Электронная подпись. Безопасность электронной коммерции
Взглянем на статистику последних трех лет: в 2017 году мошенникам удалось украсть 961,3 миллиона рублей, в 2018 эта цифра достигла 1,4 млрд рублей, а в 2019 эта цифра увеличилась на 14%. По информации ФинЦЕРТ Банка России, более 90% хищений происходило при помощи социальной инженерии. Давайте попробуем разобраться как нам обезопасить свои счета и безопасно использовать банковскую карту в Интернет-пространстве!
Покупки в Интернете уверенно закрепились в наших буднях. Особенно сильно увеличилось число клиентов электронной коммерции в условиях самоизоляции и ограниченной возможности посещения магазинов. И естественно, вместе с этим увеличилось и количество атак мошенников на пользователей. Каждый раз при вводе данных своей банковской карты, клиент подвергается потенциальной опасности! Поэтому вопрос о безопасности электронной коммерции и поиске инновационных решений в настоящее время крайне актуален.
Для обеспечения безопасности покупок в Интернете чаще всего используется технология 3D-Secure. В ходе оплаты клиент переадресуется с торговой площадки на страницу своего банка и получает дополнительный запрос на подтверждение списания средств с банковской карты. В большинстве случаев это код, который он получает в SMS или PUSH. Ну а дальше вы поняли?
При этом все равно не все интернет-магазины используют защиту 3D-Secure. То есть не все транзакции требуют подтверждения кодом из SMS.
Получается, что можно произвести операцию, зная только данные карты, без дополнительных SMS. А номера карт можно найти в даркнете по 10 центов за штуку (как и сканы паспортов).
Не хочу пугать, но при этом даже не везде нужен "секретный" CVV-код.
Кстати, читали про протокол SS7 (ОКС-7)? Это сигнальные протоколы, которые являются основой всей современной сотовой связи, история которых начинается аж в 1970х годах . Так вот атака на SS7 и перехват кодов подтверждения стала уже максимально распространенной проблемой.
В Европе многие банки вообще запретили SMS-подтверждения.
То есть раньше SMS-коды были более или менее безопасны (для того и создавали такие средства подтверждения). Но в этом больше нет никакой безопасности. Фишинговые сайты, подмена SIM-карт, перехват сообщений, и, конечно же, социальная инженерия — вот арсенал успешных в настоящее время приемов злоумышленников.
Кроме этого, использование SMS стало еще и дорогим «удовольствием» — стоимость услуг операторов связи постоянно возрастает.
Так и что же делать и куда «бежать»?
На сегодняшний день, одним из самых эффективных средств для повышения безопасности является мобильная электронная подпись.
Самым главным ее преимуществом является возможность самостоятельно подтверждать транзакции с конкретного персонального устройства, причем лишь после просмотра полных реквизитов платежа и после аутентификации доступа к ключам подписи.
Электронная подпись «в смартфоне» работает только на конкретном устройстве, не использует коды подтверждения, которые можно было бы перехватить или сообщить мошеннику, а ключи подписи невозможно украсть и использовать в другом смартфоне.
Это исключает возможность подтвердить «чужую» операцию без желания и контроля клиентом, сохраняет юридическую значимость совершаемого действия и обеспечивает контроль целостности и авторства.
В безопасности операций Интернет-торговли заинтересованы все участники процесса: владельцы карт, магазины и дистанционные сервисы, банки и платежные системы. Если пользователи рискуют только потерей денежных средств, временем и нервами в сложном процессе их возврата, то другие участники рискуют еще и потерей своей репутации. Поэтому давайте обратим особое внимание на безопасность финансовых операций в Интернете! Пока мы все чаще «кормим» мошенников за чужой счет. А ведь способы это прекратить существуют.