Публикации

Онлайн-платежи — удобно и безопасно

В цивилизованных странах пластиковые карты очень популярны. Не нужно носить с собой раздутые кошельки с наличными — тоненькая пластиковая карточка способна заменить сколь угодно большую пачку денег. Оценили преимущества пластиковых карт и пользователи интернета. С помощью карт удобно делать покупки в Сети, оплачивать бронь гостиниц, прокат автомобилей, покупать электронные билеты.

Перечень услуг онлайн-банкинга зачастую включает все сервисы, доступные в банковских отделениях. Пользуясь ими, очень удобно, не выходя из дома, контролировать движение средств по счетам, осуществлять всевозможные транзакции и переводы, открывать и закрывать депозитные счета, покупать и продавать валюту.

Все это имеет и обратную сторону. Популярность банковских карт привлекает все больше и больше охотников запустить руку в чужой карман. Опасность подстерегает владельца карты прежде всего на стадии оформления онлайн-платежа или банковской операции. Ведь для их осуществления на сайте магазина или банка необходимо ввести свои конфиденциальные данные: имя, фамилию, адрес, номер телефона и данные кредитной карты. Если введенная информация попадет в руки злоумышленников, владелец пластиковой карты рискует остаться без средств на счете. Кроме того, в Сети довольно много мошеннических сайтов онлайн-магазинов. На таких сайтах вам предложат широкий выбор товаров, однако, оплатив покупку, вы в лучшем случае не получите ничего, а в худшем потеряете все деньги с вашей кредитной карты.

Что же нужно делать, чтобы обезопасить себя и не попасться в ловушку мошенников? Каких правил нужно придерживаться, совершая покупки в Сети и другие операции с банковскими картами? В этой статье мы постараемся рассказать, на что нужно обращать внимание, чтобы не потерять свои деньги при осуществлении онлайн-платежей.

Покупки в интернете

В России, по данным компании Nielsen, сегодня опыт онлайн-покупок имеют 83% всех пользователей интернета, тогда как в 2007-м этот показатель составлял 77%. С ростом числа онлайн-покупателей растет и число потенциальных жертв киберпреступников. Пользователям необходимо быть осторожными на всех этапах совершения покупок в Сети. На что же следует обращать внимание?

Специальная карта для покупок

Прежде всего, чтобы не стать жертвой злоумышленников и не лишиться всех денег, которые хранятся на вашем банковском счете, вам нужно подстраховаться и завести себе отдельную пластиковую карту специально для онлайн-операций. На ней вы можете хранить небольшие денежные суммы. Даже если данные такой карты будут украдены, киберворы не смогут заполучить все ваши деньги. Вы также можете пополнять счет непосредственно перед каждой покупкой и обговорить с банком максимально доступную ежедневную сумму для снятия.

Выбор онлайн-магазина

Решив купить что-либо через интернет, потенциальный покупатель первым делом приступает к поиску и выбору интернет-магазина. Лучше всего делать покупки на известных и хорошо зарекомендовавших себя веб-ресурсах. Если по каким-то причинам это невозможно, будьте внимательны: мошенники придумывают все новые и новые способы обмана покупателей. На что же надо обратить внимание, чтобы не попасть в их сети?

Внешний вид сайта

При поиске онлайн-магазина существует риск попасть на сайт мошенников. Так как мошеннические сайты обычно создаются ненадолго, в России злоумышленники зачастую не утруждают себя аккуратным дизайном поддельных веб-страниц. Поэтому сайт мошеннического онлайн-магазина часто можно узнать по его оформлению. Такие сайты могут просто и дешево выглядеть, иметь изъяны (не работают ссылки, не воспроизводятся шрифты, текст неаккуратно оформлен и т.п.), а некоторые вкладки и страницы могут и вовсе не работать или выдавать ошибки.

