Центр исследования компьютерной преступности

home контакты

Безопасность онлайн-платежей или когда третий не лишний

Дата: 19.03.2013
Источник: Планета Internet
Автор: Елена Орлова, гендиректор PayU в России


hack/56248_main.jpg 2012 год был богат на скандалы, связанные с киберпреступностью.

Беспрецедентным случаем в истории интернета стал взлом серверов деловой сети LinkedIn с кражей аккаунтов 6,5 млн пользователей. Также год был отмечен утечкой 450 тыс. паролей пользователей одного из сервисов Yahoo, взломом серверов интернет-радио Last.Fm и кражей 420 тыс. паролей у сервиса Formspring.

Реальные и серьезные угрозы, исходящие от киберпреступности, мешают развитию e-commerce в России и во всем мире. Покупателям они не дают спокойно наслаждаться покупками и платить так, как им удобно, а продавцы терпят убытки от действий мошенников. У вопроса о безопасности онлайн-торговли и онлайн-платежей, таким образом, существует две стороны: безопасность для покупателя и безопасность для бизнеса. Посмотрим, что происходит и с тем и с другим.

Безопасность бизнеса

Интернет-магазины опасаются мошеннических транзакций. Если киберпреступники оплатят товар по чужой карте или с чужого счета, то магазин понесет убытки: потеряет товар, а также должен будет вернуть деньги истинным владельцам счета.

Бизнес имеет возможность снизить эти риски. Их частично берет на себя сервис, предоставляющий услуги приема денег в онлайне. Если допустить, что через PayU пройдет мошенническая транзакция и продавцу придется вернуть деньги, то компания компенсирует ему выплаченную сумму. Естественно, платежным агрегаторам платить за всех мошенников подряд не очень выгодно, и потому они усиленно следят за тем, чтобы система не пропускала мошеннические операции. В нашей компании есть антифрод-механизм, основанный на самообучаемых технологиях, которые «учатся», анализируя миллионы международных транзакций.

С другой стороны, интернет-магазин опасается обмана со стороны нечестного покупателя, который может подменить товар при доставке или вовсе не заплатить. В данном случае поможет четкая ориентация магазина на получение от покупателя предоплаты за товар при заказе на сайте. Как мы выяснили из собственного опыта, количество отказов по предоплаченным сделкам ниже.

В-третьих, бизнесу может угрожать хакерский взлом с кражей паролей от системы администрирования интернет-магазина (CMS) или от компьютера с финансовой информацией.

Подобный случай произошел с одним из наших партнеров, крупным интернет-магазином. Был украден пароль к административной панели сайта. В магазине работало много людей, имеющих административный доступ к разным модулям, что повышало риск похищения данных. Пароль к CMS украли у пользователя, имеющего доступ к рекламным областям. Хакеры вставили в баннеры магазина ссылку на вирус, что не лучшим образом сказалось на репутации компании. Хорошо, что только этим дело и закончилось, ведь хакеры могли бы «посадить» на сайт троянца, похищающего с компьютеров покупателей информацию, в том числе данные о счетах и банковских картах.

Для предотвращения подобных случаев рекомендуется использовать варианты доступа к CMS, которые не дают мошенникам шанса использовать данные во второй раз. Это виртуальные клавиатуры, одноразовые пароли (токены) и т.д. Также нужно предусмотреть возможность входа в административную панель только из определенной подсети.

Кража пароля от компьютера руководства может иметь еще более губительные последствия. У главного бухгалтера одного из интернет-магазинов похитили пароли к компьютеру. Бухгалтер внезапно увидел на экране сообщение о системной ошибке Windows, так называемый «синий экран смерти» (Blue Screen of Death, BSOD), а в это время мошенники переводили деньги со счетов компании через его компьютер. Затем ПК перезагрузился и больше не работал. Пока его в течение нескольких дней чинили, владельцы счета и не догадывались о совершенном мошенничестве.

В описанном случае поможет установка защиты на уровне периметра локальной сети или защита компьютеров антивирусами класса internet-security.

Безопасность покупателя

Во-первых, покупатель боится, что наткнется в сети на недобросовестный магазин и не получит оплаченный товар. Предположим, товара не будет на складе или он будет потерян при доставке. Чтобы снизить риски, нужна третья сторона, которая возьмет на себя гарантию безопасности сделки (Escrow). Это то, что делает PayPal на eBay. Еще один яркий пример: Китай, где 150 млн интернет-покупателей, а обороты онлайн-площадок в семь раз превышают обороты России. Китайцы расплачиваются в интернете с помощью дебетовых карт, выпущенных местными игроками. Однако они не платят этими картами просто так, напрямую. Они предпочитают защищенные сделки, с участием третьей стороны, которая берет на себя гарантию безопасности. В этой роли обычно выступает банк или платежная система.

Во-вторых, полученный товар может не соответствовать описанию. Например, вместо заявленного на сайте фирменного товара пришлют подделку. Выход тот же — третья сторона сделки. Обычно банки-эквайеры, которые процессят Visa и Mastercard, следят за тем, чтобы товар в интернет-магазинах был легальным. Вкупе с программами защиты покупателей (такую программу осуществляет и PayU), они составляют третью сторону, гарантирующую благоприятный для пользователя исход в случае спорной ситуации.

В-третьих, покупателю угрожает хищение данных карты. Страх, что мошенники получат доступ к банковской карте, наиболее распространен в обществе и потому больше прочих тормозит развитие рынка.

Похитить данные карты или счета может мошеннический интернет-магазин или программа-троян на сайте честного магазина. Именно по этой причине интернет-банкинг в Европе является наиболее популярным при оплате покупок, как наиболее безопасный. Вообще лучше не платить картами напрямую на сайтах интернет-магазинов, а обязательно использовать платежные инструменты, то есть электронные кошельки, платежные агрегаторы. Электронные кошельки, в частности, позволяют платить с карты опосредованно — привязать карту к счету в кошельке и не вводить на разных сайтах ее данные.

Есть еще один способ, о котором мало кто подозревает, это хищение аккаунтов и паролей с помощью сети Wi-Fi в кафе или любом другом общественном месте. Программу, которая покажет сидящим за соседним столиком злоумышленникам, что творится в данный момент на вашем компьютере, запросто можно скачать в интернете. Кроме того, они могут создать поддельную сеть в том же кафе, и в нее обязательно войдет кто-то из посетителей. Поэтому не рекомендуется пользоваться Wi-Fi-сетью в общественных местах для совершения финансовых операций, проверки почты или входа в аккаунты в соцсетях. Если же вы были вынуждены это сделать, сразу смените пароли.

Ищите третьего

Итак, представляется очевидным, что безопасность онлайн-платежей и покупок в интернете значительно повышается при использовании покупателями платежных систем: интернет-банкинга, электронных кошельков, платежных агрегаторов, поскольку они обеспечивают дополнительные способы защиты от взлома данных карт и счетов.

Некоторые из платежных систем берут на себя не менее важную функцию защиты сделок, как для покупателя, так и для продавца, выступая в роли третьей стороны. Как правило, такие услуги оказывают крупные международные платежные системы с хорошей репутацией и большим опытом работы.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2017 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.