Контрольная работа по «Основы электронной коммерции»

Приведенные выше рассуждения  относились к случаю, когда известен номер карты и требовалось  определить срок ее действия. Нужно  сказать, что с помощью Интернета  вполне решаемой становится задача вычисления обоих основных параметров пластиковой  карты - ее номера и срока действия. Действительно, в большинстве случаев, номер карты представляет собой  число, состоящее из шестнадцати  десятичных цифр (хотя в соответствии со стандартом ISO 7812 "Идентификационные карты - система нумерации и процедура регистрации идентификаторов эмитентов" номер карты может состоять из 19 цифр). Из 16 цифр номера карты 6 первых представляют собой BIN (Bank Identification Number), предоставляемый банку либо международной платежной системой, участником которой он является, либо непосредственно организацией American Bankers' Association, уполномоченной ISO на выдачу идентификаторов банкам, если банк реализует собственную независимую карточную программу. Кроме того, достаточно часто крупные и средние банки используют 7-ю и 8-ю цифры номера для идентификации своих филиалов и отделений. Наконец, последняя цифра номера карты - цифра проверки на четность по алгоритму Luhn Check Parity, однозначно определяемая всеми остальными цифрами номера карты.

Таким образом, как  правило, только 7 цифр номера карты  являются независимыми переменными. Остальные  цифры определены платежной системой и банком-эмитентом. Эти цифры  не являются конфиденциальными, хотя бы потому, что содержатся в множестве различных таблиц, доступных широкому кругу специалистов. Кроме того, чтобы выяснить значения зависимых переменных номера карты, мошеннику достаточно получить для себя в интересующем его банке пластиковую карту.

С 1 апреля 2001 г. в  платежных системах Europay и MasterCard обслуживающие банки будут обязаны вставлять в авторизационные запросы для транзакций Cardholder Not Present значения CVC2. При этом, к сожалению, далеко не все эмитенты к этому моменту будут способны верифицировать полученные значения кода в своих системах (сегодняшние оценки показывают, что когда обслуживающий банк передает в сеть значение цифрового кода CVC2/CVV2, лишь примерно в 30% случаев эмитент проверяет этот параметр). Из-за того, что сегодня практически всегда (случай использования протокола SET не рассматривается) ответственность за мошенничество по транзакции ЭК лежит на обслуживающем банке, некоторые эмитенты, даже определив, что значение цифрового кода неверно, дают положительный ответ (Approval) на авторизационный запрос.

Второй тип  мошенничества - компрометации персональных данных владельцев пластиковых карт. 2000-й год стал рекордсменом по числу взломов БД карточек в информационных системах крупных ТП. Так, в марте этого года появилось сообщение о том, как в Уэльсе два подростка украли более 26 тысяч реквизитов карт из БД одного из электронных магазинов. К сожалению, это был единственный случай, когда мошенники были задержаны.

Другой пример является еще более масштабным. В начале 2000 г. российским хакером была вскрыта БД объемом 300000 записей. После того, как мошенник, представившийся Максимом, потребовал за сохранение тайны о случившемся выкуп в размере 100 тысяч долларов и получил в ответ отказ, часть украденных номеров карт была выставлена в Интернете для общего обозрения. Спецслужбы, занимавшиеся расследованием данного случая, отметили чрезвычайно высокий профессиональный уровень хакера - для вскрытия БД использовались методы, известные только профессионалам в области защиты информации, Кроме того, преступник так искусно скрыл следы своего присутствия на сайте ТП, что единственное, что можно было установить, так это то, что он действовал, используя российский IP-адрес.

Известно также  о случае кражи реквизитов 485 тысяч  карт, выставленных в сети National Aeronautic & Space Administration после отказа заплатить преступнику запрошенный им выкуп.

В середине 2000 г. Интернет-магазин Egghead.com объявил о вскрытии его  системы защиты информации и краже  БД карточек. БД карточек этого магазина содержала реквизиты 3,7 млн карт.

Тревогу у мировой  общественности вызывает активизация  действий российских хакеров. За 2000 г. более 40 американских коммерческих сайтов подверглись нападению со стороны  организованных групп, действующих  с территории России и Украины: хакеры завладели номерами более миллиона кредитных карт. Согласно заявлениям представителей ФБР, речь идет об одной из самых масштабных атак на электронные коммерческие сайты.

Интернет-магазин  является идеальной мишенью для  мошенников, желающих украсть реквизиты  работающих карт. По данным исследования, проведенного Международной ассоциацией потребителей, более двух третей сайтов торговых точек хранят эти данные по самым разным соображениям и для разных целей. К таким соображениям может относиться необходимость хранения информации о выполненных платежах, установление отношений со своими покупателями (Client Relationship Management), технические причины и т. п. Говоря о технических причинах, можно упомянуть технологию, используемую в Amazon, и состоящую в том, что реквизиты карт запоминаются на сайте этого ТП в том числе и для того, чтобы при следующем обращении клиента ему не нужно было бы вводить реквизиты своей карты заново.

