Інформаційна технологія попередження шахрайства в системах електронних грошей



Сторінка1/8
Дата конвертації20.06.2017
Розмір1.39 Mb.
  1   2   3   4   5   6   7   8


Вінницький національний технічний університет

Інститут автоматики, електроніки та комп'ютерних систем управління

Кафедра автоматики та інформаційно-вимірювальної техніки


Пояснювальна записка



до магістерської кваліфікаційної роботи

магістр

(освітньо-кваліфікаційний рівень)


на тему: Інформаційна технологія попередження шахрайства в системах електронних грошей

Виконав: студент 5 курсу, групи КСУА-15м


спеціальності

8.05020101 – «Комп’ютеризовані системи
управління та автоматика»

(шифр і назва напряму підготовки, спеціальності)

Гарабурда Д.О.

(прізвище та ініціали)

Керівник:

к.т.н., доц. Бойко О.Р.

(прізвище та ініціали)
Вінниця ВНТУ 2017

ЗАТВЕРДЖУЮ

Завідувач кафедри АІВТ

д.т.н., професор Р. Н. Квєтний

«___» ____________ 2016 р.

З А В Д А Н Н Я

на магістерську кваліфікаційну роботу на здобуття кваліфікації магістра наук зі спеціальності 8.05020101 –
Комп’ютеризовані системи управління та автоматика

08-02.МКР.002.00.000 ПЗ

магістранту групи 1КСУА-15м Гарабурді Дмитру Олеговичу
Тема магістерської кваліфікаційної роботи «Інформаційна технологія попередження шахрайства в системах електронних грошей».
Вихідні дані до роботи: Розробити програмний комплекс інформаційної технології попередження шахрайства в системах електронних грошей.
Зміст пояснювальної записки: аналіз систем та методів попередження шахрайства в системах електронних грошей; визначення критеріїв та розробка методу попередження шахрайства в системах електронних грошей; програмна реалізація інформаційної технології попередження шахрайства в системах електронних грошей.
Перелік графічного матеріалу: схема роботи системи, схема даних, схема програми, схема ресурсів системи та лістинг програми.

Консультанти з окремих розділів магістерської кваліфікаційної роботи:


1. Спеціальна частина ___________ к.т.н. доц. каф. АІВТ Бойко О.Р.

«__» _________ 2016 р.


2. Економічна частина _______ к.е.н. проф. каф. ЕПОВ Козловський В. О.

«__» _________ 2016 р.


Попередній захист роботи «__» _________ 2016 р.

Рецензент ___________ ______________________

______________________
Завдання видав ___________ к.т.н. доц. каф. АІВТ Бойко О.Р.

«__» _________ 2016 р.


Завдання отримав ___________ ст. гр. 1КСУА-15м Гарабурда Д.О.

«__» _________ 2016 р.

АНОТАЦІЯ
Дослідження присвячене розробці інформаційної технології попередження шахрайства в системах електронних грошей.

У дослідженні здійснено аналіз існуючих систем попередження шахрайства та їх методи боротьби, розроблено метод попередження шахрайства на основі кастомізованих критеріїв, розроблено систему попередження шахрайства на основі розробленого методу та розраховано економічний потенціал розробки.

Програмне забезпечення написане із використанням мов програмування Java, HTML та JavaScript.

АННОТАЦИЯ


Исследование посвящено разработке информационной технологии предупреждения мошенничества в системах электронных денег.

В исследовании проведен анализ существующих систем предупреждения мошенничества и их методы борьбы, разработан метод предупреждения мошенничества на основе кастомизированных критериев, разработана система предупреждения мошенничества на основе разработанного метода и рассчитан экономический потенциал разработки.

Программное обеспечение написано с использованием языков программирования Java, HTML и JavaScript.

ANNOTATION


Research is devoted to the development of information technology fraud prevention in electronic money systems.

Research is incuding analyzes existing systems prevent fraud and their methods of struggle, the method of fraud prevention based on customized criteria developed fraud prevention system based on the proposed method and calculated the potential economic development.

