Ваша карта бита

Решив сделать очередной сюрприз, я оплатила через интернет две путевки в Египет. Все бы ничего, да только сделать приятную неожиданность не получилось. По дороге домой мужу пришлось притормозить о чужой, ну о-о-чень дорогой джип. И, конечно, понадобились деньги, увидев немного вылупленные, не скрою, обосновано, глаза супруга, я принялась искать способ отменить покупку через Интернет. Зайдя на сайт интернет-магазина, долго искала способ отмены покупки, писала письма в администрацию, но безуспешно. Потом позвонила в банк в надежде отменить транзакцию (банковская операция, состоящая в переводе денежных средств с одного счета на другой), но, там сказали, что этого сделать нельзя, как говорится "поезд ушел". Для меня это более чем удивительно, почему нельзя отменить денежную операцию, если покупка была совершена за несколько часов до обращения в банк? Осознав всю глубину проблемы, я задумаюсь над тем, как все же происходит процесс совершения сделки между покупателем и е-магазином в классическом варианте. Итак, покупатель "заходит" в интернет-магазин, выбирает необходимые ему товары и формирует "корзину" заказа. После того, как она сформирована, система автоматически направляет покупателя на сервер центра авторизации пластиковых карт (ЦАПК), проверяющего подлинность кредитных карточек и наличие денег. Сервер запрашивает у покупателя информацию о платежной карточке, необходимую для проведения платежа - номер и срок действия карточки, Ф.И.О. владельца. (Однако из личного опыта могу сказать, что информация, запрашиваемая у магазина, не всегда одинакова. Например, на http://www.economix.kz/index.html?page=5, зная номер счета карточки и РНН, можно совершать покупки за счет другого человека). Информация о ней направляется в выпустивший карточку банк для проверки наличия средств. После обработки информации, если денег на карточке достаточно для осуществления покупки, банк блокирует сумму в пользу магазина. Результат авторизации направляется одновременно магазину и покупателю. Исходя из результатов, магазин либо аннулирует заказ, либо организовывает доставку товара по назначению. Но это не все, остается еще один вопрос - безопасность. Теоретически ЦАПК гарантирует покупателю, что платежные реквизиты его карточки (номер, срок действия, код CVV2/CVC2) не попадут в руки мошенников, во-первых, потому что покупатель вводит их не на сайте интернет-магазина, а непосредственно в ЦАПК, а во-вторых, потому что сам ЦАПК не хранит эти данные у себя. Но и это еще не все. Канал передачи платежной информации между центром авторизации и интернет-магазином защищается специальным протоколом SSL, а использование цифровой подписи по алгоритму RSA с 1024-битным ключом исключает всякую возможность искажения передаваемой информации. Но практическую и, к сожалению, негативную сторону этого вопроса пришлось пережить на собственной шкуре другому человеку: "Вечером после работы мы с мужем пришли домой, и я решила проверить остаток денег на своей кредитной карточке. С удивлением обнаружила, что денег существенно не хватает. Прослушав последние девять транзакций, я была шокирована, так как не совершала эти денежные переводы. Сразу же обратились в Банк, карточку заблокировали до выяснения обстоятельств. На следующий день написала заявление о том, что транзакции прошли без моего участия. В свою очередь, менеджер сообщила, что в ноябре 2006 года были три попытки проведения транзакций по Интернету, но их отклонили по причине неправильного ввода данных карточки. Самое ужасное, что меня никто из сотрудников банка не поставил в известность об этом ни устно, ни письменно. На следующий день, мне позвонил сотрудник отдела по борьбе с мошенничеством с платежными карточками Банка и начал расспрашивать о транзакциях: " эээ….может Вы забыли?(!)". В конце разговора он попросил забрать заявление, так как может пострадать репутация Банка или они пойдут на принцип при расследовании этого случая. На следующий день я опять приехала в Банк, к начальнику отдела по борьбе с мошенничеством с платежными карточками, написала заявление о том, что не давала подтверждения транзакций оплаты через Интернет. Самое интересное, что я даже не открывала функцию оплаты карточкой в Интернете, которая по умолчанию должна быть закрыта и работает лишь в том случае, если карточкодержатель подтверждает о желании иметь данную функцию, по крайней мере, так объяснили в банке. В тот же день мой супруг зашел на тот же сайт, через который были проведены денежные переводы с моей карточки и произвел транзакцию со своей карточки, которая так же заблокирована для оплаты в Интернет-магазинах. Конечно, он сразу же позвонил в банк, где было начато служебное расследование. В итоге меня известили, что Банк не намерен отменять эти транзакции, так как считает, что они были проведены с моего согласия, и это доказывает распечатка звонков, полученная из Казахтелекома. На этом основании Банк решил не отменять девятнадцать транзакций которые прошли через Интернет без моего участия". После столь пугающей истории все в моем коллективе, где я ее озвучила, конечно, были возмущены, ведь почти каждый имеет карточный счет. Лишь системный администратор сказал, что деньги лучше снимать все сразу, и рассказал о способах, которыми пользуются е-мошенники: Ловля на удочку Фишинг - вид интернет-мошенничества в целях получения идентификационных данных пользователей. Организаторы фишинг-атак используют массовые рассылки электронных писем от имени популярных брендов. В эти письма они вставляют ссылки на фальшивые сайты, являющиеся точной копией настоящих. Оказавшись на таком сайте, пользователь может сообщить преступникам ценную информацию, позволяющую управлять своим счетом из интернета (имя пользователя и пароль для доступа), или, даже номер своей кредитной карты. Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. В частности, около 5 % пользователей не знают простого факта: банки не рассылают писем с просьбой подтвердить в онлайне номер своей кредитной карты и ее PIN-код. Задавшись вопросом как отличать е-магазин от е-мошенника, я написала письма в десяток сетевых магазинов в зоне kz, спустя несколько дней, получила всего лишь два ответа. Первый от Максима, менеджера по работе с клиентами www.elitetime.kz. "Мошенников на первый взгляд отличить довольно сложно, встречались некоторые сайты, в которых услуги стоят небольших денег, в пределах 20 у.е., но при этом есть сайты с более крупными суммами, наверняка связанные с тем, что в первом случае они более опытные мошенники, так как ради небольшой суммы вряд ли будут обращаться в правоохранительные органы. На мой взгляд, по оформлению сайта нельзя определить мошенников, так как многие западные сайты не уделяют оформлению особого внимания. Поэтому не знаю! Но есть некоторые ресурсы, которые отслеживают или собирают информацию о сайтах с уклоном мошенничества". И второй - от Михаила, работающего в Интернет-магазине www.hit.kz . "Прежде всего, необходимо ознакомиться с правилами интернет-магазина, понять механизм покупки, оплаты и доставки. Чем полнее и доступнее изложена эта информация, тем серьезнее магазин. При знакомстве с интернет-магазином следует обратить внимание на его физический адрес, также желательно наличие телефона, и не только сотового. Посмотреть, насколько "живой" проект, - обычно это видно по последнему обновлению товаров, новостям, новинкам. Попытайтесь найти срок существования проекта, отзывы потребителей, загляните на форум, если он есть. Так же следует обратить внимание на адрес сайта. Если сайт располагается на бесплатном "хостинге" (хостинг - площадка интернет/хостинг провайдера, где установлен и работает сайт, пример: http://www.магазин.narod.ru или http://магазин.forever.kz/), то целью создания подобного проекта, как правило, является проверка рентабельности и обкатка электронного магазина. Уровень безопасности таких сайтов оставляет желать лучшего, а так как особых усилий к раскрутке сайта и сервисному обслуживанию клиентов не прилагается, он может и вовсе скоро закрыться. К тому же, это еще один метод оценки "серьезности" магазина, так как специалисты банка предварительно проверяют магазин и только после этого выдают разрешение на работу через банк". Скан-девайсы Скимминг - это вид мошенничества, при котором используют специальные виды электронных устройств, которые при установке на банкоматах, позволяют при снятии денег в банкомате в режиме реального времени передавать дистанционно и фиксировать информацию о платежной карточке. Данные устройства могут быть установлены на лицевой части банкомата. Устройства, используемые мошенниками для считывания информации о платежной карточке (номера карточки и пин-кода), маскируются под обычные части банкомата. Например, считывающее устройство накладывается поверх гнезда для ввода карточки. Помимо этого, используются и видеокамеры, замаскированные под ящичек с информационными/рекламными брошюрами, устанавливаемыми под таким углом, чтобы можно было видеть пин-код при наборе и вводе. Владея информацией о платежной карточке, мошенники затем фальсифицируют карточки и, владея пин-кодом, снимают деньги с большого количества банковских счетов в сжатые сроки напрямую через банкоматы. Заявление от чужого имени Ваша личная информация используется другим лицом для подачи заявления на получение карты. Этот тип мошенничества очень трудно распознать, если только Банк не получит жалобу от клиента или же счет вскоре после открытия не попадет под проверку. Если вы не клиент данного банка, можете не знать, что под вашим именем кто-то получил карту, пока не обратитесь за кредитом, и вам не будет отказано по причине плохой кредитной истории. Подделка Если справка о состоянии счета содержит данные о транзакциях, которые вы не совершали, это может означать, что в обращении находится поддельная карта с тем же номером, что и ваша. Совершение операций без карты Ваша карта находится у вас, но злоумышленник совершает операции, используя номер карты, ПИН-код, CVC, пароль, например, заказывает товары по почте, телефону или через Интернет. Все же есть способы защиты от такого вида неприятностей. Хотя в принципе их можно сравнить с таким обыденным, как: "не разговаривать с незнакомыми", но, учитывая, что истина всегда лежит на поверхности, думаю, следует помнить и о том что: - При получении в банке карт обязательно надо их подписывать; - Хранить номер карты и личный идентификационный номер (ПИН-код) в тайне от других; - Периодически проверять, все ли они на месте; - Поддерживать связь с менеджерами счетов относительно состояния вашего счета, регулярно проверять выписки со счета; - Уведомлять Банк об изменении адреса проживания, телефона, места работы и т.п.; - Всегда иметь при себе номер карты и телефоны Банка; - Сохранять выданные экземпляры кассовых чеков с подписью в течение трех месяцев; - Уничтожать любые документы, в которых уже нет необходимости, где указан номер вашей карты и т.д. Ну, вот, пожалуй, это и все, что можно сказать относительно самых распространенных видов сетевых опасностей, которым мы можем подвергнуться, а может и нет, если будем прислушиваться к рекомендациям специалистов. P.S. В статье использована информация с сайта Евразийского банка и сетевой электронной энциклопедии Википедия. Электронный адрес автора: v_nechukhrannyy@mail.ru Рисунок с сайта http://www.pc.uz