Информация о магазине

Если вы ничего не знаете об интернет-магазине и у вас есть хоть какие-то сомнения относительно его легитимности, обязательно поищите в интернете информацию о нем. Можно попробовать поискать отзывы в поисковой системе, введя запрос вида «online-shop.com отзывы » или «online-shop.com обман мошенничество». Если магазин ведет нечестную деятельность, наверняка найдутся пострадавшие, оставившие свои жалобы на это в Сети. Обратите также внимание на наличие на сайте контактных телефонов, юридического адреса, банковских реквизитов. Такая информация тоже нуждается в проверке, например, через все ту же поисковую систему. Если же сомнения не пропали, лучше перестраховаться и поискать другой магазин.

Информация о домене

Обратите внимание на интернет-адрес магазина. У легальных уважающих себя магазинов и платежных систем не может быть «мусорных» интернет-адресов вида www.ds3a1000r1sad.isd3.com. Сайты онлайн-магазинов, домены которых зарегистрированы на бесплатных хостингах (таких как narod.ru, freehosting.com и т.п.), также должны вызывать подозрение.
Если адрес сайта интернет магазина кажется вам подозрительным, можно узнать, на кого и на какое время зарегистрировано доменное имя, давно ли оно существует.

Найти и посмотреть регистрационную информацию о домене незнакомого интернет-магазина можно с помощью многочисленных whois-сервисов — специальных сайтов, на которых можно посмотреть регистрационные данные домена. Для этого нужно зайти на сайт одного из таких сервисов (их нетрудно найти в поисковых системах) и ввести в поле имя домена.

Обратите внимание на то, кто именно зарегистрировал домен и как долго домен существует.

Домен интернет-магазина, зарегистрированный на юридическое лицо, должен вызывать больше доверия, чем домен, владельцем которого является физическое лицо. Также бывают случаи, когда имя физического лица, зарегистрировавшего домен, скрыто под маской «private person» или » DOMAIN WHOIS PROTECTION SERVICE», что означает, что человек не пожелал раскрывать свои персональные данные и подключил соответствующую услугу при регистрации. Если такое встречается в whois-данных крупного или известного онлайн-магазина, то это должно настораживать.

Чем дольше существует домен, тем лучше. Обычно мошеннические магазины быстро закрываются и поэтому не регистрируются на долгий срок. Если домен существует больше года, это говорит в его пользу.

Защищенное соединение

Найдя подходящий магазин и выбрав нужный товар, покупатель приступает к оформлению и оплате заказа. Для того чтобы злоумышленники не перехватили конфиденциальные данные пользователя, введенные на сайте интернет-магазина, необходимо, чтобы эти данные пересылались в зашифрованном виде.

Существует специальный криптографический защищенный протокол SSL (Secure Sockets Layer), предназначенный для шифрования потока данных, передаваемых между клиентом и сервером. Востребованность защищенных SSL-соединений привела к формированию протокола HTTPS, который является расширением протокола http и поддерживает шифрование. Он призван обеспечивать защиту от атак, основанных на прослушивании сетевого соединения, и используется большинством легитимных сайтов для защиты введенных пользователями конфиденциальных данных при их передаче на сервер.

Первое, на что стоит обратить внимание перед вводом секретных данных, это наличие в адресной строке браузера букв «HTTPS«. Вот так должен выглядеть адрес сервера с защищенным соединением:
https://www.online-shop.com.

Однако только наличия HTTPS в адресной строке сайта недостаточно для полной уверенности в его безопасности. Каждый сайт, использующий протокол SSL, должен иметь цифровой сертификат, выданный и подписанный центром сертификации, – электронный документ, идентифицирующий владельца. Такой сертификат гарантирует, что:

  1. данные сайта проверены центром сертификации;
  2. соединение защищено криптографическим алгоритмом;
  3. компания, зарегистрировавшая сайт, действительно существует;
  4. сайт принадлежит организации, которой был выдан сертификат.

О том, что сайт имеет сертификат, подписанный легитимным удостоверяющим центром и непросроченный, информирует иконка – замочек в адресной строке или строке состояния браузера (внизу, на рамке окна браузера). Внешний вид иконки защищенного соединения и место ее отображения могут различаться в разных версиях одного и того же браузера, а также в зависимости от настроек браузера и установок дополнительных плагинов.