Software is developed using the programming language Java, HTML and JavaScript.


ЗМІСТ


Додаток Б (обов’язковий) 130

Технічне завдання 130

ВСТУП



Актуальність теми. Тенденція електронних грошей в сучасному світі стає все більш популярною. Вони поступово стають частиною людського життя та витісняють з кругообігу готівкові платежі. Це витіснення полягає у основній перевазі, яку надають електронні гроші і ця перевага – швидкодія виконання платіжних операцій. Все більше і більше компаній, розуміючи це, збільшили кількість платіжних операцій базованих на використанні електронних грошей у якості основного інструменту оплати послуг та поступово зменшують кількість “традиційних” варіантів оплати. Також використання електронних грошей надає легкість та зручність у використанні для оплати у повсякденному житті. Більшість людей сьогодні використовує пластикові картки замість готівки для розрахунку в магазинах тощо. У мережі інтернет переважна більшість послуг використовує лише електронні гроші та не надає послуг пов’язаних із реальною готівкою. Всі ці фактори доводять, що електронні гроші мають великий потенціал та розвиваються дуже стрімко. Зростає велика кількість провайдерів електронних грошей, а саме платіжні системи.

В платіжних системах кожного дня оборот готівки складає мільйони готівкових коштів і це, звісно, приваблює шахраїв. На сьогоднішній день вже існує велика кількість злочинів направлених на електронні гроші і сума збитків вимірюється навіть не тисячами, а мільйонами коштів, тому необхідність забезпечення безпеки та стійкості системи є очевидною та необхідною задачею.

Аналіз існуючих систем боротьби з шахрайством показав, що більшість з них не підходять до використання із в врахуванням особливостей українського законодавства в сфері електронних грошей.

Мета і задачі дослідження. Метою дослідження є підвищення надійності та стійкості роботи систем електронних грошей та розробка методу адаптованого до особливостей українського законодавства у сфері електронних грошей.

Основними задачами дослідження є:



  • аналіз існуючих систем попередження шахрайства в системах електронних грошей з метою визначення шляхів покращення існуючих методів попередження шахрайства та адаптація їх відповідно до особливостей українського законодавства;

програмного комплексу;

  • створення критеріїв та методу попередження шахрайства в системах електронних грошей;

  • розробка програмного комплексу попередження шахрайства в системах електронних грошей;

  • оцінка економічного потенціалу розробки.

Об’єкт дослідження – процес обробки та аналізу електронного платежу.

Предмет дослідженняметоди попередження шахрайства в системах електронних грошей.

Методи дослідження. У процесі дослідження використовувались наступні методи: системне моделювання та імовірнісне моделювання.

Наукова новизна одержаних результатів.

  • запропоновано метод попередження шахрайства в системах елекронних грошей, який враховує характеристики електронного платежу застосовуючи критерії шахрайства який, на відміну від існуючих методів забезпечує більшу надійність і кастомізацію для попередження поточних і нових видів шахрайств без значних затрат;

  • запропонована нова модель попередження шахрайства для систем електронних грошей, яка, на відміну від існуючих, дозволяє ефективно боротися із шахрайством за рахунок чітко визначеної структури підрозділів.

Практичне значення одержаних результатів. Полягає у формальному описі інформаційної технології, створенні алгоритму її реалізації та розробці програми, що виконує попередження шахрайства в системах електронних грошей в режимі реального часу.

Створений метод, критерії, алгоритми та програмні засоби можуть бути використані для платіжних систем, як вирішення проблеми шахрайства в цілому.



Апробація результатів дисертації. Основні теоретичні положення й найвагоміші практичні результати виконаного дослідження було обговорено на науковій технічній конференції кафедри АІВТ (9 – 11 березня 2015 р.).

