Безопасность в интернете: как защитить свои платежи? Protect: защита платежных карт

Как совершать онлайн-платежи безопасно рассказано в этой статье.

Оплата различных услуг и товаров через интернет очень удобна в плане экономии времени, но связана с некоторыми рисками, которые можно минимизировать, используя нижеприведенные рекомендации.

1. Отзывы. Прежде чем, что то купить через интернет желательно собрать максимум информации как о товаре, так и о репутации продавца (компании, интернет-ресурса,магазина, человека). Знакомство с отзывами в интернете способно уберечь от многих ошибок. Наличие у продавца сертификатов от сторонних компаний, которым Вы доверяете также является хорошим признаком.
2. Защищенность места оплаты и соединения. Использование открытых сетей Wi-Fi и компьютеров в общественных местах не приемлемо для совершения онлайн-платежей. Для защиты Wi-Fi используйте такие программы, как .Платежи стоит совершать только при наличии защищенного соединения по протоколу https, при котором весь трафик шифруется. В наличии такого соединения можно убедиться, взглянув на начало адресной строки в браузере. Для Google Chrome при правильном соединении https и замочек будут зеленого цвета. При подозрительном соединении https перечеркнуто красной чертой, а серый замочек – красным крестиком. Для выяснения подробностей нужно кликнуть по замочку. При отсутствии защищенного соединения вместо https в начале адресной строки будет только http.
3. Сокрытие данных своей карты. Очень часто разумно скрыть от продавца данные своей карты или счета, на котором числится большая сумма. В этом случае для оплаты удобно использовать сторонние системы, такие как Яндекс.Деньги, WebMoney, PayPal. Этот способ можно применять при отсутствии защищенного соединения с сайтом-продавцом. Другим вариантом является использование виртуальных карт, предоставляемых многими банками. Непосредственно перед расчетом на эти платежные средства переводится необходимая сумма, для того, чтобы сразу ее потратить.
4. Использование всех предоставляемых средств защиты своего платежа. Приведу простой пример. Ровно месяц назад я оплатил покупку обучающего курса через Яндекс.Деньги. Отзывы о продавце были самые замечательные. Репутация незапятнанная. Курс же до сих пор я так и не получил. Насколько мне удалось выяснить, у продавца сейчас большие проблемы со здоровьем. У меня бы не было никакого беспокойства за свои деньги, если бы при оплате я поставил галочку перед Защитить кодом протекции. В таком случае продавец получил бы мои деньги только после сообщения ему кода протекции. До этого я мог бы в любой момент вернуть свои средства. В системе Яндекс.Деньги перевод лучше осуществлять лишь тогда, когда система определяет, что получатель идентифицирован . В этом случае получатель подтвердил свою личность и система располагает его паспортными данными.
   
5. Защита своего счета. Разумной мерой защиты является установка ежедневного лимита на снятие денег со своего счета. Это не позволит злоумышленнику снять всю сумму сразу. Многие банки предоставляют возможность получения SMS уведомления при снятии денег со счета. Если деньги были сняты мошенниками, то такая функция позволяет сразу же позвонить в банк с целью блокировки счета. После визита с документами в ближайшее отделение банка будет шанс исправить ситуацию.
6. Не станьте жертвой социальной инженерии. Методы социальной инженерии в руках мошенников зачастую превосходят чисто программно-технические средства взлома. Суть этих методов заключается в использовании человеческой неосмотрительности для выуживания нужных данных. Для этого, например, жертве в письме сообщается о необходимости совершить ряд действий на сайте платежной системы или интернет-банкинга. В письме указывается для перехода ссылка, ведущая на поддельный (фишинговый) сайт, который чисто внешне ничем не отличается от настоящего. Различие может заключаться лишь в одном знаке в URL, что непросто заметить. Ничего не подозревающий пользователь переходит на фишинговый сайт, на котором вводит свой логин и пароль, вследствие чего они становятся известными мошенникам.
7. Для выявления ссылок на фишинговые сайты используйте возможности антивирусов или штатные средства браузеров.
8. Для затруднения хищения своих логинов и паролей для их набора используйте

Какие действия предпринимаются в деле создания систем безопасных расчетов в сети Интернет и какие при этом используются технологические средства защиты? И почему, несмотря на якобы надежную защиту, продолжают процветать мошенничество и кражи в Интернете?

