Безпека при роботі з електронними платіжними системами – правила і поради новачкам

Безпека електронних платіжних систем

Незважаючи на безумовні реалії, де абсолютно кожна електронна платіжна система містить в своєму арсеналі надійні, сучасні апаратні та програмні механізми, що забезпечують захист грошей своїх користувачів, лише дотримання певної техніки безпеки дозволяє гарантувати стовідсоткову безпеку ваших грошей.

Оскільки, як показує практика, більшість випадків несанкціонованого доступу до гаманців відбуваються через недосвідченість, недбалість і неуважність їх власників, тому в цьому огляді було вирішено провести підготовчу навчальну бесіду заради пояснення основних моментів роботи з грошима в світі інтернету.

Наскільки безпечні платіжні системи

Електронна платіжна система – це інструмент грошових розрахунків між інтернет-користувачами, бізнес-структурами та фінансовими організаціями, який використовує віртуальні аналоги традиційних грошей. Безпека забезпечується двома способами – внутрішнім і зовнішнім.

До внутрішніх заходів безпеки відносять механізми захисту, які здійснюються з боку платіжної системи без участі користувача (клієнта):

  • захист серверів, де зберігається і обробляється інформація;
  • шифрування інформації на сервері і на пристрої користувача;
  • шифрування інформації під час її передачі від сервера до користувача і назад;
  • створення протоколів безпеки для правильної ідентифікації власника рахунку (гаманця).

Перераховані заходи захисту, як правило, реалізуються за допомогою обмеження доступу до серверів платіжних систем і використанням спеціалізованого програмного забезпечення, що в сукупності дає майже 100% гарантію збереження віртуальних грошей. Це підтверджує статистика випадків несанкціонованого доступу до облікових записів користувачів – їх майже немає. Точніше кажучи, немає підтверджених випадків злому популярних платіжних систем, є рідкісні факти злому невеликих ресурсів, які використовують власний функціонал розрахунків.

До зовнішніх заходів безпеки відносять всі дії користувача, здійснювані ним для захисту своїх фінансів:

  • дотримання правил безпеки при аутентифікації;
  • захист свого пристрою від інтернет-атак;
  • нерозповсюдження особистої фінансової інформації;
  • обмеження кола осіб з доступом до пристрою, з якого відбувається управління грошима на рахунках платіжних систем;
  • ретельний підбір структур, які отримують доступ до фінансової інформації користувача за його згодою (інтернет-магазини, сайти для здійснення різних платежів, обмінники валют);
  • інші заходи безпеки.

З цього боку захист не настільки надійний. Навіть навпаки – напевно, кожну секунду на планеті Земля відбувається факт крадіжки віртуальних грошей з вини їх власників. А все тому, що пересічний клієнт платіжних систем украй рідко дотримується правил безпеки, за допомогою яких можна захиститися від неприємних, часом сумних подій.

Основні способи крадіжок електронних грошей

З моменту появи платіжних систем шахраї придумали досить багато способів і методів їх крадіжки. Але більшість з них зводяться до позначених нижче варіантів.

Фішинг

Фішинг (Phishing) або «рибалка хакерів» – це різновид мережевого шахрайства, спрямований на «вивудження» (виманювання) конфіденційної інформації у інтернет-користувачів. Робиться це за допомогою масової спам розсилки електронних листів або повідомлень на форумах, в соціальних мережах, коли одержувачу пропонують перейти по певному посиланню (наживка) і отримати або зробити щось. Після переходу за посиланням відкривається сайт, де жертву просять або змушують вказати конфіденційні дані. Крім того, за посиланням може перебувати «липовий» сайт відомої компанії (банк, магазин, веб-портал).

Як правило, в подібних листах містяться:

  • погрози і шантаж;
  • повідомлення про виграш чого-небудь;
  • запрошення взяти участь в «супер-пупер» акції;
  • прохання змінити коди доступу на відомому сайті;
  • пропозиція подивитися на щось цікаве (після потрібно завантажити і встановити «липовий» відеоплеєр або Флешплеєра);
  • прохання надати конфіденційну інформацію «фейковій» держорганізації.

Є й інші приклади фішингу, але всі вони, так чи інакше, зводяться до вище перелічених або є різновидом таких.

Щоб убезпечити гроші на рахунках платіжних систем від подібного шахрайства, слід:

  1. Вивчити правила безпеки щодо захисту своїх персональних даних в інтернеті.
  2. Використовувати технічні засоби безпеки. У більшості популярних браузерів і email-клієнтів є антиспам фільтри і засоби для протидії фішингу. Наприклад, в Firefox застосовується спеціальна антифішинговий система Google, в Opera використовуються чорні списки GeoTrust і PhishTank.
  3. Використовувати юридичні заходи. До цього мало хто вдається, але з фішерами можна боротися в юридичній площині. Прикладами подібних випадків можуть служити справи: Юрія Сергостьянца в Росії – 2009 рік, Джеффрі Бретта Гудина в Каліфорнії – 2007 рік, і «Джона Доу» проти Microsoft в Австралії – 2005 рік. Це найвідоміші прецеденти, коли шахраїв садили за фішинг.

Підбір паролів

Підбір паролів виконується за допомогою двох підходів – психологічного або програмного.

Психологічний підхід передбачає, що користувач в якості пароля для особистого кабінету платіжної системи (e-mail, сайту, програми) буде використовувати важливі для нього числа та слова або вибере простий (статистично популярний) набір символів. У першому випадку це можуть бути:

  • дати народження близьких людей або важливих для користувача відомих особистостей;
  • імена родичів, їх прізвиська, клички домашніх тварин;
  • дати важливих подій (перша робота, найкращий день у житті, втрата цноти);
  • значущі адреси та географічні назви.

Словом, все те, що легко згадати і важко забути.

и програмному підборі використовується спеціально розроблений софт, який шляхом банального перебору всіх можливих варіантів шукає правильний пароль безпеки для доступу до гаманця. Зрозуміло, для цього може знадобитися дуже багато часу, але якщо пароль досить легкий, то і підбір пройде швидко.

Простими паролями вважають набори з невеликою кількістю символів, комбінації однотипних символів, повторення символів одного типу (числа або літери).

123456, 123456789, 1234567, 111111, qwerty, ааааааа

Щоб уберегтися від підбору, використовуйте довгий складний пароль (від 12 знаків), що поєднує різні види символів, наприклад великі і малі букви, цифри та спецсимволи. «M0! 9a = 8T_sA9-g»

Чарівний гаманець

Тут мова йде про гаманець платіжної системи, який має наступну «магічну особливість»: якщо на нього перераховують кошти, то він повертає їх відправнику з виплатою «бонуса» або помножуючи їх в два або більше разів. Зрозуміло, на практиці ніякі гроші нікому не повернуться.

Суть даної схеми така:

  1. Шахрай заводить звичайний гаманець.
  2. Потім він поширює в мережі чутки про його «чарівні» властивості.
  3. Далі, шахрай просто чекає поки йому скинуть гроші і виводить їх.

Тут слід зазначити, що способів привабити жертв може бути скільки завгодно і це необов’язково байки про «чарівність». Шахрай може говорити, що це «інвестиційний» або «депозитний» рахунок. А ще, він може прикинутися жертвою і говорити: «Так мене обдурили, але поки я кидав туди невеликі суми, все було нормально. Зараз знову кидаю маленькі і скоро поверну вкрадену суму ».

Як захиститися? Досить просто – пам’ятати про сир в мишоловці.

Будь спадкоємцем багатого дядечка або нігерійські листи

Суть цього шахрайства така. Жертва отримує листа, де її просять зіграти роль «фіктивного» спадкоємця мільйонера з Нігерії (країна може бути майже будь-яка), отримавши при цьому частину його спадщини. Всі юридичні нюанси автор листа бере на себе, жертві лише потрібно:

  1. Завести гаманець.
  2. Перерахувати туди певну суму грошей для підтвердження намірів, встановлення особи або оплати якихось витрат.
  3. Передати інформацію про себе і гаманець автору листа, включаючи дані для управління грошима. В деяких випадках просто просять перерахувати кошти на гаманець автора листа.

Замануха приваблива, та тільки “Нігерія” далеко і одержувача листа правоохоронні органи ніяк не дістануть. Стереотипне бажання – дістати великі гроші майже задарма, обов’язково візьме верх.

Незважаючи на всю простоту цього виду шахрайства, дуже багато людей вірять подібним листам і, як підсумок, втрачають кровно зароблені гроші.

Заробіток на обміні валют

Шахрайство з обміном валют досить примітивне. Жертві пропонують купити валюту на «липовому» інтернет-обміннику за заниженою вартістю, а потім продати там же або на іншому обміннику, отримавши деяку вигоду. При цьому за фактом немає ніякого обміну, гроші просто переводяться на гаманець шахрая і там залишаються.

озпізнати фальшиві обмінники нескладно по наступним особливостям:

  • сайт являє собою landing page, тобто виконаний на одній сторінці;
  • кустарний дизайн
  • безкоштовний домен;
  • обмінний курс сильно відрізняється від ринкового;
  • ціна покупки валюти більша або дорівнює ціні продажу.

Злом третіх сторін

Буває, коли безпосередні власники рахунків платіжних систем втрачають гроші не зі своєї вини, а через проблеми з безпекою третіх осіб. Наприклад, коли зламують інтернет-магазини, банківські сайти або державні портали. У подібних випадках конфіденційна інформація користувачів потрапляє до рук зловмисників через поганий захист або невірного підходу до безпеки з боку технічних служб зламаних онлайн майданчиків. Крім того, бувають епізоди, коли співробітники великих сайтів просто продають клієнтські бази даних.

Як від подібного захиститься? Повністю – ніяк, але можна звести ризик втрати грошей в таких ситуаціях до мінімуму, дотримуючись простих правил безпеки роботи контрагентами:

  • використовуйте для розрахунків за покупки та послуги один рахунок, а для заощадження грошей – інший;
  • не користуйтеся пропозиціями «молодих» сайтів;
  • перевіряйте історію сайту за допомогою новин і відгуків;
  • вказуйте мінімум необхідної конфіденційної інформації при покупках;
  • використовуйте різні паролі і пошту до платіжної системи і сторонніх веб-ресурсів!

Наслідки злому: як відновити контроль, і як повернути гроші

Для того щоб відновити доступ до грошей на рахунках платіжних систем після злому акаунта, потрібно:

  1. Уважно прочитати «Угоду» і правила роботи (розділ FAQ).
  2. Використовувати процедуру «Відновлення доступу» (пароля). Якщо з її допомогою не вдалося відновити контроль, то необхідно звернутися в службу підтримки.
    Якщо виявлено факт пропажі грошей – звернутися в «Арбітраж». Це спеціальна служба, яка займається врегулюванням спірних питань і поверненням коштів, за умови її наявності.
    • Якщо вкрадені гроші виведені із системи – спробуйте звернутися в поліцію. Однак, подібні прийоми малоефективні.
  3. Після відновлення контролю необхідно змінити всі паролі, включаючи ключі електронної пошти. Перевірити пристрою на наявність вірусів і шпигунського ПЗ. Очистити історію браузерів і видалити тимчасові файли (кеш, куки). Виконати повторну перевірку пошуку шкідливих програм.

Ще важливо зрозуміти, як саме був здійснений злом і коли, щоб уникнути повторення інциденту в майбутньому. З цим може допомогти служба підтримай.

Блокування та його причини

Блокування доступу до платіжної системи відбувається в двох випадках: по-перше, коли користувач порушив угоду користувача (договір, оферту) або кілька разів помилився з введенням пароля і капчі; по-друге, коли система виявила спробу несанкціонованого доступу. В обох випадках для відновлення контролю потрібно звернутися в службу технічної підтримки. Там проведуть процедуру ідентифікації користувача і вирішать, чи варто знімати блокування, оскільки це не завжди можливо.

Доступ не відновлюють, якщо юзер грубо або багаторазово порушував угоду користувача або займався незаконною діяльністю (притаманне “білим”, що не анонімним і не офшорним платіжкам). У тих же випадках, коли блокування сталося, щоб запобігти спробі несанкціонованого доступу, воно майже завжди знімається.

Щоб запобігти непорозуміння зі своєї вини, слід уважно читати правила фінансового сервісу і вірно водити паролі з капчі під час аутентифікації.

10 порад новачкам від творців платіжних систем

Тим, хто тільки почав користуватися платіжними системами, розробники рекомендують дотримуватися наступних правил безпеки:

  1. Встановлюйте ліцензійні версії антивірусних і антішпіонських програм, не забуваючи вчасно їх оновлювати.
  2. Не відкривайте посилання з привабливими пропозиціями, якщо вони надіслані невідомими вам особами (конторами).
  3. Використовуйте весь інструментарій безпеки для захисту віртуальних грошей:
    підключіть СМС-повідомлення чи двохфакторну авторизацію;
    • призначте секретні питання;
    • активуйте кодові карти;
    • включіть захист по IP (якщо використовуєте статичний мережеву адресу);
    • вводите паролі вручну;
    • поставте ліміти на вивід і перерахування віртуальних грошей за розміром і часу.
  4. Тримайте конфіденційні дані в захищеному місці. Робочий стіл комп’ютера – не краще місце для зберігання.
  5. Чи не публікуйте свої телефонні номери і адреси електронної пошти на ресурсах з відкритим доступом.
  6. Не використовуйте скрізь однакові кодові фрази для відновлення.
  7. При роботі з інтернет-ресурсом переконайтеся, чи використовуються https протоколи безпеки передачі даних.
  8. Рахуйте гроші на Вашому гаманці. Якщо пропаде хоч копійка – це ознака злому.
  9. Досконально перевіряйте контрагентів, з якими співпрацюєте.
  10. Читайте угоду користувача і інструкції!

Резюме

Як видно з вищевикладеного, винайдено багато способів розкрадання грошей з рахунків платіжних систем. Однак всі вони зводяться або до підбору елементарного пароля, або до обману, тобто до неуважності і довірливості жертви. Тому, щоб захистити свій електронний гаманець, досить просто використовувати складні паролі і уважно вивчати правила безпеки роботи з віртуальними грошима, ставитеся до них також дбайливо, як і до купюр в гаманці.

Якщо хочете подякувати авторам - поділіться матеріалом в соцмережах

Матеріали по темі:

avatar
  Підпишіться  
Сповітити про