Термин «фишинг» (phishing) — измененная форма от английских слов Phone (телефон) и Fishing («рыбная ловля»). Он появился в «американском» английском для обозначения новых схем жульничества, служащих для того, чтобы выманивать у пользователей номера их кредитных карт, пароли доступа к банковским счетам и счетам платежных систем. Подробнее см. с. 36, 37.
Российская газета. 2008. 1 янв.
Комментарий к Уголовному кодексу Российской Федерации (постатейный) / В. К. Дуюнов [и др.]; отв. ред. Л. Л. Кругликов. М.: Волтерс Клувер, 2005.
Постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51. О судебной практике по делам о мошенничестве, присвоении и растрате // Российская газета. 2008. 12 янв.
Пластиковые карты / Л. В. Быстров, А. С. Воронин, А. Ю. Гамольский [и др.]. 5-е изд., перераб. и доп. М.: БДЦ-пресс, 2005. С. 321–324.
Данная позиция нашла свое подтверждение в судебной практике. См. уголовное дело № 50570 от 31 августа 2007 г., Йошкар-Ола. Эквайринг АТМ.
Постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51. О судебной практике по делам о мошенничестве, присвоении и растрате // Российская газета. 2008. 12 янв. Данная позиция также нашла свое подтверждение в судебной практике. См. уголовное дело № 7013396 от 11 октября 2007 г., Астрахань. Эквайринг ТСП; уголовное дело № 044162 от 11 марта 2008 г., Москва. Эквайринг ТСП; уголовное дело № 248100, Санкт-Петербург. Фабрика «Leroy».
www.pcisecuritystandards.com
Перевод стандартов PCI на русский язык доступен на сайте www.pcisecurity.ru
Более подробное описание стандарта PA DSS см. далее.
Актуальный список компаний, имеющих статус ASV, доступен на сайте Совета по безопасности www.pcisecuritystandards.org
Подробнее см. далее подраздел «Описание программы Visa AIS».
Описание SDP приведено далее в подразделе «Описание программы MasterCard SDP».
По адресу sdp@mastercard.com
Источник: http://www.digitaltransactions.net/news/story/2885
Более подробно со стандартом можно ознакомиться на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/ped/index.shtml
Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https:// pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html
Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html
На момент сдачи книги в печать.
Подробно о требованиях стандарта PCI DSS см. предыдущий раздел книги.
Квалифицированный аудитор систем безопасности (см. предыдущий раздел).
Пен-тест (penetration test, pentest) — тест на проникновение.
Подробнее о видах мошенничества с банковскими картами, уголовной ответственности и судебной практике в данной сфере см. раздел «Мошенничество в сфере банковских платежных карт».
Собрание законодательства Российской Федерации. 2002. № 52 (ч. I) Ст. 5140.
ERD-диаграмма (Entity-Relationship Diagram) — это диаграмма «сущность — связь» — способ определения данных и отношений между ними, обеспечивающий детализацию хранилищ данных проектируемой системы, включая идентификацию объектов (сущностей), свойств этих объектов (атрибутов) и их отношений с другими объектами (связей).
На сайте http://www.securitylab.ru/vulnerability(данный ресурс поддерживается компанией Positive Technologies) продемонстрировано, сколько различных подходов можно найти для реализации такого рода уязвимостей.
ICMP-туннель — скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP (обычно e^o request, e^o reply). ICMP-туннель используется для обхода запретов на передачу информации на межсетевых экранах.
Ping — утилита для проверки соединений в сетях на основе TCP/IP.
Shell — интерпретатор команд операционной системы.
Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Например злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.
Читать дальше