Контакты
Главная / Налогообложение

Безопасные платежи в сети интернет. Почему люди боятся платить в интернете? Пример проведения онлайн-платежа при работе технологии «Безопасные платежи»

Например, за 2011 год 15% взрослого населения России совершили покупки онлайн, а во 2 квартале 2012 года 13% всех покупок в Москве совершалось через Интернет. Согласно данным исследования компании HarrisInteractive, проведенного для «Лаборатории Касперского», 47% пользователей в мире совершает покупки через Интернет и 44% работает с онлайн-банкингом. Это особенно видно в канун больших праздников, таких как 8 марта и новый год, когда количество онлайн-покупок резко возрастает. В результате для пользователей значимость защиты при совершении онлайн-покупок становится все выше.

Реагируя «на опережение», «Лаборатория Касперского» реализовала в новой версии Kaspersky Internet Security 2013 технологию «Безопасные платежи» (SafeMoney), которая обеспечивает защиту платежей через сеть Интернет. Данная технология пришла на смену двум технологиям из предыдущих версий Kaspersky Internet Security – «Безопасной среды» («Песочницы») и «Безопасного браузера». И, если раньше пользователям приходилось самостоятельно запускать работу браузера в безопасном режиме, то теперь Kaspersky Internet Security 2013 разгружает пользователя, делая это автоматически.

В данной статье мы рассмотрим реализацию технологии защиты онлайн-платежей Kaspersky Internet Security 2013 и приведем практический пример ее работы.

Технология защиты

Одной из главных целей злоумышленников является кража, перехват и модификация данных пользователей – логинов и паролей к платежным системам (PayPal, WebMoney, Яндекс.деньги и т.д.), сервисам интернет-банкингов, а также номеров кредитных карточек. Получение этих данных злоумышленниками автоматически означает и получение ими денег пользователей.

Существует несколько основных проблем в безопасности операционных систем и прикладных приложений, которые могут приводить к потере финансов пользователей (таблица 1).

Таблица 1. Проблемы в безопасности и методы кражи финансов пользователей

Проблема в безопасности

Методы кражи

Отсутствие защиты соединения между клиентом и онлайн-сервисом.

Атаки, направленные на перехват данных. Например, сниффинг , подмена DNS/Proxy-серверов , Man-in-the-Middle , подмена сертификатов и т.д.

Отсутствие надежной идентификации оригинальных веб-сайтов (имитация настоящих сайтов).

Социальный инжиниринг, в частности фишинг . Пользователь перенаправляется на поддельный сайт и там его различными способами склоняют ввести свои учетные данные от оригинального сайта.

Наличие уязвимостей в операционной системе и прикладных приложениях.

Сбор данных на компьютере пользователя при помощи регистрации нажатий клавиш, снятия снимков экрана, кражи данных при помощи троянов и т.д.

Модификация данных, отправляемых в банк при помощи Man-in-the-browser

Подмена данных, передаваемых между браузером и веб-сервером. В этом случае пользователь может использовать различные средства защиты (токены, смарт-карты и т.д.) и хотя он видит в браузере правильные с его точки зрения данные, однако деньги перенаправляются не по его адресу, а по адресу указанному злоумышленниками

Многие антивирусы защищают пользователя только от части указанных проблем. Те же продукты, которые могут решать указанные проблемы по отдельности, не могут использовать их одновременно для решения проблем связанных с защитой онлайн-платежей.

Ставку именно на комплексное, многоуровневое решение сделала «Лаборатория Касперского» в своей новой технологии «Безопасные платежи». В работе данной технологии одновременно используются компоненты для поиска уязвимостей, проверки подлинности сайтов, блокировки подозрительных программных окон и защита вводимых с клавиатуры данных.

Решение о работе технологии «Безопасные платежи» вообще и при работе с конкретным сайтом в частности.

Включать ли работу технологии «Безопасные платежи» всегда или использовать ее только при работе с определенным сайтом – определяет сам пользователь. Если технология «Безопасные платежи» включена, то при доступе к платежным системам и интернет-банкингу веб-браузер запускается в безопасном режиме. В этом случае выполняется следующий набор действий:

  1. При переходе на сайт его адрес проверяется по базам доверенных адресов платежных и банковских систем, созданном и обновляемом в «Лаборатории Касперского». В результате пользователь может быть уверен в том, что он находится именно на оригинальном сайте банка или платежной системы, а не клоном, созданном злоумышленниками. Это также позволяет исключить внедрение постороннего процесса, а также атак типа «Man-in-the-Middle» и «Man - in - the - browser » в процессе доступа к сайту.
  2. Осуществляется проверка сертификатов подлинности сервера, что позволяет защитить пользователей от переходов на фальшивые сайты. Подтверждение сертификата является гарантией, что используемый онлайн-сервис проверен, владеющая им компания существует и осуществляется защищенное от перехвата данных соединение с сервером.
  3. Проводится анализ уязвимостей в операционной системе, которые могут привести к краже финансов, и предлагается пользователю закрыть эти уязвимости в автоматическом режиме.

Технология «Безопасные платежи» может использоваться для любых сайтов, работающих с платежными системами через защищённый протокол HTTPS. Kaspersky Internet Security 2013 содержит автоматически пополняемую базу веб-адресов, которые должны защищаться. При этом, если нужный сайт отсутствует в базе, то пользователь может добавить его вручную.

Важно отметить, что в безопасном режиме браузера работает не только технология «Безопасные платежи», но и другие компоненты Kaspersky Internet Security 2013 - система контроля программ (HIPS), технология «Автоматическая защита от эксплойтов» (Automatic Exploit Prevention), модуль анти-фишинга, защита от перехвата данных с клавиатуры и т.д. В результате совместного использования различных компонентов для решения одной задачи пользователь получает не набор разных компонентов безопасности, а интегральный эффект, возникающий при их взаимодействии (рисунок 1).

Рисунок 1. Графическое представление логики совместной работы нескольких компонентов безопасности

Еще одним инструментом для защиты данным пользователей является виртуальная клавиатура, которая позволяет защититься от программ, осуществляющих регистрацию нажатий клавиш на клавиатуре (keylogger), и снятие снимков экрана (screenshot). В Kaspersky Internet Security 2013 на основе технологий, реализованных в виртуальной клавиатуре, был реализован специальный драйвер, который позволяет защищать данные от перехвата при использовании обычной аппаратной клавиатуры. То есть набор данных с клавиатуры теперь защищен так же, как и при использовании виртуальной клавиатуры.

Рисунок 2. Виртуальная клавиатура в Kaspersky Internet Security 2013

Настройка работы с технологией «Безопасные платежи»

В любой момент пользователь может провести настройку работы компонента «Безопасные платежи» – добавить или удалить адреса, по переходу на которые браузер будет работать в защищенном режиме. Делать это не обязательно, так как Kaspersky Internet Security 2013 содержит большую базу адресов веб-сайтов, при переходе на которые браузер автоматически будет запускаться в безопасном режиме. Однако, если нужно добавить сайт вручную или наоборот, удалить сайт из списка, то нужно воспользоваться указанными настройками.

Настройку работы технологии «Безопасные платежи» можно осуществить двумя способами. Во-первых, из главного окна.

Рисунок 3. Главное окно Kaspersky Internet Security 2013

Для этого в нем нужно нажать кнопку «Настройки». В открывшемся окне нужно выбрать закладку «Безопасные платежи».

Рисунок 4. Настройки технологии «Безопасные платежи»

В настройках мы можем включить работу рассматриваемой технологии, включить/отключить оповещение при нахождении уязвимостей в операционной системе и редактировать список сайтов и сервисов, при доступе к которым браузер должен переходить в безопасный режим. При работе со списком нужно указать, как должен вести себя браузер при посещении защищенных сайтов – автоматические переходить в защищённый режим, спрашивать об этом пользователя или не переходить в него вовсе. Например, если мы для сайта «https://money.yandex.ru » указали, чтобы он всегда открывался в защищенном режиме, то при первом его посещении вопрос о типе запуска нам задаваться не будет.

Рисунок 5. Редактирование списка сайтов, защищаемых технологий «Безопасные платежи»

После того, как список сайтов отредактирован, можно переходить к осуществлению онлайн-платежей.

Второй вариант редактирования списка защищаемых сайтов – перейти в окно «Безопасные платежи» из главного окна или по нажатию на ярлык в виде пластиковой карты на рабочем столе.

Рисунок 6. Работа со списком защищаемых сайтов

Пример проведения онлайн-платежа при работе технологии «Безопасные платежи»

Рассмотрим работу технологии «Безопасные платежи» на примере покупке товара в интернет-магазине Ozon.ru при помощи платежной системы «Яндекс.Деньги».

Вначале мы переходим на сайт интернет-магазина Ozon.ru. Так как изначально мы не настраивали способ работы браузера с этим сайтом, то нам будет предложено запустить браузер в безопасном режиме работы и сохранить результат нашего выбора. Соглашаемся с предложенным режимом и движемся дальше.

Рисунок 7. Предложение запустить браузер в защищённом режиме

Если в системе не были установлены критически важные обновления, то Kaspersky Internet Security 2013 предложит это исправить.

Рисунок 8. Обнаружения критической уязвимости

В случае, если мы попытались перейти на сайт с поддельным сертификатом, то Kaspersky Internet Security 2013 заблокирует его открытие и предупредит нас об опасности.

Рисунок 9. Обнаружен веб-сайт с поддельным сертификатом

После этого мы можем заняться онлайн-покупками, добавляя и удаляя товары из виртуальной «корзины». После того как все нужные нам вещи выбраны, мы можем перейти к процессу оформления покупки.

Рисунок 10. Выбор товара для покупки

Потом выбираем платежную систему, при помощи которой будем оплачивать покупку.

Рисунок 11. Выбор платежной системы

После этого мы переходим в наш интернет-кошелек. Браузер будет запущен в защищенном режиме, что можно понять по зеленым краям браузера.

Рисунок 12. Внешний вид браузера при работе в безопасном режиме

Следует отметить, что в течение работы безопасного режима ввод всех данных защищен от перехвата специальным драйвером для стандартной клавиатуры, что не позволит вредоносным программам перехватить вводимые пользователем данные.

Собственно большой набор используемых технологий и особенности их работы будут интересны только специалистам, а для пользователей весь процесс заключается в добавлении сайтов в список в окне «Безопасные платежи» и подтверждении запуска браузера в защищенном режиме при первой работе с сайтом.

По результатам тестирования систем защиты онлайн-платежей от внешних атак чешской лабораторией Matousec , технология «Безопасные платежи» смогла отразить все 15 используемых в тесте атак.

Выводы

В заключении следует отметить, что, исходя из рассмотренного практического примера, работа с технологией «Безопасные платежи» предельно проста и не должна вызвать у большинства пользователей каких-либо проблем. Также положительной оценки заслуживает подход, ориентированный на пользователя, а не на решения определенного класса технических задач («песочница», анти-фишинг и т.д.).

Программное окно для управления компонентом «Безопасные платежи» сделано таким образом, что половину его пространства занимает статическая картинка, не содержащая функционального наполнения. Автор статьи считает такое решение достаточно спорным, однако это относится к области дизайна, и оценивается каждым пользователем индивидуально.

Какие действия предпринимаются в деле создания систем безопасных расчетов в сети Интернет и какие при этом используются технологические средства защиты? И почему, несмотря на якобы надежную защиту, продолжают процветать мошенничество и кражи в Интернете?

Лучше быть в безопасности, чем потом сожалеть.
Американская пословица

Не так давно автору довелось беседовать с одним из друзей, который в обычной застольной беседе внезапно заинтересовался, насколько же безопасны пластиковые карты вообще и использование их в расчетах при покупках в сети Интернет в частности. Попытки отмахнуться от него ставшей уже классической фразой «Полную гарантию может дать только страховой полис» ни к чему не привели. Подняв тему, он тут же запряг всю киплинговскую шестерку «Что? Почему? Когда? Как? Где? Кто?» и, пристегнув к ним своего любимца «А вот если?», этот друг, с детских лет отличающийся феноменально занудливой въедливостью, настроился услышать распространенные и доскональные ответы на все свои вопросы. Наверное, можно было бы ответить ему с большим усердием и постараться разложить все, как говорится, по полочкам, только вот интерес его был праздным…

Однако вопросы безопасности расчетов за товары и услуги в сети Интернет — вовсе не праздные, особенно с учетом широкого наступления электронной коммерции, залогом успеха которой становится постоянное увеличение числа пользователей Интернета, привлеченных более низкими ценами и отсутствием необходимости покидать дом или офис для приобретения товара или услуги. Как известно, жертвами онлайн-мошенников становятся не только держатели карт, пользующиеся услугами электронной коммерции, но и сами продавцы, предлагающие свои товары и услуги в сети Интернет.

Покупая в интернет-магазине и используя карту для оплаты покупки, держатель рискует потерять свои деньги, если данные его карты станут известны мошенникам, интернет-продавец же в свою очередь несет риск финансовых потерь, если товары или услуги были оплачены по украденной карте мошенником.

Эмитенты, эквайеры, крайние…

Напомним, что в платежных системах участники разделяются на банки-эмитенты, выпускающие карты для держателей, и банки-эквайеры (в частном случае эмитентом и эквайером может быть одна кредитная организация/банк), обеспечивающие прием выпущенных карт в точках продажи товаров и услуг. В соответствии с этим разделением строится следующая модель взаимодействия: обладатель карты осуществляет покупку в магазине, информация с магнитной полосы карты из магазина в форме запроса передается банку-эквайеру, обслуживающему этот магазин, оттуда, через сервисы самой платежной системы, — в банк-эмитент. Банк-эмитент производит проверку полученной информации о карте и держателе, а также состояния авторизационного лимита и по результатам проверки разрешает (или не разрешает) проведение транзакции. Положительный ответ банка-эмитента на авторизационный запрос является своего рода гарантией, что банк-эквайер получит средства и переведет их на счет магазина. По правилам международных платежных систем в традиционной торговле ответственность за мошеннические операции с картами распределяется приблизительно в равных пропорциях между банком-эмитентом и банком-эквайером, то есть в случае мошенничества держателю возвращает списанные средства либо эмитент (редкость в российских банках, где ответственность чаще перекладывается на держателя), либо эквайер за счет торгового предприятия. В интернет-коммерции же ответственность за мошеннические операции ложится уже однозначно на эквайера, который в свою очередь перекладывает ее на магазин, в итоге возврат средств обладателю карты осуществляется за счет интернет-магазина, через который прошла мошенническая транзакция. Отсюда следует, что наиболее незащищенным звеном в схеме совершения платежа в сети Интернет является онлайновая торговая точка, поскольку в конечном итоге именно за ее счет осуществляется возмещение убытков держателю карты. По описанной схеме работает значительное количество интернет-магазинов, принимающих к оплате карты, что предполагает наличие неких механизмов защиты, способных относительно успешно противостоять мошенничеству.

Протоколы и другие методы защиты

Меры, предпринимаемые участниками электронной коммерции для обеспечения безопасных расчетов в сети Интернет, всегда были достаточно многообразны.

Прежде всего, это обучение держателей карт минимальным навыкам для обеспечения собственной безопасности: пользование только знакомыми интернет-ресурсами, изучение порядка доставки товаров и предоставления услуг, проверка использования интернет-коммерсантом сертифицированных протоколов, гарантирующих безопасность передаваемой информации.

Кроме таких простых методов защиты от мошенничества, как воспитание держателей, безусловно, используются и технологические средства.

Широко используемый и ставший практически обязательным в интернет-торговле протокол SSL (Secure Socked Layer) позволяет всем участникам торговли спокойно передавать самую разную информацию. При попытке перехвата данных они будут закрыты шифром, взломать который за сколько-нибудь адекватный промежуток времени невозможно.

Грамотный держатель карты, пользующийся услугами интернет-ресурсов, осуществляющих продажу товаров и услуг, отнесется с предубеждением к отсутствию SSL у точки электронной коммерции. Протокол SSL использует технологию шифрования с открытым ключом и цифровые сертификаты для опознания сервера, участвующего в транзакции, и защиты информации в процессе ее передачи от одной стороны к другой по каналам Интернета. Транзакции протокола SSL не требуют идентификации клиента. Вначале клиент посылает сообщение серверу. Сервер отвечает и отправляет клиенту свой цифровой сертификат в качестве средства идентификации. Прежде чем продолжить транзакцию, клиент и сервер договариваются по поводу сеансовых ключей. Ключи сеанса — симметричные закрытые ключи — используются только в данной транзакции. Как только ключи выбраны, сеанс связи между клиентом и сервером продолжается, при этом используются ключи сеанса и цифровые сертификаты.

Итак, хотя протокол SSL надежно защищает информацию, передаваемую через Интернет, он не может уберечь частную информацию, хранимую на сервере продавца, — например, номера кредитных карт. Когда продавец получает данные кредитной карты вместе с заявкой на покупку, информация расшифровывается и сохраняется на сервере, пока заявка не будет выполнена. Если сервер не защищен и данные не зашифрованы, то возможен несанкционированный доступ к частной информации и дальнейшее использование ее в мошеннических целях.

В дополнение к использованию протокола шифрования передаваемых данных участники интернет-коммерции используют такие хорошо известные способы идентификации держателя карты, как проверка СVV2/СVK2-кодов (СVV2-код для карт платежной системы Visa и CVK2 — для MasterCard).

К способам идентификации стоит добавить проверку адреса AVS (Address Verification Service). Данная процедура в большей степени характерна для североамериканского рынка электронной коммерции, но, тем не менее, с ней приходилось сталкиваться и держателям карт российских банков, пытавшимся воспользоваться картами для оплаты товаров с доставкой на территории США.

Однако все эти меры безопасности явно недостаточны для обеспечения высокого уровня безопасности расчетов в сети Интернет.

Доля интернет-торговли неуклонно растет из года в год, увеличиваются обороты от продажи товаров и услуг в сети, пропорционально растет и количество мошеннических операций, но мало кто хочет отказываться от получаемых выгод, поэтому всех участников процесса все больше волнует безопасность проведения платежей и расчетов.

3-D — это не только захватывающие фильмы

Вопрос безопасности волнует не только держателя карты, производящего оплату товара в интернет-магазине, но и интернет-магазин, и эквайера, и эмитента, и больше всего — платежные системы, которые вкладывают огромные средства для обеспечения безопасности платежей и защиты от мошенничества.

Многочисленные попытки международных платежных систем сделать расчеты в области электронной коммерции максимально безопасными привели к появлению разработанного платежной системой Visa International протокола 3-D Secure.

Технология 3-D Secure представляет собой протокол аутентификации владельца карты при проведении покупок в сети Интернет, предназначенный для обеспечения безопасности интернет-платежей: проверка личности осуществляется в онлайн-режиме.

Основным действующим принципом технологии 3-D Secure стала гарантия безопасности проведения расчетов в системе электронной коммерции. Причем данная технология не только гарантирует сохранение в безопасности сведений о покупателях, но и в значительной степени способствует сохранению финансовых средств остальных участников платежа.

Реализуется технология 3-D Secure на основе трех доменов (что и заложено в ее названии), в которых начинается и завершается жизненный цикл транзакции. Это домен эмитента, в котором происходит аутентификация держателя, домен эквайера, включающий в себя банк-эквайер и интернет-магазин, и, наконец, домен взаимодействия, содержащий службы и сервисы платежной системы.

Цепочка, обеспечивающая безопасность 3-D Secure, состоит из таких звеньев, как:

— проверка личности владельца карты в реальном времени, которая начинается после ввода номера карты на платежной странице электронного магазина, откуда покупатель перенаправляется на сервер своего банка-эмитента. Для проверки используется пароль, известный только владельцу карты и банку;

— формирование банком-эмитентом по результатам проверки ответного сообщения, которое банк-эмитент защищает от несанкционированных изменений, используя цифровую пдпись;

— защита конфиденциальной информации пользователя, например номера карты, для чего используются защищенные страницы платежного сервера, на котором сохраняется введенная информация. Получатель платежа — электронный магазин — не имеет доступа к этой информации, что защищает от ее хищения.

Таким образом, 3-D Secure не только обеспечивает безопасное проведение платежа, но и разграничивает риски участников транзакции за счет четкого разделения функций при обработке платежной операции: банк-эмитент проверяет личность держателя карты, поскольку именно он располагает информацией о клиенте, а банк-эквайер автоматически организует связь с системой аутентификации эмитента, используя для этого сервисы платежных систем. Отметим, что, если мошенническая транзакция прошла через интернет-магазин, использующий технологию 3-D Secure, ответственность за нее, согласно правилам платежных систем, будет нести уже не эквайер, а эмитент, и при этом не имеет значения, использует эмитент технологию 3-D Secure или нет. Выгода использования протокола 3-D Secure для точки электронной коммерции понятна, а вот эмитенты попадают в сложную ситуацию, поскольку оказываются перед выбором: либо приобрести очень недешевое решение 3-D Secure и обезопасить своих клиентов и себя от мошенников, либо запретить держателям карт их использование в интернет-магазинах и потерять значительную часть клиентов, пользующихся интернет-коммерцией, либо ничего не делать и надеяться, что мошенничество не затронет их.

Можно с уверенностью сказать, что применение этого протокола гарантирует безопасность платежей через Интернет для всех пользователей в любых электронных магазинах.

В борьбе за безопасность интернет-платежей международные платежные системы действуют сообща, поэтому протокол 3-D Secure, предложенный Visa Int., был поддержан системой MasterCard Worldwide. Результатом сотрудничества в сфере безопасности интернет-расчетов стало появление программ Verified by Visa и MasterCard SecureCode. Обе программы для безопасных расчетов в Сети предлагают использовать технологию 3-D Secure.

В самом общем виде обе программы предлагают держателю карты для проведения интернет-платежей зарегистрироваться на сайте банка-эмитента и получить от него некое кодовое слово (число), которое потребуется ввести в всплывающем окне после решения держателя оплатить выбранный товар/услугу на сайте интернетпродавца. Именно по этому слову (числу), которое известно только банку-эмитенту и держателю, эмитент идентифицирует держателя и подтверждает возможность успешного проведения операции оплаты. Как вариант, кодовое слово или число может генерироваться единожды для каждой оплаты и высылаться SMS-сообщением на телефон держателя карты. В этом случае при регистрации держателю потребуется сообщить банку-эмитенту свой номер мобильного телефона, проконтролировать, чтобы на момент проведения операции телефон был в зоне действия оператора связи, и иметь положительный баланс на счете для успешного получения SMS-сообщения. Таким образом, проверкой введенной кодовой информации и отправкой банком-эмитентом ответного сообщения транзакция успешно завершается. Даны гарантии безопасности платежа и сохранности индивидуальной информации, эмитент и эквайер обеспечили проведение безопасного расчета, интернет-коммерсант продал товар, а держатель карты получил не только товар, но и новые преимущества от совершения покупки по 3-D Secure: в системе создается специальная регистрационная запись, фиксирующая платежи в Интернете, держателю не нужно иметь особую карту, чтобы оплачивать товары или услуги в сети Интернет. Кроме того, владельцам зарегистрированных карт Visa Int. предоставляет дополнительные удобства: возможность возврата денег, гарантированную защиту от мошенничества.

Прочитав все вышеизложенное, резонно задаться вопросом, почему же не все так хорошо, если все так хорошо? Почему продолжают встречаться случаи мошенничества и кражи персональных данных, почему Интернет кишит сообществами интернет-шоперов, делящихся информацией о потерянных деньгах и отказах в проведении платежей? Ответ прост — вся красивая модель работы 3-D Secure строится на непременном участии в этих программах и эмитента, и эквайера, и интернет-коммерсанта. Если держатель карты зайдет на сайт интернет-коммерсанта, участвующего в любой из программ Verified by Visa или MasterCard SecureCode, и получит отказ в проведении операции, это будет означать, что банк-эмитент, выдавший держателю карту, не присоединился к протоколу 3-D Secure.

По информации MasterCard Worldwide, в мире зарегистрировано более 470 тыс. интернет-магазинов, участвующих в программе MasterCard SecureCode, и примерно столько же участвующих в программе Verified by Visa.

А что в России?

В 2003 г. система ASSIST стала первой российской системой электронных платежей, сертифицированной Visa International по новой технологии 3-D Secure, что можно считать как значимым событием для самой компании, так и важным этапом в развитии электронной коммерции в России в целом. С этого времени система ASSIST выступает в качестве независимого провайдера аутентификации кард-холдера Verified by Visa.

Банки, принципиальные члены МПС, имеющие лицензию на интернет-эквайринг и заинтересованные в нем, могут подключать свои процессинговые центры к шлюзу ASSIST.

В деле обеспечения возможности участникам электронной коммерции принимать к оплате карты международных платежных систем активно стартовала компания PayOnline System — самая современная из российских систем интернет-платежей. Компания сертифицирована на соответствие PCI DSS и прошла сертификацию в международных платежных системах Visa International и MasterCard Worldwide.

Солидным игроком в области предоставления интернет-процессинга по банковским картам, работающим на российском рынке, является голландская компания CronoPay.

Интересным, на наш взгляд, явлением на российском рынке стала система HandyBank, которая представляет собой интернет-банковский сервис для пользователей — физических лиц. Этот сервис предоставляют банки — участники системы. HandyBank дает возможность клиенту банка круглосуточно с любого компьютера или мобильного телефона совершать интернет-платежи со счета своей банковской карты. Система только начинает свое развитие, но уже сейчас у нее есть ряд реальных преимуществ по сравнению с обычными карточными платежами в Интернете. Во-первых, высокий уровень безопасности: система позволяет совершать транзакции, не передавая в Интернет ни номера своей карты, ни ПИН-кода к ней, ни других ее реквизитов. Во-вторых, более широкий спектр платежных операций. Клиенты HandyBank могут оплачивать множество услуг в упрощенном режиме, совершать банковские переводы, платить налоги и штрафы (госплатежи), совершать интернет-покупки с банковской гарантией возврата денег при любых проблемах с поставкой товара. К дополнительным преимуществам можно отнести также мобильный банкинг и пополнение счета через терминальные сети.