1 АНАЛІЗ СИСТЕМ ТА МЕТОДІВ ПОПЕРЕДЖЕННЯ ШАХРАЙСТВА В СИСТЕМАХ ЕЛЕКТРОННИХ ГРОШЕЙ


1.1 Загальна характеристика проблеми
У сучасному світі електронні гроші відіграють значну роль, вони значно полегшують та пришвидшують виконання платіжних тим самим витісняючи з обігу стандартні форми оплати такі як готівкові кошти.

Електронні гроші – це платіжний засіб, що існує в електронному вигляді, тобто, фактично, у вигляді інформації, що зберігається у спеціальних базах даних.

Так як тенденція електронних грошей в наш час стрімко розвивається і все частіше стає основним видом розрахунку для оплати різного виду послуг можна зауважити, що зростають випадки інтернет-шахрайств.

Можна виділити наступні найбільш відомі види інтернет-шахрайств пов’язаних з електронними грошима в інтернеті або з платіжними картками:



  • допомога другові;

  • підроблена банківська картка;

  • онлайн-продажі;

  • фішинг;

  • вішинг;

  • фармінг;

  • кардінг;

  • шахрайство у соціальних мережах;

  • скіммінг;

  • шіммінг.

Допомога другові. Дуже популярна схема. Може застосовуватися з використанням різних методів комунікації – електронної пошти, соцмереж, месенджерів. Жертва отримує повідомлення від друга або навіть родича, в якому міститься опис якоїсь неприємності, яка трапилася з ним/нею під час якоїсь поїздки. Або ж сталася дорожня аварія. Або пограбування. У будь-якому випадку терміново потрібні гроші, які необхідно вислати на певний рахунок. Причому, дуже швидко. Тому що ситуація (чомусь) критична. Життя під загрозою, або поліція на хвості. У будь-якому випадку, шахраї намагаються створити у жертви стресову ситуацію, щоб знизити шанси на те, що жертва спробує зв’язатися з “потерпілим” по якимось іншим каналам і з’ясувати, що насправді нічого не сталося. Як правило, шахраї отримують доступ до зламаного поштового акаунту і просто розсилають такі повідомлення по всьому контакт-листу. Бували випадки, коли зловмисники зламувати акаунти в соцмережах і розсилали повідомлення друзям користувача звідти. У менш технологічно розвиненій Україні популярний більш старомодний метод. Зловмисники телефонують серед ночі людині похилого віку і розповідають, наприклад, що його син збив людину, тому терміново потрібні гроші для залагодження питання з міліцією, які необхідно перевести на якийсь рахунок.

Підроблена банківська картка. Популярний у США і Канаді метод інтернет-шахрайства. Жертва отримує електронний лист з пропозицією отримати кредитну картку з великим лімітом і надзвичайно низькою процентною ставкою. Все, що потрібно від жертви – це внести невелику абонплату. Як тільки жертва перераховує шахраям пару десятків доларів, вони тут же зникають. Природно, лист був не від банку і ніякої кредитки жертві ніхто надавати не збирався. Дещо рідше зустрічаються варіанти з лотереєю або якимись розіграшами, але принцип шахрайства залишається колишнім.

Онлайн-продажі. Тут варіантів безліч. У США шахраї облюбували головний портал онлайн-оголошень Craiglist. Раніше шахрайство було частіше всього пов'язане з банківськими чеками. Шахрай, прикидаючись покупцем, пише продавцю, що готовий вислати вам поштою чек, який покриває і вартість покупки і суму, яка необхідна для пересилання. Продавець і справді отримує чек, оплачує відправку товару, а потім з'ясовується, що чек був фальшивий. І продавець втрачає як товар, так і гроші. Сьогодні у світі переважають покупки за допомогою онлайн-переказів через банк. Тому більшість торгових майданчиків за допомогою червоних написів попереджають про те, що ніколи не можна перераховувати передоплату, купувати товар без перевірки тощо.

