Статьи
Апрель 2013
Системам электронных платежей
Сегодня электронная коммерция в различном ее проявлении прочно занимает важное место в нашей повседневной жизни: интернет магазины, дистанционное банковское обслуживание, электронные платежные системы….
Это удобно и настолько привычно, что кажется странным, почему люди раньше оплачивали счета за мобильную связь в офисе мобильного оператора, а не дома электронными деньгами через свою платёжную систему.
Повсеместное использование и популяризация электронных денег — вот два фактора, объясняющие активизацию мошенничества в этом секторе экономики: кибер-преступность увидела возможность зарабатывать деньги на системах электронных платежей.
Мошенничество приносит большую прибыль, что оправдывает высокотехнологическую оснащенность кибер-преступников, их высокий профессионализм и хорошую организацию процесса. Применяемые ими методы постоянно эволюционируют, становятся технически более сложными и психологически изощренными, а атаки комбинированными. Основная цель современных атак — это похищение данных аутентификации пользователя и их неправомерное использование или фальсификация параметров транзакции. Атаки организованы таким образом, что привычные методы защиты от компонентов образующих эти атаки: антиспам, антивирусы, защита канала связи — не работают.
Защита систем электронных платежей — задача, имеющая только комплексное решение. Именно такое многоуровневое решение мы предлагаем к рассмотрению.
Первый уровень — система обнаружения и предотвращения мошенничества, которая отсекает большую часть неправомерных активностей, не обременяя конечного пользователя. Второй уровень — двухфакторная аутентификация с использованием динамических методов, таких как: одноразовые пароли (OTP, one-time password, генерируемые или мобильным телефоном, или генератором формата кредитной карты), SMS-сообщения, скрэтч-карты. Третий уровень — авторизация транзакций различными методами (подтверждение по независимому каналу, OOB — out-of-band), подпись параметров с использованием мобильного телефона или независимого генератора одноразовых паролей.