Большая проблема: мошенничество и хищение персональной информации
Проблема мошенничества и хищения персональной информации обсуждается уже давно и довольно активно, особенно после случая с Дереком Бондом, 72-летним британским туристом, который был арестован ФБР в 2003 году на территории ЮАР. Мистер Бонд стал жертвой хищения его персональной информации: преступник из США использовал эти данные в течение 15 лет для совершения различных правонарушений. Сегодня, когда постоянное подключение к компьютерной сети стало нормой, похитить конфиденциальную информацию стало еще проще, и такие разновидности интернет-мошенничества, как фишинг (выуживание информации) и спуфинг (получение доступа обманным путем) стали широко распространены. На самом ли деле все так плохо, как об этом кричат СМИ?
По утверждениям правительства США, главной формой мошенничества — согласно отчетам о подозрительной деятельности (SAR) — остается отмывание денег, второе место занимает мошенничество с чеками, а количество незаконных компьютерных вторжений начало быстро увеличиваться с 2000 года, когда они впервые попали в список учитываемых правонарушений. Отчеты о подозрительной деятельности предоставляются банками американскому правительству с 1996 года, но их влияние значительно возросло после принятия «Патриотического акта» в 2001 году: требование о предоставлении отчетов распространилось и на рынки капиталов, включая брокеров, дилеров и любые другие организации, имеющие дело с деньгами, даже казино (табл. 12.1).
Как показано в таблице 12.1, в течение 2002 года было зарегистрировано 154 тыс. случаев отмывания денег. За тот же период Федеральная торговая комиссия (FTC) обработала 161 819 заявлений американских потребителей о хищении персональной информации (для сравнения: в 2000 году — 30 тыс.); две трети из них имели отношение к банковским махинациям:
• 42 % случаев мошенничества с кредитными картами;
• 17% — с банковскими счетами;
• 6 % — с ссудами;
• 1 % — с интернет-счетами.
Выглядит довольно мрачно, не так ли? И для банков это действительно большая проблема, потому что хищение персональной информации обходится американским кредиторам в $ 1,5 млрд потерянного дохода в год. Благодаря Интернету проблем у нас значительно прибавилось.
Кражи через Интернет — бомба замедленного действия
Когда Интернет делал свои первые шаги, на многих презентациях можно было увидеть великолепный мультфильм про двух собак, которые сидели за компьютерами, и одна из них говорила другой: «Самое главное в Интернете — никто не знает о том, что ты собака». Сегодня старую шутку можно переложить на иной лад: «Самое главное в Интернете — никто не знает о том, что ты вор».
Простейшей разновидностью воровства через Интернет является обычный обман. Всем нам доводилось получать письма, в которых говорилось что-то в таком духе: «...мой отец был главнокомандующим Страны Дураков, и если ты вышлешь мне $ 30 тыс. на административные расходы, то я отдам тебе 25 % от его сбережений, которые
Тип правонарушения 1997 1998 1999 2000 2001 2002
Отмывание денег 35 625 47 223 60 983 90 606 108 925 154 000
Взяточничество 109 92 101 150 201 411
Мошенничество с чеками 13 245 13 767 16 232 19 637 26 012 32 954
4 294 4 032 4 058 6 163 7 350 9 561
Выставление необеспеченного чека*
960 905 1 080 1 320 1 348 1 879
0 0 0 65 419 2 484
2 048 2 183 2 548 3 432 4 143 4 435
4 226 5 897 7 392 9 033 10 139 12 575
387 182 351 664 1 100 1 246
294 263 320 474 769 791
5 075 4 377 4 936 6 275 8 393 12 780
612 565 721 1 210 1 437 3 741
5 284 5 252 5 178 6 117 6 182 6 151
2 200 1 970 2 376 3 051 3 232 3 685
1 532 1 640 2 064 2 186 2 325 2 763
1 720 2 269 2 934 3 515 4 696 5 387
1 765 1 855 1 854 2 225 2 179 2 330
509 593 771 972 1 527 4 747
6 675 8 583 8 739 11 148 18 318 31 109
2 317 2 691 6 961 6 971 11 908 7 704
Мошенничество с коммерческими кредитами
Проникновение в компьютер* *
Мошенничество с потребительскими ссудами
Подделка чеков
Подделка кредитных/дебетовых карт
Подделка финансовых инструментов (другое)
Мошенничество с кредитными картами
Мошенничество с дебетовыми картами
Присвоение денег незаконным путем
Ложное заявление
Злоупотребление полномочиями или конфликт интересов
Мошенничество с ипотечными ссудами
Таинственное исчезновение
Мошенничество с телеграфными денежными переводами
Прочее
Неизвестно/незаполнено
, Итого 88 877 104 339 129 599 175 214 220 603 300 733
* Возврат чека, незаконно выписанного на сумму, превышающую остаток банковского счета. ** Такое нарушение, как незаконное проникновение в компьютер, было добавлено в форму TD F 90-22.47 в июне 2000 года. Статистические данные приводятся начиная с этой даты.
Источник: Государственный департамент США.
Таблица 12.1. Данные отчетов о подозрительной деятельности, предоставленных американскому правительству за период с 1997 по 2002 год; воспроизведено с разрешения Finextra
составляют $ 2,8 млн». Разумеется, большинство людей не попадаются на подобные удочки, но организованные атаки преступников выходят на новый, более сложный уровень развития с применением фишинга и спуфинга. Цель данных приемов — убедить потребителя в том, что человек имеет дело с легальными добросовестными организациями, хотя на самом деле столкнулся с преступниками.
Согласно исследованиям, проведенным не так давно независимой некоммерческой организацией TRUSTe и Американской ассоциацией электронных платежей [NACHA):
• почти 7 из 10 американских потребителей непреднамеренно посещали хотя бы один ложный сайт;
• по меньшей мере раз в неделю мошенникам удавалось выудить конфиденциальные данные у 35 % потребителей;
• финансовые убытки, вызванные фишингом и спуфингом, достигают $ 500 млн в год — это половина потерь от хищения конфиденциальной информации, или, другими словами, 50 %-е увеличение финансовых убытков с тех пор, как организованная преступность увлеклась онлайновым финансовым мошенничеством.
И ситуация будет только ухудшаться: как обнаружила Антифи-шинговая рабочая группа (APWG), количество фишинговых атак ежемесячно увеличивается на 50 %, причем их главной целью является банковское мошенничество.
Безусловно, никто не собирается бездействовать или игнорировать данную тенденцию. Уже сегодня большинство банков способны устранить «дыры» в своих интернет-сайтах в среднем за несколько дней. Однако организованные преступные группировки все же имеют возможность в течение этих «нескольких дней» использовать бреши в системе безопасности, что просто недопустимо.
Реальная проблема
Реальная проблема заключается в том, что онлайновый банкинг, офлайновый (то есть обычный) банкинг, и в особенности платежи, должны быть надежными и безопасными. Об этом говорилось и на недавней конференции, на которой собралась вся элита американской отрасли платежных услуг. Я также присутствовал на данном мероприятии. Federal Reserve Bank of Chicago и Bank of America сделали презентацию под названием «Информационная безопасность в мире интернет-платежей», предприняв попытку охарактеризовать современный уровень безопасности онлайновых платежных систем. Учитывая тот факт, что Bank of America был одним из первых банков, внедривших двухуровневую идентификацию, а также управлял крупнейшим в мире интернет-банком с более чем 13 млн пользователей, презентация обещала быть интересной, и ожидания оправдались.
С точки зрения Федеральной резервной системы, онлайновые платежи можно сравнить с авиакатастрофами. Если на 10 млн полетов приходится одна авиакатастрофа, вы не будете слишком сильно бояться летать, но если же падает каждый второй самолет — большинство людей пересядут в машины или поезда. Это ключевой момент. Боязнь онлайновых платежных катастроф очень велика, они уже отпугнули огромное количество потребителей. Например, согласно пресс-релизу компании Visa, из-за опасений подобного рода 24 % потребителей сократили количество совершаемых ими покупок через Интернет. В другой свежей статье, опубликованной в интернет-издании Information Week, утверждается, что в течение 2005 года криминальными группировками были похищены персональные данные более 50 млн человек, а убытки составили $ 47 млрд. Эти убытки равны чистой стоимости данных, ставших достоянием организованной преступности. 47 млрд... Неудивительно, что нам немного страшно.
Затем выступил Bank of America, и все занервничали еще больше, услышав некоторые факты и цифры из его деятельности.
В 2006 году каждый час каждого рабочего дня Bank of America сталкивался:
• с ненадлежащим уничтожением 150 тыс. бумажных страниц с данными;
• 16 тыс. шпионских вторжений на сайт;
• 175 атаками с целью нарушения нормального обслуживания пользователей;
• тремя абсолютно новыми фишинговыми сайтами, мишенью которых являлся Bank of America.
Каждый час каждого дня. Немудрено, что мы так обеспокоены проблемой интернет-мошенничества.
Где же решение?
Банки предпринимают ряд ответных мер. Одним из основных направлений контратаки является внедрение двухуровневой идентификации, наиболее распространенные формы которой при осуществлении платежей основаны на владении определенным предметом — картой или компьютером — и знании определенной информации — PIN-кода или пароля.
Некоторые банки пошли еще дальше. Например, система онлайн-авторизации SiteKey, используемая Bank of America, частично основана на специальном идентификаторе компьютера пользователя — его IP-адресе, который используется в качестве уникального идентификатора, позволяющего получить доступ к онлайновым банковским услугам. ABN AMRO, e*Trade и Lloyds TSB в качестве уникальных идентификаторов используют брелоки с генерируемыми в случайном порядке номерами. Другими словами, для онлайнового обслуживания вам нужно ввести имя пользователя, пароль и затем получить на брелок уникальный код доступа, который действителен лишь в течение 10 секунд. Таким образом, чтобы зайти на сайт, вы должны располагать брелоком, смарт-картой и PIN-кодом.
Все предпринимаемые меры служат одной цели — сделать онлайновое финансовое обслуживание безопасным и надежным. Но достаточно ли этого? Не исключено, что нет. Именно поэтому регулирующие органы многих стран — ив первую очередь США — настаивают на принятии закона об обязательном внедрении двухуровневой идентификации, и именно поэтому было столько шума вокруг введения Федеральным советом по надзору за финансовыми учреждениями [FFIEC) обязательных норм двухуровневой идентификации. Хотя на самом деле данные нормы означают, что все американские банки должны внедрить не новые системы, а только процессы и процедуры.
В Австралии действуют аналогичные законодательные нормы, хотя их принятие вызвало большие споры, поскольку три из четырех крупных банков отдали предпочтение биометрии в качестве второго уровня идентификации.
И здесь перед нами встает вопрос о том, какой метод идентификации следует считать правильным. Чаще всего предлагается такая комбинация:
• предмет, которым обладает клиент (карты], плюс известная ему информация [PIN)
либо
• предмет, которым обладает клиент, плюс какая-либо биометриче ская характеристика.
Биометрия
Я не устаю поражаться одному факту: мы готовы пойти на все, чтобы избавиться от мошенничества, но при этом, в общем и целом, игнорируем потенциал биометрических технологий. Стоит только взглянуть, на какие схемы борьбы с мошенничеством финансовые институты направляют крупные инвестиции — программа Chip &PIN, системы шифрования на основе 128-битной инфраструктуры открытых ключей [PKI), управление паролями с шестью уровнями вопросов для доступа к веб-сайтам, — и сравнить их с количеством банков, использующих биометрию. Почему так происходит?
Главной причиной всегда были опасения финансовых организаций по поводу того, какие эмоции испытывает человек, пожелавший совершить платеж, в ответ на требование предъявить палец или глазное яблоко. Стандартная ассоциация среднестатистического клиента — серьезная проблема для биометрии: все сразу начинают представлять себе отрезанные пальцы и бандитов, угрожающих Клиенту ножом, или что-нибудь похуже. Хотя о том, что может быть хуже отрезанного пальца или вырезанного глаза, большинство из нас предпочитают не думать. Тем, кого все же интересует данная тема, советую посмотреть фильмы «Особое мнение» и «Пила» [Saw], хотя они не для слабонервных.
Однако биометрия совсем необязательно должна быть сопряжена с такой опасностью, поскольку она, помимо прочего, включает спектрограмму голоса и биометрическую подпись. Биометрический «отпечаток голоса» может храниться как цифровое удостоверение личности и записываться при открытии счета; данная технология отличается высокой точностью даже в том случае, если у клиента насморк или кашель. Биометрическая подпись тоже исключает посягательство на какие-либо части тела. Суть этой технологии заключается в регистрации степени нажима ручки при вводе подписи. Если цифровые ручки и бумага получат широкое распространение, то весьма вероятно, что биометрические подписи станут обычным средством идентификации.
К тому же, как доказывают многочисленные исследования, озабоченность банков по поводу негативной реакции клиентов на биометрию не имеет под собой серьезных оснований. Например, согласно исследованию, проведенному Privacy &American Business в 2003 году, 85 % потребителей назвали вполне приемлемым требование частной компании о биометрическом сканировании для установления подлинности трансакции с использованием кредитных карт. Кроме того, после 11 сентября все мы вынуждены смириться с применением биометрии при пограничном контроле: американская таможня первой внедряет технологии биометрических паспортов, и весь остальной мир берет с нее пример.
Поэтому не стоит удивляться появлению все новых банковских биометрических технологий, таких, например, как запуск технологии платежей по отпечаткам пальцев Pay-by-Touch с использованием карточки Discover Card в США и эксперименты британского банка Co-operative с платежами в продовольственных магазинах Великобритании. Или другой интересный пример: японский Bank of Tokyo-Mistubishi внедрил систему распознавания отпечатка ладони при снятии наличных через банкоматы. При этом было обнаружено, что клиенты-женщины считают технологию распознавания отпечатка ладони намного более гигиеничной, чем отпечатка пальца, потому что ладонь нужно просто держать над считывающим устройством, не прикасаясь к нему. На самом деле, все варианты применения биометрических технологий имеют свои «за» и «против».
Вообще-то, удивляться следовало бы иному — немногочисленности банков, занимающихся разработкой подобных технологий. Как показало недавнее исследование TowerGroup, лишь 35 % банков используют программу биометрической идентификации. Но существует и несколько ободряющий факт: 10 % банков экспериментируют в данной области. По этой причине расходы банков на биометрию выросли с $ 1,4 млрд в 2004 году до почти $ 4 млрд в 2007-м, а совокупный годовой темп роста составил 28 %.
В финансовой отрасли можно смело ожидать ввода в действие большого количества новых биометрических технологий, которые постепенно станут для всех нас обычным делом. В конце концов, что вы предпочтете — позволить вору притвориться вами или отдать ему свой палец?
Помимо всего прочего, биометрия поможет банкам существенно повысить уровень безопасности за счет внедрения трехуровневой идентификации: предмет, которым вы обладаете (карта), известная вам информация (PIN) и биометрическая характеристика (подпись или что-то еще). Но и это еще не все. В распоряжении банков есть и другие способы подтверждения подлинности личности. Например, поведение клиента (ваши обычные действия) и местоположение (где вы находитесь).
Пятиуровневая идентификация
Многие банки уже занимаются этим. Моя кредитная карта оказалась под наблюдением службы безопасности моего банка, потому что я воспользовался ею для совершения одной трансакции в Лас-Вегасе — снятия наличных (после крупных потерь за игровым столом, разумеется) — и затем опять появился в Лондоне. Эта единственная трансакция была очень подозрительной и привела к усиленному наблюдению за моим счетом потому, что она не соответствовала моему обычному поведению. Компании, выпускающие пластиковые карты, могут без труда отследить ваше местонахождение при расчетах за покупки через платежные терминалы в обычных магазинах, поскольку, чтобы совершить платеж, вы должны там физически присутствовать. Все это замечательно. Вот только когда дело касается Интернета, возникают непреодолимые трудности — данная паутина охватывает весь мир. Это означает, что вы можете фактически не присутствовать в месте расчета, и потому банку будет нелегко отследить ваше местонахождение. Следовательно, главной проблемой интернет-платежей является мошенничество без предъявления подлинной кредитной карты (CNP). Возвращаясь к одному из моих любимых выражений — «Самое главное в Интернете — никто не знает о том, что ты собака», — могу добавить: проблема в том, что банк не только не знает, что ты собака, он еще и не знает, где эта собака находится. Я могу легко и просто зайти в Интернет через свой беспроводной компьютер независимо от места своего пребывания. Нахожусь ли я в Лас-Вегасе или в Лондоне, мой 7Р-адрес останется прежним, и это существенно затруднит идентификацию.
Однако ситуация, судя по всему, все же меняется.
Уже существуют хитрые технологии, которые позволяют графически отобразить местонахождение интернет-пользователя в любой момент времени. Например, недавно я увидел технологию, в которой служба безопасности онлайнового банка интегрирована с картографическим сервисом Google Earth, использующим спутниковые фотографии нашей планеты. Применяя данную технологию, любой сотрудник службы безопасности банка может загрузить карту мира в любое время суток и указать на пользователя, чтобы увидеть, кто это такой, где он находится и что делает в данный момент.
Если пользователя зовут Джо Браун, он оплачивает счета через Интернет, прошел все стандартные процедуры идентификации, не совершает каких-то необычных действий, резко отличающихся от его обычного поведения в прошлом, и находится в Нью-Йорке, то все в порядке. С другой стороны, если даже все остальные условия выполнены, но Джо Браун находится в городе, в котором никогда не пользовался онлайновыми банковскими услугами, то программа выдает сигнал тревоги, и служба безопасности банка может принять дополнительные меры с целью удостоверения личности пользователя.
В итоге мы получаем пятиуровневую идентификацию пользователя для онлайнового и офлайнового обслуживания. Идентифицировать пользователя позволяют следующие пять факторов:
• предмет, которым обладает клиент, — карта, ключ или радиочастотная микросхема;
• известная клиенту информация — PIN, пароль или ответ на контрольный вопрос;
• биометрическая характеристика — подпись или спектрограмма голоса;
• обычные трансакции клиента и анализ соответствия данной трансакции общему профилю;
• местонахождение клиента и анализ того, является ли данное место обычным для совершения им трансакции.
Системы банковской безопасности будут постоянно совершенствоваться в пяти вышеобозначенных областях до тех пор, пока все эти факторы в совокупности не позволят исключить возможность мошенничества.
В заключение отмечу, что в Интернете действительно никто не знает, «собака» ты или нет, но чем больше «шпионов» и «ищеек» будут использовать преступники с целью мошенничества, тем больше защитных механизмов будут изобретать банки, чтобы укоротить им руки. Возможно, банкам никогда не удастся искоренить преступность, но минимизация потерь в размере $ 47 млрд, доставшихся организованной преступности, — весьма достойная мишень.