим работы антивируса - перехват на лету (autoprotect). Антивирусные базы обновляются ежедневно, а также при поступлении информации о новом вирусе.

12. Ведется строгий учет движения любой единицы аппаратного обеспечения или ее составляющей, а также строгий учет аппаратной или программной конфигурации каждого объекта или системы. При изменении конфигурации немедленно производится сохранение соответствующих настроек. Ведется регулярный мониторинг производительности работы аппаратного обеспечения, операционных систем, информационной системы в целом.

13. Произведена подписка на соответствующие бюллетени по информационной безопасности, изучаются сообщения о новых атаках, вирусах, уязвимостях и т.п., новых решениях и механизмах по безопасности. Налажена процедура регулярного получения и установки программных заплат (patches, hotfixes, updates и т.п.) и их тестирование. Производится аналитическая работа по определению тенденций развития атак, появлению уязвимостей, новых продуктов на рынке безопасности, новых технологий.

14. Все каналы обмена данными в информационной сети криптографически защищены, внутри локальной сети организованы виртуальные сети. Любой обмен данными регистрируется в электронных журналах и снабжен средством контроля целостности. Обеспечен контроль целостности данных, системных файлов и т.п. на серверах и рабочих станциях. Обмен данными между пользователями производится с использованием электронной цифровой подписи. Организовано надежное управление криптографическими ключами.

15. Обеспечен контроль входящей и исходящей информации на внешних носителях. Установлены надежные защищенные (возможно, виртуальные) шлюзы обмена информацией с внешними информационными системами (обеспечены соответствующие интерфейсы, установлена связь с центром сертификатов, получен корневой сертификат организации и т.д.).

16. Регулярно производится процедура тестирования всей сети или отдельных систем на взлом. В распоряжении службы информационной безопасности имеется команда программистов для создания собственных программ или утилит для анализа защищенности либо, наоборот, для защиты объектов и систем.

17. После изменения любой единицы данных обеспечивается ее резервное копирование либо организовано избыточное сохранение данных (RAID). Обеспечивается географически разнесенное защищенное сохранение архивов и резервных копий. Все сетевые устройства имеют возможность быстрой замены (продублированы), все каналы передачи данных имеют альтернативные линии. Здание организации имеет горячий резерв (hotside). Обеспечено бесперебойное электропитание (и контроль его работы) основного и резервного зданий. Ключевые работники организации могут выполнять функции друг друга либо имеют функциональных дублеров. Имеется регулярно обновляемый аварийный план.

18. Контроль за любой системой или объектом децентрализован. Служба информационной безопасности принимает участие в любом проекте организации (в том числе и в разработке программного обеспечения) с правом внесения серьезных изменений и запретов в рамках своих функций. Служба имеет полномочия к принятию и реализации решений, связанных с информационной безопасностью.

19. Установлена система отвлечения внимания злоумышленника (honeypot), сформирована собственная команда реагирования на инциденты, установлена связь с аналогичными командами других организаций, внешними экспертами, силовыми структурами.

20. Обеспечено единое согласованное непротиворечивое управление всеми автоматизированными средствами информационной безопасности.

Следует обратить внимание на то, что одни работы носят одноразовый характер по типу "сделали и забыли". Вторые - это разовое выполнение с последующим минимальным контролем соответствия текущего состояния некоторым условиям. Третьи - периодические работы по истечении промежутка времени или наступлению какого-то события. И четвертые - рутинные постоянные работы типа мониторинга.

Естественно, что в реальной жизни не удастся реализовать эту идеальную программу полностью. Однако, во-первых, она обозначает некоторую цель, к которой следует стремиться, а во-вторых, многие из обозначенных пунктов можно реализовать в усеченном варианте.





sdamzavas.net - 2019 год. Все права принадлежат их авторам! В случае нарушение авторского права, обращайтесь по форме обратной связи...