Вирусы в кошельке
Источник: ilium Software

Но электронные деньги – желанная добыча для мошенников, и рост числа преступлений в этой сфере неизбежен по мере увеличения аудитории пользователей электронных денег.

Электронные деньги моделируют реальные, с их помощью можно совершать покупки в интернет-магазинах, оплачивать счета и получать оплату за работу. Принцип работы электронных денег следующий: эмиссионная организация — эмитент выпускает электронные аналоги денежных знаков, называемые в разных системах по-разному. Они покупаются пользователями, которые с их помощью оплачивают заказы, а продавец впоследствии погашает их у эмитента. При эмиссии каждая денежная единица заверяется электронной печатью, которая проверяется выпускающей структурой перед погашением. При использовании электронных денег отпадает необходимость в аутентификации клиентов, поскольку система основана на выпуске денег в обращение непосредственно перед их использованием.

Вопрос безопасности электронных денег — главный фактор, сдерживающий развитие этого сегмента рынка безналичных платежей. И киберпреступники находят массу способов, чтобы опустошить чужие электронные кошельки. У пользователей электронных денег те же риски, что и у клиентов интернет-банкингов: фишинг, вирусы в устройствах пользователя и социальное мошенничество.

Однако, если сравнивать с системами интернет-банкинга, то ущерб от мошеннических действий с электронными деньгами значительно ниже. Согласно исследованию компании Group-IB, в 2011 году злоумышленники на взломах систем интернет-банкинга заработали 490 млн долл., электронных же денег украли на сумму 30 млн долл. Но и это серьезный ущерб, особенно если учесть, что в России пользователи не хранят крупных сумм в электронных кошельках.

И все же мошенничество – не повод отказываться от использования электронных денег, считают представители электронных платежных систем.

«Это еще вопрос, что рискованнее: носить в кармане бумажник или использовать электронные деньги? Ведь для операций с электронными деньгами необходимо сначала получить доступ к информационной системе, тогда как бумажник могут просто украсть в толпе», — считает Наиля Замашкина, руководитель направления развития платежной системы «Деньги Mail.Ru».

Главной задачей электронных платежных систем остается обеспечение безопасности своих информационных ресурсов. Каждая электронная платежная система использует свои методы, алгоритмы шифрования, протоколы передачи данных для выполнения безопасных транзакций. Ведущие платежные системы регулярно инвестируют в повышение уровня информационной безопасности, имеют квалифицированный персонал, а также активно сотрудничают с правоохранительными органами и независимыми криминалистическими организациями.

Использование электронных денег подразумевает несколько степеней защиты: во-первых, это платежный пароль, который придумывает сам пользователь. Платежная система предъявляет конкретные требования к сложности пароля — наличию букв, цифр, знаков. При оплате банковской картой по усмотрению пользователя и банка-эмитента могут быть задействованы одноразовые пароли или заранее созданные пароли, что повышает безопасность транзакции.

«Кошелек пользователя на сервисе «Деньги Mail.Ru» привязан к номеру телефона — это еще одна степень защиты. При изменении баланса в кошельке пользователь получит SMS. Пароль доступа к кошельку должен отличаться от других паролей, которые использует пользователь», — рассказывает Замашкина.

Стоит помнить, что платежные системы не хранят пароли пользователей – они находятся в зашифрованном виде, и ни один сотрудник платежной системы не может получить доступ к этим данным.

«Еще один уровень защиты состоит в том, что вся работа пользователя с сайтом системы проходит по зашифрованному соединению. Наши собственные меры по активной защите наших клиентов, как и эвристики выявления мошенников и рискованных транзакций, из соображений безопасности мы не можем объяснять», — говорит Татьяна Алексеева, директор по правовым вопросам компании «Яндекс.Деньги».

Наиболее уязвимым местом практически любой системы безопасности является человеческий фактор – в подавляющем большинстве случае компрометация происходит на стороне пользователя.

«Все потери денег, которые мы наблюдали, связаны с тем, что пользователь сообщил пароль от своего кошелька поддельному сайту, либо с тем, что на его компьютере действовала троянская программа. С технической точки зрения ничего оригинального в этих способах мошенничества нет. Все самые экзотические случаи, как правило, связаны с активностью злоумышленников, которые собирают платежи, например под видом ГИБДД. Еще бывают случаи небезопасного обращения с паролями; например, пользователь отправляет самому себе письмо с платежным паролем или (классический случай) записывает его на бумажке и прикрепляет ее на монитор», — комментирует Татьяна Алексеева.

Администрация платежных систем не может заставлять пользователей своевременно обновлять операционную систему и программы, установленные на их компьютерах, использовать антивирусы и иные средства защиты информации. Она также не может заставить своих клиентов проявлять бдительность, которая обычно не бывает излишней. В то же время ведущие платежные системы проводят профилактические мероприятия и стараются подробно объяснить клиентам, как не попасться на крючок к киберпреступникам.

«Наше противодействие мошенникам — постоянные наставления клиентам о том, как распознать фишинг, а также напоминания об обновлении антивирусных средств. Если наша служба безопасности фиксирует всплеск фишинговых рассылок, на главной странице «Яндекс.Денег» появляется специальное сообщение с предупреждением об опасности ввода данных на посторонних площадках, а сама служба безопасности добивается от хостера закрытия мошеннического сайта. Кроме того, у «Яндекса» есть собственная антивирусная технология, которая предупреждает пользователей о зараженных сайтах в результатах поиска. Вместе с «Яндексом» мы регулярно проводим специальные акции, предлагая пользователям бесплатные антивирусы и серьезные скидки при продлении лицензии», — пояснила Алексеева.

Злоумышленниками применяются две основные мошеннические схемы: первая использует специализированный вредоносный код, похищающий пароли, сертификаты, ключи электронной подписи; вторая задействует фишинг. Современные вредоносные программы способны скомпрометировать практически все российские интернет-банки и платежные системы. А огромное количество фишинговых сайтов маскируется под сайты платежных систем с той целью, чтобы пользователь сам указал свои идентификационные данные. В итоге мошенники получают доступ к счетам и аккаунтам пользователей и беспрепятственно похищают деньги.

[Владельцу электронного кошелька необходимо серьезно подойти к вопросу безопасности своего компьютера. Довольно часто посетителю интернет-ресурса предлагается скачать программу, замаскированную под полезную утилиту, которая на самом деле несет в себе «троянский» программный код, крадущий персональные данные и пароли от кошельков, банковских карт и других источников. Поэтому не рекомендуется хранить подобную информацию как непосредственно на самом компьютере, так и в почте.]

Нередко мошенники отправляют фальшивые сообщения на мобильный телефон или на электронную почту якобы от администраторов электронных сервисов с просьбой подтвердить, сменить, обновить пароль от входа в веб-кошелек. Здесь важно помнить, что сервисы электронных денег никогда не будут просить своих клиентов производить подобные манипуляции таким образом. А при входе в аккуант с чужого компьютера, вместо того чтобы вводить контрольный код с клавиатуры компьютера, можно воспользоваться виртуальной клавиатурой, изображенной на экране. Она поможет защитить персональные данные от программ – клавиатурных шпионов (кейлоггеров). Плюс ко всему необходимо постоянно обновлять центр защиты операционной системы.

Что касается разграничения зоны ответственности за сохранность конфиденциальной информации пользователей между различными участниками осуществления транзакций, то каждый участник транзакции отвечает за сведения, которыми владеет. За данные привязанных к счетам банковских карт отвечает сертифицированная по стандарту PCI DSS процессинговая компания, а за сохранность персональных данных пользователей платежного сервиса отвечает оператор электронных денег.