Системи інтернет-платежів пройшли тест на захищеність, Різне, Інтернет-технології, статті

Кількість ступенів захисту у електронних і паперових грошей різному, причому перевага явно на боці перших. Спеціальні способи друку, невидимі мітки захищають купюри гідністю максимум в 1000 рублів, в той час як “інтернет-купюри” не мають верхньої межі. Підхід до захисту грошей однаковий у всіх випадках – необхідно виключити доцільність підробки. Але всі способи захисту виявляться марними, якщо самі власники грошей будуть нехтувати елементарними заходами безпеки.

Ступінь надійності електронних розрахунків

Можливість миттєвого грошового розрахунку послужила потужним поштовхом для розвитку електронної комерції. Число власників інтернет-грошей постійно зростає. Та й обороти електронних платіжних систем складають сьогодні значні суми. Природно, все це не може не привертати до себе увагу різних шахраїв. Питання безпеки електронних транзакцій придбали сьогодні особливої ​​актуальності. І вони ж є одним з основних стримуючих чинників подальшого розвитку електронної комерції. Все-таки багато людей не довіряють інтернет-грошей, оскільки бояться хакерів, вірусів та інших комп’ютерних сюрпризів.

Потрібно зауважити, що всі електронні платіжні системи мають досить серйозним захистом. А тому зламати їх “напряму” практично неможливо. Для прикладу можна взяти одну з найпоширеніших в нашій країні систем – WebMoney. У ній абсолютно всі операції аж до простого обміну сполучення між учасниками виконуються із застосуванням шифрування по криптоалгоритму, подібного RSA з довжиною ключа 1024 біта. Тим часом при сучасному рівні розвитку електроніки зламати такий шифр за прийнятний термін просто неможливо. Таким чином, одна з найсерйозніших небезпек Мережі, перехоплення даних (сніффінг), виявляється бездіяльною.

Те ж саме можна сказати і про інших платіжних системах. Так, наприклад, в E-port всі дані між комп’ютером клієнта і сервером передаються по протоколу SSL 3.0 з довжиною ключа до 128 біт. Правда, в цьому випадку користувачеві потрібно бути дуже обережним. Справа в тому, що багато старі версії браузерів підтримують шифрування з ключами меншої довжини (56 або навіть 40 біт). В цьому випадку зловмисник може спробувати зламати перехоплені дані і має всі шанси на успіх. Тому, користувачі всіх електронних платіжних систем, що використовують для роботи не спеціальне програмне забезпечення, а звичайний браузер, повинні мати, хоча б, останню його версію. Інших проблем з шифруванням інформації у інтернет-грошей на сьогоднішній день не виявлено.

Іншим часто використовуваним хакерами прийомом є підміна користувача. Тобто зловмисник деяким шляхом (наприклад, за допомогою підбору пароля) входить в систему від імені зареєстрованого клієнта і отримує доступ до його гаманцю. Природно, розробники електронних платіжних систем не могли не врахувати це. Найбільш вдало описана проблема вирішена у WebMoney і “Яндекс.Деньги”. Взагалі, у всіх системах використовується парольний захист. Між тим ні для кого не секрет, що велика частина користувачів застосовує вкрай слабкі з точки зору інформаційної безпеки ключові слова. Крім того, у зловмисників є чимало способів отримання паролів користувачів. Для цього можуть використовуватися троянські коні і програми-кейлоггери. Крім того, деякі люди застосовують одне і теж ключове слово для доступу до всіх інтернет-сервісів. Таким чином, зловмисникові достатньо отримати пароль людини до слабо захищеної системі і використовувати його для доступу до електронної платіжної системи.

Описана проблема є досить серйозною, оскільки дозволяє зловмисникам проникати в захищену систему через один з найбільш слабких елементів в її безпеці – людини. Найбільш вдалим її рішенням є повсюдне використання токенів (USB-ключів). Ось тільки сьогодні ці пристрої в нашій країні до цих пір залишаються досить великою рідкістю. Тому розробникам електронних платіжних систем доводиться знаходити нестандартне рішення проблеми з незахищеністю користувальницьких паролів.

Спеціальні програми-клієнти

Краще за всіх захищені користувачі WebMoney. Справа в тому, що для входу в програму-клієнт цієї системи необхідно дві речі: ідентифікаційні дані та спеціальний файл з ключами. Таким чином, зловмисник, навіть знаючи чужої пароль, не зможе скористатися ним для отримання несанкціонованого доступу до гаманця жертви. Втім, хакер завжди може спробувати викрасти потрібний файл з комп’ютера користувача. Зробити це можна, наприклад, за допомогою троянського коня. Для захисту від цієї небезпеки розробники системи пропонують клієнтам сильно збільшити розмір файлу з ключами (до 10 Мб). В цьому випадку “потягти” непомітно важливу інформацію буде дуже складно. Крім того, ключі можна взагалі зберігати на змінному носії, в пам’яті токена або смарт-карти. Це ще більш надійні варіанти (особливо останні два), практично повністю захищають користувача від віддалених зловмисників.

Рейтинг платіжних систем по “технічною” захищеності

1 WebMoney

2 Яндекс.Деньги

3 CyberPlat

4 Рапіда

4 E-port

Крім того, в системі WebMoney реалізована можливість блокування підключення по IP-адресою. Тобто клієнт вказує свій IP-адреса або дані цілої підмережі, в межах якої він може змінюватися, після чого доступ з будь-яких інших адрес буде заблокований.

Ще одним засобом захисту від зловмисників є система активації. Суть її полягає в тому, що при кожній спробі використовувати гаманець на зазначений клієнтом e-mail буде відправлятися спеціальне повідомлення. І до тих пір, поки користувач не відповість на нього, ніяких дій з рахунком зробити буде не можна.

Як видно, в системі WebMoney передбачено відразу декілька механізмів, покликаних захистити гаманці клієнтів. І якщо користувач активізує їх усі, то може вважати себе практично повністю захищеним. В інших електронних платіжних системах справи з безпекою йдуть трохи гірше.

У більшості з них для доступу до рахунку достатньо ввести лише ідентифікаційну пару (логін / пароль, номер рахунку / ключ і т.д.). Виняток становить, мабуть, тільки система “Яндекс.Деньги”. Справа в тому, що в ній вхід клієнта можливий тільки з його персональної копії програми-гаманця. Так що зловмиснику для отримання несанкціонованого доступу до рахунку жертви доведеться вкрасти його версію ПЗ. Втім, зробити це можливо, тим більше, що програма-гаманець має вельми скромний обсяг.

Але найбільшою небезпекою для користувачів електронних платіжних систем є аж ніяк не хакери та інші зловмисники, а самі звичайні онлайнові шахраї, яких останнім часом в Глобальній Мережі розвелося дуже багато. Так, наприклад, можна заплатити за товар в інтернет-магазині і не отримати його. Або спокуситися на участь у фінансовій піраміді і втратити всі свої вкладення. Подібних прикладів можна навести скільки завгодно. Багато шахраї діють досить грамотно, так що їх жертвами стають десятки людей.

Розрахунки між користувачами

З проблемою шахрайства користувачі різних електронних платіжних систем стикаються в різному ступені. Так, наприклад, CyberPlat призначена виключно для розрахунків B2B і B2С. Тобто всі магазини, банки та інші продавці різних товарів або послуг укладають договір з системою, надаючи досить значний пакет документів. Крім того, операції в системі завіряються електронним цифровим підписом, має юридичну силу. Таким чином, придумати і реалізувати будь-яку безпечну для зловмисника схему шахрайства з CyberPlat досить складно.

Рейтинг платіжних систем по захищеності клієнтів від шахраїв

1 CyberPlat

2 E-port

3 WebMoney

4 Рапіда

5 Яндекс.Деньги

Зовсім по-іншому йдуть справи з електронними платіжними системами, які дозволяють своїм користувачам переводити гроші один одному, наприклад, з WebMoney і “Яндекс.Деньги”. Ось тут для шахраїв є величезне поле для діяльності. Справа в тому, що в цих системах користувачі можуть залишатися абсолютно анонімними, що, природно, не може не привертати зловмисників. Крім того, будь-яка людина може легко кинути старий гаманець (попередньо, забравши з нього всі гроші) і завести собі новий. Це дозволяє шахраям, постійно змінюючи рахунки, обманювати за однією і тією ж схемою велике число людей.

У системі “Яндекс.Деньги” боротьба зі зловмисниками поки обмежується лише рекомендаціями. Серйозно ж захистом своїх клієнтів від всіляких шахраїв займається тільки WebMoney. Для цього, зокрема, була розроблена система атестації користувачів. Суть її полягає в тому, що будь-яка людина або організація мають право надати персональні або корпоративні дані і документи, що підтверджують їх надійність. Після цього йому буде виданий атестат.

А всі інші користувачі системи можуть бути впевнені в правдивості поданої інформації. Причому система атестації є ієрархічною структурою. Атестати можуть бути різними. Причому чим “Вище” вони стоять на ієрархічній драбині, тим більше сервісів доступно їх власникам.

Іншим способом захисту від шахраїв у системі WebMoney є сервіс blacklist. У ньому клієнти, які вважають себе обдуреними, можуть залишати претензії на інших користувачів системи. Причому ця інформація буде показуватися будь-якій людині, що намагається перевести гроші “провинилися”. Ще однією особливістю системи WebMoney є наявність арбітражу. Звернувшись в нього, обманутий чоловік може описати сформовану ситуацію і чим-небудь підтвердити її. Після цього арбітр розбере справу і винесе рішення, яке має бути виконано. Втім, всі ці хитрощі розробників системи WebMoney дуже часто не використовуються. І винні в цьому самі клієнти, які через неуважність не звертають уваги ні на атестати, ні на інформацію з blacklist, ні на інші досить явні ознаки шахрайства, а спокушаються надто вигідними пропозиціями і втрачають свої гроші.

Фішинг

Останнім часом в інтернеті дуже активно розвивається ще один вид шахрайства – фішинг. Суть його полягає в наступному. Зловмисник вибирає сайт-жертву і створює власний проект, зовні абсолютно схожий з початковим і має дуже схожий адресу (звичайно відмінність полягає в одній букві).

Після цього він заманює на свій сервер відвідувачів, які, не помітивши підробки, намагаються придбати товар або оплатити послугу, тобто або вводять свою секретну інформацію, чим користуються шахраї, або просто перераховують гроші не на той гаманець. Боротьба з цим явищем може бути тільки одна – просвітницька діяльність серед відвідувачів глобальної мережі та уважність останніх.

Оплата інтернет-та комунікаційних послуг

Трохи особняком стоять електронні платіжні системи, призначені для швидкої і зручної оплати різних інтернет-послуг, операторів стільникового зв’язку, платного телебачення, придбання товарів в онлайнових магазинах і пр. Сьогодні в Росії найбільш поширені дві з них: E-port і “Рапіда”. Шахрайства з використанням цих систем практично неможливі.

Справа в тому, що вони фактично є звичайними посередниками між користувачами та постачальниками послуг.

Зате з технічної точки зору в безпеці розглянутих систем є одна небезпека. Виявляється, для проведення платежу користувач повинен знати ідентифікаційну пару: номер картки та її PIN-код. Ці дані, як ми вже говорили, хакер може вкрасти, наприклад, за допомогою кейлоггера. Крім того, і e-port, і “Рапіда” працюють з SMS-платежами. Тобто клієнти цих систем можуть виконувати операції з картою шляхом відправки команд зі свого стільникового телефону. Тим часом зловмисник цілком може підглянути вводиться на “трубці” інформацію і скористатися їй у майбутньому.

З цієї точки зору система “Рапіда” виявляється більш захищеною. Справа в тому, що на кожній карті є чотири закритих пароля. У разі необхідності користувач стирає захисний шар з першого з них і застосовує даний PIN-код. Для наступного сеансу йому вже потрібно другий пароль (перший вже не діє) і т.д. Останній PIN-код може використовуватися двічі: для здійснення платежу і для переносу залишку з поточною карти на наступну. Таким чином, вирішується проблема підглядання (звичайного або віртуального) зловмисниками ідентифікаційної інформації клієнтів системи.

Ну а тепер прийшла пора підвести підсумки. В даний час електронні платіжні системи досить добре захищені практично від усіх “технічних” небезпек. Однак самим слабким місцем у їх безпеки є самі користувачі. Жертвами зловмисників найчастіше стають люди, що нехтують елементарними правилами безпеки роботи в Мережі, а також ті, хто спокушається надто привабливими пропозиціями шахраїв, стаючи їх жертвою.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*