Система антифрода в карточном процессинге
Введение
В современном мире информация является одним из самых ценных и важных ресурсов, в связи со стремительным развитием информационных технологий. Целью обеспечения ИБ является защита данных и инфраструктуры в целом от случайного или преднамеренного вмешательства.
Одной из самых распространенных сфер атаки мошенников является финансовая сфера. Из-за подключения банков в сеть Интернет, атаки злоумышленников не составляют особого труда для них, т.к. атака не требует физического проникновения в банк.
В результате роста компьютеризации в банковской сфере, всё чаще используется АБС. Это комплекс программного и технического обеспечения, который направлен на автоматизацию банковской деятельности. В итоге АБС становится самым уязвимым местом во всей банковской сфере и притягивает внимание злоумышленников как из вне, так и среди самих сотрудников банков.
Весь процесс происходит по глобальной системе карточного процессинга. Карточный процессинг – это общая совокупность всех операци
Содержание
Введение 8
1. Механизм карточного процессинга 12
1.1 Роль процессинговых центров в механизме карточного процессинга 13
1.2 Взаимодействие участников карточного процессинга 14
1.3 Процедура построения безопасного карточного процессинга 16
Выводы по 1 разделу 18
2. Система антифрода в карточном процессинге 20
2.1 Основные функции системы антифрода 20
2.2 Требования к системе антифрода 22
2.3 Взаимосвязь между системой антифрода и пользователем 23
2.4 Сессионный мониторинг системы антифрода 24
2.5 Транзакционный мониторинг системы антифрода 25
2.6 Значимость системы антифрода 26
Выводы по 2 разделу 26
3. Исследование мошеннических атак в карточном процессинге 29
3.1 Скимминг в карточном процессинге 29
3.3 Фишинг в карточном процессинге 30
3.3 Вирусная атака в карточном процессинге 31
3.4 Социальная инженерия в карточном процессинге 31
Выводы по 3 разделу 32
4. Реализация защиты данных при работе пользователя в ДБО 35
4.1. Разработка тестовой страницы мобильного банка для демонстрации работы ДБО 36
Выводы 4 разделу 37
5. Реализация политик безопасности системы антифрода в карточном процессинге 39
5.1 Реализация сессионного мониторинга при дистанционном банковском обслуживании 41
5.2 Тестирование бизнес-требования по защите сессионного мониторинга для дистанционного банковского обслуживания 43
5.3 Реализация транзакционного мониторинга при дистанционном банковском обслуживании 45
5.4 Тестирование бизнес-требования по защите транзакционного мониторинга для дистанционного банковского обслуживания 48
Выводы по 5 разделу 52
6. Дополнительные правила по проверке данных в системе антифрода в карточном процессинге 55
Выводы по 6 разделу 59
Заключение 61
Список использованных источников 62
Список использованных источников
1) Общий обзор систем оценки уязвимостей – [электронный ресурс]. – URL: https://safe-surf.ru/specialists/article/5211/596644/ (дата обращения 20.10.2022)
2) Обзор систем противодействия банковскому мошенничеству (антифрод) – [электронный ресурс] – URL: https://www.anti-malware.ru/analytics/Market_Analysis/anti-fraud-Bank-systems (дата обращения 15.09.2022)
3) Маркова О.М. Банковские операции: учебное пособие – Москва, 2017. 544с.
4) Аляев Д.А. Банковские риски при операциях с кредитными картами – Москва, 2011. 63с.
5) Антифрод: что это, как защищает от ботов, накрутки и экономит бюджет – [электронный ресурс] – URL: https://www.mtt.ru/support/blog/antifraud-what-how-it-protects-bots-cheating-saves-budget/ (дата обращения 03.10.2022)
6) Козлов С.Н. Защита информации. Устройства несанкционированного съема информации и борьба с ними – Москва: Академический Проект, 2017. 288с.
7) Как антифрод-системы защищают ваш бизнес от мошенников и какую из них выбрать – [электронный ресурс] – URL: https://yookassa.ru/recipes/bezopasnost/antifrod-sistemy-chto-ehto-i-kak-vybrat/ (дата обращения 12.10.2022)
8) Ягупова Е.А., Палий М.В. Мошенничество с банковскими картами и методы их противодействия в России – Санкт-Петербург, 2017. 110с.
9) Антифрод: что это такое и с чем его… едят? – [электронный ресурс] – URL: https://softline.ru/about/blog/antifrod-chto-eto-takoe-i-s-chem-ego-edyat (дата обращения 12.10.2022)
10) Антифрод системы: быстро и дешево – [электронный ресурс] – URL: https://ib-bank.ru/bisjournal/post/832 (дата обращения 12.10.2022)
11) Федеральный закон №152 – 27.07.2006 О персональных данных, 2017. 32с.
12) СТО БР ИББС 1.0 – 2008 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения, 2021. 65с.
13) Федеральный закон №395–1 – 21.03.2002 О банках и банковской деятельности, 2019. 96с.
14) Стандарт PA-DSS – 01.11.2013 О безопасности данный платёжных приложений, 2021. 40с.
15) Стандарт PCI DSS – 01.04.2016 О безопасности данных индустрии платёжных карт, 2021. 57с.
16) Как устроен антифрод и почему с мошенниками так сложно бороться – [электронный ресурс] – URL: https://trends.rbc.ru/trends/industry/6167ff259a7947f4c6908e46
Для этого может быть огромное количество сущностей, которые также участвуют в скоринге транзакции. К ним можно отнести: количество карт для одного клиента, разные ip адреса для одной карты, количество пользователей у одной карты и многие другие. Кроме этого такие сущности могут быть рассчитаны за любой промежуток времени — 1 час, 4 дня, 3 недели, 3 месяца и другие.
В результате система антифрода представляет собой различные бизнес требования, как правило реализованных в виде политики безопасности — сущности, рассчитанные за определенный промежуток времени. При этом система антифрода использует различные сущности, которые поступают на скоринг. Они должны быть законодательно защищены и не нарушать прав передачи данных от пользователей. Данные, поступающие на скоринг, передаются через определенный API, который также должен быть защищен от атак мошенников. 2.3 Взаимосвязь между системой антифрода и поль