Способ повышения безопасности автоматизированной платежной системы

Настоящее изобретение относится к области банковского оборудования, в частности к безопасности автоматизированных платежных систем.

Известны носители данных, которые служат для проведения платежных транзакций. Широко распространены, например, банковские карты с магнитной полосой или микросхемой памяти в качестве среды хранения данных. Заменяя собой наличные деньги, пластиковая банковская карта является удобной возможностью управления счетом, пользователи все чаще отдают предпочтение этому доступному современному способу хранения денежных средств и проведения финансовых операций. В настоящее время в мире насчитывается свыше миллиарда банковских карт. Как финансовый инструмент, карты постоянно совершенствуются, растет сфера их использования, расширяется перечень услуг по их применению.

Использование банкомата - платежного терминала, предназначенного для самостоятельного совершения клиентом операций с банковскими картами для снятия и пополнения наличности, оплаты счетов, товаров и услуг, перевода средств с одного банковского счета на другой, погашения кредитов, уплаты налогов и штрафов, получения информации об остатке средств на счетах и т.п. предоставляет существенные удобства для потребителя.

Платежный терминал, связанный с главной банковской системой по защищенным каналам связи или с использованием способов и устройств защиты передаваемой информации, оснащен компьютером, содержащим необходимое программное обеспечение, к которому подключены устройства ввода-вывода, такие как сенсорный монитор, печатающий механизм, клавиатура, устройство для работы с пластиковыми банковскими картами, сканер штрих-кодов, купюроприемник и пр. Доступ к каналам связи, используемым для передачи сообщений о кредитных картах и финансовых операциях с банковскими аппаратами, ограничен. Это необходимо для предотвращения незаконных попыток проникнуть в счета пользователей.

В описании данного изобретения под терминами "банкомат", "автоматический платежный терминал " или "автоматизированный банковский аппарат" подразумеваются устройства, обеспечивающие выполнение банковских операций без участия работника банка.

Обычно банковские карты имеют идентификационное значение, напечатанное на карте, и идентификационное значение, отличающееся от напечатанного, сохраненное на магнитной полосе. Однако традиционное статичное идентификационное значение, напечатанное или сохраненное на магнитной полосе, увеличивает риск мошенничества, т.к. в случае получения информации о счете и напечатанном идентификационном значении злоумышленник будет иметь всю информацию, необходимую для изготовления дубликата карты.

Одним из способов снижения риска мошенничества является использование карт с микропроцессором или встроенной интегральной схемой, которые включают в себя внутренние функциональные возможности для генерирования динамических идентификационных значений. Технология карт с микропроцессором использует схемы цифровой подписи на основе криптосистем с открытым ключом, как, например, представлено в патентах ЕР 1152378 (А2) от 07.11.2001, G07F19/00, G07F7/10 и RU 2258256 С2 от 10.08.2005, G06F17/60, G07F19/00. Подобный подход является слишком затратным, т.к. он требует карт и терминалов, способных выполнять криптографические операции, и системы управления открытыми ключами. Более того, этот подход требует дорогостоящей модификации или дополнений к существующей инфраструктуре платежной сети, т.к. последняя разрабатывалась для обработки карт с магнитной полосой. Современная система безопасности автоматизированных платежных систем представляет собой определенный компромисс между достаточной безопасностью и излишним усложнением системы.

Банкомат посредством устройства считывания определяет номер финансового счета, соответствующего карте, и при подтверждении регистрации выдает клиенту запрос личного идентификационного номера (PIN-кода), используемого для подтверждения подлинности права собственности на карту. Посредством устройства ввода данных пользователь вводит соответствующий карте PIN-код, выданный ему при регистрации как участнику данной платежной системы. При вводе PIN-кода или других данных, которые не должны отображаться на мониторе, прикладная система услуг финансовых операций запоминает данные, введенные клиентом, и посылает в браузер через программу отображения клавиатуры только сигнал, который представляет символ запоминания, например, символ «*».

PIN-код - личный опознавательный номер, состоящий обычно из четырех цифр, с помощью которого производится авторизация держателя карты, используется как пароль доступа владельца карты к счету. PIN-код защищает карту от несанкционированного использования, являясь аналогом собственноручной подписи клиента при совершении операций с использованием карты. Подразумевается, что PIN-код банковской карты известен только ее владельцу, поэтому операции, подтвержденные PIN-кодом, считаются выполненными держателем карты. Банковский договор предусматривает полную ответственность клиента за операции, подтвержденные PIN-кодом.

PIN-код для банковских карт генерируется автоматически. Одновременно происходит печать PIN-конверта, который представляет собой предварительно заклеенную заготовку, состоящую из нескольких слоев самокопирующейся бумаги. Цифры PIN-кода печатаются внутри уже закрытого конверта. После печати память компьютера очищается, чтобы исключить возможность утечки конфиденциальных данных. PIN-код однозначно соответствует идентификационным данным банковской карты (http://lubyanka-shield.ru/2011 /09/pin-kod-plastikovyih-kart-mozhno-ukrast-na-rasstoyanii/).

Банкомат проверяет подлинность введенного PIN-кода посредством обмена информацией с главной банковской системой, хранящей индивидуальные базы данных пользователей, удостоверяясь, что этот PIN-код соответствует подлинному, который был ранее поставлен в соответствие номеру финансового счета.

Если PIN-код не соответствует идентификационным данным, считанным с банковской карты, удаленная система передает компьютеру банкомата сообщение о нарушении. При получении такого сообщения компьютер выдает соответствующую сложившейся ситуации команду, например, заблокировать банковскую карту для предотвращения мошенничества или незаконных попыток проникнуть в сеть или в счета пользователей.

Известны способы идентификации пользователя, представленные в патентах GB 2317983 (А) от 08.04.1998, G06F15/00, G06F17/00, G06F21/00, G06F21/20, G06Q10/00, G06Q20/00, G06Q40/00, G07F7/10, G09C1/00, H04L29/06, H04L9/32; RU 2158962 С2 от ЮЛ 1.2000, G07G1/00, G07F7/08; FR 2819067 (А1) от 05.07.2002, G06F21/00, G07C9/00, G07F19/00, G07F7/10; RU 2258256 С2 от 10.08.2005, G06F17/60, G07F19/00.

Более широкому распространению пластиковых карт препятствуют сомнения пользователей в сохранности своих средств из-за имеющихся случаев их хищения. В последние годы одновременно с развитием сети банкоматов растет количество случаев мошенничества с неправомерным использованием банкоматов для похищения денежных средств со счетов держателей пластиковых карт. В связи с увеличением объемов операций банковские пластиковые карты подвергаются многочисленным противоправным действиям. Подделка пластиковых карт - наиболее распространенный вид мошенничества в этой сфере, из оборота постоянно изымаются такие карты.

Существуют различные способы неправомерного завладения средствами с чужого карточного счета с помощью банкоматов:

- использование украденной карты и PIN-кода;

- копирование магнитной полосы с помощью подставных устройств считывания, монтируемых на банкомате;

- накладка на клавиатуру, запоминающая все нажатые владельцем карты при пользовании банкоматом клавиши, в том числе и PIN-код;

- установка рядом с банкоматом микрокамер для похищения PIN-кодов. Такая камера может быть замаскирована прикреплённым к банкомату или стене рядом с ним предметом.

Нередко в сговор с мошенниками вступают люди, имеющие доступ к пластиковым картам по долгу службы - недобросовестные работники банков и торгово-сервисных предприятий. Они негласно копируют информацию с магнитной полосы карты и записывают PIN-код при вводе его клиентом. Иногда даже не нужно прикладывать лишних усилий - в Интернете достаточно предложений о продаже реквизитов кредитных карт и фиксированных кодов доступа к ним.

Число атак мошенников, выманивающих пароли у клиентов банков, постоянно растет. Одной из разработок мошенников стал вирус, который отслеживает производимые операции и похищает информацию с пластиковых карт.

Масштабы банкоматного мошенничества в мире сейчас очень велики. Растущее число преступлений в этой сфере подрывает авторитет банковских карт, как надежного финансового инструмента. Наиболее распространенными видами махинаций с пластиковыми картами являются дублирование карты, заказ товаров и услуг по Интернету с использованием похищенных данных платежной карты, использование чужого банковского счета карты лицом, получившим доступ к этому счету незаконным путем, применение похищенных реквизитов карты для транзакций в виртуальной среде, создание фиктивных WEB-сайтов для обмана держателей карт и сбора данных о владельцах платежных карт, получение информации о реквизитах карт через взлом баз данных.

Для завладения чужим PIN-кодом мошенники подглядывают из-за плеча владельца банковской карты, когда тот вводит код в банкомат, в том числе и с помощью микрокамеры, применяют накладки на клавиатуры, копируют данные карты при осуществлении покупок с вводом PIN-кода в торговых организациях.

Появился новый способ неправомерного завладения чужим PIN-кодом. На кнопки банкомата направляется инфракрасная камера тепловизора, измеряющая температуру на панели клавиатуры банкомата. По остаточной от пальцев владельца карты температуре нажатых кнопок выявляется последовательность цифр кода (http://www.rbcdaily.ru/2011/09/02/cnews/562949981387863; http://infox.ru/hi-tech/tech/2011/08/18/Tyerrnalnyyye_kamyeryj>rint.phtrnl; http://lubyanka-shield.ru/2011/09/pin-kod-plastikovyih-kart-mozhno-ukrast-na-rasstoyanii/).

Зная данные карты и PIN-код, злоумышленник получает неограниченный доступ к электронному счету клиента, имея возможность снять денежные средства с карты и банковского счета пользователя. У мошенников появляются данные, необходимые для изготовления поддельной карты и использования ее в своих целях. Иногда даже не нужно изготавливать дубликат карты, зная ее данные, мошенники могут получать различные товары и услуги по Интернету.

При работе с банкоматом рекомендуется соблюдать правила безопасности:

- снимая деньги в одном и том же банкомате, нужно запомнить его внешний вид, в частности поверхность над клавиатурой и устройство для приема карты в банкомат, здесь не должно находиться прикрепленных посторонних предметов;

- при наборе PIN-кода нужно прикрывать клавиатуру свободной рукой, чтобы никто не мог его подсмотреть. Различные предметы около экрана могут являться маскировкой для скрытой микрокамеры;

- в случае подозрения, что кто-то мог скопировать данные карты или узнать PIN-код, необходимо ее немедленно заблокировать;

- покушения на хищение конфиденциальных данных наиболее часты там, где можно это сделать скрытно, где нет обслуживающего персонала, поэтому снимать деньги лучше в банкоматах, которые расположены в помещениях банка, либо рядом с ними на территории, просматриваемой видеокамерами служб безопасности банков;

- расплачиваясь в магазине или ресторане, нельзя выпускать карту из виду, иначе с нее могут снять копию;

- если требуется усилие для погружения карты в отверстие банкомата, или банкомат работает не так, как обычно, лучше воспользоваться другим аппаратом.

Но даже полное соблюдение всех вышеуказанных рекомендаций не гарантирует безопасности при пользовании банковской картой. Иногда от внимательности, осторожности и предусмотрительности пользователя ничего не зависит. Хакеры научились расшифровывать PIN-коды, передаваемые в зашифрованном виде от банкомата в банк назначения, скрытно подключаясь к каналам связи (http://habrahabr.ru/blogs/infosecurity/57454/).

Простое подглядывание из-за плеча, с помощью микрокамеры или тепловизора, другие способы завладения чужим PIN-кодом позволяют мошеннику заполучить фиксированный PIN-код в момент его ввода владельцем с клавиатуры банкомата.

Заявляемым изобретением разработан способ безопасной работы на платежном терминале самообслуживания автоматизированной платежной системы за счет изменения системой PIN-кода банковской карты при каждом выходе из нее. Банкомат выдает пользователю новый PIN-код, сформированный системой и напечатанный внутри закрытого PIN-конверта, сохраняющего конфиденциальность получаемых данных даже при наличии видеосъемки, задачей владельца карты остается только хранение PIN-кода отдельно от карты.

Во избежание перехвата PIN-кода при его передаче по каналам связи, возможна загрузка в банкомат сформированного пакета конвертов с предварительно напечатанными кодами, данные о которых хранятся в системе. При выдаче очередного конверта система присваивает находящийся в нем код данной пластиковой карте. Возможна передача системой нового PIN-кода не на бумажном носителе, а посредством мобильной связи (SMS - сообщение), а также возможен выбор клиентом наиболее удобного для себя способа.

Злоумышленник завладевает PIN-кодом, являвшимся актуальным на момент входа пользователя в систему, но уже утратившим силу. Мошенник каждый раз будет опаздывать на один шаг и получать бесполезный PIN-код, с которым невозможно войти в систему. Попытка воспользоваться этим PIN-кодом будет неудачной, к тому моменту данной карте уже будет соответствовать новый PIN-код. Дополнительные препятствия затруднят использование поддельных карт, поэтому подделка пластиковых карт, которыми будет невозможно воспользоваться в противоправных действиях, станет нерентабельной. В случае попытки воспользоваться данными пластиковой карты со старым PIN-кодом карта блокируется, в правоохранительные органы подается соответствующий сигнал о попытке взлома, а лицо или изображение покупателя для возможного привлечения к ответственности автоматически записывается, как предложено в патенте RU 2158962 С2 от 10.11.2000, G07G1/00, G07F7/08.

Наиболее близким по технической сущности к заявляемому изобретению является патент RU 2385233 С1 от 27.03.2010, B42D15/10, G07F19/00, H04W12/00, повышающий защищенность системы за счет использования для входа в систему разных PIN-кодов для одной карты. Недостатком такого способа смены PIN-кода является необходимость постоянного хранения обеими сторонами таблицы PIN-кодов.

Таким образом, похищение и использование конфиденциальной информации с помощью каких-либо дополнительных приспособлений на банкомате становится бессмысленным. Даже если злоумышленнику и удалось заполучить PIN-код, это ему не поможет при попытке хищения денежных средств со счета, т.к. к следующему входу в систему комбинация изменится.

Предлагаемый способ решает задачу повышения надежности защиты передаваемой информации от несанкционированного использования. Отпадает необходимость прикрывать рукой клавиатуру при введении PIN-кода, проверять, не прикреплены ли к банкомату какие-либо дополнительные устройства и т.п., ведь подглядывание и копирование PIN-кода теряет смысл. Одноразовый PIN-код не требуется запоминать, поэтому он может иметь больше знаков, каждый из которых повышает безопасность на порядок.

Одним из воплощений заявляемого изобретения является вариант, при котором PIN-код меняется не при каждом выходе из системы, а только при положительном ответе пользователя на запрос, желает ли он в целях повышения безопасности заменить PIN-код.

Техническим результатом заявляемого изобретения является повышение безопасности банковских операций, снижение количества подделок банковских пластиковых карт.

Заявленный технический результат достигается за счет:

- изменения PIN-кода банковской карты при каждом выходе из системы;

- устранения необходимости прикрывать рукой клавиатуру при введении PIN-кода, проверять, не прикреплены ли к банкомату какие-либо дополнительные устройства;

- одноразовый PIN-код не требуется запоминать, поэтому он может иметь больше знаков, каждый из которых повышает безопасность на порядок.

Способ повышения безопасности банковских операций заключается в том, что предусматривается изменение PIN-кода банковской карты при каждом выходе из системы.

Новыми существенными признаками заявляемого изобретения являются:

- повышение безопасности банковских операций;

- снижение количества подделок банковских пластиковых карт;

- изменение PIN-кода банковской карты при каждом выходе из системы;

- устранение необходимости прикрывать рукой клавиатуру при введении PIN-кода, проверять, не прикреплены ли к банкомату какие-либо дополнительные устройства.

Данное описание не ограничивает объема изобретения и предназначено для достаточного раскрытия информации, является примером осуществления изобретения, и хотя выше были представлены предпочтительные варианты его выполнения, следует понимать, что настоящее изобретение не ограничивается вариантами и модификациями, приведенными здесь. Специалист в данной области техники может предусмотреть внесение многочисленных изменений и дополнений формы и деталей в соответствии с раскрытой здесь информацией, а также другие варианты воплощения настоящего изобретения без отхода от сущности и объема изобретения, определяемого его формулой. В частности, следует понимать, что любые устройства, обеспечивающие выполнение банковских операций без участия работника банка, определяются настоящим изобретением в соответствии с его формулой, и все вышеупомянутые структурные элементы могут быть использованы в комбинации или отдельно для достижения всех или некоторых преимуществ изобретения.

Сравнение заявленного технического решения с уровнем техники по научно-технической и патентной документации на дату приоритета в основной и смежных рубриках показывает, что совокупность существенных признаков заявленного решения не была известна, следовательно, оно соответствует условию патентоспособности «новизна».

Анализ известных технических решений в данной области техники показал, что предложенный способ имеет признаки, которые отсутствуют в известных технических решениях, а использование их в заявленной совокупности признаков дает возможность получить новый технический эффект, следовательно, предложенное техническое решение имеет изобретательский уровень по сравнению с существующим уровнем техники.

Предложенное техническое решение промышленно применимо, т.к. может быть изготовлено промышленным способом, работоспособно, осуществимо, воспроизводимо, следовательно, соответствует условию патентоспособности «промышленная применимость».

Способ повышения безопасности автоматизированной платежной системы при самостоятельном проведении клиентом финансовых операций посредством платежного банковского терминала самообслуживания с помощью пластиковой банковской карты, отличающийся тем, что соотносимый данной карте PIN-код изменяется системой после каждого пользования ею, банкомат выдает пользователю новый PIN-код, сформированный системой и напечатанный внутри закрытого PIN-конверта, сохраняющего конфиденциальность получаемых данных, возможна загрузка в банкомат сформированного пакета конвертов с предварительно напечатанными кодами, данные о которых хранятся в системе, при выдаче очередного конверта система присваивает находящийся в нем код данной пластиковой карте, одноразовый PIN-код не требуется запоминать, поэтому он может иметь больше знаков, каждый из которых повышает безопасность на порядок.