Главная>Финансы>Фишеры, кейлоггеры и другие "пауки" Интернета

Фишеры, кейлоггеры и другие "пауки" Интернета

Рубрика: ФинансыРаздел: Платежные карты
дата:20-07-2010

Популярность Всемирной паутины даже в нашей стране стремительно растет: по данным компании InMind, проникновение Интернета в Украине во II квартале текущего года достигло 32%. Каждый третий украинец пользуется сетью ежемесячно, а каждый пятый - практически каждый день, приобщаясь к благам "онлайнового" существования.

Например, таким, как электронная оплата товаров, услуг, коммунальных счетов или мобильной связи. Однако в сети - как в трамвае: чем больше людей, тем выше риск выйти без кошелька. Тем более что технологии интернет-мошенничества, как и способы защиты от них, не стоят на месте.

Попасть в сети

Действительно, передача денег "не вставая со стула" - во многих случаях наиболее приемлемый вариант расчетов. При этом все платежные системы, предоставляющие такую услугу, несмотря на их великое множество, можно разделить на два основных вида: те, которые открывают клиентам счета в привычных деньгах и выпускают пластиковые карточки (Visa, Master Card, American Express), и те, которые используют электронные суррогаты денег - "электронную наличность" (WebMoney, PayCash). Существуют также системы, служащие своего рода "буферами обмена" между сетью и системами, эмитирующими карточки (Portmone.com, FlashCheque).

Сами же интернет-платежи традиционно делятся на моментальные, регулярные и так называемую электронную коммерцию. Моментальные - это в основном оплата всевозможных услуг телекома (мобильная связь, Интернет, цифровое телевидение). Регулярные платежи - по сути, то же самое, что и моментальные, но осуществляются они на регулярной основе путем предоставления платежной системе полномочий распоряжаться вашими деньгами от вашего имени (скажем, ежемесячно списывать с вашего счета сумму на оплату коммунальных услуг). Что касается электронной коммерции, то из всех ее секторов - G2B (Government-to-Business), B2G (Business-to-Government), B2B (Business-to-Business), B2C (Business-to-Customer), C2B (Customer-to-Business) и C2C (Customer-to-Customer) - в Украине популярны два. Определенное развитие в виде интернет-магазинов получил сектор B2C и C2C - для перевода денег от пользователя к пользователю, как чаще всего осуществляют оплату труда фрилансеров, трудовые отношения с которыми никак не урегулированы.

При этом вопрос безопасности онлайн-расчетов остается актуальным вне зависимости от вида платежа или выбранной пользователем системы. Дело в том, что в Украине до сих пор нет юридического понятия "электронные деньги", поэтому в бухгалтерской отчетности таких систем, как WebMoney, все операции отражаются как переуступка прав требования. Так же работает и Portmone.com, функция которой - передавать от компаний в банки не деньги, а информацию об их передвижении. Понятно, что практически любая уважаемая платежная система прилагает максимум усилий по обеспечению безопасности платежей своих пользователей - от этого зависит ее имидж на растущем рынке. Однако досадные инциденты время от времени все равно возникают.

При этом операторы - будь то банк или платежная система - склонны обвинять во всем не себя, а невнимательных клиентов, допустивших утечку личной финансовой информации. "В мире системы онлайн-расчетов прошли нелегкий путь развития и наработки методов борьбы с мошенничеством, и Украина сейчас имеет значительное преимущество - использование опыта европейских коллег для максимальной защиты пользователей, - акцентирует директор Portmone.com Игорь Горин. - Поэтому со стороны банков, платежных систем, авторизованных сайтов системы оплаты защищены. Большинство случаев мошенничества в Украине вызвано недостаточной ознакомленностью пользователей с базовыми правилами пользования платежными картами, несоблюдением правил безопасности и использование устаревших технологий".

Но даже если клиент полностью уверен в собственной правоте, доказать факт утечки информации именно от оператора практически нереально. Так же, как и вернуть украденные хакерами деньги. Так что если уж пользоваться этим сервисом, то стоит подойти к вопросам безопасности очень серьезно.

Ликбез для Мухи-Цокотухи

По мнению специалиста по безопасности "Майкрософт Украина" Игоря Мальченюка, риски при совершении онлайн-платежей можно разделить на два типа: человеческие и технологические: "При этом самым слабым звеном являются сами пользователи, и злоумышленники этим активно пользуются. Ведь правила безопасности часто касаются не только онлайн-оплат, но и пользования картами вообще, например: "не передавать карту или ее реквизиты третьим лицам" либо "внимательно читать условия предоставления сервиса на сайте". Если львиную долю технологических рисков помогают решить браузер со встроенными функциями безопасности, а также обновленная легальная операционная система и антивирус, то человеческие риски клиент должен предупреждать сам", - убеждает он.

По наблюдениям господина Мальченюка, к наиболее распространенным в нашей стране рискам технологического характера относятся такие способы перехвата платежных данных пользователя, как фишинг и кейлоггинг. Фишинг - это своего рода "ловля доверчивых пользователей": маскировка сайта под известную платежную систему или банк с целью получения данных пользователя. На адрес пользователя поступает письмо якобы от платежной системы, в котором сообщается, что электронный счет заблокирован. Если выполнить предложенные в письме инструкции для "разблокирования" счета, появится знакомое окно платежной системы для ввода логина и пароля. Это и является основной целью мошенников - украсть реквизиты пользователя благодаря фальшивому сайту, похожему на оригинал, для доступа к конфиденциальным данным.

Кейлоггер (от англ. key - клавиша и logger - регистрирующее устройство) - это относительно новый вид вредоносных программ, регистрирующих нажатие клавиш на компьютерной клавиатуре. Обычно такие программы перехватывают данные, которые вводятся при регистрации на сайте или при осуществлении платежей, а после отсылают мошенникам - таким образом личные данные "утекают". "Самая действенная защита на сайтах от кейлоггеров - использование "виртуальной клавиатуры", изображенной на экране компьютера, клавиши на которой каждый раз располагаются в произвольном порядке, а цифры нужно нажимать не клавиатурой, а мышью", - подсказывает начальник службы мониторинга и безопасности Portmone.com Олег Гавриляк.

Человеческий же фактор имеет в себе две - часто взаимодополняющие друг друга - составляющие: недостаточный уровень образованности и/или банальная общенациональная любовь к халяве. Нередко современный пользователь получает письма с просьбой зайти на некий сайт, где у получателя, как правило, просят помощи во многомиллионных денежных операциях, обещая солидные проценты с сумм.

После согласия пользователя у него постепенно выманиваются деньги якобы на операции по оформлению сделок. В последнее время такой вид мошенничества был модернизирован и адаптирован для выуживания банковских данных. "Ситуация обычно выглядит следующим образом: человеку приходит письмо якобы от имени банка, в котором сообщается, скажем, о сбое в программном обеспечении или о новых настройках безопасности, которые позволят защитить интересы держателя карты. Письмо содержит просьбу подтвердить персональные данные и реквизиты карты, для чего предлагается пройти по ссылке. Ссылка, если ее открыть, будет точной копией сайта банка с единственным отличием - это подставной сайт, созданный специально с целью сбора данных", - предостерегает Олег Гавриляк.

Шпаргалка юзера

  • Убедитесь, что в поле "Адрес" выбранного сайта указан именно необходимый web-адрес, а не просто похожий на него. При оплате же или вводе конфиденциальной информации о карте обратите внимание, чтобы сайт был защищен: в адресной строке браузера адрес обязательно должен начинаться с https:// (а не просто http://), а в окне браузера должен появиться значок "закрытый замочек".
  • Никогда не вводите PIN-код платежной карты в Интернете. На безопасных сайтах он никогда не используется. Стоит также помнить, что для ввода CVV2-кода (специальный код для оплаты картой в сети) на защищенных сайтах используется "виртуальная клавиатура".
  • Перед тем как вводить данные своей платежной карты, прочитайте условия предоставления сервиса и убедитесь, что сайт не запоминает ваш пароль при входе в секцию для зарегистрированных пользователей. Если вы производите оплаты с публичного компьютера, включите в браузере режим "приватного просмотра" (InPrivate Browsing).
  • После осуществления платежа распечатайте подтверждение проплаты в интернет-магазине (интернет-страничку) с указанием адреса сайта и реквизитов магазина. Также стоит использовать SMS-банкинг: в случае любой транзакции держатель карты получит SMS о проведенном платеже и сможет, в случае чего, быстро заблокировать карту и оспорить операцию.
  • В идеале - не храните на карточке суммы денег больше, чем требуется для совершения единоразового платежа. Пополняйте счет непосредственно перед проведением платежа, либо блокируйте карту для онлайн-расчетов и снимайте этот блок перед процессом оплаты. Еще один вариант - завести специальную карту для интернет-платежей, которую можно будет в случае необходимости пополнить через банк с основной - кредитной или зарплатной - карты.

Максим Услистый, старший юрист адвокатской фирмы "ПАРИТЕТ":

- За последние 10 лет в Украине был принят ряд нормативно-правовых актов для формализации мировых тенденций относительно определения юридической силы электронного документооборота и электронной торговли, прав и обязанностей участников, ответственности сторон. Однако с практической точки зрения рынок по-прежнему остро нуждается в дальнейшем нормативном закреплении основ электронной коммерции, принятии ряда специальных законов, внесении существенных изменений в действующее законодательство Украины относительно заключения договоров в электронной форме.

По общему правилу, установленному действующим законодательством Украины, участники рынка электронной коммерции (юридические и физические лица) могут предоставлять услуги в данной сфере с момента их государственной регистрации без каких-либо дополнительных процедур, в случае если иное не предусмотрено законодательством Украины о лицензировании определенных видов хозяйственной деятельности.

Юридически же предложение товаров и услуг через Интернет не может рассматриваться в качестве договорного предложения (оферты), а заключается лишь в информировании потребителя о возможности предоставления ему такой услуги. Непосредственное заключение договора возможно лишь в случае, если потребитель получит четкую информацию о том, что заказ принят, или же если товар будет получен сразу же после заказа. Однако даже такой подход не является распространенным для украинских сервис-провайдеров ввиду того, что по сложившейся практике интернет-магазины и другие онлайн-ресурсы зачастую не предоставляют клиентам никаких договорных условий.

Следствием вышеуказанного является невозможность полноценной защиты клиентом собственных прав. При таких условиях единственным выходом является защита собственных интересов на основании законодательства о защите прав потребителей, а также в порядке административного и уголовного законодательства в случае мошенничества и других правонарушений со стороны продавца или третьих лиц.

В этом случае доказательствами могут служить: выписки из банковских счетов о снятии/блокировании средств, должным образом удостоверенные документарные подтверждения об оплате товаров/услуг, включая электронные чеки и коды транзакции. Однако даже такой подход не является 100-процентной гарантией защиты прав обманутого потребителя, исходя из все той же неопределенности электронных носителей информации в украинском законодательстве.

Алина Полищук

По материалам: http://news.finance.ua

<<< Предыдущая статья Следующая статья >>>

Материалы раздела Платежные карты