Ризики здійснення платіжних операцій через Інтернет
Міністерство
освіти та науки України
ДВНЗ
«Київський національний економічний університет ім. Вадима Гетьмана»
Кафедра
економіко-математичного моделювання
КУРСОВИЙ
ПРОЕКТ
з
дисципліни «Ризикологія»
на
тему : «Ризики здійснення платіжних операцій через Інтернет»
Київ
- 2012
Вступ
Останніми роками банківська система
нашої країни переживає бурхливий розвиток. Не дивлячись на існуючі недоліки
українського законодавства, регулюючого діяльність банків, ситуація неухильно
змінюється на краще. Пройшли часи, коли можна було легко заробляти на
спекулятивних операціях з валютою і шахрайстві. Сьогодні все більше банків
робить ставку на професіоналізм своїх співробітників і нові технології [7, 34].
Важко уявити собі більш благодатні
умови для упровадження нових комп'ютерних технологій, ніж процедура проведення
віддалених платіжних операцій. Нові технології допомагають учасникам ринкових
відносин за короткий період часу здійснювати взаємовигідні операції
купівлі-продажу, замовлення і оплати послуги тощо. Зрозуміло, що в платіжних
операціях найважливішу роль грає платіжний еквівалент - гроші, а там де є гроші
- завжди існує велика кількість ризиків щодо втрати цих коштів. Тому дана тема
є цікавою і актуальною для як простих користувачів послугами платіжних систем,
які хочуть дізнатися більше про їх можливості, так і спеціалістам з ІТ, які
прагнуть знизити ризикованість проектів такого характеру.[7, 35]
В принципі, майже всі задачі, які
виникають під час виконання платіжних операцій достатньо легко піддаються
автоматизації. Зручна, швидка і безперебійна обробка значної кількості даних і
значного обсягу платіжних операцій є однією з головних задач будь-якого банку
та платіжної системи. Відповідно до цього очевидна необхідність залучення
новітніх інформаційних систем і технологій, що дозволяють обробляти процеси і
процедури, що все більше ускладнюються. Саме банки володіють достатніми
фінансовими можливостями для використання інноваційних методів здійснення своєї
діяльності. При сучасній гострій конкурентній боротьбі багато фінансових даних
мають бути доступними тільки певному колу уповноважених осіб. З іншого боку,
банківська система повинна залишатися прозорою для державних наглядових і
податкових органів. Отже, розглянемо основні проблеми та методи їх вирішення,
пов’язані з ризиком платіжних операцій, однієї з найновітніших галузей
банківської діяльності - інтернет-банкінгу.
1. Загрози
та ризики здійснення інтернет-платежів
онлайн платіж ризик
банкінг
На сьогоднішній день більшість
інцидентів фінансового шахрайства представляють собою атаки на системи
он-лайн-банкінгу з використанням шкідливих програм як інструментів. Існують
налагоджені технології обходу всіх видів захисту, що використовуються в
системах електронних транзакцій.
Проте існують також доступні
інструменти для здійснення фінансових атак усіх видів і масштабів. Тому
найбільш гостро стоїть питання про захист банківських систем, так як на
сьогоднішній день йде масовий перехід на використання інформаційних технологій
в цьому сегменті. Тому в даний час банкам слід приділяти найпильнішу увагу
питанням забезпечення захисту від комп'ютерних зловмисників. [4, 293]
1.1 Загальний аналіз загроз та
ризиків
Від забезпечення безпеки
інформаційної обчислювальної системи банку сьогодні багато в чому залежить безперешкодне,
стійке і надійне функціонування бізнес-процесів у банку в цілому.
Банки приділяють дуже велику увагу
захисту інформації клієнтів, однак постійно існують як внутрішні зловживання,
так і зовнішні загрози, пов’язані з її втратою. З початку існування
Інтернет-банкінгу широко розповсюджені хакерські атаки на систему, так як
отримати доступ до рахунку клієнта, і розпоряджатись чужими грошима на власний
розсуд є дуже великою спокусою для деяких людей.
За даними опитування (RSA 2011
Global Online Consumer Security Survey), більше 80% користувачів систем
Інтернет-банкінгу висловили переживання з приводу відсутності належного рівня
безпеки. Тільки у Великобританії в 2010 році втрати становили близько 440 млн.
фунтів стерлінгів. А по даним ФБР, втрати від он-лайн-шахрайства в США 2010
року становили 560 млн. доларів, а загальне число фінансових он-лайн-шахрайств
перебільшило 336 тисяч (роком раніше їх було 275 тисяч).
Незважаючи на те, що на даний час
найбільш привабливими для хакерів є банки США і Великобританії, не варто
забувати, що Україна входить до першого десятка країн, які найчастіше
піддаються атакам на комп'ютерних користувачів. У міру того як Інтернет-банкінг
набирає популярність серед українців - вектор атак в нашій країні зміститься на
он-лайн платежі.[5, 65]
Згідно зі звітом компанії Cenzic за
перше півріччя 2011 року більше 90% комерційних веб-додатків схильні до ризику
витоків і розкриття інформації, 80% мають уразливості авторизації та
автентифікації, а уразливості в управлінні сесіями і міжсайтового скриптинга
схильні 68% веб-додатків.
До банківських ризиків, пов'язаних
із застосуванням систем Інтернет-банкінгу, відносяться: операційний, правової,
стратегічний ризики, ризик втрати ділової репутації (репутаційний ризик) і
ризик ліквідності.
Системи захисту призначені для
забезпечення безпеки інформації, яка обробляється в інформаційно-обчислювальній
системі. До всіх даних, з якими працює інформаційна банківська система, в
обов'язковому порядку ставиться вимога збереження, аутентичності та цілісності.
Забезпечення цих вимог є першочерговим в задачах забезпечення інформаційної
безпеки. При сучасній гострій конкурентній боротьбі багато фінансових даних
мають бути доступними тільки певному колу уповноважених осіб. З іншого боку,
банківська система повинна залишатися прозорою для державних наглядових і
податкових органів.
Доступ до сервісу Інтернет-банкінгу,
який надає банківське програмне забезпечення, здійснюється через відкриті
мережі, використання яких містить в собі численні інформаційні загрози.
Найбільш поширеними з них можна
назвати:
несанкціонований доступ до ресурсів
і даних системи: підбір пароля, злам систем захисту і адміністрування, дії від
чужого імені;
перехоплення і підміна трафіку,
підробка платіжних доручень, атака типу «людина посередині»;[5, 66]
підміна мережевих адрес;
відмова в обслуговуванні;
атака на рівні додатків;
сканування мереж або мережева
розвідка;
використання відносин довіри в
мережі.
Основними причинами, що призводять
до появи подібних уразливостей є:
відсутність гарантії
конфіденційності і цілісності переданих даних;
недостатній рівень перевірки
учасників з'єднання;
недостатня реалізація або некоректна
розробка політики безпеки;
відсутність або недостатній рівень
захисту від несанкціонованого доступу (антивіруси, контроль доступу, системи
виявлення атак);
існуючі уразливості ОС, ПЗ,
веб-систем і мережевих протоколів, що використовуються;
не професійне і слабке
адміністрування систем;
проблеми при побудові між мережевих
фільтрів;
збої в роботі компонентів системи
або їх низька продуктивність;
уразливості при управлінні ключами.
[5, 67]
1.2 Види несанкціонованого
проникнення та загрози онлайн-платежів, їх сутність
Умовно загрози онлайн-платежів можна
розділити на людські та технологічні.
Найбільш поширених в нашій країні
ризиків технологічного характеру належать такі способи перехоплення платіжних
даних користувача, як фішинг(вішинг, смішинг), кейлоггінг, кіберсквоттінг
(тайпсквоттінг), клікджекінг.фармінг. Людський же чинник має в собі дві - часто
взаємодоповнюючі складові: недостатній рівень освіченості і банальна
загальнонаціональна любов до безкоштовної наживи. [15]
Левову частку технологічних ризиків
допомагають вирішити браузер із вбудованими функціями безпеки, а також оновлена
легальна операційна система та антивірус. А от зменшення ризику людського
чиннику залежить на 99% від самих користувачів.
Але Розглянемо детальніше
вищеназвані загрози і відповідні ризики здійснення платіжних операцій в
Інтернеті.
Фішинг
Фішинг - це свого роду "вилов
довірливих користувачів": маскування сайту під відому платіжну систему або
банк з метою отримання даних користувача. На адресу користувача надходить лист
нібито від платіжної системи, в якому повідомляється, що електронний рахунок
заблоковано. Якщо виконати запропоновані в листі інструкції для
"розблокування" рахунку, з'явиться знайоме вікно платіжної системи
для введення логіна і пароля. Це і є основною метою шахраїв - вкрасти реквізити
користувача завдяки фальшивому сайту, схожому на оригінал, для доступу до
конфіденційних даних.
Фішинг - один з різновидів
соціальної інженерії, що базується на низькій освітченості користувачами основ
мережевої безпеки. Тобто багато, хто не знає просто факту: сервіси не
надсилають листів з проханням повідомити свої дані, паролі тощо.
Для захисту від фішингу виробники
основних інтернет-браузерів домовились про використання однакових способів
інформування користувачів про те, що вони відкрили підозрілий сайт, який може
належати зловмисникам. Нові версії браузерів уже мають таку можливість, яка відповідно
носить назву «антифішинг». [15]
Сьогодні фішинг виходить за межі
інтернет-шахрайства, а підробні веб-сайти стали лише одним з багатьох його
напрямів. Існує ще кілька способів зв’язку зловмисників з користувачами
платіжних систем: вішинг та смішинг. Відповідно це зв'язок через телефон
(голосовий фішинг) або смс(смішинг).
Кейлокінг
Кейлокінг (від англ. key - клавіша і
logger - реєструючий пристрій) - це відносно новий вид шкідливих програм, які
реєструють натиснення клавіш на комп'ютерній клавіатурі. Зазвичай такі програми
перехоплюють дані, які вводяться при реєстрації на сайті або при здійсненні
платежів, а потім посилаються шахраям - таким чином особисті дані
"витікають".
"Найдієвіший захист на сайтах
від кейлоггерів - використання "віртуальної клавіатури", змальованої
на екрані комп'ютера, клавіші на якій кожного разу розташовуються в довільному
порядку, а цифри потрібно натискувати не клавіатурою, а мишкою. [5, 68]
Кіберсквоттінг
Кіберсквоттінг - купівля доменних
імен, які співзвучні назвам відомих компаній або просто з «дорогими» назвами з
метою їх подальшого перепродажу або розміщення реклами. Таким чином можлива
наявність майже однойменних банківських сайтів або сайтів платіжних систем, і
введення конфіденційної інформації там є потенційно небезпечною операцією.
Виділяють такі типи:
тайпсквоттінг - регістрація доменних
імен, близьких за написанням з адресами популярних сайтів з розрахунком на
помилку користувачів.
брендів кіберсквоттінг - регістрація
доменних імен, що включають товарні знаки, фірмені найменування, популярні
власні назви. [5, 69]
Найкращим захистом від даного ризику
є уважне слідкування за адресою сайту, на якому знаходить користувач і на якому
є необхідним введення конфіденційної інформації.
Клікджеккінг
Клікджеккінг - накладання поверх
видимої веб-сторінки невидимий пласт, в який і загружається потрібна
зловмиснику сторінка. На ці невидимій сторінці елемент керування (кнопка,
посилання), необхідна для здійснення операції, співпадає з видимою кнопкою чи
посиланням. Дана загроза спричиняє черговий ризик доступу зловмисників до
конфіденційних даних або навіть до комп’ютера користувача.
Така операція стає можливою при
«ін’єкції» (вливанні) небезпечного коду на раніше безпечну сторінку або
існуванні безпосередньо створеної сторінки з невидимим пластом.
Останні версії інтернет-браузерів
частково захищають від даного загрози, і знижують наявний ризик. [5, 70]
Фармінг
Фармінг - процедура прихованого
перенаправлення користувача зловмисником на хибну ІР-адресу. Для цього може
використовуватись навігаційна структура (файл hosts, система доменних імен
(DNS)). Здійснюється через розповсюдження інтернет-шахраями спеціальних
небезпечних програм, після активізації яких відбувається перенаправлення
звернення до заданих сайтів на підробні сайти. Там в свою чергу існує ризик
появи, раніше описаних загроз. [4, 297]
2. Заходи зменшення ризику
інтернет-платежів
.1 Аутентифікація та
електронно-цифровий підпис
Аутентифікація користувача - це
перевірка, чи дійсно користувач, який перевіряється, є тим, за кого він себе
видає. Для коректної автентифікації користувача необхідно, щоб користувач
пред'явив автентифікаційну інформацію - якусь унікальну інформацію, якою
повинен володіти тільки він і ніхто інший. Для забезпечення автентифікації
використовуються алгоритми шифрування, цифровий підпис, коди автентичності
повідомлення (МАС) і функції хешування.
Користувач, що перевіряється, знає
якусь унікальну інформацію. Приклад: автентифікація з паролем. [10, 288]
Користувач має якийсь предмет з
унікальними характеристиками або вмістом. Приклади: смарт-карта, USB-токен і
т.д.
Автентифікаційна інформація є
невід'ємною частиною користувача. Приклад: відбиток пальця і інші види
біометричної автентифікації (біометричною називається автентифікація
користувача по його біометричним ознаками).
У будь-якому з цих випадків
процедура автентифікації виконується в два наступних етапи:
У користувача одноразово береться
якийсь еталонний зразок аутентификаційної інформації, наприклад, запитується
пароль (або даний зразок генерується випадковим чином і потім записується на
смарт-карту користувача). Даний зразок зберігається у суб'єкта системи, який
перевіряє автентифікацію - модуля автентифікації (наприклад, сервера, який
виконує автентифікацію користувачів). Звичайно існує деякий час дії даного
еталону, по завершенні якого еталонний зразок міняється. [10, 290].
Кожного разу при виконанні
автентифікації у користувача запитується автентифікаційна інформація, яка
порівнюється з еталоном. На основі даного порівняння робиться висновок про
автентичність користувача.
Для автентифікації користувача
використовуються різні механізми: парольний захист, авторизація по протоколу
SSL/TLS і комбінований метод. Для захисту інформації та підтвердження авторства
можуть бути залучені різні криптосистеми: «Крипто-Про CSP», «Верба-OW»,
«Crypton ArcMail», «Домен-К», а також зовнішні засоби захисту.
У процесі автентифікації, ім'я і
пароль користувача повинні бути передані до додатка по протоколу HTTP.
При використанні форм введення і
інших методів автентифікації, відмінних від інтегрованої, облікові дані
вводяться на сторінці авторизації і передаються на сервер у відкритому,
незахищеному вигляді. Для захисту переданої інформації необхідно
використовувати протокол SSL, який при великій кількості запитів може впливати
на продуктивність сервера.
Для захисту підсистеми
автентифікації рекомендується:
забезпечити засобами програми або
засобами сервера додатків максимальну довжину, складність і випадковість
значень сесійних ідентифікаторів. У Web-додатках рекомендується перевіряти
відповідність ідентифікатора сесії і IP-адреси клієнта. Це затруднить
зловмисника, в разі крадіжки ідентифікатора або отримання доступу до ресурсів
законного клієнта;
реалізувати механізм блокування
облікового запису при перевищенні порогу неправильно введених паролів і можливо
ідентифікаторів сесій;
реалізувати механізм блокування
ідентифікатора сесії при закінченні встановленого часу в тому випадку, коли
аккаунт користувача не активний;
виключити можливість прямого
звернення неавторизованого користувача до захищених ресурсів за відомим URL.
Доступ до захищених ресурсів повинен бути можливий тільки після проведення
процедури автентифікації;
забезпечити зберігання облікових
даних користувачів в захищеному вигляді в БД. Зберігання облікових даних в HTML
сторінках або файлах, що зберігаються на Web-сервері, і доступних користувачам
за URL, повинно бути виключено; [10, 291]
забезпечити авторизованому
користувачеві можливість самостійного завершення сеансу роботи, при цьому
додаток повинен видалити його ідентифікатор сесії і вважати даного клієнта
неавторизованим;
у випадку якщо додатком
передбачається можливість внесення змін користувачем у власний профіль, при
внесенні змін необхідно проводити додаткову процедуру автентифікації;
сесія користувача повинна вважатися
завершеною: при закінченні тимчасового не активного режиму користувача і при
виході користувача із системи;
сесійний ідентифікатор та
cookie-файли не повинні містити паролі і будь-яку іншу інформацію, розкриття
якої дозволить зловмисникові одержати в додатку повноваження законного
користувача. У разі, якщо дана інформація повинна бути присутня, необхідно
використовувати механізми шифрування даних. [10, 292]
Для ідентифікації достовірності інформації
використовують відповідні технічні засоби. Зокрема, для прискорення
документообігу між суб’єктами економічної діяльності, було запроваджено
електронний цифровий підпис, за допомогою якого документи в електронній формі
можуть набувати такої самої юридичної сили, що і документи на папері.
З січня 2004 року вступив у дію
прийнятий парламентом Закон України «Про електронний цифровий підпис», в якому
визначене поняття, сфера використання та юридична сила електронного цифрового
підпису. Відповідно до нього: електронний цифровий підпис - вид електронного
підпису, отриманого за результатом криптографічного перетворення набору
електронних даних, який додається до цього набору або логічно з ним поєднується
і дає змогу підтвердити його цілісність та ідентифікувати підписувача. [додаток
1]
Електронний цифровий підпис може
використовуватись юридичними та фізичними особами як аналог власноручного
підпису для надання електронному документу юридичної сили. Юридична сила
електронного документа, підписаного ЕЦП, еквівалентна юридичні силі документа
на паперовому носієві, підписаного власноручним підписом правоздатної особи і
скріплена печаткою. Приклад формування електронно-цифрового конверту приведений
на рис. 1.
Рис. 1 -
«Шифрування та дешифрування електронного документу»
ЕЦП володіє всіма основними
функціями особистого підпису:
засвідчує те, що отриманий документ
надійшов від особи, яка його підписала;
гарантує цілісність та захист від
спотворення/виправлення підписаного документу;[8, 219]
не дає можливості особі, яка
підписала документ, відмовитись від зобов'язань, що виникли в результаті
підписання цього документу.
Для того, щоб підписати електронний
документ, потрібен особистий ключ. Особистий ключ - це набір випадкової послідовності
символів за певним криптографічним алгоритмом, за допомогою якого буде
накладатися ЕЦП на створений електронний документ або на електронну операцію.
Відкритий ключ - це ключ, який логічно пов'язаний з особистим ключем. За
допомогою відкритого ключа перевіряється ЕЦП на електронному документі або
електронній операції. Сертифікат відкритого ключа - електронний сертифікат,
який видає центр сертифікації ключів, засвідчуючи, що відкритий ключ та логічно
пов'язаний з ним особистий ключ належать конкретній особі. Приклад формування
та використання ЕЦП приведений на рис. 2.
Рис. 2 -
Формування та використання електроннго цифрового підпису
Технологія ЕЦП реалізована за
наступною схемою: якщо особою створено електронний документ і підписано її
власним ЕЦП, і при цьому будь-яка інша особа змінить хоча б один символ в цьому
документі, ЕЦП автоматично видалиться. Законом України «Про електронний
цифровий підпис» встановлено, що ЕЦП прирівнюється до власноручного підпису у
разі, якщо сертифікат відкритого ключа, який видав центр сертифікації ключів,
має позначку "посилений"[8, 220]. Також слід зазначити, що відповідно
до Закону лише акредитовані центри сертифікації ключів мають право формувати та
видавати посилені сертифікати відкритого ключа, а також для накладання ЕЦП
повинні використовувати надійні засоби ЕЦП.
Безпека використання ЕЦП
забезпечується тим, що засоби, які використовуються для роботи з ЕЦП, проходять
експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем
СБУ, яка гарантує неможливість злому та підробки ЕЦП. [8, 221]
2.2 Аналіз і побудова моделі
злочинів інтернет-банкінгу
Розглянемо 10 найбільших банків ,
які є найбільшими за обсягами активів і найнадійнішими банками в Україні. (рис
4)
Рис. 3 -
Найбільші банки України за обсягом активів
Такими банками виявились:
Приватбанк <#"602515.files/image004.gif"> від
їх середньої величини 
.
.Знайти коефіцієнт варіації
(відносна величина)
CV = сігма(х)/М(х)
Коефіцієнт варіації - відносна
величина, що служить для характеристики коливання (мінливості) ознаки.
.Визначити границю значень (коридор
- М(х)+-сігма) сподіваного збитку, який банк ризикує отримати при проведенні
однієї транзакції.
Банки Європи
Аналогічно розглянемо 10 найбільших
банків Європи (Швеції) і розглянемо показники середньої відсоткової кількості
злочинів (розглянемо кількість злочинів, що припадають на 1000 транзакцій через
інтернет платежі) та середню загальну суму інтернет-платежів (середню суму, що
припадає на 1000 транзакцій).
Я обрав банки саме цієї країни з
поміж інших європейських, оскільки саме вона має найбільш розвинуту структуру
інтернет-банкінгу, що складає частку понад 80% від інших видів банкінгу.
|
Назва банку
|
Середнє відсоткове значення злочинів інтернет-
платежів (сер кількість злочинів на 1000 транзакцій)
|
Середня загальна сума інтернет-платежів (сер
сума,грн що припадає на 1000 транзакцій)
|
|
Avanza Bank
<#"602515.files/image006.gif">
Похожие работы на - Ризики здійснення платіжних операцій через Інтернет
|