Платить, не выходя из дома
Продолжая наше исследование виртуальной сферы и того, насколько она сегодня является частью нашей реальной жизни, мы задались вопросом: а как в этой сфере защищены наши деньги? И сразу же установили, что, согласно статистике рабочие станции, серверы аутентификации и резервного копирования, файловые хранилища и прочая материально-программная часть подвергаются атакам реже всего — в 10 процентах случаев.
Взломать сервер банка или платежной системы — это вам не телефон в подворотне «отжать». Здесь нужна целая команда опытных хакеров с дорогостоящим оборудованием. Поэтому такие атаки крайне редки и еще реже — удачны. Куда чаще взламывают менее защищенные объекты: веб-сервисы (в 10 процентах случаев), серверы приложений (12 процентов) и базы данных (около 30 процентов).
Ну и «лидерами» по взлому у злоумышленников являются обыкновенные платежные терминалы. Их можно взломать как электронными средствами, когда под удар попадает программная оболочка, так и обычным ломиком. В последнем случае, кстати, средства потеряет только владелец терминала, поскольку электронная система уже совершит все операции. И подходит это под статью «кража со взломом», а не под киберпреступление. Но речь сейчас не о трактовке преступных деяний.
В настоящий момент очень многие платежи можно совершать удаленно, через компьютер, мобильный телефон или терминал. Большинство из этих платежей совершать удаленно попросту удобнее — кликнул несколько раз в автозаполняемой форме да ввел пришедший код аутентификации, и не надо тащиться в банк и стоять в длинной очереди менее продвинутых плательщиков.
Некоторые платежи делать на расстоянии попросту безопаснее. Отсутствует риск при перевозке значительных сумм наличности. Есть даже те платежи, которые только удаленно и можно совершить. Например, покупки в интернет-магазинах, на торговых площадках в Сети или интернет-аукционах.
По данным портала для платежей pay2.ru, прирост количества электронных платежей составляет не менее 23 процентов ежегодно, а их общая сумма растет еще быстрее — примерно на 27 процентов. Так что интернет-приложения и терминалы буквально отвоевывают свою долю рынка. Теперь на наличность в СНГ приходится всего чуть более 60 процентов всех платежей, включая покупки в магазинах. И понятно, что с такой популярностью нового способа передачи денег интерес преступного элемента к нему тоже растет.
Защитить как получателей, так и плательщиков электронных переводов призвано множество средств защиты от специальных систем шифрования и сертификатов безо-пасности до двойной или даже тройной аутентификации платежей. Тем не менее, хищение средств с электронных счетов проходит с завидным постоянством. Попытаемся разобраться, почему.
Где, где?.. В Кызылорде!
Следует сразу отметить, что в любой электронной защите важен комплексный подход. Ни один, даже самый надежный и хитрый, шифр в итоге не устоит, если он будет единственной преградой. Поэтому некоторые банки и платежные системы внедряют не только SSL-сертификаты, но и множество технических средств защиты.
Так, например, для постоянных клиентов банка проще привязать платежную систему к стационарному IP-адресу и телефонному номеру клиента. Безопасность практически стопроцентная, но и неудобства тоже присутствуют — совершать платежи теперь можно только из определенного места или даже с определенного устройства.
Общим решением сейчас является разделение процедуры формирования платежа и процедуры подтверждения. Для аутентификации может использоваться как простой телефонный звонок, так и специальный код, высланный на мобильный телефон или электронную почту.
Вообще двойная или даже тройная аутентификация — один из самых простых, но в то же время надежных барьеров на пути мошенников к вашим деньгам. Для дополнительной клиентской защиты банки предлагают еще и комбинацию из данных карты, личных данных плательщика и набора кодов, например, CCV и ССV2.
Конечно же, уязвимости есть и в комплексном подходе. Но тут, как и в случае с любой электронной информацией, можно сделать процедуру взлома настолько сложной и невыгодной, что злоумышленники будут искать совершенно другие пути. Одним из наиболее уязвимых мест в системе электронных платежей является пересылка платежных и других сообщений между банками, банком и банкоматом, банком и клиентом.
То есть банковский сервер защищен более чем надежно. Сервер клиента, допустим, тоже. Но сообщения можно перехватить в то время, пока они направляются от первого ко второму и обратно. Именно поэтому службами безопасности сейчас уделяется огромное внимание совершенствованию каналов связи. Вводятся дополнительные информационные центры, в которых проходят шифровка и дешифровка платежных сообщений. То есть можно отправить не просто информацию о платеже, а зашифрованный пакет, раскодировать который будет почти так же непросто, как взломать сервер. А промежуточный центр может перекодировать сообщение еще раз и в более удобную форму.
В общем, электронные средства защиты дают надежду на полное исчезновение киберпреступлений. Но все без исключения специалисты по защите информации солидарны в том, что главная брешь в любой информационной обороне заключается в самих нас, то есть в людях. Не стоит также забывать, что безопасность денег на картах клиентов хоть и является для бизнеса вопросом репутации, но прямой выгоды, скажем честно, не несет.
Тем более, банковским организациям нет смысла прилагать сверхусилия для возврата средств или латания брешей в защите, когда утечка информации произошла по вине самого клиента. Более того, такие прецеденты становятся весомыми поводами предложить клиенту страхование вкладов и платежей, которое, естественно, далеко не бесплатное.
А основная проблема, как и всегда, в низкой технической грамотности пользователей платежных карт. Вот, например, один из наших авторов работает в Кызылординской области. Всех без исключения работников уранодобывающего сектора (которым он и является) обязали обзавестись зарплатными картами крупнейшего казахстанского банка. Карты-то они получили, а вот основы безопасности все еще не изучили. Девяносто восемь из ста случаев мошенничества с платежными системами связаны со взломом именно банковских карт. И в не менее чем трети случаев жертва самостоятельно выдает персональную информацию. Как же это происходит?
Как же уберечь нажитое и накопленное?
Тут сразу возникает ассоциация с рыбаками. Примерно пятнадцать процентов пользователей рано или поздно становятся жертвами фишинговых схем. Самый простой метод получения интересующей информации — рассылка спама, «червей», самых различных вирусов, приглашений на подставные ресурсы в Сети и так далее. Иногда пользователь даже самостоятельно отключает защитную систему своего компьютера, отвечая «да» на вопрос «доверяете ли вы этому ресурсу?». Не попасться на удочку можно только с помощью регулярного обновления защиты ПК (антивирусы и firewall) и простой внимательности.
Ну и уж, конечно, ни в коем случае нельзя вестись на психологические уловки и передавать личные данные в разговоре. Банальный, но эффективный эпизод мошенничества состоялся все в той же Кызылординской области. В день получения заработной платы некоторым сотрудникам (если не изменяет память, их было не менее десятка, пока факт мошенничества не вскрылся) поступили звонки с телефона-коммутатора. Ну, знаете, когда в номере множество нулей и выглядит он внушительно. Девушка, представившись банковским работником, попросила якобы для подтверждения перевода заработной платы назвать данные карты, а также специальный код, который придет в SMS.
Неопытные в таких делах работяги информацию, естественно, выдали. И более двух миллионов тенге утекло на счета-однодневки злоумышленников. Вернуть не получилось ничего. Со стороны банка это выглядело, как будто получившие зарплату сотрудники решили тут же сделать покупки с помощью системы QIWI. А полные данные и секретные коды не заставили сомневаться в легальности переводов.
И, конечно же, это далеко не единственный случай, когда жертва мошенников самостоятельно выдавала все данные. Мошенники сейчас обитают практически в любом сообществе, в интернет-магазинах, на форумах и в тематических группах. Против абсолютно всех из них сработают простые правила, если, конечно, их выполнять.
Первое и самое главное — никому и ни при каких обстоятельствах не сообщайте свои персональные данные, будь то дата выпуска пластиковой карты, имя на ней, логин и тем более — пароль от личного кабинета. Даже напрямую несвязанные с платежной системой данные могут быть использованы злоумышленниками для взлома, например, электронной почты или аккаунта в социальных сетях. И кто знает, куда может привести вся информационная цепочка.
При активном серфинге в Сети перед вводом пароля на любом интернет-ресурсе убедитесь, что используется защищенное соединение — адрес в строке браузера должен начинаться с https. При этом сам сертификат должен подписываться надежным центром, а сайт лучше «прогуглить» на предмет комментариев, рассказывающих о мошеннических действиях. Стоит потратить лишние 10-15 минут на всестороннее исследование, например, интернет-магазина, чем, потеряв средства единожды, потом еще и потратить куда больше времени, меняя все логины и пароли.
Зачастую интернет-магазины предлагают всяческие бонусы, программы лояльности и прочие положительные факторы при условии, что вы заполните анкету и разрешите обработку личных данных. Фишка тут в том, что, подтверждая обработку, вы автоматически даете этому сайту «карт-бланш» на копание в недрах вашего компьютера. Поэтому следует помнить про бесплатный сыр и его местоположение. И уж тем более не устанавливать всякие чекеры, приложения для автобонусов и прочие приложения, связанные с обработкой данных и тем более — вводом банковских реквизитов. В 99 случаях из 100 это явно мошеннический контент.
На самом деле, многие пользователи предпочитают вообще не использовать электронные средства платежа и перевода. Мол, не будет возможности, ничего и не украдут. Как подсказывает опыт, как раз наоборот. Чем менее вы осведомлены о системах взлома и защиты, тем более вероятно, что попадетесь на уловки злоумышленников. Вспомните кызылординских рабочих. Будьте внимательны и не давайте мошенникам добраться до ваших средств. По крайней мере, слишком просто.
