ОСНОВНЫЕ СОБЫТИЯ
ОБЗОР СМИ
Зашифрованные убытки — Власти признали, что обеспечить безопасность расчетов, даже построив НСПК, сложно без российской криптографии. Банкиры с этим не согласны и подсчитывают убытки
ФСБ планирует перевести Национальную систему платежных карт (НСПК) и банки на российскую криптографию, иначе невозможно добиться полной безопасности расчетов. Об этом на VIII Уральском форуме по информационной безопасности рассказал представитель службы Владимир Простов.
Сейчас банки в своих процессингах, банкоматах и терминалах используют западную криптографию, а карты всех международных систем работают по общему стандарту (EMV), которому соответствует и российская карта «Мир». Это обеспечивает ее совместимость с уже существующими банкоматами и POS-терминалами.
По словам Простова, уже существует план-график внедрения российской криптографии, включая банковские процессинги, платежные карты, банкоматы, платежные терминалы. Этот план-график согласован с Восьмым центром ФСБ и руководством ЦБ, указывает Простов.
Планируется, что банки должны будут поставить в своих процессингах криптографические модули российского производства, продолжает Простов. «В истории уже есть примеры сертификации российских криптографических модулей, например в 2003 г. у Сбербанка», – приводит пример Простов. В ЦБ сейчас направлены проекты технических заданий от российских производителей – это, например, «Инфотекс», добавляет он. Представители этой компании, присутствующие на форуме, отказались от комментариев.
Получается, что придется ставить несколько криптографических модулей, рассуждает сотрудник департамента безопасности крупного банка: один – для российской платежной системы, второй – для международных, поскольку те не работают на российской криптографии. Теоретически, указывает он, можно ставить один модуль, но тогда нужно, чтобы он был сертифицирован не только ФСБ, но и международными платежными системами, а добиться этого будет сложно.
Сотрудник одного из вендоров указывает, что для работы на российской криптографии не обязательно встраивать аппаратный модуль, это можно было бы решить на уровне программного обеспечения. Он добавляет, что в России сейчас некому производить эти модули, а если их все же придется менять, то это будут неоправданные расходы для банков (цена одного модуля для банковского процессинга начинается от $15 000, и в каждом надо поставить как минимум три таких).
Помимо процессингов «мы выходим с предложением о внедрении российских криптографических модулей в банкоматы и платежные терминалы», рассказывает Простов. Правда, он признал дефицит разработчиков модулей для банкоматов и платежных терминалов.
Обоснования того, что российская криптография надежнее, сейчас нет, говорит сотрудник департамента безопасности одного из банков.
План по внедрению российской криптографии действительно у нас есть, подтверждает замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев. Это не будет дорого для банков, считает он, поскольку они будут менять свое оборудование не сразу, а по мере выхода его из строя. Он оценивает сроки внедрения в 5–7 лет. По словам Сычева, сначала российские криптографические модули будут установлены в банковские процессинги. Кроме того, их будет необходимо установить на банкоматы и POS-терминалы – это вопрос решенный, заключил он.
Банкиры предложения силовиков предпочитают не обсуждать. «Детали пока до банковского сообщества никто не доводил», – объясняет топ-менеджер одного из госбанков.
Представители НСПК и Сбербанка комментариев не предоставили. Банк будет действовать в соответствии с требованиями регулятора, указали в пресс-службе «ВТБ 24».
Ведомости
Кошелек от Samsung — У встроенной в iPhone платежной системы Apple Pay появился конкурент – сервис Samsung. Он поддерживает даже две технологии, правда, в России, скорее всего, будет работать только одна
В этом году в России должен заработать платежный сервис Samsung Pay, сообщил в личном блоге ведущий аналитик Mobile Research Group Эльдар Муртазин. Человек, близкий к одному из партнеров Samsung, и сотрудник компании – разработчика платежных систем подтвердили: Samsung в ближайшие месяцы запустит в России сервис мобильных платежей.
Этот сервис позволяет расплачиваться с помощью телефона вместо банковской карты всюду, где есть POS-терминалы, используя технологии Near Field Communication (NFC) и Magnetic Secure Transmission (MST). NFC – технология беспроводной связи малого радиуса действия, которая позволяет устройствам обмениваться данными на расстоянии около 10 см. MST – разработка компании LoopPay, которую Samsung приобрел в 2015 г.: кассовый терминал воспринимает такой телефон как магнитную карту.
Скорее всего, Samsung Pay заработает в России в середине 2016 г., вместе с появлением нового смартфона, говорит человек, близкий к партнеру Samsung. Пока сервис, по его словам, проходит сертификацию в России: она необходима, так как аккаунт должен быть привязан к банковской карте пользователя. По информации представителя МТС Дмитрия Солодовникова, новый платежный сервис будет поддерживаться несколькими аппаратами Samsung.
До недавних пор популяризацией мобильных платежей занимались в основном банки, мобильные операторы и платежные системы. В начале сентября 2015 г. МТС, «Мегафон» и «Вымпелком» сообщили о запуске подобного сервиса совместно с Московским метрополитеном: абоненты получили возможность оплачивать проезд в метро, приложив к турникету телефон. Сотрудники операторов говорят, что сейчас сервисом пользуются «десятки тысяч» человек. С августа 2015 г. в ресторанах и магазинах можно расплачиваться электронными деньгами Visa Qiwi Wallet, предварительно скачав на Android-смартфон специальное приложение.
Аналитики Morgan Stanley надеялись, что распространению технологии NFC поможет Apple. Ее сервис Apple Pay позволяет использовать смартфоны iPhone 6 и iPhone 6 Plus в качестве кошелька для оплаты покупок и услуг. Преимуществом Samsung Pay аналитики Morgan Stanley считают поддержку сразу двух технологий.
Правда, в России, по мнению Кирилла Горыни, гендиректора CardsMobile (разработчик приложения для оплаты покупок с NFC-смартфонов), будет работать лишь вариант с NFC. «Чтобы телефон эмулировал банковскую карту с магнитной полосой, необходимо, чтобы банк-эмитент или платформа-посредник умели эмитировать одноразовые профили нечиповых карт», – объясняет он. Это требование безопасности – в противном случае образ карты легко можно будет украсть из устройства и скопировать. Но у российских эмитентов таких технологических решений нет, уверен Горыня.
Впрочем, и NFC в России набирает популярность. Компании J’son & Partners и Gemalto в сентябре 2015 г. писали в совместном отчете, что POS-терминалов с поддержкой NFC в России стало за 2014 г. на 136% больше (59 000).
Альфа-банк воспринимает сервисы наподобие Samsung Pay как партнеров, говорит его представитель Жанна Каплун. Проникновение NFC-терминалов в России растет, особенно в крупных городах и магазинах, а вот карты с магнитной полосой постепенно вытесняются картами с чипом (они безопаснее).
Представитель Samsung отказался от комментариев. Получить комментарии в ЦБ не удалось.
Количество запросов в СМЭВ в 2015 году выросло на 171%
Министерство связи и массовых коммуникаций Российской Федерации подвело итоги работы Единой системы межведомственного электронного взаимодействия (СМЭВ) в 2015 году.
Количество запросов как от органов власти, так и от кредитных организаций по сравнению с 2014 годом возросло на 171% — с 4,3 млрд до 7,4 млрд. В настоящее время к СМЭВ подключено более 12 тыс. участников. Из них около 100 составляют федеральные органы власти, 1,5 тыс. — региональные, 9,5 тыс. — муниципальные и более 900 — кредитные организации. Активнее всего СМЭВ в 2015 году пользовались в Москве, а также в Саратовской и Тюменской областях.
«Система ежедневно подтверждает свою значимость для граждан и государства. Она позволяет существенно экономить бюджетные средства на оказание услуг и обеспечивает гражданам доступ ко всем электронным услугам страны без посредников. Мы стремимся к тому, чтобы госуслуги вообще не требовали участия чиновников и оказывались полностью автоматически», — отметил директор департамента развития электронного правительства Минкомсвязи России Владимир Авербах.
Самыми активными поставщиками информации в СМЭВ в 2015 году стали Федеральное казначейство, Росреестр, Федеральная миграционная служба России, Пенсионный фонд РФ и Министерство внутренних дел РФ. Самые активные потребители среди федеральных и региональных органов власти и кредитных организаций — Федеральная служба судебных приставов России, город Москва и ОАО «Сбербанк» (в части взаимодействия с Федеральным казначейством).
ОБЗОР МЕЖДУНАРОДНЫХ СОБЫТИЙ
Visa Europe расширяет сферу применения технологии токенизации
Visa Europe открывает доступ к своему сервису токенизации банкам, ритейлерам и технологическим фирмам, которые будут использовать эту технологию для широкого спектра новых методов платежей.
Токенизация заменит традиционный 16-значный номер счета Visa на уникальную серию номеров, помогая предотвратить компрометацию конфиденциальной информации о счетах потребителей при совершении платежей через Интернет и с мобильных устройств.
Широко разрекламированная Visa в качестве нового ключевого инструмента борьбы против мошенничества, эта технология пришла в Европу в прошлом году. До этого она была внедрена в США для запуска Apple Pay.
Расширение сферы действия сервиса Visa Europe Payment Tokenisation позволит компаниям интегрировать эту технологию в сервисы, предусматривающие хранение платежных данных в «облаке», таких как собственные приложения банков для мобильных платежей, приложения для носимых аксессуаров и других «подключенных» устройства. Токенизация также охватит кошельки, доступные через веб-браузеры, а также специфические решения наподобие Visa Checkout.
Расширяя поддержку мобильных платежей, использующих хранящиеся на устройствах данные о счете, в Visa Europe утверждают, что это позволит большему числу игроков развивать новые способы оплаты.
Исполнительный директор Visa Europe по внедрению новых продуктов Сандра Альцетта (Sandra Alzetta) комментирует: «Мы прогнозируем, что к 2020 г. каждый пятый потребитель будет производить оплату с помощью смартфона ежедневно, а платежи с помощью мобильного телефона или планшета составят более 50 % от транзакций Visa.
Благодаря тому, что наши банки-клиенты смогут теперь, вместе со своими технологическими партнерами, обеспечить потребителям доступ к механизму токенизации, появятся фантастические новые возможности совершения платежей через мобильные телефоны, планшеты и любые иные «подключенные» устройства».
Сбербанк в Казахстане запустил услугу снятия наличных в банкомате без карты
Сервис был внедрен на мультифункциональной платежной платформе WAY4 и потребовал минимальных инвестиций. Новая услуга работает на основе «Сбербанк Онлайн», одном из самых востребованных сервисов онлайн-банкинга, доступных в Казахстане.
ДБ АО «Сбербанк» в Казахстане, услугами которого пользуются 20% экономически активного населения республики, предоставил клиентам возможность снятия наличных без карты в любом банкомате Сбербанка в Казахстане. Для снятия денежных средств получателю необходимо лишь ввести секретный код на дисплее банкомата. Несмотря на простоту сервиса, технология WAY4 Cash by Code обеспечивает высокий уровень безопасности для аутентификации получателя. Сервис поддерживают более 900 банкоматов по всей территории Казахстана.
Чтобы снять наличные без карты, клиент в системе «Сбербанк Онлайн» (или в его мобильном приложении) вводит сумму снятия и номер сотового телефона. Указанные денежные средства блокируются на 24 часа. Система автоматически формирует код из двух частей: первую клиент получает в «Сбербанк Онлайн», а вторую – в виде SMS-сообщения.
Для снятия денежных средств клиент через банкомат Сбербанка вводит обе части кода, ожидаемую сумму. После проверки данных, система дает разрешение на выдачу наличных. Срок действия кода строго ограничен: если за сутки сумма не была обналичена, она автоматически возвратится на карточный счёт отправителя. Возможная сумма операции варьируется от 1000 до 100 000 тенге.
«Сбербанк в Казахстане уделяет особое внимание оптимизации розничных бизнес-процессов. И ключевую роль здесь играет развитие и внедрение OpenWay Group современных IT-решений. Новая услуга «Снятие наличных без карты» позволит нашим клиентам иметь доступ к своим средствам, не опасаясь забыть карту дома или потерять её», – отмечает Андрей Тимченко, заместитель председателя правления банка по розничному бизнесу.
«Команда ДБ АО «Сбербанк» в Казахстане всегда открыта инновациям. Вместе с OpenWay банк реализует сервисы на платформе WAY4, которые позволяют не только поддержать лояльность существующих клиентов, но и активно привлекать новых», – комментирует Дмитрий Довгаль, заместитель директора по развитию бизнеса, OpenWay.
Решение WAY4 Cash By Code внедрено и успешно используется в странах Африки, Юго-Восточной Европы и Азии.
Преступники используют новые способы мошенничества с банковскими картами
Популярность безналичных платежей в Украине растет, и параллельно с ней увеличивается количество мошеннических операций с банковскими картами, отмечают эксперты.
Главной проблемой для банков и их клиентов становится такой вид мошенничества, как социальный инжиниринг. В этом случае держатели карт сами передают секретные данные мошенникам или совершают платеж в пользу третьих лиц. «В 2015 году уровень классических видов мошенничества с платежными картами (использование скиминговых устройств, фишинговых сайтов, видеокамер на банкоматах и т. д.) снизился на 30%. Но резко, на 80%, возросло количество случаев мошенничества в сфере социальной инженерии», — говорит начальник центра информационной безопасности Фидобанка Олег Ковальчук.
Конечная цель мошенника, использующего приемы социального инжиниринга, — завладеть данными платежных карт, узнать отп-пароль, который приходит на мобильный телефон держателя карты для подтверждения интернет-платежа. Преступники пытаются настроить переадресацию звонков на свой телефон либо же убедить держателя платежной карты подойти к банкомату и, следуя инструкциям злоумышленника по телефону, перевести деньги на карту мошенника.
Социнжиниринг далеко не новый способ мошенничества. Не один год преступники выманивают деньги у украинцев с помощью ночных звонков о необходимости помочь деньгами сыну или дочке, которые якобы совершили преступление. Либо просьбой отправить средства на благотворительность. Но об этих уловках украинцы уже наслышаны и их эффективность для мошенников упала. Поэтому преступникам приходится быть изобретательными.
ЛИГА.net описала несколько новых схем социнжиниринга, о которых рассказали банкиры.
Колясочники
Преступники ищут жертву на сайтах торговых площадок, где люди продают различные товары. Мошенник звонит продавцу, представляется заинтересованным покупателем и сообщает, что готов отправить деньги на карту в ближайшее время. Зачастую мошенники не торгуются и делают акцент на срочности. Через один-два часа продавцу товара приходит смс сообщение с текстом «не удалось провести платеж на указанную сумму». Сразу после смс поступает звонок, якобы от службы безопасности банка, с просьбой подойти к банкомату и ввести некую комбинацию, чтобы разблокировать карту. Возле банкомата продавца просят выбрать английский язык. И человек, не понимая, что он делает, переводит деньги на счет мошенника.
Внимание Акция
Банальный, но действенный способ выманить деньги у держателя карты — игра на жадности. Мошенники рассылают на мобильные телефоны клиентов банков ложные смс-сообщения о «выигрыше» автомобилей, квартир, телевизоров, чайников, фенов и даже кардиостимуляторов. Приходит сообщение приблизительно такого содержания: «Ваш номер выиграл приз — АВТОМОБИЛЬ». Если раньше преступники предлагали оплатить часть стоимости автомобиля, что вызывало подозрения, то сейчас просят держателя карты взять на себя сопутствующие платежи. В случае с автомобилем, предлагают оплатить госпошлину размером 1-2% стоимости авто, при выигрыше пылесоса или фена — пересылку товара.
Привет из интернета
Держателю карты приходит смс о проведении операции в интернете, которую клиент не совершал. Затем мошенник звонит жертве на мобильный и, представившись сотрудником банка, сообщает: «Только что по вашей карте был проведен подозрительный платеж” и для его отмены запрашивает данные платежной карты, CVV, пин-код, номер карты и срок действия.
Злоумышленники могут рассказать, сколько у клиента банка карточек, какого они класса, есть ли кредитки, и могут перезвонить повторно, чтобы уточнить дополнительно отп-пароль. Если в двух предыдущих случаях держатель теряет определенную сумму, то предоставив все данные, может потерять все содержимое карты.
Липовая блокировка
В этом случае мошенник в телефонном режиме сообщает держателю карты, что в банке случился сбой и 30 000 счетов, в том числе и потенциальной жертвы, заблокирован. Для разблокировки счета просят предоставить отп-код, который приходит во время разговора. Сообщение с кодом поступает с привычного, на первый взгляд, номера банка. Но в этом номере может отличаться одна цифра, а в названии банка сделана ошибка. Предоставив код, клиент дает доступ к интернет-банкингу, и мошенники могут перевести любую сумму на другую карту.
Как не стать жертвой мошенников
Чтобы обезопасить себя от подобных действий мошенников, нужно выполнять несколько известных и несложных правил.
1. Сохраняйте секретную информацию втайне. Не предоставляйте реквизиты платежных карт (номер карты, срок действия, код CVV2/CVC2) по электронной почте и не сообщайте по телефону третьим лицам. Сотрудник банка не спрашивает срок действия карты, код CVV2/CVC2, ОТП-пароль.
2. Не вводите реквизиты карты во всплывающих окнах, которые появляются поверх стандартного интерфейса официальных платежных сервисов.
3. Будьте внимательны при пополнении счетов мобильных телефонов, пользуйтесь только официальными и проверенными сайтами (отдавайте предпочтение сайтам https://).
4. Оформите отдельную карту для оплат в интернете. Пополняйте карту перед проведением операции — так мошенники не украдут деньги, даже узнав данные карты.
5. Установите индивидуальные лимиты на проведение операций в интернете на необходимую сумму и подключите смс-информирование.
Названа дата презентации Apple Pay в Китае
Мобильный кошелек Apple Pay заработает в Китае 18 февраля. Расплачиваться в торговых точках с помощью смартфона смогут клиенты одного коммерческого банка — Industrial and Commercial Bank of China. Об этом на странице в социальной сети Facebook сообщили представители финучреждения.
Представители Apple отказались комментировать сообщение китайского банка о предстоящем запуске. Ранее на китайском веб-сайте Apple были перечислены 19 финучреждений, которые будут поддерживать услугу. А государственные СМИ сообщили, о том, что два других банка подтвердили свое участие в запуске услуги 18 февраля.
Запуск Apple Pay на международном рынке нельзя назвать успешным. Американцы тоже не восприняли новый способ платежей с большим энтузиазмом. В отличие от Запада, в Китае люди уже привыкли расплачиваться смартфонами. На этом рынке Apple Pay придётся конкурировать с укоренившимися операторами мобильных платежей – финансовыми подразделениями таких гигантов как Alibaba и Tencent.
Опция «Купить с PayPal» появится даже в электронных письмах
Международный провайдер онлайн-платежей PayPal намерен расширить свое присутствие на рынке электронной коммерции.
На днях компания представила новую платформу для торговцев. PayPal Commerce расширит перечень интернет-локаций, где можно продать товар.
Это решение позволяет внедрять кнопку «купить» не только в интерфейс интернет-магазина. С помощью соответствующего API можно будет разместить банер «оплатить через PayPal» в сообщениях электронной почты, социальных сетях, блогах, статьях, объявлениях и приложениях.
«Инструменты PayPal Commerce, которые в настоящее время доступны в бета-версии, позволяют продавцам продавать через любой интернет-канал, или мобильное устройство», — отметили в компании.
Платформа построена на базе приобретенной ранее площадки мобильной коммерции Modest.