Что такое безопасность платежей
Как защитить свои деньги и электронные кошельки от мошенников в Интернете
Удобства онлайн-банкинга и онлайн-шоппинга очевидны, все больше людей используют Интернет для проведения финансовых операций.
Однако киберпреступники используют любые возможности похищения паролей, личных данных и денег пользователей.
Как защитить свои деньги и электронные кошельки от мошенников в Интернете: советы по безопасности
Вот несколько полезных советов от команды экспертов «Лаборатории Касперского», которые помогут вам защитить свои деньги и данные онлайн:
Не думайте, что ссылки всегда являются подлинными
Если вам нужно зайти на сайт онлайн-банка, магазина или платежной системы, вводите URL-адрес вручную. Не заходите на веб-сайты, нажав на ссылки:
Остерегайтесь поддельных коммуникаций
Большинство финансовых организаций никогда не отправляют электронные письма с просьбой к клиентам:
Проверьте URL-адрес
Когда вы посещаете веб-страницу, на которой вам нужно ввести конфиденциальные данные, внимательно проверьте, соответствует ли адрес страницы, отображаемой в браузере, странице, на которую вы хотели получить доступ.
Если URL-адрес состоит из случайного выбора букв и цифр или он выглядит подозрительно, не вводите никакой информации.
Используйте шифрование
Убедитесь, что вы используете зашифрованное соединение, когда вам нужно вводить какие-либо конфиденциальные данные. Если соединение безопасно, URL-адрес начинается с букв «https».
Кроме того, в адресной строке или в строке состояния браузера отображается небольшой значок блокировки.
Когда вы нажимаете на значок блокировки, внимательно посмотрите на информацию о сертификате SSL-аутентификации сайта (вы сможете увидеть, когда был выпущен сертификат, кто его выдал и на какой период выдан).
Пользуйтесь своим компьютером и своим подключением к Интернету
Старайтесь избегать использования общедоступных компьютеров в интернет-кафе, аэропортах, клубах, отелях, библиотеках или других местах, если вам нужно получить доступ к сервисам онлайн-банкинга или интернет-магазинов.
На этих общедоступных компьютерах может быть запущено множество программ-шпионов. В этом случае, эти вредоносные программы могут записывать все, что вы вводите на клавиатуре, включая ваши пароли, а также перехватывать интернет-трафик.
Даже если вы используете собственный компьютер для онлайн-транзакций, вам необходимо избегать подключения к Интернету через общественную сеть Wi-Fi.
В общедоступной сети Wi-Fi существует риск того, что трафик может быть перехвачен администратором сети или киберпреступниками, и могут быть запущены атаки с использованием сетевых червей.
Не используйте основную кредитную карту или дебетовую карту
Стоит иметь специальную карту, которой вы будете пользоваться только для оплаты онлайн-покупок.
Можно ограничить кредитный лимит для вашей «кредитной онлайн-карты» или держать ограниченную сумму денег на «дебетовой онлайн-карте».
Изучите мнение других людей
Прежде чем совершать покупки в Интернете, почитайте отзывы клиентов нем./p>
Будьте осторожны с потенциально ненадежными сайтами
Избегайте покупок на сайтах, зарегистрированных на бесплатных хостингах.
Получите дополнительную информацию о веб-сайте
Если у вас есть какие-либо сомнения или подозрения в отношении веб-сайта магазина, используйте IP-сервис «WhoIs», чтобы узнать больше о домене, в том числе о том, как долго он используется и кто им владеет.
Обратите внимание на период времени, за который домен оплачен.
Устранение уязвимостей в вашей операционной системе и приложениях
Всегда следите за тем, чтобы в операционной системе и на всех приложениях на вашем компьютере и других устройствах были установлены самые последние обновления.
Это поможет устранить уязвимости операционной системы и приложений, которые могут быть использованы вредоносными программами для проведения атак.
Используйте сетевой экран
Для обеспечения дополнительной безопасности вместо запуска простого сетевого экрана вы можете запускать сетевые экраны на основе приложений и программного обеспечения.
Защита от вредоносных программ и угроз Интернет- безопасности
Надежное решение для защиты от вредоносных программ может обезопасить вас от компьютерных вирусов, червей, троянских программ и пр.
Некоторые антивирусные продукты также включают специальные технологии, которые обеспечивают дополнительные уровни безопасности при работе с системами онлайн-банкинга и совершении покупок в интернет-магазинах.
Безопасность платежей в интернете. Как не стать параноиком
Наши данные практически всегда под защитой, конечно, если вы не вводите их на откровенно мошеннических сайтах. Рассказываем, кто и как следит за безопасностью онлайн-платежей, и какова ваша роль в этом процессе.
По статистике больше половины белорусов никогда не совершали платежей в интернете. Наверняка, одна из причин – в сомнениях. До сих пор жив стереотип о том, что покупки в сети могут быть небезопасными. Могут, но только если вы сами не соблюдаете «технику безопасности». Давайте разберемся, как происходит процесс онлайн-платежей, кто и на каком этапе защищает наши деньги, и как мы сами можем себя обезопасить.
Кто и как отвечает за безопасность
В каждом интернет-платеже принимают участие не только покупатель и магазин, но также:
И все стороны заинтересованы в том, чтобы платежи совершались безопасно. Более того, они несут за это ответственность. Так каким же образом нас виртуально защищают?
Существует ряд протоколов и правил, которые не позволяют попасть данным вашей карточки в руки мошенников. Протокол SSL (Secure Socked Layer) используется браузером для соединения с сервером в тех случаях, если нужно обеспечить высокий уровень защиты передаваемой информации. О наличии безопасного соединения с нужным сайтом свидетельствует буква «s» в протоколе http в адресной строке – https, а также символ замка. Сайты, использующие SSL, передают данные, закрытые шифром, взломать который невозможно.
Технология 3d Secure позволяет максимально достоверно подтвердить, что именно вы совершаете данный платеж. У платежных систем услуга такой проверки называется Verified by Visa и Mastercard SecureCode.
– Изначально технология 3d Secure была разработана для Visa, – рассказал региональный директор Visa Игорь Ковалев. – До появления этой технологии клиенты при совершении покупки в интернет-магазине вводили свои имя и фамилию, номер карты, срок ее действия и код безопасности CVV2. Но поскольку код безопасности написан на самой карте, то его могли узнать другие люди. В связи с этим компания Visa предложила использовать еще один секретный код, который известен пользователю, но не написан на карте. Когда сервис только появился, этот дополнительный код был статичным – устанавливался банком или самим клиентом. Однако, как и все статичное, он мог быть подвергнут компрометации. Поэтому было принято решение создать динамичный пароль, который меняется при совершении каждой новой операции. Самый распространенный метод доставки такого пароля сейчас – СМС-сообщение.
Стандарт PCI DSS определяет требования к организациям, которые хранят, обрабатывают или передают данные платежных карт, а также к организациям, которые могут влиять на безопасность этих данных. С середины 2012 года все организации, задействованные в процессе хранения, обработки и передачи данных должны соответствовать требованиям PCI DSS. Visa и MasterCard требуют от торговых предприятий и поставщиков услуг, работающих в интернете, полного соответствия этому стандарту.
Антифрод-системы позволяют банкам и платежным системам с помощью определенных правил, фильтров и списков, по которым и проверяется каждая транзакция, выявить подозрительные операции и не допустить их. Такие системы помогают предотвратить списание денег, если есть подозрение на мошенничество. Каждая операция, проходя через платформу, анализируется, после чего дается рекомендация отклонить или применить дополнительную проверку.
Что могу сделать я, чтобы защитить свои платежи
Да, за безопасность онлайн-платежей отвечают все участники процесса, в том числе и мы как покупатели (те, кто добровольно вводит данные своей карты). Мы попросили экспертов платежных систем Visa и Mastercard дать советы, как снизить риски мошенничества, рассказать о «технике безопасности».
– Одной из наиболее распространенных сейчас техник мошенничества является так называемая «социальная инженерия», когда злоумышленники связываются с вами, например, по телефону. Пользуясь вашим доверием, они начинают задавать вопросы и получают информацию о номере вашей карты, кодовом слове и так далее. Люди должны понимать, что ни платежная система, ни банк не будут запрашивать у вас подобную информацию, – говорит вице-президент Мastercard в Беларуси Вадим Головчиц.
Будьте бдительны и внимательны к мелочам, и не бойтесь платить в интернете. Это не только удобно, но и очень приятно!
Читайте нас в Telegram и Яндекс.Дзен первыми узнавайте о новых статьях!
Информационная безопасность электронных платежных систем
Защита данных
на базе системы
В опросы безопасности электронных платежных систем являются сложной задачей для финансового сектора и регуляторов. Существуют две серьезные проблемы – несанкционированные списания средств с банковских карт или счетов юридических лиц и общая гарантия сохранности платежей, совершаемых через небанковские системы переводы платежей. Принимаемые в последние годы меры смогли сделать электронные переводы более безопасными.
Как работает ЭПС
Под термином «электронная платежная система» (ЭПС) понимается система расчетов, при которой платежи проводятся по интернет-каналам, традиционной обработки платежных поручений не происходит.
Под это определение попадают:
В Банке России организовано несколько моделей платежей по Интернету. Это программа внутрирегиональных расчетов по сети Интернет (ВЭР) и межрегиональных электронных расчетов (МЭР). Для крупных срочных платежей в России в 2007 году создана идеология банковских срочных платежей (БЭСП). Она является аналогом европейской программы RTGS. Подключенные к ней банки переводят друг другу крупные суммы с целью перечисления клиентам в течение одного операционного дня.
Информационная безопасность электронных платежных систем обеспечивается требованиями, предъявляемыми к банкам-участникам:
Требования формулируются в Положениях Банка России и являются обязательными для исполнения. Отказ от выполнения требований может привести к полному или частичному отключению банка от технологии БЭСП.
Общие принципы ИБ механизмов дистанционных переводов
Если говорить об защите от несанкционированных переводов ЭПС в общем, то вне зависимости от уровня каждой конкретной модели к ним действуют единообразные требования.
Среди наиболее уязвимых мест:
Наличие этих уязвимостей вынуждает банки и операторов обеспечивать защиту трафика при пересылке доступными способами (передача по защищенным каналам, шифрование) и разрабатывать модели аутентификации отправителя и получателя средств.
При этом в работе банка или оператора платежей возникают проблемы:
Банк и оператор ЭПС обязаны реализовать механизмы защиты клиентов от несанкционированных списаний денежных средств, конкретные требования к которым определяются политиками операторов и регламентами ЦБ РФ:
Для осуществления платежей посредством банковских карт международные системы переводов применяют собственные меры ИБ межкарточных переводов, корреспондирующие с требованиями Банка России. Для иных операторов безбумажных платежей, совершающих более 6 миллионов переводов в год, работает программа сертификации Qualified Security Assessor (QSA).
В России работают представительства нескольких организаций, имеющих право на выдачу сертификата, и он будет предоставлен, если оператор соответствует следующим требованиям:
Стандарт защиты информации в индустрии платежных карт PCI DSS был разработан международными операторами платежных карт Visa и MasterCard. В него входит 12 детально описанных требований, согласно которым должна обеспечиваться защита платежных систем.
Рекомендации ЦБ РФ
В последние годы ЦБ РФ от рекомендаций организациям финансового сектора по обеспечению защиты денежной системы перешел к непререкаемым требованиям, обязательным для выполнения и сопровождающимся внесением изменений в законы и подзаконные нормативные акты. Теперь информацию о каждой зафиксированной хакерской атаке и о том, что она готовится, он должен получать в течение трех часов.
Сведения необходимо передавать в FinCERT (Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере, подразделение ЦБР). Передаются все данные, связанные с покушением на совершение несанкционированного перевода денежных средств со счетов компаний и физических лиц. Большинство банков и организаций финансового сектора уже подключены к системе горячего реагирования ФинЦЕРТ, если этого не произошло, сведения направляются по e-mail, без гарантии его своевременного прочтения и регистрации. С этим связаны сложности: такое сообщение обязательно должно быть подписано ЭП, но, если киберпреступникам удалось разрушить важный сектор многоэшелонированной защиты банка, удостоверить сообщение ЭЦП окажется сложно.
В стандарте обеспечения информационной безопасности электронных платежных систем ЦБ РФ закрепил несколько обязательных требований:
Интересно, что регулятор не требует от банка обязательного информирования о DDoS-атаках и других ситуациях, касающихся защиты системы обработки платежей самого финансового учреждения. Но все рекомендации, связанные с защитой от несанкционированных переводов и вмешательством в работу ЭПС любого уровня, как национального, так и международного, должны выполняться неукоснительно. Банки заявили после выхода рекомендаций о глобальном изменении правил игры, ранее они не сообщали о хакерских атаках по двум причинам:
Сейчас меры воздействия на банки за отказ от соблюдения требований регулятора более жесткие, чем просто штрафы. Одна из них отключение финансовой организации-нарушителя от системы банковских срочных платежей (БЭСП). Размер штрафа, согласно ст. 74 Закона «О Центральном Банке», может составить до 1 % от уставного капитала банка. Например, размер штрафа для такого финансового учреждения, как Сбербанк, может составить 670 миллионов рублей.
Положение 672-П
В рамках регулирования деятельности банков по обеспечению безопасности для клиентов электронных платежных систем Банком России в апреле 2019 года издано Положение № 672-П «О требованиях к защите информации в платежной системе Банка России». Основным посылом сообщения стала обязанность банков к середине 2021 года полностью выполнить требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций». Проверка выполнения действий этого и предыдущего Постановления № 552-П происходит во время проведения ежегодных аудиторских проверок и проверок ЦБР, а дополнительной гарантией соблюдения требований становится включение их в качестве обязательств кредитной организации в ее договор с Банком России.
Помимо требований к обеспечению информационной безопасности электронных платежных систем, Стандарт содержит требования по обеспечению защиты данных, пересылаемых в рамках программы передачи финансовых сообщений (СПФС).
Требования ГОСТа касаются защиты двух механизмов отправления платежей:
Сформулированы требования к размещению объектов информационной инфраструктуры при осуществлении переводов денежных средств. Необходимо использовать разные сегменты сети и АРМ для организации формирования электронных сообщений о переводе средств и для контроля реквизитов этих сообщений. Кроме того, нужно следующее:
Каждый участник системы переводов в целях обеспечения защиты электронных платежных систем обязан принять пакет внутренней организационно-распорядительной документации, описывающий:
Нормы Постановления обязывают банки усилить внимание к собственным пробелам системы защиты, отказаться от самостоятельно разработанного программного обеспечения и перейти на единую системную концепцию безопасности платежей.
Яндекс.Деньги и другие платежные системы
Российские пользователи электронного кошелька Яндекс.Деньги часто интересуются, как именно устроены меры защиты платежей в ней. Платежный сервис использует следующие алгоритмы защиты:
В качестве одного из дополнительных решений введен код протекции, только при знании его получатель может забрать перевод, совершенный через оператора. Это позволяет избежать риска фишинга и отправки платежей неподтвержденным получателям.
Платежные приложения
Отдельным вопросом безопасности электронных платежных систем становится защита платежных приложений, таких как Apple Pay и Samsung Pay. ЦБ РФ, вводя регулирующие правила для иностранных операторов, часто входит в конфликт с уже разработанными и действующими нормами безопасности, чем может затруднить доступ российских граждан к этим ресурсам. Но своевременная реакция профессионального сообщества помогла внести изменения в новые регуляторные требования, и сервисы остались доступными для российских граждан.
Создаваемая система быстрых платежей (СБП), начало действия которой приходится на 28 января 2019 года, позволяющая отправлять деньги по номеру телефона, также имеет свои правила безопасности, утверждаемые регулятором. Для подключения к СБП от кредитных и финансовых организаций требуется:
Сейчас в СБП уже зарегистрировалось более 30 участников, среди них 10 крупнейших банков страны. За промедление в подключении к СБП Сбербанк был оштрафован на 1 миллион рублей, что стало важным индикатором для других участников рынка. Центробанк предупредил операторов платежей о существовании рисков атаки с целью сбора персональных данных клиентов. В письме, разосланном банкам, сообщается, что основным направлением атаки стал «автоматизированный или ручной процесс сбора информации о клиентах банков – участников СБП. Злоумышленник, используя имеющиеся данные идентификатора клиента (номер его мобильного телефона), теперь может получить дополнительную информацию об этом человеке, например, имя, отчество и первую букву фамилии, а также названия нескольких банков, где у него есть открытые счета». Полученные номера телефонов злоумышленники могут использовать для организации массовых звонков клиентам банков с целью получения паролей от личных кабинетов и других данных.
Центробанк предлагает следующий механизм борьбы с угрозой: Национальная система платежных карт, являющаяся операционно-клиринговым центром СБП, проводит круглосуточный мониторинг операций и блокирует в системе номера подозрительных телефонов, с которых осуществляется массовый перебор. Помимо блокировки номеров ЦБ будет сообщать банкам об IP-адресах, с которых пытался осуществляться массовый перебор.
От принципа работы платежной системы и модели угроз зависят и способы защиты. Реализация рекомендуемых регулятором мер безопасности должна привести к повышению защищенности электронных платежей, снижению количества несанкционированных финансовых трансакций и списаний с банковских карт. Безопасность средств граждан целиком и полностью зависит от готовности банков и операторов выполнять требования регуляторов.
Общие рекомендации по защите платежей
Кражи средств с банковских карт происходят все чаще. Обман происходит как в интернете, так и в обычной жизни. С каждым годом его становится сложнее распознать из-за появления новых мошеннических схем. Чтобы обезопасить себя от кражи, соблюдайте общие рекомендации по платежам.
Банковские карты
Не храните все деньги на одной банковской карте. Основные средства храните на накопительном счете в банке. На карте держите средства для повседневных расходов. Для онлайн-платежей стоит завести отдельную карту.
Установите дневной лимит снятия. Тогда в случае кражи злоумышленник не сможет снять всю сумму.
Никому не сообщайте PIN-код, код подтверждения операции из SMS или CVC/CVV2-код карты, а также срок ее действия и на кого она зарегистрирована.
Запомните свой PIN-код, но никуда не записывайте. Меняйте его раз в три месяца. Так его сложнее будет украсть.
Во время ввода PIN-кода прикрывайте клавиатуру ладонью другой руки.
Не передавайте карту в чужие руки (например, официанту для оплаты счета). Ее могут сфотографировать или переписать с нее данные без вашего ведома.
Если вы потеряли карту или подозреваете, что ее данные стали доступны посторонним, немедленно заблокируйте ее, а затем перевыпустите.
Для получения перевода достаточно сообщить только номер карты, другие данные не нужны. Не отправляйте фотографии карты, лучше перепишите ее номер вручную.
Для операций через банкомат используйте филиалы банков или специальные круглосуточные отделения. Через банкоматы неизвестных банков или фальшивые банкоматы (обычно установлены на улицах, в сомнительных офисах и торговых центрах) мошенники легко могут получить доступ к вашему счету, скопировав данные карты с помощью специальных устройств:
Прежде чем вставить карту, осмотрите банкомат на наличие таких устройств. Как правило, они плохо или неаккуратно закреплены (видны следы клея, сколы), неплотно прилегают к поверхности банкомата, могут отличаться по цвету или размеру.
Онлайн-банки
Вопросы и проблемы
На многих современных мобильных устройствах есть специальные программы, которые помогут найти его по GPS. Если телефон не удается найти, заблокируйте и удалите данные. Действуйте быстро, чтобы злоумышленник не успел воспользоваться вашими банковскими данными.
Подробнее о действиях в случае потери или кражи:
Сервис безопасных расчетов: что это и для кого
Сервис безопасных расчетов ДомКлик — это удобный дистанционный способ расчетов за недвижимость между покупателем и продавцом. Он гарантирует сохранность денег и позволяет рассчитаться за недвижимость без дополнительных визитов в офис банка.
Для чего нужен сервис
Продавцу важно получить деньги, а покупателю — стать владельцем недвижимости, за которую он заплатил. Сервис безопасных расчетов гарантирует соблюдение условий договора для каждой стороны. Теперь участникам сделки не надо будет беспокоиться о сохранности денег.
Как работает сервис
Почему это удобно покупателю
✅ Не нужно беспокоиться о сохранности денег и безопасности передачи их продавцу
✅ Не нужно снимать наличные в кассе, пересчитывать и вносить в банковскую ячейку
✅ Все документы оформляются один раз в офисе банка, дальше всё происходит онлайн, а участники сделки получают уведомления
✅ Если сделка по каким-либо причинам не состоится, деньги вернутся на счет покупателя в полном объеме
Почему это удобно продавцу
✅ Продавцу не нужно приезжать за деньгами в банк, не нужно пересчитывать, достаточно на сделке сообщить реквизиты счета для перевода средств
✅ После подтверждения регистрации сделки в Росреестре деньги автоматически будут зачислены на счет продавца не позднее следующего рабочего дня
✅ Если счет продавца открыт в СберБанке, никаких дополнительных комиссий ни при перечислении, ни при снятии денег со счета не взимается
✅ Покупатель не сможет забрать деньги со счета без согласия продавца
Сколько ждать перевода денег
В среднем, с момента оформления услуги и до получения денег продавцом проходит 7 дней. Этот срок напрямую зависит от срока регистрации сделки в Росреестре.
С момента подтверждения регистрации от Росреестра, как правило, деньги поступают на счет продавца в течение одного рабочего дня.
Например: мы получили от Росреестра информацию о том, что сделка зарегистрирована в понедельник в 19 часов. Мы отправим деньги на следующий рабочий день — то есть во вторник.
После того, как мы отправили деньги, срок их получения зависит от банка, в котором открыт счет продавца. Деньги придут быстрее, если счет продавца открыт в СберБанке — обычно в этом случае они приходят через 2-3 часа.
Иногда по техническим причинам подтверждение от Росреестра приходит не сразу после регистрации, в таком случае срок ожидания денег может быть увеличен, но, как правило, не превышает 3 дней.
Как узнать, что деньги отправлены и зачислены
Участники сделки получают на электронную почту платежные поручения, подтверждающие перевод средств.
Как подключить безопасные расчеты к вашей сделке
Если вы покупаете недвижимость в ипотеку, сообщите менеджеру о желании использовать сервис. Он подготовит необходимые документы и оформит услугу на сделке за 15 минут.
Если вы риелтор, создайте новую сделку в личном кабинете ДомКлик и выберите безопасные расчеты из списка перед записью.
Если у вас сделка без ипотеки, для успешного и правомерного проведения сделки закажите экспертное сопровождение под ключ — безопасные расчеты не предоставляются отдельно.
Сколько стоит сервис безопасных расчетов
Цена услуги — 3 400 рублей.
Какие документы нужны для оформления
Для каких сделок подходит
Для сделок купли-продажи с ипотекой или без ипотеки:
✅ Квартир в новостройках
✅ Квартир, комнат и долей на вторичном рынке
✅ Земельного участка
✅ Дома с земельным участком на вторичном рынке
✅ Машино-мест, кладовых помещений и коммерческой недвижимости — только для сделок без ипотеки на первичном рынке
✅ Участники сделки — совершеннолетние граждане РФ
✅ Продавец — физическое или юридическое лицо
✅ Сервис может использоваться только в прямых сделках, в альтернативных сделках использовать его нельзя
✅ Не более двух получателей денежных средств в договоре на оказание услуги
Как сделать регистрацию еще проще
В этом случае вам достаточно будет прийти в банк только один раз — на сделку, а дальше обо всем мы позаботимся сами: отправим документы на регистрацию в Росреестр в электронном виде, а после регистрации зачислим деньги на счет продавца и пришлем полный комплект документов на электронную почту.
Кроме того, клиенты СберБанка могут получить скидку на ставку 0,3% по ипотечному кредиту при использовании сервиса электронной регистрации.