Защищенное соединение в Internet Explorer


Защищенное соединение в Google Chrome 3


Защищенное соединения в Opera 10

Наличие в адресе https и сертификат подлинности – это, пожалуй, самые важные показатели легальности сайта. Нельзя считать безопасным сайт, адрес которого начинается с https, но который при этом не имеет сертификата подлинности.

Часто мошенники, пытаясь ввести в заблуждение пользователей, добавляют изображение замочка на страницу сайта, который на самом деле не имеет сертификата подлинности. Надо помнить, что иконка закрытого замочка, подтверждающая наличие сертификата, должна находиться строго в строке состояния браузера или в адресной строке, а при двойном нажатии левой кнопкой мыши на изображение замочка должно открываться окошко с информацией о сертификате.


Пример сайта банка, защищенного https

Ниже вы видите примеры мошеннических сайтов. Ссылки на них распространяются по электронной почте в спамовых письмах. На скриншотах хорошо видно, что адрес сайта начинается с http, следовательно, соединение незащищенное, хотя на сайтах и уверяют в обратном. Замочки, красующиеся на страницах этих сайтов, всего лишь рисунки — ни сертификата подлинности, ни защищенного SSL-соединения у этих веб-сайтов нет.


Сайты мошеннических онлайн-магазинов

Сертификаты подлинности

Необходимо проверять легитимность сертификата подлинности: к сожалению, мошенники научились использовать поддельные сертификаты. Лазеек для настоящих «профессионалов» много. Например, злоумышленники могут украсть сертификат, получить у сертификационного центра сертификат для какого-то другого сайта и использовать его для атаки. Кроме того, они могут создать сертификат самостоятельно и сами подписать его — такие сертификаты называются «самоподписанными».

Сертификат подлинности сайта можно проверить, кликнув на символ закрытого замочка. Главное, на что надо обратить внимание, – это имя удостоверяющего центра, т.е. кем выдан сертификат (например, наиболее известны доверенные центры сертификации Geotrust, Twante Consulting, Verisign), кому выдан сертификат, срок годности сертификата.


Сертификат, подписанный доверенным центром (Internet Explorer)


Легитимный цифровой сертификат (Mozilla Firefox)

Если вы обнаружили, что:

  • домен, для которого выдан сертификат, не соответствует домену сайта,
  • срок, на который был выдан сертификат, уже истек,

то сертификат, скорее всего, мошеннический.

В современных браузерах существует встроенная система безопасности. Списки корневых сертификационных центров внесены в браузер разработчиками. Браузер считает сертификат подлинным только в том случае, если центр сертификации, который его выдал, есть в списке доверенных организаций, зашитом в браузере. Или если сертификат выдан компанией-партнером одного из доверенных центров сертификации. Если сайт имеет https, но не имеет сертификата, или сертификат выдан организацией, не входящей в число доверенных или просрочен, браузер подаст сигнал тревоги.

Если соединение на странице ввода конфиденциальных данных не защищено, мы рекомендуем вам выбрать для покупок другой интернет-магазин.

Оплата

Часто у покупателя существует выбор: оплатить товар через собственную форму оплаты магазина или воспользоваться одной из платежных систем (Paypal, payonlinesystem, WebMoney, ЯндексДеньги и другие). Если вы не слишком доверяете интернет-магазину или копании, выдавшей ему сертификат, вы можете выбрать оплату через сервис, которому доверяете больше. Это не обезопасит вас от перевода денег на счет мошенников, но сохранит ваши персональные данные и убережет от более серьезных потерь.


Сайт онлайн-магазина, на котором посетителю предлагается выбрать способ оплаты

После перехода на страницу ввода данных карты очень важно внимательно посмотреть на адресную строку. Если вы решили оплатить покупку с помощью предлагаемой платежной системы, например Paysystem.com, перешли по ссылке на страницу оплаты, а в адресной строке браузера отображается похожий, но отличающийся от легального адрес (например, Paysistem.com), или если соединение не защищено протоколом HTTPS, то вы определенно попали на мошеннический сайт. Надо ли говорить, что здесь ни в коем случае нельзя вводить свои личные данные.

Chargeback

Бывают случаи, когда магазины берут 100% предоплаты за товар, а потом, так и не прислав товар, исчезают и не отвечают на звонки. Если вы оказались в такой ситуации, не теряйте надежду: вы имеете право осуществить «chargeback».

Chargeback — это процесс возврата средств на счет покупателя со счета продавца в том случае, если со стороны покупателя было предъявлено достаточно доказательств для того, чтобы считать транзакцию недействительной или мошеннической. Неполучение товара, а также его несоответствие заявленному качеству, являются достаточными причинами для осуществления возврата денег. Обратитесь в банк, выдавший карту. Он должен провести расследование и по предъявлении ему подробностей сделки (где была совершена покупка, в какое время, с какого счета, тип товара) вернуть деньги на карту в течение 30 дней.

Банковские операции в Сети

К сожалению, потерять деньги можно не только при совершении покупок. Если будучи клиентом какого-либо банка, вы пользуетесь банковскими онлайн-сервисами, то и здесь следует быть очень внимательными и осторожными, чтобы не попасть в ловушку киберпреступников.

Методы злоумышленников

У киберпреступников, охотящихся за данными пластиковых карт пользователей, на вооружении целый арсенал методов и средств. Ниже мы расскажем о некоторых из них.

Фишинг

Не заходите на сайт банка или платежной системы по ссылке, присланной в электронном сообщении по почте или в социальной сети, даже если сообщение пришло от имени банка платежной системы или другой организации. В данном случае существует большая вероятность попасть на так называемый фишинговый сайт.

Фишинг (phishing) — вид интернет-мошенничества, который заключается в рассылке электронных сообщений от имени финансовых организаций, банков, почтовых служб и т.п. с содержащимися в них ссылками, ведущими на фальшивые сайты организаций, от имени которых приходят сообщения. Основная цель фишеров — кража конфиденциальной информации (логинов и паролей от учетных записей, а также данных кредитных карт) с целью дальнейшего ее использования.


Страница типичного фишингового сайта


Фишинговая страница – подделка под страницу сайта банка Egg

Иногда ссылка в фишинговом письме выглядит иначе, чем адрес веб-страницы, на которую она на самом деле ведет:


Пример фишингового письма

Ссылки на фишинговые сайты могут распространяться не только по электронной почте, но и через социальные сети и IM-сервисы, в том числе в сообщениях, присланных от имени друзей. Оказаться на фишинговом сайте можно также, кликнув на рекламные баннеры на сомнительных сайтах или ссылки во всплывающих окнах.

Если попавшийся на удочку фишеров пользователь введет свои персональные данные на фальшивом сайте, они попадают в руки к злоумышленникам. Это основной способ получения чужих данных. Однако фишеры также могут использовать троянские программы, вложенные в письмо документы с формами ввода персональных данных или сообщения с требованиями отправить данные в ответном письме.

Помните, что банки и другие финансовые организации никогда не присылают письма с просьбами отправить им свои личные данные или перейти на сайт для прохождения авторизации и не просят ввода личных данных во всплывающих окнах.

Более подробно о фишинге и о том, как от него защититься, можно узнать в нашей статье здесь.

Фарминг

Фармингом называется процедура скрытого перенаправления на ложный IP-адрес с использованием измененного системного файла hosts. Как правило, файл hosts содержит только одну строчку: «127.0.0.1 localhost». Однако с помощью вредоносных программ злоумышленники добавляют туда другие записи, и в файле hosts появляются строчки соответствия «буквенных» и IP-адресов интересующих злоумышленников сайтов, например сайтов популярных онлайн-магазинов. Но вместо правильного IP-адреса туда вписан мошеннический IP. И пользователи зараженных машин, набирая адреса этих сайтов, попадают на хорошо сработанные сайты-подделки. При этом в адресной строке пользователь видит «буквенный» адрес легального сайта! А введенные на поддельном сайте конфиденциальные данные попадают к злоумышленникам.

Подробнее о типах и методах фарминга можно прочесть здесь.

Шпионские программы

На компьютере могут быть установлены шпионские программы (например, кейлоггеры – программы для записи нажатий на клавиши – с их помощью воруются, в частности, пароли). Особенно велик риск раскрыть свои данные при совершении операций с банковскими картами в публичных местах (в интернет-кафе, библиотеках, барах и ресторанах), поскольку компьютер, которым может воспользоваться любой желающий, подвергается большей опасности заражения. Это заражение может произойти случайно с «грязной» флэшки, а может быть спланировано мошенниками, чтобы потом они могли собрать урожай чужих конфиденциальных данных.

Даже если вы используете свой собственный компьютер, но поключаетесь к публичной сети Wi-Fi, вы не можете быть уверены, что ваши персональные данные не попадут к посторонним лицам, особенно, если сеть Wi-Fi не защищена паролем.

Исходя из всего вышесказанного, логин и пароль могут быть украдены следующими способами:

  1. перехватываются абсолютно все нажатия клавиш во время работы пользователя на компьютере;
  2. перехватываются нажатия клавиш при вводе логина и пароля на странице онлайн-магазина или в программе, требующей авторизации;
  3. считываются регистрационные данные, введенные в специальные поля ввода на странице интернет-банка или онлайн-магазина;
  4. перехватываются HTTP-запросы от браузера к банку и далее из них извлекается логин и пароль;
  5. легитимная страница банка подменяется фишинговой страницей.

Защита клиентов банков

Чтобы обезопасить своих клиентов от мошенников, банки применяют различные схемы защиты. Обычно интернет-банки используют два пароля: первый — для входа в систему и просмотра баланса по счетам, а второй — для проведения платежей и других операций. Существует система одноразовых динамических паролей, которые банк высылает пользователю на мобильный телефон. Такие пароли активны в течение 30 минут; для следующего входа в систему необходимо получить новый динамический пароль. Перехватить такой код довольно сложно. Некоторые банки для удобства клиента предоставляют ему список одноразовых паролей, например в виде пластиковой карты с заштрихованными полями. Часто банки выдают клиентам аппаратные ключи, «токены». Аппаратный ключ представляет собой брелок выдающий одноразовый пароль по запросу пользователя. Этот пароль обеспечивает дополнительную защиту авторизации или других действий пользователя. Некоторые банки предлагают специальные программы, которые устанавливаются на компьютер и через которые (вместо страницы банка в интернете) осуществляются операции онлайн-банкинга. Использование таких программ для транзакций снижает вероятность попадания пользователя на поддельный сайт. Ну и конечно, все банковские операции в Сети должны проходить через соединение, защищенное протоколом SSL (адрес в адресной строке должен начинаться с HTTPS, а в статусной или адресной строке браузера обязательно должна присутствовать иконка замочка).

Как самому защитить свои средства

Что может сделать внимательный пользователь банковских онлайн-сервисов, чтобы защитить свои средства?

Относитесь вдумчиво к выбору паролей. Выбирайте для онлайн-банкинга пароли со сложными буквенно-цифровыми комбинациями, используйте и заглавные, и строчные буквы. Храните ваши пароли и PIN-коды в недоступных для посторонних лиц местах.

При вводе конфиденциальных данных используйте виртуальную клавиатуру. Многие банки предлагают для своих онлайн-сервисов воспользоваться виртуальной клавиатурой и не набирать секретные данные вручную. Такой же способ предлагается и в решениях ведущих антивирусных компаний. Это позволяет уменьшить риск перехвата вводимой информации всевозможными кейлоггерами.

Выполняя платежные онлайн-операции, можно использовать и так называемую «песочницу», которая входит во многие антивирусные решения, и тем самым уменьшить риск перехвата конфиденциальных данных.

Термин «песочница» заимствован у пожарных, так они называют ящик с песком, предназначенный для безопасной работы с легковоспламеняющимися материалами. Такая же задача и у антивирусных «песочниц». Они создают изолированную среду, в которой можно запускать любую программу или веб-сайт без угрозы остальной системе — в таком режиме она защищена от любых (в том числе и опасных) изменений. Например, включив безопасный просмотр веб-сайтов в KIS, все изменения (сохраненные файлы cookies, история посещения сайтов и т.д.), остаются в безопасной среде и не попадают в операционную систему, а значит, не могут быть похищены злоумышленниками. Также можно включить контроль доступа к сервисам интернет-банкинга, что поможет автоматически определять банковские сайты. По схожим принципам работают и подобные решения других разработчиков.

Следите за движениями средств на ваших счетах. В настоящее время многие банки предлагают чрезвычайно полезную услугу информирования клиентов обо всех операциях с картой по SMS. Если с карты снимается какая-либо сумма, клиенту на телефон приходит сообщение, информирующее об этом. Если эта сумма снята без вашего ведома, вы можете срочно связаться с банком и заблокировать счет. Также при открытии счета и получении банковской карты можно сразу оговорить ежедневную максимальную сумму движений средств. Так вы можете быть уверены, что мошенники не смогут единовременно незаметно снять с вашего счета крупную сумму.

Правила, которые помогут уберечь деньги в Сети

Итак, чтобы не стать жертвой злоумышленников, пользуясь услугами интернет-магазинов и онлайн-сервисами банков, необходимо выполнять следующие правила:

  • Создайте специальную карту для онлайн-покупок и не держите на ней большую сумму денег.
  • Не переходите на сайты по ссылкам в почтовых сообщениях, сообщениях в социальных сетях и чатах или кликнув по рекламному баннеру на сомнительном сайте. Не переходите ни по каким ссылкам, присланным незнакомыми людьми.
  • Перед совершением покупки в каком-либо интернет-магазине поищите отзывы о нем.
  • Избегайте магазинов, зарегистрированных на бесплатных хостингах.
  • Если сайт магазина вызывает сомнения, исследуйте на сервисах whois данные о времени существования домена, на котором размещен сайт, его владельце. Обратите внимание, на какой срок оплачен домен.
  • Вводите адрес банка или платежной системы вручную.
  • Финансовые организации никогда не присылают писем с просьбой отправить им свои личные данные в электронном сообщении, перейти на сайт для авторизации или ввести личные данные во всплывающих окнах. Не переходите на сайт по ссылкам, присланным от имени банковских организаций и платежных систем.
  • Внимательно проанализируйте URL страницы с полями ввода конфиденциальных данных. Если интернет-адрес состоит из бессмысленного набора символов или URL выглядит подозрительно, не оформляйте на странице с этим адресом платеж.
  • Проверяйте, используется ли при передаче ваших конфиденциальных данных шифрованное соединение. Если соединение защищенное, адрес сайта должен начинаться с https, а в адресной строке или строке состояния браузера должна быть иконка закрытого замочка.
  • Кликнув по значку замочка, проверьте сертификат подлинности SSL, выданный сайту (когда, кем и на какой срок выдан).
  • Старайтесь не пользоваться услугами онлайн-банкинга или делать онлайн-покупки в публичных местах (интернет-кафе, клубах, библиотеках). На таких компьютерах могут быть установлены различные шпионские программы, считыватели нажатий клавиш, перехватчики интернет-трафика. Даже если вы пользуетесь своим компьютером, но при этом осуществляете банковские операции по публичной бесплатной сети Wi-Fi, существует риск перехвата трафика администратором этой сети, прослушивания посторонними лицами и атак с использованием сетевых червей — особенно, если сеть Wi-Fi не защищена паролем.
  • Всегда держите вашу операционную систему и антивирусное ПО в актуальном состоянии. Самой хорошей защитой является установка самых последних обновлений и патчей операционной системы, спам-фильтров, сетевых экранов и самых свежих версий антивирусных и антишпионских программ с актуальными базами. Для дополнительной защиты можно установить аппаратный брандмауэр (тот же сетевой экран, только обеспечиваемый специальным устройством, выполняющим функции программного файервола). Для лучшей защиты сети аппаратный и программный сетевые экраны можно использовать в связке друг с другом, так как каждый из них имеет свои преимущества и недостатки.

И последнее: не бойтесь делать покупки и пользоваться банковскими онлайн-сервисами. Будучи внимательным и соблюдая все меры предосторожности, можно с комфортом пользоваться всеми удобствами, которые предоставляет интернет.

Онлайн-платежи — удобно и безопасно

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике