25/01/2023

Покупать через интернет — это удобно. Ещё удобнее — оплатить покупку картой на сайте магазина, чтобы при получении посылки не волноваться о том, есть ли в вашем кошельке нужная сумма, или привёз ли курьер POS-терминал для оплаты банковской картой.

Но достаточно ли безопасно пользоваться картой онлайн? В новостях регулярно рассказывают об утечках данных пользователей известных магазинов, крупных маркетплейсов и других популярных сервисов. Мошенники выдумывают всё новые способы захватить данные покупателей и получить доступ к их банковским счетам. И даже если похищенные данные не позволят преступникам снять деньги напрямую со счёта, им могут найти применение в более сложных противоправных схемах — с использованием методов социальной инженерии. Сократить свои шансы столкнуться с подобными неприятностями можно, если следовать базовым правилам безопасности при онлайн-покупках и правильно настроить свои устройства.

 

Как устроен процесс онлайн-оплаты

Онлайн-оплата — это многоступенчатый процесс, который выглядит достаточно просто с точки зрения пользователя. В обычной транзакции участвуют четыре стороны: покупатель, интернет-магазин, сервис-провайдер, который обрабатывает операции интернет-магазина, и банк, выпустивший карту клиента. После того как покупатель нажимает кнопку «Оплатить», его перенаправляют на страницу платёжной формы для ввода реквизитов банковской карты. Если реквизиты (номер карты, имя держателя, CVC- или CVV-код) корректные, то система передаёт запрос в банк, выпустивший карту покупателя — там проверяется доступность средств на счёте и, если всё в порядке, деньги перечисляются продавцу. При использовании технологии 3D Secure в схеме появляется ещё один важный шаг — пользователю приходит SMS или Push-сообщение с одноразовым кодом из банка для подтверждения операции. Ответственность за конфиденциальность данных при совершении платежа лежит на всех участниках этого процесса. Магазин отвечает за выбор надёжной платёжной системы и сервис-провайдера. Банк должен запросить у клиента подтверждение, а при подозрении на мошенничество — отклонить операцию. В свою очередь, покупатель должен быть внимательным и удостовериться, что вводит свои данные правильно и на проверенном сайте. Перед вводом кода подтверждения следует проверить корректность указанных в сообщении данных — сумму списания, номер карты, название магазина. Сообщать одноразовый код нельзя никому, даже если менеджер магазина попросит прислать его для подтверждения заказа.

 

Почему платить картой не всегда безопасно

Ради получения финансовой выгоды злоумышленники стремятся вмешаться в процесс оплаты или похитить конфиденциальные данные клиентов интернет-магазинов. Для этого они прибегают к созданию сайтов-двойников, взлому ресурсов магазина, перехватывают данные и применяют вредоносное ПО. При онлайн-оплате можно столкнуться с такими рисками:

  1. Перехват данных в незащищённой публичной сети. Совершать покупку с мобильного телефона или ноутбука в общественном месте, подключаясь к бесплатному Wi-Fi в кафе или транспорте, может быть небезопасно, так как реквизиты банковской карты будут передаваться через сеть в незашифрованном виде и могут попасть в руки преступника.
  2. Хищение банковской информации или подмена данных платежа. Такой риск возникает при использовании устаревших версий браузера или мобильного приложения, в которых содержатся серьёзные уязвимости. С их помощью можно подменить реквизиты платежа, из-за чего покупатель, ничего не подозревая, отправит средства за товар не на счёт магазина, а прямиком в руки киберпреступников.
  3. Перенаправление на сайт-подделку. Вместо официального интернет-магазина пользователь может попасть на сайт-двойник — со схожим дизайном и доменным адресом, который иногда отличается от оригинального всего одной буквой. Страница оплаты заказа на таком сайте будет имитировать страницу оплаты настоящего магазина, но получателем перевода станет физическое лицо, и оспорить такую транзакцию в банке будет нельзя.
  4. Атака на ресурсы магазина (либо его контрагентов) и взлом баз данных клиентов. При успешной атаке киберпреступники получают доступ сразу к большому объёму данных, собранных магазином о покупателях. Такие базы могут содержать реквизиты банковских карт и номера телефонов, сохранённых для удобства совершения покупок. Это сразу открывает перед мошенниками возможности для хищения денег со счёта клиента или для других противозаконных действий.

 

Какое устройство и какой браузер лучше использовать

Для совершения интернет-покупок предпочтительнее использовать компьютер, доступ к которому контролируете лично вы. Ведь рабочий ноутбук, общий «семейный» ПК или компьютер знакомого могут быть заражены вредоносным программным обеспечением (ПО), перехватывающим данные. Более безопасными из мобильных устройств считаются смартфоны на базе операционной системы (ОС) iOS. Смартфоны с ОС Android чаще атакуются хакерами: это система с открытым исходным кодом, и её использует большее количество людей, а значит увеличивается количество потенциальных жертв и привлекательность для мошенников. В любом случае, устройство, через которое вы планируете совершать покупки, должно быть защищено паролем и шифрованием. Также важно регулярно обновлять ОС до последней версии, чтобы киберпреступники не смогли воспользоваться известными уязвимостями в системе или базовом ПО. То же самое относится к браузеру: браузер или приложение магазина должны быть последней доступной версии. Хорошей практикой будет запускать браузер в режиме инкогнито: в этом режиме не сохраняется история просмотров, отключено автозаполнение форм и сохранение cookie-файлов. Не рекомендуется использовать сторонние плагины и расширения для браузера — они могут быть источниками утечек информации. Также лучше отказаться от сохранения cookie-файлов и отключить опцию сохранения паролей в браузере — эти, без сомнения, удобные опции повышают риск хищения вашей информации.

 

Где покупать и как оплачивать

Крупные маркетплейсы и интернет-магазины известных сетей обычно имеют много отзывов в интернете и уделяют достаточное внимание своей репутации — покупателю надо только удостовериться, что заказ оформляется на официальном сайте, а не на сайте-двойнике. Менее известные или узкоспециализированные магазины лучше дополнительно проверить перед заказом: убедиться, что реквизиты магазина настоящие и контактные данные актуальные, есть работающая служба поддержки покупателей. Хорошо, если у магазина имеются активные социальные сети и отзывы в интернете. Сайт магазина должен использовать защищенный протокол HTTPS и иметь действующий цифровой SSL-сертификат, гарантирующий защиту данных от перехвата и подмены — об этом сигнализирует специальный значок замочка в адресной строке браузера. Наиболее защищённым будет SSL-соединение, сайт магазина должен поддерживать технологию 3D Secure. Онлайн-оплату банковской картой на сайте магазина нельзя производить через общественные Wi-Fi-сети: сеть, не защищённую паролем и шифрованием, легко взломать и получить доступ к информации со всех подключённых к ней устройств. Также небезопасно совершать покупки с включённым VPN — бесплатные сервисы виртуальных частных сетей могут использовать трафик для собственных целей и не гарантируют безопасность и конфиденциальность данных. Не стоить забывать и про базовые правила безопасности при использовании банковских карт: необходимо завести отдельную карту или выпустить виртуальную карту для покупок в интернете, установить на ней лимит денежных средств на покупки, подключить подтверждение оплаты с помощью SMS-кода или Push-уведомления в приложении банка. Для каждого интернет-магазина используйте уникальный и надёжный пароль, по возможности подключите двухфакторную аутентификацию при входе в личный кабинет. Не стоит добавлять в личный кабинет магазина избыточные сведения о себе, такие как дата рождения и паспортные данные, адрес прописки и прочие — эти данные не являются необходимыми для совершения покупки. Также не рекомендуется регистрировать личный кабинет на адрес электронной почты, который вы используете в таких сервисах, как Госуслуги — в случае, если ваша почта будет скомпрометирована, мошенники смогут нанести серьёзный ущерб.

 

Рекомендации

Для тех, кто переживает за свои деньги, мы составили чек-лист условий для максимально безопасного онлайн-шоппинга:

  1. Совершайте покупки через устройство личного использования и при подключении к знакомым Wi-Fi-сетям, защищённым паролем и шифрованием, используйте браузер или мобильное приложение последней доступной версии.
  2. Отдавайте предпочтение онлайн-магазинам, которые используют технологии защищённого соединения SSL и протокола 3D Secure (их эмблемы обычно размещаются на проверенных сайтах).
  3. Зарегистрируйте личный кабинет на отдельную электронную почту, которая не будет совпадать с более важными сервисами, и придумайте для каждого аккаунта уникальный пароль.
  4. Не добавляйте в личном кабинете магазина необязательные для совершения покупки данные.
  5. Не используйте опцию «Сохранить данные карты для будущих покупок».
  6. Делайте онлайн-покупки с отдельной банковской карты (или закажите в банке виртуальную карту), задайте лимит по доступным расходам.
  7. Подключите SMS-информирование об операциях по карте и настройте подтверждение транзакций по SMS-коду или Push-уведомлению в приложении банка.

Источник