Насколько безопасны интернет-платежи в Украинском Интернете?
22.06.10
Мы живем в самой хакерской стране на свете, и все остальные страны нас боятся. Ведь это наши хакеры взломали сайт Минфина США и обвалили фондовый рынок; это нашим хакерам объявило войну ФБР, а они как ни в чем не бывало, продолжают грабить кредитки и банкоматы по всему свету, возглавляя украинские политические партии. Это факт, который признало ФБР. И есть соотечественники, которые этим гордятся.
Ну а если серьезно, то этот факт вызывает не только гордость за отечественный интеллектуальный потенциал (хоть и с криминальными наклонностями), но и опасение за сохранность наших
собственных денежных средств. В данной статье мы рассмотрим, какие средства защиты используют различные платежные системы, которыми мы пользуемся, и попробуем оценить степень их небезопасности.
Традиционно интернет-платежи делятся на моментальные, регулярные, а также P2P-переводы и C2B. Моментальные платежи — это в основном оплата всевозможных услуг телекома (мобильная связь, интернет и т.п.), именно она делает львиную долю оборота. Регулярные платежи — по сути то же самое, но осуществляются они на регулярной путем предоставления соответствующих полномочий платежной системе распоряжаться вашими деньгами от вашего имени.
P2P-платежи — это переводы денег от пользователя к пользователю. Таким способом чаще всего осуществляют оплату труда фрилансеров, трудовые отношения с которыми никак не урегулированы. C2B — это оплата товаров в интернет-магазинах. Большинство систем электронных платежей охватывают сразу все эти направления, однако некоторые из них более строго сегментированы.
Что касается вопроса о платежных средствах, то это преимущественно электронные деньги, банковские платежные карты и электронные средства управления безналичным расчетом.
Система интернет-расчетов WebMoney Transfer оперирует правами требования, которые могут быть выкуплены у пользователя Гарантом Системы за реальные деньги. Для обеспечения безопасности личных средств пользователей, WebMoney применяет 3 основных типа аутентификации пользователя: с помощью файлов с секретными ключами (для программы-кошелька WM Keeper Classic), персональных цифровых сертификатов и с помощью системы авторизации e-Num (для WM Keeper Light).
Авторизация при помощи e-Num обеспечивается за счет использования одноразовых сеансовых пар: числа-логина и числа-пароля, которые меняются каждый раз при входе в систему и не повторяются. Секретный ключ для доступа к данным хранится в мобильном телефоне пользователя, что позволяет получать доступ к нему при работе с различных компьютеров, а также исключает риск порчи или хищения ключа троянскими и другими вредоносными программами.
Системы защиты довольно громоздкие и WebMoney предлагает пользователям множество советов по обеспечению дополнительной безопасности. Для тех пользователей, кто не любит сложностей, предлагается упрощенная система авторизации при помощи логина и пароля, которая, в целях предотвращения возможных хищений в крупных размерах, накладывает ограничения на размеры транзакций. К сожалению, из-за того, что правила безопасной работы достаточно сложны для некоторых пользователей, время от времени в новостях приходится слышать о взломах киперов недостаточно бдительных пользователей троянцами.
Кроме того, WebMoney не является платежной системой в собственном смысле слова — фактически она не оперирует деньгами и не является зарегистрированной в НБУ. В своей работе она руководствуется собственными правилами и не всегда понятно, как могут быть разрешены споры в случае внезапного исчезновения денег пользователя (бывает, что совершенные транзакции просто исчезают из истории платежей) — пользователи вынуждены полагаться на решение Арбитража.
Система LiqPay — это платежная система, которая позволяет безопасно производить расчеты деньгами, которые зачисляются на баланс с банковской платежной карты пользователя. Уникальным идентификатором клиента является номер его мобильного телефона, поэтому, чтобы перевести кому-либо деньги, достаточно знать номер его мобильного. Получатель может даже не быть пользователем системы, однако на указанный отправителем номер телефона он получит SMS-уведомление о поступивших на виртуальный счет деньгах. Фактически — это текущий счет в ПриватБанке. Безопасность управления счетом обеспечивается технологией OTP (One-time Password – одноразовый пароль). Транзакции подтверждаются динамическим одноразовым паролем, который высылается в SMS на номер счета. Кроме того, LiqPay сертифицирована международными платежными системами VISA и MasterCard, что гарантирует надежность защищенности операций с платежными картами.
Основной брешью в этой системе является кража самого мобильного телефона, которая влечет за собой утрату контроля над счетом и, как следствие, возможную потерю средств.
Межбанковская система доставки и оплаты счетов Portmone.com дает пользователям возможность совершать моментальные и регулярные платежи в пользу провайдеров услуг при помощи банковских платежных карт.
