18 июня 2013
Защита, которая по карману
Темир ШАМИЛЬ, вице-президент по развитию бизнеса в банковском секторе MAYKOR: Безопасность виртуальных кошельков и электронных платежных транзакций не дается бесплатно. Соответственно, банки и платежные системы реализуют только те меры защиты, которые экономически оправданы. В такой ситуации пользователям не стоит проявлять излишнюю беспечность.

Использование интернет-ресурсов в качестве площадки для торговли – один из наиболее эффективных способов сокращения издержек. Именно поэтому практически каждая крупная розничная компания в дополнение к традиционной торговой сети имеет интернет-магазин, а значительное количество средних и мелких ритейлеров предпочитают вести свою деятельность исключительно в интернет-пространстве. В интернет-магазинах помимо традиционных видов оплаты – наложенным платежом, банковским переводом на счет продавца, наличными курьеру при доставке и т.д. – наиболее удобными и потому востребованными являются моментальные платежи с использованием систем интернет-банкинга или через электронные платежные системы. Виртуальные деньги, как и реальные, – постоянная мишень мошенников. Поэтому самый критичный фактор, влияющий на дальнейшее развитие моментальных платежей, – их безопасность.


Нельзя придумать абсолютную защиту. Любую преграду можно преодолеть. Вопрос только в целесообразности, вернее, в соотношении себестоимости подготовки и реализации мошеннической схемы и количества украденных денег. Если для того, чтобы украсть 100 руб., необходимо потратить 110, то какой смысл красть? Даже если затраты составят 90 руб., все равно проще положить деньги на депозит в банк. Самый правильный подход к обеспечению безопасности – это одновременно увеличивать затраты на каждую мошенническую операцию и уменьшать величину «улова». В какой-то момент воровать станет невыгодно. Это в теории. Но на практике все новые технологии постепенно устаревают, становятся более доступными, а потому дешевеют. И метод мошенничества, еще вчера казавшийся дорогим, сегодня вполне удовлетворяет финансовым чаяниям нечистых на руку граждан.


Риски можно снизить и диверсифицировать


Основная цель мошенников – получить доступ к управлению счетом добропорядочного пользователя. Для этого мошеннику необходимо завладеть идентификационными данными, с помощью которых он, выдав себя за истинного владельца аккаунта, осуществит перемещение средств в собственных интересах. Чтобы получить доступ к нужным идентификационным данным, некоторые мошенники выбирают очень затратный и технологичный, но приносящий неплохие дивиденды способ – взлом самой системы. Это происходит нечасто, но приводит к серьезным потерям. Защитить себя от таких угроз владельцы виртуальных кошельков никак не могут. Единственное, что они могут сделать, – это принять некие превентивные меры для сокращения возможных потерь. Например, держать на своем аккаунте минимальные суммы денег и пополнять счет только перед совершением операции. Тем самым пользователь избегает и другой угрозы – целенаправленного взлома именно его кошелька. Ведь тратить много сил и времени, чтобы украсть несколько рублей, неэффективно. Если же пользователь является активным участником финансовых взаимоотношений в интернете и ему необходимо постоянно иметь значительные суммы на виртуальном счете, то можно завести много счетов с небольшими суммами и консолидировать средства на одном из них непосредственно перед оплатой. Таким образом, риски диверсифицируются между всеми счетами. Можно придумать и другие методы снижения рисков, но все они, так или иначе, создают препятствия не только для мошенников, но и для самих пользователей. Так что каждый должен выбрать для себя некий средний вариант, который уменьшит риски до приемлемых размеров, но все же не сделает обращение к сервису настолько сложным и неудобным, что тот потеряет свою привлекательность.


Похожим путем идут и сами платежные системы – в их распоряжении всегда есть несколько методов усиления безопасности, но стоимость их внедрения превышает возможные потери от реализации угроз. Они осознанно идут на определенный риск, откладывая внедрение новых эшелонов защиты, и периодически проводят переоценку рисков. Если пользоваться наиболее известными платежными системами, то можно рассчитывать, что они применяют наиболее эффективные меры защиты из числа финансово оправданных на текущий момент.


Пользователь, не теряй бдительности


Другой способ получить доступ к деньгам – это выудить необходимые данные у самой жертвы. Предложить действенный способ защиты от подобных угроз невозможно, поскольку он должен лежать не в сфере технологических решений, а в сфере психологии. Можно только посоветовать никому и никогда не сообщать персональные данные своего счета. Однако в самой этой рекомендации кроется противоречие: ведь тогда невозможно будет совершать операции, поскольку без идентификационных данных пользователя не распознает система. Поэтому каждый раз, набирая на клавиатуре логин, пароль или временный код, пользователь должен хорошо понимать, что и кому он сейчас сообщает.


Должным образом защитив от посягательств данные в системе и приняв все необходимые меры предосторожности со стороны пользователя, все равно нельзя быть полностью уверенным в целостности средств. Ведь идентификационные данные можно получить еще из одного источника – платежной транзакции. При формировании транзакции используются не только данные о собственно платеже – его сумма, валюта, но и идентификационные данные пользователя. Конечно, при передаче данных они шифруются, проводятся защищенные сессии. Но любые шифры поддаются расшифровке, это лишь вопрос времени.


Для борьбы с такими хищениями сегодня применяется один из наиболее эффективных методов защиты – одноразовые коды, отправляемые по SMS или предоставляемые заранее. Их эффективность зиждется на том, что такой код нельзя использовать повторно и логически он никак не связан ни с предыдущим кодом, ни с последующим. В результате, перехватив и взломав какую-либо транзакцию, мошенники не смогут инициировать другую. Но в этом случае пользователь должен строго следить за сохранностью карты с одноразовыми кодами, если он таковой пользуется, или за своим телефоном, на которой ему присылают SMS с кодом. И при утере немедленно связаться с платежной системой или банком для аннулирования карты или прекращения SMS-отправки кодов.


Многие пользователи пребывают в эйфории, считая, что структура, которой они доверили свои деньги, должна самостоятельно бороться за целостность и безопасность их средств, и ведут себя более чем беспечно. При этом они не понимают, что система безопасности, на которую они могли бы безусловно положиться, стоит настолько дорого, что они скорее откажутся оплачивать расходы на ее создание (а кто же еще будет за нее платить?), нежели продолжат пользоваться такой надежной, но такой дорогой услугой.

Отслеживайте самые яркие события в MAYKOR:
Facebook, Telegram, Instagram, Twitter, Vkontakte, YouTube.
Яндекс.Метрика