Фішинг – вид інтернет-шахрайства, метою якого є отримати ідентифікаційні дані користувача. Сюди можна віднести крадіжки паролів, номерів кредитних карток, банківських рахунків та іншої конфіденційної інформації. Фішинг являє собою підроблений лист, що прийшов на пошту від банків, провайдерів, платіжних систем та інших організацій про те, що з якоїсь причини одержувачу терміново потрібно передати або оновити особисті дані. Причини можуть бути різні, це може бути втрата даних, або помилка в системі [1]. Атаки фішерів стають все більш продуманими, тому що застосовуються методи соціальної інженерії. Але у кожному разі клієнта намагаються налякати, придумати критичну причину для того, щоб він видав свою особисту інформацію. Як правило, ці повідомлення містять загрозу, наприклад, що буде заблокований рахунок у разі невиконання одержувачем вимог, викладених у повідомленні. Доволі часто в якості причини, по якій користувач наче повинен видати конфіденційну інформацію, фішери називають необхідністю поліпшити антифішингові системи (“якщо ви бажаєте захистити себе від фішингу, перейдіть за вказаним посиланням та авторизуйтесь”). Приклад фішингового повідомлення з таким текстом зображений на рисунку 1.1.


Рисунок 1.1 – Приклад фішингового листа з проханням забезпечити безпеку своїх даних


Фішингові сайти, як правило, існують недовго (в середньому 5 днів). Так як антифішингові фільтри досить швидко отримують інформацію про нові загрози, фішерам доводиться реєструвати все нові і нові сайти. Їхній зовнішній вигляд залишається незмінним – він збігається з оригінальним офіційним сайтом, під який намагаються підробити свій сайт шахраї [1]. Зайшовши на підроблений сайт, користувач вводить у відповідні рядки авторизаційні дані, а далі шахраї отримують доступ в кращому разі до його поштової скриньки, а в гіршому разі – до його електронного рахунку. Але не всі фішери самі знімають гроші з рахунків жертв. Справа в тому, що переведення електронних грошей у готівку рахунків складно здійснити практично, до того ж людину, яка цим займається, легше упіймати і залучити до відповідальності. Тому, здобувши персональні дані, деякі фішери продають їх іншим шахраям, у яких, в свою чергу, є відпрацьовані схеми виведення коштів з рахунків жертв [3]. Найбільш часті жертви фішингу – банки, електронні платіжні системи та аукціони. Тобто шахраїв цікавлять ті персональні дані, які зможуть надати доступ до грошей. Також популярна крадіжка авторизаційних даних від електронної пошти – ці дані можуть стати в нагоді тим, хто розсилає віруси, або створює «зомбі» мережі. Характерною особливістю фішингових листів є дуже висока якість підробки. Адресат отримує лист з логотипами банку/сайту/провайдера, що виглядає в точності як реальний екземпляр. Нічого не підозрюючи користувач переходить за цим посиланням але потрапляє насправді не на офіційний сайт, а на фішерський його аналог, виконаний з найвищою точністю [3]. Ще однією хитрістю фішерів є посилання, дуже схожі на URL оригінальних сайтів. Адже достатньо уважний користувач може звернути увагу на те, що у командному рядку браузера відображається посилання абсолютно відмінне від оригінального посилання сайту. Такі підроблені посилання також зустрічаються, але розраховані вони, перш за все, на менш досвідченого користувача. Часто вони починаються з IP-адреси, хоча відомо, що справжні відомі компанії вже давно не використовують подібні посилання. Тому фішингові URL часто схожі на справжні. Вони можуть включати в себе назву справжнього URL, доповнене іншими словами (наприклад, замість www.example.com відображається www.exampl.com). Також останнім часом популярний фішинговий прийом – посилання з крапками замість слешів, ззовні дуже схожі на справжні посилання (наприклад, www.example.com/personal.login замість www.example.com/personal/login). Можна навести ще такий варіант підробленої адреси: www.example.com-personal.login. Також в самому тілі листа може висвітлюватися посилання на легітимний сайт, але реальний URL, на який вона посилається, буде іншим. Пильність користувача притупляється ще тим, що в листі може бути кілька другорядних посилань, що ведуть на офіційний сайт, але основне посилання, за яким користувачеві необхідно пройти та авторизуватися, веде на сайт шахраїв [3].

Рисунок 1.2 – Приклад фішингового лиска з посиланням на сайт шахраїв


Іноді особисті дані користувача пропонується ввести прямо в листі. Потрібно пам'ятати, що жоден банк (або інша організація, яка запитує конфіденційну інформацію) не буде цього робити подібним чином. Приклад фішингового листа зображений на рисунку 1.3.

Рисунок 1.3 – Приклад фішингового листа


Вішинг названий за аналогією з “фішнгом” – поширеним мережевим шахрайством, коли клієнти певної платіжної системи отримують повідомлення на електронну пошту нібито від адміністрації або служби безпеки даної системи з проханням вказати номери своїх рахунків, паролі тощо. При цьому посилання в повідомленні веде на підроблений сайт, на якому і відбувається крадіжка інформації. Сайт цей знищується через деякий час, і відстежити його творців в інтернеті досить складно [2]. Схеми обману, загалом, ідентичні, тільки у випадку вішингу в повідомленні міститься прохання зателефонувати на певний міський номер. При цьому зачитується повідомлення, в якому потенційну жертву просять повідомити свої конфіденційні дані. Власників такого номера знайти не просто, так як з розвитком інтернет-телефонії, дзвінок на міський номер може бути автоматично перенаправлений у будь яку точку земної кулі на віртуальний номер. Той, хто телефонує ж про це не здогадується. Цією можливістю і скористалися чергові шахраї. Згідно інформації від Secure Computing, шахраї конфігурують робота, який набирає номери в певному регіоні і, коли на дзвінок відповідають, відбувається наступні дії:

  • автовідповідач попереджає користувача, що з його карткою виконуються шахрайські дії, та надає інструкції – передзвонити за певним номером негайно. Це може бути номер 0800, часто з вигаданим ім’ям;

  • коли за цим номером передзвонюють, на іншому кінці дроту відповідає типово комп’ютерний голос, який повідомляє, що людина повинна пройти звірку даних і ввести 16-значний номер картки з клавіатури телефону;

  • як тільки номер введений, вішер стає володарем всієї необхідної інформації (номеру телефону, повного ім’я особи, та його адреси), щоб, наприклад, встановити штраф на картку;

  • використовуючи даний дзвінок, можна зібрати і додаткову інформацію, таку, як PIN-код, термін дії карти, дата народження та номер банківського рахунку тощо [2].

В банках стверджують, що в телефонних розмовах з клієнтом ніколи не запитують повний номер карти, тим більше не вимагають повідомляти PIN-код [2].

Фармінг – це більш складна модифікація фішингу. Концепція фармінгу полягає у тому, що на локальному комп’ютері користувача підмінюються файли та властивості файлів, що обумовлюють поведінку локального комп’ютера при доступі до адреси у мережі інтернет (файл HOSTS та налаштування DNS-серверів). В остаточному підсумку всі маніпуляції шахраїв ведуть до того, що локальний комп’ютер виявляється “обдуреним”. Людина набирає у браузері перевірену адресу сайту, якою користується щодня, наприклад, відомий пошукувач, але у результаті маніпуляцій комп’ютер переадресовує його на іншу адресу, зазначену шахраєм [3];

Кардінг – це модифікована версія фішингу. Він містить у собі операції із використанням банківської картки або її реквізитів, не ініційованих або не підтверджених її власником. Реквізити платіжних карток, як правило, викрадають зі зламаних серверів інтернет-магазинів, платіжних та розрахункових систем, а також із персональних комп’ютерів (або безпосередньо, через шкідливе програмне забезпечення) [6];

Шахрайство у соціальних мережах. Соціальні мережі – це дуже привабливе місце для звичайного користувача. У подібних мережах відбувається постійний обмін інформацією. Але воно також є привабливим і для шахраїв. Це полягає у спам-розсиланні з аккаунта користувача з пропозиціями простежити за власником мобільного телефону, прочитати чужі SMS-повідомлення тощо [3];

