Защита данных банковских карт: способы, ответственность, средства защиты

Злоумышленники используют данные банковских карт, чтобы получить доступ к финансам или реализовать различные мошеннические схемы. Преступники целенаправленно крадут платежную информацию, но иногда она попадает к ним в руки в результате утечки. Чтобы избежать инцидентов, важно применять эффективные способы защиты банковских карт. Рассказываем, какие меры целесообразно предпринять.

Кто должен нести ответственность за защиту данных банковских карт

Безопасность обеспечивают несколько сторон:

Владелец банковской карты, который должен заботиться в первую очередь о «физической» защите. Держатели должны хранить в тайне реквизиты, ответственно относиться к платежам в интернете, следить, чтобы карта не потерялась.
Компании, собирающие данные банковских карт. Такие сведения относятся к персональной информации, защита которой регулируется на законодательном уровне. Если произойдет утечка, компания понесет наказание за нарушение правил работы с данными.
Финансовые организации, выпустившие карту. К безопасности данных, обрабатываемых банками, предъявляются повышенные требования, которые в обязательном порядке должны соблюдаться.
Платежные системы и сервисы. В целях защиты средств на банковских картах они должны обеспечивать безопасные транзакции.

Существует стандарт защиты данных банковских карт — PCI DSS. Его ключевые требования: использование брандмауэров для обеспечения безопасности локальных сетей, хранение платежной информации в зашифрованном виде, разграничение доступа к платежным сведениям, внедрение антивирусных решений, ограничение физического доступа к системам обработки платежей. Требования обязательны к соблюдению для всех организаций, которые обрабатывают, хранят или передают данные платежных карт.

Мошеннические схемы с использованием данных банковских карт

Чтобы выстроить защиту банковских карт от мошенников, необходимо иметь представление о возможных злоумышленных схемах. Рассказываем о самых распространенных:

Фишинговые атаки. Злоумышленники могут прислать на электронную почту или в мессенджер ссылку, ведущую на фальшивый веб-ресурс, хорошо замаскированный под легитимный. Как заставить жертву перейти на этот сайт? Например, оповестить о выгодных предложениях и скидках. Если жертва посетит ресурс и введет данные своей банковской карты либо проведет платеж, средствами завладеют злоумышленники.
Социальная инженерия. Это комплекс манипуляций, с помощью которых можно убедить жертву предоставить данные банковской карты. Например, злоумышленники выдают себя за друзей или знакомых, просят дать реквизиты для совершения какой-то срочной оплаты.
Скимминг — считывание информации с магнитной полосы банковских карт с помощью специального технического устройства. Для реализации такого вида преступной схемы злоумышленники зачастую задействуют банкоматы (иногда платежные терминалы). Ничего не подозревающая жертва, не предусмотрев никаких способов защиты банковской карты, как обычно пользуется банкоматом, а в этот момент мошенники получают конфиденциальную информацию.
Клонирование банковских карт — мошенническая схема, которая может стать продолжением скимминга. Преступники считывают данные карты, после чего записывают полученную информацию на пустой «пластик» и снимают деньги.

Данные банковской карты могут попасть к злоумышленникам и более простым способом — в результате утечки. Владелец может сам случайно «засветить» информацию, например, указать реквизиты где-то в переписке или выложить фотографию карты. Если говорить о компаниях, то утечки могут быть намеренными. Зная об отсутствии средств защиты банковских карт, недобросовестные сотрудники часто сливают информацию злоумышленникам.

Защита данных банковских карт от мошенников: ключевые способы

Какие способы защиты данных банковских карт должны использовать владельцы:

Никому не говорить пин-код, периодически его менять (желательно как минимум раз в 3 месяца).
Пользоваться только проверенными безопасными банкоматами, которые установлены в отделениях банков. В банкоматы, находящиеся на улицах и в торговых центрах, злоумышленники часто внедряют скиммеры.
Установить сложный пароль для входа в банковское приложение, настроить двухфакторную аутентификацию.
Обязательно проверять надежность посещаемых сайтов, чтобы случайно не попасть на фишинговый ресурс.
Не совершать оплаты с помощью непроверенных сервисов и приложений.
Указывать реквизиты карты только на проверенных ресурсах или в приложениях с повышенным уровнем безопасности.

Также в целях защиты банковских карт от мошенников не следует указывать полные реквизиты в переписках, в социальных сетях и других открытых источниках.

Роль шифрования и токенизации в защите данных банковских карт

Технологии шифрования, которые используются при передаче информации, защищают чувствительные сведения от перехвата злоумышленниками. В интернете шифрование осуществляется с помощью протокола SSL или его более современной версии — TLS. Сайты, которые с ними работают, устанавливают одноименные сертификаты и используют для передачи информации протокол https вместо http. Когда пользователь вводит данные своей карты на таком сайте, SSL/TLS шифрует сведения, представляя их в нечитаемом формате.

Токенизация для защиты данных банковских карт — процесс замены реквизитов на уникальные цифровые идентификаторы, называемые токенами. Такие токены используются для совершения бесконтактных транзакций и значительно снижают риски утечки.

Также в платежных системах используется алгоритм Луна, который позволяет проверять корректность ввода идентификаторов (номеров карт) при попытке совершать онлайн-платежи. Этот механизм не предназначен для защиты данных банковских карт, но косвенно способствует безопасности транзакций.

Средства защиты от утечек данных банковских карт в компаниях

Эффективным инструментом для предотвращения утечек любой чувствительной информации является Solar Dozor — система класса Data Leak Prevention (DLP). В ней реализованы такие уникальные технологии, как Regular Expressions и графические шаблоны, позволяющие распознавать содержание и характер передаваемых по разным каналам коммуникации конфиденциальных сведений.

Краткое описание:

Технология IDID (ID identification) анализирует текстовые сообщения и другие данные в режиме реального времени, распознает специальные идентификаторы, например, последовательности цифр и букв, которые могут представлять финансовую информацию, такие как номера кредитных карт. Это позволяет системе мгновенно реагировать на попытки передачи таких данных, блокируя их и уведомляя ответственных сотрудников о потенциальной угрозе.
Графические шаблоны — технология, которая позволяет предотвращать передачу конфиденциальных сведений в графических форматах. Она будет полезна, если внутренние нарушители решат передать платежные сведения в графическом формате, например, фотографии лицевой и оборотной сторон карт. В основе технологии — модель Only Look Once (YOLO), которая позволяет распознавать даже намеренно деформированные графические объекты.

Также в системе Solar Dozor реализованы другие уникальные инструменты для профилактики инцидентов ИБ. Это анализ поведения и скрытых связей сотрудников, формирование досье на конкретные персоны, мониторинг действий на рабочих станциях и др.

ЗАКЛЮЧЕНИЕ

Защита данных банковских карт — обязанность не только владельцев, но и компаний, которые собирают, обрабатывают и хранят платежную информацию. В корпоративной среде для этой цели можно использовать мультифункциональное DLP-решение Solar Dozor с технологиями для распознавания несанкционированной передачи чувствительных сведений. Система эффективно решает задачи крупных компаний в части безопасности конфиденциальных активов и мониторинга действий сотрудников.