Меню курса

Урок 7. Безопасные онлайн-покупки и банковские операции

Урок 7. Безопасные онлайн-покупки и банковские операцииНа прошлых уроках мы много говорили о безопасности в Сети и подробно разобрали тему мошенничества в Интернете. В частности, мы уже знаем, что всегда есть вероятность попасть на фишинговый сайт и в несуществующий интернет-магазин, который берет предоплату 100% и не отправляет товар. Особенно, если предложение крайне заманчивое и выгодное.

Как правило, мошенники копируют дизайн ведущих интернет-магазинов и настолько активно продвигают фальшивый магазин-двойник, что зачастую фальшивый магазин оказывается в поисковой выдаче по запросу выше, чем оригинальный официальный магазин. Однако это не повод перестать совершать покупки через Интернет.

Цель урока: разобраться, как безопасно совершать покупки в Интернете, как защитить финансовую информацию и какие данные нужны интернет-магазину, чтобы вы могли сделать безопасный платеж онлайн.

Мы изучим основные способы защиты от мошенничества, когда вы совершаете платежи онлайн, и расскажем, как отличить реальный интернет-магазин от фишингового, какую информацию должен предоставить о себе интернет-магазин и как перепроверить достоверность этой информации.

Содержание:

Нам поможет книга «Безопасность электронного банкинга» [А. Сычев, П. Ревенков, А. Дудка, 2017]. Изначально она ориентирована на банковских специалистов, аудиторов, студентов и преподавателей финансовых вузов, однако некоторые моменты там изложены вполне доступным языком и понятны для людей, получивших какое-либо среднее специальное либо высшее образование.

Как безопасно совершать покупки в Интернете?

Сразу скажем, что защита платежей требует во многом тех же мер, что и защита личной информации при любых других действиях в Интернете. Поэтому вспомним основные меры защиты информации, и углубленно рассмотрим аспекты, позволяющие совершать безопасные покупки через Интернет.

Безопасные покупки через Интернет – основные правила:

  • Выбор надежных платформ и продавцов – покупайте товары только в официальных интернет-магазинах, на официальных сайтах известных и проверенных компаний или у надежных продавцов на популярных онлайн-площадках.
  • Проверка подлинности интернет-магазина – обязательно удостоверьтесь, что перед вами настоящий интернет-магазин, а не его фишинговый двойник. Как отличить настоящий сайт от фишингового, мы рассматривали в уроке 5. Для начала хотя бы запросите контактные данные магазина, введя название через поисковую систему, и посмотрите, совпадают ли результаты с теми контактами, которые указаны на сайте, на котором вы сейчас находитесь.
  • Защищенное соединение – при совершении покупок убедитесь, что сайт использует HTTPS (проверяется по символу замка и https:// в адресной строке браузера), что обеспечивает защищенную передачу данных между вашим устройством и сервером. Отсутствие буквы s в адресе (http вместо https) означает, что тут не используется защищенный протокол и данные банковских карт легче перехватить.
  • Обновление операционной системы, программного обеспечения и антивирусов – используйте самые новые версии ПО, «операционки» и антивирусов, которые могут быть использованы с учетом технических параметров вашего устройства. Последние версии наилучшим образом защищены от всех актуальных угроз, в том числе от кражи личных данных и денег.
  • Защита аккаунта – используйте уникальные и сложные пароли для каждой учетной записи, активируйте двухфакторную аутентификацию там, где это возможно, подключите мониторинг финансовых операций с тем, чтобы получать уведомления о каждой проведенной от имени вашего аккаунта транзакции.
  • Защита личной информации – при совершении покупок передавайте минимальное количество личной информации, необходимой для завершения транзакции. Это имя и фамилия, номер карты, код проверки подлинности карты (трехзначный код на оборотной стороне) и срок ее действия. Код проверки подлинности CVC или CVV служит дополнительной защитой от мошенничества на случай, если кто-то украдет у вас 16-значный номер и другую информацию с лицевой стороны карты. Воспользоваться деньгами без трехзначного кода не получится.
  • Конфиденциальность – не разглашайте номер карты, срок ее действия и CVC/CVV-коды по телефону, через мессенджеры или социальные сети. Система онлайн-платежей построена таким образом, что эти данные нужны только вам как плательщику.
  • 3D Secure/SecureCode – по возможности отдавайте предпочтение покупкам через Интернет, при которых онлайн-платежи проводят только после дополнительной идентификации с помощью 3D Secure/SecureCode. Узнать о том, поддерживает ли сайт 3D Secure/SecureCode, можно из раздела «Условия проведения платежей».
  • Изолированные платежные методы – заведите отдельные виртуальные карты для онлайн-платежей. Эти карты позволяют настроить ограничения по сумме и сроку действия.
  • Официальные платежные системы – переводите деньги через официально действующие на территории РФ платежные системы. В противном случае вы не сможете претендовать на защиту со стороны правоохранительных органов РФ в случае, если вы станете жертвой мошенничества.
  • Оплата наложенным платежом – всегда, когда возможно, отдавайте предпочтение оплате наложенным платежом после получения товара и проверки его качества, комплектности и функциональности. Предоплату можно делать лишь в случае, когда вы покупаете через официальные торговые платформы, берущие на себя функции посредников и перечисляющие деньги продавцу только после того, как покупатель подтвердит получение товара и то, что полученный товар соответствует обещанным характеристикам.
  • Бдительность и осторожность в Интернете – будьте внимательны при совершении покупок онлайн, избегайте ненадежных сайтов или сомнительных предложений. Изучайте основы безопасности в Интернете и обучайте близких основам кибербезопасности и методам предотвращения мошенничества при онлайн-платежах. Настройте родительский контроль, если выпускаете платежную карточку на имя своего ребенка.

Соблюдение этих мер позволит совершать безопасные покупки в Интернете. Самой главной задачей остается распознание фишинговых сайтов, фальшивых интернет-магазинов, недобросовестных продавцов и несуществующих предложений с тем, чтобы не отправить деньги «в никуда», откуда их практически невозможно получить назад. А еще необходимо развивать собственную финансовую грамотность, чтобы понимать, как работают онлайн-платежи и как их можно защитить. Вот об этом стоит поговорить подробнее.

Методы защиты от мошенничества при онлайн-платежах

По сути, мы уже рассмотрели основные методы защиты от мошенничества при онлайн-платежах: соблюдайте правила, обеспечивающие безопасные покупки через Интернет, и будет вам счастье. Осталось лишь не попасть на фишинговый сайт, и все будет совсем хорошо. Способы распознания фишинга мы изучили в уроке 5, а теперь адаптируем полученные знания к нашей сегодняшней теме.

Как распознать фишинговый интернет-магазин:

  • Слишком низкие цены – если цены значительно ниже рыночных, это может быть признаком мошенничества. Фишинговые магазины часто привлекают покупателей чрезмерно низкими ценами.
  • Отсутствие контактной информации – легитимные магазины предоставляют контактную информацию, включая адрес, телефон и email. Отсутствие этих данных или предоставление подозрительных контактов – это тревожный знак.
  • Подозрительные URL – проверяйте адрес сайта. Фишинговые сайты часто используют доменные имена, похожие на настоящие, но с небольшими изменениями. Например, amaz0n.com вместо amazon.com. Или текст ссылки содержит реальные данные, а сама ссылка ведет на ресурс, название которого отличается на несколько букв или символов.
  • Плохое качество дизайна сайта – мошенники «срисовывают» оригинальный сайт, но по понятным причинам не имеют исходных макетов для качественного оформления интерфейса. Поэтому размытые картинки, «кривой» шрифт, «съезжающий» текст, плохая адаптация под экран мобильного устройства и непонятная навигация являются полностью достаточными основаниями, чтобы покинуть такой сайт.
  • Отсутствие SSL-сертификата – легальные сайты используют SSL-сертификаты для защиты данных пользователей, их адрес начинается с https://, а в адресной строке есть значок замка.
  • Нет отзывов или отрицательные отзывы – ищите отзывы о магазине на независимых сайтах. Отсутствие отзывов или большое количество отрицательных отзывов – тревожный знак. Впрочем, избыток исключительно положительных отзывов общего плана без конкретики (понравилось, классно, все хорошо, доволен обслуживанием) может быть признаком агрессивного продвижения, когда отзывы просто покупают, а ввиду отсутствия материала для конкретики все они носят одинаково абстрактный характер.
  • Требование предоплаты – мошенники часто требуют 100% предоплату и отказываются отправлять товар наложенным платежом или другими безопасными способами.
  • Подозрительные методы оплаты – легально работающие магазины предлагают безопасные и проверенные методы оплаты. Фишинговые сайты могут требовать оплату через прямые банковские переводы или другие методы, которые сложно отследить.

Какие методы оплаты можно считать безопасными? Зачем предоставлять код проверки подлинности карты и срок ее действия при онлайн-платежах? Что такое виртуальные карты? Чтобы разобраться в этом, нам потребуется небольшой финансовый ликбез.

Платежная система

Итак, что такое платежная система?

Платежные системы позволяют проводить транзакции, такие как оплата товаров и услуг, переводы денег между счетами и международные финансовые операции. Они играют ключевую роль в современной экономике, обеспечивая эффективное и безопасное движение денег. Давайте рассмотрим основные элементы платежной системы.

Участники:

  • Плательщик – лицо или организация, инициирующее платеж.
  • Получатель – лицо или организация, получающее деньги.
  • Банки и финансовые учреждения – посредники, обрабатывающие и исполняющие платежи.

Инфраструктура:

  • Платежные шлюзы – системы, через которые проходят платежные транзакции.
  • Процессинговые центры – центры, обрабатывающие данные о транзакциях и обеспечивающие их безопасность.
  • Сетевые операторы – организации, обеспечивающие связь между участниками системы.

Правила и стандарты:

  • Регуляторные нормы – законы и правила, регулирующие работу платежных систем.
  • Стандарты безопасности – меры, направленные на защиту транзакций и данных участников.

Виды платежных систем:

  • Межбанковские системы – например, SWIFT, обеспечивающий международные банковские переводы.
  • Национальные системы – например, ACH (Automated Clearing House) в США, российская платежная система «МИР», обеспечивающие массовые электронные переводы.
  • Онлайн-кошельки – например, PayPal, Яндекс.Деньги, WebMoney, QIWI.
  • Мобильные платежи – например, Apple Pay, Google Pay, Samsung Pay.
  • Криптовалюты – например, Bitcoin, Ethereum, обеспечивающие децентрализованные и анонимные платежи.
  • Кредитные и дебетовые карты – МИР, Visa, MasterCard, American Express.
  • Системы приема платежей по картам – POS-терминалы, интернет-эквайринг.
  • Внутренние и международные переводы – Western Union, MoneyGram, системы быстрых переводов внутри страны (например, Система быстрых платежей в России).

Принцип работы платежной системы:

  • Инициация платежа – плательщик инициирует транзакцию через банк, платежный шлюз или другую систему.
  • Аутентификация и авторизация – проверка личности плательщика и наличия средств на счете.
  • Обработка платежа – передача данных о транзакции в процессинговый центр и проверка всех условий платежа.
  • Перевод средств – списание средств со счета плательщика и зачисление на счет получателя.
  • Уведомление – обе стороны уведомляются о завершении транзакции.

Преимущества платежных систем:

  • Скорость и удобство – позволяют быстро и легко проводить платежи.
  • Безопасность – обеспечивают защиту данных и средств участников.
  • Доступность – дают возможность проведения платежей из любой точки мира.
  • Автоматизация – снижают необходимость в ручной обработке платежей.

Как узнать, какие платежные системы разрешены в России? Банки и деловые издания время от времени выпускают тематические обзоры, где можно почерпнуть актуальную на текущий момент информацию и изучить нюансы работы разных систем. Например, обзор «Платежные системы: виды, как работают, какой лучше пользоваться в России» [А. Пенкальская, 2023].

Однако ситуация ввиду всем известных обстоятельств может поменяться в любой момент. Реестр операторов платежных систем по состоянию на текущую дату можно уточнить на сайте Центробанка РФ, сделав соответствующий запрос в поисковой строке:

Реестр платежных систем

После перехода по ссылке вы попадаете на страницу, где сможете скачать файл, содержащий все данные операторов платежных систем, официально работающих в России, нажав ссылку «Реестр операторов платежных систем»:

Реестр ссылка

Данные обновляются каждый рабочий день. Наиболее популярные в России платежные системы – это МИР, QIWI, WebMoney, ЮKassа. Использование платежных систем, не включенных в реестр, – это исключительно на ваш страх и риск.

Если нужно совершить платеж за рубеж, выход можно найти даже в условиях санкций. Например, изучив материал «Как перевести деньги из России за границу: 9 рабочих вариантов» [О. Копытина, Д. Курносенкова, 2024].

CVV/CVC-код

CVC-код (Card Verification Code), также известный как CVV (Card Verification Value) или CID (Card Identification Number) – это дополнительный код безопасности, используемый для подтверждения того, что владелец карты действительно имеет ее в своем распоряжении при совершении онлайн-покупок. Этот код служит дополнительным уровнем защиты от мошенничества.

Формат CVC-кода:

  • Visa и MasterCard – трехзначный код, расположенный на обратной стороне карты в поле подписи.
  • American Express – четырехзначный код, расположенный на лицевой стороне карты, справа над номером карты.

Как работает CVC-код? Когда вы вводите данные своей карты для совершения онлайн-покупки, помимо номера карты, даты окончания срока ее действия и имени владельца, система также запрашивает CVC-код. Этот код не хранится в базах данных торговых точек или интернет-магазинов, что снижает риск его компрометации при утечках данных. Банки-эмитенты карт используют CVC-код для дополнительной проверки при обработке платежа. Если код введен неправильно, транзакция не будет одобрена.

Зачем нужен CVC-код:

  • Дополнительный уровень защиты – CVC-код помогает удостовериться, что лицо, совершающее покупку, действительно обладает картой. Это предотвращает использование украденных данных карты для онлайн-платежей.
  • Снижение риска мошенничества – даже если злоумышленник получит номер карты, дату ее окончания и имя владельца, без CVC-кода совершить покупку будет сложнее.

При оформлении заказа в онлайн-магазине система запрашивает ввод CVC-кода для подтверждения транзакции. С целью защиты финансовых данных никогда не разглашайте CVC-код посторонним, не передавайте его по телефону, через мессенджеры или электронную почту.

Иногда может встретиться CVV2-код. В чем разница между CVV и CVV2? CVV2 записывается непосредственно на магнитную полосу карты и служит для проверки подлинности пластиковой карты при оплате через терминалы. Этот код считывается терминалами автоматически и на карте не указывается, поэтому в обиходе CVV2/CVC2-коды для простоты называют CVV/CVC-кодами.

3D Secure

3D Secure – это протокол безопасности, используемый для аутентификации пользователей при проведении онлайн-платежей с использованием кредитных и дебетовых карт. Он был разработан Visa под названием Verified by Visa и MasterCard под названием MasterCard SecureCode.

Поэтому если вам где-то встречается сочетание 3D Secure/SecureCode – тут имеется в виду 3D Secure как таковой и его вариация SecureCode для MasterCard.

Протокол также используется другими платежными системами, такими как JCB (J/Secure) и American Express (SafeKey).

3D Secure расшифровывается как Three-Domain Secure. Название отражает три ключевых домена, участвующих в процессе аутентификации:

  • Эмитент карты (Issuer Domain) – банк или финансовое учреждение, выдавшее карту.
  • Эквайер-банк (Acquirer Domain) – банк, обслуживающий онлайн-магазин.
  • Интероперабельный домен (Interoperability Domain) – инфраструктура, поддерживающая протокол 3D Secure и обеспечивающая связь между эмитентом и эквайером.

Как работает 3D Secure:

  • Инициация транзакции – покупатель выбирает товары или услуги в интернет-магазине и переходит к оплате.
  • Ввод данных карты – покупатель вводит данные своей карты (номер карты, срок действия, имя владельца, CVC-код) на сайте интернет-магазина.
  • Перенаправление на страницу аутентификации – после ввода данных карты покупатель перенаправляется на страницу аутентификации, управляемую банком-эмитентом карты.
  • Аутентификация – покупатель проходит процесс аутентификации, который может включать ввод одноразового пароля, отправленного на мобильный телефон или email, ввод статического пароля, установленного для 3D Secure, использование биометрической аутентификации (например, отпечаток пальца или распознавание лица).
  • Подтверждение транзакции – если аутентификация прошла успешно, покупатель перенаправляется обратно на сайт интернет-магазина, где завершается процесс оплаты.
  • Завершение транзакции – банк-эмитент подтверждает успешную аутентификацию и одобряет транзакцию. Средства списываются с карты покупателя и зачисляются на счет продавца.

Зачем нужен 3D Secure:

  • Улучшение безопасности – 3D Secure добавляет дополнительный уровень аутентификации, снижая риск мошеннических транзакций.
  • Защита ответственности продавца – при использовании 3D Secure ответственность за мошеннические транзакции может быть перенесена с продавца на банк-эмитент, если аутентификация прошла успешно, однако факт мошенничества доказан.
  • Повышение доверия клиентов – покупатели чувствуют себя более защищенными при использовании карт для онлайн-покупок, зная, что их транзакции защищены дополнительными мерами безопасности.

3D Secure повышает безопасность, при этом добавляя дополнительные шаги в процесс покупки, что может кому-то показаться слишком хлопотным. Тем не менее, новые версии протокола, такие как 3D Secure 2.0, стремятся минимизировать неудобства, предлагая более удобные методы аутентификации.

Онлайн-платеж

Теперь мы уже имеем практически полную картину того, как проходят онлайн-платежи и как они должны быть защищены. Давайте подытожим наши знания и весь алгоритм онлайн-платежа.

Как проходит онлайн-платеж – полный алгоритм:

  • Выбор товара или услуги – покупатель выбирает товар или услугу на сайте интернет-магазина и добавляет их в корзину.
  • Переход к оплате – покупатель переходит к оформлению заказа и вводит необходимые данные, такие как адрес доставки и контактная информация.
  • Выбор способа оплаты – покупатель выбирает способ оплаты (например, кредитная карта).
  • Ввод данных карты – покупатель вводит данные своей карты (номер карты, срок действия, имя владельца, CVC-код) на странице оплаты.
  • Отправка данных на сервер интернет-магазина – интернет-магазин отправляет данные карты через защищенное соединение (HTTPS) на сервер процессора платежей.
  • Передача данных в платежный шлюз – платежный процессор отправляет данные карты в платежный шлюз для обработки.
  • Аутентификация и проверка с помощью 3D Secure/SecureCode (если применимо) – платежный шлюз инициирует проверку с использованием протоколов 3D Secure. Покупатель перенаправляется на страницу банка-эмитента для ввода одноразового пароля или другого метода аутентификации. После успешной аутентификации покупатель возвращается на страницу интернет-магазина.
  • Передача данных в банк-эквайер – платежный шлюз передает данные транзакции в банк-эквайер, который обслуживает интернет-магазин.
  • Передача данных в платежную систему – банк-эквайер отправляет данные транзакции в платежную систему (например, Visa, MasterCard).
  • Проверка и авторизация в банке-эмитенте – платежная система передает данные в банк-эмитент карты покупателя. Банк-эмитент проверяет данные карты, наличие средств и аутентифицирует транзакцию. Если все проверки пройдены, банк-эмитент авторизует транзакцию и отправляет ответ обратно в платежную систему.
  • Передача авторизованного ответа – платежная система отправляет ответ (одобрение или отказ) обратно в банк-эквайер.
  • Передача авторизованного ответа в платежный шлюз – банк-эквайер передает ответ в платежный шлюз.
  • Передача ответа в интернет-магазин – платежный шлюз передает ответ интернет-магазину. Если транзакция одобрена, интернет-магазин завершает оформление заказа и отправляет подтверждение покупателю.
  • Подтверждение заказа – покупатель получает подтверждение заказа на сайте интернет-магазина и, как правило, по электронной почте.

Таким образом, в онлайн-платежах задействованы следующие участники процесса:

Покупатель.
Интернет-магазин.
Платежный процессор.
Платежный шлюз.
Банк-эквайер.
Платежная система (МИР, Visa, MasterCard).
Банк-эмитент.

Для тех, кто не знает, уточним, что банк-эмитент – это банк, который осуществляет выпуск и обслуживание банковских карт, а банк-эквайер – это банк или финансовое учреждение, которое обрабатывает платежи по кредитным или дебетовым картам от имени продавца.

Временная виртуальная карта

И, наконец, что такое временная виртуальная карта для онлайн-платежей? И как она работает?

Разберемся по порядку:

  • Виртуальная карта – это цифровая версия банковской карты, которая существует только в электронном виде. У нее есть номер, срок действия и CVC-код, как у обычной физической карты.
  • Временная карта – это карта, которая имеет ограниченный срок действия (например, несколько дней или месяцев) или ограниченное количество транзакций, после чего она становится недействительной.
  • Временная виртуальная карта – это одноразовая или временная версия вашей реальной кредитной или дебетовой карты, предназначенная для использования при онлайн-платежах. Она обеспечивает дополнительный уровень безопасности покупки через Интернет, позволяя вам совершать платежи без раскрытия данных вашей основной карты.
Заказывая виртуальную карту, внимательно изучайте условия выпуска, перевыпуска, продления и прочую «информацию мелким шрифтом». Особенно, если в названии карты есть слова Gold, Premium и прочие, обозначающие принадлежность к «высшему обществу». Бывает, что карту выпускают бесплатно, предлагают один месяц бесплатного использования, а далее начинают списывать деньги со счета за обслуживание карты.

Если вы не вполне разобрались, что и как работает в вашем случае, отключите функцию автопродления карты, чтобы ее не продлили без вашего ведома. А когда от банка придет запрос на продление, просто задайте все вопросы относительно дальнейшего обслуживания карты и стоимости обслуживания.

Как работает временная виртуальная карта:

  • Клиент запрашивает создание временной виртуальной карты через интернет-банк или мобильное приложение банка.
  • Банк генерирует новый номер карты, срок действия и CVC-код, который клиент может использовать для онлайн-платежей.
  • Клиент использует данные временной виртуальной карты при оплате покупок в Интернете, как если бы это была обычная физическая карта.
  • Транзакции, совершенные с использованием временной виртуальной карты, отображаются на счете клиента точно так же, как и транзакции с обычной карты.
  • После истечения срока действия или достижения лимита транзакций временная карта становится недействительной. Клиент может запросить создание новой временной виртуальной карты, если это необходимо.

Преимущества временной виртуальной карты

1Безопасность – использование временной карты снижает риск компрометации основной карты, потому что данные временной карты недействительны после ее истечения.
2Контроль расходов – можно установить лимиты на количество транзакций или сумму, которую можно потратить с временной карты, что помогает контролировать расходы.
3Удобство – виртуальные карты легко создавать и использовать, не задействуя физическую карту. Они особенно удобны для разовых покупок или подписок.<
4Защита от мошенничества – если данные временной карты будут украдены, мошенники не смогут использовать ее после истечения срока действия.

Вы можете создать временную виртуальную карту через интернет-банк, найдя раздел «Виртуальные карты», запросив создание новой виртуальной карты, выбрав срок действия и лимиты. Либо через мобильное приложение в разделе «Карты», выбрав опцию создания виртуальной карты.

Итак, мы разобрались, как безопасно совершать покупки в Интернете, как защитить финансовую информацию. Далее вас ждет проверочный тест, а затем мы перейдем к новой теме – обеспечению безопасности при использовании общественных Wi-Fi-сетей.

Проверьте свои знания

Если вы хотите проверить свои знания по теме данного урока, можете пройти небольшой тест, состоящий из нескольких вопросов. В каждом вопросе правильным может быть только один вариант. После выбора вами одного из вариантов система автоматически переходит к следующему вопросу. На получаемые вами баллы влияет правильность ваших ответов и затраченное на прохождение время. Обратите внимание, что вопросы каждый раз разные, а варианты перемешиваются.

Далее мы поговорим про общественные Wi-Fi-сети.

1Интернет-безопасность