На днях Сбербанк России объявил, что прекращает выпуск пластиковых карт без чипов.
Неманья Никитович, управляющий директор Optima Infosecurity (Группа Optima)
Продиктовано это решение стремлением повысить безопасность хранящихся на карте данных и сделать борьбу со скиммингом более эффективной. Карты с чипом и в самом деле обладают большей степенью защиты, чем карты без чипа: информацию, содержащуюся на чипе, невозможно скопировать, а любая операция по такой карте требует ввода пароля.
Возразить против этого нечего: карты с чипом, безусловно, значительно надежнее карт с магнитной лентой, именно поэтому в развитых странах Европы карты с магнитной лентой – это позавчерашний день, а карты с чипом (те самые, на которые бодро переходит один из крупнейших российских банков) – день уже почти что вчерашний. И вот почему.
Дело в том, что чип помогает справиться только с одним риском при платежах через карту, но никак не решает ситуацию с другими рисками, которые становятся все более распространенными. Связаны они как с физическим использованием пластиковых карт, так и с использованием только счета карты, а именно с платежами в Интернете.
Наличие чипа способно защитить пользователя от скимминга – кражи данных карты при помощи считывающего устройства, однако неспособно уберечь от фишинга – кражи данных о вашем онлайн-счете или вашей карте без считывающих устройств, удаленно и даже с использованием социального инжиниринга. Если скимминг – это арифметика, то фишинг – это уже алгебра.
Скимминг остается весьма популярным способом мошенничества – согласно мировой статистике, на него приходится 46% процентов незаконных операций с банковскими картами. На 45% при этом увеличилась активность фишеров.
С ростом онлайн-платежей популярность скимминга будет либо оставаться на том же уровне, либо падать. Пластиковая карта как физический объект используется все меньше и меньше.
Но даже с учетом этой тенденции пластиковые карты на Западе защищают дополнительно: в последние годы там все большее распространение получают карты с дисплеем, генерирующие одноразовый пароль для каждой отдельно взятой транзакции – пароль, которым можно воспользоваться один раз, а значит, похищать который – дистанционно или в буквально – нет никакого смысла, информация о счете карты останется недоступной. Тем более что дисплей-карта, генерирующая пароли, не хранит их.
Чипизация детей к 2018 году
Однако использование карт с дисплеем не дает злоумышленникам, владеющим статическим пин-кодом, никаких преимуществ. В конце концов, на Западе существуют решения, которые в момент запроса на транзакцию сопоставляют геолокацию места, из которого пришел запрос, с геолокацией мобильного телефона клиента банка, и если данные не совпадают, – транзакция блокируется.
Так ведется борьба с использованием уже похищенных данных пластиковых карт: ведь часто бывает, что мошенники не просто платят похищенными картами в Интернете, но и снимают наличные в банкоматах при помощи дубликатов.
Если же говорить об онлайн-платежах, число которых экспоненциально растет, то здесь карта с чипом не поможет совершенно, так как она не нужна для транзакции. Пользователи онлайн-банкинга, платежных сервисов и т.д. пользуются иными инструментами и девайсами.
А значит, злоумышленники также используют их в своих целях. И чтобы защититься от их действий, нужны новые инструменты.
Для противодействия фродам на Западе распространены решения, способные мгновенно оценивать репутацию девайсов – смартфонов, компьютеров, планшетников – еще до совершения транзакции. Если запрос на транзакцию совершается со скомпрометировавшего себя устройства, она блокируется.
Как правило, злоумышленники пользуются одними и теми же устройствами не единожды – 84% запросов на мошеннические транзакции совершались с «засвеченных» устройств.
Если перейти от мировой статистики к российской, то легко увидеть, что, по данным Euromonitor International, на Россию приходится 6% от мировых потерь от мошеннических операций с банковскими картами. За год динамика таких операций составила 35%.
Прирост ущерба – 91 млн. евро. В абсолютном выражении это не столь аховая цифра, как в крупных западных странах. Однако стоит обратить внимание не на абсолютные, а на относительные величины.
Потери от мошенничеств в России растут существенно быстрее, чем в других европейских странах – с 2010 года они увеличились втрое. О чем это говорит? Только об одном: российская банковская система хуже банковских систем стран Европы защищена от атак злоумышленников.
Проблема отечественной банковской сферы заключается в использовании не самых передовых решений в области защиты от онлайн-мошенничества, в медленной адаптации этих решений для российского рынка, в недостаточной заинтересованности банков во внедрении самых современных мер защиты. Последнее вызвано тем, что ответственность банков за похищенные средства пока еще нельзя назвать полной, и только после принятия соответствующих законодательных мер можно будет ожидать качественных изменений.
Пока что эти изменения – количественные. В этом контексте меру, на которую решился Сбербанк, объявивший о прекращении выпуска пластиковых карт без чипов, нельзя не приветствовать.
Она абсолютно здравая. В особенности если учесть высокую популярность именно сбербанковских банкоматов среди скиммеров.
Но в принципе банковской системе необходим комплекс мер. Защищая правый фланг, не стоит забывать о левом.