0/5

Новости сегодня

20:20 Airbnb задействует новый алгоритм для борьбы с наймом жилья ради вечеринок
19:55 Минсельхоз не рассматривает вопрос об отмене экспортной пошлины на зерно
19:30 Власти Шанхая планируют выдать жителям купоны на млрд юаней для стимулирования потребления
19:05 Бывший совладелец московского клуба Soho Rooms Дэн Рапопорт умер в Вашингтоне
Селлерам на заметку: 7 шагов к лояльности клиента на маркетплейсе
18:40 Carlsberg нарастил полугодовую выручку в России при сокращении продаж
18:15 Производство Apple Watch и MacBook перенесут из Китая во Вьетнам
17:50 Тимати назвал экс-кофейни Starbucks - Stars Coffee
17:25 Рекомендательный масочный режим возвращают в шести регионах РФ
Тренд: зачем и в каких форматах Китайские компании будут наращивать складские мощности в России
17:00 Российские виноделы получат концепцию развития экспорта своей продукции
16:35 ЦРПТ готов начать маркировку антисептиков с 1 апреля 2023 года
16:10 В Совкомбанке началась акция для клиентов «Халвы» в поддержку частных приютов для животных
15:45 «Яндекс» организовал пункты выдачи аптечек и велоинструментов для курьеров
Константин Калинин, Бета ПРО: «Наша цель – чтобы селлер получал и обрабатывал все заказы, которые он может потенциально получить»
15:20 Динамика онлайн-продаж «Эвалар» превысила 200% по итогам полугодия
14:55 Россияне скупили почти все постельное белье как у «ИКЕА» на «Яндекс Маркете» за 48 часов
14:30 Wildberries опроверг информацию об утечке данных клиентов
14:05 Поставки бюджетных смартфонов в Россию сократились более чем на 50%
Всем SWIFT: кто из российских банков еще в системе и какие есть альтернативы
13:40 Ozon предлагает новые возможности самозанятым продавцам
13:15 «Почта России» расширяет географию доставки из отделений за час
12:50 Каждый второй покупатель готов обмануть интернет-магазин ради получения дополнительной выгоды
12:25 Novikov Group будет выпускать полуфабрикаты для пиццы
Все новости →

Обнаружена уязвимость при оплате банковскими картами онлайн

Обнаружена уязвимость при оплате банковскими картами онлайн
время публикации: 16:12  20 сентября 2019 года
Специалисты процессинговой компании ChronoPay выявили несовершенство протокола безопасности интернет-платежей по банковским картам 3D Secure.
Изъян позволяет мошенникам менять название получателя и вводить потребителей в заблуждение. 

Процессинговая компания ChronoPay, активный участник Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ РФ, предупреждает о возможности подмены данных получателя платежа при некоторых операциях в процессе оплаты онлайн банковской картой из-за особенностей протокола 3D Secure (3DS). За счет уязвимости в запросе на аутентификацию плательщика (PAReq) злоумышленники могут ввести потребителя в заблуждение, подменив данные получателя платежа на странице подтверждения транзакции.

Протокол 3DS используется при приеме онлайн-платежей по банковским картам. Чобы удостовериться, что оплату производит владелец счета, в дополнение к данным банковской карты необходим также код подтверждения, который приходит на привязанный к карте номер мобильного телефона в SMS. Покупатель вводит код подтверждения на отдельной странице, на которой мошенник может подделать данные о получателе. Метод 3DS был разработан для защиты от кражи данных пластиковых карт и не предусматривает противодействия онлайн-мошенничеству со стороны самих получателей платежей. 

Как удалось выяснить специалистам ChronoPay, проблема заключается в отсутствии защиты запроса на аутентификацию плательщика PAReq. При оформлении заказа в интернет-магазине, оплате государственных пошлин или заказе услуг такой запрос передается в банк в виде простой адресной строки в браузере. В текущей версии 3DS она не шифруется криптографически и не проверяется платежной системой. Злоумышленникам не сложно подменить любые данные в строке запроса и ввести покупателя в заблуждение на странице подтверждения платежа. 

«Банк России в курсе данной ситуации. Она касалась лишь узкого круга операций. Мы уведомили о ней банки и платежные системы», — сообщили в пресс-службе Банка России. 

Павел Врублевский, генеральный директор процессинговой компании ChronoPay, отмечает: «В сети все больше мошеннических сайтов, которые выдают себя за известных поставщиков услуг, государственные службы или фирменные интернет-магазины. Уязвимость в запросах PAReq протокола 3DS позволяет убедить потребителя в том, что он проводит платеж в пользу определенной организации. Данные на странице подтверждения платежа могут быть подменены. Мошенники активно используют методы социальной инженерии, убеждая клиента как можно быстрее совершить платеж на их сайте. Мы рекомендуем пользователям быть предельно внимательными при проведении онлайн-платежей».

Чтобы обезопасить себя от мошенничества, потребителям стоит проявлять дополнительную бдительность. Эксперты по безопасности ChronoPay рекомендуют проверять адрес интернет-магазина, в котором вы собираетесь совершить покупку (мошенники часто выбирают похожие адреса). Особенно если сайт пестрит распродажами, которые заканчиваются через несколько минут. Также не стоит совершать покупки по ссылкам из писем электронной почты. Вместо этого самостоятельно ищите легитимный сайт в поисковой системе. 

Информация о данной уязвимости была передана представителям ФинЦЕРТ. Специалисты рассчитывают, что уязвимость будет исправлена в новой версии 3DS 2.0, переход на которую ожидается в ближайшее время. Пока же эксперты из ChronoPay рекомендуют плательщикам быть внимательными при совершении операций онлайн-оплаты. 

Читайте также: Бизнес сможет принимать оплату в смартфоне   
        
***
Самые интересные новости читайте в наших группах в Facebook и VKontakte, а также на канале Яндекс.Дзен.

И подписывайтесь на рассылку самых важных новостей.
   
Close
Email
Подпишитесь на нашу рассылку и самые интересные материалы будут приходить к вам на почту
Нажимая «Подписаться» вы принимаете условия политики конфиденциальности