Клікфрод – це вид шахрайства у мережі, що являє собою обманні кліки на рекламне посилання особою, не зацікавленою у рекламному оголошенні. Може здійснюватися за допомогою автоматизованих скриптів або програм, що імітують клік користувача на рекламному оголошенні. Склікувати оголошення можуть несумлінні вебмайстри зі своїх же сайтів [4];

Скіммінг – це крадіжка даних карти за допомогою спеціального пристрою (скімера). Зловмисники копіюють всю інформацію з магнітної смуги карти (ім’я власника, номер картки, термін закінчення терміну її дії та CVC-код), дізнатися PIN-код можна за допомогою міні-камери або накладок на клавіатуру, встановлених на банкоматах. Стати жертвою скіммінгу можна не тільки знімаючи готівку, а й оплачуючи товари в торгівельних точках. Для копіювання даних офіціанти, касири, службовці готелів використовують переносні скімери або пристрої, прикріплені до терміналу [5];

Шіммінг представляє собою різновид скімінгу [7]. “Шим” підсаджується за допомогою спеціальної карти-носія: її просовують в щілину банкомата, де тонкий “шим” під’єднується до контактів, який зчитує дані з картки, після чого карта-носій видаляється. Далі все працює, як і при традиційному скіммінгові – тобто вставляються в банкомат пластикові картки і «шим» зчитує всі важливі дані, які потім використовуються зловмисниками для виробництва карт-дублікатів та зняття за їх допомогою грошей. Єдине, але вкрай важлива відмінність від скіммінгу полягає у відсутності будь-яких зовнішніх ознак того, що в банкоматі сидить «жучок» [7].

Оглянувши основні види інтернет-шахрайств спрямованих на заволодіння електронними грошима користувачів шляхом отримання конфіденційних даних карток можна побачити, що розробка системи моніторингу платежів для боротьби з шахрайством в системах електронних грошей є актуальною та необхідною задачею, тому що кожного для зростає кількість все нових випадків шахрайств з якими потрібно боротися.

1.2 Огляд інсуючих методів боротьби з шахрайством

Методи боротьби шахрайства включають в себе різноманітні заходи, які використовуються для того, щоб виявити та нейтралізувати шахрайські дії. Розглянемо деякі із них.


1.2.1 Методи попередження шахрайства в інтернет-еквайрінгу
3D Secure – це XML-протокол, який використовується як додатковий рівень безпеки для онлайн-кредитних та дебетних карт, двофакторної аутентифікації користувача. Він був розроблений Visa з метою поліпшення безпеки інтернет-платежів і запропонував клієнтам послугу Verified by Visa (VbV). Послуги, засновані на даному протоколі також були прийняті MasterCard, під назвою MasterCard SecureCode (MCC), і JCB International, як J/Secure. 3D Secure додає ще один крок аутентифікації для онлайн-платежів.

3D Secure не слід плутати із кодом CVV2, який надруковано на карті із зворотного боку [12].

3D Secure ™ є торгівельною маркою корпорації VISA.

Модель 3D Secure реалізована на основі 3-х доменів, в яких відбувається створення та перевірка транзакцій [12]:



  • домен емітент, який включає в себе власника карти та банк, що випускає карти;

  • домен еквайєр, який включає в себе банк-еквайєр та його клієнтів (онлайнових торговців);

  • домен взаємодії містить елементи, які роблять можливим проведення транзакцій між двома іншими доменами. Він, головним чином, містить мережі та сервіси карткових асоціацій.

Домени незалежні у своїх правах і є важливою частиною процесу передачі інформації в загальній 3D Secure-інфраструктурі. Для кожного домена визначена власна сфера відповідальності в проведенні транзакцій:


Поділіться з Вашими друзьями:
  1   2   3   4   5   6   7   8


База даних захищена авторським правом ©divovo.in.ua 2017
звернутися до адміністрації

войти | регистрация
    Головна сторінка


загрузить материал