E-commerce: Новые технологии повышения безопасности онлайн-платежей

Согласно данным опроса, проведенного специалистами Лаборатории Касперского еще несколько лет назад более трети(37%) респондентов в России никогда бы не стали использовать мобильные устройства для осуществления онлайн-транзакций, например, для оплаты товаров в интернет-магазинах. Кроме того, четверть опрошенных россиян (25%) опасаются использовать смартфоны и планшеты для управления своими финансами в системах онлайн-банкинга. Лишь 9% владельцев планшетов и 14% пользователей смартфонов не боятся вводить какую-либо финансовую информацию с помощью мобильных устройств.

Между тем, благодаря тому, что все больше подключенных устройств используются как платежные инструменты, электронная коммерция сегодня стала наиболее стремительно растущим сегментом безналичных платежей.

Каждый участник рынка электронных платежей создает собственную модель безопасности, в которой можно выделить две составляющие:

∙             Выстраивание системы защитных механизмов

∙             Организация взаимодействия с клиентами (техподдержка, соцсети).

К компании QIWI, как партнеру Visa, предъявляются повышенные требования безопасности, не говоря об обязательном соблюдении международных стандартов. QIWI проводит регулярные аудиты соответствия стандартам PCI DSS, ISO27002, утвержденные крупнейшими платежными системами.

В QIWI действует сложная модель мониторинга опасных для платежной сети событий. Она включает систему безопасности и управления событиями (SIEM) и центр безопасности (SOC). Каждый механизм работает и поддерживается непрерывно. SIEM в режиме нон-стоп анализирует сообщения, поступающие от разных источников. Определяет уровень опасности, ложная тревога или реальная, выделяет наиболее угрожающие и оповещает операторов системы о сложившихся инцидентах и элементах сети, подверженных атакам. Механизм действия SOC легко описать двумя словами: объединишься – победишь. Он консолидирует защитные регламенты и процессы и позволяет максимально оперативно и эффективно реагировать на потенциально опасные события.

Критически важные внутренние ресурсы QIWI защищены с помощью усовершенствованной системы предотвращения вторжений (IPS). Все веб-приложения защищены системой обнаружения атак и уязвимостей Wallarm, установленной в режиме блокировки, гарантирующей запрет на все несанкционированные или неоднозначные действия. Механика SSL-pinning, применяемая в мобильных приложениях QIWI, позволяет обезопасить пользователей от перехвата трафика, например, в Wi-Fi-сетях.

Что касается ритейлеров, то объем инвестиций магазина в обеспечение безопасности зависит от его оборотов и специфики работы, — комментирует Виктор Достов, председатель Совета Ассоциации участников рынка электронных денег и денежных переводов. Для большинства интернет-магазинов должно быть достаточно заключить договор с банком-эквайрером, который поддерживает технологию 3D secure. Для крупных продавцов действительно может быть актуально внедрение дополнительных механизмов защиты – например, анализа транзакций, соответствия IP-адреса покупателя месту выпуска карты и так далее. Эти решения предоставляются некоторыми процессинговыми центрами на договорной основе.

Любая несанкционированная операция обычно наносит ущерб всем сторонам, говорит Виктор Достов. Мобильные платежи здесь ничем не отличаются. То, кто несет ответственность за неавторизованную операцию, зависит от каждого конкретного случая. Как правило, ответственность возлагается либо на торговую точку (если она не обеспечила должный уровень осмотрительности), либо на клиента (если он не соблюдал правила безопасности, предусмотренные договором).

Среди весьма надежных технологий Виктор Достов называет NFC. Она обеспечивает, в целом, такой же уровень безопасности, что и при контактных операциях с использованием чипованной карты. Иногда упоминают об уязвимостях бесконтактного считывания таких карт – например, в транспорте. Но это явление определенно не массовое, хотя бы потому, что мошеннику нужно иметь с собой бесконтактный терминал, оформленный на конкретную торговую точку.

Для бесконтактных карт установлен небольшой лимит операций, которые могут совершаться без введения пин-кода. Это делается для дополнительного удобства клиентов. Но даже если клиент не успел заблокировать карту и ей кто-то успел воспользоваться, банки обычно эти небольшие суммы компенсируют.

Безусловно, безопасность платежей повышается за счет токенизации, поскольку она позволяет фактически продублировать карту в мобильном телефоне, при этом реквизиты карты не компрометируются. При необходимости токен можно отозвать, а карта будет продолжать действовать. С этой точки зрения, токенизация, безусловно, способствует повышению безопасности.

Специфику онлайн-платежей с точки зрения их секьюритизации прокомментировал руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов:

«Наша статистика за 2016 год говорит, что в 77% процентах случаев злоумышленник сможет проникнуть в инфраструктуру через уязвимости веб-приложений, а значит, потенциально будет иметь шанс на компрометацию всех карточных данных клиентов», — говорит руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов.

По словам эксперта, крупные европейские и американские ритейлеры регулярно заказывают тесты на проникновение. Однако российские ритейлеры еще в самом начале пути построения безопасности, и среди заказчиков тестирований на проникновение и других работ по анализу защищенности приложений, их отрасль в меньшинстве.

Технологии бесконтактных платежей с помощью смартфонов типа Apple Pay во многом напоминают платежи бесконтактными картами с технологиями Visa PayWave или Mastercard PayPass. И в том, и в другом случае на терминал посредством NFC передаются некие данные, позволяющие ему списать с вашего счета деньги.

Две основные проблемы безопасности при оплате бесконтактными картами – это, как правило, отсутствие необходимости подтверждения PIN-кодом операции на сумму до 1000 рублей (в завимости от настроек банка-эмитента) и невозможность отключить NFC-чип.

Первая проблема заключается в том, что для оплаты с помощью бесконтактных карт payWave/PayPass в ряде случаев не нужно вводить PIN-код. В России, например, чаще всего устанавливается лимит в 1000 рублей на транзакцию, если сумма выше − терминал потребует ввода кода или подписи владельца карты (зависит от банка и карты). Однако данное ограничение меняется, стоит только выехать за границу: в Европе такие операции зачастую ограничены лимитом в 25 евро, в Великобритании – 30 фунтами, а в США не должны превышать 15 долларов.

При этом иногда по желанию клиента такая сумма может быть уменьшена. Технологии вроде Apple Pay/Samsung Pay лишены данной проблемы − все транзакции нужно подтверждать (либо отпечатком пальца, либо вводом PIN-кода на телефоне).

Вторая проблема – NFC-чип пластиковой карты всегда активен. Поэтому для того, чтобы как минимум получить список последних транзакций по карте (а при некоторых условиях и вовсе совершить попытку несанкционированной транзакции) злоумышленнику достаточно поднести к ней устройство, имитирующее работу POS-терминала. Причем расстояние между картой и таким считывающим устройством в обычных условиях составляет буквально 3−5 сантиметров, однако применение дополнительных технологий позволяет «разогнать» его до нескольких десятков сантиметров.

Смартфоны, опять же, не подвержены этой угрозе: без подтверждения отпечатком пальца или PIN-кода, телефон не отправит карточные данные, если к нему поднести терминал. Помимо этого, главное преимущество данных платежных сервисов в том, что карточные данные передаются только в самом начале использования сервиса — при добавлении в него карты. Далее платежная система использует уникальные «токены» (длинный набор символов) или виртуальную карту для авторизации платежа на терминале.

Однако Apple Pay можно воспользоваться не только в магазине, но и в самом телефоне. А это означает, что телефон с модифицированной или взломанной прошивкой (jailbreak) ставит все платежи под угрозу, поскольку злоумышленник может вынудить пользователя совершить оплату с помощью методов социальной инженерии, взломать телефон через недоверенную сеть Wi-Fi, или установить вредоносное мобильное приложение. Пользователи ОС Android также любят взламывать прошивку: «улучшая функциональность» телефона, они при этом снижают уровень защищенности платежей.

Для обеспечения безопасности платежей ритейлеру необходимо позаботиться о собственной безопасности и снизить потенциальные риски своих клиентов, используя защищенное соединение HTTPS, проводя подтверждение транзакций с помощью системы 3DSecure, а также защищая карточные данные. В случае сохранения карточных данных на стороне сервера необходимо использовать стойкое шифрование. Также организациям рекомендуется регулярно проводить тесты на проникновение, — заключает руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов.