Если pan, то пропал?

Если pan, то пропал?

Не обращая внимания на достаточно громадную распространенность стандарта безопасности платежных карт PCI DSS, количество фродовых операций с каждым годом не понижается. Обстоятельство не столько в неосведомленности пользователей, сколько в самом стандарте и эквайерах.

Не будем разглядывать держателей карт как главных виновников происходящего, потому, что их обучение надёжному применению карт — процесс продолжительный и сложный. Остановимся на стандарте и эквайерах. В случае если проанализировать обстановку, как раз из-за устаревшего взора на проблему защиты карточных данных, содержащегося в PCI DSS, и изюминок бизнес-логики эквайеров, держатели карт остаются уязвимыми.

Стандарт PCI DSS ориентирован на защиту главного номера держателя карты (PAN). В случае если в ваших совокупностях сохраняются, обрабатываются либо передаются полные номера карт, то вы должны делать требования PCI DSS. Это актуально для торгово-сервисных фирм, и для банков и компаний, занимающихся эквайрингом платежей по картам.

В случае если полный номер карты так легко взять из открытых источников, для чего его защищать?

Давайте поконкретнее. Один из самых распространенных способов p2p-платежей сейчас — перевод с карты на карту. Дабы осуществить его, достаточно знать номер карты получателя. Примечательно, что PAN никто не стесняется публиковать на сайтах по продаже чего-либо, кроме того на билбордах прося о пожертвовании на лечение.

Номер карты кроме этого легко возможно определить у любого обладателя PayPass-карты из-за специфики разработки. Достаточно поднести NFC-телефон со особым приложением к карте, и вы тут же получите PAN. Появляется разумный вопрос: в случае если полный номер карты так легко взять из открытых источников, для чего его защищать?

И второй вопрос: возможно ли совершить платеж, зная лишь номер карты?

В случае если разглядывать транзакции card-not-present (операции без предъявления карты; к примеру, интернет-эквайринг), то с целью проведения платежа кроме PAN и срока действия требуется ввод cvc2/cvv2. Это трехзначное значение, размещаемое на задней стороне карты. Также банк-эмитент может подключить сервис двухфакторной аутентификации держателя карты (3D Secure) для подтверждения онлайн-приобретений.

При с транзакциями card-present требуется вводить PIN-код.

В случае если 3D Secure не подключен, зная PAN, преступники смогут постараться совершить CNP-платеж, взяв значение cvc2/cvv2 способом перебора. Имеется и магазины, каковые не требуют ввода cvc2/cvv2. С целью проведения СP-платежей одного номера карты не хватает.

Нужно иметь track2 (содержится на магнитной полосе карты) и PIN-код. Track2 мошенники смогут взять, применяя скимминговое оборудование, которое прикрепляется на банкомат либо терминал, либо методом заражения банкоматов, POS-терминалов зловредным ПО.

При с чипованными картами, знание track2 не разрешит преступникам изготовить работоспособную карту, с которой возможно будет снять деньги

PIN-код возможно взять лишь одним методом — подсмотреть. Это делается с применением камер, установленных преступниками на банкоматах, в торговых точках, или методом прямого наблюдения преступника за вводимыми цифрами на PIN-паде. Взяв track2, мошенники делают карту-клон для обналичивания в банкоматах, приобретений в магазинах.

Само собой разумеется, при с чипованными картами, знание track2 не разрешит преступникам изготовить работоспособную карту, с которой возможно будет снять деньги. Но имеется оговорка. В случае если POS-терминал не поддерживает работу с чиповаными картами либо чип на карте поврежден, то карту нужно «будет прокатывать», и транзакция будет проходить с применением магнитной полосы. В таких случаях снятие с карты вероятно. К счастью, у нас банки обязали производить лишь чипованные карты на уровне закона.

Но это не мешает реализовывать карточные эти россиян кардерам в другие страны, где еще не перешли на чиповые карты и возможно отыскать устройства, принимающие лишь карты с магнитной полосой. И тогда схема трудится. Как быть с операциями по картам, у которых поврежден чип, вопрос открытый.

А сейчас самое время поболтать об эквайерах, на стороне которых размещается совокупность, осуществляющая процессинг платежей по картам. Эквайеры задают правила проведения платежей для торгово-сервисных фирм. И как раз они смогут дать проводить операции по картам без ввода PIN-кода, в случае если сумма приобретения не превышает 1000 рублей.

Либо осуществлять операции по картам с магнитной полосой без чипа. Регуляторы не предъявляют к эквайрингу минимальных требований по антифроду, каковые имели возможность бы быть реализованы на уровне настроек процессинга. Все отдается на откуп процессингам.

К примеру, полный запрет проведения платежей по магнитной полосе для чиповых карт; задание минимальных сумм, при оплате которых не нужно PIN-код; контроль за числом попыток авторизации с применением различных cvc2/cvv2, срока действия карты; необходимое применение 3D-secure для всех карт при интернет-платежах по ним. Необходимо подчеркнуть, что в Европе недавно была опубликована новая версия Директивы о платежных одолжениях (Directive on Payment Services).

Данный документ с 2018 станет необходимым к выполнению всеми государствами, входящими в зону Европейского союза. Директива устанавливает единые требования к рынку платежей, а также к платежам по пластиковым картам. Одним из пунктов устанавливается необходимое использование строгой аутентификации плательщика при проведении платежа.

Таким механизмом можно считать 3D-secure.

Одна из самых популярных уязвимостей, разрешающих совершить успешную атаку, связана со не сильный паролями либо неизмененными паролями, установленными вендорами по умолчанию

Довольно PCI DSS. Кое-какие меры защиты, к каким в стандарте предъявляются требования, устарели и лишь повышают риск компрометации данных. К ним возможно отнести применение паролей.

В соответствии с отчету Verizon 2016 Data Breach Investigations Report, обстоятельством 63% инцидентов являются не сильный, похищенные пароли, пароли по умолчанию. Однако, кроме того в новой версии PCI DSS 3.2 пароли остались. Показалось требование, в соответствии с которому многофакторная аутентификация обязана использоваться для администраторов совокупностей. Но эти требования вступят в силу лишь в 2018 году.

А для простых пользователей все так же достаточно применять сложный пароль. Опыт отечественных экспертов по тестам на проникновение свидетельствует, что одна из самых популярных уязвимостей, разрешающих совершить успешную атаку, связана со не сильный паролями либо неизмененными паролями, установленными вендорами по умолчанию. От хороших паролей для пользователей направляться отказаться в принципе, заменив их многофакторной аутентификацией.

Довольно паролей для сервисных учетных записей. От них, к сожалению, пока некуда не убежать. И требования к ним должны быть максимально твёрдые.

Как минимум 15 знаков с буквами, специальными символами и цифрами. Кроме этого хорошо было бы вендорам всецело отказаться от предустановки парольных значений по умолчанию.

Стандарт PCI DSS содержит и такие пункты, каковые предоставляют офицерам ИБ широкое поле для деятельности. Имеются ввиду требования к реализации оценки рисков, к тестам на проникновение, к анализу событий, к управлению инцидентами. Бывает и такое, что офицеры ИБ имеют поверхностные знания по этим направлениям, исходя из этого подходят к их исполнению формально, не вникая в специфику процессов.

И, говоря о PCI DSS либо о любых вторых стандартах безопасности, необходимо осознавать, что в них нет самого несложного и главного требования — эксперт обязан осознавать, что и для чего он делает.

Получается, что для трансформации обстановки с карточным фродом в сторону его понижения, направляться сместить фокус с защиты PAN на защиту «связки» карточных данных, каковые смогут быть использованы с целью проведения платежей разных типов. Защита лишь PAN не дает должного результата, но занимает большое количество средств и сил у всех участников платежных процессов.

На операционном уровне процессинга возможно было бы установить единые требования к условиям проведения платежей разных типов, быть может, не в рамках требований PCI DSS. И наконец, при формализации требований в рамках стандартов нужно учитывать антропогенный фактор. Лишь по окончании реализации таких мер обстановка начнет изменяться в лучшую сторону.

Пан или пропал — 11 серия

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: