Family Office рассказывает, как обезопасить себя от киберпреступников при проведении транзакций.

Ежедневно через интернет осуществляются миллионы сделок, оплата которых происходит при помощи банковских карт и платежных сервисов. Количество интернет-оплат растет с каждым годом и вместе с этим показателем растет и количество незаконных операций с картами. В Украине за 2018 год объем таких операций составил почти 0,01% от общего количества всех операций. Немного? В процентном соотношении да. А вот в количественном цифры впечатляют — более 105 тыс. случаев за год при средней сумме одной незаконной операции в 2500 грн. Конечно, если на взломанном счету хранится больше средств, убытки окажутся значительно выше.

Как это работает

В проведении онлайн-платежа участвуют несколько сторон, отвечающих за безопасность операции. Это держатель карты, который платит деньги, получатель (интернет-магазин или торговая площадка), банк-эмитент карты и банк-эквайер, международная платежная система, выдавшая карту, и сервис-провайдер, которые обеспечивают процессинг.

Обычно операция оплаты в интернете выглядит так: человек выбирает в интернет-магазине товар или услугу, добавляет в корзину и нажимает кнопку «Оплатить». После этого идет переадресация на страницу системы оплаты, где нужно ввести реквизиты банковской карты и подтвердить платеж. Для клиента на этом зачастую все и заканчивается — он получает подтверждение об успешной оплате. Но на самом деле для совершения данной операции совершается более двадцати шагов.

Основные из них таковы: платежная система или сервис-провайдер передает данные клиента в банк-эквайер, с которым работает интернет-магазин. Этот банк передает данные банку — эмитенту карты, который должен проверить корректность полученных данных, наличие достаточного количества денег на счету для проведения транзакции и согласие пользователя на ее проведение. Если все хорошо, банк-эмитент дает добро на проведение операции и переводит деньги на счет банка-эквайера, в котором обслуживается интернет-магазин.

Далее платежная система (сервис-провайдер) передает все ваши данные в банк-эквайер, который обслуживает этот интернет-магазин. Банк-эквайер, в свою очередь, передает информацию банку-эмитенту, который выпустил и выдал вам карту. Последний проверяет информацию о вас, о карте, наличии свободных средств на ней, иногда запрашивая авторизацию покупателя по технологии 3-D Secure, о которой мы подробно расскажем далее. После этого он разрешает (или не разрешает) провести операцию, передает данные платежной системе, платежная система — в магазин, а покупателю приходит уведомление, что операция совершена.

Как защищают платежи

Главная задача по защите транзакций ложится на платежные системы, сервис-провайдеров и банки. В стандартный набор средств входит ряд инструментов, которые предотвращают доступ третьих лиц к платежным данным клиентов и обеспечивают подтверждение того, что именно хозяин карты совершает операцию. Одна из основных называется 3-D Secure. Это те самые пресловутые коды, которые приходят на телефон для подтверждения платежа. С развитием сферы фирменных приложений вместо SMS-кодов банки часто просят сделать то или иное действие через мобильную программу, например, нажать в ней соответствующую кнопку. Сейчас для подтверждения платежей все чаще используются биометрические данные. В приложении можно отсканировать отпечаток пальца или лицо — считается, что такой способ подтверждения более надежен, чем обычный SMS-код.

Платежная информация, пересылаемая по интернету, защищается протоколом SSL (Secure Socket Layer). С его помощью все данные шифруются и даже в случае их перехвата у злоумышленников в руках оказываются просто случайные наборы символов. Чтобы расшифровать их и получить нужные данные уйдут сотни лет, что делает эту операцию бессмысленной.

Набор стандартов PCI DSS (Payment Card Industry Data Security Standard) разработан международными платежными системами и обязан соблюдаться всеми компаниями, которые осуществляют и проводят интернет-платежи. PCI DSS состоит из 12 детализированных требований по обеспечению безопасности данных о держателях платежных карт.

Разнообразные противомошеннические системы (также известные как anti-fraud) оценивают проводимые онлайн финансовые операции и способны выявлять подозрительные. Такие системы могут блокировать списание денег с карты до прохождения дополнительной проверки со стороны банка, если имеется подозрение, что совершаемая операция мошенническая. Такие платформы определяют мошенничество по разным параметрам. Часто используется оценка поведения в процессе платежа, IP-адрес, частота операций и т. д. В последние несколько лет в таких системах используются нейросети и технологии искусственного интеллекта, что существенно повысило их точность и снизило количество ложных срабатываний.

Что делать пользователю

Все вышеописанные меры защиты хороши с технической точки зрения, но они не могут на 100% защитить пользователя от фишинга и социальной инженерии. Поэтому несколько простых правил существенно снизят риск стать жертвой киберпреступников именно со стороны пользователя.

Главная рекомендация — никому и ни при каких обстоятельствах не сообщать трехзначный CVV-код карточки, который расположен на ее обратной стороне, а также коды подтверждений, которые приходят на телефон. Это секретная информация, которую не должен знать никто, включая сотрудников банка (мошенники очень часто представляются в разговорах именно банковскими работниками или служащими службы безопасности).

Сайты, на которых вы совершаете платеж, должны быть защищены и иметь соответствующий сертификат. Проверить это просто: адрес такого сайта начинается с https (а не http), рядом с адресной строкой отображается иконка в виде закрытого замка. Это показывает, что вы имеете дело с настоящим сайтом, а не фишинговой страницей, маскирующейся под нее.

Для оплаты в интернете используйте электронные кошельки платежных систем (Visa Checkout и MasterPass) или сервисы Apple Pay и Google Pay. Пользуясь ими, не нужно каждый раз вводить все реквизиты карточки. Достаточно указать пароль от "кошелька" и при необходимости пройти подтверждение, после чего средства спишутся автоматически без передачи данных карты.

Заведите виртуальную карту для онлайн-оплат, которую можно оформить в несколько кликов. Впоследствии на нее можно просто переводить необходимые суммы непосредственно перед покупкой. Таким образом, даже если карта будет скомпрометирована, преступники не смогут украсть с нее значительную сумму.