Перейти к основному содержанию

1695 просмотров

Незащищенный платеж: почему опасно платить в интернете?

Эксперты говорят, что сегодня гарантированно безопасных мест в легитимном интернет-пространстве фактически нет

Фото: shutterstock.com

Удобство и быстрота, которые предлагают карточные платежи, отнюдь не гарантируют сохранность данных и средств, невзирая на существующие меры защиты вроде 3D Secure. Специалисты еще раз рассказали о том, какие меры безопасности необходимо соблюдать пользователям при проведении платежных операций через интернет. 

Эксперты говорят, что сегодня гарантированно безопасных мест в легитимном интернет-пространстве фактически нет. В пример этого можно привести атаки на популярную платформу WordPress - тысячи сайтов, находящихся под ее управлением, были взломаны в течение последнего месяца.  

По данным Лаборатории Касперского еще одна система управления сайтами Magento содержит уязвимости, используемые злоумышленниками из группировки Magecart для похищения данных банковских карт клиентов интернет-магазинов. В процессе оформления заказа отображается фальшивое окно для ввода данных банковской карты, которые в дальнейшем пересылаются злоумышленникам. «После отправки сведений фишинговый диалог закрывается, а пользователь получает возможность внести свои платежные реквизиты повторно — на этот раз через легитимную форму магазина», поделился управляющий директор «Лаборатории Касперского» в Центральной Азии и Монголии Евгений Питолин. Особо внимательным пользователю необходимо быть на определенных категориях сайтов.  

Зоны риска

Так, наиболее рискованными, с точки зрения безопасности, остаются платежные операции на сайтах с эротическим содержанием, сомнительными знакомствами и нелицензионным контентом. Кроме того, существуют целые сети мошеннических ресурсов, направленных на кражу криптовалюты, электронных денег и конфиденциальных данных пользователей. Мошеннические сайты оформляются под онлайн-лотереи, сервисы для аренды майнинговых пулов и другие ресурсы, связанные с темой виртуальных валют, говорит эксперт Лаборатории Касперского.  

«Бывает, злоумышленники применяют индивидуальную технику внедрения вредоносного кода для переадресации посетителей сайта на криминальные ресурсы, промышляющие фишингом и распространением вредоносных программ», - поясняет он. Исходя из этого, пользователь просто обязан соблюдать правила виртуальной безопасности.   

Как не стать жертвой? 

Специалисты настоятельно рекомендуют не совершать оплату при подключении к публичному Wi-Fi, либо к сомнительной беспроводной сети. «Даже если сеть просит пароль, стоит проявить бдительность. Мошенники могут узнать пароль к сети, например, в кофейне, а затем создать фальшивое соединение с таким же паролем», - говорит Питолин.  

Кроме этого, почти в обязательном порядке необходимо использовать услугу смс-информирования о совершаемых операциях, отслеживать операции через смс либо приложения и не использовать карточный счет для хранения крупных сумм. «При совершении операций через интернет на этапе получения одноразового пароля следует лишний раз проверить, куда именно совершается платеж. Многие банки предоставляют информацию о наименовании и сумме операции как в СМС, так и на странице для аутентификации», - говорит руководитель направления противодействия транзакционному мошенничеству SAS Россия /СНГ Кирилл Сарсенов.  

Сообщения или звонки с просьбами назвать какие-либо реквизиты карты или пароли следует согласовать с банком. «Любые цифры на карте – это только ваше дело. Любой вопрос извне по поводу ваших карт – это повод заподозрить неладное», - отмечает специалист.  

Следует учитывать безопасность ресурса, где проводится операция. «Стоит избегать платежей на непроверенных сайтах, где не поддерживается безопасное соединение или, например, не присылается смс-запрос на подтверждение», - говорит Сарсенов.  

К ним относятся и сайты без защищенного соединения, и фишинговые рассылки (в том числе от имени банка), а также сомнительные приложения и смс-ссылки в различных мессенджерах.  

Рисков оплаты нет, только если оплачиваете в известных интернет-магазинах, подчеркивает заместитель председателя правления АО «Fortebank» Руслан Омаров.

«В первую очередь пользователю нужно быть внимательным на каких веб-сайтах, приложениях он совершает покупки. Это должны быть известные и крупные маркеты, бренды и т.д. Мошенники иногда специально создают фальшивые страницы с привлекательными ценами, чтобы получить доступ к номерам карт и другой секретной информации», - говорит он. Но даже в случае если владелец карты дисциплинирован и соблюдает все названные правила, а его банк поддерживает технологию защиты платежей 3D-Secure, его может ожидать разочарование.    

Что может пойти не по плану? 

Как объясняет специалист «Лаборатории Касперского» Евгений Питолин, двухфакторная идентификация (одноразовые смс-пароли), которая предлагается на большинстве ресурсов, в том числе и довольно авторитетных, вопреки всему, не всегда надежный вариант. Этому есть несколько причин.  

Пароль в смс могут подсмотреть посторонние, если на смартфоне включен показ уведомлений на экране блокировки. Даже если показ уведомлений отключен, можно извлечь SIM-карту из устройства, вставить ее в другой смартфон и принять смс с паролем. Сообщение может перехватить пробравшийся в смартфон троян. Наконец, смс с паролем может быть перехвачена через фундаментальную уязвимость в протоколе SS7, по которому эти смс передаются, рассказывает эксперт.  

«Стоит отметить, что даже самый трудоемкий и высокотехнологичный из перечисленных методов перехвата пароля в смс – с помощью взлома протокола SS7 – уже был использован на практике. Так или иначе, есть смысл использовать альтернативные варианты двухэтапной аутентификации», - подчеркивает Питолин.  

Например, это могут быть одноразовые коды в файле, при этом лучше всего применять приложения для двухфакторной аутентификации, которые позволяют быстро генерировать одноразовые коды. 

Специалист SAS Кирилл Сарсенов говорит, что 3D Secure не может гарантировать безопасность платежей, так как он является лишь одним из элементов стратегии банковской безопасности. 

«Почему риски все равно остаются? Во-первых, увы, 100% защита просто технически невозможна – никто не даст гарантии, что через два дня хакеры не придумают способа обойти вашу самую совершенную защиту. Согласно отчетам, публикуемым компаниями, которые специализируются на обеспечении информационной безопасности, практически каждое банковское приложение имеет свои уязвимости», - комментирует Сарсенов.  

Разумеется, не все из них опасны или легкодоступны для преступников. «Риски, бесспорно, остаются всегда, но их можно свести к предельному минимуму, если в банке проводится системная политика информационной безопасности с использованием современных антифрод-инструментов, а пользователь знает, что можно и чего нельзя делать при совершении онлайн-платежей», - заключил Сарсенов.

1 просмотр

Как ERM автоматизирует работу с банковскими рисками

Мнение СЕО Prime Source Евгений Щербинин

Фото: Shutterstock

Начало года в любой отрасли сопровождается оценкой влияния рисков, которые ожидают бизнес, на запланированные показатели ближайших 12 месяцев.

Например, инвестиционный банк Morgan Stanley в своем отчете о глобальных рисках 2020 года отмечает, что за последние 12 месяцев 20 мировых ЦБ смягчили монетарную политику. «Средневзвешенная процентная ставка может достигнуть семилетнего минимума уже в марте 2020 года. Ослабление торговой напряженности и успешный ход переговоров между США и Китаем – эти два фактора в совокупности станут мощными драйверами роста», – говорится в отчете инвестбанкиров.

То есть риски – это не только предполагаемые провалы, но и возможности роста. И чем больше становится бизнес, тем чаще топ-менеджменту приходится сталкиваться с рисками – они усиливаются вместе с ростом компании. Особенно актуальны риски для банкиров, к которым со стороны регуляторов выдвигается все больше требований по условиям ведения бизнеса.

Глобальный фон банковского рынка Казахстана сегодня определяется рядом крупных событий, в которые втянуты все игроки финансовой отрасли страны.

Во-первых, в Казахстане идет внедрение международных стандартов финансовой отчетности (МСФО 9), которые регламентируют бухгалтерский учет финансовых инструментов и расчет провизий в соответствии с прогнозными рыночными показателями. Во-вторых, в Казахстане заканчивается оценка качества активов банков (AQR), включая адекватность оценки активов и залогового обеспечения и связанных с ними резервов, для повышения прозрачности банковских рисков. В-третьих, в Казахстане формируется спрос на новый подход к рассмотрению рисков компании –  интегрированную систему управления рисками ERM (Enterprise Risk Management). Причем последнее вытекает из двух предыдущих событий.

ERM – это комплексная интегрированная система управления рисками для достижения бизнес-целей: снижения непредвиденной волатильности прибыли и увеличения стоимости предприятия.

Современная структура банковской ERM состоит из семи компонентов, каждый из которых должен быть разработан и связан друг с другом, чтобы работать как единое целое.

Первый компонент. Корпоративное управление – это выстраивание определенных обязанностей совета директоров и высшего руководства с точки зрения организационных процессов и эффективного управления рисками компании.

Второй. Линейное управление – согласование бизнес-стратегий с корпоративной политикой риска при поиске новых возможностей для бизнеса и роста. Риски бизнес-операций должны быть полностью оценены и включены в ценообразование и показатели прибыльности при реализации бизнес-стратегии. В частности, ожидаемые убытки и стоимость капитала риска должны быть включены в цену продукта или требуемой доходности инвестиционного проекта.

Третий. Активное управление портфелем. Эта концепция применяется ко всем рискам внутри организации для их агрегации, учета их эффектов и мониторинга концентрации.

Четвертый. Передача риска – снижение нежелательных или концентрированных рисков, а также хеджирование рисков внутри портфеля. Чтобы снизить нежелательные риски, руководство должно на постоянной основе оценивать производные, страховые и гибридные продукты и выбирать из них наиболее эффективную альтернативу.

Пятый. Аналитика рисков – количественная оценка риска для дальнейшего анализа и отчетности. Например, если руководство хочет снизить риски, можно использовать аналитику риска для определения наиболее эффективного способа достижения той или иной цели.

Шестой. Технологические и информационные ресурсы улучшают качество данных для поддержки процессов анализа и отчетности.

Седьмой. Управление отношениями с заинтересованными сторонами повышает прозрачность рисков в отношениях компании с основными заинтересованными сторонами, что имеет важное значение для составления кредитных рейтингов, а также для внешнего анализа деятельности компании и принятия кредитных решений.

Все эти компоненты, собранные в одну систему, позволяют руководству банка адекватно оценить свои риски перед принятием того или иного бизнес-решения. Однако названные компоненты лишь структура, которая заполняется данными.

И на этом этапе могут возникнуть дополнительные проблемы типа неактуальности или неточности данных, децентрализации источников информации и подобного. Все эти вопросы снимаются благодаря технологиям.

Тем не менее в целом ERM решает проблему фрагментарного восприятия разных видов рисков на уровне отдельных структурных подразделений. При новом подходе риск-менеджеры и все заинтересованные подразделения компании могут оценивать риски в масштабах всего предприятия.

Читайте нас в TELEGRAM | https://t.me/kursivkz

drweb_ESS_kursiv.gif