Журнал "Information Security/ Информационная безопасность" #4, 2018

Предоплаченная карта – платежная карта, предостав- ляемая клиенту оператором электронных денежных средств, используемая для перевода электронных денежных средств, а также для осуществления иных операций (см.: Федеральный закон от 27.06.2011 № 161- ФЗ (ред. от 18.07.2017) "О национальной платежной системе" // Российская газе- та, № 139, 30.06.2011). Персональные данные – любая информация, относя- щаяся к прямо или косвенно определенному или опреде- ляемому физическому лицу (субъекту персональных данных) (см.: Федеральный закон от 27.07.2006 № 152- ФЗ (ред. от 29.07.2017) "О персональных данных" // Российская газета, № 165, 29.07.2006). Банк-эквайрер (англ. bank acquirer) – обслужи- вающий банк, который при- нимает данные о транзак- циях от фирм – акцептантов платежных карточек, направляет их в соответ- ствующую информационную систему взаимообмена, а также осуществляет рас- четы по этим транзакциям с обслуживаемыми им фир- мами-акцептантами (см.: Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономиче- ский словарь. – 6-е изд., перераб. и доп. – М.: ИНФРА-М, 2011). щают бизнес от необоснован- ных претензий со стороны вла- дельцев карт. Так, платеж, совершенный с вводом 3D- Secure, приравнивается к опе- рации с вводом PIN-кода и не поддается оспариванию, если услуги были предоставлены плательщику в полной мере. Так, Мотовилихинским рай- онным судом г. Перми установ- лено, что в связи с тем, что операции были подтверждены вводом динамических паролей 3D Secure и от имени истца давались распоряжения в спор- ный период, банк не имел осно- ваний для отказа в проведении операций, не имел права уста- навливать не предусмотренные договором ограничения права распоряжаться денежными средствами по своему усмот- рению и, таким образом, при- остановить операции по карте. При проведении операций рас- поряжение об их проведении было дано уполномоченным лицом, то есть оно было санк- ционировано, и в соответствии с условиями договора и требо- ваниями ст. 848, 854 ГК РФ банк был обязан совершать ука- занные денежные операции по запросу держателя карты, пред- усмотренные для счета данного вида, а поэтому оснований для отказа в совершении операций не было 18 . Мошенничество в отношении физических лиц – покупателей 1. Для осуществления обще- ственно опасного действия, направленного на хищение чужих денежных средств и пер- сональных данных предопла- ченных карт, злоумышленника- ми создаются сайты-двойники платежной страницы PayPal, ввод персональных данных кли- ентом осуществляется непо- средственно на сайте интернет- магазина через технологиче- ское решение 19 – платежную страницу, с которой непосред- ственно и происходит списание денежных средств покупателя, а также реквизитов предопла- ченной карты, выбранной для оплаты. Доставка оплаченного товара не происходит. 2. Сотрудник интернет-мага- зина, пользуясь имеющимися в базе данных реквизитами пла- тежных карт и персональными данными лиц, осуществлявших покупки, "переадресует" их на защищенную форму оплаты процессингового центра Pay- Online. Банк-эквайрер прове- ряет предоплатную карту, спи- сывает с нее средства, без ведома держателя карты. За перевод денег банк взимает с компании определенный про- цент. Товар остается в интер- нет-магазине, средства зачис- ляются на счет организации. 3. Интернет-магазин откры- вается на непродолжительное время для получения предопла- ты за несуществующий товар по "выгодной цене", каталоги продукции незаконно заимствуются на других интер- нет-площадках, после получе- ния предоплаты, покупатели товар не получают, магазин исчезает. Существует еще разновид- ность указанного способа, когда после предоплаты покупателю доставляется товар несоответ- ствующего качества. Мошенничество, совершенное третьим лицом в отношении интернет-магазина, а также лица, когда-либо пользовавшегося услугами электронной коммерции 1. Сотрудник интернет-мага- зина заранее вступил в сговор с работниками сферы электрон- ной коммерции с целью полу- чения реквизитов и срока год- ности законных держателей платежных карт. Потенциальный покупатель вступает в контакт с предста- вителем продавца, выбирает понравившийся товар с усло- вием оплаты курьеру наличны- ми денежными средствами, непосредственно после получе- ния товара. Представитель про- давца (без ведома покупателя) использует личные данные ука- занного покупателя, а также полученные незаконным спосо- бом реквизиты платежной карты третьего лица для покуп- ки товара на так называемом законном Web-сайте. После доставки товара покупатель расплачивается за покупку с курьером. В результате указанных дей- ствий пострадавших двое: интернет-магазин, отправивший товар на основании незаконного использования платежной карты, и законный держатель платежной карты, за счет средств которой осуществлена оплата товара. 2. Создание "пирамид" для мошенничества в сфере элек- тронной коммерции. Так, сотрудниками УБЭП ГУВД Самарской области в августе 2002 г. пресечена деятельность преступного сообщества по организации так называемой финансовой пирамиды. Алгоритм мошеннических действий предполагал поиск посредством сети Интернет держателей платежных карт, которым предлагалось внести первоначальный взнос в раз- мере $199 на их банковские платежные карты. В дальней- шем виртуально на счета ука- занных карт злоумышленники начисляли значительные денежные средства, предна- значенные для покупок несу- ществующего товара в интер- нет-магазине. После этого про- изводилась отмена всех опе- раций, денежные средства с платежных карт привлечен- ных граждан снимались, а ком- пания-организатор исчезала, похитив и личные средства держателей карт, потраченные на покупку недоставленного товара 20 . • 27 ТЕХНОЛОГИИ www.itsec.ru 18 См.: дело № 2–3227/2017, Архив Мотовилихинского районного суда г. Перми. 19 При использовании информационных технологий операторами услуг платежной инфраструктуры соблюдаются требования к обеспечению защиты информации при осуществлении переводов денежных средств, установленные положением Банка России от 9 июня 2012 г. № 382-П “О требованиях к обес- печению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осу- ществлении переводов денежных средств", зарегистрированным Министерством юстиции Российской Федерации 14 июня 2012 г. № 24575, 1 июля 2013 г. № 28930 (Вестник Банка России от 22 июня 2012 г. № 32, от 10 июля 2013 г. № 37). 20 См.: Ларичев В.Д., Орлова Е.А. Характеристика мошеннических действий, совершаемых по принципу финансовых пирамид // Адвокат. – 2004. – № 7. Ваше мнение и вопросы присылайте по адресу is@groteck.ru