безопасность платежей угроза что делать
[Вопросы] Угроза безопасности платежей, как её устранить
 |
avatar.png (163.01 KB, Downloads: 0)
2021-05-11 20:48:07 Upload
В R9A всё равно NFC нет)
IMG_20210512_113350.jpg (60.41 KB, Downloads: 1)
2021-05-12 16:38:06 Upload
Xiaomi Comm APP
Получайте новости о Mi продукции и MIUI
Рекомендации
* Рекомендуется загружать изображения для обложки с разрешением 720*312
Изменения необратимы после отправки
Cookies Preference Center
We use cookies on this website. To learn in detail about how we use cookies, please read our full Cookies Notice. To reject all non-essential cookies simply click «Save and Close» below. To accept or reject cookies by category please simply click on the tabs to the left. You can revisit and change your settings at any time. read more
These cookies are necessary for the website to function and cannot be switched off in our systems. They are usually only set in response to actions made by you which amount to a request for services such as setting your privacy preferences, logging in or filling in formsYou can set your browser to block or alert you about these cookies, but some parts of thesite will not then work. These cookies do not store any personally identifiable information.
These cookies are necessary for the website to function and cannot be switched off in our systems. They are usually only set in response to actions made by you which amount to a request for services such as setting your privacy preferences, logging in or filling in formsYou can set your browser to block or alert you about these cookies, but some parts of thesite will not then work. These cookies do not store any personally identifiable information.
These cookies are necessary for the website to function and cannot be switched off in our systems. They are usually only set in response to actions made by you which amount to a request for services such as setting your privacy preferences, logging in or filling in formsYou can set your browser to block or alert you about these cookies, but some parts of thesite will not then work. These cookies do not store any personally identifiable information.
Информационная безопасность банковских безналичных платежей. Часть 7 — Базовая модель угроз
В данной статье представлена базовая модель угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.
Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.
Настоящая модель угроз предназначена для обеспечения практической безопасности и формирования внутренней документации банков в соответствии с требованиями Положений Банка России № 552-П от 24 августа 2016 г. и № 382-П от 9 июня 2012 г.
Применение сведений из статьи в противоправных целях преследуется по закону.
Методика моделирования
Структура модели угроз
Одним из наиболее удачных на сегодняшний день способов моделирования компьютерных атак является Kill chain. Данный способ представляет компьютерную атаку как последовательность этапов, выполняемую злоумышленниками для достижения поставленных ими целей.
Описание большинства этапов приведено в MITRE ATT&CK Matrix, но в ней нет расшифровки конечных действий — «Actions» (последнего этапа Kill chain), ради которых злоумышленники осуществляли атаку и которые, по сути, и являются кражей денег у банка. Другой проблемой применения классического Kill chain для моделирования угроз является отсутствие в нем описания угроз, связанных с доступностью.
Данная модель угроз призвана компенсировать эти недостатки. Для этого она формально будет состоять из двух частей:
Методика формирования модели угроз
Основными требованиями к создаваемой модели угроз были:
Порядок применения данной модели угроз к реальным объектам
Применение данной модели угроз к реальным объектам следует начинать с уточнения описания информационной инфраструктуры, а затем, в случае необходимости, провести более детальную декомпозицию угроз.
Порядок актуализации угроз, описанных в модели, следует проводить в соответствии с внутренними документами организации. В случае отсутствия таких документов их можно разработать на базе методик, рассмотренных в предыдущей статье исследования.
Особенности оформления модели угроз
В данной модели угроз приняты следующие правила оформления:
Базовая модель угроз информационной безопасности банковских безналичных платежей
Объект защиты, для которого применяется модель угроз (scope)
Область действия настоящей модели угроз распространяется на процесс безналичных переводов денежных средств через платежную систему Банка России.
Архитектура
В зону действия модели входит следующая информационная инфраструктура:
«Участок платежной системы Банка России (ПС БР)» — участок информационной инфраструктуры, подпадающий под действие требований Положения Банка России от 24 августа 2016 г. № 552-П. Критерий отнесения информационной инфраструктуры к участку ПС БР — обработка на объектах информационной инфраструктуры электронных сообщений в формате УФЭБС.
