- •Асу ресурсами предприятия.
- •8. Csrp-системы.
- •9. Стандарты и протоколы электронной коммерции obi, ofx.
- •14. Технологии эцп.
- •15. Правовое обеспечение электронной коммерции.
- •16. Этика электронной коммерции.
- •19. Отраслевые торговые площадки.
- •20. Корпоративные представительства в Интернете.
- •22. Интернет-инкубаторы
- •23. Мобильная коммерция
- •24. Торговые ряды и интернет-витрины
- •25. Интернет-магазины
- •26. Туристические компании в интернете, интернет-страхование
- •27. Интернет-трейдинг
- •28. Телеработа
- •29. Интернет-аукционы
- •30. Системы peer-to-peer
- •31. Биллинговые системы
- •32. Электронное правительство
- •33. Системы предоставления налоговой отчетности через интернет
- •34. Электронные системы государственных закупок
- •35. Понятие, методы и способы защиты от киберпреступности
- •37. Кардинг. Скиминг. Уивинг. Способы защиты
- •38. Перспективы электронной коммерции
- •39. Гис и gps технологии
- •40. Технологии радиочастотной идентификации (rfid).
- •3. По исполнению меток
35. Понятие, методы и способы защиты от киберпреступности
Согласно рекомендациям экспертов ООН, понятие киберпреступности охватывает любое преступление, которое может совершаться с помощью, в рамках или против компьютерной системы или Сети.
Компьютерное преступление как уголовноправовое понятие — это предусмотренное уголовным законом умышленное нарушение чужих прав и интересов в отношении автоматизированных систем обработки данных, совершенное во вред подлежащим правовой охране правам и интересам физических и юридических лиц, общества и государства.
Компьютерная преступность становится одним из наиболее опасных видов преступных посягательств. Согласно экспертным оценкам, она способна нанести ущерб, сопоставимый с объемом хищений произведений искусства во всем мире. По данным ООН, ущерб, наносимый компьютерными преступлениями, сопоставим с доходами от незаконного оборота наркотиков и оружия.
Компьютерная преступность имеет свою специфику. Около 90% злоупотреблений в финансовой сфере, связанных с нарушениями в области информационной безопасности, происходит при прямом или косвенном участии действующих или бывших работников финансовых компаний. При этом на преступный путь часто становятся самые квалифицированные, обладающие максимальными правами в автоматизированных системах управления категории служащих — системные администраторы и другие сотрудники служб автоматизации.
Высокий уровень киберпреступности в Интернете — сдерживающий фактор развития электронной коммерции, поскольку покупатели, торговля и банки боятся пользоваться этой технологией из-за опасности понести финансовые потери.
Мировое сообщество в полной мере осознало уровень возможных последствий распространения киберпреступности, и в связи с этим представителями государств — членов Совета Европы, а также США, Канады и Японии в ноябре 2001 г. была подписана Международная Конвенция по киберпреступности. В конвенции преступления, совершенные в информационной среде, против информационных ресурсов или с помощью информационных средств, фактически определены как киберпреступления и сформулирован примерный их перечень:
незаконный доступ в информационную среду;
нелегальный перехват информационных ресурсов;
вмешательство в информацию, содержащуюся на магнитных носителях;
вмешательство в компьютерную систему;
незаконное использование телекоммуникационного оборудования; подделка с применением компьютерных средств; мошенничество с применением компьютерных средств; преступления, относящиеся к детской порнографии; преступления, относящиеся к нарушениям авторских и смежных прав.
Самый простой вариант мошенничества — переписывание магнитной полосы (для магнитных карт), или skimming. Другим опасным видом преступлений становится интернеткардинг — хищения денежных средств с банковских карточек в Интернете.
Следующая по величине категория мошенничества связана с использованием украденых или утерянных карточек. В последние годы стабильный рост объемов мошенничества по карточкам наблюдается и в так называемой бескарточной среде (CardholderNotPresent environment), т. е. в условиях, когда трансакция осуществляется в отсутствие самой карточки. Речь идет об использовании карточек при заказе товаров или услуг по почте, телефону или в Интернете.
В целом представители APACS полагают, что рост объемов карточного мошенничества в Великобритании будет продолжаться и в ближайшие годы — до тех пор, пока не завершится процесс перехода на смарт-карты.
Хищения с использованием генерированных номеров пластиковых карт основаны на использовании программ генерации номеров пластиковых карт, которые потом используются для расчетов в интернет-магазинах.
Варианты мошеннических действий
Покупатель — ввод номера чужой карточки;
- создание картыдвойника;
- осуществление овердрафта на картсчете из-за мошеннических действий при массовых закупках по карточке ниже авторизационных лимитов в большом числе торговых точек;
- несанкционированная установка на карточку кредитного лимита, позволяющая увеличить авторизационный остаток на карточном счете с последующим снятием средств;
- несанкционированная установка в авторизационной системе специального статуса счета, позволяющая в определенных пределах снимать средства с карточки (фактически кредитный лимит);
- получение и использование товара или услуги в форме информации (ПО, аудио, видео, результаты маркетинговых исследований и т. п.) и отказ от платежа
Продавец — увеличение суммы платежа;
- запоминание полученного номера карточки и использование его для своих покупок;
- отказ от сделки
Банк — подделка трансакции
Злоумышленники, не принимающие непосредственного участия в сделке — трассирование трансакции и несанкционированный сбор информации о пользователях;
- генерация (как правило, программная) существующего номера пластиковой карты, выяснение срока ее действия и использование ее для покупок в Интернете;
- перехват данных платежа при передаче, а также “взломе” компьютерных систем продавца или банка, использование их для манипуляций с картсчетами и т. д.
Способы защиты от киберпреступности базируются на следующих основных принципах:
- получение четкой информации о личности или организации, с которой вступают в деловые отношения (полные паспортные данные, почтовый адрес физического лица, юридический адрес и банковские реквизиты организации, телефон и адрес электронной почты, расположенной не на бесплатном сервере, а у платного провайдера). Для проверки репутации американских сайтов можно посетить интернетстраницу авторитетной организации по защите прав потребителей Better Business Bureau http://www.bbbonline.org/consumer/ index.asp;
- использование электронных сертификатов и безопасных протоколов передачи данных;
- непредоставление продавцам реквизитов пластиковых карт и паспортных данных (для этого существуют биллинги и авторизационные сервера процессинговых центров);
- использование кредитных карт (в этом случае возврат денег, или чарджбэк, осуществляется значительно быстрее и проще, чем при использовании других средств платежа).
Приведем некоторые рекомендации, разработанные специагшстами Центра анализа интернетмошенничества — Internet Fraud Complaint Center на основе анализа совершенных преступлений:
- обязанности покупателя интернет-аукциона возникают только после того, как продавец выполнит свои обязательства;
- нежелательно покупать товары на сайтах, базирующихся в других странах;
- нужно уточнять у продавца, кто будет доставлять купленный товар, как, когда и каким образом можно будет вернуть непонравившийся или бракованный товар, кто оплачивает его пересылку;?
Способы защиты от мошенничества при использовании пластиковых карт следующие:
- желательно использовать пластиковые карты, имеющие страховой полис;
- никогда, никому (включая работников банка) не сообщать ПИНкод карты и не вводить его на виду у посторонних;
- хранить карту в надежном месте, недоступном для мошенников;
- в случае потери карты оперативно связаться с банком и заблокировать ее использование. В этом случае многое зависит от содержания договора на открытие картсчета. Например, клиент по договору может нести ответственность за все операции со своей пластиковой картой в течении иго числа дней с момента подачи письменного заявления об утере или клиент должен самостоятельно оплачивать блокировку карты (желательно избегать использования данных пунктов в договоре);
- избегать оплаты с помощью голосовой авторизации, снятия слипов импринтером в тех торговых заведениях, надежность которых вызывает сомнения: есть риск, что с карты снимут гораздо большую сумму, чем требуется, либо скопируют данные с магнитной полосы специальным прибором;
- в случае отказа в авторизации нужно проконтролировать факт уничтожения слипа сотрудником торгового предприятия;
- совершая покупки в Интернете, любую информацию, касающуюся карт, следует передавать только по защищенным протоколам, например протоколу SSL с длиной ключа шифрования не менее 128 бит;
- необходимо своевременно проверять выписку по карте (стейтмент). Существуют строго оговоренные сроки, в течение которых можно выставить претензию обслуживающему банку (чарджбэк). Своевременное выставление претензий снимает с клиента ответственность за дальнейший ход событий.
Жертвы киберпреступности могут обратиться в следующие структуры:
1. Международную вебполицию — International Web Police . Сайт специализируется на международных преступлениях. В случае мошенничества содержание заполненной жертвой формы будет передано в соответствующие правоохранительные органы страны, граждане которой участвуют в афере. Web Police тесно сотрудничает со спецподразделениями, которые занимаются интернетпреступлениями.
2. Центр анализа интернетмошенничества — Internet Fraud Complaint Center . Сайт поддерживается американским Федеральным бюро расследований и соответственно чаше всего занимается преступлениями, которые произошли в США или както задели интересы американских граждан. Между тем сотрудничество ФБР с правоохранительными органами других стран позволяет надеяться на то, что проблема расследования преступлений в других странах всетаки будет решена.
3. Федеральную службу безопасности Российской Федерации. В случае, если мошенник или жертва — гражданин России, можно обратиться в соответствующие спецслужбы. Российские правоохранительные организации активно занимаются киберпреступлениями. Как и в предыдущих случаях, подобные службы ценят как можно более подробную информацию о преступнике.
4. Официальный сайт Центра исследования проблем компьютерной преступности.
36. Мошенничество в интернете
Метод создания ажиотажа потребителей. Используется при торговле на интернет-аукционах и является одним из наиболее распространенных способов сконцентрировать вокруг выставленного на торги товара внимание покупателей. Суть такого приема заключается в следующем: чем больше покупателей собирается вокруг выставленного лота, тем психологически безопаснее чувствуют себя остальные участники, примыкающие к группе торгующихся.
Метод покупки по наименьшей цене. Одним из приемов искусственного занижения цены выставляемых на торги интернет-аукциона товаров является следующий: потенциальный покупатель предлагает самую низкую ставку, а его партнер — настолько высокую, что других желающих принять участие в аукционе не находится. В последние минуты или секунды интернет-аукциона предложивший высокую цену покупатель отказывается от участия. Никто больше не успевает сделать предложение и товар оказывается продан по смехотворно низкой цене.
Метод “Воздушный змей”. В простейшем случае требуется открыть в двух банках счета с возможностью кредитования. Далее деньги переводятся из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе денег со счета не обеспечено необходимой суммой, приходило бы извещение о переводе средств в этот банк, так чтобы общая сумма средств на счете покрывала требование о первом переводе.
Метод “Поиск бреши”, или “Люк”. Данный метод основан на использовании ошибки в логике построения программы, работающей на чужом компьютере. Обнаруженные бреши могут эксплуатироваться неоднократно. В найденной “бреши” программа “разрывается” и туда вставляется необходимое число команд. По мере необходимости “люк” открывается, а встроенные команды автоматически осуществляют свою задачу.
Одним из способов создания бреши является DoS-атака (от англ. Denial of Service — отказ от обслуживания). DoS-атака может быть осуществлена при помощи отсылки большого числа пакетов информации на атакуемый сервер.
Метод “Троянский конь”. Он состоит в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность. Действия такого рода часто совершаются сотрудниками, которые стремятся отомстить за несправедливое, по их мнению, отношение к себе либо оказать воздействие на администрацию предприятия с корыстной целью.
Пирамиды и письма но цепочке (своеобразный “косвенный налог” на плохое знание математики). Обычно такое письмо содержит список фамилий и адресов, по которым получателю предлагается послать незначительную сумму денег (технология электронных денег идеально подходит для таких “предприятий”). Далее, нужно заменить фамилию одного из получателей на свою и разослать письма дальше. Получатели в свою очередь должны внести свою фамилию в список (часто убирая самую верхнюю фамилию, чтобы сохранить постоянным число участников) и послать дальше измененное таким образом письмо. Согласившиеся участвовать в пирамиде становятся спамерами, и в итоге большинство из них теряют деньги.
работу — лля этого даются специальные тестовые задания, не предназначеные для последующего использования.
Надомная работа. Часто под этими предложениями скрывается возможность зарабатывать около 1 долл. за запаковывание и рассылку чеголибо. При этом от участника требуется несколько сотен долларов на покупку оборудования и прочих принадлежностей. В результате участник вовлекается в пирамиду, не получает обещанного вознаграждения и лишается вложенных денег.
Метод “Мошенничество с предоплатой”. В этой ситуации пользователю предлагается приобрести товары, которые не обладают в действительности теми свойствами, о которых сообщается. Часто предложения товаров являются средством мошеннического присвоения денег потенциального покупателя.