RU2507588C2 - Способ повышения безопасности автоматизированной платежной системы - Google Patents
Способ повышения безопасности автоматизированной платежной системы Download PDFInfo
- Publication number
- RU2507588C2 RU2507588C2 RU2012110683/08A RU2012110683A RU2507588C2 RU 2507588 C2 RU2507588 C2 RU 2507588C2 RU 2012110683/08 A RU2012110683/08 A RU 2012110683/08A RU 2012110683 A RU2012110683 A RU 2012110683A RU 2507588 C2 RU2507588 C2 RU 2507588C2
- Authority
- RU
- Russia
- Prior art keywords
- card
- bank
- pin
- atm
- pin code
- Prior art date
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Настоящее изобретение относится к безопасности автоматизированных платежных систем. Техническим результатом заявляемого изобретения является повышение безопасности банковских операций, снижение количества подделок банковских пластиковых карт. Предложен способ безопасного проведения финансовых операций на платежном терминале самообслуживания автоматизированной платежной системы за счет изменения системой PIN-кода банковской карты после каждого пользования ею. Банкомат выдает пользователю новый PIN-код, сформированный системой и напечатанный внутри закрытого PIN-конверта, сохраняющего конфиденциальность получаемых данных. Возможна загрузка в банкомат сформированного пакета конвертов с предварительно напечатанными кодами, данные о которых хранятся в системе, при выдаче очередного конверта система присваивает находящийся в нем код данной пластиковой карте. Одноразовый PIN-код не требуется запоминать, поэтому он может иметь больше знаков, каждый из которых повышает безопасность на порядок.
Description
Настоящее изобретение относится к области банковского оборудования, в частности к безопасности автоматизированных платежных систем.
Известны носители данных, которые служат для проведения платежных транзакций. Широко распространены, например, банковские карты с магнитной полосой или микросхемой памяти в качестве среды хранения данных. Заменяя собой наличные деньги, пластиковая банковская карта является удобной возможностью управления счетом, пользователи все чаще отдают предпочтение этому доступному современному способу хранения денежных средств и проведения финансовых операций. В настоящее время в мире насчитывается свыше миллиарда банковских карт. Как финансовый инструмент, карты постоянно совершенствуются, растет сфера их использования, расширяется перечень услуг по их применению.
Использование банкомата - платежного терминала, предназначенного для самостоятельного совершения клиентом операций с банковскими картами для снятия и пополнения наличности, оплаты счетов, товаров и услуг, перевода средств с одного банковского счета на другой, погашения кредитов, уплаты налогов и штрафов, получения информации об остатке средств на счетах и т.п. предоставляет существенные удобства для потребителя.
Платежный терминал, связанный с главной банковской системой по защищенным каналам связи или с использованием способов и устройств защиты передаваемой информации, оснащен компьютером, содержащим необходимое программное обеспечение, к которому подключены устройства ввода-вывода, такие как сенсорный монитор, печатающий механизм, клавиатура, устройство для работы с пластиковыми банковскими картами, сканер штрих-кодов, купюроприемник и пр. Доступ к каналам связи, используемым для передачи сообщений о кредитных картах и финансовых операциях с банковскими аппаратами, ограничен. Это необходимо для предотвращения незаконных попыток проникнуть в счета пользователей.
В описании данного изобретения под терминами "банкомат", "автоматический платежный терминал " или "автоматизированный банковский аппарат" подразумеваются устройства, обеспечивающие выполнение банковских операций без участия работника банка.
Обычно банковские карты имеют идентификационное значение, напечатанное на карте, и идентификационное значение, отличающееся от напечатанного, сохраненное на магнитной полосе. Однако традиционное статичное идентификационное значение, напечатанное или сохраненное на магнитной полосе, увеличивает риск мошенничества, т.к. в случае получения информации о счете и напечатанном идентификационном значении злоумышленник будет иметь всю информацию, необходимую для изготовления дубликата карты.
Одним из способов снижения риска мошенничества является использование карт с микропроцессором или встроенной интегральной схемой, которые включают в себя внутренние функциональные возможности для генерирования динамических идентификационных значений. Технология карт с микропроцессором использует схемы цифровой подписи на основе криптосистем с открытым ключом, как, например, представлено в патентах ЕР 1152378 (А2) от 07.11.2001, G07F19/00, G07F7/10 и RU 2258256 С2 от 10.08.2005, G06F17/60, G07F19/00. Подобный подход является слишком затратным, т.к. он требует карт и терминалов, способных выполнять криптографические операции, и системы управления открытыми ключами. Более того, этот подход требует дорогостоящей модификации или дополнений к существующей инфраструктуре платежной сети, т.к. последняя разрабатывалась для обработки карт с магнитной полосой. Современная система безопасности автоматизированных платежных систем представляет собой определенный компромисс между достаточной безопасностью и излишним усложнением системы.
Банкомат посредством устройства считывания определяет номер финансового счета, соответствующего карте, и при подтверждении регистрации выдает клиенту запрос личного идентификационного номера (PIN-кода), используемого для подтверждения подлинности права собственности на карту. Посредством устройства ввода данных пользователь вводит соответствующий карте PIN-код, выданный ему при регистрации как участнику данной платежной системы. При вводе PIN-кода или других данных, которые не должны отображаться на мониторе, прикладная система услуг финансовых операций запоминает данные, введенные клиентом, и посылает в браузер через программу отображения клавиатуры только сигнал, который представляет символ запоминания, например, символ «*».
PIN-код - личный опознавательный номер, состоящий обычно из четырех цифр, с помощью которого производится авторизация держателя карты, используется как пароль доступа владельца карты к счету. PIN-код защищает карту от несанкционированного использования, являясь аналогом собственноручной подписи клиента при совершении операций с использованием карты. Подразумевается, что PIN-код банковской карты известен только ее владельцу, поэтому операции, подтвержденные PIN-кодом, считаются выполненными держателем карты. Банковский договор предусматривает полную ответственность клиента за операции, подтвержденные PIN-кодом.
PIN-код для банковских карт генерируется автоматически. Одновременно происходит печать PIN-конверта, который представляет собой предварительно заклеенную заготовку, состоящую из нескольких слоев самокопирующейся бумаги. Цифры PIN-кода печатаются внутри уже закрытого конверта. После печати память компьютера очищается, чтобы исключить возможность утечки конфиденциальных данных. PIN-код однозначно соответствует идентификационным данным банковской карты (http://lubyanka-shield.ru/2011 /09/pin-kod-plastikovyih-kart-mozhno-ukrast-na-rasstoyanii/).
Банкомат проверяет подлинность введенного PIN-кода посредством обмена информацией с главной банковской системой, хранящей индивидуальные базы данных пользователей, удостоверяясь, что этот PIN-код соответствует подлинному, который был ранее поставлен в соответствие номеру финансового счета.
Если PIN-код не соответствует идентификационным данным, считанным с банковской карты, удаленная система передает компьютеру банкомата сообщение о нарушении. При получении такого сообщения компьютер выдает соответствующую сложившейся ситуации команду, например, заблокировать банковскую карту для предотвращения мошенничества или незаконных попыток проникнуть в сеть или в счета пользователей.
Известны способы идентификации пользователя, представленные в патентах GB 2317983 (А) от 08.04.1998, G06F15/00, G06F17/00, G06F21/00, G06F21/20, G06Q10/00, G06Q20/00, G06Q40/00, G07F7/10, G09C1/00, H04L29/06, H04L9/32; RU 2158962 С2 от ЮЛ 1.2000, G07G1/00, G07F7/08; FR 2819067 (А1) от 05.07.2002, G06F21/00, G07C9/00, G07F19/00, G07F7/10; RU 2258256 С2 от 10.08.2005, G06F17/60, G07F19/00.
Более широкому распространению пластиковых карт препятствуют сомнения пользователей в сохранности своих средств из-за имеющихся случаев их хищения. В последние годы одновременно с развитием сети банкоматов растет количество случаев мошенничества с неправомерным использованием банкоматов для похищения денежных средств со счетов держателей пластиковых карт. В связи с увеличением объемов операций банковские пластиковые карты подвергаются многочисленным противоправным действиям. Подделка пластиковых карт - наиболее распространенный вид мошенничества в этой сфере, из оборота постоянно изымаются такие карты.
Существуют различные способы неправомерного завладения средствами с чужого карточного счета с помощью банкоматов:
- использование украденной карты и PIN-кода;
- копирование магнитной полосы с помощью подставных устройств считывания, монтируемых на банкомате;
- накладка на клавиатуру, запоминающая все нажатые владельцем карты при пользовании банкоматом клавиши, в том числе и PIN-код;
- установка рядом с банкоматом микрокамер для похищения PIN-кодов. Такая камера может быть замаскирована прикреплённым к банкомату или стене рядом с ним предметом.
Нередко в сговор с мошенниками вступают люди, имеющие доступ к пластиковым картам по долгу службы - недобросовестные работники банков и торгово-сервисных предприятий. Они негласно копируют информацию с магнитной полосы карты и записывают PIN-код при вводе его клиентом. Иногда даже не нужно прикладывать лишних усилий - в Интернете достаточно предложений о продаже реквизитов кредитных карт и фиксированных кодов доступа к ним.
Число атак мошенников, выманивающих пароли у клиентов банков, постоянно растет. Одной из разработок мошенников стал вирус, который отслеживает производимые операции и похищает информацию с пластиковых карт.
Масштабы банкоматного мошенничества в мире сейчас очень велики. Растущее число преступлений в этой сфере подрывает авторитет банковских карт, как надежного финансового инструмента. Наиболее распространенными видами махинаций с пластиковыми картами являются дублирование карты, заказ товаров и услуг по Интернету с использованием похищенных данных платежной карты, использование чужого банковского счета карты лицом, получившим доступ к этому счету незаконным путем, применение похищенных реквизитов карты для транзакций в виртуальной среде, создание фиктивных WEB-сайтов для обмана держателей карт и сбора данных о владельцах платежных карт, получение информации о реквизитах карт через взлом баз данных.
Для завладения чужим PIN-кодом мошенники подглядывают из-за плеча владельца банковской карты, когда тот вводит код в банкомат, в том числе и с помощью микрокамеры, применяют накладки на клавиатуры, копируют данные карты при осуществлении покупок с вводом PIN-кода в торговых организациях.
Появился новый способ неправомерного завладения чужим PIN-кодом. На кнопки банкомата направляется инфракрасная камера тепловизора, измеряющая температуру на панели клавиатуры банкомата. По остаточной от пальцев владельца карты температуре нажатых кнопок выявляется последовательность цифр кода (http://www.rbcdaily.ru/2011/09/02/cnews/562949981387863; http://infox.ru/hi-tech/tech/2011/08/18/Tyerrnalnyyye_kamyeryj>rint.phtrnl; http://lubyanka-shield.ru/2011/09/pin-kod-plastikovyih-kart-mozhno-ukrast-na-rasstoyanii/).
Зная данные карты и PIN-код, злоумышленник получает неограниченный доступ к электронному счету клиента, имея возможность снять денежные средства с карты и банковского счета пользователя. У мошенников появляются данные, необходимые для изготовления поддельной карты и использования ее в своих целях. Иногда даже не нужно изготавливать дубликат карты, зная ее данные, мошенники могут получать различные товары и услуги по Интернету.
При работе с банкоматом рекомендуется соблюдать правила безопасности:
- снимая деньги в одном и том же банкомате, нужно запомнить его внешний вид, в частности поверхность над клавиатурой и устройство для приема карты в банкомат, здесь не должно находиться прикрепленных посторонних предметов;
- при наборе PIN-кода нужно прикрывать клавиатуру свободной рукой, чтобы никто не мог его подсмотреть. Различные предметы около экрана могут являться маскировкой для скрытой микрокамеры;
- в случае подозрения, что кто-то мог скопировать данные карты или узнать PIN-код, необходимо ее немедленно заблокировать;
- покушения на хищение конфиденциальных данных наиболее часты там, где можно это сделать скрытно, где нет обслуживающего персонала, поэтому снимать деньги лучше в банкоматах, которые расположены в помещениях банка, либо рядом с ними на территории, просматриваемой видеокамерами служб безопасности банков;
- расплачиваясь в магазине или ресторане, нельзя выпускать карту из виду, иначе с нее могут снять копию;
- если требуется усилие для погружения карты в отверстие банкомата, или банкомат работает не так, как обычно, лучше воспользоваться другим аппаратом.
Но даже полное соблюдение всех вышеуказанных рекомендаций не гарантирует безопасности при пользовании банковской картой. Иногда от внимательности, осторожности и предусмотрительности пользователя ничего не зависит. Хакеры научились расшифровывать PIN-коды, передаваемые в зашифрованном виде от банкомата в банк назначения, скрытно подключаясь к каналам связи (http://habrahabr.ru/blogs/infosecurity/57454/).
Простое подглядывание из-за плеча, с помощью микрокамеры или тепловизора, другие способы завладения чужим PIN-кодом позволяют мошеннику заполучить фиксированный PIN-код в момент его ввода владельцем с клавиатуры банкомата.
Заявляемым изобретением разработан способ безопасной работы на платежном терминале самообслуживания автоматизированной платежной системы за счет изменения системой PIN-кода банковской карты при каждом выходе из нее. Банкомат выдает пользователю новый PIN-код, сформированный системой и напечатанный внутри закрытого PIN-конверта, сохраняющего конфиденциальность получаемых данных даже при наличии видеосъемки, задачей владельца карты остается только хранение PIN-кода отдельно от карты.
Во избежание перехвата PIN-кода при его передаче по каналам связи, возможна загрузка в банкомат сформированного пакета конвертов с предварительно напечатанными кодами, данные о которых хранятся в системе. При выдаче очередного конверта система присваивает находящийся в нем код данной пластиковой карте. Возможна передача системой нового PIN-кода не на бумажном носителе, а посредством мобильной связи (SMS - сообщение), а также возможен выбор клиентом наиболее удобного для себя способа.
Злоумышленник завладевает PIN-кодом, являвшимся актуальным на момент входа пользователя в систему, но уже утратившим силу. Мошенник каждый раз будет опаздывать на один шаг и получать бесполезный PIN-код, с которым невозможно войти в систему. Попытка воспользоваться этим PIN-кодом будет неудачной, к тому моменту данной карте уже будет соответствовать новый PIN-код. Дополнительные препятствия затруднят использование поддельных карт, поэтому подделка пластиковых карт, которыми будет невозможно воспользоваться в противоправных действиях, станет нерентабельной. В случае попытки воспользоваться данными пластиковой карты со старым PIN-кодом карта блокируется, в правоохранительные органы подается соответствующий сигнал о попытке взлома, а лицо или изображение покупателя для возможного привлечения к ответственности автоматически записывается, как предложено в патенте RU 2158962 С2 от 10.11.2000, G07G1/00, G07F7/08.
Наиболее близким по технической сущности к заявляемому изобретению является патент RU 2385233 С1 от 27.03.2010, B42D15/10, G07F19/00, H04W12/00, повышающий защищенность системы за счет использования для входа в систему разных PIN-кодов для одной карты. Недостатком такого способа смены PIN-кода является необходимость постоянного хранения обеими сторонами таблицы PIN-кодов.
Таким образом, похищение и использование конфиденциальной информации с помощью каких-либо дополнительных приспособлений на банкомате становится бессмысленным. Даже если злоумышленнику и удалось заполучить PIN-код, это ему не поможет при попытке хищения денежных средств со счета, т.к. к следующему входу в систему комбинация изменится.
Предлагаемый способ решает задачу повышения надежности защиты передаваемой информации от несанкционированного использования. Отпадает необходимость прикрывать рукой клавиатуру при введении PIN-кода, проверять, не прикреплены ли к банкомату какие-либо дополнительные устройства и т.п., ведь подглядывание и копирование PIN-кода теряет смысл. Одноразовый PIN-код не требуется запоминать, поэтому он может иметь больше знаков, каждый из которых повышает безопасность на порядок.
Одним из воплощений заявляемого изобретения является вариант, при котором PIN-код меняется не при каждом выходе из системы, а только при положительном ответе пользователя на запрос, желает ли он в целях повышения безопасности заменить PIN-код.
Техническим результатом заявляемого изобретения является повышение безопасности банковских операций, снижение количества подделок банковских пластиковых карт.
Заявленный технический результат достигается за счет:
- изменения PIN-кода банковской карты при каждом выходе из системы;
- устранения необходимости прикрывать рукой клавиатуру при введении PIN-кода, проверять, не прикреплены ли к банкомату какие-либо дополнительные устройства;
- одноразовый PIN-код не требуется запоминать, поэтому он может иметь больше знаков, каждый из которых повышает безопасность на порядок.
Способ повышения безопасности банковских операций заключается в том, что предусматривается изменение PIN-кода банковской карты при каждом выходе из системы.
Новыми существенными признаками заявляемого изобретения являются:
- повышение безопасности банковских операций;
- снижение количества подделок банковских пластиковых карт;
- изменение PIN-кода банковской карты при каждом выходе из системы;
- устранение необходимости прикрывать рукой клавиатуру при введении PIN-кода, проверять, не прикреплены ли к банкомату какие-либо дополнительные устройства.
Данное описание не ограничивает объема изобретения и предназначено для достаточного раскрытия информации, является примером осуществления изобретения, и хотя выше были представлены предпочтительные варианты его выполнения, следует понимать, что настоящее изобретение не ограничивается вариантами и модификациями, приведенными здесь. Специалист в данной области техники может предусмотреть внесение многочисленных изменений и дополнений формы и деталей в соответствии с раскрытой здесь информацией, а также другие варианты воплощения настоящего изобретения без отхода от сущности и объема изобретения, определяемого его формулой. В частности, следует понимать, что любые устройства, обеспечивающие выполнение банковских операций без участия работника банка, определяются настоящим изобретением в соответствии с его формулой, и все вышеупомянутые структурные элементы могут быть использованы в комбинации или отдельно для достижения всех или некоторых преимуществ изобретения.
Сравнение заявленного технического решения с уровнем техники по научно-технической и патентной документации на дату приоритета в основной и смежных рубриках показывает, что совокупность существенных признаков заявленного решения не была известна, следовательно, оно соответствует условию патентоспособности «новизна».
Анализ известных технических решений в данной области техники показал, что предложенный способ имеет признаки, которые отсутствуют в известных технических решениях, а использование их в заявленной совокупности признаков дает возможность получить новый технический эффект, следовательно, предложенное техническое решение имеет изобретательский уровень по сравнению с существующим уровнем техники.
Предложенное техническое решение промышленно применимо, т.к. может быть изготовлено промышленным способом, работоспособно, осуществимо, воспроизводимо, следовательно, соответствует условию патентоспособности «промышленная применимость».
Claims (1)
- Способ повышения безопасности автоматизированной платежной системы при самостоятельном проведении клиентом финансовых операций посредством платежного банковского терминала самообслуживания с помощью пластиковой банковской карты, отличающийся тем, что соотносимый данной карте PIN-код изменяется системой после каждого пользования ею, банкомат выдает пользователю новый PIN-код, сформированный системой и напечатанный внутри закрытого PIN-конверта, сохраняющего конфиденциальность получаемых данных, возможна загрузка в банкомат сформированного пакета конвертов с предварительно напечатанными кодами, данные о которых хранятся в системе, при выдаче очередного конверта система присваивает находящийся в нем код данной пластиковой карте, одноразовый PIN-код не требуется запоминать, поэтому он может иметь больше знаков, каждый из которых повышает безопасность на порядок.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012110683/08A RU2507588C2 (ru) | 2012-03-20 | 2012-03-20 | Способ повышения безопасности автоматизированной платежной системы |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2012110683/08A RU2507588C2 (ru) | 2012-03-20 | 2012-03-20 | Способ повышения безопасности автоматизированной платежной системы |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2012110683A RU2012110683A (ru) | 2012-06-10 |
RU2507588C2 true RU2507588C2 (ru) | 2014-02-20 |
Family
ID=46679668
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2012110683/08A RU2507588C2 (ru) | 2012-03-20 | 2012-03-20 | Способ повышения безопасности автоматизированной платежной системы |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2507588C2 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2667577C1 (ru) * | 2015-07-24 | 2018-09-21 | Оки Электрик Индастри Ко., Лтд. | Устройство транзакций |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2172014C2 (ru) * | 1999-09-20 | 2001-08-10 | Ветошкин Андрей Леонидович | Способ осуществления денежных расчетов |
-
2012
- 2012-03-20 RU RU2012110683/08A patent/RU2507588C2/ru active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2172014C2 (ru) * | 1999-09-20 | 2001-08-10 | Ветошкин Андрей Леонидович | Способ осуществления денежных расчетов |
Non-Patent Citations (4)
Title |
---|
Банкомат инспектор-видеоконтроль сети банкоматов http://digitalsystem.narod.ru/bankomat.html, 18.05.2009. * |
Инструкция для обладателей карт сбербанка, http://www.e-traffic.ru/information/item/3655643, 14.10.2011. * |
Инструкция для обладателей карт сбербанка, http://www.e-traffic.ru/information/item/3655643, 14.10.2011. Как восстановить пин-код банковской карты http://www.kakprosto.ru/kak-47792-kak-vasstanovit-pin-kod-bankovskoy-karty, 2012.02.02. Банкомат инспектор-видеоконтроль сети банкоматов http://digitalsystem.narod.ru/bankomat.html, 18.05.2009. * |
Как восстановить пин-код банковской карты http://www.kakprosto.ru/kak-47792-kak-vasstanovit-pin-kod-bankovskoy-karty, 2012.02.02. * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2667577C1 (ru) * | 2015-07-24 | 2018-09-21 | Оки Электрик Индастри Ко., Лтд. | Устройство транзакций |
Also Published As
Publication number | Publication date |
---|---|
RU2012110683A (ru) | 2012-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6360101B2 (ja) | Ic識別カードを使用した支払いシステムおよび方法 | |
US10607211B2 (en) | Method for authenticating a user to a machine | |
US6816058B2 (en) | Bio-metric smart card, bio-metric smart card reader and method of use | |
US6983882B2 (en) | Personal biometric authentication and authorization device | |
KR100304774B1 (ko) | 지문식별을통한개인신분인증시스템 | |
EP2143028B1 (en) | Secure pin management | |
US6581042B2 (en) | Tokenless biometric electronic check transactions | |
AU2004252925B2 (en) | Transaction verification system | |
US20060136332A1 (en) | System and method for electronic check verification over a network | |
US20100123003A1 (en) | Method for verifying instant card issuance | |
US20140156535A1 (en) | System and method for requesting and processing pin data using a digit subset for subsequent pin authentication | |
US20100123002A1 (en) | Card printing verification system | |
US20080110982A1 (en) | Anti-crime online transaction system | |
JP2010522933A (ja) | Ic識別カードを使用する支払いシステムおよび支払い方法 | |
KR20010025234A (ko) | 지문정보를 이용한 카드거래 인증방법 및 그 시스템 | |
US20090164373A1 (en) | System and Method of Preventing Password Theft | |
AU2005242135B1 (en) | Verifying the Identity of a User by Authenticating a File | |
JP2005063077A (ja) | 個人認証方法、個人認証装置及びコネクタ | |
RU2507588C2 (ru) | Способ повышения безопасности автоматизированной платежной системы | |
US20060092476A1 (en) | Document with user authentication | |
JPH11219412A (ja) | Icカード発行システム | |
WO2005024743A1 (en) | Granting access to a system based on the use of a card having stored user data thereon | |
TWM582642U (zh) | Shared automation equipment cash deposit and withdrawal service system | |
AU2002308486A1 (en) | A bio-metric smart card, bio-metric smart card reader, and method of use |