«Канал передачи электронных сообщений» включает в себя канал связи банка с ЦБ РФ, построенный через специализированного оператора связи или модемное соединение, а так же механизм обмена электронными сообщениями, функционирующий с помощью курьера и отчуждаемых машинных носителей информации (ОМНИ).
Перечень помещений, входящих в зону действия модели угроз, определяется по критерию наличия в них объектов информационной инфраструктуры, участвующих в осуществлении переводов денежных средств.
Ограничения модели
Настоящая модель угроз распространяется только на вариант организации платежной инфраструктуры с АРМ КБР, совмещающим в себе функции шифрования и электронной подписи, и не рассматривает случая использования АРМ КБР-Н, где электронная подпись осуществляется «на стороне АБС».
Угрозы безопасности верхнего уровня
У1. Прекращение функционирования системы безналичных переводов.
У2. Кража денежных средств в процессе функционирования системы безналичных переводов.
У1. Прекращение функционирования системы безналичных переводов
Потенциальный ущерб от реализации данной угрозы можно оценить на основании следующих предпосылок:
При декомпозиции данной угрозы учитывались следующие документы:
У2. Кража денежных средств в процессе функционирования системы безналичных переводов
Кража денежных средств в процессе функционирования системы безналичных переводов представляет собой кражу безналичных денежных средств с их последующим или одновременным выводом из банка-жертвы.
Кража безналичных денежных средств представляет собой несанкционированное изменение остатка на счете клиента или банка. Данные изменения могут произойти в результате:
Нештатное изменение остатка на счете, как правило, сопровождается штатными операциями по расходованию украденных денежных средств. К подобным операциям можно отнести:
Формирование поддельных распоряжений о переводе денежных средств может производиться как по вине клиентов, так и по вине банка. В настоящей модели угроз будут рассмотрены только угрозы, находящиеся в зоне ответственности банка. В качестве распоряжений о переводах денежных средств в данной модели будут рассматриваться только платежные поручения.
В общем случае можно считать, что обработка банком внутрибанковских переводов является частным случаем обработки межбанковских переводов, поэтому для сохранения компактности модели далее будут рассматривать только межбанковские переводы.
Кража безналичных денежных средств может производиться как при исполнении исходящих платежных поручений, так и при исполнении входящих платежных поручений. При этом исходящим платежным поручением будем называть платежное поручение, направляемое банком в платежную систему Банка России, а входящим будем называть платежное поручение, поступающие в банк из платежной системы Банка России.
У2.1. Исполнение банком поддельных исходящих платежных поручений.
У2.2. Исполнение банком поддельных входящий платежных поручений.
У2.3. Нештатное изменение остатков на счете.
У2.1. Исполнение банком поддельных исходящих платежных поручений
Основной причиной, из-за которой банк может исполнить поддельное платежное поручение является его внедрение злоумышленниками в бизнес-процесс обработки платежей.
У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей.
У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей
Декомпозиция данной угрозы будет производиться по элементам информационной инфраструктуры, в которых может произойти внедрение поддельного платежного поручения.
| Элементы | Декомпозиция угрозы «У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей» |
| Операционист банка | У2.1.1.1. |
| Сервер ДБО | У2.1.1.2. |
| Модуль интеграции ДБО-АБС | У2.1.1.3. |
| АБС | У2.1.1.4. |
| Модуль интеграции АБС-КБР | У2.1.1.5. |
| АРМ КБР | У2.1.1.6. |
| Модуль интеграции КБР-УТА | У2.1.1.7. |
| УТА | У2.1.1.8. |
| Канал передачи электронных сообщений | У2.1.1.9. |
Декомпозиция
У2.1.1.1. в элементе «Операционист банка»
Операционист при приеме бумажного платежного поручения от клиента заносит на его основании электронный документ в АБС. Подавляющее большинство современных АБС основано на архитектуре клиент-сервер, что позволяет произвести анализ данной угрозы на базе типовой модели угроз клиент-серверных информационных систем.
У2.1.1.1.1. Операционист банка принял от злоумышленника, представившегося клиентом банка, поддельное платежное поручение на бумажном носителе.
У2.1.1.1.2. От имени операциониста банка в АБС внесено поддельное электронное платежное поручение.
У2.1.1.1.2.1. Операционист действовал по злому умыслу или совершил непреднамеренную ошибку.
У2.1.1.1.2.2. От имени операциониста действовали злоумышленники:
У2.1.1.1.2.2.1. Ссылка: «Типовая модель угроз. Информационная система, построенная на базе архитектуры клиент-сервер. У1. Совершение злоумышленниками несанкционированных действий от имени легитимного пользователя».
Примечание. Типовые модели угроз будут рассмотрены в следующих статьях.
Как безопасно оплатить картой через Интернет – что можно и нельзя
Всего лишь несколько десятков лет назад предложение о покупке обоев в Интернете воспринималось как шутка. Сегодня интернет-магазины стали частью нашей повседневной жизни. Рынок электронной коммерции быстро растёт, и мы всё чаще покупаем в интернет-магазинах. Мы покупаем предметы повседневного спроса, одежду и обувь, книги и косметику, а также продукты питания и даже некоторые лекарства.
Онлайн-платежи, в том числе карточные, неразрывно связаны с онлайн-покупками. Насколько этот метод безопасен? Наши данные достаточно защищены? Как оплатить картой в Интернете, чтобы избежать риска?
Типы платежных карт
Наиболее популярные типы платежных карт:
Существуют также бесконтактные платежные карты – их можно использовать для бесконтактных платежей. Нам не нужно вставлять карту в терминал, нужно только приложить её (терминал также должен быть оснащен такой функцией).
Преимущества и недостатки карточных платежей
Чаще всего, когда мы покупаем онлайн, можно выбрать один из нескольких способов оплаты. Иногда мы можем заплатить наличными при доставке заказанного товара, обычно у нас также есть возможность оплаты традиционным переводом или через один из сайтов, предлагающих онлайн-платежи.
Итак, почему мы должны решить платить картой? Каковы плюсы и минусы этого решения?
Недостатки оплаты картой онлайн:
Преимущества карточных платежей онлайн:
Безопасно ли указывать номер карты?
Авторизация платежа по карте
Процесс оплаты картой прост с точки зрения клиента, но кажется сложным с точки зрения урегулирования. Когда мы предоставляем наши данные и номер карты, дату истечения срока действия и дополнительный код CVV2 на веб-сайте интернет-магазина, эти данные передаются платежному агенту и из него в сеть Visanet (для карт Visa) или Banknet (для карт MasterCard). После этого в наш банк отправляет запрос на проверку наличия достаточного количества средств на нашем счете или достаточного лимита по кредитной карте. Затем ответ отправляется из банка в сеть Visa, а оттуда к платежному агенту, который сообщает магазину о положительном результате авторизации. Все эти данные отправляются автоматически, и это занимает от нескольких долей секунды до нескольких секунд.
При оплате картой мы должны знать, что продавец никогда не получает данные с нашей карты. Поэтому вам не нужно беспокоиться о том, что администратор отеля или сотрудник интернет-магазина может использовать информацию, указанную в платёжной форме, чтобы ограбить вас. У них нет такой возможности.
Автоматическая защита
Другим средством обеспечения безопасности являются автоматические системы, которые обнаруживают подозрительное или просто необычное поведение учетной записи. Это может включать, например, попытку выполнить много (несколько или даже дюжину или около того) транзакций за короткое время или несколько транзакций, каждая с другим адресом доставки.
Системы также обнаружат, если вы платите картой из определенного местоположения, а затем из другого по прошествии времени, которого будет недостаточно, чтобы покрыть это расстояние.
В случае необычного платежа (например, когда мы находимся в отдаленном отпуске), банк может позвонить нам с запросом на авторизацию платежа по телефону.
Банковские автоматы изучают наше поведение. С высокой вероятностью успеха они могут обнаружить, что мы не те, кто использует нашу карту.
Интернет-безопасность
Помимо безопасности самого процесса оплаты, мы также должны помнить, что онлайн-магазины также защищают нас от преступников. Протокол SSL широко используется на веб-сайтах и эффективно защищает нас от расшифровки данных киберпреступниками.
Как безопасно оплатить картой через интернет?
Даже лучшая охрана не защитит нас от кражи, если мы проявим безрассудство.
Чтобы не дать мошенникам возможность использовать ваши деньги: