Чим небезпечні інтернет-покупки
Іноді не обійтися без платежів через web. Що робити, що б злодії не обнулила Ваш картковий рахунок, ще й не повісили на вас кредит?
Аналітик «Лабораторії Касперського» Андрій Костін підготував нам докладні рекомендації.
Адже перелік послуг онлайн-банкінгу часто включає всі сервіси, доступні в банківських відділеннях. Користуючись ними, дуже зручно, не виходячи з дому, контролювати рух коштів по рахунках, здійснювати всілякі транзакції і переклади, відкривати і закривати депозитні рахунки, купувати і продавати валюту.
Що ж потрібно робити, щоб убезпечити себе і не попастися в пастку шахраїв? Яких правил потрібно дотримуватися, здійснюючи покупки в Мережі і інші операції з банківськими картами? У цій статті ми постараємося розповісти, на що потрібно звертати увагу, щоб не втратити свої гроші при здійсненні онлайн-платежів.
Покупки в інтернеті
Перш за все, щоб не стати жертвою зловмисників і не позбутися всіх грошей, які зберігаються на вашому банківському рахунку, вам потрібно підстрахуватися і завести собі окрему пластикову карту спеціально для онлайн-операцій. На ній ви можете зберігати невеликі грошові суми. Навіть якщо дані такої карти будуть вкрадені, кіберзлочинець не зможуть дістати всі ваші гроші. Ви також можете поповнювати рахунок безпосередньо перед кожною покупкою і обговорити з банком максимально доступну щоденну суму для зняття.
Вибір онлайн-магазину
Вирішивши купити що-небудь через інтернет, потенційний покупець насамперед приступає до пошуку і вибору інтернет-магазину. Найкраще робити покупки на відомих і добре зарекомендували себе веб-ресурсах. Якщо з якихось причин це неможливо, будьте уважні: шахраї вигадують все нові і нові способи обману покупців. На що ж треба звернути увагу, щоб не потрапити в їх мережі?
Зовнішній вигляд сайту
При пошуку онлайн-магазину існує ризик потрапити на сайт шахраїв. Так як шахрайські сайти зазвичай створюються ненадовго, вУкаіни зловмисники часто не обтяжують себе акуратним дизайном підроблених веб-сторінок. Тому сайт шахрайського онлайн-магазину часто можна дізнатися по його оформленню. Такі сайти можуть просто і дешево виглядати, мати вади (не працюють посилання, які не відтворюються шрифти, текст неакуратно оформлений і т.п.), а деякі вкладки і сторінки можуть і зовсім не працювати або видавати помилки.
Інформація про магазин
Знайти і подивитися реєстраційну інформацію про домен незнайомого інтернет-магазину можна за допомогою численних whois-сервісів - спеціальних сайтів, на яких можна подивитися реєстраційні дані домену. Для цього потрібно зайти на сайт одного з таких сервісів (їх неважко знайти в пошукових системах) і ввести в поле ім'я домену.
Зверніть увагу на те, хто саме зареєстрував домен і як довго домен існує.
Домен інтернет-магазину, зареєстрований на юридичну особу, повинен викликати більше довіри, ніж домен, власником якого є фізична особа. Також бувають випадки, коли ім'я фізичної особи, яка зареєструвала домен, приховано під маскою "private person" або "DOMAIN WHOIS PROTECTION SERVICE", що означає, що людина не побажав розкривати свої персональні дані і підключив відповідну послугу при реєстрації. Якщо таке зустрічається в whois-даних великого або відомого онлайн-магазину, то це повинно насторожувати.
Чим довше існує домен, тим краще. Зазвичай шахрайські магазини швидко закриваються і тому не реєструються на довгий термін. Якщо домен існує більше року, це говорить на його користь.
захищене з'єднання
Знайшовши підходящий магазин і вибравши потрібний товар, покупець приступає до оформлення та оплати замовлення. Для того щоб зловмисники не перехопили конфіденційні дані користувача, введені на сайті інтернет-магазину, необхідно, щоб ці дані пересилалися в зашифрованому вигляді.
Існує спеціальний криптографічний захищений протокол SSL (Secure Sockets Layer), призначений для шифрування потоку даних, переданих між клієнтом і сервером. Затребуваність захищених SSL-з'єднань привела до формування протоколу HTTPS, який є розширенням протоколу http і підтримує шифрування. Він покликаний забезпечувати захист від атак, заснованих на прослуховуванні мережевого з'єднання, і використовується більшістю легітимних сайтів для захисту введених користувачами конфіденційних даних при їх передачі на сервер.
Захищене з'єднання в Internet Explorer
Захищене з'єднання в Google Chrome 3
Захищене з'єднання в Opera 10
Приклад сайту банку, захищеного https
Сайти шахрайських онлайн-магазинів
сертифікати автентичності
Необхідно перевіряти легітимність сертифіката автентичності: на жаль, шахраї навчилися використовувати підроблені сертифікати. Лазівок для справжніх «професіоналів» багато. Наприклад, зловмисники можуть вкрасти сертифікат, отримати у сертифікаційного центру сертифікат для якогось іншого сайту і використовувати його для атаки. Крім того, вони можуть створити сертифікат самостійно і самі підписати його - такі сертифікати називаються "самоподпісанного".
Сертифікат автентичності сайту можна перевірити, клікнувши на символ закритого замочка. Головне, на що треба звернути увагу, - це ім'я посвідчує центру, тобто ким виданий сертифікат (наприклад, найбільш відомі довірені центри сертифікації Geotrust, Twante Consulting, Verisign), кому виданий сертифікат, термін придатності сертифіката.