Лучше быть в безопасности, чем потом сожалеть.
Американская пословица

Не так давно автору довелось беседовать с одним из друзей, который в обычной застольной беседе внезапно заинтересовался, насколько же безопасны пластиковые карты вообще и использование их в расчетах при покупках в сети Интернет в частности. Попытки отмахнуться от него ставшей уже классической фразой «Полную гарантию может дать только страховой полис» ни к чему не привели. Подняв тему, он тут же запряг всю киплинговскую шестерку «Что? Почему? Когда? Как? Где? Кто?» и, пристегнув к ним своего любимца «А вот если?», этот друг, с детских лет отличающийся феноменально занудливой въедливостью, настроился услышать распространенные и доскональные ответы на все свои вопросы. Наверное, можно было бы ответить ему с большим усердием и постараться разложить все, как говорится, по полочкам, только вот интерес его был праздным…

Однако вопросы безопасности расчетов за товары и услуги в сети Интернет — вовсе не праздные, особенно с учетом широкого наступления электронной коммерции, залогом успеха которой становится постоянное увеличение числа пользователей Интернета, привлеченных более низкими ценами и отсутствием необходимости покидать дом или офис для приобретения товара или услуги. Как известно, жертвами онлайн-мошенников становятся не только держатели карт, пользующиеся услугами электронной коммерции, но и сами продавцы, предлагающие свои товары и услуги в сети Интернет.

Покупая в интернет-магазине и используя карту для оплаты покупки, держатель рискует потерять свои деньги, если данные его карты станут известны мошенникам, интернет-продавец же в свою очередь несет риск финансовых потерь, если товары или услуги были оплачены по украденной карте мошенником.

Эмитенты, эквайеры, крайние…

Напомним, что в платежных системах участники разделяются на банки-эмитенты, выпускающие карты для держателей, и банки-эквайеры (в частном случае эмитентом и эквайером может быть одна кредитная организация/банк), обеспечивающие прием выпущенных карт в точках продажи товаров и услуг. В соответствии с этим разделением строится следующая модель взаимодействия: обладатель карты осуществляет покупку в магазине, информация с магнитной полосы карты из магазина в форме запроса передается банку-эквайеру, обслуживающему этот магазин, оттуда, через сервисы самой платежной системы, — в банк-эмитент. Банк-эмитент производит проверку полученной информации о карте и держателе, а также состояния авторизационного лимита и по результатам проверки разрешает (или не разрешает) проведение транзакции. Положительный ответ банка-эмитента на авторизационный запрос является своего рода гарантией, что банк-эквайер получит средства и переведет их на счет магазина. По правилам международных платежных систем в традиционной торговле ответственность за мошеннические операции с картами распределяется приблизительно в равных пропорциях между банком-эмитентом и банком-эквайером, то есть в случае мошенничества держателю возвращает списанные средства либо эмитент (редкость в российских банках, где ответственность чаще перекладывается на держателя), либо эквайер за счет торгового предприятия. В интернет-коммерции же ответственность за мошеннические операции ложится уже однозначно на эквайера, который в свою очередь перекладывает ее на магазин, в итоге возврат средств обладателю карты осуществляется за счет интернет-магазина, через который прошла мошенническая транзакция. Отсюда следует, что наиболее незащищенным звеном в схеме совершения платежа в сети Интернет является онлайновая торговая точка, поскольку в конечном итоге именно за ее счет осуществляется возмещение убытков держателю карты. По описанной схеме работает значительное количество интернет-магазинов, принимающих к оплате карты, что предполагает наличие неких механизмов защиты, способных относительно успешно противостоять мошенничеству.

Протоколы и другие методы защиты

Меры, предпринимаемые участниками электронной коммерции для обеспечения безопасных расчетов в сети Интернет, всегда были достаточно многообразны.

Прежде всего, это обучение держателей карт минимальным навыкам для обеспечения собственной безопасности: пользование только знакомыми интернет-ресурсами, изучение порядка доставки товаров и предоставления услуг, проверка использования интернет-коммерсантом сертифицированных протоколов, гарантирующих безопасность передаваемой информации.

Кроме таких простых методов защиты от мошенничества, как воспитание держателей, безусловно, используются и технологические средства.

Широко используемый и ставший практически обязательным в интернет-торговле протокол SSL (Secure Socked Layer) позволяет всем участникам торговли спокойно передавать самую разную информацию. При попытке перехвата данных они будут закрыты шифром, взломать который за сколько-нибудь адекватный промежуток времени невозможно.

Грамотный держатель карты, пользующийся услугами интернет-ресурсов, осуществляющих продажу товаров и услуг, отнесется с предубеждением к отсутствию SSL у точки электронной коммерции. Протокол SSL использует технологию шифрования с открытым ключом и цифровые сертификаты для опознания сервера, участвующего в транзакции, и защиты информации в процессе ее передачи от одной стороны к другой по каналам Интернета. Транзакции протокола SSL не требуют идентификации клиента. Вначале клиент посылает сообщение серверу. Сервер отвечает и отправляет клиенту свой цифровой сертификат в качестве средства идентификации. Прежде чем продолжить транзакцию, клиент и сервер договариваются по поводу сеансовых ключей. Ключи сеанса — симметричные закрытые ключи — используются только в данной транзакции. Как только ключи выбраны, сеанс связи между клиентом и сервером продолжается, при этом используются ключи сеанса и цифровые сертификаты.

Итак, хотя протокол SSL надежно защищает информацию, передаваемую через Интернет, он не может уберечь частную информацию, хранимую на сервере продавца, — например, номера кредитных карт. Когда продавец получает данные кредитной карты вместе с заявкой на покупку, информация расшифровывается и сохраняется на сервере, пока заявка не будет выполнена. Если сервер не защищен и данные не зашифрованы, то возможен несанкционированный доступ к частной информации и дальнейшее использование ее в мошеннических целях.

В дополнение к использованию протокола шифрования передаваемых данных участники интернет-коммерции используют такие хорошо известные способы идентификации держателя карты, как проверка СVV2/СVK2-кодов (СVV2-код для карт платежной системы Visa и CVK2 — для MasterCard).

К способам идентификации стоит добавить проверку адреса AVS (Address Verification Service). Данная процедура в большей степени характерна для североамериканского рынка электронной коммерции, но, тем не менее, с ней приходилось сталкиваться и держателям карт российских банков, пытавшимся воспользоваться картами для оплаты товаров с доставкой на территории США.

Однако все эти меры безопасности явно недостаточны для обеспечения высокого уровня безопасности расчетов в сети Интернет.

Доля интернет-торговли неуклонно растет из года в год, увеличиваются обороты от продажи товаров и услуг в сети, пропорционально растет и количество мошеннических операций, но мало кто хочет отказываться от получаемых выгод, поэтому всех участников процесса все больше волнует безопасность проведения платежей и расчетов.

3-D — это не только захватывающие фильмы

Вопрос безопасности волнует не только держателя карты, производящего оплату товара в интернет-магазине, но и интернет-магазин, и эквайера, и эмитента, и больше всего — платежные системы, которые вкладывают огромные средства для обеспечения безопасности платежей и защиты от мошенничества.

Многочисленные попытки международных платежных систем сделать расчеты в области электронной коммерции максимально безопасными привели к появлению разработанного платежной системой Visa International протокола 3-D Secure.

Технология 3-D Secure представляет собой протокол аутентификации владельца карты при проведении покупок в сети Интернет, предназначенный для обеспечения безопасности интернет-платежей: проверка личности осуществляется в онлайн-режиме.

Основным действующим принципом технологии 3-D Secure стала гарантия безопасности проведения расчетов в системе электронной коммерции. Причем данная технология не только гарантирует сохранение в безопасности сведений о покупателях, но и в значительной степени способствует сохранению финансовых средств остальных участников платежа.

Реализуется технология 3-D Secure на основе трех доменов (что и заложено в ее названии), в которых начинается и завершается жизненный цикл транзакции. Это домен эмитента, в котором происходит аутентификация держателя, домен эквайера, включающий в себя банк-эквайер и интернет-магазин, и, наконец, домен взаимодействия, содержащий службы и сервисы платежной системы.

Цепочка, обеспечивающая безопасность 3-D Secure, состоит из таких звеньев, как:

— проверка личности владельца карты в реальном времени, которая начинается после ввода номера карты на платежной странице электронного магазина, откуда покупатель перенаправляется на сервер своего банка-эмитента. Для проверки используется пароль, известный только владельцу карты и банку;

— формирование банком-эмитентом по результатам проверки ответного сообщения, которое банк-эмитент защищает от несанкционированных изменений, используя цифровую пдпись;

— защита конфиденциальной информации пользователя, например номера карты, для чего используются защищенные страницы платежного сервера, на котором сохраняется введенная информация. Получатель платежа — электронный магазин — не имеет доступа к этой информации, что защищает от ее хищения.

Таким образом, 3-D Secure не только обеспечивает безопасное проведение платежа, но и разграничивает риски участников транзакции за счет четкого разделения функций при обработке платежной операции: банк-эмитент проверяет личность держателя карты, поскольку именно он располагает информацией о клиенте, а банк-эквайер автоматически организует связь с системой аутентификации эмитента, используя для этого сервисы платежных систем. Отметим, что, если мошенническая транзакция прошла через интернет-магазин, использующий технологию 3-D Secure, ответственность за нее, согласно правилам платежных систем, будет нести уже не эквайер, а эмитент, и при этом не имеет значения, использует эмитент технологию 3-D Secure или нет. Выгода использования протокола 3-D Secure для точки электронной коммерции понятна, а вот эмитенты попадают в сложную ситуацию, поскольку оказываются перед выбором: либо приобрести очень недешевое решение 3-D Secure и обезопасить своих клиентов и себя от мошенников, либо запретить держателям карт их использование в интернет-магазинах и потерять значительную часть клиентов, пользующихся интернет-коммерцией, либо ничего не делать и надеяться, что мошенничество не затронет их.

Можно с уверенностью сказать, что применение этого протокола гарантирует безопасность платежей через Интернет для всех пользователей в любых электронных магазинах.

В борьбе за безопасность интернет-платежей международные платежные системы действуют сообща, поэтому протокол 3-D Secure, предложенный Visa Int., был поддержан системой MasterCard Worldwide. Результатом сотрудничества в сфере безопасности интернет-расчетов стало появление программ Verified by Visa и MasterCard SecureCode. Обе программы для безопасных расчетов в Сети предлагают использовать технологию 3-D Secure.

В самом общем виде обе программы предлагают держателю карты для проведения интернет-платежей зарегистрироваться на сайте банка-эмитента и получить от него некое кодовое слово (число), которое потребуется ввести в всплывающем окне после решения держателя оплатить выбранный товар/услугу на сайте интернетпродавца. Именно по этому слову (числу), которое известно только банку-эмитенту и держателю, эмитент идентифицирует держателя и подтверждает возможность успешного проведения операции оплаты. Как вариант, кодовое слово или число может генерироваться единожды для каждой оплаты и высылаться SMS-сообщением на телефон держателя карты. В этом случае при регистрации держателю потребуется сообщить банку-эмитенту свой номер мобильного телефона, проконтролировать, чтобы на момент проведения операции телефон был в зоне действия оператора связи, и иметь положительный баланс на счете для успешного получения SMS-сообщения. Таким образом, проверкой введенной кодовой информации и отправкой банком-эмитентом ответного сообщения транзакция успешно завершается. Даны гарантии безопасности платежа и сохранности индивидуальной информации, эмитент и эквайер обеспечили проведение безопасного расчета, интернет-коммерсант продал товар, а держатель карты получил не только товар, но и новые преимущества от совершения покупки по 3-D Secure: в системе создается специальная регистрационная запись, фиксирующая платежи в Интернете, держателю не нужно иметь особую карту, чтобы оплачивать товары или услуги в сети Интернет. Кроме того, владельцам зарегистрированных карт Visa Int. предоставляет дополнительные удобства: возможность возврата денег, гарантированную защиту от мошенничества.

Прочитав все вышеизложенное, резонно задаться вопросом, почему же не все так хорошо, если все так хорошо? Почему продолжают встречаться случаи мошенничества и кражи персональных данных, почему Интернет кишит сообществами интернет-шоперов, делящихся информацией о потерянных деньгах и отказах в проведении платежей? Ответ прост — вся красивая модель работы 3-D Secure строится на непременном участии в этих программах и эмитента, и эквайера, и интернет-коммерсанта. Если держатель карты зайдет на сайт интернет-коммерсанта, участвующего в любой из программ Verified by Visa или MasterCard SecureCode, и получит отказ в проведении операции, это будет означать, что банк-эмитент, выдавший держателю карту, не присоединился к протоколу 3-D Secure.

По информации MasterCard Worldwide, в мире зарегистрировано более 470 тыс. интернет-магазинов, участвующих в программе MasterCard SecureCode, и примерно столько же участвующих в программе Verified by Visa.

А что в России?

В 2003 г. система ASSIST стала первой российской системой электронных платежей, сертифицированной Visa International по новой технологии 3-D Secure, что можно считать как значимым событием для самой компании, так и важным этапом в развитии электронной коммерции в России в целом. С этого времени система ASSIST выступает в качестве независимого провайдера аутентификации кард-холдера Verified by Visa.

Банки, принципиальные члены МПС, имеющие лицензию на интернет-эквайринг и заинтересованные в нем, могут подключать свои процессинговые центры к шлюзу ASSIST.

В деле обеспечения возможности участникам электронной коммерции принимать к оплате карты международных платежных систем активно стартовала компания PayOnline System — самая современная из российских систем интернет-платежей. Компания сертифицирована на соответствие PCI DSS и прошла сертификацию в международных платежных системах Visa International и MasterCard Worldwide.

Солидным игроком в области предоставления интернет-процессинга по банковским картам, работающим на российском рынке, является голландская компания CronoPay.

Интересным, на наш взгляд, явлением на российском рынке стала система HandyBank, которая представляет собой интернет-банковский сервис для пользователей — физических лиц. Этот сервис предоставляют банки — участники системы. HandyBank дает возможность клиенту банка круглосуточно с любого компьютера или мобильного телефона совершать интернет-платежи со счета своей банковской карты. Система только начинает свое развитие, но уже сейчас у нее есть ряд реальных преимуществ по сравнению с обычными карточными платежами в Интернете. Во-первых, высокий уровень безопасности: система позволяет совершать транзакции, не передавая в Интернет ни номера своей карты, ни ПИН-кода к ней, ни других ее реквизитов. Во-вторых, более широкий спектр платежных операций. Клиенты HandyBank могут оплачивать множество услуг в упрощенном режиме, совершать банковские переводы, платить налоги и штрафы (госплатежи), совершать интернет-покупки с банковской гарантией возврата денег при любых проблемах с поставкой товара. К дополнительным преимуществам можно отнести также мобильный банкинг и пополнение счета через терминальные сети.

Таким образом, у российской интернет-коммерции есть все необходимые ресурсы для того, чтобы привлечь к себе большое число интернет-покупателей, предоставив им широкий спектр предлагаемых товаров и услуг и продемонстрировав высокую степень защищенности расчетов.

***

По последним сообщениям, появившимся в СМИ, в кампанию по борьбе с интернет-мошенничеством включилась корпорация Microsoft. Как сообщает пресс-служба корпорации, Microsoft совместно с Национальной ассоциацией по борьбе с киберпреступностью (NCFTA) разработали систему Internet Fraud Alert, призванную противодействовать интернет-мошенникам. Инициативу поддержали eBay, система PayPal, Citizens Bank, а также американская Федеральная комиссия по торговле и некоторые другие организации.

Internet Fraud Alert позволяет создавать базу украденных данных о сетевых аккаунтах или кредитных картах. Информация будет максимально оперативно передаваться в организацию, обслуживающую владельца данных. Таким образом, банки и другие компании смогут обеспечить безопасность пользователя и, проанализировав механизм кражи данных, предотвратить новые случаи.

Все вышесказанное дает основания полагать, что защита платежей в сети Интернет есть краеугольный камень в деле дальнейшего развития электронной коммерции, и участие в этой работе таких монстров, как Visa International, MasterCard Worldwide и корпорация Microsoft, приведет к повышению безопасности производимых интернет-расчетов и, как следствие, к повышению уровня доверия держателей карт и пользователей интернет-коммерции.

Ну и, наконец, не забывайте о старом добром способе защиты — о страховом полисе, который в настоящее время предлагают в основном активные банки-эмитенты. Банки, заключая договоры со страховыми компаниями, предлагают держателям страхование рисков от мошеннических операций, а в связи с ростом количества таких операций страхование пластиковых карт становится все более востребованным как со стороны банков-эмитентов, так и со стороны держателей карт. Среди основных рисков, которые покрывает страховка карты, — получение мошенниками денег из АТМ с использованием украденной карты или поддельной карты, использование поддельной карты и поддельной подписи на платежных документах, совершение мошеннических операций по украденным данным карты в сети Интернет.

Банкам-эмитентам, которые хотят разрушить традицию перекладывания убытков по мошенническим операциям на держателей карт, следует серьезнее отнестись к этому перспективному способу защиты средств клиента и собственного имиджа.

В 2016 году объем незаконных операций с банковскими картами составил около 1 млрд рублей, сказал недавно первый заместитель председателя Банка России Георгий Лунтовский. Эта цифра уменьшается по сравнению с прошлыми годами благодаря развитию систем защиты. Но, к сожалению, масштаб мошенничества все еще очень велик.

В качестве примеров можно привести один из участившихся случаев мошенничества - поддельные страницы сайтов. Например, потенциальный клиент хочет приобрести электронный полис ОСАГО. Поиск выдал ему поддельную страницу. Пользователь выбирает услугу и заполняет платежные реквизиты. Все данные карты сразу попадают к мошеннику, который в то же время вводит их на другом реальном ресурсе, но предназначенном, например, для перевода денежных средств или пополнения услуг связи. Проверочный код пользователь также передает мошеннику, но денежные средства в результате оказываются в кармане у последнего. Этот вид мошенничества называется «фишинг». Его и многие другие виды мошенничества можно избежать, постоянно обращая внимание на детали и следуя алгоритму, описанному ниже.

В безопасности интернет-операций заинтересованы не только держатели карт, но и банки, интернет-магазины и платежные системы, которые разрабатывают все новые, более совершенные и одновременно дорогостоящие средства безопасности онлайн-платежей и защиты от мошенников. Все участники транзакции рискуют своими деньгами, а магазины, банки и системы - еще и своей репутацией.

Какие существуют современные меры безопасности интернет-платежей, кто и за что отвечает непосредственно во время транзакции и как избежать мошенников во всемирной паутине?

Кто здесь главный?

В каждом процессе платежа принимает участие несколько сторон. Одна сторона - это держатель карты, физическое лицо, совершающее операцию. Другой стороной является интернет-магазин или любая другая торговая площадка, которая предлагает товары или услугу. Между ними стоят банк-эмитент и банк-эквайер. Первый - тот, кто выдал вам карту, на счету у которого находятся деньги. Второй - это банк, который производит данную финансовую операцию. В некоторых случаях роль эмитента и эквайера может играть один и тот же банк. Последними, но не менее важными участниками операции выступают международные платежные системы и сервис-провайдеры – они осуществляют процессинг операции.

Когда вы совершаете покупку в интернет-магазине и нажимаете кнопку «Оплатить», вы переходите на страницу платежной формы для заполнения необходимых данных. Далее платежная система (сервис-провайдер) передает все ваши данные в банк-эквайер, который обслуживает этот интернет-магазин. Банк-эквайер, в свою очередь, передает информацию банку-эмитенту, который выпустил и выдал вам карту. Последний проверяет информацию о вас, о карте, наличии свободных средств на ней, иногда запрашивая авторизацию покупателя по технологии 3-D Secure, о которой мы подробно расскажем далее. После этого он разрешает (или не разрешает) провести операцию, передает данные платежной системе, платежная система - в магазин, а покупателю приходит уведомление, что операция совершена.

А кто отвечает за безопасность?

За безопасность интернет-операции отвечают все, кто принимает в ней участие. Ответственные банки, интернет-магазины, платежные системы постоянно совершенствуются, изобретая все новые способы обезопасить себя и своего клиента от возможной угрозы. На сегодняшний момент существует ряд протоколов и правил, о которых вам как непосредственным участникам любой транзакции необходимо знать и помнить каждый раз, когда вы совершаете онлайн-платеж.

Протокол SSL – Secure Socked Layer. Он позволяет безопасно передавать зашифрованную информацию от пользователя к серверу. Сайты, использующие SSL, передают зашифрованные данные по протоколу HTTPS, расшифровать которые можно с помощью специального секретного ключа. Это отличает их от незащищенных сайтов, использующих обыкновенный протокол HTTP.

Стандарты PCI DSS (Payment Card Industry Data Security Standard). Эти стандарты защиты информации, разработанные международными платежными системами, защищают данные банковских карт. Любая компания, которая собирается осуществлять интернет-платежи, должна соответствовать стандартам PCI DSS. Например, международная платежная система Visa с 2006 года обязывает всех, кто ее использует, ежегодно проходить проверку на соответствие этим стандартам.

Технология 3- D Secure . Важная ступень защиты - проверка личности держателя карты в реальном времени, которую включает банк-эмитент. Обычно такая проверка проходит при помощи СМС. После ввода номера карты ее владелец перенаправляется на сервер своего банка-эмитента. Обычно в качестве подтверждения банк отправляет покупателю СМС с секретным кодом. При введении присланного кода вы подтверждаете свою личность, после чего банк разрешает проведение транзакции. Например, система MasterCard использует систему MasterCard Securecode при подтверждении каждого онлайн-платежа.

Платежная система авторизует и идентифицирует покупателя. Такие крупнейшие системы, как PayPal или Apple Pay, сами авторизуют и идентифицируют клиента. Клиент не должен каждый раз заново вводить платежные данные - это снижает риск утечки информации о банковской карте.

