Насколько безопасны электронные платежи

Совсем недавно на территории России впервые заработал сервис Apple Pay, позволяющий оплачивать покупки через терминал с помощью iPhone. Такая возможность пока есть только у держателей карт MasterCard от Сбербанка, однако скоро опция станет доступна для большинства пользователей. Аналогичный сервис доступен для некоторых пользователей системы Android. При этом безопасность подобных сервисов, да и в принципе электронных платежей, по-прежнему вызывает опасения — аналитический центр Falcongaze изучил историю и нынешнее положение вещей в этой сфере.

Основой работы платежных приложений от мобильных производителей является система NFC (Near Field Communication). Именно она используется в картах с бесконтактным способом оплаты — когда вы просто подносите свою карту к платежному терминалу, не используя чип или магнитную полосу, — и именно она есть в последних версиях смартфонов. В картах MasterCard такая технология называется PayPass, в картах Visa — payWave. Принцип работы сервиса Apple Pay и его аналогов: «копирование» карты пользователя в память телефона, после чего можно совершать платежи с использованием NFC, но без использования карты, так как в качестве физического идентификатора клиента теперь выступает его телефон.

Главным провозвестником эпохи цифровых платежей можно считать PayPal. С помощью этого сервиса пользователь мог создать виртуальный кошелек и отправлять деньги на другие кошельки либо расплачиваться с его помощью в интернет-магазинах. Благодаря компании, теперь не требовалось идти в отделение банка, чтобы отправить деньги за многие километры, а самые разнообразные покупки можно было совершать не выходя из дома за пару кликов. Сейчас, когда функции мгновенных оплаты или перевода денег встроены в практические каждое второе приложение на мобильном устройстве, это кажется не бог весть каким достижением, но в начале 2000-х PayPal совершила настоящую революцию. Однако при этом PayPal на протяжении всей своей истории регулярно становится источником новостей об уязвимостях. В результате использования одной из последних, например, можно обойти двухфакторную авторизацию и получить доступ к аккаунту за считанные минуты. И это далеко не единичный пример, просто самый свежий.

Сейчас самый распространенный вид электронных платежей — платежи с помощью банковских платежных карт. Благодаря удобству платежные карты вытесняют наличные, однако остаются весьма уязвимыми для злоумышленников. Несмотря на существование межбанковской системы проведения расчетов Swift — остается немало мест, в которых пользовательские данные (а, соответственно, и их деньги) могут быть скомпрометированы.
Деньги и данные могут быть похищены на разных этапах работы с электронными платежами, как непосредственно у пользователей, так и в результате взлома компаний, занимающихся обработкой платежей. Самый очевидный способ похищения денег — попытка сыграть на невнимательности или неопытности пользователей. Здесь широко распространены два метода: это создание фишинговых страниц, на которых невнимательные пользователи могут оставить данные банковских карт, и хищения на физическом уровне с помощью так называемых «скиммеров» — устройств, прикрепляемых злоумышленниками к банкомату и считывающих данные карт во время пользования им. Чтобы не попасться на удочку мошенников в таких случаях достаточно простой бдительности — не совершать покупки и платежи на подозрительных сайтах и обращать внимание на внешний вид банкоматов. Кроме того, при прочих равных лучше использовать платежную карту с чипом, а не магнитной полосой — в них обеспечен более высокий уровень безопасности и их труднее скопировать злоумышленникам.

Однако существуют инциденты, против которых непосредственно клиенты платежных систем бессильны. Например, одна из крупнейших краж в мире кибербезопасности была совершена вследствие заражения в 2013 году PoS-терминалов. PoS — от английского Point of Sales, «точка продаж» — устройство, используемое продавцами для совершения оплаты по банковским платежным картам. В результате инцидента злоумышленниками были похищены данные более 40 миллионов карт клиентов торговой сети Target. В случае компрометации PoS-терминалов никакие средства защиты непосредственно банковских карт не помогут.

Компрометация может происходить и на более высоких уровнях. Согласно законодательству Российской Федерации и положениям Центробанка, банковские и кредитные организации обязаны обеспечивать сохранность персональных данных и безопасность платежей, однако на практике госрегулирование не поспевает за злоумышленниками и зачастую является противоречивым. Становятся жертвами взломов как клиенты небольших региональных банков, так и федеральных финансовых организаций. По словам Германа Грефа, председателя правления Сбербанка, по итогам 2015 года в результате хакерских атак был нанесен ущерб в 5,5 млрд рублей.

Тем не менее, пытаться изображать луддитов и пользоваться исключительно наличными деньгами мало того, что не слишком практично, но уже и довольно поздно. Компания PayPal, упоминаемая в начале этого текста, начинала в 1998 году как стартап в гараже, а сейчас обладает капитализацией в два раза выше, чем у такого финансового гиганта со 150-летней историей, как Deutsche Bank. Обойтись без платежных карт и интернет-банков в современных условиях тоже нетривиальная задача — успешно существуют банки, в том числе российские, у которых вообще нет банкоматов и отделений, только доставляемые по почте банковские карты и мобильный и интернет- сервисы. И подобное проникновение цифровой среды в денежные отношения повсеместно. Поэтому единственное, что остается обычному человеку, — оставаться внимательным к сервисам, которыми он пользуется, и надеяться на улучшение ситуации в будущем.