Большинство платежных систем являются частично анонимными, оплату через которые предлагают многие магазины. При использовании виртуальных денег существует достаточно способов, компрометирующих пароли и коды безопасности. В итоге, средства могут быть списаны вследствие атаки на компьютер, а выход ПК из строя способны привести к утрате сертификатов безопасности, открывающих доступ к платежной системе.
Платежные системы совершенствуются, улучшаются методы защиты, но тем не менее, у пользователей всегда остается вопрос относительно ее эффективности. В связи с этим информация о мошеннических схемах может представлять интерес для пользователей электронных кошельков и банковских карт.
Защита при аутентификации
Безопасность имеет значение, начиная с этапа аутентификации. Так как для доступа к платежной системе предусмотрена процедура аутентификации, так называемое генерирование платежным сервисом одноразовых паролей, в этот момент злоумышленник имеет шанс получить данные для взлома электронного кошелька: к примеру, логин — с помощью перехвата идентификатора сессии, номер которой фиксируется в браузере. Если злоумышленник получит номер текущей сессии, то он сможет выдать себя за пользователя кошелька и скопировать необходимые данные владельца счета.
Чтобы исключить вероятность перехвата соединения, в настоящее время становятся актуальными приложения, выступающие посредниками между кошельком и пользователем, разработанные на базе шифрования PGP. При аутентификации используется пара ключей: открытый — для шифрования цифровой подписи, закрытый — для ее создания и декодирования. Приложение генерирует временные пароли для доступа к закрытому ключу, из чего следует, что без доступа к одноразовому паролю невозможно создание цифровой подписи владельца счета.
Распространенные схемы мошенничества
Помимо проблемы безопасности при авторизации в платежной системе существует ряд опасностей другого рода, для предупреждения которых следует ознакомиться с особенностями мошеннических схем. К примеру, одной из действующих схем являются фишинговые сайты, на которых пользователь оставляет свою персональную информацию, включая паспортные данные, номер телефона, а также реквизиты платежной карты. После того, как эти данные введены, они попадают к злоумышленнику и в тот же момент могут быть использованы на его усмотрение.
Кроме того, известны такие способы хищения данных, а вместе с ними, и денежных средств, как снифферинг: персональные данные, включая платежные данные карты, при совершении покупки онлайн могут быть украдены через незащищенные WiFi-сети в общественных местах.
Мошенники также изловчились в социальной инженерии: когда на телефон человека приходит смс якобы от родственников с просьбой о помощи, и в качестве альтернативы — о переводе поступившего смс с кодом (на самом деле поступит код в подтверждение нужной мошенникам операции).
Что необходимо знать о кардинге
Частью проблемы безопасности является так называемый кардинг: вид мошенничества, практикуемый в экономической и информационной сферах преступным сообществом в связи с транзакциями по картам. Этапы схемы выглядят так:
- регистрация карты с введением ее номера, именем владельца (иногда — непосредственно по документу);
- обращение в процессинговый центр с заявлением о возникновении сложностей при авторизации для покупки;
- получение авторизации;
- регистрация суммы авторизации на определенную сумму, после чего сумма считается потраченной.
Особенность описанной процедуры в том, что мошенник не может знать о наличии какой-либо суммы на карте. Все, чем ограничиваются его действия — получение авторизации на карту. Если авторизация получена — сумма замораживается на счету. Аннулировать авторизацию невозможно, и это становится проблемой для пользователя карты, хотя бы в том, что уменьшается доступный лимит средств.
Еще один путь кардинга — создание фейкового интернет-магазина. Злоумышленники придумывают название магазина, имя руководителя компании, создают информацию о представительстве компании в интернете. Затем начинается поиск людей, осуществляющих покупки по ворованным картам. Поиск может иметь вид набора сотрудников на вакансию менеджера по обработке информации, готового работать удаленно.
Договор с такими лицами заключается по поддельным документам. Срок работы наемного сотрудника, как правило, составляет около трех месяцев, после чего он привлекает внимание органов правопорядка, и его меняют на следующего. Когда товар закуплен, его перенаправляют в страну продаж и реализуют по сниженной стоимости без гарантии в каком-либо интернет-магазине.
Исходя из распространенных проблем, рекомендуется соблюдать меры безопасности при использовании пластиковой карты, использовать интернет-банкинг, позволяющий держать под контролем все операции и своевременно реагировать на нелегальные транзакции, хранить средства на картах с повышенным уровнем безопасности, изготовленных со специализированным микропроцессором, что снижает вероятность потерь. Но в дополнение ко всему, не обойтись без повышения грамотности в сфере защиты от различных схем мошенничества с платежными системами.
Автор: Алекс Заветов
Наши проекты:
Юридическая помощь предпринимателям доступна на Legem.Ru
Актуальные юридические новости читайте на LegemNews.Ru
