• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Статьи по теме: «Информационная безопасность»

Главная Пользователям Статьи Интернет-платежи: удобства и угрозы

Интернет-платежи: удобства и угрозы

Электронные платежи стали неотъемлемой частью нашей повседневной жизни. Безналичные платежи предприятий, перечисление заработной платы, управление собственными вкладами, покупка товаров в интернет магазинах, порой даже оплата коммунальных услуг –все это делается через сеть интернет. Это удобно – все можно сделать не вставая с кресла, но платой за удобство становится уязвимость к действиям мошенников.

Интернет-платежи: удобства и угрозы

Что такое электронный платеж

Несмотря на то, что формы электронных платежей могут быть разными (оплата с помощью банковской карты, системы Интернет-банк, терминала оплаты, SMS и т.д.), с точки зрения российского законодательства все это – одна и та же операция: перевод денежных средств. Услуги по переводу денежных средств оказывает оператор – банк, владелец терминалов оплаты и т.п. Оператор, в свою очередь, пользуется услугами одной из платежных системVisa, MasterCard, автоматизированная система банковских расчетов Банка России и т.п.

Принцип действия систем электронных платежей одинаков. Плательщик тем или иным способом вносит средства на свой счет. В результате на его счету формируется остаток, в пределах которого может быть выполнен платеж. Затем, используя предоставленный оператором интерфейс, плательщик указывает, какая сумма должна быть переведена и кто ее должен получить. В результате формируется платежное поручение, с помощью которого оператор дает платежной системе указание сделать безналичный денежный перевод. Главная проблема электронных платежей: как убедиться, что платежное поручение сделал именно плательщик, а не кто-то, выдающий себя за него?

Для разных форм электронных платежей характерны свои нюансы. При использовании банковской карты плательщик переводит средства со своего банковского счета. Карта является “ключом” для доступа к банковскому счету и может использоваться для оплаты двумя способами: с помощью специального терминала (в банкомате или кассе магазина) и с помощью веб-сайта. При оплате через терминал подтверждением личности плательщика является сам, а карта (точнее, информация, записанная на ее магнитной полосе или чипе) и ПИН-код, который кроме плательщика никто не знает. При оплате через веб-сайт подтверждением платежа являетcя информация, вытисненная на карте (номер карты, имя держателя, срок действия и код подтверждения CVC/CVV), которую плательщик должен ввести в соответствующие поля веб-формы. В этом случае код CVC/CVV является паролем, который не должен знать никто, кроме плательщика.

В системах ДБО клиенту доступны разные формы платежей:

  • разовые платежи
  • шаблонные платежи (клиент один раз заполняет шаблонную форму, указывая реквизиты получателя, в дальнейшем необходимо указывать только сумму платежа)
  • автоматические платежи (шаблонные платежи, которые автоматически производятся c определенной периодичностью – например, ежемесячно).

Кроме платежей, система ДБО предоставляет клиенту и другие банковские операции – в зависимости от банка и набора услуг, на которые предусмотренных договором между клиентом и банком.

Альтернативой оплаты с помощью банковской карты является оплата с помощью системы Интернет-банкинга (в банковской терминологии – системы дистанционного банковского обслуживания, ДБО). Как правило, это веб-сайт, который предоставляет пользователю прямой доступ к своему банковскому счету и позволяет выполнять различные банковские операции (в том числе – и безналичную оплату). Для доступа к счету пользователю нужно ввести имя и пароль. В отличие от интернет-платежей с помощью банковской карты, в системе ДБО могут использоваться несколько степеней защиты, например – подтверждение операций с помощью однократных паролей, отправляемых клиенту с помощью SMS-сообщений или использование электронной подписи.

Популярными платежными системами в России на сегодняшний день являются Яндекс.Деньги, Qiwi и WebMoney.

Оплата через Интернет с помощью электронного кошелька — это перемещение виртуальных денег с реальным эквивалентом. Электронные кошельки, наряду с банковскими картами, также используются для оплаты товаров и услуг через Интернет. Пополнять их пользователи могут различными способами: банковской картой, специальной картой предоплаты или через платежный терминал.

Единственное и основное отличие электронных кошельков от банковского счета заключается в том, что их оператор, как правило, не является банком. Это снимает с плательщика ряд ограничений, накладываемых банковским законодательством, но и лишает его ряда гарантий, которые законодательство предоставляет клиентам банков

Еще один способ интернет-оплаты – использование электронных кошельков. Средства, внесенные на счет, пересчитываются в виртуальную валюту, которая может использоваться как для оплаты между клиентами оператора, так и для денежных переводов в другие платежные системы. Как правило, для доступа к операциям со своим кошельком на сайте оператора плательщик должен ввести имя и пароль. Технически работа с электронным кошельком ничем не отличается от ДБО, и в системе могут использоваться такие же дополнительные степени защиты.

Угрозы

Самое очевидное, что угрожает плательщику в системах электронных платежей – это отказ получателя признать получение платежа и выполнить связанные с этим платежом обязанности. Как правило, в этом случае платежная система является независимой стороной и может подтвердить факт платежа. Более тяжелый случай – это самовольное списание денежных средств самой платёжной системой. В РФ эта проблема решается в рамках создания национальной платежной системы – все ее операторы уравниваются в обязанностях и вынуждены использовать одинаковые правила регистрации операций. Добросовестность операторов обеспечивается контролем операций со стороны Банка России. В случае использования зарубежных платежных систем плательщик вынужден решать спорные вопросы в судебном порядке, причем в суде той страны, в которой зарегистрирована платежная система, что делает его фактически бесправным.

Но наибольший риск для электронной коммерции – это кибермошенничество. Как видно из приведенного выше описания, в любой форме электронных платежей мошеннику достаточно каким-то образом узнать имя пользователя в системе и секрет, используемый для подтверждения личности плательщика (код CVC/CVV, пароль и т.п.). Для этого применяются разные способы, но к наиболее распространенным можно отнести:

  • кражу данных непосредственно из браузера пользователя;
  • перехват и модификацию данных при их передаче между компьютером плательщика и веб-сайтом оператора;
  • получение контроля над компьютером плательщика;
  • взлом веб-сайтов интернет-магазинов, операторов и платежных систем.

При всей своей гибкости и популярности, веб-технологии имеют несколько серьезных проблем с безопасностью, что называется, “заложенных в генах”. Для того, чтобы сделать веб-приложение защищенным, разработчику требуется очень высокая квалификация именно в вопросах безопасности, которой, увы, обладают очень немногие. Из-за этого на веб-сайтах интернет-магазинов и операторов очень часто появляются уязвимости, позволяющие хакерам “внедрить” в код веб-страниц собственный программный код, который будет выполнен браузером пользователя. Таким способом хакер может извлекать данные, вводимые в поля форм или заставить браузер без ведома пользователя выполнить нужную ему операцию. Это позволяет мошенникам извлекать из браузера пароли и данные кредитных карт и формировать от имени плательщика фальшивые платежные поручения.

В последние годы, в связи с частым использованием операторами дополнительной защиты в виде однократных паролей, большую популярность приобрел фарминг – использование дубликатов веб-сайтов интернет-магазинов и операторов. Мошенники создают практически точные копии веб-сайтов выбранных сайтов и различными способами заманивают на них пользователей. Оформляя оплату через поддельный веб-сайт оператора пользователь своими руками передает мошенникам свои имя, пароль и однократный пароль, необходимый для подтверждения платежа.

Еще более серьезная проблема связана с низкой защищенностью компьютеров самих пользователей. Уже несколько лет на “черном рынке” вредоносного программного обеспечения наблюдается повышенный спрос на уязвимости браузеров, популярных модулей расширения к ним и, конечно, операционных систем персональных компьютеров. Как правило, злоумышленники обнаруживают такие уязвимости в считанные часы после выхода новых версий программ. Благодаря тому, что пользователи персональных компьютеров пренебрегают установкой обновлений (или делают это крайне редко), знание такой уязвимости позволяет хакерам массово заражать компьютеры, внедряя вредоносный код на популярных развлекательных веб-сайтах и сетях баннерной рекламы (часто даже внедряя его в изображения и флеш-ролики). Результатом становится создание целых сетей (ботнетов), насчитывающих миллионы  зараженных компьютеров. Бот, размещенный на зараженном компьютере, позволяет мошеннику удаленно управлять им, перехватывать данные (в том числе – необходимые для выполнения платежей) и даже выполнять платежи непосредственно с управляемого компьютера.