Антифрод-системы. Дословно это переводится как «противомошеннические». Это системы-платформы, которые оценивают финансовые операции онлайн и способны обнаружить сомнительные. Они могут предотвратить списание денег, если есть подозрение на мошенничество. Каждая операция, проходя через платформу, анализируется, после чего дается рекомендация отклонить или применить дополнительную проверку.

Антифрод-системы могут работать по разным параметрам: лимиты по совершению операций с одного IP-адреса, ограничение по сумме, времени или количеству покупок, а также постоянно меняющийся алгоритм, оценка поведения покупателя в процессе платежа, транзакции на основе статистики и др. Система оценивает операции и выявляет аномальные и подозрительные. Современные антифроды способны с максимальной степенью вероятности опознать мошенника или определить операции покупателей как доверенные и не проводить дополнительную авторизацию платежа по СМС. Это, безусловно, повышает удобство для покупателя и способствует продвижению интернет-магазинов.

Что делать?

Рассмотрев и изучив все меры безопасности, которые принимают интернет-магазины, банки и платежные системы, разработайте свой алгоритм действий. Другие участники операции принимают повышенные меры безопасности, но и сам пользователь не должен их нарушать, обходить или невнимательно к ним относиться. Иначе все попытки вас обезопасить будут абсолютно бесполезны.

Ответственно подходить к совершению транзакций через интернет, выработать у себя минимальные навыки для обеспечения онлайн-безопасности - это главные элементы современной финансовой грамотности, соблюдать которую следует всем интернет-пользователям.

1. Подключите интернет-банк и СМС-оповещение. Это позволит вам отслеживать операции в режиме реального времени.
2. Не используйте подозрительные сайты. Адрес защищенного сайта должен начинаться с https://. Также рядом с адресной строкой должна быть иконка в виде закрытого замка. Эти знаки покажут, что вы имеете дело с ответственным продавцом и ваши данные будут передаваться в зашифрованном виде.
3. Используйте 3-D Secure - авторизацию платежа по СМС, при этом обращайте внимание на назначение платежа, которое приходит в СМС от банка вместе с проверочным кодом.
4. Ищите на сайте надпись Verified by Visa или MasterCard Securecode - в зависимости от того, какой платежной системой вы пользуетесь. Сайты, которые размещают у себя такие логотипы, будут соответствовать стандартам PCI DSS и/или использовать технологию 3-D Secure.
5. Откройте отдельную карту для интернет-платежей и не храните на ней значительных денежных остатков.
6. Не сообщайте данные своей банковской карты другим людям: ни банковским служащим, ни работникам интернет-магазинов.
7. Если интернет-магазин по каким-либо причинам вызывает у вас подозрение, используйте платежные системы Apple Pay, PayPal или другие. В этом случае вам не нужно будет делиться данными своей банковской карты.
8. Совершайте покупки с устройств, на которых установлена антивирусная защита. Операционная система iOS (все устройства Apple) не требует специальных антивирусов. Каждое новое обновление содержит встроенные антивирусы, поэтому необходимо вовремя обновлять все свои гаджеты. Для операционной системы Android существуют наиболее популярные антивирусные программы, которые можно самостоятельно скачать в Google Play. Это CM Security AntiVirus & AppLock, Kaspersky Internet Security, McAfee Security & Antivirus Free и др.

Времена романтиков, пишущих вирусы только для того, чтобы просто сломать систему или передать жертве веселый привет, канули в Лету. Нынешние вредоносы в подавляющем большинстве случаев имеют самую что ни на есть коммерческую направленность - вымогательство, мошенничество, кража данных кредитных карт и так далее. Стоит помнить, что присутствие вируса на компьютере жертвы далеко не всегда необходимо - в ряде случаев киберпреступники могут обойтись и без этого. Разумеется, «Лаборатория Касперского» обращает самое пристальное внимание на таких любителей наживы и не дает им жить спокойно.

Модуль «Безопасные платежи» появился в 2012 году, став преемником «Безопасного браузера», имевшего более широкую сферу применения. О предназначении этой технологии мы уже неоднократно рассказывали на страницах Kaspersky Daily.

Мои статьи посвящены технической поддержке, поэтому повторять «матчасть» о принципах функционирования модуля мы сегодня не будем. Сегодня мы рассмотрим, в каких случаях «Безопасные платежи» могут не работать автоматически и почему. И самое главное - как эту проблему решить.

Итак, ваш банк обзавелся собственным Персональным кабинетом, откуда по вашей карте могут осуществляться финансовые операции. Если вы пользуетесь «Касперским», то страница онлайн-банка автоматически откроется в защищенном режиме, поскольку большинство популярных банков и платежных систем занесены в нашу базу. Однако иногда этого не происходит. Выглядит это так: при попытке войти в систему банка никаких уведомлений от «Безопасных платежей» не возникает, зеленая рамочка не появляется, вы чувствуете себя беззащитным и… Мой вам совет: уйдите с этой странички и добавьте ее вручную в «Безопасные платежи». Как это сделать, вы можете прочитать в нашей Базе Знаний. Сразу хочу сказать, что такая ситуация вовсе не является показателем опасности сайта - просто он не настолько популярен, чтобы оказаться в наших базах. Так бывает.

Но, допустим, вы добавили новый банк в настройках нашего продукта, а «Безопасные платежи» по-прежнему не хотят запускаться. Скорее всего, дело в том, что вы указали только домен банковского сайта (например, https://yourbank.com), Персональный кабинет находится по другому адресу (например, https://yourprofile.yourbank.com). Разумеется, «Безопасные платежи» на нем без соответствующей настройки не запустятся. Можно, конечно, добавить конкретный адрес личного кабинета, но, чтобы упростить дальнейшую работу, удобнее всего будет использовать не адрес банковского сайта, а его маску. Для этого применяется знак звездочки (‘*’), который во многих языках программирования заменяет любую последовательность символов.

Если ваш банк задан подобным образом, то «Безопасные платежи» будут запускаться на банковском сайте независимо от адреса Персонального кабинета - даже если банк поменяет структуру ссылок, все будет работать без изменений. Ну а чтобы не тратить время на открытие браузера и ввод ссылки, можно запустить страничку банка прямо из окна антивируса. Это же рекомендует сделать и подсказка в нижней части окна:

Хочу предостеречь от одной распространенной ошибки. Поскольку при запуске «Безопасных платежей» выполняется сразу несколько проверок, открытие страницы может занять некоторое время. Не спешите нажать на свой банк второй (третий, тысячный…) раз, если страница не запускается. Дайте приложению время обеспечить вашу защиту. Иначе после проверки вы получите несколько одинаковых страниц, запущенных в «Безопасных платежах», а также кучу ошибок, этим вызванных.

Однако вернемся к строке ввода адреса. Хочу обратить ваше внимание, что туда вводится именно адрес, а не название банка. Это не поисковая система, а обычное текстовое поле.

Как уже было сказано выше, большинство существующих банков и платежных систем внесены в базу наших продуктов, и «Безопасные платежи» в них будут открываться автоматически. Поэтому не нужно спешить добавлять в настройки каждый из ваших банков превентивно - сначала попробуйте открыть его в браузере. А вот если это не получается, теперь вы знаете, что делать.

Стоит отметить, что «Безопасные платежи» интегрируются в браузеры в виде плагинов. Если ваш браузер еще не поддерживается расширениями нашего продукта, то «Безопасные платежи» в нем запускаться не будут. В связи с этим можно порекомендовать использовать для онлайн-банкинга и шопинга Internet Explorer, который, в отличие от других популярных браузеров, обновляется крайне редко. Для любителей Google Chrome хочу напомнить, что «Безопасные платежи» включены в состав объединенного плагина Kaspersky Protection, о чем я уже рассказывал раньше. Так что не стоит переживать, не увидев отдельного расширения в списке.

К слову, чтобы «Безопасные платежи» запускались, нужно сначала не забыть включить сам плагин. По умолчанию это предлагается сделать сразу после установки продукта, при первом запуске браузера. Но часто наши пользователи забывают разрешить его установку, ведь по умолчанию в браузере эта галочка не установлена.

Если вы все же забыли поставить галочку и плагин не установился, то включить его в любой момент можно в настройках браузера. Подробный алгоритм описан в соответствующейстатье нашей Базы Знаний.

Кстати, частенько ссылки на подложные банковские страницы содержатся в фишинговых почтовых рассылках. Как их определить и как с ними бороться, вы можете прочесть в недавно опубликованной на нашем информационном сайте статье, посвященной компьютерному мошенничеству. Безопасного вам Интернета! И не забывайте, что главный гарант сохранности ваших персональных данных - это все же не антивирус, а вы сами.