Незащищенный платеж: почему опасно платить в интернете?
Удобство и быстрота, которые предлагают карточные платежи, отнюдь не гарантируют сохранность данных и средств, невзирая на существующие меры защиты вроде 3D Secure. Специалисты еще раз рассказали о том, какие меры безопасности необходимо соблюдать пользователям при проведении платежных операций через интернет.
Эксперты говорят, что сегодня гарантированно безопасных мест в легитимном интернет-пространстве фактически нет. В пример этого можно привести атаки на популярную платформу WordPress — тысячи сайтов, находящихся под ее управлением, были взломаны в течение последнего месяца.
По данным Лаборатории Касперского еще одна система управления сайтами Magento содержит уязвимости, используемые злоумышленниками из группировки Magecart для похищения данных банковских карт клиентов интернет-магазинов. В процессе оформления заказа отображается фальшивое окно для ввода данных банковской карты, которые в дальнейшем пересылаются злоумышленникам. «После отправки сведений фишинговый диалог закрывается, а пользователь получает возможность внести свои платежные реквизиты повторно — на этот раз через легитимную форму магазина», поделился управляющий директор «Лаборатории Касперского» в Центральной Азии и Монголии Евгений Питолин. Особо внимательным пользователю необходимо быть на определенных категориях сайтов.
Зоны риска
Так, наиболее рискованными, с точки зрения безопасности, остаются платежные операции на сайтах с эротическим содержанием, сомнительными знакомствами и нелицензионным контентом. Кроме того, существуют целые сети мошеннических ресурсов, направленных на кражу криптовалюты, электронных денег и конфиденциальных данных пользователей. Мошеннические сайты оформляются под онлайн-лотереи, сервисы для аренды майнинговых пулов и другие ресурсы, связанные с темой виртуальных валют, говорит эксперт Лаборатории Касперского.
«Бывает, злоумышленники применяют индивидуальную технику внедрения вредоносного кода для переадресации посетителей сайта на криминальные ресурсы, промышляющие фишингом и распространением вредоносных программ», — поясняет он. Исходя из этого, пользователь просто обязан соблюдать правила виртуальной безопасности.
Как не стать жертвой?
Специалисты настоятельно рекомендуют не совершать оплату при подключении к публичному Wi-Fi, либо к сомнительной беспроводной сети. «Даже если сеть просит пароль, стоит проявить бдительность. Мошенники могут узнать пароль к сети, например, в кофейне, а затем создать фальшивое соединение с таким же паролем», — говорит Питолин.
Кроме этого, почти в обязательном порядке необходимо использовать услугу смс-информирования о совершаемых операциях, отслеживать операции через смс либо приложения и не использовать карточный счет для хранения крупных сумм. «При совершении операций через интернет на этапе получения одноразового пароля следует лишний раз проверить, куда именно совершается платеж. Многие банки предоставляют информацию о наименовании и сумме операции как в СМС, так и на странице для аутентификации», — говорит руководитель направления противодействия транзакционному мошенничеству SAS Россия /СНГ Кирилл Сарсенов.
Сообщения или звонки с просьбами назвать какие-либо реквизиты карты или пароли следует согласовать с банком. «Любые цифры на карте – это только ваше дело. Любой вопрос извне по поводу ваших карт – это повод заподозрить неладное», — отмечает специалист.
Следует учитывать безопасность ресурса, где проводится операция. «Стоит избегать платежей на непроверенных сайтах, где не поддерживается безопасное соединение или, например, не присылается смс-запрос на подтверждение», — говорит Сарсенов.
К ним относятся и сайты без защищенного соединения, и фишинговые рассылки (в том числе от имени банка), а также сомнительные приложения и смс-ссылки в различных мессенджерах.
Рисков оплаты нет, только если оплачиваете в известных интернет-магазинах, подчеркивает заместитель председателя правления АО «Fortebank» Руслан Омаров.
«В первую очередь пользователю нужно быть внимательным на каких веб-сайтах, приложениях он совершает покупки. Это должны быть известные и крупные маркеты, бренды и т.д. Мошенники иногда специально создают фальшивые страницы с привлекательными ценами, чтобы получить доступ к номерам карт и другой секретной информации», — говорит он. Но даже в случае если владелец карты дисциплинирован и соблюдает все названные правила, а его банк поддерживает технологию защиты платежей 3D-Secure, его может ожидать разочарование.
Что может пойти не по плану?
Как объясняет специалист «Лаборатории Касперского» Евгений Питолин, двухфакторная идентификация (одноразовые смс-пароли), которая предлагается на большинстве ресурсов, в том числе и довольно авторитетных, вопреки всему, не всегда надежный вариант. Этому есть несколько причин.
Пароль в смс могут подсмотреть посторонние, если на смартфоне включен показ уведомлений на экране блокировки. Даже если показ уведомлений отключен, можно извлечь SIM-карту из устройства, вставить ее в другой смартфон и принять смс с паролем. Сообщение может перехватить пробравшийся в смартфон троян. Наконец, смс с паролем может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому эти смс передаются, рассказывает эксперт.
«Стоит отметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в смс – с помощью взлома протокола SS7 – уже был использован на практике. Так или иначе, есть смысл использовать альтернативные варианты двухэтапной аутентификации», — подчеркивает Питолин.
Например, это могут быть одноразовые коды в файле, при этом лучше всего применять приложения для двухфакторной аутентификации, которые позволяют быстро генерировать одноразовые коды.
Специалист SAS Кирилл Сарсенов говорит, что 3D Secure не может гарантировать безопасность платежей, так как он является лишь одним из элементов стратегии банковской безопасности.
«Почему риски все равно остаются? Во-первых, увы, 100% защита просто технически невозможна – никто не даст гарантии, что через два дня хакеры не придумают способа обойти вашу самую совершенную защиту. Согласно отчетам, публикуемым компаниями, которые специализируются на обеспечении информационной безопасности, практически каждое банковское приложение имеет свои уязвимости», — комментирует Сарсенов.
Разумеется, не все из них опасны или легкодоступны для преступников. «Риски, бесспорно, остаются всегда, но их можно свести к предельному минимуму, если в банке проводится системная политика информационной безопасности с использованием современных антифрод-инструментов, а пользователь знает, что можно и чего нельзя делать при совершении онлайн-платежей», — заключил Сарсенов.