Таким образом, у российской интернет-коммерции есть все необходимые ресурсы для того, чтобы привлечь к себе большое число интернет-покупателей, предоставив им широкий спектр предлагаемых товаров и услуг и продемонстрировав высокую степень защищенности расчетов.

***

По последним сообщениям, появившимся в СМИ, в кампанию по борьбе с интернет-мошенничеством включилась корпорация Microsoft. Как сообщает пресс-служба корпорации, Microsoft совместно с Национальной ассоциацией по борьбе с киберпреступностью (NCFTA) разработали систему Internet Fraud Alert, призванную противодействовать интернет-мошенникам. Инициативу поддержали eBay, система PayPal, Citizens Bank, а также американская Федеральная комиссия по торговле и некоторые другие организации.

Internet Fraud Alert позволяет создавать базу украденных данных о сетевых аккаунтах или кредитных картах. Информация будет максимально оперативно передаваться в организацию, обслуживающую владельца данных. Таким образом, банки и другие компании смогут обеспечить безопасность пользователя и, проанализировав механизм кражи данных, предотвратить новые случаи.

Все вышесказанное дает основания полагать, что защита платежей в сети Интернет есть краеугольный камень в деле дальнейшего развития электронной коммерции, и участие в этой работе таких монстров, как Visa International, MasterCard Worldwide и корпорация Microsoft, приведет к повышению безопасности производимых интернет-расчетов и, как следствие, к повышению уровня доверия держателей карт и пользователей интернет-коммерции.

Ну и, наконец, не забывайте о старом добром способе защиты — о страховом полисе, который в настоящее время предлагают в основном активные банки-эмитенты. Банки, заключая договоры со страховыми компаниями, предлагают держателям страхование рисков от мошеннических операций, а в связи с ростом количества таких операций страхование пластиковых карт становится все более востребованным как со стороны банков-эмитентов, так и со стороны держателей карт. Среди основных рисков, которые покрывает страховка карты, — получение мошенниками денег из АТМ с использованием украденной карты или поддельной карты, использование поддельной карты и поддельной подписи на платежных документах, совершение мошеннических операций по украденным данным карты в сети Интернет.

Банкам-эмитентам, которые хотят разрушить традицию перекладывания убытков по мошенническим операциям на держателей карт, следует серьезнее отнестись к этому перспективному способу защиты средств клиента и собственного имиджа.

С каждым днём пользователей интернет-магазинов и интернет-сервисов с возможностью оплаты банковской картой становится всё больше. Равно как увеличивается и число тех, кто при этом сталкивается с различными видами мошенничества. Ведь это так просто: оплатить "в один клик". И также просто потерять в этот же момент все деньги, находящиеся на карточке.

Способы изъятия средств с карты

Оплата банковской картой через интернет связана с серьезным риском потери средств, обманывать вас могут по-разному, например:

Один из самых распространенных способов обмана "фишинг" (по-русски, рыбалка). Суть фишинга заключается в том, чтобы создать сайт интернет-магазина с дешёвыми и необходимыми товарами, на который пользователь "клюёт", то есть покупает товары. При оплате покупатель вводит данные карты и теряет все деньги.

Второй способ обмана характерен не только для интернета. Связан он с тем, что при регистрации заказа покупатель оставляет контакты. Далее мошенники связываются с ним и под различными предлогами, представившись сотрудником банка или сотового оператора, просит предоставить конфиденциальную информацию: пароль, пин-код или код CVV2/CVC2 банковской карты. Используя полученные данные мошенники быстро выводят с карты деньги, оплачивая покупки или переводя средства на чужие счета.

Еще один способ использования чужой банковской карты - заражение компьютеров вирусными программами. Эти программы нацелены на хищение информации карты пользователя при её введении (номер, срок действия и т.д.). Программа сохраняет и пересылает эту информацию мошенникам. А далее можно прощаться с деньгами.

Правила безопасности

Обезопасить себя полностью невозможно. Но соблюдать элементарные правила при использовании банковской карты в интернете необходимо.

1) Никогда и никому не сообщайте платежные реквизиты своей банковской карты, особенно если мошенники звонят вам по телефону и, представившись сотрудником банка, просят назвать пин-код или код CVV2/CVC2. Банк может спросить последние 4 цифры или весь номер карты, но он не имеет права и не должен запрашивать код CVV2/CVC2 или пин-код. Кроме того, реквизиты не стоит пересылать электронной почтой. Помните и о том, что при оформлении интернет-платежа у вас не должны запрашивать пин-код.

2) Фишинговый сайт можно отличить от обычного: по сложносоставленному адресу, отсутствию отзывов, очень дешёвым товарам и услугам. Всё это должно насторожить и привести к отказу от покупки на данном ресурсе.

3) Необходимо установить и периодически обновлять антивирус. Также рекомендуется регулярно обновлять операционную систему. Делается это для того, чтобы вирусы не смогли обосноваться в компьютере. При обновлении системы разработчик дорабатывает ошибки системы и устраняет лазейки для вирусов.

4) Постарайтесь не использовать для покупок чужие компьютеры, не будучи уверенными в его безопасности. Особенно это касается интернет-кафе и компьютеров общего доступа.

5) При введении данных карты обратите внимание на адресную строку браузера. Конфиденциальная финансовая информация должна передаваться по защищенному соединению. В этом случае вы увидите, что адресная строка подсвечивается желтым цветом, присутствует значок замка, а адрес в обязательном порядке начинается с префикса https://. Если же вы щелкните мышкой по значку замка, браузер предоставит информацию об узле.

6) По возможности, необходимо запоминать часто используемые адреса интернет-магазинов и своего интернет-банка. Дело в том, что мошенники могут заменить всего 1-2 символа, а вы попадете на совершенно другой сайт.

7) Откройте карточку для оплаты в интернете. На неё переводите только ту сумму, которая будет необходима вам в тот или иной момент. Таким образом, оплачивая покупку вы исключаете снятие большей суммы денег.

8) Если оплата требует перехода по ссылкам, копируйте их в буфер обмена, не кликая по ним мышкой. Далее вставьте в адресную строку браузера. Связано это с тем, что показываться может одна ссылка, а при нажатии откроется другая, ведущая на мошеннический сайт.

9) Подключите услугу SMS-информирования, чтобы всегда быть в курсе состояния своего счёта.

10) Если вам по какой-то причине необходимо переслать фотографию банковской карты через интернет (почта, skype и проч.) помните о том, что существуют программы, котораые ищут и распознают подобные фотографии. А значит ваши данные могут попасть к мошенникам.

Здравствуйте, уважаемые читатели!

Известно, что в некоторых ситуациях платежи в интернете являются единственным удобным способом оплаты услуг или покупки товара. Что нужно делать, чтобы мошенники не добрались до вашего карточного счета? И как сделать, чтобы платежи в интернете были безопасными?

На территории России, по данным компании Nielsen (маркетинговые исследования), онлайн-покупателей насчитывается порядка 83%. Заметим, что в 2007-м году данный показатель достигал значения в 77%. После увеличения количества онлайн-покупателей возросло и число жертв для мошенников. Поэтому все пользователи должны придерживаться определенных правил безопасности, совершая покупки в Интернете.

1. Пользуйтесь услугами онлайн банкинга.

Услуги онлайн-банкинга включают в себя большое количество различных сервисов, доступ к которым можно получить в банковских отделениях. Пользоваться ими очень удобно, при этом вам не придется даже выходить из дома: возможно управление денежными средствами, счетами, транзакциями, переводами, депозитом, операциями над валютой.

2. Для оплаты с помощью банковских карт, заведите отдельную карту, которую будете использовать только для интернет-платежей.

Большая популярность банковских карт привела к появлению большого количества мошенников, которые только и думают, как опустошить чужой карман. С этой опасностью может столкнуться любой обладатель карты. Кража информации чаще всего происходит на этапе оформления онлайн-платежа или во время совершения банковской операции.

Для осуществления платежей в интернете указывается конфиденциальная информация: полное имя с фамилией, реквизиты кредитной карты, адрес, телефон и т.д. Если введенные данные оказываются в руках злоумышленников, хозяин пластиковой карты может оказаться вообще без денег, которые хранятся на счете.

Чтобы не попасться на уловки злоумышленников и не потерять все денежные средства с банковского счета, нужно подстраховаться: заводится отдельная пластиковая карта, с помощью которой и совершаются различные онлайн-операции. На ней можно хранить минимальные суммы и только для оплаты услуг.

Если данные этой карты украдут киберпреступники, то им все равно не удастся завладеть вашими деньгами. Пополнять счет можно перед самим процессом покупки, для этого с банковской организацией обговаривается ежедневная сумма, которая будет списываться с карточного счета без ограничений. Кстати, в системах онлайн-банкинга очень легко одновременно управлять несколькими счетами и картами, и совершать необходимые переводы в реальном времени.

Если вы хотите узнать, как именно нужно защищать свою карту, прочитайте

3. Пользуйтесь проверенными интернет-магазинами.

Сейчас в Интернете развелось много мошеннических онлайн-магазинов. На подобных ресурсах вам предложат большое количество различных товаров. Если здесь оплатить покупку, то в лучшем случае вы не получите ничего, а в худшем - лишитесь всех денег с кредитной карты.

Чтобы защитить свои платежи в интернете, обязательно ищите отзывы об этих компаниях. Если ничего не нашли и никакого доверия эта компания не вызывает, лучше отказаться от покупки.

И обязательно, используете надежные пароли для доступа к любым важным данным (электронная почта, онлайн-банкинг и т.п.). О том, как выбрать надежный пароль, узнайте из статьи -

С развитием инновационных технологий возможности всемирной сети становятся шире и сегодня затрагивают практически все сферы жизни человека. Так, в последнее время довольно активно многими используется интернет-банкинг, представляющий собой программу определенного банка, посредством которой пользователь может осуществлять финансовые операции с любого компьютера, подключенного к интернету. Однако такие услуги доступны только клиентам банков. Пользуясь подобными программами, многие обеспокоены , ведь встречаются ситуации, когда деньги пропадают с карты либо не поступают на нужный счет. Чтобы избежать действий мошенников и не бояться несанкционированного доступа к своим счетам, необходимо ознакомиться с основными правилами пользования интернет-банкингом.

Какие существуют средства защиты счетов от мошенников?

Главное правило безопасности интернет-банкинга предусматривает использование программ только известных и проверенных банков, которые постоянно совершенствуют средства защиты счетов своих клиентов. Сегодня практически каждый банк применяет SSL-шифрование информации, которой обменивается компьютер пользователя и банковская система. Этот современный метод позволяет избежать перехвата и изменения данных на пути от ПК клиента к банку. Однако следует помнить, что при совершении финансовых операций в онлайн-системе ни в коем случае нельзя реагировать на подозрительные сообщения, якобы пришедшие из банка, и переходить по незнакомым ссылкам на другие страницы.

С целью повышения уровня безопасности, клиентам предлагается получить одноразовые пароли, выдаваемые банкоматом.

В таком случае при входе в систему интернет-банкинга, помимо постоянных логина и пароля, понадобится ввести еще и одноразовый шифр, который подобрать злоумышленникам практически невозможно. Преимуществом такого варианта защиты является то, что получить чек с одноразовыми паролями может только человек, имеющий платежную карту и знающий пин-код. Пользуясь паролями чека для входа в систему, рекомендуется придерживаться следующих простых правил:

  • Не выбрасывать список шифров и стараться не терять его;
  • Не хранить чек вместе паролем и логином от учетной записи.

Еще одним распространенным методом для подтверждения личности при входе в онлайн-банк считается запрос одноразовых СМС-паролей. То есть при каждой операции, выполняемой пользователем, на его телефон приходит СМС-сообщение с кодом, который необходимо ввести. Известно, что обязательным условием подобных операций является привязка определенного номера телефона к банковскому счету. Среди достоинств такой системы безопасности можно выделить простоту процедуры и минимальное количество времени на осуществление операции. К тому же, даже если злоумышленник знает логин и пароль учетной записи, выяснить код ему не представляется возможным. Применяя одноразовые СМС-пароли, следует учитывать такие нюансы:

  • Нельзя пользоваться интернет-банкингом с мобильных устройств;
  • Не нужно сохранять пароль в браузере;
  • При потере телефона следует незамедлительно обратиться в банк для блокировки учетной записи, чтобы ею никто не мог воспользоваться.

Что представляет собой электронная цифровая подпись?

Вышеперечисленные способы обеспечения защиты счетов пользователей являются самыми распространенными, однако существуют и другие методы идентификации клиентов. Особое внимание стоит обратить на электронную цифровую подпись, которая применяется чаще всего для компаний, но иногда предлагается и индивидуальным пользователям. ЭЦП предоставляет возможность однозначно идентифицировать личность, но не стоит исключать опасности завладения ключом от цифровой подписи мошенниками, которые могут заразить ПК вирусными файлами специального предназначения.

На видео – о безопасных платежах в интернете:

Известно, что существует целый ряд троянских программ, направленных на обнаружение индивидуальных паролей, ключей ЭЦП и других аутентификационных данных. Поэтому необходимо устанавливать антивирусные программы и регулярно проверять ПК на наличие вирусов. Также стоит выключать программу ЭЦП, если она не используется.

Дополнительные способы обеспечения безопасности пользования интернет-банкингом

Клиентам банка предлагается приобрести (купить или взять в аренду) генератор паролей для одноразового пользования. Прибор подсоединяется посредством USB-порта к компьютеру, и для него не нужно устанавливать специальное ПО. Также возможна вероятность использования электронного ключа, генерирующегося при первом подключении механизма. Среди дополнительных способов защиты электронных счетов следует выделить:

  • Ограничение применения индивидуального сертификата, то есть воспользоваться электронным ключом для входа в учетную запись можно только с одного компьютера;
  • Виртуальную клавиатуру. Она предназначена для защиты от вирусов, которые могут считывать информацию при наборе данных на обычной клавиатуре;
  • Ограничение продолжительности сессии. Если пользователь в течение 10 – 15 минут не производит никаких операций, то система автоматически блокируется, и для входа в нее нужно заново ввести данные;
  • Историю защиты. С помощью данной функции пользователь может проверить, подключался ли кто-нибудь к его учетной записи, а также проведение несанкционированных операций.

На видео – об электронных деньгах:

Что делать в случае взлома учетной записи интернет-банкинга?

Если все-таки мошенники смогли добраться до учетной записи онлайн-банкинга, то рекомендуется предпринять следующие меры:

  • В первую очередь следует отключить ПК от интернета;
  • Заблокировать личную учетную запись, обратившись в банк либо контактный центр;
  • Сменить пароль и логин для входа в интернет-банкинг;
  • Работу возобновлять следует, убедившись, что угроза устранена.

По мнению экспертов, жертвой мошенников становятся клиенты, не соблюдающие осторожность при пользовании интернет-банкингом. Клиентам банка рекомендуется с периодичностью раз в месяц менять постоянный пароль доступа в систему, а также не входить в онлайн-банкинг с чужих компьютеров, особенно из интернет-кафе. Известно, что мошенники могут воспользоваться доверчивостью пользователей и заразить вирусами компьютер посредством электронной почты и через различные социальные сети. В случае кражи денег со счета, нужно отправить заявку в банк и правоохранительные органы для разбирательства.