Не будем рассматривать держателей карт как основных виновников происходящего, поскольку их обучение безопасному использованию карт — процесс долгий и сложный. Остановимся на стандарте и эквайерах. Если проанализировать ситуацию, именно из-за устаревшего взгляда на проблему защиты карточных данных, содержащегося в PCI DSS, и особенностей бизнес-логики эквайеров, держатели карт остаются уязвимыми.

Стандарт PCI DSS ориентирован на защиту основного номера держателя карты (PAN). Если в ваших системах хранятся, обрабатываются или передаются полные номера карт, то вы должны выполнять требования PCI DSS. Это актуально для торгово-сервисных предприятий, а также для банков и компаний, занимающихся эквайрингом платежей по картам.

Если полный номер карты так легко получить из открытых источников, зачем его защищать?

Давайте поконкретнее. Один из самых распространенных методов p2p-платежей сегодня — перевод с карты на карту. Чтобы осуществить его, достаточно знать номер карты получателя. Интересно, что PAN никто не стесняется публиковать на сайтах по продаже чего-либо, даже на билбордах с просьбой о пожертвовании на лечение. Номер карты также легко можно узнать у любого владельца PayPass-карты из-за специфики технологии. Достаточно поднести NFC-телефон со специальным приложением к карте, и вы тут же получите PAN. Возникает разумный вопрос: если полный номер карты так легко получить из открытых источников, зачем его защищать? И второй вопрос: можно ли провести платеж, зная только номер карты?

Если рассматривать транзакции card-not-present (операции без предъявления карты; например, интернет-эквайринг), то для проведения платежа помимо PAN и срока действия требуется ввод cvc2/cvv2. Это трехзначное значение, размещаемое на задней стороне карты. Кроме этого банк-эмитент может подключить сервис двухфакторной аутентификации держателя карты (3D Secure) для подтверждения онлайн-покупок. В случае с транзакциями card-present требуется вводить PIN-код.

Если 3D Secure не подключен, зная PAN, злоумышленники могут попытаться провести CNP-платеж, получив значение cvc2/cvv2 методом перебора. Есть и магазины, которые не требуют ввода cvc2/cvv2. Для проведения СP-платежей одного номера карты недостаточно. Необходимо иметь track2 (содержится на магнитной полосе карты) и PIN-код. Track2 мошенники могут получить, используя скимминговое оборудование, которое прикрепляется на банкомат или терминал, или путем заражения банкоматов, POS-терминалов зловредным ПО.

В случае с чипованными картами, знание track2 не позволит злоумышленникам изготовить работоспособную карту, с которой можно будет снять деньги

PIN-код можно получить только одним способом — подсмотреть. Это делается с использованием видеокамер, установленных злоумышленниками на банкоматах, в торговых точках, либо путем прямого наблюдения злоумышленника за вводимыми цифрами на PIN-паде. Получив track2, мошенники делают карту-клон для обналичивания в банкоматах, покупок в магазинах.

Конечно, в случае с чипованными картами, знание track2 не позволит злоумышленникам изготовить работоспособную карту, с которой можно будет снять деньги. Однако есть оговорка. Если POS-терминал не поддерживает работу с чиповаными картами или чип на карте поврежден, то карту придется «прокатывать», и транзакция будет проходить с использованием магнитной полосы. В таких случаях снятие с карты возможно. К счастью, в нашей стране банки обязали выпускать только чипованные карты на уровне закона. Однако это не мешает продавать карточные данные россиян кардерам в другие страны, где еще не перешли на чиповые карты и можно найти устройства, принимающие только карты с магнитной полосой. И тогда схема работает. Как быть с операциями по картам, у которых поврежден чип, вопрос открытый.

А теперь самое время поговорить об эквайерах, на стороне которых размещается система, осуществляющая процессинг платежей по картам. Эквайеры задают правила проведения платежей для торгово-сервисных предприятий. И именно они могут разрешить проводить операции по картам без ввода PIN-кода, если сумма покупки не превышает 1000 рублей. Или осуществлять операции по картам с магнитной полосой без чипа. Регуляторы не предъявляют к эквайрингу минимальных требований по антифроду, которые могли бы быть реализованы на уровне настроек процессинга. Все отдается на откуп процессингам. Например, полный запрет проведения платежей по магнитной полосе для чиповых карт; задание минимальных сумм, при оплате которых не требуется PIN-код; контроль за количеством попыток авторизации с использованием разных cvc2/cvv2, срока действия карты; обязательное использование 3D-secure для всех карт при интернет-платежах по ним. Стоит отметить, что в Европе не так давно была опубликована новая версия Директивы о платежных услугах (Directive on Payment Services). Этот документ с 2018 станет обязательным к исполнению всеми странами, входящими в зону Евросоюза. Директива устанавливает единые требования к рынку платежей, в том числе к платежам по пластиковым картам. Одним из пунктов устанавливается обязательное применение строгой аутентификации плательщика при проведении платежа. Таким механизмом можно считать 3D-secure.

Одна из самых популярных уязвимостей, позволяющих провести успешную атаку, связана со слабыми паролями или неизмененными паролями, установленными вендорами по умолчанию

Относительно PCI DSS. Некоторые меры защиты, к которым в стандарте предъявляются требования, устарели и только повышают риск компрометации данных. К ним можно отнести использование паролей. Согласно отчету Verizon 2016 Data Breach Investigations Report, причиной 63% инцидентов являются слабые, украденные пароли, пароли по умолчанию. Тем не менее, даже в новой версии PCI DSS 3.2 пароли остались. Появилось требование, согласно которому многофакторная аутентификация должна применяться для администраторов систем. Но эти требования вступят в силу только в 2018 году. А для обычных пользователей все так же достаточно использовать сложный пароль. Опыт наших специалистов по тестам на проникновение свидетельствует, что одна из самых популярных уязвимостей, позволяющих провести успешную атаку, связана со слабыми паролями или неизмененными паролями, установленными вендорами по умолчанию. От классических паролей для пользователей следует отказаться в принципе, заменив их многофакторной аутентификацией. Относительно паролей для сервисных учетных записей. От них, к сожалению, пока никуда не деться. И требования к ним должны быть максимально жесткие. Как минимум 15 символов с буквами, цифрами и специальными символами. Также неплохо было бы вендорам полностью отказаться от предустановки парольных значений по умолчанию.

Стандарт PCI DSS содержит и такие пункты, которые предоставляют офицерам ИБ широкое поле для деятельности. Имеются ввиду требования к реализации оценки рисков, к тестам на проникновение, к анализу событий, к управлению инцидентами. Бывает и такое, что офицеры ИБ имеют поверхностные знания по этим направлениям, поэтому подходят к их выполнению формально, не вникая в специфику процессов. И, говоря о PCI DSS или о любых других стандартах безопасности, нужно понимать, что в них нет самого простого и главного требования — специалист должен понимать, что и зачем он делает.

Получается, что для изменения ситуации с карточным фродом в сторону его снижения, следует сместить фокус с защиты PAN на защиту «связки» карточных данных, которые могут быть использованы для проведения платежей различных типов. Защита только PAN не дает должного эффекта, но занимает много сил и средств у всех участников платежных процессов. На операционном уровне процессинга можно было бы установить единые требования к условиям проведения платежей различных типов, возможно, не в рамках требований PCI DSS. И наконец, при формализации требований в рамках стандартов надо учитывать человеческий фактор. Только после реализации таких мер ситуация начнет меняться в лучшую сторону.