Безопасность при проведении онлайн-платежей: что учитывать

В третьем квартале 2024 года мошенники украли у россиян более 9 миллиардов рублей в основном за счёт методов социальной инженерии, фишинговых атак и вредоносного программного обеспечения. В этой статье мы поговорим о возникающих рисках при проведении онлайн-платежей и о мерах безопасности, которые можно принять.

Основные риски интернет-платежей

При проведении онлайн-платежей можно выделить такие риски:

Фишинг. Одна из наиболее распространённых и эффективных форм кибермошенничества. Количество фишинговых атак в России в 2024 году выросло на 425%. Злоумышленники создают поддельные сайты или отправляют сообщения, имитирующие официальные. Пользователь, думая, что находится на официальном сайте, вводит свои личные данные, после чего злоумышленники получают доступ к его аккаунту и/или банковской карте.

Вредоносное программное обеспечение. При помощи вирусов и специальных программ, которые записывают нажатия клавиш на клавиатуре (кейлогеров) мошенники могут получать доступ к личным данным пользователей. Также распространены атаки через публичные Wi-Fi-сети: этим способом злоумышленники могут перехватывать незашифрованные данные. Компания «Лаборатория Касперского» приводит статистику, согласно которой только во втором квартале 2024 года было отражено более 664 миллионов атак с различных интернет-ресурсов и обнаружено более 113 миллионов вредоносных ссылок.

Ошибки со стороны пользователя. Человеческий фактор остаётся одной из главных причин «успешных» кибератак в России. Невнимательность или недостаток знаний могут привести к потере денежных средств. Согласно исследованию компании Positive Technologies, по итогам третьего квартала 2024 года социальная инженерия (метод манипуляции людьми с целью получения доступа к информации) оставалась наиболее популярным методом для атак как на организации (50%), так и на частные лица (92%).

Методы защиты интернет-платежей

Банки, провайдеры и сами организации стараются защитить ваши данные от кибератак и регулярно улучшают методы защиты. Рассмотрим самые основные.

Шифрование данных. Шифрование данных используют для защиты онлайн-платежей, преобразуя конфиденциальную информацию (данные банковских карт, персональные данные, детали транзакций) в защищённый код, который могут расшифровать только авторизованные стороны. Для этого применяют такие технологии, как Transport Layer Security (TLS) и Secure Sockets Layer (SSL). TLS и SSL — это криптографические протоколы для безопасной связи. SSL — это более новая технология, которая пришла на смену TLS, но принцип работы у них один и тот же. Принцип работы этих протоколов изображен в таблице ниже.

Такие протоколы позволяют максимально безопасно передавать информацию от клиента к серверу и обратно и снижают риски кражи или взлома.

Многофакторная аутентификация (MFA). Это концепция защиты, требующая как минимум двух способов подтверждения данных учётной записи, чтобы установить подлинность личности и разрешить доступ в систему. Например, некоторые сервисы для доступа в личный кабинет требуют не только логин и пароль, но ещё и подтверждение через СМС-код.

Образование пользователей. Одной технической защиты недостаточно, чтобы уберечь пользователей от злоумышленников. Зачастую слабым звеном становится не система безопасности банка/интернет-магазина, а сам пользователь. Поэтому банки регулярно повышают осведомлённость клиентов о современных способах кражи денег. Они рассылают информацию о правилах безопасности, проводят образовательные онлайн-мероприятия, а также размещают разъяснительные материалы на своих сайтах и в приложениях.

Правила безопасного интернет-шопинга

Чтобы максимально обезопасить себя при проведении онлайн-платежей, необходимо соблюдать ряд рекомендаций.

Покупайте только в проверенных интернет-магазинах. Все крупные торговые сети имеют свои онлайн-площадки для продажи товаров. Если магазин малоизвестный, стоит изучить отзывы. Если их нет, сайт магазина может оказаться однодневкой, и вы не получите заявленный товар. Если отзывы есть, но они только положительные, также стоит проявить бдительность.

Убедитесь, что вы попали на официальный сайт. Мошенники часто используют копии официальных сайтов, чтобы украсть ваши данные. Прежде чем осуществлять покупку, убедитесь, что вы находитесь не на фишинговом сайте. Сделать это можно несколькими способами.

Проверьте правильность написания адреса сайта в адресной строке браузера. Например, вместо mvideo.ru может быть написано nvideo.ru. Одна буква может стоить вам потери денег.
Проверьте, защищено ли подключение к сайту. Фальшивые сайты, как правило, имеют незащищённое подключение. Проверить наличие защищённого подключения можно двумя способами: по значку в виде замочка в начале адресной строки вашего браузера и префиксу https:// (с буквой s на конце, а не просто http) перед адресом сайта.

Если же вы обнаружили, что попали на фишинговый сайт, немедленно покиньте его и ни в коем случае не вводите свои данные. Если уже ввели, например данные банковской карты, обратитесь в банк и попросите её заблокировать. После этого оформите новую карту.

Используйте для онлайн-платежей отдельную виртуальную карту. Банки позволяют своим клиентам открывать несколько виртуальных карт одновременно и чаще всего бесплатно. На неё лучше положить столько денег, сколько необходимо для оплаты покупки. Для того чтобы мошенники не смогли украсть с неё средства.

Оплачивайте только через кассу и сохраняйте чеки. Если интернет-магазин просит оплатить товар переводом физическому лицу, а не картой или по Системе быстрых платежей, задумайтесь, стоит ли вообще совершать покупку. Согласно закону «О применении ККТ» магазины обязаны проводить все платежи через кассу и отправлять на почту покупателям электронные чеки. Поэтому, если вы оплатите переводом физическому лицу, предъявить претензии магазину будет сложно. По этой же причине при оплате по карте или СБП всегда указывайте свою почту для получения электронного чека.

Не проводите никаких финансовых операций с общественного Wi-Fi. По возможности старайтесь вообще не пользоваться общественным Wi-Fi в ресторанах, аэропортах, кафе и других заведениях. Существует большое количество способов, с помощью которых злоумышленники могут украсть ваши данные, отправленные по беспроводной сети общего доступа.

Защищайте данные уникальным паролем и методом многофакторной аутентификации. Доступы ко всем аккаунтам, особенно с финансовыми данными, рекомендуется защищать надёжным паролем и методом многофакторной аутентификации. Надёжный пароль должен содержать в себе заглавные и строчные буквы, цифры, а также специальные символы ($,%,# и т. д.). Чем длиннее пароль, тем его сложнее взломать. Все пароли желательно хранить на бумажном носителе или в специальной программе для хранения паролей, например Dashlane, LastPass или Kaspersky Password Manager.

Установите хороший антивирус. Надёжный антивирус поможет распознать на компьютере или смартфоне вредоносное ПО, защитит от перехода по заражённым ссылкам и предупредит вас при переходе на сайт с незащищённым подключением. Рекомендуется скачивать антивирус только с сайтов официальных поставщиков (Kaspersky Total Security, McAfee, Malwarebytes).

В крайнем случае — верните деньги через банк. Если вы оплатили картой на сайте магазина, он прислал бракованный товар (или не прислал совсем) и не выходит на связь, вы можете обратиться в банк и отменить платёж. Для этого свяжитесь с представителем банка, опишите подробно ситуацию и при наличии предоставьте чек об оплате. Банк со своей стороны проведёт расследование и, если платёж действительно был неправомерным (например, если магазин списал деньги, а товар не прислали), вернёт вам деньги. Клиенты Сбербанка в такой ситуации могут обратиться по номеру 900 или +7 495 500-55-50, в чате Сбербанк Онлайн или непосредственно в офисе банка. Все способы связи с банком можно посмотреть на официальном сайте.

Коротко

При проведении онлайн-платежей можно выделить три основных риска: фишинг и мошенничество, вредоносное ПО и ошибки со стороны пользователя.

Банки и другие компании стараются защитить данные пользователей при помощи шифрования, многофакторной аутентификации и повышения осведомлённости клиентов о мошеннических схемах.

Чтобы не потерять деньги при проведении онлайн-платежей, нужно соблюдать ряд требований: покупать только в проверенных магазинах, проверять официальный адрес сайта, не пользоваться общественными Wi-Fi-сетями, оплачивать только через кассу и защищать свои данные паролями и антивирусом.