Сертифікат, підписаний довіреною центром (Internet Explorer)
Легітимний цифровий сертифікат (Mozilla Firefox)
Якщо ви виявили, що:
домен, для якого виданий сертифікат, не відповідає домену сайту,
термін, на який був виданий сертифікат, вже закінчився,
то сертифікат, швидше за все, шахрайський.
В сучасних браузерах існує вбудована система безпеки. Списки кореневих сертифікаційних центрів внесені в браузер розробниками. Браузер вважає сертифікат справжнім тільки в тому випадку, якщо центр сертифікації, який його видав, є в списку довірених організацій, зашита в браузері. Або якщо сертифікат виданий компанією-партнером одного з довірених центрів сертифікації. Якщо сайт має https, але не має сертифіката, або сертифікат виданий організацією, яка не входить в число довірених або прострочений, браузер подасть сигнал тривоги.
Часто у покупця існує вибір: оплатити товар через власну форму оплати магазину або скористатися однією з платіжних систем (Paypal, payonlinesystem, WebMoney, ЯндексДеньги і інші). Якщо ви не дуже довіряєте інтернет-магазину або копанні, що видала йому сертифікат, ви можете вибрати оплату через сервіс, яким довіряєте більше. Це не убезпечить вас від переказу грошей на рахунок шахраїв, але збереже ваші персональні дані і вбереже від більш серйозних втрат.
Сайт онлайн-магазину, на якому відвідувачу пропонується вибрати спосіб оплати
Бувають випадки, коли магазини беруть 100% передоплати за товар, а потім, так і не надіславши товар, зникають і не відповідають на дзвінки. Якщо ви опинилися в такій ситуації, не втрачайте надію: ви маєте право здійснити "chargeback".
Chargeback - це процес повернення коштів на рахунок покупця з рахунку продавця в тому випадку, якщо з боку покупця було пред'явлено достатньо доказів для того, щоб вважати транзакцію недійсною або шахрайської. Неотримання товару, а також його невідповідність заявленій якості, є достатніми причинами для здійснення повернення грошей. Зверніться в банк, що видав картку. Він повинен провести розслідування і за пред'явленням йому подробиць угоди (де було придбано виріб, у який час, з якого рахунку, тип товару) повернути гроші на карту протягом 30 днів.
Банківські операції в Мережі
На жаль, втратити гроші можна не тільки при здійсненні покупок. Якщо будучи клієнтом будь-якого банку, ви користуєтеся банківськими онлайн-сервісами, то і тут слід бути дуже уважними і обережними, щоб не потрапити в пастку кіберзлочинців.
методи зловмисників
У кіберзлочинців, що полюють за даними пластикових карт користувачів, на озброєнні цілий арсенал методів і засобів. Нижче ми розповімо про деякі з них.
фішинг
Сторінка типового фішингових сайту
Фішингова сторінка - підробка під сторінку сайту банку Egg
Приклад фішингових листи
Якщо попався на вудку фішерів користувач введе свої персональні дані на фальшивому сайті, вони потрапляють в руки до зловмисників. Це основний спосіб отримання чужих даних. Однак фішери також можуть використовувати троянські програми, вкладені в лист документи з формами введення персональних даних або повідомлення з вимогами відправити дані в листі.
Більш докладно про фішинг і про те, як від нього захиститися, можна дізнатися в нашій статті тут.
фармінг
На комп'ютері можуть бути встановлені шпигунські програми (наприклад, кейлоггери - програми для запису натискань на клавіші - з їх допомогою крадуться, зокрема, паролі). Особливо великий ризик розкрити свої дані при здійсненні операцій з банківськими картами в публічних місцях (в інтернет-кафе, бібліотеках, барах і ресторанах), оскільки комп'ютер, яким може скористатися будь-який бажаючий, піддається більшій небезпеці зараження. Це зараження може статися випадково з «брудної» флешки, а може бути сплановано шахраями, щоб потім вони могли зібрати урожай чужих конфіденційних даних.
Навіть якщо ви використовуєте свій власний комп'ютер, але поключаетесь до публічної мережі Wi-Fi, ви не можете бути впевнені, що ваші персональні дані не потраплять до сторонніх осіб, особливо, якщо мережа Wi-Fi не захищена паролем.
Захист клієнтів банків
Що може зробити уважний користувач банківських онлайн-сервісів, щоб захистити свої кошти?
Ставтеся вдумливо до вибору паролів. Вибирайте для онлайн-банкінгу паролі зі складними буквено-цифровими комбінаціями, використовуйте і заголовні, і малі літери. Зберігайте ваші паролі та PIN-коди в недоступних для сторонніх осіб місцях.
При введенні конфіденційних даних використовуйте віртуальну клавіатуру. Багато банків пропонують для своїх онлайн-сервісів скористатися віртуальною клавіатурою і не набирати секретні дані вручну. Такий же спосіб пропонується і в рішеннях провідних антивірусних компаній. Це дозволяє зменшити ризик перехоплення інформації, що вводиться всілякими кейлоггера.
Виконуючи платіжні онлайн-операції, можна використовувати і так звану «пісочницю», яка входить в багато антивірусні рішення, і тим самим зменшити ризик перехоплення конфіденційних даних.
І останнє: не бійтеся робити покупки і користуватися банківськими онлайн-сервісами. Будучи уважним і виконувати всі запобіжні заходи, можна з комфортом користуватися всіма зручностями, які надає інтернет.