УкраїнськаУКР
EnglishENG
PolskiPOL
русскийРУС

Как защитить мобильные платежи от мошенничества

Как защитить мобильные платежи от мошенничества

Еще пять лет назад шоппинг в интернет-магазине или оплата билетов в кино во Всемирной Паутине для многих из нас казались событиями фантастическими. И вот уже сегодня такие виртуальные платежи становятся уже делом обыденным.

Видео дня

С одной стороны, это неплохо, так как позволяет человеку шагать, как говориться, в ногу со временем – успевать расплачиваться по всем счетам, к примеру, коммунальным; пополнять, находясь в кафетерии, свой мобильный баланс; или не стоять лишний раз в очередях при покупке понравившейся вещицы.

Однако, с другой стороны, мошенников такая доверчивость и наивность лишь только радует, ведь на фоне совершенствования виртуальных платежей развиваются и мастерство краж персональных данных – банковской информации – с мобильных телефонов, планшетов, смартфонов.

Лучше знать в лицо

Давайте же разберемся с вами, какие виды мобильных платежей нынче имеют не только большое будущее с точки зрения развития рынка виртуальных финансов, но и по причине пристального внимания со стороны мошенников, воришек и хакеров.

Первое. В последнее время все большую популярность набирают бесконтактные мобильные платежи (передача информации производится на расстоянии 1-10 см), действующие на базе технологии Near Field Communication (NFC). Напомним, "Обозреватель" уже подробно рассказывал об этой системе в рамках планов известных лидеров мобильного рынка объединиться и создать единые платежные системы на основе NFC. К примеру, не так давно такие крупнейшие телекоммуникационные компании как AT&T, T-Mobile и Verizon решили создать свою собственную платежную систему Isis. Поддерживают подобные инициативы и крупнейший финансовые системы наподобие Visa, которая в партнерстве с Samsung намерена популяризировать технологию NFC.

По подсчетам экспертов, если система мобильных платежей на основе NFC будет и в дальнейшем развиваться столь стремительными темпами, это приведет к тому, что уже в 2018 году в Европе через подобные виртуальные сервисы будет проходить порядка 49,6% от всего объема безналичных транзакций. Кроме того, как прогнозируют аналитики, через пять лет в странах ЕС может продаваться около 38% мобильных аппаратов, оснащенных поддержкой технологий Near Field Communication.

Правда, столь радужные планы поклонников NFC может омрачить тот факт, что далеко не все акулы мобильного рынка поддерживают идею бесконтактных мобильных платежей. Вернее, некоторые крупнейшие интернет- и технологические компании хотят создать, развить и, конечно же, заработать на собственных аналогичных разработках. Хорошим примером в данном случае может служить корпорация Apple, которая не захотела оснастить свой iPhone5 технологиями NFC и вместо этого пытается довести собственные аналоги бесконтактных мобильных платежей.

Второе. Хорошей альтернативой бесконтактным платежам на основе NFC могут стать системы, работающие на базе QR-кодов. Эта технология представляет собой матричный код или двухмерный штрих-код в виде квадратиков. К примеру, мобильные платежи с применением такого кодирования осуществляются просто. На смартфоне пользователя устанавливается необходимое мобильное приложение, которое привязывается к той или иной банковской карте. И когда человек хочет оплатить какой-либо товар или услугу, в торговой точке, поддерживающей систему QR-кодирования, он должен предъявить этот QR-код, уже сгенерированный программой. После того, как транзакция одобрена, чек идет на электронку пользователя, и вся информация хранится в личном кабинете абонента.

В принципе, в таком коде не хранится какой-либо важной информации, но такое кодирование в данном случае является дополнительным фактором безопасности, как чип, магнитная лента и прочие атрибуты идентификации на пластиковой банковской карте.

Надо отметить, что такие системы мобильных платежей уже давно распространены в Японии, и уже становятся популярными в Северной Америке и Европе. Тем более, что терминалы для считывания "квадратных" кодов не так уж и дороги для владельцем магазинов, ресторанов, АЗС, и других видов обслуживания.

Третье. Давно популярны уже ставшие традиционными мобильные платежи на основе смс-подтверждения. Об этой системе, когда производится оплата виртуальных игр посредством списания определенной суммы денег с баланса мобильного телефона, наверное, известно все уже давно. И лишний раз подробно останавливаться на этом виде виртуального банкинга по принципу: "Что это такое и с чем его едят?" - не имеет смысла.

Четвертое. Еще одной неплохой альтернативой в осуществлении безналичных платежей является использование так называемых мобильных кошельков. Подобные собственные разработки уже давненько предлагают многие платежные системы с мировым именем, например, PayPal. Такие сервисы имеются также и у банков. Системы мобильных кошельков популярны среди населения благодаря тому, что позволяют платить за различные услуги прямо посредством мобильника, к которому, на базе мобильного приложения, привязана банковская карта (или несколько счетов) владельца. Кроме того, можно осуществлять и различные денежные переводы на счета других абонентов.

Пятое. Мобильные сканеры - технология, которая также может иметь неплохое будущее. Данный вариант мобильных платежей вполне прост в реализации. Для осуществления транзакции нужна банковская карта и мобильный сканер (компактный считыватель для пластиковой карты), который присоединяется к мобильным аппаратам на базе iOS или Android, куда также устанавливается необходимое программное обеспечение. Таким образом, обычный смартфон или планшет становится простым, удобным и мобильным кассовым аппаратом.

Надо отметить, что эта система уже пользуется интересом среди малого бизнеса за рубежом. В частности, хорошим примером мобильного сканера может послужить идея основателя Twitter Джека Дорси - платежная система Square.

Шестое. Различные сервисы для реализации мобильных платежей, на базе самых разнообразных технологий, сегодня предлагают мировые финансовые системы, в частности, Visa, MasterСard, а также крупные банковские учреждения и даже известные социальные сети. К примеру, как уже подробно рассказывал "Обозреватель", собственную систему виртуальных платежей недавно внедрил Facebook.

Как видим, сейчас рынок мобильных платежей представляет довольно широкий выбор виртуального банкинга и любая из описанных выше технологий не только конкурентноспособна, но и в любой момент может вырваться вперед, если в этом будут заинтересованы основные игроки отрасли, готовые инвестировать в развитие этих разработок многомиллиардные инвестиции. Однако, несмотря на столь радужные перспективы бесконтактных платежей, не стоит все же забывать о том, что виртуальный криминалитет - мошенники, воры и хакеры – тоже не дремлют и с каждым днем разрабатывают все более хитроумные системы кражи персональных данных абонентов, особенно – финансовой информации.

Мошенники не дремлют

В свете столь реальной опасности отсутствия железных гарантий по сохранению персональных данных хотелось бы рассказать о некоторых вариантах мошенничества, которые хотя и просты в своем идейном исполнении, но на эти уловки попалось немало владельцев смартфонов и банковских карт.

Одним из простых способов мошенничества является система "100 вместо 10". Если говорить коротко, то этот способ обмана заключается в следующем: на ваш номер приходит, к примеру, 10 гривен. Хорошая новость, не правда ли? Но через несколько часов вам звонят и говорят, что ошибочно пополнен не тот телефон на 100 гривен, поэтому озвучивают просьбу вернуть деньги на такой-то мобильный.

Как ни странно, но часто люди ведутся на такие разводы и платят деньги, так как мошенники угрожают, в случае чего, пожаловаться мобильному оператору, обратиться в суд и т.д.

В принципе, здесь может действовать разные суммы, например, 30 против 300. Суть мошенничества - ошибка в одном нуле.

Далее – заражение мобильного телефона трояном посредством рассылки смс или ммс. Нельзя сказать, что такой вид мошенничества является чем-то новым. Однако не далее как летом-2013 аналитики "Лаборатории Касперского" обнаружили новый способ кражи денег у владельцев Android-смартфонов.

Надо отметить, что раньше под прицел обычно попадали владельцы так называемых премиум-номеров. В этой схеме смс-троянцы монетизировали средства путем отправления смски (одной или нескольких), стоимостью около 1000 рублей.

Сегодня же этот вид мошенничества стал гораздо совершеннее. Теперь на дорогие мобильные номера рассылаются троянцы, задача которых выполнение инструкций, поступающих с удаленного командного сервера. "Данный троянец лишен самостоятельности и, связываясь с управляющим сервером, только транслирует команды злоумышленника, пересылая обратно результат. Специалистам "Лаборатории Касперского" удалось перехватить несколько поступивших команд. В ходе выполнения одной из них троянец отправил SMS со словом "BALANCE" на номер сервиса "Мобильного Банка" Сбербанка России. Получив ответ от банка с информацией о подключенном счете и его балансе, зловред передавал его преступникам. А для того, чтобы жертва как можно дольше оставалась в неведении, троянец тщательно заметает следы своей деятельности, перехватывая SMS и звонки со стороны банка", - делятся своими наблюдениями аналитики "Лаборатории Касперского".

По мнению экспертов, после такого "расследования" троянца мошенники попытаются осуществить перевод денег на свой мобильный номер, потом – на мобильный кошелек (или банковскую карту) и в итоге – обналичить.

И еще один пример мошеннических схем касается воровства денег компании из банковской системы, когда используется система мобильных сканеров. Здесь будет уместен пример ростовской компании "Интерно", которая специализируется на создании сайтов. Еще в 2011 году представители компании заявили, что их обокрали на сумму 890 тыс. рублей. Украдены эти деньги были со счета компании в ростовском филиале "Банка Москвы". Как тогда говорили в "Интерно", мошенники взломали систему мобильного эквайринга, которой пользовалась компания для осуществления платежей, и от имени компании передали в банк платежное уведомление, которые банком и было реализовано.

"На одном из компьютеров в компании был установлен закрытый ключ электронной цифровой подписи (ЭЦП), и именно этот компьютер и работал с системой в день, когда произошло списание средств с расчетного счета компании. Списание могло произойти удаленно с помощью троянской программы, которая сразу после проведения операции обрушила систему, что помешало компании быстро обнаружить пропажу денег. За это время деньги были обналичены", - отметили тогда в "Интерно".

Получается, что даже самые защищенные системы виртуальных платежей не защищены от мошенничества. В одних случаях люди теряют свои деньги по доверчивости, в других – из-за усовершенствования воровских схем и хакерских атак. Однако, как уже понятно, любая система мобильных платежей имеет свои слабые стороны, поэтому от потери персональных данных никто из нас не может быть застрахован.

А нужен ли риск?

Свою обеспокоенность по этому поводу в том или ином виде высказывают и эксперты. Вот что, например, аналитики говорят по поводу технологии NFC.

"Платежные решения на основе бесконтактной технологии NFC… имеют перспективы развития, но пока сталкиваются со сложностями, связанными с контролем элемента безопасности. Прорыв в этой области будет обеспечен достижением договоренностей между международными платежными системами Visa и MasterCard, …операторами связи и производителями мобильных телефонов", - отметил в одном из комментариев Андрей Смирнов, коммерческий директор "Деньги Online".

В свою очередь, гендиректор PayU Елена Орлова в одном из комментариев сказала, что инновационность технологии NFC несет в себе определенный риски: "Текущее применение пока еще далеко от совершенства, так как физические устройства - считыватели - не всегда обладают схожей функциональностью. Например, в ряде случаев отсутствует дополнительная авторизация в виде запроса пин-кода: это значит, что при утере этой картой могут воспользоваться злоумышленники, то есть для владельца карты этот способ пока не дает ощущения безопасности. Кроме этого, в ряде устройств действует ограничение на сумму, которую можно списать с карты по этой технологии, - 1000 рублей. При таком ограничении никакого развития мы не получим. Поэтому я голосую за добавление функциональности по безопасности, унификацию физических устройств-считывателей и за снятие ограничений на сумму транзакций".

Несколько советов не помешают

Между тем, эксперты также традиционно рекомендуют минимизировать риски кражи персональных данных на ваших смартфонах, которые можно потерять не только путем перехвата вашей информации мошенниками, но и при краже/потере вашего смартфона или мобилки. Поэтому желательно придерживаться следующих простых правил:

- покупать только легальные ("белые") мобильные телефоны, чтобы в случае потери или их кражи можно сразу было бы заблокировать аппарат, чтобы данными не воспользовался злоумышленник, а позже восстановить личную информацию;

- использовать в смартфонах и прочих аппаратах достаточно сложные коды, без автоматического "сохранения" в программах. Такой простой шаг позволит дополнительно гарантировать сохранность личных данных. При этом желательно, чтобы при наборе вами секретного пин-кода за вашими действиями не наблюдали посторонние любопытные глаза, ведь неизвестно – с какой целью потом будет реализовано это излишнее внимание?

- при передаче личной и важной информации в общественных местах не пользуйтесь открытыми и небезопасными вай-фай каналами, так как по ним может проводиться перехват данных.

- не ленитесь устанавливать и обновлять на аппарате хорошую антивирусную систему, чтобы можно было вовремя обнаружить вредоносные вирусы.

- не открывайте подозрительные ммс-уведомления, где могут храниться трояны. И осторожно проверяйте вашу электронную почту на мобильнике.

Надо заметить, это далеко не весь перечень полезных советов, которые помогут вам обеспечить сохранность ваших персональных данных. Для более детального ознакомления с подобными рекомендациями стоит почитать соответствующие материалы на сайтах или форумах.

Нужен контроль?

И все же на глобальном уровне проблему безопасности персональных данных на планшетах, мобильных телефонах, смартфонах можно решить только централизованно. И здесь есть только два пути. Первое – это постоянное усовершенствование систем защиты информации на мобильном оборудовании, в том числе, в части виртуальных платежей. Второе – налаживание жесткого контроля государства за ввозом, продажами и налогообложением на рынке мобильных телефонов, где обязательно должна производиться обязательная регистрация новых мобильников в базе идентификации IMEI Украинского госцентра радиочастот, а также должны быть созданы "белый" (легальный), "серый" (незарегистрированный) и "черный" (криминальный) списки мобильных телефонов, что помогло бы упорядочить правила работы правоохранительных органов.

Глядишь, если бы абоненты более серьезно, ответственно и внимательно относились к сохранению своих персональных данных, компании – к разработке новых систем защиты, а государство – к решению текущих проблем и усилению контроля рынка мобильных телефонов, не исключено, что мобильные платежи могли бы стать действительно безопасными, даже несмотря на постоянное усовершенствование мошеннических схем.