Фішери, кейлоггери та інші "павуки" Інтернету


Фішери, кейлоггери та інші "павуки" Інтернету

Популярність Всесвітньої павутини навіть в нашій країні нестримно зростає: за даними компанії InMind, проникнення Інтернету в Україні в II кварталі поточного року досягло 32%. Кожен третій українець користується мережею щомісячно, а кожен п'ятий - практично щодня, приєднавшись до благ "онлайнового" існування.

Наприклад, таким, як електронна оплата товарів, послуг, комунальних рахунків або мобільного зв'язку. Проте в мережі - як в трамваї: чим більше людей, тим більший ризик вийти без гаманця. Тим паче, що технології інтернет-шахрайства, як і способи захисту від них, не стоять на місці.

Потрапити в тенети

Справді, передача грошей "не встаючи зі стільця" - у багатьох випадках найбільш прийнятний варіант розрахунків. При цьому всі платіжні системи, які надають таку послугу, незважаючи на їх велику кількість, можна розділити на два основні види: ті, які відкривають клієнтам рахунки в звичних грошах і випускають пластикові картки (Visa, Master Card, American Express), і ті, які використовують електронні сурогати грошей - "електронну готівку" (WebMoney, PayCash). Існують також системи, службовці свого роду "буферами обміну" між мережею і системами, що емітують картки (Portmone.com, FlashCheque).

Самі ж інтернет-платежі традиційно поділяються на миттєві, регулярні і так звану електронну комерцію. Миттєві - це в основному оплата різноманітних послуг телекому (мобільний зв'язок, Інтернет, цифрове телебачення). Регулярні платежі - по суті, те ж саме, що і миттєві, але здійснюються вони на регулярній основі шляхом надання платіжній системі повноважень розпоряджатися вашими грошима від вашого імені (скажімо, щомісячно списувати з вашого рахунку суму на оплату комунальних послуг). Що стосується електронної комерції, то зі всіх її секторів - G2B (Government-to-Business), B2G (Business-to-Government), B2B (Business-to-Business), B2C (Business-to-Customer), C2B (Customer-to-Business) і C2C (Customer-to-Customer) - в Україні популярні два. Певний розвиток у вигляді інтернет-магазинів отримав сектор B2C і C2C - для переказу грошей від користувача до користувача, як найчастіше здійснюють оплату праці фрілансерів, трудові відносини з якими ніяк не врегульовані.

При цьому питання безпеки онлайн-розрахунків залишається актуальним незалежно від виду платежу або вибраної користувачем системи. Справа у тому, що в Україні досі нема юридичного поняття "Електронні гроші", тому в бухгалтерській звітності таких систем, як WebMoney, всі операції відбиваються як переуступання прав вимоги. Так само працює і Portmone.com, функція якої - передавати від компаній в банки не гроші, а інформацію про їх пересування. Зрозуміло, що практично будь-яка шанована платіжна система докладає максимум зусиль із забезпечення безпеки платежів своїх користувачів - від цього залежить її імідж на зростаючому ринку. Проте прикрі інциденти час від часу однак виникають.

При цьому операторів - чи то банк, чи то платіжна система - схильні звинувачувати в усьому не себе, а неуважних клієнтів, які припустилися просочування особистої фінансової інформації. "В світі системи онлайн-розрахунків пройшли нелегкий шлях розвитку і напрацювання методів боротьби з шахрайством, і Україна зараз має значну перевагу - використання досвіду європейських колег для максимального захисту користувачів, - акцентує директор Portmone.com Ігор Горін. - Тому з боку банків, платіжних систем, авторизованих сайтів системи оплати захищені. Більшість випадків шахрайства в Україні викликана недостатньою ознайомленістю користувачів з базовими правилами користування платіжними картами, недотриманням правил безпеки і використання застарілих технологій".

Але навіть якщо клієнт повністю упевнений у власній правоті, довести факт просочування інформації саме від оператора практично нереально. Так само, як і повернути вкрадені хакерами гроші. Отже, якщо вже користуватися цим сервісом, то варто підійти до питань безпеки дуже серйозно.

Лікнеп для Мухи-Цокотухи

На думку фахівця з безпеки "Майкрософт Україна" Ігоря Мальченюка, ризики при здійсненні онлайн-платежів можна розділити на два типи: людські і технологічні: "При цьому найслабшою ланкою є самі користувачі, і зловмисники цим активно користуються. Адже правила безпеки часто стосуються не лише онлайн-оплат, але і користування картами взагалі, наприклад: "не передавати карту або її реквізити третім особам" або "уважно читати умови надання сервісу на сайті". Якщо левову частку технологічних ризиків допомагають вирішити браузер з вбудованими функціями безпеки, а також оновлена легальна операційна система і антивірус, то людські ризики клієнт повинен попереджати сам", - переконує він.

За спостереженнями Мальченюка, до найбільш поширених в нашій країні ризиків технологічного характеру належать такі способи перехоплення платіжних даних користувача, як фішинг і кейлоггінг. Фішинг - це свого роду "вилов довірливих користувачів": маскування сайту під відому платіжну систему або банк з метою отримання даних користувача. На адресу користувача надходить лист нібито від платіжної системи, в якому повідомляється, що електронний рахунок заблоковано. Якщо виконати запропоновані в листі інструкції для "розблокування" рахунку, з'явиться знайоме вікно платіжної системи для введення логіна і пароля. Це і є основною метою шахраїв - вкрасти реквізити користувача завдяки фальшивому сайту, схожому на оригінал, для доступу до конфіденційних даних.

Кейлоггер (від англ. key - клавіша і logger - реєструючий пристрій) - це відносно новий вид шкідливих програм, які реєструють натиснення клавіш на комп'ютерній клавіатурі. Зазвичай такі програми перехоплюють дані, які вводяться при реєстрації на сайті або при здійсненні платежів, а потім посилаються шахраям - таким чином особисті дані "витікають". "Найдієвіший захист на сайтах від кейлоггерів - використання "віртуальної клавіатури", змальованої на екрані комп'ютера, клавіші на якій кожного разу розташовуються в довільному порядку, а цифри потрібно натискувати не клавіатурою, а мишкою", - підказує начальник служби моніторингу і безпеки Portmone.com Олег Гавриляк.

Людський же чинник має в собі дві - часто взаємодоповнюючі складові: недостатній рівень освіченості і банальна загальнонаціональна любов до халяви. Іноді сучасний користувач отримує листи з проханням зайти на певний сайт, де у отримувача, як правило, просять допомоги в багатомільйонних грошових операціях, обіцяючи солідні відсотки з сум.

Після згоди користувача у нього поступово виманюються гроші нібито на операції з оформлення операцій. Останнім часом такий вид шахрайства був модернізований і адаптований для вивуджування банківських даних. "Ситуація зазвичай виглядає таким чином: людині приходить лист нібито від імені банку, в якому повідомляється, скажімо, про збій в програмному забезпеченні або про нові налаштування безпеки, які дозволять захистити інтереси тримача карти. Лист містить прохання підтвердити персональні дані і реквізити карти, для чого пропонується пройти ссилкою. Ссилка, якщо її відкрити, буде точною копією сайту банку з єдиною відмінністю - це підставний сайт, створений спеціально з метою збору даних", - застерігає Олег Гавриляк.

Шпаргалка юзера

  • Переконайтеся, що в полі "Адреса" вибраного сайту вказана саме необхідна web-адреса, а не просто схожа. При оплаті ж або введенні конфіденційної інформації про карту зверніть увагу, щоб сайт був захищений: у адресному рядку браузера адреса обов'язково повинна починатися з https:// (а не просто http://), а у вікні браузера має з'явитися значок "закритий замок".
  • Ніколи не вводьте PIN-код платіжної карти в Інтернеті. На безпечних сайтах він ніколи не використовується. Варто також пам'ятати, що для введення CVV2-кода (спеціальний код для оплати картою в мережі) на захищених сайтах використовується "віртуальна клавіатура".
  • Перш ніж вводити дані своєї платіжної карти, прочитайте умови надання сервісу і переконайтеся, що сайт не запам'ятовує ваш пароль при вході в секцію для зареєстрованих користувачів. Якщо ви здійснюєте оплати з публічного комп'ютера, включіть в браузері режим "приватного перегляду" (InPrivate Browsing).
  • Після здійснення платежу роздрукуйте підтвердження проплати в інтернет-магазині (інтернет-сторіночку) з вказівкою адреси сайту і реквізитів магазину. Також варто використовувати SMS-банкінг: в разі будь-якої транзакції власник карти отримає SMS про проведений платіж і зможе, в разі чого, швидко заблокувати карту і заперечити операцію.
  • В ідеалі - не зберігайте на картці суми грошей більші, ніж потрібно для здійснення одноразового платежу. Поповнюйте рахунок безпосередньо перед проведенням платежу, або блокуйте карту для онлайн-розрахунків і знімайте цей блок перед процесом оплати. Ще один варіант - завести спеціальну карту для інтернет-платежів, яку можна буде у разі потреби поповнити через банк з основної - кредитної або зарплатної - карти.

Максим Услістий, старший юрист адвокатської фірми "ПАРИТЕТ":

- За останні 10 років в Україні було прийнято низку нормативно-правових актів для формалізації світових тенденцій стосовно визначення юридичної сили електронного документообігу і електронної торгівлі, прав і обов'язків учасників, відповідальності сторін. Проте з практичної точки зору ринок як і раніше гостро має потребу в подальшому нормативному закріпленні основ електронної комерції, прийнятті низки спеціальних законів, внесенні істотних змін до чинного законодавства України відносно укладення договорів в електронній формі.

За загальним правилом, встановленим чинним законодавством України, учасники ринку електронної комерції (юридичні і фізичні особи) можуть надавати послуги в цій сфері з часу їх державної реєстрації без будь-яких додаткових процедур, у випадку якщо інше не передбачено законодавством України про ліцензування певних видів господарської діяльності.

Юридично ж пропозиція товарів і послуг через інтернет не може розглядатися як договірна пропозиція (оферти), а полягає лише в інформуванні споживача про можливість надання йому такої послуги. Безпосереднє укладення договору можливе лише в разі, якщо споживач отримає чітку інформацію про те, що замовлення прийняте, або ж якщо товар буде отриманий відразу ж після замовлення. Проте навіть такий підхід не є поширеним для українських сервіс-провайдерів з огляду на те, що з практики, що склалася, інтернет-магазини й інші онлайн-ресурси часто не надають клієнтам жодних договірних умов.

Наслідком вищезгаданого є неможливість повноцінного захисту клієнтом власних прав. За таких умов єдиним виходом є захист власних інтересів на підставі законодавства про захист прав споживачів, а також в порядку адміністративного і кримінального законодавства в разі шахрайства та інших правопорушень з боку продавця або третіх осіб.

В цьому випадку доказами можуть служити: виписки з банківських рахунків про зняття/блокування коштів, належним чином засвідчені документарні підтвердження про оплату товарів/послуг, включаючи електронні чеки і коди транзакції. Проте навіть такий підхід не є 100-відсотковою гарантією захисту прав обдуреного споживача, виходячи з тієї ж невизначеності електронних носіїв інформації в українському законодавстві.

Аліна Поліщук

  • i

    Якшо Ви помітили помилку, виділіть необхідну частину тексту й натисніть Ctrl+Enter, щоб повідомити про це нам.

Дивись також
Топ новини
Обговорюють

Читають

В Контексті Finance.ua
Опитування