SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Безопасность переводов и оплаты товаров через СБП. Часть 2

Безопасность переводов и оплаты товаров через СБП. Часть 2
14.06.2022

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В предыдущей статье мы рассмотрели, как проводятся переводы через Систему быстрых платежей Банка России (СБП) между физическими лицами и разобрали основные подходы, обеспечивающие безопасность.


Во второй части разберем оплату товаров, так называемые C2B переводы через СБП в пользу юридических лиц – торгово-сервисных предприятий.


Данный тип платежей в своей основе имеет те же переводы между физическими лицами (С2С СБП), которые фактически выполняются между банками по счетам. И соответствующие преимущества: моментальную скорость получения денег ТСП, отсутствие обеспечительных платежей со стороны банков в сторону карточных платежных систем, сниженные затраты на сам перевод, а также более простое внедрение оплаты по СБП (в том числе, в части обеспечения информационной безопасности). Есть и еще одна особенность - оплата товаров через СБП исключает наличие такой популярной услуги как кэшбек, так как банк плательщика не получает за перевод премию со стороны платежной системы (это механизм поощрения трат, когда банк получателя платит определенный процент платежной системе, а она часть их этих средств передает банку плательщика).


В настоящее время фактически большинство населения РФ имеет смартфоны с камерой и подключение к сети интернет через мобильного оператора, что создало возможности для оплаты с инициализацией со стороны клиента, а не со стороны ТСП (как в случае с оплатой с помощью пластиковой карты). Такая схема перекладывает часть издержек с ТСП и их банков на сторону клиента (банка клиента).


Все перечисленные выше факторы и особенности технологии заложили успех. Активно оплату через СБП продвигают сами ТСП, которые даже предлагают скидки (по сути, это размер экономии на отказе от карточного эквайринга) клиентам в случае оплаты через СБП. Некоторые сложности возникают из-за непривычности для покупателей такого способа оплаты и наличие уже существующих способов. Ввиду последних событий, из-за санкций в Российской Федерации образовался дефицит банковского «пластика», что ускорит переход клиентов на использование для оплаты товаров мобильных устройств.


Рис. 1. Динамика использования населением СБП для оплаты покупок


Рис. 2. Динамика внедрения в ТСП оплаты через СБП


Рассмотрим процесс оплаты товаров через СБП. Стороны взаимодействия уже знакомы вам по первой статье, но при этом в качестве получателя денежных средств уже не физическое лицо, а ТСП:

  • Расчетный центр Платежной системы Банка России.
  • Операционный платежный и клиринговый центр.
    К уже ранее описанным в первой статье функциям на ОПКЦ ложится задача регистрации запросов на оплату и выдачи идентификаторов (ниже опишем подробнее).
  • Банки и их клиенты (сторона плательщика).
  • Банки, Агенты ТСП. Агенты ТСП фактически отвечают за общение между ТСП и ОПКЦ в целях обеспечения информационного обмена, например, для генерации QR кодов, передачи статуса оплаты и т.д. Но в подавляющем большинстве случаем эту роль совмещают Банки ТСП.
  • ТСП – продавцы товаров и услуг, конечные получатели денежных средств.


Глобально, процесс оплаты состоит из:

  • Нефинансовых операций:
    • регистрация ТСП в СБП
    • формирование QR-кода или ссылки
    • уведомление
    • оформление подписок и запросов на оплату по подписке

  • Финансовых операций
    • оплата по QR наклейке (статический QR)
    • оплата по QR на кассе (динамический QR)
    • оплата мгновенного счета (по ссылке)
    • оплата по подписке


Технически, почти все виды оплат построены на передаче некоторого id заранее зарегистрированного счета (запроса) на оплату. Классические переводы с помощью QR кодов - это переводы по раскодированным из QR кодов реквизитам, и в данном случае СБП - намного более технологичный и безопасный способ оплаты, исключающий какие-либо возможности подмены реквизитов в платежном QR или ссылке. Более того, QR (В СБП используется формат двухмерного QR-кода (ISO/IEC 18004-2015) фактически кодирует ссылку с данным id, которую можно непосредственно передавать в браузере на мобильном устройстве (как раз оплата мгновенного счета на сайте нажатием на кнопку-ссылку, который технологически не отличается от оплаты по динамическому QR), а также с помощью беспроводных технологий, например, с помощью NFC.


Функциональная ссылка СБП (которая в том числе кодируется QR кодом СБП) представляет собой URL следующего формата:


где:

Параметр

Описание

Обязательность

Формат

HOST

qr.nspk.ru - для QR_TYPE = 01 и 02;
sub.nspk.ru - для QR_TYPE = 03

Да

String

QR_ID

Идентификатор зарегистрированной Функциональной ссылки СБП

Да

String-32

QR_TYPE

Тип Функциональной ссылки СБП:
01 - QR-Static;
02 - QR-Dynamic;
03 - QR-Subscription.

Да

String-2 цифры

MEMBER_ID

Идентификатор Банка Получателя

Да

String 12 символов

SUM

Сумма операции в копейках

Да, если QR_TYPE = 02;
Отсутствует, если QR_TYPE = 03

String 1...12 цифр

CUR

Валюта операции

Да, если присутствует SUM

String 3 символа

CRC

Значение контрольной суммы

Да

String 4 символа



Примеры ссылок:


Теперь рассмотрим 2 основных процесса оплаты статическим и динамическим QR кодом.


Статический QR наиболее удобен к использованию, когда у продавца нет специализированных средств автоматизации – достаточно сделать себе QR код и расклеить, чтобы клиент мог сосканировать его с прилавка и самостоятельно со слов продавца ввести сумму оплаты.

Рис. 3. Процесс оплаты по QR-наклейке


Отметим ключевые особенности процесса оплаты:

  • Шаги с 2 по 9.1 осуществляются по уже существующим защищенным банковским каналам. Процесс почти повторяет оплату C2C и выполняет ряд требований нормативных актов Банка России, рассмотренных в предыдущей статье.
  • Шаг 1 на первый взгляд несет риски подмены наклейки, но эти риски минимизированы:
    • проверкой на шаге 3 реквизитов получателя;
    • строгой процедурой проверки ТСП, которые хотят принимать оплаты с помощью QR кодов;
    • оповещением ТСП о получении оплаты.


Даже если злоумышленник сможет пройти процедуру проверки своего «подставного» ТСП, подменить QR код на свой и сподвигнуть покупателя провести оплату, то это может произойти только единожды и будет моментально обнаружено, что скорее всего не даст мошеннику возможности (времени) вывести/обналичить похищенные средства.


Свои особенности есть и у процесса оплаты по динамическому QR – данный способ наиболее применим при оплатах на кассах, где есть специализированное ПО для автоматизированного просчета стоимости всего заказа и формирования QR кода с соответствующей суммой.

Рис. 4. Процесс оплаты по динамическому QR на кассе.


Отметим ключевые особенности процесса оплаты:

  • Шаги 1-2 осуществляются для подачи по сути заявки на оплату определенной суммы в пользу ТСП-инициатора. Данный запрос передается защищенным способом, со взаимной аутентификацией участников обмена информацией, с применением ряда технологических проверок (например, сверкой идентификаторов аутентифицированного источника запроса и его прикладных идентификаторов в самом запросе) на каждом этапе. При этом, напомним, ТСП проходит специальную процедуру отбора, содержащую в том числе процедуры проверки качества обеспечения информационной безопасности. В случае успешного прохождения всех процедур ТСП получает платежную ссылку в виде текста и/или QR кода (рис. 5). Кстати, QR код может формировать уже кассовое оборудование на основе ссылки.
  • Шаги 3 – 10.2 аналогичны шагам при оплате по статическому QR коду. Чаще всего роль Агента ТСП выполняет сам банк ТСП. Агенты ТСП это некоторая сущность, которая берет на себя операции по регистрации QR и передаче ТСП. Роль Агента ТСП достаточно удобна для производителей и операторов услуг по организации кассового обслуживания в магазинах.
  • Шаг 11 — это оповещение ТСП о получении по ранее сформированному QR коду оплаты от покупателя.



Рис. 5. Пример QR кода СБП


Если внимательно посмотреть на схему проведения платежа, то можно отметить, что в незащищенном взаимодействии между ТСП и клиентом не передается никакая чувствительная информация, и риски в целом аналогичны оплатам по статическому QR. Разве что появляется риск взлома инфраструктуры Агента ТСП и самого ТСП. Однако взлом все равно будет направлен на подмену QR от другого проверенного ТСП, вероятность чего минимальна, а в случае успешной реализации подмена достаточно быстро будет обнаружена. Ещё возможны сценарии изменения суммы платежа при взломе инфраструктуры ТСП или Агента ТСП и внесения изменений в запросы на регистрацию QR - для нанесения репутационного ущерба (например, завышение суммы оплаты) или материального (занижение суммы). Но все эти риски почти невероятны к реализации, и злоумышленникам гораздо интереснее будет реализовать другие риски, не связанные с процессом оплаты через СБП.


Также не надо забывать про постоянный мониторинг операций в ОПКЦ, обработку аномальных событий, систему антифродовых мер по оценке рисков мошенничества, требования к проверке исходных кодов прикладного ПО и прочие механизмы обеспечения безопасности платежей СБП, описанные в предыдущей статье.


Подводя итоги, можно смело утверждать, что в плане защиты СБП намного безопаснее оплат с применением классических QR кодов с зашитыми реквизитами перевода. СБП очень технологична и обладает огромным потенциалом к развитию.

Подкасты ИБ Управление ИТ-активами Управление ИБ Финансы в ИБ СЗИ ГОСТы и документы ИБ

Рекомендуем

Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Динамические плейбуки
Динамические плейбуки

Рекомендуем

Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Динамические плейбуки
Динамические плейбуки

Похожие статьи

Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Пентесты
Пентесты

Похожие статьи

Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Что такое снифферы и как они используются
Что такое снифферы и как они используются
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Пентесты
Пентесты