Онлайн-платежи могут быть безопасными

Как обезопасить онлайн-платежи и сделать их удобным инструментом для расчетов?

В современном мире онлайн-платежи приобретают все большую популярность: с их помощью удобно совершать покупки, контролировать свои банковские счета, оплачивать коммунальные услуги, и при этом можно не вставать с собственного кресла. Но у такого удобства есть и обратная сторона – злоумышленникам сегодня уже не требуется подкарауливать жертву в темном переулке, современные грабители тоже находятся в комфортных условиях, на удобных высокотехнологичных рабочих местах и используют многочисленное специально разработанное программное оборудование для совершения хищений.

Практикуемые мошенниками способы весьма разнообразны. Это и создание поддельных сайтов банков и магазинов, и рассылка писем якобы от имени платежной системы (фишинг), и использование троянских программ и систем удаленного управления. Список можно продолжить и далее: каждый день в арсенале онлайн-грабителей появляются все новые средства для проведения атак.

Как же в таких условиях может обезопасить себя пользователь при совершении платежей, какие меры предпринять, чтобы деньги с его счета не утек ли в чужие карманы? Часть работы, естественно, должна взять на себя платежная система. Но опре деленные шаги в направлении предупреждения угроз и соблюдение основных правил безопасности с пользовательской стороны также очень важны.

Какие же варианты противостояния злоумышленникам тут можно порекомендовать?

В самой платежной системе должны использоваться самые современные методы защиты, и каждому человеку при принятии решения о выборе той или иной системы полезно проверить, насколько се рьезно будет обеспечена безопасность его платежей.

Во-первых, надежная платежная система должна в обязательном порядке практиковать SSL-шифрование для того, чтобы исключить перехват передаваемых данных третьей стороной. При этом должен использоваться сертификат, подписанный доверенным корневым центром сертификации, например VeriSign. Отсутствие шифрования или самоподписанный сертификат могут свидетельствовать о том, что владельцы сайта не озабочены вопросами безопасности, а чаще всего – что это поддельный – фишинговый ресурс.

Во-вторых, платежная система должна обеспечивать надежную аутентификацию пользователей, по возможности защищенную от атак. Среди наиболее популярных методов сегодня – применение двухфакторной аутентификации с использованием электронных ключей либо одноразовых паролей доступа, высылаемых на мобильный телефон или напечатанных на скретч-карте. Все действия, выполняемые клиентом в платежной системе, должны надежно регистрироваться, а в особо важных случаях предполагать отдельное подтверждение.

Но даже самая безопасная система онлайн-платежей не спасет от злоумышленников, если сам человек не соблюдает элементарных правил безопасности.

Первое базовое требование безопасности при совершении онлайн-транзакций – использование надежного пароля для своей учетной записи. Он должен быть достаточно сложным и длинным, чтобы исключить возможность подбора нужной комбинации символов злоумышленниками. Естественно, пароли должны храниться в тайне, их не следует пересылать через незащищенные каналы связи.

Доступ к платежным системам необходимо осуществлять с устройств, в безопасности которых вы уверены, и по надежным каналам. Если используется беспроводная сеть, то она должна быть защищенной. Лучшим способом, естественно, является доступ с личного компьютера, на который не допускаются другие пользователи. Но, к сожалению, такой вариант далеко не всегда возможен. Поэтому, если для доступа используется компьютер на работе или «общий» домашний, то необходимо предпринять специальные меры защиты. В первую очередь, следует исключить возможность «кэширования» паролей, лучше всего установить специализированное ПО, которое автоматически по завершении сеанса работы производит очистку всех временных файлов и убирает историю работы пользователя. Такой функционал, в частности, доступен в некоторых антивирусных программах класса Internet Security. В любом случае никогда не следует работать с общедоступными компьютерами в интернет-кафе, учеб- ных классах и других подобных местах.

Не рекомендуется выполнять платежи через устройства, подключенные к открытым общедоступным сетям, например, в кафе или аэропортах.

Пользователи не должны переходить по ссылкам в сообщениях электронной почты, якобы присланных от имени платежных систем, где им предлагается подтвердить свои данные. Такие поступающие сообщения, как правило, являются фишингом. Также нельзя переходить по ссылкам в мессенджерах или рекламных окнах, так как они также могут вести на фишинговые ресурсы. Чтобы посетить веб-сайт, желательно набрать адрес в строке браузера вручную.

И последнее по списку, но, может быть, самое важное средство безопасности – использование и правильная настройка специализированого программного обеспечения, которое может защитить от атак и свести к минимуму возможный вред от ваших неверных действий.

Естественно, операционная система и применяемые программы, включая обозреватели Интернета, должны быть обновлены до последних версий. На компьютер необходимо установить современный многофункциональный антивирус, имеющий в своем составе модули межсетевого экрана (брандмауэра), антифишинга, обнаружения опасных web-сайтов. Часто в современные антивирусные программы включают дополнительный функционал, например средства обнаружения и исправления уязвимостей, виртуальную клавиатуру и т. д. Виртуальная клавиатура защищает пользователя от клавиатурных перехватчиков и тем самым гарантирует ему безопасные условия для проведения онлайн-транзакций. Кроме того, она обеспечивает безопасность данных, сводя к минимуму возможность перехвата конфиденциальной информации. Следует помнить, что имеется ряд шпионских программ, которые делают снимки экрана при каждом нажатии клавиш. Так что работа с виртуальной клавиатурой позволит избежать и этой угрозы.

Специализированные модули защиты приватности помогают очистить историю работы пользователя, убрать сохраненные пароли и тем самым избавляют его от многих проблем, которые возникают при совместной работе за одним компьютером (например, в офисе). Многие современные антивирусные продукты включают удобную функцию создания изолированной среды интернет-доступа (или «песочницы»). В случае применения такого функционала все пользовательские данные будут изолированы от операционной системы, а значит, злоумышленники не смогут получить доступ к ним, даже если компьютер будет заражен троянской программой, неизвестной антивирусу.

И в завершение стоит отметить, что при комплексном использовании методов защиты, упомянутых в данном обзоре, онлайн-платежи становятся безопасным и очень удобным инструментом как для владельца домашнего компьютера, так и для организации. Чтобы успевать за все ускоряющимся темпом технического прогресса, нужно брать на вооружение все доступные средства, но при этом, естественно, не забывать о безопасности.

Николай Ионов,
руководитель экспертной группы eScan в России и СНГ