logo search
On-line платежи: удобства и потенциальные угрозы

Вывод

Несмотря на многочисленные преимущества on line платежей, которые повышают спрос на данную услугу, угрозу для развития данного направления составляют проблемы связанные с мошенничеством в Интернете, все больше клиентов опасаются пользоваться on line платежами в целях сохранения своих сбережений.

В следующей главе рассмотрены основные правила, которые необходимо соблюдать, чтобы уберечь свои деньги в сети.

3. Защита денежных средств в интернете

3.1 Защита клиентов банка

Чтобы обезопасить своих клиентов от мошенников, банки применяют различные схемы защиты. Обычно интернет-банки используют два пароля: первый -- для входа в систему и просмотра баланса по счетам, а второй -- для проведения платежей и других операций. Существует система одноразовых динамических паролей, которые банк высылает пользователю на мобильный телефон. Такие пароли активны в течение 30 минут; для следующего входа в систему необходимо получить новый динамический пароль. Перехватить такой код довольно сложно. Некоторые банки для удобства клиента предоставляют ему список одноразовых паролей, например в виде пластиковой карты с заштрихованными полями. Часто банки выдают клиентам аппаратные ключи, “токены”. Аппаратный ключ представляет собой брелок выдающий одноразовый пароль по запросу пользователя. Этот пароль обеспечивает дополнительную защиту авторизации или других действий пользователя. Некоторые банки предлагают специальные программы, которые устанавливаются на компьютер и через которые (вместо страницы банка в интернете) осуществляются операции онлайн-банкинга. Использование таких программ для транзакций снижает вероятность попадания пользователя на поддельный сайт. Ну и конечно, все банковские операции в Сети должны проходить через соединение, защищенное протоколом SSL (адрес в адресной строке должен начинаться с HTTPS, а в статусной или адресной строке браузера обязательно должна присутствовать иконка замочка).

Самостоятельная защита своих средств. Относитесь вдумчиво к выбору паролей. Выбирайте для онлайн-банкинга пароли со сложными буквенно-цифровыми комбинациями, используйте и заглавные, и строчные буквы. Храните ваши пароли и PIN-коды в недоступных для посторонних лиц местах.

При вводе конфиденциальных данных используйте виртуальную клавиатуру. Многие банки предлагают для своих онлайн-сервисов воспользоваться виртуальной клавиатурой и не набирать секретные данные вручную. Такой же способ предлагается и в решениях ведущих антивирусных компаний. Это позволяет уменьшить риск перехвата вводимой информации всевозможными кейлоггерами.

Выполняя платежные онлайн-операции, можно использовать и так называемую «песочницу», которая входит во многие антивирусные решения, и тем самым уменьшить риск перехвата конфиденциальных данных.

Термин «песочница» заимствован у пожарных, так они называют ящик с песком, предназначенный для безопасной работы с легковоспламеняющимися материалами. Такая же задача и у антивирусных «песочниц». Они создают изолированную среду, в которой можно запускать любую программу или веб-сайт без угрозы остальной системе -- в таком режиме она защищена от любых (в том числе и опасных) изменений. Например, включив безопасный просмотр веб-сайтов в KIS, все изменения (сохраненные файлы cookies, история посещения сайтов и т.д.), остаются в безопасной среде и не попадают в операционную систему, а значит, не могут быть похищены злоумышленниками. Также можно включить контроль доступа к сервисам интернет-банкинга, что поможет автоматически определять банковские сайты. По схожим принципам работают и подобные решения других разработчиков.

Следите за движениями средств на ваших счетах. В настоящее время многие банки предлагают чрезвычайно полезную услугу информирования клиентов обо всех операциях с картой по SMS. Если с карты снимается какая-либо сумма, клиенту на телефон приходит сообщение, информирующее об этом. Если эта сумма снята без вашего ведома, вы можете срочно связаться с банком и заблокировать счет. Также при открытии счета и получении банковской карты можно сразу оговорить ежедневную максимальную сумму движений средств. Так вы можете быть уверены, что мошенники не смогут единовременно незаметно снять с вашего счета крупную сумму. [6]

3.2 Элементы, указывающие на легитимность сайта

При осуществление on line-платежа следует принимать во внимание содержание элементов сайта, которые должны быть рассмотрены при выборе сайта для оплаты, на Рисунке 2.2 изображены основные элементы сайта.

Рисунок 1.1 - Важные элементы при оплате on lain-платежей

Рассмотрим Рисунок 1.1 более подробно:

Специальная карта для покупок. Прежде всего, чтобы не стать жертвой злоумышленников и не лишиться всех денег, которые хранятся на вашем банковском счете, вам нужно подстраховаться и завести себе отдельную пластиковую карту специально для онлайн-операций. На ней вы можете хранить небольшие денежные суммы. Даже если данные такой карты будут украдены, киберворы не смогут заполучить все ваши деньги. Вы также можете пополнять счет непосредственно перед каждой покупкой и обговорить с банком максимально доступную ежедневную сумму для снятия.

Выбор онлайн-магазина. Решив купить что-либо через интернет, потенциальный покупатель первым делом приступает к поиску и выбору интернет-магазина. Лучше всего делать покупки на известных и хорошо зарекомендовавших себя веб-ресурсах. Если по каким-то причинам это невозможно, будьте внимательны: мошенники придумывают все новые и новые способы обмана покупателей. На что же надо обратить внимание, чтобы не попасть в их сети?

Внешний вид сайта. При поиске онлайн-магазина существует риск попасть на сайт мошенников. Так как мошеннические сайты обычно создаются ненадолго, в России злоумышленники зачастую не утруждают себя аккуратным дизайном поддельных веб-страниц. Поэтому сайт мошеннического онлайн-магазина часто можно узнать по его оформлению. Такие сайты могут просто и дешево выглядеть, иметь изъяны (не работают ссылки, не воспроизводятся шрифты, текст неаккуратно оформлен и т.п.), а некоторые вкладки и страницы могут и вовсе не работать или выдавать ошибки.

Информация о магазине. Если вы ничего не знаете об интернет-магазине и у вас есть хоть какие-то сомнения относительно его легитимности, обязательно поищите в интернете информацию о нем. Можно попробовать поискать отзывы в поисковой системе, введя запрос вида “online-shop.com отзывы ” или “online-shop.com обман мошенничество”. Если магазин ведет нечестную деятельность, наверняка найдутся пострадавшие, оставившие свои жалобы на это в Сети. Обратите также внимание на наличие на сайте контактных телефонов, юридического адреса, банковских реквизитов. Такая информация тоже нуждается в проверке, например, через все ту же поисковую систему. Если же сомнения не пропали, лучше перестраховаться и поискать другой магазин.

Информация о домене. Обратите внимание на интернет-адрес магазина. У легальных уважающих себя магазинов и платежных систем не может быть “мусорных” интернет-адресов вида www.ds3a1000r1sad.isd3.com. Сайты онлайн-магазинов, домены которых зарегистрированы на бесплатных хостингах (таких как narod.ru, freehosting.com и т.п.), также должны вызывать подозрение. Если адрес сайта интернет магазина кажется вам подозрительным, можно узнать, на кого и на какое время зарегистрировано доменное имя, давно ли оно существует.

Найти и посмотреть регистрационную информацию о домене незнакомого интернет-магазина можно с помощью многочисленных whois-сервисов -- специальных сайтов, на которых можно посмотреть регистрационные данные домена. Для этого нужно зайти на сайт одного из таких сервисов (их нетрудно найти в поисковых системах) и ввести в поле имя домена.

Обратите внимание на то, кто именно зарегистрировал домен и как долго домен существует.

Домен интернет-магазина, зарегистрированный на юридическое лицо, должен вызывать больше доверия, чем домен, владельцем которого является физическое лицо. Также бывают случаи, когда имя физического лица, зарегистрировавшего домен, скрыто под маской “private person” или “ DOMAIN WHOIS PROTECTION SERVICE”, что означает, что человек не пожелал раскрывать свои персональные данные и подключил соответствующую услугу при регистрации. Если такое встречается в whois-данных крупного или известного онлайн-магазина, то это должно настораживать.

Чем дольше существует домен, тем лучше. Обычно мошеннические магазины быстро закрываются и поэтому не регистрируются на долгий срок. Если домен существует больше года, это говорит в его пользу.

Защищенное соединение. Найдя подходящий магазин и выбрав нужный товар, покупатель приступает к оформлению и оплате заказа. Для того чтобы злоумышленники не перехватили конфиденциальные данные пользователя, введенные на сайте интернет-магазина, необходимо, чтобы эти данные пересылались в зашифрованном виде.

Существует специальный криптографический защищенный протокол SSL (Secure Sockets Layer), предназначенный для шифрования потока данных, передаваемых между клиентом и сервером. Востребованность защищенных SSL-соединений привела к формированию протокола HTTPS, который является расширением протокола http и поддерживает шифрование. Он призван обеспечивать защиту от атак, основанных на прослушивании сетевого соединения, и используется большинством легитимных сайтов для защиты введенных пользователями конфиденциальных данных при их передаче на сервер.

Первое, на что стоит обратить внимание перед вводом секретных данных, это наличие в адресной строке браузера букв «HTTPS». Вот так должен выглядеть адрес сервера с защищенным соединением: https://www.online-shop.com.

Однако только наличия HTTPS в адресной строке сайта недостаточно для полной уверенности в его безопасности. Каждый сайт, использующий протокол SSL, должен иметь цифровой сертификат, выданный и подписанный центром сертификации, - электронный документ, идентифицирующий владельца. Такой сертификат гарантирует, что:

1. Данные сайта проверены центром сертификации;

2. Соединение защищено криптографическим алгоритмом;

3. Компания, зарегистрировавшая сайт, действительно существует;

4. Сайт принадлежит организации, которой был выдан сертификат.

О том, что сайт имеет сертификат, подписанный легитимным удостоверяющим центром и непросроченный, информирует иконка - замочек в адресной строке или строке состояния браузера (внизу, на рамке окна браузера). Внешний вид иконки защищенного соединения и место ее отображения могут различаться в разных версиях одного и того же браузера, а также в зависимости от настроек браузера и установок дополнительных плагинов.

Наличие в адресе https и сертификат подлинности - это, пожалуй, самые важные показатели легальности сайта. Нельзя считать безопасным сайт, адрес которого начинается с https, но который при этом не имеет сертификата подлинности.

Часто мошенники, пытаясь ввести в заблуждение пользователей, добавляют изображение замочка на страницу сайта, который на самом деле не имеет сертификата подлинности. Надо помнить, что иконка закрытого замочка, подтверждающая наличие сертификата, должна находиться строго в строке состояния браузера или в адресной строке, а при двойном нажатии левой кнопкой мыши на изображение замочка должно открываться окошко с информацией о сертификате.

Сертификаты подлинности. Необходимо проверять легитимность сертификата подлинности: к сожалению, мошенники научились использовать поддельные сертификаты. Лазеек для настоящих «профессионалов» много. Например, злоумышленники могут украсть сертификат, получить у сертификационного центра сертификат для какого-то другого сайта и использовать его для атаки. Кроме того, они могут создать сертификат самостоятельно и сами подписать его -- такие сертификаты называются “самоподписанными”.

Сертификат подлинности сайта можно проверить, кликнув на символ закрытого замочка. Главное, на что надо обратить внимание, - это имя удостоверяющего центра, т.е. кем выдан сертификат (например, наиболее известны доверенные центры сертификации Geotrust, Twante Consulting, Verisign), кому выдан сертификат, срок годности сертификата.

В современных браузерах существует встроенная система безопасности. Списки корневых сертификационных центров внесены в браузер разработчиками. Браузер считает сертификат подлинным только в том случае, если центр сертификации, который его выдал, есть в списке доверенных организаций, зашитом в браузере. Или если сертификат выдан компанией-партнером одного из доверенных центров сертификации. Если сайт имеет https, но не имеет сертификата, или сертификат выдан организацией, не входящей в число доверенных или просрочен, браузер подаст сигнал тревоги.

Если соединение на странице ввода конфиденциальных данных не защищено, мы рекомендуем вам выбрать для покупок другой интернет-магазин.

Оплата. Часто у покупателя существует выбор: оплатить товар через собственную форму оплаты магазина или воспользоваться одной из платежных систем (Paypal, payonlinesystem, WebMoney, ЯндексДеньги и другие). Если вы не слишком доверяете интернет-магазину или копании, выдавшей ему сертификат, вы можете выбрать оплату через сервис, которому доверяете больше. Это не обезопасит вас от перевода денег на счет мошенников, но сохранит ваши персональные данные и убережет от более серьезных потерь.

Сайт онлайн-магазина, на котором посетителю предлагается выбрать способ оплаты

После перехода на страницу ввода данных карты очень важно внимательно посмотреть на адресную строку. Если вы решили оплатить покупку с помощью предлагаемой платежной системы, например Paysystem.com, перешли по ссылке на страницу оплаты, а в адресной строке браузера отображается похожий, но отличающийся от легального адрес (например, Paysistem.com), или если соединение не защищено протоколом HTTPS, то вы определенно попали на мошеннический сайт. Надо ли говорить, что здесь ни в коем случае нельзя вводить свои личные данные. [5]

3.3 Правила, которые помогут уберечь деньги в Сети

Чтобы не стать, жертвой злоумышленников, пользуясь услугами интернет-магазинов и онлайн-сервисами банков, необходимо выполнять следующие правила:

· Создайте специальную карту для онлайн-покупок и не держите на ней большую сумму денег.

· Не переходите на сайты по ссылкам в почтовых сообщениях, сообщениях в социальных сетях и чатах или кликнув по рекламному баннеру на сомнительном сайте. Не переходите ни по каким ссылкам, присланным незнакомыми людьми.

· Перед совершением покупки в каком-либо интернет-магазине поищите отзывы о нем.

· Избегайте магазинов, зарегистрированных на бесплатных хостингах.

· Если сайт магазина вызывает сомнения, исследуйте на сервисах whois данные о времени существования домена, на котором размещен сайт, его владельце. Обратите внимание, на какой срок оплачен домен.

· Вводите адрес банка или платежной системы вручную.

· Финансовые организации никогда не присылают писем с просьбой отправить им свои личные данные в электронном сообщении, перейти на сайт для авторизации или ввести личные данные во всплывающих окнах. Не переходите на сайт по ссылкам, присланным от имени банковских организаций и платежных систем.

· Внимательно проанализируйте URL страницы с полями ввода конфиденциальных данных. Если интернет-адрес состоит из бессмысленного набора символов или URL выглядит подозрительно, не оформляйте на странице с этим адресом платеж.

· Проверяйте, используется ли при передаче ваших конфиденциальных данных шифрованное соединение. Если соединение защищенное, адрес сайта должен начинаться с https, а в адресной строке или строке состояния браузера должна быть иконка закрытого замочка.

· Кликнув по значку замочка, проверьте сертификат подлинности SSL, выданный сайту (когда, кем и на какой срок выдан).

· Старайтесь не пользоваться услугами онлайн-банкинга или делать онлайн-покупки в публичных местах (интернет-кафе, клубах, библиотеках). На таких компьютерах могут быть установлены различные шпионские программы, считыватели нажатий клавиш, перехватчики интернет-трафика. Даже если вы пользуетесь своим компьютером, но при этом осуществляете банковские операции по публичной бесплатной сети Wi-Fi, существует риск перехвата трафика администратором этой сети, прослушивания посторонними лицами и атак с использованием сетевых червей -- особенно, если сеть Wi-Fi не защищена паролем.

· Всегда держите вашу операционную систему и антивирусное ПО в актуальном состоянии. Самой хорошей защитой является установка самых последних обновлений и патчей операционной системы, спам-фильтров, сетевых экранов и самых свежих версий антивирусных и антишпионских программ с актуальными базами. Для дополнительной защиты можно установить аппаратный брандмауэр (тот же сетевой экран, только обеспечиваемый специальным устройством, выполняющим функции программного файервола). Для лучшей защиты сети аппаратный и программный сетевые экраны можно использовать в связке друг с другом, так как каждый из них имеет свои преимущества и недостатки. [7]

· Не оставляйте расчетные карты без присмотра и не передавайте третьим лицам.

· Никому не сообщайте ваш пароль от сервиса, который позволяет распоряжаться средствами, например, от интернет-банка или электронного кошелька.