Актуальные проблемы онлайн-платежей: от взломов до социальной инженерии

Директор по информационной безопасности и противодействию мошенничеству QIWI, Алексей Юдин рассказывает, какие схемы используют злоумышленники и как обезопасить себя при совершении платежей через интернет. 

По подсчетам экспертов, глобальные потери из-за киберпреступлений составили более одного триллиона долларов в 2020 году. Статистика МВД показывает, что за первые семь месяцев 2021 года в России зарегистрировано почти 320 000 киберпреступлений, что на 16% больше аналогичного периода 2020 года. При этом 180 000 из них относятся к категории тяжких и особо тяжких. 

Сохранность персональных данных

Многие компании не соблюдают правила хранения персональных данных сотрудников и клиентов, из-за чего происходит их утечка. Проблема существует у небольших интернет-магазинов и сервисов, которые не могут обеспечить должный уровень безопасности персональной информации. В Сети обнаружили базы данных клиентов крупных ритейлеров, микрофинансовых организаций, кадровых служб и др. При этом компании несут большие репутационные потери и юридическую ответственность в случае утечки персональных данных.

Чтобы защитить персональную информацию в организации, необходимо использовать системы контроля утечек данных (DLP) и, конечно, средства мониторинга событий и выявления инцидентов. Компании могут выбрать внутреннюю систему или заказать аутсорс услуг у профильных провайдеров.

Кибератаки на интернет-магазины

С DDoS-атаками и взломами с начала пандемии сталкивались многие онлайн-ритейлеры. Киберпреступники стали активнее из-за роста популярности онлайн-шопинга. Для взлома аккаунтов пользователей злоумышленники часто используют умных ботов, которые могут обойти традиционные схемы защиты. Часто хакеры стремятся получить персональные данные пользователей, чтобы перепродать их на черном рынке.

Для защиты от DDOS-атак можно использовать специализированные сервисы, которые предлагают крупные хостинг-компании. Хорошая практика для предотвращения кибератак – проведение регулярных работ по анализу цифровой защищенности. Это помогает устранить уязвимости критичных систем и инфраструктуры в целом.

Страница подтверждения платежей 3-D Secure

Как банк-эквайер, проводящий платежи в пользу сотен онлайн-магазинов, QIWI постоянно отслеживает всевозможные пути мошенничества с платежными формами. Одной из новых тенденций стал метод социальной инженерии, связанной с технологией 3-D Secure. Страницы подтверждения платежей 3-D Secure всегда считались наиболее эффективными, чтобы обеспечить безопасность данных банковских карт. 

Протокол 3-D Secure подразумевает двухфакторную аутентификацию пользователя при совершении сделки через интернет. Однако мошенники научились подделывать страницу проверки платежа. 

Сначала пользователь заходит на страницу ложного интернет-магазина и попадает на поддельную страницу подтверждения платежей. На ресурсе мошенников пользователи вводят данные карты, а также код из СМС-сообщения для подтверждения платежа. Одновременно с сервера злоумышленников инициируется обращение к настоящему серверу 3-D Secure, поэтому для банка операция выглядит как перевод средств с карты на карту по инициативе самого пользователя. Последнему бывает сложно распознать поддельные страницы, поскольку они содержат логотипы платежных систем Visa, Mastercard, «Мир», которые не вызывают сомнений в подлинности ресурса. 

Чтобы обезопасить себя от мошенников, важно проверить интернет-магазин – его репутацию и отзывы других покупателей. Эксперты полагают, что в будущем для предотвращения подобных киберпреступлений будет применяться технология 3DS 2.0, которая предполагает аутентификацию не только по коду из СМС, но и по биометрическим данным.

Двойники банковских сайтов

 
Другой способ, с помощью которого преступники похищают деньги с банковских счетов пользователей – используя «зеркальные» сайты банков. Поддельный сайт сложно отличить от оригинала: он похож по оформлению и названию. Если человек зайдет на такой «зеркальный» онлайн-ресурс и введет логин и пароль, то мошенники способны попасть в личный кабинет на настоящем сайте. Помимо прочего, они подключают услугу мобильного банкинга на свой номер. 

Не рекомендуется переходить на сайт банка со сторонних интернет-ресурсов. В то же время перед вводом логина и пароля на сайте онлайн-банкинга стоит проверить адрес страницы – он должен совпадать с тем, что указан на банковской карте. 

Требования заплатить комиссию

В ряде случаев злоумышленники рассылают жертвам письма от имени регулятора, в которых сообщается, что в иностранных кредитных организациях на них якобы открыты счета с крупной денежной суммой, поэтому необходимо заплатить комиссию. 

В случае, если человеку пришло электронное письмо о поступлении крупной суммы денег от неизвестной организации и предлагается оплатить комиссию, налог или страховку для ее получения, Банк России рекомендует не отвечать на такие сообщения и ни в коем случае не переводить деньги.

---

Читайте также:  У вас нечего красть? Ошибаетесь! Киберугрозы для малого и среднего бизнеса и способы защиты от них

---

Поддельные паспорта

В 2021 году мошенники начали размещать объявления о продаже объектов недвижимости, автомобилей и медицинских масок на популярных интернет-площадках. 

Перед заключением «сделки» они просили подтвердить платежеспособность, для чего требовалось перевести небольшую сумму денег знакомым или родственникам через специальные платежные системы и предъявить квитанцию об оплате. Таким образом они выманивали персональные данные получателей переводов и изготавливали на их имена поддельные паспорта, после чего посещали отделения банков и похищали деньги со счетов. 

При совершении покупки через интернет стоит проверить репутацию продавца, а также не производить переводы даже на знакомые счета, если для этого приходится использовать незнакомую платежную систему. 

Как обезопасить себя от мошенников

Центробанк опубликовал признаки, по которым можно вычислить неблагонадежные карты и электронные кошельки. К ним относится большое число получателей платежей и плательщиков — более 10 в день и более 50 в месяц. Банки должны обращать внимание на необычно высокий уровень операций по зачислению или списанию безналичных средств физическими лицами, в частности, более 30 операций в день. Наконец, банки должны насторожить объемы операций более 100 тысяч рублей в день и более 1 млн рублей в месяц. Другим критерием подозрительного счета является низкий остаток средств в конце операционного дня, который не превышает 10% от среднедневного объема операций.

Помимо паспортных данных пользователям необходимо защищать доступ к мобильному телефону, поскольку на него приходят одноразовые коды подтверждения операций. Двухфакторную аутентификацию можно подключить в разделе «Безопасность» или в настройках профиля пользователя на многих платформах. 

Стоит отключить все платежные опции, если в них нет необходимости: к примеру, если вы не пользуетесь платежными приложениями для социальных сетей или сотовых телефонов, отключите возможность их использования. Развитие схем, которые используют мошенники, в свою очередь, помогает совершенствованию систем безопасности финансовых организаций. Крупные банки используют усовершенствованные антифрод-платформы с использованием алгоритмов на основе искусственного интеллекта. 

В то же время с распространением платежей с помощью биометрических данных будет совершенствоваться прозрачность платежей и киберзащита финансовой информации.

Алексей Юдин, 
Директор по информационной безопасности и противодействию мошенничеству QIWI.

Для New Retail