Платежи по-безопасному

В прошлую пятницу благополучно разрешилась крайне неприятная ситуация, описанная мною в предыдущем посте. «Райффайзен Аваль» вернул восемь тысяч гривен, украденных с карточки его клиентки в начале мая. Насколько я понимаю (никаких документов и комментариев банк пока не давал), тем самым признано отсутствие вины клиента в случившемся. Клонирование карты, включая кражу PIN-кода и магнитной полосы, произошло таким образом, что этого невозможно было избежать. Честь и хвала банку, который не стал сваливать ответственность на своего клиента. Как говорится, плюс пятьсот к карме, репутации и лояльности множества клиентов банка, посвящённых в эту ситуацию. А пока вернёмся к вопросу, который я рассматриваю уже который месяц подряд: насколько безопасны технологии и методы безналичных платежей, предлагаемые украинскими банками?

В начале мая стало известно о раскрытии крупнейшей в истории атаки на банковские платёжные системы. Подробности можно прочитать здесь и здесь. Впечатляют и размах, и степень координации нескольких десятков (если не сотен) участников преступления. За 10-тичасовой отрезок времени киберпреступники увели свыше $40 млн, совершив 36 тыс. нелегальных транзакций с помощью банкоматов в 27-ми странах, включая и Украину.

Важно то, что эта атака была невозможна без изготовления дубликатов пластиковых карт. А информация о картах, необходимая для создания такого количества дубликатов, была получена непосредственно в банках. Никакого скимминга, фотосъёмки и прочей кустарщины. Если верить экспертам, которых цитируют издания, именно сотрудники банков превратились в основной канал подобных утечек. И это угроза, перед которой в принципе бессильны любые технологии.

В общем, надёжность традиционных карточных технологий после всего для меня под б-ооо-льшим вопросом. Ну хорошо, магнитная полоса и чипы не могут обеспечить достаточный уровень устойчивости к злонамеренным посягательствам. А что у нас с нетрадиционными, скажем так, технологиями?

И ещё один тезис к дискуссии о степени ответственности клиентов за допускаемые ими ошибки. Можно упрекать людей в том, что они «олени» и не соблюдают технику безопасности, но я вам вот что скажу. Компании тратят массу времени и средств на то, что сформировать лояльность к бренду. А лояльность — это, среди прочего, безусловное доверие к нему. К характерному сочетанию цветом, к эмблеме, к адресу в строке Интернет-браузера. Именно на безусловном доверии к бренду, на подобных автоматизмах основаны мошеннические трюки из арсенала так называемой «социальной инженерии». Это замкнутый круг, на самом-то деле. Компании не могут обойтись без лояльности и доверия своих клиентов. В свою очередь доверие может быть использовано против клиента. И чем выше доверие, тем легче обмануть.

Рассмотрим для примера представленную Приватбанком услугу SMS-платёж. Очень удобно: чтобы получить деньги, достаточно сообщить отправителю только номер своей карты. Но в этом удобстве скрыт и потенциал для злоупотреблений.

Допустим, вы продаёте через Интернет-площадку какой-нибудь товар. Вам звонит некто, представившийся потенциальным покупателем. Вы согласовали стоимость товара и называете номер своей платёжной карты. В ответ получаете SMS, отправленное злоумышленниками. Оно выглядит точь-в точь как в банке. Содержание, короткий номер, буквально всё, кроме содержащегося в сообщении адреса. А в адресе заменены пара-тройка букв, что-нибудь вроде primatbank.ua/semd/fr5hycv.html Ни заметить разницу, ни заподозрить недоброе человеку без опыта невозможно. По ссылке открывается фишинговый сайт, копирующий корпоративный сайт Привата. У вас спрашивают номер карты, PIN-код и CVV2 до кучи. Скажите, сколько процентов сообразит, что это ловушка? Ведь это же банк, ему ведь можно запрашивать любую информацию, разве не так? Вы ведь вводите свой PIN в банкомате, почему же не ввести его ещё раз на корпоративном сайте?

Собственно, эту несложную мысль я сам осознал буквально на днях. Что с этим делать я пока не знаю. Теоретически наивысший уровень защиты и устойчивости к взлому обеспечивают биометрия и разного рода аппаратные ключи (брелки, браслеты, перстни и т.п. постоянно носимые устройства, поддерживающие технологии т.н. открытых ключей). Но ведь даже самый надёжный ключ человек может доверить совершенно чужому человеку. Надо только расположить пациента к себе, войти в доверие...