По данным компании Meridien Research, уязвимость Интернет-магазинов усугубляется еще и тем, что лишь 30% онлайновых продавцов используют надежные системы защиты для борьбы с компьютерными мошенниками.

Третий тип мошенничества - магазины-бабочки, открывающиеся с целью "отмывания" украденных реквизитов карт. После того как в руках криминальных структур появляются украденные реквизиты карт, возникает задача ими воспользоваться. Один из способов - организация виртуального ТП, "торгующего" программным обеспечением или другими информационными ресурсами (программы телевизионных передач, подписка на новости и т. д.). В действительности, такое ТП, как правило, имеет свой сайт, но ничем реально не торгует. При этом в обслуживающий банк регулярно направляются авторизационные запросы, использующие украденные номера карт, а, следовательно, магазин регулярно получает от обслуживающего банка возмещения за совершенные в нем "покупки". Так продолжается до тех пор, пока уровень chargeback (отказов от платежей), от эмитентов украденных реквизитов карт не станет свидетельством того, что имеет место мошенничество. Обычно к этому моменту и сами магазины, почувствовав запах жаренного, исчезают и становятся предметом поиска правоохранительных органов.

Магазины-бабочки  обычно выбирают две крайние стратегии  своей работы. Выбор стратегии  определяется размером украденной БД карточек. Если размер украденной БД достаточно большой (десятки тысяч карт), то выбирается стратегия, в соответствии с которой транзакции делаются на небольшие суммы (порядка 10 долларов США). Основная идея такой стратегии заключается в том, что действительный владелец карты заметит небольшую потерю средств на своем счете далеко не сразу и в результате за имеющееся в распоряжении мошенников время (как правило, 1-3 месяца) можно на подобных небольших транзакциях украсть сотни тысяч долларов.

Наоборот, когда  в распоряжении мошенников несколько  десятков карт, выбирается стратегия  выполнения транзакций на крупные суммы (несколько тысяч долларов). В  этом случае активная жизнь магазина-бабочки  составляет несколько недель, после  чего магазин исчезает.

В заключении можно  отметить, что:

·  в основе всех мошенничеств в ЭК лежит попадание в руки криминала информации о реквизитах действующих карт;

·  внедрение дополнительных методов повышения безопасности транзакций ЭК (CVC2/CVV2, AVS), сводящихся к увеличению размеров статических реквизитов карт, даст эффект в течение относительно небольшого интервала времени, но не позволит решить проблему кардинальным образом. Криминал не оставит попыток приобретения реквизитов карт, используя для этого самые разнообразные методы, начиная от классических (сговора с персоналом ТП), и заканчивая вскрытием БД карточек ТП и созданием специальных магазинов, ставящих своей главной целью завладеть информацией о номерах карт.

Способы решения  проблемы безопасности в электронной  коммерции

С самого начала внедрения  электронной коммерции стало  очевидно, что методы идентификации  владельца карты, применяемые в  обычных транзакциях, являются неудовлетворительными для транзакций ЭК.

Действительно, при  совершении операции покупки в физическом магазине продавец имеет возможность рассмотреть предъявляемую для расчетов пластиковую карту на предмет ее соответствия требованиям платежным системам (в частности, проверить наличие голограммы, специальных секретных символов, сверить подпись на панели подписи и торговом чеке и т. п.). Кроме того, продавец может потребовать от покупателя документ, удостоверяющий его личность. Все это делает мошенничество по поддельной карте достаточно дорогим мероприятием.

В случае транзакции ЭК все, что требуется от мошенника - знание реквизитов карты. Затраты, связанные с изготовлением поддельной физической карты, в этом случае не требуются. Безусловно, это не может не привлечь внимание криминала к этому типу коммерции, свидетелями чему мы становимся уже сегодня.

В мире пластиковых  карт с магнитной полосой самым  надежным способом защиты транзакции от мошенничества является использование PIN-кода для идентификации владельца карты его банком-эмитентом. Секретной информацией, которой обладает владелец карты, является PIN-код. Он представляет собой последовательность, состоящую из 4-12 цифр, известную только владельцу карты и его банку-эмитенту. PIN-код применяется всегда при проведении транзакций повышенного риска, например, при выдаче владельцу карты наличных в банкоматах. Выдача наличных в банкоматах происходит без присутствия представителя обслуживающего банка (ситуация похожа на транзакцию ЭК). Поэтому обычных реквизитов карты для защиты операции "снятие наличных в банкомате" недостаточно и используется секретная дополнительная информация - PIN-код.

Более того, общая  тенденция развития платежных систем - более активное использование PIN-кода для операций "покупка" по дебетовым картам. Казалось бы, использование подобного идентификатора могло бы помочь решить проблему безопасности в ЭК, однако это не так. К сожалению, в приложении к ЭК этот метод в классическом виде неприменим.

