Безопасно ли платить карточками onine?

Честно говоря, когда коллеги попросили меня написать статью на эту тему и рассказать о реальных и воображаемых рисках, я по-началу отказался. Действительно, что можно нового сказать об оплате банковскими карточками во второй половине 2021 года? Все всем и так известно: все уже давно обсуждено и безопасно, инноваций в этой сфере почти нет лет 15. При разумном использовании карты безотказны и эффективны, как микроволновка, если в ней не пытаться высушить голову. Но коллеги настаивали, убеждали, что есть пользователи, которым важно еще раз услышать и еще раз для себя понять, как пользоваться магическим кусочком пластика со своим именем и кучей цифр. Ну что ж, давайте внесем в эту историю и свой вклад….

Меня зовут Дмитрий Леви, я кандидат наук, доцент, автор многих русскоязычных и иностранных довольно поверхностных и нескольких довольно узко-специальных научных и публицистических статей об информационной безопасности, цифровой экономике, искусственному интеллекту, машинному обучению, крипто-безопасности и правовом регулировании всего этого ужаса в России, странах Европейского Союза и даже Юго-Восточной Азии. Я вхожу в некую аналитическую группу Санкт-Петербургского Университета по данному профилю, являюсь руководителем группы разработчиков коммерческих ИТ продуктов и отношу себя к практикующим, хотя и несколько "old-school" программистам.

Но сейчас это все не так важно, потому что мы поговорим о совершенно базовой безопасности и развенчанию мифов с точки зрения рядового пользователя. А на этом уровне все умные слова и технологии не стоят и цены пластика самой карты, если пользователь просто испытывает иррациональный страх перед технологией или верит в опасность 5G и чипирование через вакцинацию от Covid.

Как известно, любая достаточно сложная технология, в глазах рядового потребителя неотличима от магии…

Итак, у нас в руках заветный кусочек пластика - банковская карта. Вопреки слухам на ней нет денег, только номер-идентификатор, а всеми деньгами распоряжается банк по нашим указаниям. Мы же в свою очередь можем отдавать указания двумя способами, каждый из которых таит в себе некоторые риски, но одновременно каждый из них куда более безопасен, чем использование наличных денег.

Способ первый - контактный

Предполагает ситуации, когда в момент совершения оплаты, мы достаем из потайного отделения кошелька карточку и прикладываем (вставляем чипом, проводим магнитной полосой) к платежному считывающему терминалу. В зависимости от настроек и жадности Вашего банка платежная операция требует или не требует подтверждения, которое выполняется путем ввода секретного пин-кода. К данной операции мы все привыкли. Сегодня единицы рассчитываются наличными деньгами, в крупных городах до 80% операций происходит с помощью карт: это удобно и покупателям и магазинам. Покупателям — потому что нужная сумма всегда есть в наличии и вопрос сдачи, мелких денег, копеек на повестке дня вообще не стоит. Магазинам — потому что несмотря на необходимость платить довольно внушительную комиссию — от 1.5% до 3.5% — это все равно дешевле, чем организовывать инкассацию и т.п. А если вспомнить еще про существование терминалов и касс самообслуживания, то здесь без карт не обойтись вовсе.

Какие риски таят в себе контактные способы оплаты по карте?

Существует два типа рисков: кто-то может подсмотреть данные карты и кто-то может перехватить эти данные в процессе передачи.

Не отдавайте свою карту кому-либо и прикрывайте рукой терминал при вводе пин-кода. Вот вы и защитились от первого типа рисков. Со вторым типом — все сложнее. Вы можете столкнуться с ситуацией поддельного терминала или поддельного банкомата. Такое устройство выполнит операцию, даже выдаст деньги, но украдет данные карты. А еще на вполне настоящем терминале или банкомате может стоять т.н. скиммер банковских карт - устройство, которое приклеивается сверху на клавиатуру терминала, ставится на прорезь, куда вставляется карта или иным образом устанавливается на банкомат, чтобы считать или подсмотреть через видео камеру за действиями собственника. И через месяц клонированная карточка успешно снимет с вашего счета все средства. Поэтому банки постоянно осматривают свои банкоматы, умеют обнаруживать посторонние предметы на «теле» банкомата. Но и клиентам следует проявлять разумную бдительность.

Стоит ли всерьез бояться таких устройств и отказываться от использования карт при оплате в магазинах?

Нет. Вероятность столкнуться с поддельным банкоматом крайне мала. В далекой Бразилии или Индии иногда рассказывают о том, что в центре города может работать целый поддельный банк, но в России в наше время использование поддельных банкоматов — предельно редкий случай. Тем более, что уберечь себя от рисков такого мошенничества можно простой осмотрительностью. Просто не пользуйтесь банкоматами в незнакомых или подозрительных местах. Все банкоматы Вашего банка как правило типовые и серийные, покрашены в одинаковые цвета и имеют специфический внешний вид. Любая аномалия должна вас насторожить. Устанавливают банкоматы тоже в типовых и приличных местах: в самих банках или в крупных торговых центрах. Устройство же, размещенное в темной подворотне, должно вызвать у вас вопросы. Хуже всего ситуации, когда вы сами добровольно отдаете свою карту кому-то и она "уходит" из вашего поля зрения. Это иногда происходит при оплате картой в ресторанах, когда официанты пытаются унести карту с собой. Допускать этого нельзя, во всех случаях или вы должны пройти к терминалу или терминал должны принести к вам.

Есть еще неприятные риски, связанные с внедрением систем бесконтактного платежа. Достаточно просто ловко "прижаться" к сумке или карману держателя карты в метро или общественном транспорте с помощью специального сканера и бесконтактная карта с готовностью выполнит платежные инструкции в пользу злоумышленника. До определенной суммы пин-код не будет запрошен, а множество платежей и относительная бессистемность позволит злоумышленнику некоторое время одерживать верх над системами безопасности банков и платежных систем. Впрочем, любой терминал привязан так или иначе к какому-то юрлицу, так что выйти на след злоумышленника и сопоставить операции довольно легко. Да и защитить свою карту с помощью любого толстого или экранированного бумажника тоже не сложно. А несколько карт с радио-метками, сложенные рядом, не позволят считывателю работать с одной конкретной картой.

Способ второй - бесконтактный.

Эволюционно технологии бесконтактной оплаты постоянно совершенствуются, поэтому довольно быстро они стали опираться на т.н. двух-факторную авторизацию или технологию 3D-Secure (3ds), которая предполагает оплату путем ввода данных карты, но только с вводом уникального пароля, который высылается держателю карты на телефон. Однако, наряду с 3Ds технологией, карта рядового пользователя может допускать и списание просто при правильно указанных реквизитах. Да, в таких случаях платежная система более бдительно следит за операциями и почти всегда отменяет их при претензиях со стороны держателя карты в течение 24 часов после выполнения операции. Но если ваш банк позволяет вам установить или изменить режим безопасности карты и запретить любые операции без 3ds, эту функцию стоит подключить.

При выполнении платежей через интернет нужна базовая разумная осмотрительность, но лишь на самом базовом уровне. Здесь тоже два уровня рисков: риск того, что данные карты подсмотрят, и риск того, что кто-то перехватит передаваемые данные.

Не будем верить во всесилие ЦРУ, АНБ и Илона Маска: возможности перехвата данных крайне ограничены, защититься от них сравнительно просто. Просто не вводите данные своей карты на малоизвестных сервисах, используйте карту только на узлах, которые защищены https протоколом. Если вы активный интернет-покупатель, заведите себе отдельную карту, не допускающую проведение операций "в минус" и храните на ней небольшое количество средств.

Но все эти советы, по большей части, — это рекомендации параноика и касаются использования карты для шопинга на случайных сервисах. Платежи на инфраструктурных или платформенных решениях — Ozon, Яндекс.Маркет, сайт Газпрома, региональной электросетевой компании и да, Е-поселок.ру тоже— безопасны по определению.

Сегодня крайне сложно найти сервис приема платежей или интернет магазин без https протокола. Столкнуться с подменой сайтов и «фишингом» при нормально работающем антивирусе также практически нереально.

Если платежи на конкретном сайте вообще проводятся путем переброски на узел банка, как это происходит, например, в системе E-poselok, то это вообще самый безопасный и безотказный способ выполнения операций.
Риски остаются только на стороне пользователя, который может не уследить за человеком, стоящим за спиной и переписывающим данные карты. Но и эти риски нивелируются смс кодами-подтверждениями об оплате при использовании 3ds.

Стоит ли отказываться от использования платежей через интернет?

Нет. Используйте компьютер с базовым антивирусом, адекватную проводную, сотовую или шифрованную wifi-сеть для интернет-связи. Не пользуйтесь непонятной незакрытой паролем бесплатной сетью на вокзале, в гостинице или транспорте. На страницах ввода данных карты проверяйте наличие https протокола в адресной строке. Нормой уже давно стала ситуация, когда не только страницы с вводом данных карт, а весь сайт защищен https шифрованием. Разумеется, внимательно читайте правила и условия выполнения платежей. В отличие от офф-лайновых, онлайн платежи могут включать в себя согласие на подписку (платежи с периодическим списанием средств) и комбинированные платежи (оплата после выполнения каждого этапа каких-то работ или услуг). Такого рода условия явным образом описаны на странице совершения платежа. Этих действий более чем достаточно, чтобы безопасно использовать карту.

Во всех случаях банк держателя карты ведет подробную историю выполняемых платежей и хранит ее 25 лет. Эта история заменяет и смс уведомления, и бумажные чеки, и иные юридически ничтожные квитанции , которые очень легко подделать.

А что же е-поселок? Почему онлайн оплата в e-poselok безопасна? И можно ли доверить данные карты этому сервису?

• да - e-poselok.ru находится в защищенном облаке в дата-центе, сертифицированном для хранения данных 1 категории уязвимости (в т.ч. правительственные данные)
• да - передача данных в e-poselok.ru производится по защищенному HTTPS протоколу с шифрованием данных с помощью специального сертификата безопасности
• да - для совершения платежа и ввода данных банковской карты плательщик переключается с сервера e-poselok.ru на сервер Промсвязьбанка, который защищен на том же уровне и его работа регулируется стандартами PCI DSS и ежедневно проверяется Центральным Банком России
• да - ПАО Промсвязьбанк (третий по размеру банк России после Сбербанка и ВТБ, банк с государственным участием, банк ответственный за работу Правительства с оборонными предприятиями) полностью контролирует процесс оплаты и взаимодействие с международными платежными системами Visa, Mastercard и Мир. Данные карты обрабатываются внутри банка, при необходимости они также запоминаются внутри инфраструктуры банка с помощью технологии цифровых слепков, исключающих злоупотребление информацией о платеже и хищение данных карт
• да - e-poselok.ru и администрация Вашего поселка/СНТ не хранит и не обрабатывает данные карт. Эти данные обрабатываются только на стороне банка. Е-поселок получат от банка данные о выполнении операции, коды авторизации и отдельные цифры из номера использованной карты, которые разрешены платежными системами для открытой передачи и разглашения. Поэтому это безопасно даже если вы не видите для себя оснований доверять именно Е-поселку.

А почему это вы так нахваливаете E-poselok и уверяете в его безопасности?

Мы же сами его делали! Стали бы мы делать сервис с заведомо небезопасными элементами? Конечно нет, в основу системы заложены разумные и достаточные средства обеспечения безопасности, они дополнены проактивными интеллектуальными системами поиска проблем и рисков, а вопросы приема платежей и обработки карт вообще полностью переданы ответственному банку-эквайеру — ПАО Промсвязьбанк. В нашем случае только банк имеет доступ к картам, только банк хранит и обрабатывает данные карт и платежей, а это значит, что банк обеспечивает безопасность всех операций своей развитой и серьезной инфраструктурой да еще и при участии платежных систем и ЦБ РФ.

А что на самом деле опасно делать с картам?

Доверять людям, которые манипулируют некими знаниями о держателе карты и пытаются выманить у вас полные данные или код подтверждения операции с помощью приемом социальной инженерии.

С 2018 года технические методы воровства данных карт зашли в тупик на фоне массового перехода банков на технологию 3ds и ужесточению требований PCI DSS и требований ЦБ РФ. Началась эпоха звонков "из службы безопасности Сбербанка" с рассказами о "неподтвержденных операциях", якобы оформленных кредитах и т.п. Попытка спровоцировать у клиента стрессовую ситуацию, потребовать быстро-быстро передать данные оказалась на порядок более безопасной для злоумышленников и более эффективной. Поэтому сегодня всерьез говорят именно о том, что самым слабым звеном в обеспечении безопасности платежей по картам является именно человек, который охотно и одинаково верит выдуманным байкам, пугалкам из желтой прессы и звонкам аферистов, которые просят назвать код операции. Давайте будем стараться быть умнее.

Рекомендуем полезное видео - как платить карточками в е-поселок.