Береженого кто бережет?

Наталья Шторм, MoneyNews. Специально для Bankir.ru 


Электронные платежи – модный тренд. После эйфории от возможностей приходит вопрос о безопасности.


Электронная коммерция занимает сегодня в мировой экономике заметные позиции. После нескольких лет обсуждений и дискуссий на рынке наблюдается реальное становление высокотехнологичного Интернет-бизнеса и в России. Однако даже при таком, казалось бы, успешном и бурном развитии рынка на его пути встречаются немало препятствий. Основным из них является недостаточная защита Интернет-платжей.


По данным экспертов рынка, развитие электронных платежных систем (ЭПС) в России проходит стремительными темпами. За последний год этот рынок вырос на 100–130%, и это еще не предел. Одной из причин такого развития стала ускоряющаяся "интернетизация" страны. Данные различных источников говорят об устойчивом росте российских пользователей Интернет. Достаточно быстро увеличивается и число электронных магазинов.


Рассматривая платежные инструменты, нельзя не упомянуть и такое средство, как "электронные наличные". За рубежом, а также в нашей стране развивается ряд проектов, реализующих этот подход. Однако из-за неурегулированности вопросов правового обеспечения, а также недостаточной защите, возникающих при работе с этими инструментами, представляется преждевременным говорить об их полномасштабном практическом использовании.


Интернет-обман: миф или реальность?


Таким образом, безопасность является ключевым вопросом для внедрения электронной коммерции. Легенды о мошенничествах, совершенных через Интернет, уже стали притчей.


Аналитики отмечают, что основным препятствием, возникающим на пути развития рынка Интернет-платежей, является психологический фактор, связанный с осознанием угрозы потенциального мошенничества. Люди до сих пор не рассматривают Интернет как безопасную среду, чему способствуют как объективная информация о степени безопасности работы в Интернете, так и новомодные фильмы и рассказы о хакерах, успешно преодолевающих любые препятствия на пути к сколь угодно защищенной информации. Опросы показывают, что более всего люди боятся потенциальной угрозы получения кем-либо их персональных данных при работе через Интернет. По данным платежной системы VISA около 23% транзакций ЭК так и не производится из-за боязни клиента ввести запрашиваемую электронным магазином персональную информацию о клиенте.


Мошеннические транзакции, совершенные с помощью украденных реквизитов карт, магазины, бесследно исчезающие с рынка после успешно исполненных афер, фиктивные магазины, предназначенные для сбора информации о картах клиентов, полная "очистка" электронных счетов - все это постоянные спутники сегодняшнего рынка Интернет платежей.


Как результат, люди главным образом используют Интернет в качестве информационного канала для получения интересующей их информации.


Что и говорить, даже некоторые интернет-продавцы утверждают, что каждая четвертая попытка провести транзакцию через Интернет является мошеннической. Большинство таких транзакций завершаются отказом от авторизации из-за неправильного номера карты и/или срока действия карты. Еще более угрожающе выглядят данные системы VISA, утверждающей, что 47 % случаев предъявления ее карточек через Интернет оказываются мошенническими.


От А до Я


Существует несколько видов классификации возможных типов мошенничества через Интернет. Наиболее часто используемой аналитиками рынка считается следущая:


- компрометация данных (получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные) с целью их использования в мошеннических целях;


- магазины, возникающие, как правило, на непродолжительное время, для того чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары;


- транзакции, выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т. п.);


- магазины и торговые агенты (Acquiring Agent), предназначенные для сбора информации о реквизитах карт и других персональных данных покупателей.


Решение проблем


Как уже отмечалось выше, многие потенциальные пользователи платежных интернет-услуг сомневаются в безопасности электронных расчетов. Эксперты утверждают, что защита системы интернет-банкинга более совершенна, чем, например, защита платежей с кредитных карт.


В мире пластиковых карт с магнитной полосой самым надежным способом защиты транзакции от мошенничества является использование PIN-кода для идентификации владельца карты его банком-эмитентом. Секретной информацией, которой обладает владелец карты, является PIN-код. Напомним, что основные преступления, которые сегодня совершаются в сети, основаны на воровстве номеров кредитных карт: для оплаты по счету необходимо ввести номер своей кредитной карты, и в момент ввода он может быть перехвачен. Специалисты по банковской безопасности сходятся во мнении, что в системе интернет-банкинга перехват информации во время работы клиента в программе исключен. Возможности обеспечения безопасности электронных платежей таковы, что даже у самого современного компьютера на расшифровку информации уйдет 100 лет непрерывной работы.


Обеспечить надежную защиту от подставки можно с помощью электронного бумажника клиента (специального программного обеспечения, которое клиент может "скачать" на свой компьютер с некоторого сайта), заменяющего по своей функциональности Java-апплет в форме ТП. Такой электронный бумажник может использовать сколь угодно мощные средства шифрования данных. Секретные ключи владельца карты могут держаться в порядке повышения надежности их хранения на диске компьютера, дискете или микропроцессорной карте. Доступ к электронному бумажнику должен производиться по паролю его владельца. 


Электронные деньги


Возможность моментального денежного расчета послужила мощным толчком для развития электронной коммерции. Число владельцев интернет-денег постоянно растет. Да и обороты электронных платежных систем составляют сегодня значительные суммы. Естественно, все это не может не привлекать к себе внимание разных мошенников.


Как отмечают эксперты, для того чтобы привлекать клиентов, необходимо развивать платежный бизнес. На сегодняшний день более актуальным становится вопрос оптимизации работы сетей. Владельцы терминалов делают упор на внедрении новых возможностей и переоснащении терминалов. Последний год линейка доступных сервисов существенно расширилась, пополнившись оплатой различных услуг, коммунальных платежей и штрафов.


Действительно, изначально e-деньги были задуманы для того, чтобы оплачивать товары и услуги в сети интернет. По словам начальника отдела маркетинга компании Rupay Ионкина Николая, основную массу платежей через электронные кошельки составляют онлайн-услуги и P2P (person-to-person). Именно поэтому динамика рынка электронных платежей (70% – 120%) в несколько раз опережает развитие электронной коммерции (30% – 45%).


Нужно заметить, что  большинство "акул" этого рынка (WebMoney, E-port, Я-Деньги т.д.), отмечают, что все электронные платежные системы обладают достаточно серьезной защитой. А поэтому взломать их "напрямую" практически невозможно. Для примера можно взять одну из самых распространенных в нашей стране систем - WebMoney. В ней абсолютно все операции вплоть до простого обмена сообщения между участниками выполняются с применением шифрования по криптоалгоритму, подобному RSA с длиной ключа 1024 бита. Между тем при современном уровне развития электроники взломать такой шифр за приемлемый срок просто невозможно. Таким образом, одна из самых серьезных опасностей Сети, перехват данных (сниффинг), оказывается бездейственной.


То же самое можно сказать и о других платежных системах. Так, например, в E-port все данные между компьютером клиента и сервером передаются по протоколу SSL 3.0 с длиной ключа до 128 бит. Правда, в этом случае пользователю нужно быть очень осторожным. Дело в том, что многие старые версии браузеров поддерживают шифрование с ключами меньшей длины (56 или даже 40 бит). В этом случае злоумышленник может попытаться взломать перехваченные данные и имеет все шансы на успех. Поэтому, пользователи всех электронных платежных систем, использующих для работы не специальное программное обеспечение, а обычный браузер, должны иметь, хотя бы, последнюю его версию. 


Сравнительная таблица надежности платежных систем


'Береженого


Источник: CNews Analytics


Другим часто используемым хакерами приемом является подмена пользователя. То есть злоумышленник некоторым путем (например, с помощью подбора пароля) входит в систему от имени зарегистрированного клиента и получает доступ к его кошельку. Естественно, разработчики электронных платежных систем не могли не учесть это. Наиболее удачно описанная проблема решена у WebMoney и "Яндекс.Деньги". Вообще, во всех системах используется парольная защита. Между тем ни для кого не секрет, что большая часть пользователей применяет крайне слабые с точки зрения информационной безопасности ключевые слова. Кроме того, у злоумышленников есть немало способов получения паролей пользователей. Для этого могут использоваться троянские кони и программы-кейлоггеры. Кроме того, некоторые люди применяют одно и тоже ключевое слово для доступа ко всем интернет-сервисам. Таким образом, злоумышленнику достаточно получить пароль человека к слабо защищенной системе и использовать его для доступа к электронной платежной системе.


Конечно, эксперты рынка утверждают, что на сегодняшний день электронные платежные системы достаточно хорошо защищены практически от всех "технических" опасностей. Самым слабым "звеном", по их словам, являются чаще всего становятся люди, пренебрегающие элементарными правилами безопасности работы в Сети, а также те, кто соблазняется чересчур заманчивыми предложениями мошенников.


Однако есть и другое мнение. Так, Директор Банковского института Высшей школы экономики Василий Солодков, отмечает, что операции с электронными деньгами, расположенными в платёжных системах Интернета, не могут считаться безопасными. Ведь электронные кошельки – это не банковские счета, а финансовые объединения частных лиц. "Если банковскую сферу контролирует Центробанк, то сфера электронных денег в России никак не регулируется законом. Поэтому, если сегодня вы переведёте на электронный интернет-кошелёк определённую сумму, а завтра она попросту исчезнет, вам даже некому будет предъявить претензии" – резюмирует он.


От себя могу добавить, что рынок защиты платежей в Интернете, пока далек от идеального. Я на собственном примере убедилась, что, даже соблюдая все предписываемые "правила безопасности", можно стать жертвой или попасть впросак. Остается надеяться, что в ближайшей перспективе, прогнозы экспертов оправдаются и все денежные действия, совершаемые в Интернете, перестанут пугать "юзеров"  возможным мошенничеством.






Источник: www.moneynews.ru
  • управление бюджетом