В результате проведенного анализа платежные системы сформировали основные требования к схемам проведения транзакции ЭК, обеспечивающим необходимый уровень ее безопасности. Эти требования сводятся к следующему:

·  Аутентификация участников покупки (покупателя, торгового предприятия и его обслуживающего банка). Под аутентификацией покупателя (продавца) понимается процедура, доказывающая (на уровне надежности известных криптоалгоритмов) факт того, что данный владелец карты действительно является клиентом некоторого эмитента-участника (обслуживающего банка-участника) данной платежной системы. Аутентификация обслуживающего банка доказывает факт того, что банк является участником данной платежной системы.

·  Реквизиты платежной карты (номер карты, срок ее действия, CVC2/CVV2, и т. п.), используемой при проведении транзакции ЭК, должны быть конфиденциальными для ТП.

·  Невозможность отказа от транзакции для всех участников транзакции ЭК, то есть наличие у всех участников неоспоримого доказательства факта совершения покупки (заказа или оплаты).

·  Гарантирование магазину платежа за электронную покупку - наличие у ТП доказательства того, что заказ был ТП выполнен.

Всюду далее под  протоколом ЭК понимается алгоритм, определяющий порядок взаимодействия участников ЭК (владельца карты, торгового предприятия, обслуживающего банка, банка-эмитента и центра сертификации) и форматы сообщений, которыми участники ЭК обмениваются друг с другом с целью обеспечения процессов авторизации и расчетов.

Вопрос №2.

Анализ платежной системы  Яндекс. Деньги

Яндекс.Деньги — это платежная система, которая позволяет:

• совершать безопасные платежи в интернете
• надежно хранить всю информацию о ваших зачислениях и платежах

Управлять своими средствами в Яндекс.Деньгах можно прямо на сайте money.yandex.ru.   
Яндекс.Деньги нужны пользователям любых услуг — как виртуальных, так и реальных. Вместо того, чтобы тратить время на поездки, стоять во множестве очередей, владельцы Яндекс.Денег оплачивают все услуги в удобное время и в одном месте — на сайте money.yandex.ru.   
Яндекс.Кошелек — это Кошелек, доступ к которому осуществляется через сайт Яндекс.Денег. Им можно пользоваться с любого компьютера. Интернет.Кошелек — это программа, которая устанавливается на ваш компьютер.

Способы ввода  и вывода денег совпадают для  Яндекс.Кошельков и Интернет.Кошельков, различается только способ управления Кошельком (веб-интерфейс или программа). И те, и другие Кошельки входят в одну и ту же систему Яндекс.Деньги. При вводе денег в систему не нужно указывать тип своего Кошелька, так как нумерация Яндекс.Кошельков и Интернет.Кошельков не пересекается.   
Чтобы стать участником системы, совсем необязательно иметь счет в банке или кредитную карточку. Достаточно пройти регистрацию в платежной системе Яндекс.Деньги. При этом в платежной системе автоматически будет открыт счет, связанный с этим Кошельком. На этот счет зачисляется любым удобным для  способом деньги, после можно проводить расчеты, можно  получать деньги в свой Кошелек от кого-либо. Электронные деньги с виртуального счета вы при желании всегда можно обменять на реальные деньги.

Историческая  справка

• Система Яндекс.Деньги была построена по технологии PayCash и запущена 24 июля 2002 года. Изначально это был совместный продукт, но 30 марта 2007 Яндекс выкупил долю партнера и стал 100 % владельцем платежной системы.
• 14 ноября 2002 года система Яндекс.Деньги получила первое в истории России специализированное банковское свидетельство для системы Интернет-платежей.
• 29 сентября 2005 года была реализована новая версия сервиса, позволяющая работать с системой через «веб-интерфейс». При этом, регистрация и авторизация в системе стала автоматической при регистрации и авторизации в других сервисах компании.
• 7 сентября 2007 года Яндекс выпустил информационный бюллетень «Электронные платежи в Рунете», в котором были представлены данные исследования электронных платежных систем на примере системы Яндекс.Деньги.
• 31 марта 2008 года Яндекс.Деньги совершила революционный прорыв – ввела новый способ пополнения кошелька и, что наиболее важно, вывода денежных средств - через банковскую карту. Первым банком, присоединившимся к проекту, стал Русский Банк Развития.
• 13 июля 2009 года Платежная система Яндекс.Деньги выпустила обновленную версию программы Интернет.Кошелек. Новая версия программы предлагает новый принцип работы с незавершенными операциями. Появилось много возможностей и функций, ранее недоступных. Переработан также интерфейс главного окна: добавлены полезные пункты меню. Обновлена форма "Перевести деньги" - теперь отправитель может указать точную сумму к получению.