ТЕХНОЛОГИИ СНИЖЕНИЯ РИСКОВ ПЛАТЕЖНЫХ СИСТЕМ

144 
недостаток — низкая надежность. Существует три схемы передачи информации о 
реквизитах пластиковых карт при оплате в Интернете. 
Передача данных открытым текстом. Это самый простой способ передачи 
информации (как при телефонном или почтовом заказе). Недостатки очевидны: 
информация легко может быть перехвачена с помощью специальных фильтров и 
использована во вред владельцу карты. У продавца возможны неприятности, связанные с 
отказами от оплаты. Этот способ утратил свою практическую ценность. 
Шифрование передаваемых реквизитов карты. Несколько более защищенный 
вариант по сравнению с предыдущим — передача с помощью защищенных протоколов 
(например, протокола SSL). Хотя воспользоваться перехваченной во время трансакции 
информацией практически невозможно, такая информация находится под угрозой 
изъятия на сервере продавца. К тому же существует возможность мошенничества у 
покупателя: приобрести информационные товары, а затем инициировать процедуру 
возврата платежа, поскольку доказать, что это именно он пользовался своей картой, 
а не мошенник, магазину весьма трудно. 
Использование электронных удостоверений 
- специальных защищенных 
протоколов обмена информацией с удостоверяющими клиента и продавца 
электронными сертификатами и ЭЦП, исключающих возможность отказа от 
выполнения условий соглашения и "подмену" идентификатора клиента. В таких 
системах информация о реквизитах пластиковой карты попадает в процессинговый 
центр, минуя сервер продавца, на основе защищенных протоколов обмена. 
Технологии микропроцессорных карт (смарт-карт). В смарт-картах данные о 
средствах владельца хранятся в микрочипе на пластиковой карте и денежные переводы 
могут осуществляться непосредственно между смарт-картами. Интернет при этом служит 
лишь транспортным звеном в цепи карта плательщика - аппаратный ридер плательщика - 
компьютер плательщика - Интернет - компьютер получателя - ридер получателя - карта 
получателя или цепи карта плательщика - аппаратный ридер плательщика - компьютер 
плательщика - Интернет - платежная система - банковский счет получателя. Очевидный 
минус - необходимость ридера (розничная цена - около 100 долл.), подключенного к 
компьютеру клиента. 
Основные преимущества, которые дает использование микропроцессорных карт по 
сравнению с магнитными (другим распространенным классом пластиковых карт), 
можно сформулировать следующим образом: 
• значительно более надежная система защиты от несанкционированного 
использования, копирования информации и других видов мошенничества; 
• возможность безопасного использования офлайнового режима авторизации 
трансакций; 
• возможность использования на рынке малых платежей (микроплатежей); 
• возможность хранения и обработки на карте большого количества информации (в 
памяти одной смарт-карты могут одновременно храниться персональные данные 
клиента, информация об остатках на счетах, ряде последних операций, 
произведенных по карте, и т. п.); 
• по надежности хранения информации смарт-карта значительно превосходит 
магнитную карту, поскольку не подвержена воздействию магнитных полей и 
атмосферных влияний. 
Уровень безопасности, который может предоставить система, основанная на смарт-
картах, значительно выше уровня, доступного системам карт с магнитной полосой. 
Копирование и изготовление поддельных магнитных карт стало частым явлением. 
Убытки от мошенничества крупнейших мировых систем, таких, как VISA и MasterCard и 
EuroCard, исчисляются миллиардами долларов в год. Подделка микропроцессорной 
карты на сегодняшний день маловероятна. Можно привести пример Франции, где за 10 

145 
лет последовательного внедрения карт с микропроцессором число мошеннических 
операций по пластиковым картам снизилось почти в 30 раз. 
Защита от несанкционированных операций - первостепенная задача любой 
системы взаиморасчетов. В смарт-картах достоверность информации и финансовая 
подкрепленность 
платежей 
обеспечиваются 
несколькими 
эффективными 
механизмами, а именно: 
• аппаратными возможностями карты: использование микропроцессорных карт на 
сегодняшний день превращает возможность их подделки в чисто теоретическую, но 
микрочипы пластиковых карт доступны для злонамеренного исследования вне стен 
банка-эмитента, что делает потенциально возможным их "взлом"; 
• проверкой принадлежности карты предъявителю; 
• проверкой действительности карты и ее принадлежности к данной системе 
взаиморасчетов по пластиковым картам; 
• проверкой по "черному списку", т. е. списку карт, запрещенных к приему. Этот 
механизм защиты позволяет надежно обезопасить платежную систему от украденных и 
потерянных карт, а также от карт банков, выбывших из системы; 
• проверкой по "белому списку" эквайера, т. е. списку эмитентов, карты которых 
разрешены к приему в инфраструктуре данного эквайера; 
• проверкой по набору лимитов расходования; 
• онлайновой авторизацией внелимитных операций; 
• страхованием финансовых рисков участников платежной системы. 
Наиболее распространенные методы "взлома" смарт-карт основываются на: 
термической или радиационной обработке карты, вызывающей изменение битовой 
структуры данных; понижении тактовой частоты процессора смарт-карты для 
последующей пошаговой трассировки (отслеживания) его действий; открытии крышки 
чипа или ее послойном спиливании для применения электронного микроскопа и 
подключения инородных бескорпусных микросхем, переборе команд смарт-карты и 
анализе колебаний уровня энергопотребления микропроцессором карты.
Извлечение конфиденциальной информации, содержащейся на карточках, было 
совершено не мошенниками, а профессионалами в области компьютерной 
безопасности и криптографии. Целью первой группы специалистов было не столько 
теоретическое обоснование уязвимости систем безопасности смарт-карт, сколько 
нахождение простых и дешевых практических методов атаки на содержание чипа.
Вторая группа исследователей сконцентрировала внимание на поиске способа 
извлечения информации из SIM-карт. Их доклад получил название "Как быстро 
клонировать некоторые GSM-карты". 
В числе технологических мер безопасности можно назвать такое исполнение 
микропроцессора и блоков памяти, размещенных на карте, при которой они при 
попытке вскрытия микросхем саморазрушаются. Для этого в структуру кристалла 
включаются специальные элементы, вызывающие ликвидацию всей занесенной на 
карту информации при попытке вскрытия посредством воздействия на 
микропроцессор и память нештатным образом. Для фиксирования факта нештатного 
воздействия в чип интегрируется набор датчиков-сенсоров внешних воздействий 
различной физической природы. Датчики температуры, напряжения питания и тактовой 
частоты процессора - интервальные. Значение любого параметра вне допустимого 
интервала автоматически фиксируется. Открытие крышки чипа или послойное 
опиливание также контролируется специальными физическими датчиками. 
Немаловажным преимуществом смарт-карт по сравнению с магнитными картами 
является возможность применения офлайнового режима авторизации трансакций. Для 
разрешения платежа по магнитной карте требуется связь с организацией, 
подтверждающей полномочия лица, предъявляющего карту (например, наличие 
средств на его счете). При этом магнитная карта выступает лишь как идентификатор 

146 
владельца счета. При использовании смарт-карт для проведения авторизации не требу-
ется связь с банком, поскольку вся информация, необходимая для разрешения и 
проведения платежа, хранится в памяти микросхемы карты.
Комплексное применение всех перечисленных механизмов безопасности позволяет с 
высокой степенью надежности гарантировать защищенность платежной системы от 
несанкционированных операций. 

Download 10,07 Mb.

Do'stlaringiz bilan baham: