Секреты и ложь. Безопасность данных в цифровом мире - Шнайер Брюс (онлайн книга без txt) 📗
Такие карты обладают тем преимуществом, что они не обязательно должны работать в режиме онлайн, то есть находиться на связи с каким-либо центральным сервером где бы то ни было. (При использовании обычных платежных карточек торговый автомат обязан связаться с банковским компьютером в режиме реального времени.) Их недостаток состоит в том, что утрата или повреждение карты означают потерю денег.
Plasticash, как и всякая другая система электронных платежей, должна будет иметь полный набор средств защиты и использовать криптографию, меры компьютерной безопасности, средства защиты от подделки, возможности контроля и что угодно еще. Она будет обеспечивать необходимый уровень целостности данных, конфиденциальности, анонимности и т. д. Мы не будем вдаваться в подробности. Давайте рассмотрим варианты нападений на подобную систему в принципе.
В функционировании системы Plasticash участвуют три стороны: клиент, продавец и банк. Поэтому существуют три схемы взаимодействия между участниками расчетов:
• Банк – клиент. Клиент снимает деньги на свою карту.
• Клиент – продавец. Клиент переводит деньги со своей карты на карту продавца.
• Банк – продавец. Продавец вносит полученные деньги на свой банковский счет.
В первой части этой книги рассказывается о преступлениях, которые, возможно, будут совершаться и в сфере Plasticash: это кража денег, ложное обвинение, нарушение тайны частной жизни, вандализм и террор, а также разглашение сведений. Система Plasticash должна предусматривать меры противодействия использованию ее для подготовки других преступлений, таких как отмывание денег. Приготовления к преступлению трудно определить точно, представления об этом могут меняться при каждом пересечении границы государства и даже после каждых новых выборов. Также неясно, насколько законы и обычаи различных стран способны противоречить друг другу. Например, на международной арене принятые в США требования к финансовой отчетности могут восприниматься как нарушение швейцарских законов, охраняющих тайну банковской деятельности.
Когда мы говорим о мошенничестве со стороны банков, мы не обязательно имеем в виду, что речь идет о банковской «империи зла». Такие преступления могут совершаться отдельными мошенниками, работающими в заслуживающем уважения банке. Вообще, мы чаще имеем дело с мошенничеством клиентов и продавцов (отдельных мошенников, принятых на эту работу), поскольку теоретически банки в силах позволить себе лучшие механизмы и меры безопасности, а возможные потери в связи с ущербом репутации от нападений на банковские системы очень велики.
Итак, первый вид преступлений – это кража. Существует несколько способов похитить деньги с Plasticash. Ими могут воспользоваться как клиенты, так и продавцы:
• Взломать карту, чтобы прибавить себе денег. Это также можно осуществить несколькими способами, наиболее очевидный путь – добраться до устройства, регистрирующего находящуюся на карте сумму.
• Можно таким же образом увеличить или уменьшить размер платы за покупку.
• Можно научиться создавать или имитировать новые карты и изготовить фальшивые Plasticash, которые будут функционировать, как настоящие. Фальшивая карта не обязательно даже должна быть похожа на оригинальную: мошенник может пользоваться ею только при покупках в Интернете или переводить деньги с фальшивой карты на настоящую, с которой и будет производить платежи.
• Можно научиться клонировать карты. Мошеннику понадобится завладеть на время настоящей картой, чтобы сделать клон, после чего ее можно будет вернуть владельцу. (Успешные преступления такого рода уже совершались с канадскими банковскими карточками, и в 1999 году некоторые из мошенников были арестованы. Жулик-продавец ухитрялся в считанные секунды клонировать карту, использовавшуюся покупателем для расчетов.)
Вот способы мошенничества, используемые клиентами:
• Отрицать сделанные покупки. Это старый прием, состоящий в том, чтобы приобрести что-либо дорогостоящее, заявить о краже карточки и опротестовать произведенные платежи. Есть новый вариант этого метода – прикинуться дураком в свое оправдание, заявляя, например, следующее: «Visa виновата в том, что я потерял все свои деньги в азартных играх онлайн; это произошло не по моей вине». Такое мошенничество проводится на законном административном уровне. С чем бы мы ни имели дело – с чеками, кредитными картами, дорожными чеками и чем угодно еще, – всегда найдутся люди, не желающие платить по счетам и утверждающие, что они не расходовали этих денег.
• Можно договориться с кем-нибудь о том, что он заявит о похищении своей карты, и получить ее дубликат. Такого рода жульничества также распространены во многих сферах и не ограничиваются системой Plasticash.
Виды мошенничества, доступные лишь продавцам:
• Принять платеж и отказаться передать покупку. Защита карты не будет препятствием для такого обмана, предотвратить его можно лишь с помощью административных мер и установленных законом процедур.
• Получить доступ к карте покупателя и произвести серию несомненно действительных переводов на свой банковский счет. Это очевидный способ мошенничества. Преступник попытается перевести деньги и затем быстренько снять их со счета.
• Повторить перевод денег. Продавец может каким-либо способом сделать так, что покупатель заплатит двойную цену.
Наконец, мошенничества, доступные банкам:
• Отказаться перевести в Plasticash сумму, которую внес клиент. Противодействовать этому можно только с помощью административных мер и регистрации банковских операций: клиент сумеет доказать незаинтересованной третьей стороне, что его обманули, если будет правильно организовано ведение записей.
• Прикарманить деньги, переведенные клиентом с Plasticash для занесения на его счет. Иначе как административными методами противодействовать этому нельзя.
Все эти мошенничества могут совершаться также в сговоре двух (или трех) сторон. Трудно представить какой-либо другой вид надувательства, которое могут совершить вместе покупатель с продавцом, но в зависимости от степени защищенности системы вероятны такие виды преступлений, которые будут успешны, если они действуют сообща, и обречены на провал при попытке осуществить их в одиночку. Кроме того, нетрудно представить себе преступления, совершаемые людьми, прикидывающимися обслуживающими терминал лицами или телефонистами.
Второй вид преступлений представляет собой ложное обвинение (клевету или шантаж). Их способны совершить как покупатель, так и продавец:
• Покупатель может заявить, что у продавца недействительная карта Plasticash (или неправильно функционирует терминал). То же самое может заявить и продавец относительно карты покупателя. Это мошенничество следует пресекать административными мерами.
Также вероятен шантаж со стороны банка:
• Можно подделать карту клиента (или продавца) и выдвинуть против него ложное обвинение. Весьма правдоподобно, что если банк выпускает карты, то для него не проблема и подделывать их. Приятно ли будет клиенту узнать, что в его карте числятся расходы на проституток?
Третий вид преступлений – это нарушение тайны частной жизни. Это происходит, когда кто-либо сообщает третьей стороне конфиденциальную информацию о некотором лице без его согласия. В зависимости от местного законодательства такие действия не везде считаются преступлением. Если разработчики Plasticash хотят, чтобы система распространилась по всему миру, имеет смысл составить перечень этих действий и не обращать на них внимания, если они считаются законными (и не причиняют никому вреда).
До тех пор пока система не станет обладать средствами для предотвращения нарушения тайны частной жизни, банки будут иметь неограниченные возможности для получения информации о расходах клиентов. («Я знаю, что Вы приобрели прошлым летом».) Этого можно избежать в некоторых случаях (но только в некоторых), если клиенты будут приобретать карты с фиксированной суммой денег на них, аналогично некоторым телефонным картам с предоплатой.