Microsoft & Portmone.com: Безопасность онлайн-платежей — дело рук самих пользователей

3 июня «Microsoft Украина» совместно с системой доставки счетов Portmone.com анонсировали конкурс для пользователей, а также рассказали журналистам о многочисленных опасностях при осуществлении платежей в интернете и том, как лучше всего обезопасить свои финансы.

Советский плакат-_Не болтай!_Прежде всего, у многих из присутствовавших журналистов стоял в глазах немой вопрос: «А при чем тут Microsoft и Portmone?». Оказалось, что инициатором встречи выступила Microsoft. Забегая наперед, скажу, что ее завуалированное послание можно свести к следующему тезису: «пользуйтесь самыми передовыми и безопасными в мире технологиями — Internet Explorer 8 и Windows 7!».

С целью повышения грамотности пользователей в вопросах безопасных онлайн-платежей, с 5 по 10 июня на сайте Portmone.com проходит конкурс для зарегистрированных пользователей. Правильно ответившие на 10 вопросов, получат шанс выиграть коробочную версию ОС Windows 7.

Так почему же была выбрана Portmone? По нескольким причинам. Прежде всего, потому, что система является межбанковской, то есть владеет данными о транзакциях по платежным картам от разных банков. Кроме того, ее специалистам постоянно приходится сталкиваться с проявлениями фишинга и кардинга и, соответственно, есть о чем рассказать с точки зрения существующих угроз. Ну и, наконец, по признанию генерального директора «Microsoft Украина» Дмитрия Шымкива, переговоры о совместной встрече велись и с представителями банков, однако, к сожалению, в Украине не много найдется компаний, занимающихся финансовой деятельностью, которые готовы раскрыть какие-либо данные по безопасности и платежам.

Первым выступил президент Portmone Игорь Горин, рассказав, что доля компании от общего объема транзакций по платежным картам в I квартале 2010 года (24 млн, по данным НБУ) составила 2,1 млн, что составляет 9%. Эта цифра достаточно велика, что бы репрезентовать сегмент онлайн-платежей в целом. По его мнению, украинские банки и платежные системы
имеют определенное преимущество в вопросах безопасности, потому что следуют уже наработанными европейскими коллегами путями. По мнению И.Горина, риски при совершении онлайн-платежей, можно разделить на 2 типа: человеческие и технологические. При этом, самым слабым звеном являются сами пользователи. И злоумышленники этим активно пользуются.

О технической стороне дела поведал специалист по безопасности «Microsoft Украина» Игорь Мальченюк. К рискам технического характера относятся всевозможные способы перехвата платежных данных пользователя, такие, например, как фишинг, кейлоггинг и кликджекинг.

Фишинг — это попытки злоумышленников перехватить данные пользователей, путем копирования дизайна доверенных сайтов. Еще одна разновидность фишинга: мошенники могут прислать письмо от имени вашего банка, с просьбой перейти на страницу банка и произвести авторизацию по карте. При этом указанный адрес банка, будет абсолютно достоверным. Однако от внимания пользователя ускользнут странные символы в адресной строке, следующие за адресом — это, так называемый, кроссбраузерный скриптинг, который может выполнять различные действия на стороне клиента.

Кейлоггинг представляет собой специальное шпионское ПО, которое следит за нажатиями клавиатуры и активизируется при наборе адресов известных платежных систем или торговых площадок. В тот момент, когда пользователь вводит свои платежные данные, программа пересылает их злоумышленникам.

Кликджекинг - это когда хакеры прячут информацию, чтобы заставить пользователя нажать на ссылку, которая приводит к несанкционированным транзакциям.С этими проблемами позволяет успешно бороться Internet Explorer 8, который, как утверждают специалисты Microsoft, ссылаясь на различные тестовые лаборатории, является, на сегодняшний день, самым безопасным в мире браузером.

Так, для предотвращения фишинговых атак, браузер использует технологию Domain Highlighting (выделяет цветом адрес домена сайта, что позволяет вовремя заметить подлог). Несанкционированной загрузке вредоносного ПО препятствует режим безопасного веб-серфинга и брандмауэр Windows, а со скриптами успешно борется фильтр XSS (Cross-Site Scripting). Просмотр страниц в режиме inPrivate позволяет предотвращать сохранение файлов-cookie, логинов, паролей и другой информации, представляющей интерес для мошенников.

Президент Portmone.com подтвердил, что Internet Explorer 8 обеспечивает достаточную степень защиты, подчеркнув, что может рекомендовать его пользователям для безопасной работы с системой Portmone. Впрочем, это только рекомендация, подчеркнул он, система позволяет осуществлять безопасные платежи пользователям любого другого браузера.

В практике системы Portmone.com фишинг является наиболее распространенным способом мошенничества. Интернет-пользователи наверняка помнят шумиху вокруг массированных фишинг-атак на сервис пару лет назад.Усилиями службы безопасности Portmone такие сайты выявлялись и закрывались. К сожалению, вернуть деньги в этой ситуации не было возможности — весь груз ответственности за невнимательность ложился на плечи пользователей. На самом деле, клоны сервиса продолжают появляться с завидным постоянством, однако компании удается вести с ними эффективную борьбу.

Мы попросили начальника службы мониторинга и безопасности Portmone.com Олега Гавриляка рассказать о том, каким образом компания борется с фишерами. Технология оказалась несложной — поскольку мошенники в той или иной степени копируют сайт системы Portmone, сотрудники службы безопасности разыскивают такие сайты по ключевым фразам с сайта. Иногда медвежью услугу мошенникам оказывает система контекстной рекламы, которая «сдает» их рекламу в результатах такого превентивного поиска. Далее остается связаться с владельцами хостинга и потребовать закрыть вредоносный сайт. Обычно такая процедура занимает от нескольких часов, до одного рабочего дня.

Как говорил А.С. Пушкин: «Ах, обмануть меня не трудно! Я сам обманываться рад». К сожалению, в виду своей недостаточной грамотности, пользователи зачастую оказываются самым слабым звеном в системе безопасности онлайн-платежей. Наиболее беспечные пользователи становятся жертвами телефонных мошенников, представляющихся сотрудниками банка и выпытывающих данные карты.

Однако не только на пользователях исчерпываются риски пресловутого человеческого фактора. Нередко базы данных пользователей «сливают» недобросовестные люди, имеющие отношение к банкам и платежным системам, уревяют представители Portmone.com. В случае обнаружения подобных инцидентов, службы безопасности этих структур оперативно информируются о возникшей угрозе. Напрашивается закономерный вопрос: а насколько застрахованы пользователи самой Portmone от аналогичных действий со стороны ее сотрудников?

Система регулярно проходит аудит на соответствие требованиям стандарта Payment Card Industry Data Security Standard (PCI DSS), объясняет PR-менеджер компании Юлия Кащенко. Это означает, что даже если база попадет в руки злоумышленников, она окажется бесполезной: для осуществления платежей необходима пара данные карты + код безопасности CV2. В базе хранятся в зашифрованном виде только данные карт, CV2 не хранится нигде, он каждый раз вводится пользователем при помощи экранной клавиатуры.

Мы попросили специалиста оценить шансы взлома базы Portmone.com в случае утечки данных. По его мнению, базу можно расшифровать, после чего вопрос будет заключаться в подборе трехзначного CV2-кода для каждой карты. Если исходить из того, что количество попыток для каждой карты ограничено тремя, то шансы успешного совпадения номера карты и защитного кода, согласно теории вероятности, составят приблизительно 3 на 1000, от общего количества карточек в базе. Но это, конечно, в идеале.

На практике, если программа займется подбором таких данных и слать запросы к серверу Portmone, то это дело обнаружат и пресекут довольно быстро. А вот если запросы растянуть по времени и отправлять с разных IP-адресов, то шансы кардеров увеличатся. Кроме того, сервер может хранить логи IP-адресов по каждой карте. если он зафиксирует что идет две безуспешных попытки ввода кода он занесет эту карту в список подозрений и будет отслеживать куда переводятся деньги. Если случится то же самое для другой карточки на тот же адрес или на тот же целевой счет, это также послужит тревожным сигналом. Так что тут, по мнению эксперта, тоже не все просто, и применение фишинга гораздо более безопасно и экономически выгодно.

Как видите, 100% защиты от мошенников не может гарантировать ни одна самая защищенная система. Как неоднократно подчеркнул в своем выступлении И.Горин — нет полностью надежных способов защиты, есть лишь минимизация рисков. И лучший способ уменьшить их — повышать собственную грамотность и бдительность, в комплексе с надежным программным обеспечением.