Боремся со страхом оплаты через интернет и защищаем наши «бабосики».

Из архива, дата первой публикации установлена очень приблизительно.

Добрый день, мой дорогой друг!

Сегодня мы будем бороться с одним из наших страхов, это страх оплаты покупки через интернет. Статья немного запоздала, covid-19 уже многих подстегнул воспользоваться инструментом удаленного заказа и доставки товара\услуги. Но covid-19 так же подстегнул и злоумышленников больше работать с физическими лицами, т.е. с нами. Так как у бизнеса денег не стало, а грабить кого-то нужно. Я постараюсь не нагружать статью техническими терминами, хочу просто рассказать почему ваши платежные данные защищают и каких ошибок не стоит допускать.

Я использую интернет для оплаты коммунальных услуг, покупки билетов на мероприятия и транспорт, заказываю одежду, еду, запчасти на самокат и прочее. Я стараюсь не сохранять данные карты на сайтах поставщиков услуг, но все же данные моей карты точно есть у Яндекса и Sony. Некоторые компании сохраняют данные карты для автопродления подписки, тут приходиться уступить, не по причине удобства в автопродленнии, а из-за условий, реквизиты карты сохраняются автоматически после проверки ее работы.

Первое что должен понять каждый человек — безопасность ваших данных зависит от вас. Не нужно посылать фото карты в группы, чаты, соц. сети. Эти данные могут случайно попасть злоумышленнику и вам поступит звонок от «представителей» банка. Они знаю как вас зовут, банк обслуживания и, в случае утечки фото карты, номер вашей карты и даты действия. Так же как и не стоит показывать билеты на авиа или концерты. В некоторых случаях по авиабилетам билетам можно узнать данные паспорта, что может помочь «представителю» банка убедить вас совершить требуемую операцию — рассказать код из смс. А еще могут узнать когда вас точно не будет дома, но это другая история.

Зачем интернет компаниям защищать ваши платежные данные?

1. Без вас и ваших платежей компании не будет.
2. Требования платежных систем к защите платежных данных ни кто не отменял, ведь без должной защиты этих систем так же не будет.
3. Законодательство и требования регулятора, в нашем случае ЦБ РФ.
4. Огромные штрафы за невыполнение, вплоть до закрытия бизнеса.

В России большое количество законов, заставляющих защищать данные пользователей, а банковский сектор у нас под особым присмотром. Вы можете сказать «Их никто не соблюдает» и от части будете правы, персональные данные защищаются не везде хорошо, и к моему сожалению мало кто читает что подписывает, а пишут в согласиях многое (как нибудь расскажу). Вы знаете что рынок безналичного расчета в России является одним из самых развитых в Мире, и первым в Европе? Это правда. Так же как и внедренные системы защиты онлайн платежей и вообще цифровизация банковского сектора. СМС информирования о платежах\переводах, коды подтверждения для осуществления операций (3D Security), или входа в личный кабинет.

Я недавно читал статью, как у жителей США злодеи получают данные кредитных карт и загоняют граждан в огромные долги, а человек узнает об этом из месячной выписки полученной по обычной почте. Удивительно, у человека даже не было шанса остановить грабеж и направить полицию по адресу. В случае же заказа товара в РФ, у злоумышленника ни чего не получилось бы, нужен код из СМС. А вот на сайтах магазинов Европы, Китая, Бразилии код из СМС, при оплате онлайн, не требуется, достаточно ввести все данные указанные на карте. Но даже в таком случае вы получите уведомление на ваш телефон о списании средств, что позволит вам остановить дальнейшее ограбление, отменить заказа и вернуть кровные.

При оплате в интернете, вводимые вами данные перехватить очень трудно. Не, вот так, перехватить легко, но прочитать практически невозможно, ведь для оплаты заказа и ввода платежных реквизитов карты вам предоставляется специальная, зашифрованная, страница сайта. Такие страницы предоставляют банки, либо платежные системы, которые контролирует ЦБ РФ. Конечно сейчас практически все сайты шифруют данные пользователя, но платежные реквизиты это особый случай, согласны? 🙂 Если, во время оплаты, вы все же дали согласие на сохранение платежных данных карты, то все данные зашифровываются так, что даже Администратор информационной системы не может их посмотреть, а списание средств возможно только в пользу данной организации, о чем вы обязательно узнаете получив уведомление от банка.

Вы можете предположить, что нас вводят в заблуждение, мол все там храниться и все сотрудники могут получить доступ к платежным реквизитам карт и… продать на черном рынке. Такие случаи были, причем у крупнейшего банка в РФ. Но, данных все же было маловато для снятия всех средств, по полученной информации до сих пор работают «кол-центры службы безопасности банка» пытаясь выманить у нас заветный СМС-код в телефонном разговоре. Я повторюсь немного в разъяснениях, но подумайте вот над чем. В организации присутствует штат работников, каждый отвечает за свои функции и каждый получает за это вознаграждение. В случае утечки данных платежных карт, попадут все — директор, руководители, администратор информационных систем, юристы, в общем ВСЕ без исключения, увольнения, штрафы, возможна и уголовная ответственность. Кому это нужно? Поэтому ВСЕ желают исключить подобные риски из своей жизни и банки с платежными системами помогают обычным магазинам в этом.

Есть еще новомодные штуки защиты — анализ ваших операций при помощи искусственного интеллекта, сложная тема с большим количеством ложных срабатываний, ведь системе нужно научиться определять какая из ваших операций легитимна, требуется время. Конечно обучение приводит к неудобству пользователя, нам приходиться звонить и доказывать легитимность операции, после чего идти в банкомат и делать какую-то операцию. Так было раньше у «зеленого», сейчас не знаю как, не пользуюсь. А в случае выполнения операций из вашего личного кабинете, может не сработать ни чего…

Поэтому, каждый из нас должен понять, безопасность зависит от нас, банки и государство нам помогает, но если вы помогли злоумышленнику, сообщив реквизиты карты или пароль из СМС, то вам уже не помогут… Поэтому стоит соблюдать элементарные правила и противостоять социальной инженерии:

1.     Храните данные карты в тайне.
2.     Личные кабинеты банков, электронные ящики для восстановления паролей, сайты с платежными данными должны иметь разные и надежные пароли доступа, например -Jkr*enT№0H16, чем сложнее и длиннее пароль, тем лучше!
3.     Храните пароли в тайном месте, лучше в голове.
4.     В случае звонка от сотрудников банка с требованием что-то им предоставить, «бросайте трубку» и перезвоните на официальной номер вашего банка. Данный номер есть в приложении банка или на официальном сайте.
5.     Не сообщайте ни кому пароли и СМС-коды подтверждения.
6.     Не устанавливайте какие-либо приложения по просьбе человека в трубке.
7.     Читайте и вникайте в уведомления от банка, в них описана совершенная операция и для чего требуется ввести пароль из СМС.
8.     Просят что то-сделать! Требуйте заблокировать карту! Не сообщайте СМС-код (Когда банк подозревает что транзакция сделана не вами, банк имеет право заблокировать счет без подтверждения пользователя). В таком случае вы сбережете свой счет.
9.     Вы всегда можете остановить разговор, «повесить трубку», зайти в банк-клиент и проверить ваш баланс, после позвонить по официальному номеру в банк. ВСЕГДА.
10. Старайтесь не переходить по ссылкам в непонятных электронных письмах, тем более когда вам обещают миллион.
11. В случае нарушения пункта 6 (любопытно же!), не соглашайтесь на установку чего то там (антивирус, приложение для просмотра и пр.).
12. Переводите средства по номеру карты\телефона только после получения обещанного.
13. Сделали что-то иначе из описанного выше — сам дурак.

Надеюсь информация окажется для кого-то полезной и предотвратит незаконное обогащение третьих лиц. Удачи!