Для передачи данных в системе Portmone.com используется стандарт SSL-шифрования с использованием стойкой криптографии (длина ключа 128 бит). Одноразовые ключи шифрования, которые используются на протяжении сеанса, генерируются на основании сертификата безопасности Web-сервера, заверенного международным сертификационным агентством Thawte Consulting, которому по умолчанию доверяют основные браузеры.
Для предотвращения мошенничества с использованием реквизитов платежных карточек, все операции, в которых используются данные о карточке, осуществляются в рамках отдельного платежного шлюза и отдельного сервера со специальной системой контроля доступа.
Portmone — первая украинская компания, которая успешно прошла международный аудит безопасности на соответствие требованиям стандарта Payment Card Industry Data Security Standard (PCI DSS). Это, в частности, означает, что она проходит ежеквартальное сетевое сканирование своего ресурса на предмет выявления уязвимостей, ежегодную проверку безопасности независимыми аудиторами. Доступа сотрудников к данным разграничен на основании должностных обязанностей и полномочий, а защиту системы и данных осуществляет специальное антивирусное ПО.
Слабым звеном Portmone.com остаются пользователи, которые время от времени становятся жертвами фишеров, а также сами платежные карты, которые могут быть подделаны мошенниками за 30 секунд при наличии специального оборудования. В результате деньги пользователей могут утекать по таким дубликатам, пока держатели карт не начнут бить в набат служб безопасности банка или системы Portmone.
Система FlashCheque решает проблему безопасности принципиально иным образом. Она не хранит и не передает через интернет данные о платежных реквизитах пользователей. Акт совершения платежа здесь напоминает скорее не перевод средств с одного счета на другой, а выписку именного векселя, заверенного личной подписью. При этом получатель платежа (или злоумышленник) не может обнаружить ни номер счёта плательщика, ни данные его банка.
Для управления счетом, используется клиентское приложение «FlashCheque киоск», записанное на USB-Flash накопителе. При осуществлении денежного перевода или оплаты товаров/услуг, пользователь указывает сумму к оплате и код продавца-участника системы FlashCheque. На основании этих данных формируется одноразовый электронный ваучер, который отсылается продавцу. Код ваучера содержит данные о транзакции конкретному продавцу и действует в течение определенного времени. Он похож на некую абракадабру. Даже если код будет перехвачен и расшифрован третьей стороной, он все равно не даст возможности доступа к средствам на счету. Более того, в случае, если клиент желает перестраховаться, опасаясь недобросовестного исполнения со стороны продавца, он может формировать платежное обязательство (аккредитив), который представляет собой только половину ваучера, с последующим его восполнением.
ПС FlashCheque официально зарегистрирована и рекомендована к использованию Национальным Банком Украины в качестве легальной платежной системы, а все коды и пароли системы прошли специальную сертификацию в СБУ.
Одним из факторов, тормозящих развитие электронной коммерции, является низкая степень доверия рядовых пользователей к электронным платежным системам. Между тем, их преимущества перед всеми другими видами наличных и безналичных платежей очевидны.
Например, заказывая доставку букета цветов на день рождения человеку, живущему в другом городе, будет более чем странно возложить на получателя необходимость расплачиваться с курьером наличными. Или другая ситуация: осуществив денежный перевод через Western Union, покупатель в итоге не получает товар. Как быть?
Использование электронных платежных систем в большинстве случаев снимает подобного рода вопросы, так как позволяет использовать аккредитивы или коды протекции. То есть, демонстрируя готовность платить, отправитель платежа передает продавцу только аккредитив, который не действителен, пока покупатель не подтвердит, что условия сделки соблюдены корректно. Так работает FlashCheque.
WebMoney защищает платеж паролем, без знания которого получатель не может распоряжаться средствами. Если пароль не подтвержден, платеж возвращается отправителю. На сегодняшний день LiqPay не предлагает аналогичного решения, хотя специалисты компании обещают запустить аккредитивы в ближайшем будущем.
Резюмируя выше сказанное, отметим, что практически любая уважаемая платежная система прилагает максимум усилий по обеспечению безопасности платежей своих пользователей. Однако все равно время от времени возникают досадные инциденты, и виной всему, как правило — человеческий фактор. Если базу нельзя сломать, ее можно купить.
Согласно результатам зарубежных исследований, на первом месте среди кибер-преступников — бывшие банковские сотрудники и технические специалисты. Соблазн продать имеющиеся в распоряжении данные за большие деньги оказывается слишком велик. Поэтому пользуясь сервисом, который хранит платежные данные пользователей, вряд ли можно быть на 100% спокойным за их сохранность: либо хакеры заинтересуются, либо уволенный админ продаст.
Удивительно, что при ряде достаточно сильных сторон, основной из которых является тот факт, что информация о транзакциях нигде не хранится и не может быть использована третьими лицами без ведома пользователя, платежная система FlashCheque все еще мало распространена.