Наконец, сравнительно редкие, но крайне неприятные инциденты, случаются и с веб-сайтами самих интернет магазинов, операторов и платежных систем. Так в 2008 году, найдя уязвимость на веб-сайте одного из крупнейших операторов США, группа хакеров в течение нескольких месяцев контролировала его информационные потоки, получив доступ к данным более 100,000,000 платежных карт.

Таким образом, при всем удобстве, использование интернет-платежи связано с определенным риском, чтобы его уменьшить, следует соблюдать ряд рекомендаций.

Как уменьшить риски интернет-платежей

Организации по переводу денежных средств применяют разные способы защиты, но ни один из этих способов не дает стопроцентной гарантии безопасности. Не стоит доверять утверждениям о безопасности предоставляемой оператором услуги.

Используйте услуги SMS-информирования
Следует обязательно использовать услугу SMS-информирования об операциях со счетом и немедленно сообщать оператору об операциях, выполненных без вашего ведома. В соответствии с ФЗ “О национальной платежной системе”, в случае мошенничества оператор будет обязан возвратить средства, переведенные мошенниками без ведома плательщика.
Используйте однократные пароли
Однократные пароли, которые оператор отправляет плательщику с помощью SMS-сообщений, сильно затрудняют работу мошенникам. Так что при выборе оператора, предпочтение стоит отдать тому, который предоставляет такую защиту. Юридическим лицам и индивидуальным предпринимателям стоит подумать об использовании устройств проверки и подтверждения платежей, которые некоторые банки предоставляют в качестве дополнительной услуги. Подобные устройства при сравнительно небольшой (для организации) стоимости практически лишают мошенников возможности подделать платежное поручение.
Не используйте для оплаты товаров и услуг недоверенные компьютеры
Не используйте для оплаты товаров и услуг недоверенные компьютеры — то есть те, которые используются для активного пользования Интернет-ресурсов. Ни один антивирус не дает стопроцентной гарантии безопасности, особенно в сфере электронных платежей. Если вы постоянно и часто используете услуги Интернет-платежей, стоит задуматься о покупке отдельного дешевого нетбука или планшета, который будет использоваться только для платежей. К сожалению, защитить свой компьютер, используемый для активной работы в сети Интернет, задача крайне трудная даже для специалиста. При использовании отдельного компьютера только для интернет-платежей, вы имеете некоторую гарантию того. что он не будет атакован мошенником.
Правила использования платежных карт

При использовании платежной карты помните:

  • никто и ни при каких обстоятельствах не вправе просить вас сообщить ПИН-код вашей карты;
  • перед тем, как ввести данные платежной карты, убедитесь, что адресная строка начинается с символов “https://” (что соответствует защищенной передаче данных).
Используйте виртуальные платежные карты
Дополнительную защиту обеспечивает использование виртуальных платежных карт. Как правило, такая услуга предоставляется банками в рамках ДБО. по запросу система ДБО сгенерирует вам реквизиты физически несуществующей карты с очень коротким сроком действия (1-2 дня, в некоторых банках – на одну операцию). На такую карту можно перевести сумму, необходимую для разового платежа, оплатить ей товар или услугу в интернет-магазине и забыть о ее существовании.
Не используйте для оплаты карты с большим кредитным лимитом
Не используйте для оплаты карты с большим кредитным лимитом (особенно с овердрафтом). В этом случае вы рискуете не только собственными, но и заемными средствами, причем помимо заемных средств придётся выплачивать банку и проценты.
Ознакомьтесь с правилами предъявления претензий по мошенническим платежам
Заключая с банком договор обслуживания карточного счета и дистанционного банковского обслуживания, обязательно ознакомьтесь с правилами предъявления претензий по мошенническим платежам. Эти правила устанавливаются платежной системой, и банк обязан им следовать.
Используйте надежные пароли
Используйте длинные (не менее 9 символов) уникальные пароли, включающие в себя буквы, цифры и специальные символы.

К сожалению, выполнение этих рекомендаций не обеспечит абсолютную безопасность электронных платежей, но позволит существенно снизить вероятность стать жертвой мошенников.

Материалы по теме

Поисковые системы Рекомендации по поведению в сети Интернет