Главная задача PayPal - залатать дыры в системе безопасности
Предлагаем вашему вниманию перевод текста интервью Майкла Барретта (Michael Barrett) изданию Computerworld. Глава отдела безопасности PayPal подробно описывает будущие шаги компании в борьбе с фишингом. Не секрет, что именно PayPal является сегодня самой привлекательной мишенью для злоумышленников.
Computerworld: Как Вы считаете, почему на PayPal так часто посягают хакеры?
MB: Вообще, на это есть две причины. Первая, очевидная, заключается в том, что наша клиентская база очень велика и насчитывает 133 миллиона человек по всему миру. Кроме того, наша бизнес-модель позволяет без труда передавать деньги между всеми нашими клиентами. Это по определению делает нас и наших клиентов лакомой приманкой мошенников.
Computerworld: Какова ваша основная задача в сфере безопасности на данный момент?
MB: Самая большая проблема – это фишинг. Это именно тот вид мошенничества, с которым связано большинство жалоб наших клиентов. Пользователи PayPal хотят, чтобы мы занимались этой проблемой и мы ею сейчас активно занимаемся. Убежден, что для борьбы с фишингом не существует какого-то универсального метода. Это проблема всего рынка. Фактически, на данный момент мы пытаемся предложить рынку наиболее подходящее решение.
Computerworld: Какие шаги предпринимает PayPal в борьбе с фишингом?
MB: В основном мы применяем пока что незаконченную стратегию борьбы. Иногда люди говорят, что проблема спама не подконтрольна. Я не согласен с этим. Если вы имеете в виду полное отсеивание спама и фишинговых писем, то это практически невозможно. А вот добиться того, чтобы количество подобных писем было минимально – это вполне реально. Более того, я готов сказать, что мы уже знаем, как технически осуществить это. Я думаю, что, в общем и целом, мы не дали контроль над этим покупателям.
Computerworld: О каком контроле идет речь?
MB: Пару лет назад активно обсуждалась технология электронной подписи e-mail-писем, отсылаемых из таких организаций, как наша. После этого были войны стандартов и идея не получила продолжения. Мы решили, что сейчас самое время кому-нибудь взять лидерство в свои руки. На самом деле мы абсолютно агностичны ко всем стандартам. Существует два идеальных метода: SPF и DomainKeys. Мы на 100% готовы начать подписывать все исходящие e-mail письма (от PayPal и eBay), используя SPF и DomainKeys.
Также мы работаем со всеми крупнейшими интернет-провайдерами и дадим им право удалять любое письмо, якобы отправленное от нашего имени, но без нашей подписи. Я думаю, что к концу года несколько провайдеров уже будут осуществлять подобные действия. Кроме того, мы работаем и с поставщиками e-mail клиентов. Мы хотим, чтобы процедура проверки подписи письма была прозрачнее.
Computerworld: А что насчет мощной идентификационной программы, анонсированной PayPal в прошлом году?
MB: Как раз сейчас заканчивается общественный бета-тест в США, Австралии и Германии. Мы хотим узнать, что об этом думают наши клиенты. Нашим бизнес-клиентам мы бесплатно выдаем брелки безопасности. Остальные должны будут заплатить за них по 5$. Мы не делаем на этом деньги, но мы должны покрыть расходы на производство и доставку. Также мы считаем, что очень важно показать ценность этого устройства.
Computerworld: Кроме брелков, какие еще меры вы используете для борьбы с мошенничеством?
MB: Мы пытаемся строить модели мошенничества. Некоторые из них основаны на анализе поведения мошенников, другие связаны с IP-адресацией. Обычно мы не раскрываем детали, так как эта технология является нашим ноу-хау, и чем больше мы говорим о ней, тем больше информации получают наши враги. Достаточно сказать, что мы уже располагаем всесторонним контролем над безопасностью. Уровень мошенничества у нас составляет 0,4%. Если посмотреть средние цифры на рынке кредитных карт, то они будут намного выше нашего показателя.
И последнее, чем мы занимаемся – это тесная работа с правоохранительными органами по всему миру. Мы тронуты сообразительностью и решительностью наших врагов, но, тем не менее, жаждем увидеть их в оранжевых костюмах с наручниками на руках.
Комментировать статьи на сайте возможно только в течении 30 дней со дня публикации.