В мире интернет-банкинга, электронной коммерции и виртуальных валют есть свои небезопасные места. Список финансовых угроз длинный – банковские трояны и другое вредоносное ПО, фишинг и его телефонный аналог – вишинг, кража данных банковских карт, логинов-паролей и другой конфиденциальной информации. Если раньше мошенники охотились за пользователями ПК, то сегодня их интересуют и пользователи смартфонов и планшетов, а банковские трояны переживают второе рождение благодаря Android-устройствам. Карта угроз для онлайн-платежей в Казахстане не отличается от мировой. С распространением интернет-банкинга весь список финансовых киберугроз становится актуальным и для нас. О ситуации в нашей стране и защите онлайн-платежей рассказал в интервью агентству "Интерфакс-Казахстан" глава антивирусной компании ESET в Казахстане Жанибек ШУТБАЕВ.
- Ваше мнение, насколько рынок онлайн-платежей развит в Казахстане?
- У аудитории казнета есть почти все технические возможности для онлайн-платежей, около 10% всех пользователей в Казахстане уже делают покупки в Сети. Ограничение со стороны предложения одно – небольшой выбор интернет-магазинов. Ограничений со стороны спроса больше. Во-первых, многие пользователи пока не доверяют интернету и намеренно пользуются наличными. Во-вторых, свою роль играет объем "серых" зарплат – их выплачивают "в конвертах" и тратят офлайн.
Я думаю, гарантии безопасности дадут казахстанцам возможность чаще покупать в интернете. Компания ESET проводила исследование на эту тему в России и выяснила, что 67% пользователей покупали бы в Сети чаще, если были бы уверены в безопасности платежей. IT-компании, банки, платежные системы и интернет-магазины должны больше говорить о безопасности, посвящать ей специальные разделы на своих сайтах и объяснять клиентам правила.
- Каковы перспективы онлайн-платежей в казнете?
- Наш рынок привлекателен для производителей и интернет-магазинов. Здесь есть и потенциал спроса, и возможности для быстрого роста, и пустующие ниши. Объем онлайн-платежей в Казахстане будет расти от 20% до 30% в ближайшие два-три года. Часть роста обеспечит увеличение доходов, часть – миграция платежей из офлайна в онлайн.
Для финансовых организаций станет выгодной модель «цифрового банка», где нет отделений и все услуги оказываются удаленно – это позволяет сократить затраты на аренду. Банки будут более активно продвигать дистанционное обслуживание, включая мобильный и онлайн-банкинг. С их подачи многие люди привыкнут платить в интернете.
Риски в области онлайн-платежей есть везде, и ситуация в Казахстане вполне нормальная. Если обратиться к данным вирусной лаборатории ESET, статистика покажет близость Казахстана к России в плане безопасности и отрыв от таких неблагополучных в этом плане стран, как Китай и Бангладеш. Коэффициент заражения в Казахстане чуть выше, чем в России, и составляет 5,2%.
- Какой вы видите выход для банков, бизнеса и самих казахстанцев для решения вопроса безопасности при осуществлении онлайн-платежей?
- Наши финансовые учреждения имеют хороший уровень информатизации и оснащены комплексной защитой от всех видов вредоносного ПО, мошенничества, взломов, кражи конфиденциальных данных и так далее. Здесь советов немного – уделять больше внимания обучению сотрудников и образовательным инициативам по безопасности для клиентов.
Для бизнеса, работающего в сфере электронной коммерции, у меня больше советов. Продумывайте комплексную защиту, обеспечивайте защиту всех контуров, внедряйте передовые средства аутентификации и честно выполняйте требования банков к безопасности.
Для частных пользователей онлайн-банкинга мой совет прост – придерживайтесь базовых правил безопасности. Что к ним относится? Не сообщайте никому логины и пароли, номер карты, не записывайте их ни на каких носителях, особенно на самих картах или стикерах. Не переходите по подозрительным ссылкам в почте, в мессенджерах и социальных сетях, особенно если их прислал незнакомый человек. Откажитесь от онлайн-платежей, когда работаете с публичным Wi-Fi без пароля. Придумывайте сложные неповторяющиеся пароли к электронной почте и соцсетям и регулярно их меняйте. Поставьте лицензионный антивирус с функцией защиты онлайн-платежей и безопасного браузера и следите за обновлениями его баз. Убедитесь, что ваша версия операционной системы, браузера и основных приложений актуальна. Применяйте двухфакторную аутентификацию во всех сервисах, где она реализована. Платите в интернете преимущественно кредитной картой или заведите для покупок специальную дебетовую карту и зачисляйте на нее ограниченные суммы. Не думайте, что ваши данные никого не интересуют.
- Как казахстанцу распознать мошеннические и фишинговые сайты?
- Фишинговые сайты предназначены для кражи логинов-паролей, номеров банковских карт и кодов от них и других ценных данных. Большинство таких сайтов замаскированы под официальные ресурсы банков, платежных систем и сервисов. Как правило, они точно копируют логотипы и другой визуал, повторяют слово в слово тексты.
Чтобы распознать фишинговый сайт, обратите внимание на адресную строку браузера. Во-первых, нужно проверить, совпадает ли адрес сайта с официальным, не находится ли он на каком-нибудь странном домене, отличном от *.kz или *.ru, и так далее. Подделка может отличаться от оригинала всего одним символом. Во-вторых, нужно проверить наличие значка защищенного соединения - замок в адресной строке. Если соединение зашифровано, адрес сайта будет начинаться с https. Если адрес страницы, где вам предлагается ввести логин-пароль или данные карты, хоть чем-то смущают, потратьте пару минут и проверьте его по названным параметрам.
Помимо технических моментов, есть вещи, которые должны вас насторожить. Например, банки никогда не делают рассылок по клиентам с просьбой ввести где-то данные карт. Если на каком-то ресурсе вас просят заполнить слишком подробную анкету, включая даты рождения, имена и фамилии ваших родителей, клички домашних животных и проверочные слова, стоит задуматься. Похожие правила стоит соблюдать при работе с электронными платежными системами, сайтами интернет-магазинов и в личных кабинетах платных сервисов.
Все современные решения для защиты ПК и мобильных устройств имеют модули для защиты от фишинга. Я думаю, наличие этой функции особенно актуально, если старшие члены вашей семьи активно пользуются компьютером. Пожилым людям сложнее распознать обман, поэтому техническая мера по защите от фишинга будет кстати.
- Распишите, пожалуйста, правила безопасности онлайн-платежа для сохранения денежных средств.
- Рассмотрим отдельно операции в интернет-банке и оплату покупок в онлайн-магазине.
Если входите в интернет-банк не со своего компьютера, особенно если вы находитесь за границей, по возможности используйте виртуальную клавиатуру для ввода логина-пароля. Подтверждайте переводы, платежи и другие операции SMS-подтверждениями, а не кодами с карт с кодами доступа. Когда получаете SMS от банка, обращайте внимание, с какого номера они приходят. Перед окончанием работы проверяйте статус операции и всегда нажимайте кнопку "Выйти". Просматривайте на всякий случай оповещения об операции, которые приходят на почту или по SMS.
Для оплаты в интернет-магазинах есть похожие правила: проверить адрес страницы, быть внимательным при получении SMS-подтверждения, просматривать все оповещения о проведенной операции. Главное – уладить основные вопросы безопасности до решения о покупке. Например, нужно внимательно изучить отзывы о магазине на русском и по возможности английском языке, проверить, указаны ли телефоны для связи и физический адрес, а не только e-mail или форма обратной связи, при подозрениях – проверить, как давно существует сайт, на площадках наподобие reg.ru, ps.kz.
И пару слов о покупках у физических лиц на Avito, Вконтакте или Instagram с соответствующей формой расчета. Если вы никак не можете отказаться от сделки, хотя бы договоритесь заранее о личной встрече, попросите запасные контакты и проверьте имя продавца на предмет жалоб на него в интернете.
- Как вернуть свои деньги, если понял, что провел платеж на фиктивном интернет-ресурсе?
