Наскільки безпечні платежі в Уанеті?
Оценка пользователей: / 2
ПлохоОтлично 
There are no translations available.

Ми живемо в самій хакерської країні на світі, і всі інші країни нас бояться. Адже це наші хакери зламали сайт Мінфіну США і обвалили фондовий ринок; це нашим хакерам оголосило війну ФБР, а вони як ні в чому не бувало, продовжують грабувати кредитки і банкомати по всьому світу, очолюючи українські політичні партії. Це факт, який визнало ФБР. І є співвітчизники, які цим пишаються.

Ну а якщо серйозно, то цей факт викликає не тільки гордість за вітчизняний інтелектуальний потенціал (хоч і з кримінальними нахилами), але і побоювання за збереження наших власних грошових коштів. У даній статті ми розглянемо, які засоби захисту використовують різні платіжні системи, якими ми користуємося, і спробуємо оцінити ступінь їх небезпечності.

Чим, де і за що платять користувачі Уанету?

Традиційно інтернет-платежі поділяються на моментальні, регулярні, а також P2P-переклади і C2B. Моментальні платежі - це в основному оплата всіляких послуг телекому (мобільний зв'язок, Інтернет і т.п.), саме вона робить левову частку обороту. Регулярні платежі - по суті те ж саме, але здійснюються вони на регулярній основі шляхом надання відповідних повноважень платіжній системі розпоряджатися Вашими грошима від Вашого імені.

P2P-платежі - це переклади грошей від користувача до користувача. Таким способом найчастіше здійснюють оплату праці фрілансерів, трудові відносини з якими ніяк не врегульовані. C2B - це оплата товарів в інтернет-магазинах. Більшість систем електронних платежів охоплюють одразу всі ці напрями, однак деякі з них більш строго сегментовані.

Що стосується питання про платіжні засоби, то це переважно електронні гроші, банківські платіжні картки та електронні засоби управління безготівковим розрахунком.

WebMoney

Система інтернет-розрахунків WebMoney Transfer оперує правами вимоги, які можуть бути викуплені у користувача Гарантом Системи за реальні гроші. Для забезпечення безпеки особистих коштів користувачів, WebMoney застосовує 3 основні типи аутентифікації користувача: за допомогою файлів з секретними ключами (для програми-гаманця WM Keeper Classic), персональних цифрових сертифікатів і за допомогою системи авторизації e-Num (для WM Keeper Light).

Авторизація за допомогою e-Num забезпечується за рахунок використання одноразових сеансових пар: числа-логіна і числа-пароля, які змінюються кожного разу при вході в систему і не повторюються. Секретний ключ для доступу до даних зберігається в мобільному телефоні користувача, що дозволяє отримувати доступ до нього при роботі з різних комп'ютерів, а також виключає ризик псування або розкрадання ключа троянськими та іншими шкідливими програмами.

Системи захисту досить громіздкі і WebMoney пропонує користувачам безліч порад щодо забезпечення додаткової безпеки. Для тих користувачів, хто не любить складнощів, пропонується спрощена система авторизації за допомогою логіна і пароля, яка, з метою запобігання можливих розкрадань у великих розмірах, накладає обмеження на розміри транзакцій. На жаль, через те, що правила безпечної роботи досить складні для деяких користувачів, час від часу в новинах доводиться чути про злом кіперів недостатньо пильних користувачів троянцями.

Крім того, WebMoney не є платіжною системою у власному розумінні слова - фактично вона не оперує грошима і не є зареєстрованою в НБУ. У своїй роботі вона керується власними правилами і не завжди зрозуміло, як можуть бути вирішені суперечки у разі раптового зникнення грошей користувача (буває, що вчинені транзакції просто зникають з історії платежів) - користувачі змушені покладатися на рішення Арбітражу.

LiqPay

Система LiqPay - це платіжна система, яка дозволяє безпечно проводити розрахунки грошима, які зараховуються на баланс з банківської платіжної карти користувача. Унікальним ідентифікатором клієнта є номер його мобільного телефону, тому, щоб перевести кому-небудь гроші, достатньо знати номер його мобільного. Одержувач може навіть не бути користувачем системи, однак на вказаний відправником номер телефону він отримає SMS-повідомлення про надходження на віртуальний рахунок грошей. Фактично - це поточний рахунок в Приватбанку. Безпека керування рахунком забезпечується технологією OTP (One-time Password - одноразовий пароль). Транзакції підтверджуються динамічним одноразовим паролем, який надсилається в SMS на номер рахунка. Крім того, LiqPay сертифікована міжнародними платіжними системами VISA і MasterCard, що гарантує надійність захищеності операцій з платіжними картками.

Основний пролом у цій системі є крадіжка самого мобільного телефону, що тягне за собою втрату контролю над рахунком і, як наслідок, можливу втрату коштів.

Portmone

Міжбанківська система доставки та оплати рахунків Portmone.com дає користувачам можливість здійснювати моментальні і регулярні платежі на користь провайдерів послуг за допомогою банківських платіжних карт.

Для передачі даних в системі Portmone.com використовується стандарт SSL-шифрування з використанням стійкої криптографії (довжина ключа 128 біт). Одноразові ключі шифрування, які використовуються протягом сеансу, генеруються на підставі сертифікату безпеки Web-сервера, завіреного міжнародним сертифікаційним агентством Thawte Consulting, якому за умовчанням довіряють основні браузери.

Для запобігання шахрайству з використанням реквізитів платіжних карток, всі операції, в яких використовуються дані про картку, здійснюються в рамках окремого платіжного шлюзу і окремого сервера із спеціальною системою контролю доступу.

Portmone - перша українська компанія, яка успішно пройшла міжнародний аудит безпеки на відповідність вимогам стандарту Payment Card Industry Data Security Standard (PCI DSS). Це, зокрема, означає, що вона проходить щоквартальне мережеве сканування свого ресурсу на предмет виявлення вразливостей, щорічну перевірку безпеки незалежними аудиторами. Доступ співробітників до даних розмежований на підставі посадових обов'язків і повноважень, а захист системи і даних здійснює спеціальне антивірусне ПЗ.

Слабкою ланкою Portmone.com залишаються користувачі, які час від часу стають жертвами фішерів, а також самі платіжні карти, які можуть бути підроблені шахраями за 30 секунд при наявності спеціального обладнання. У результаті гроші користувачів можуть витікати за такими дублікатами, поки власники карток не почнуть бити на сполох служби безпеки банку або системи Portmone.

FlashCheque

Система FlashCheque вирішує проблему безпеки принципово іншим чином. Вона не зберігає і не передає через Інтернет дані про платіжні реквізити користувачів. Акт здійснення платежу тут нагадує скоріше не переказ коштів з одного рахунку на інший, а виписку іменного векселя, завіреного особистим підписом. При цьому одержувач платежу (або зловмисник) не може знайти ні номер рахунку платника, ні дані його банку.

Для управління рахунком, використовується клієнтський додаток «FlashCheque кіоск», записаний на USB-Flash накопичувачі. При здійсненні грошового переказу або оплати товарів/послуг, користувач вказує суму до оплати і код продавця-учасника системи FlashCheque. На підставі цих даних формується одноразовий електронний ваучер, який надсилається продавцю. Код ваучера містить дані про транзакції конкретного продавця і діє протягом певного часу. Він схожий на якусь абракадабру. Навіть якщо код буде перехоплений і розшифрований третьою стороною, він все одно не дасть можливості доступу до коштів на рахунку. Більш того, у випадку, якщо клієнт бажає перестрахуватися, побоюючись несумлінного виконання з боку продавця, він може формувати платіжне зобов'язання (акредитив), який представляє собою тільки половину ваучера, з подальшим його заповненням.

ПС FlashCheque офіційно зареєстрована і рекомендована до використання Національним Банком України як легальна платіжна система, а всі коди та паролі системи пройшли спеціальну сертифікацію в СБУ.

Переваги ЕПС

Одним з факторів, що гальмують розвиток електронної комерції, є низький ступінь довіри пересічних користувачів до електронних платіжних систем. Тим часом, їх переваги перед усіма іншими видами готівкових та безготівкових платежів очевидні.

Наприклад, замовляючи доставку букета квітів на день народження людині, яка живе в іншому місті, буде більш ніж дивно покласти на одержувача необхідність розплачуватися з кур'єром готівкою. Або інша ситуація: здійснивши грошовий переказ через Western Union, покупець в результаті не отримує товар. Як бути?

Використання електронних платіжних систем у більшості випадків знімає подібного роду питання, тому що дозволяє використовувати акредитиви або коди протекції. Тобто, демонструючи готовність платити, відправник платежу передає продавцеві тільки акредитив, який не є дійсним, поки покупець не підтвердить, що умови угоди дотримані коректно. Так працює FlashCheque.

WebMoney захищає платіж паролем, без знання якого одержувач не може розпоряджатися коштами. Якщо пароль не підтверджений, платіж повертається відправнику. На сьогоднішній день LiqPay не пропонує аналогічного рішення, хоча фахівці компанії обіцяють запустити акредитиви в найближчому майбутньому.

Висновок

Резюмуючи вище сказане, зазначимо, що практично будь-яка поважна платіжна система докладає максимум зусиль щодо забезпечення безпеки платежів своїх користувачів. Проте все одно час від часу виникають прикрі інциденти, і виною всьому, як правило - людський чинник. Якщо базу не можна зламати, її можна купити.

Згідно з результатами зарубіжних досліджень, на першому місці серед кібер-злочинців - колишні банківські співробітники і технічні фахівці. Спокуса продати наявні в розпорядженні дані за великі гроші виявляється занадто великою. Тому користуючись сервісом, який зберігає платіжні дані користувачів, навряд чи можна бути на 100% спокійним за їх збереження: або хакери зацікавляться, або звільнений адмін продасть.

Дивно, що при ряді досить сильних сторін, основною з яких є той факт, що інформація про транзакції ніде не зберігається і не може бути використана третіми особами без відома користувача, платіжна система FlashCheque все ще мало поширена. А адже її більш широке впровадження позначилося б позитивно на зростанні оборотів ринку електронної торгівлі, особливо дрібних торговців на інтернет-аукціонах.

Ймовірно, скромні темпи її поширення на ринку пов'язані з недостатньою розгалуженістю мережі партнерських банків системи. Складається враження, що творці більше сконцентрувалися на секторі Р2Р, пропонуючи послуги своєї платіжної системи великим гравцям у сфері моментальних платежів і, якось забули про рядових користувачів. А адже в цієї системи є всі шанси стати зручною загальнонаціональної системою інтернет-платежів, безпечної та швидкої. Саме такий, який так не вистачає всьому Уанеті.

Автор Андрій Майданик

(Джерело RU: internetua.com)

 
>
КнигаНовости Практика поискаПартнерыО нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting