Секреты безопасных онлайн-платежей
Покупать через Интернет — удобно и быстро. К этой мысли, похоже, приходит все больше россиян: по оценке Data Insight, онлайн-продажи в нашей стране год от года растут на 18-20%, а по итогам 2018-го их объем ожидается на уровне $1 млрд. И странно было бы, если столь мощным денежным потоком не интересовались бы жулики и воры всех мастей.
Они и интересуются. Соответственно, добропорядочному частному лицу или небольшой фирме, совершающим покупки в Интернете, необходимо заботиться о безопасности своих данных. В особенности тех, что позволяют производить списание средств с банковских счетов. Причем информация о платежной карте (номер, имя владельца, срок действия, защитный код) нуждается, конечно, в защите, но далеко не в первую очередь.
Припрячьте ваши денежки
Банкам наш тертый финансовыми кризисами народ в целом не слишком-то доверяет. Только в августе – сентябре текущего года, по данным ЦБ РФ, граждане ежемесячно выводили с банковских счетов около 200 млрд рублей. Покупая онлайн, многие также предпочитают не вводить данные карты, а пользоваться промежуточными сервисами.
Прежде всего речь идет о платежных системах PayPal, «Яндекс.Деньги», WebMoney, QIWI и т. п.: в целом по сравнению с банками они менее формализованы, зато не так универсальны и гибки. Одни из них предусматривают привязку банковской карты к счету, другие нет, где-то возможно проведение платежей между юридическими лицами, а где-то декларируется работа только в «физиками».
Безопасность размещенных в небанковской платежной системе средств определяется набором инструментов, который предусмотрен ее разработчиками для аутентификации их легитимного владельца. Тем, кто всерьез обеспокоен сохранностью своих денег в подобных системах, имеет смысл придумать как можно более заковыристый пароль (и не записывать его на видном месте!) и активировать двухфакторную аутентификацию через SMS при доступе к электронному кошельку.
На этом, собственно, всё. Ряд платежных систем предлагает некоторые дополнительные способы защиты, такие как привязка аутентификации в IP-адресу либо адресу электронной почты. «Белый», неизменный IP-адрес в наши дни не так-то просто заполучить, а взломать электронную почту, чтобы затем затребовать отправку на нее «забытого» пароля от электронного кошелька, задача вполне по силам даже начинающему хакеру.
Обращение криптовалют в России законодательно не отрегулировано, так что тему сохранности средств в этих платежных инструментах мы здесь затрагивать на станем. Тем более нынешнее состояние рынка криптовалют не способствует активному их использованию для регулярной оплаты товаров и услуг. Отметим только, что хваленый блокчейн — распределенный реестр — гарантирует (с рядом оговорок) лишь достоверность транзакций, осуществляемых между клиентами криптовалютной сети. Сами же эти клиенты подвержены хакерским атакам в неменьшей степени, чем электронные кошельки централизованных платежных систем.
Клиент не всегда прав
Смартфоны по статистике более уязвимы к атакам, чем персональные компьютеры под управлением MacOS или даже Windows. Главная причина — более беспечные в среднем пользователи, которые крайне мало заботятся о безопасности данных: манкируют установкой антивирусного ПО, безоглядно инсталлируют приглянувшиеся приложения из не самых заслуживающих доверия источников.
В результате, установив какой-нибудь красивейший анимированный скринсейвер и спокойно подтвердив в процессе инсталляции все его запросы (на доступ к данным адресной книги, внутренней памяти, возможности совершать звонки и т. п.), владелец смартфона через какое-то время может обнаружить, что все его банковские счета опустошены. Просто потому, что маскировавшееся под скринсейвер шпионское приложение передавало на сторону все чувствительные данные, включая пароли и коды двухфакторной аутентификации.
Точно так же уязвимы приложения и платежных систем, и онлайновых магазинов. Сколь бы изощренной ни была система подтверждения платежа внутри приложения, но если смартфон поражен вредоносным либо шпионским ПО по вине самого владельца, то с деньгами на счете ему придется распрощаться. Именно поэтому многие предпочитают совершать интернет-покупки, даже со смартфона, по старинке, через веб-браузер.
Однако и браузер, смартфонный либо компьютерный, также представляет собой приложение. В случае старого доброго ПК уровень безопасности при взаимодействии с ним несколько повышает развернутый в ОС антивирус — точнее, целая комплексная система компьютерной безопасности. Современное ПО такого класса включает, помимо собственно антивирусного агента, еще и брандмауэр, и встраивающиеся в браузер средства блокировки заведомо опасных для посещения сайтов, и режим запуска исключительно безопасного, проверенного ПО с блокировкой любой подозрительной активности.
Не все то полезно, что в роутер пролезло
А еще актуальные системы информационной безопасности предлагают для доступа к сайтам, на которых потребуется вводить данные банковской карты, особый – защищенный браузер. Строго говоря, он самый обычный (как и любое другое ПО, при желании его можно взломать), однако при должном использовании способен свести к минимуму угрозу компрометации финансовых данных пользователя.
Начнем с того, что безопасный браузер запускается только при посещении сайтов, связанных с оплатой товаров и услуг. Уже одно неиспользование его для серфинга в поисках торрентов и «вареза» заметно сокращает риск подцепить вредоносный код. Далее: при старте он тщательно проверяет работу всех компонентов защиты информационного периметра – от актуальности используемой ОС (установлены ли последние обновления безопасности для нее) до активности контроля за действиями развернутых в системе сторонних программ и даже блокировки создания снимков экрана.
Ради пущей безопасности ввод всех данных на странице онлайнового платежа имеет смысл производить не с аппаратной клавиатуры, поскольку клавиатурные снифферы порой ускользают-таки от внимания антивирусного ПО, а с экранной. Ее обычно предоставляют те же комплексные системы информационной защиты как отдельное мини-приложение. Перехватить ввод с экранной клавиатуры (если она не стандартная смартфонная, конечно) — задача чрезвычайно нетривиальная.
Впрочем, для тех, кто по-настоящему обеспокоен сохранностью средств на счете, с которого производится оплата товаров и услуг в Интернете, экранной клавиатуры явно окажется недостаточно. Таким параноикам (в хорошем смысле этого слова) банки предлагают аппаратно-программные комплексы двухфакторной аутентификации. Обычно это токены в виде флешек, которые вставляют в USB-порт смартфона либо ПК. Такой токен по заданному алгоритму непрерывно генерирует секретные коды, и при соединении с сервером банка производится верификация именно этих кодов — вместо тех, что присылают по SMS выбравшим чисто программную двухфакторную аутентификацию.
Аппаратным может быть и брандмауэр, защищающий от фишинга, спуфинга и прочих хакерских уловок компьютер (точнее, целую локальную сеть), откуда производятся интернет-покупки. С аппаратными средствами хакерам в целом труднее бороться, это требует дополнительных усилий. А зачем напрягаться, если в Сети в любой момент полным-полно совершенно беззащитных, никак не заботящихся о своей безопасности потенциальных жертв?
Тем более что со времен легендарного Кевина Митника социальный инжиниринг продолжает оставаться самым эффективным средством обхода любой цифровой защиты. Не поддаваться на провокации, никому и никогда не называть свои пароли и коды подтверждения, не переходить по подозрительным ссылкам, в том числе получаемым через SMS и мессенджеры, — вот базовые правила, которые позволят сохранить свои средства на счете.
А еще вернее будет завести для интернет-покупок отдельную дебетовую карту и перед каждой транзакцией переводить на нее с основной своей карты (для которой через банк вовсе заблокировать возможность онлайновых платежей) ровно необходимую в данный момент сумму, и ни копейкой больше.
Да, процесс онлайнового шопинга потеряет в стремительности, — зато на душе у вас будет гораздо спокойнее. И появятся лишние несколько минут, чтобы подумать: а так ли уж она вам нужна, эта очередная интернет-покупка?
Опубликовано 11.12.2018