- Если вы поняли, что заплатили деньги мошенническому интернет-магазину или ввели свои данные на фишинговом сайте, немедленно звоните в банк и блокируйте карту, с помощью которой платили или данные которой передали. Затем проверьте в интернет-банке статус операции. Если платеж исполнен, позвоните в банк и узнайте, какова процедура его отмены. Многие банки позволяют аннулировать платежи по заявлению.
- В Казахстане ввели электронную цифровую подпись с SIM-карты сотового телефона. По вашему мнению, насколько безопасно использовать ЭЦП?
- Подтверждение действий с помощью электронной цифровой подписи – безопасная и надежная технология. Она широко используется и в банковской сфере, и в сфере оказания госуслуг. Но дьявол, как всегда, кроется в деталях.
Рассмотрим подробнее технологию создания ЭЦП с помощью SIM-карты. Предположим, человек купил симку с приложением ЭЦП, установил ее в свой смартфон и начал пользоваться для получения госуслуг и интернет-банкинга. В каких случаях могут возникнуть проблемы? Во-первых, мобильное устройство может быть потеряно или украдено вместе с SIM -картой и реквизитами доступа. Во-вторых, в процесс работы ЭЦП может вмешаться вредоносный код, попавший на смартфон из интернета из-за неосторожности пользователя – установил "не те" приложения, открыл вредоносное письмо, перешел по вредоносной ссылке. Как несложно заметить, эти проблемы связаны в большей степени не с защищенностью самой технологии, а с человеческим фактором.
В любом случае переход ЭЦП под контроль злоумышленника станет головной болью в основном ее пользователя, а не банка или портала госуслуг. Юридически все действия, которые совершил злоумышленник от имени владельца ЭЦП, будут считаться законно подтвержденными. Поэтому для владельцев интернет-сервисов введение ЭЦП, безусловно, выгодно.
- Как казахстанцы могут себя обезопасить при оплате с помощью ЭЦП?
- Электронно-цифровая подпись – аналог подписи человека в бумажном договоре или платежном поручении, поэтому последствия ее использования злоумышленником могут быть очень серьезными. Естественно, ЭЦП на мобильном устройстве нуждается в защите. В какой?
Во-первых, на мобильном телефоне на базе Android должно быть установлено антивирусное ПО. Пример – ESET NOD32 Mobile Security. Эта мера защитит от вмешательства вредоносного ПО в действия с ЭЦП. Во-вторых, и сама ЭЦП, и подписываемые данные должны быть надежно защищены решением для шифрования.
В-третьих, действия пользователей должны контролироваться со стороны веб-портала. Приведу пример. Вы сделали перевод в интернет-банке на большую сумму. Для банка ваша операция попадает под определение нетипичной и подозрительной, поэтому вам сразу же звонит сотрудник банка и спрашивает, вы сделали перевод или нет. Если вы не подтвердите операцию по телефону, банк приостановит ее обработку. В-четвертых, важно устранить человеческий фактор – объяснять, как правильно работать с ЭЦП и вести себя в случае потери телефона.
- Какова в настоящее время доля продукции ESET на рынке Казахстана?
- В 2015 году ESET занимала 30% рынка антивирусного ПО для домашних пользователей. Это подтверждают позиции ESET в крупнейших розничных сетях, где коробочные версии ESET NOD32 составляют от 20% до 30% продаж антивирусов в зависимости от магазина. При этом по отношению к 2014 году объем продаж персональных решений ESET вырос на 15%. Это связано с тем, что на рынок были выведены новые продукты, линейка коробочных решений ESET NOD32 теперь лучше представлена в ритейле. ESET также входит в число трех крупнейших игроков рынка антивирусного ПО для бизнеса. ESET NOD32 используется в каждом втором банке Казахстана, для среднего и малого бизнеса мы также остаемся вторым по популярности антивирусным вендором.
- Спасибо за интервью!
Июль, 2016
© 2024 Информационное агентство "Интерфакс-Казахстан"
Ссылка при использовании обязательна