Безопасность и защита интернет

Безопасность и защита интернет-платежей
Какие действия предпринимаются в деле создания систем безопасных расчетов в сети Интернет и
какие при этом используются технологические средства защиты? И почему, несмотря на якобы
надежную защиту, продолжают процветать мошенничество и кражи в Интернете?
Лучше быть в безопасности, чем потом сожалеть.
Американская пословица
Не так давно автору довелось беседовать с одним из друзей, который в обычной застольной
беседе внезапно заинтересовался, насколько же безопасны пластиковые карты вообще и
использование их в расчетах при покупках в сети Интернет в частности. Попытки отмахнуться от
него ставшей уже классической фразой «Полную гарантию может дать только страховой полис» ни
к чему не привели. Подняв тему, он тут же запряг всю киплинговскую шестерку «Что? Почему?
Когда? Как? Где? Кто?» и, пристегнув к ним своего любимца «А вот если?», этот друг, с детских
лет отличающийся феноменально занудливой въедливостью, настроился услышать
распространенные и доскональные ответы на все свои вопросы. Наверное, можно было бы
ответить ему с большим усердием и постараться разложить все, как говорится, по полочкам,
только вот интерес его был праздным…
Однако вопросы безопасности расчетов за товары и услуги в сети Интернет — вовсе не праздные,
особенно с учетом широкого наступления электронной коммерции, залогом успеха которой
становится постоянное увеличение числа пользователей Интернета, привлеченных более низкими
ценами и отсутствием необходимости покидать дом или офис для приобретения товара или
услуги. Как известно, жертвами онлайн-мошенников становятся не только держатели карт,
пользующиеся услугами электронной коммерции, но и сами продавцы, предлагающие свои товары
и услуги в сети Интернет.
Покупая в интернет-магазине и используя карту для оплаты покупки, держатель рискует потерять
свои деньги, если данные его карты станут известны мошенникам, интернет-продавец же в свою
очередь несет риск финансовых потерь, если товары или услуги были оплачены по украденной
карте мошенником.
Эмитенты, эквайеры, крайние…
Напомним, что в платежных системах участники разделяются на банки-эмитенты, выпускающие
карты для держателей, и банки-эквайеры (в частном случае эмитентом и эквайером может быть
одна кредитная организация/банк), обеспечивающие прием выпущенных карт в точках продажи
товаров и услуг. В соответствии с этим разделением строится следующая модель
взаимодействия: обладатель карты осуществляет покупку в магазине, информация с магнитной
полосы карты из магазина в форме запроса передается банку-эквайеру, обслуживающему этот
магазин, оттуда, через сервисы самой платежной системы, — в банк-эмитент. Банк-эмитент
производит проверку полученной информации о карте и держателе, а также состояния
авторизационного лимита и по результатам проверки разрешает (или не разрешает) проведение
транзакции. Положительный ответ банка-эмитента на авторизационный запрос является своего
рода гарантией, что банк-эквайер получит средства и переведет их на счет магазина. По правилам
международных платежных систем в традиционной торговле ответственность за мошеннические
операции с картами распределяется приблизительно в равных пропорциях между банкомэмитентом и банком-эквайером, то есть в случае мошенничества держателю возвращает
списанные средства либо эмитент (редкость в российских банках, где ответственность чаще
перекладывается на держателя), либо эквайер за счет торгового предприятия. В интернеткоммерции же ответственность за мошеннические операции ложится уже однозначно на эквайера,
который в свою очередь перекладывает ее на магазин, в итоге возврат средств обладателю карты
осуществляется за счет интернет-магазина, через который прошла мошенническая транзакция.
Отсюда следует, что наиболее незащищенным звеном в схеме совершения платежа в сети
Интернет является онлайновая торговая точка, поскольку в конечном итоге именно за ее счет
осуществляется возмещение убытков держателю карты. По описанной схеме работает
значительное количество интернет-магазинов, принимающих к оплате карты, что предполагает
наличие неких механизмов защиты, способных относительно успешно противостоять
мошенничеству.
Протоколы и другие методы защиты
Меры, предпринимаемые участниками электронной коммерции для обеспечения безопасных
расчетов в сети Интернет, всегда были достаточно многообразны.
Прежде всего, это обучение держателей карт минимальным навыкам для обеспечения
собственной безопасности: пользование только знакомыми интернет-ресурсами, изучение порядка
доставки товаров и предоставления услуг, проверка использования интернет-коммерсантом
сертифицированных протоколов, гарантирующих безопасность передаваемой информации.
Кроме таких простых методов защиты от мошенничества, как воспитание держателей, безусловно,
используются и технологические средства.
Широко используемый и ставший практически обязательным в интернет-торговле протокол SSL
(Secure Socked Layer) позволяет всем участникам торговли спокойно передавать самую разную
информацию. При попытке перехвата данных они будут закрыты шифром, взломать который за
сколько-нибудь адекватный промежуток времени невозможно.
Грамотный держатель карты, пользующийся услугами интернет-ресурсов, осуществляющих
продажу товаров и услуг, отнесется с предубеждением к отсутствию SSL у точки электронной
коммерции. Протокол SSL использует технологию шифрования с открытым ключом и цифровые
сертификаты для опознания сервера, участвующего в транзакции, и защиты информации в
процессе ее передачи от одной стороны к другой по каналам Интернета. Транзакции протокола
SSL не требуют идентификации клиента. Вначале клиент посылает сообщение серверу. Сервер
отвечает и отправляет клиенту свой цифровой сертификат в качестве средства идентификации.
Прежде чем продолжить транзакцию, клиент и сервер договариваются по поводу сеансовых
ключей. Ключи сеанса — симметричные закрытые ключи — используются только в данной
транзакции. Как только ключи выбраны, сеанс связи между клиентом и сервером продолжается,
при этом используются ключи сеанса и цифровые сертификаты.
Итак, хотя протокол SSL надежно защищает информацию, передаваемую через Интернет, он не
может уберечь частную информацию, хранимую на сервере продавца, — например, номера
кредитных карт. Когда продавец получает данные кредитной карты вместе с заявкой на покупку,
информация расшифровывается и сохраняется на сервере, пока заявка не будет выполнена. Если
сервер не защищен и данные не зашифрованы, то возможен несанкционированный доступ к
частной информации и дальнейшее использование ее в мошеннических целях.
В дополнение к использованию протокола шифрования передаваемых данных участники
интернет-коммерции используют такие хорошо известные способы идентификации держателя
карты, как проверка СVV2/СVK2-кодов (СVV2-код для карт платежной системы Visa и CVK2 — для
MasterCard).
К способам идентификации стоит добавить проверку адреса AVS (Address Verification Service).
Данная процедура в большей степени характерна для североамериканского рынка электронной
коммерции, но, тем не менее, с ней приходилось сталкиваться и держателям карт российских
банков, пытавшимся воспользоваться картами для оплаты товаров с доставкой на территории
США.
Однако все эти меры безопасности явно недостаточны для обеспечения высокого уровня
безопасности расчетов в сети Интернет.
Доля интернет-торговли неуклонно растет из года в год, увеличиваются обороты от продажи
товаров и услуг в сети, пропорционально растет и количество мошеннических операций, но мало
кто хочет отказываться от получаемых выгод, поэтому всех участников процесса все больше
волнует безопасность проведения платежей и расчетов.
3-D — это не только захватывающие фильмы
Вопрос безопасности волнует не только держателя карты, производящего оплату товара в
интернет-магазине, но и интернет-магазин, и эквайера, и эмитента, и больше всего — платежные
системы, которые вкладывают огромные средства для обеспечения безопасности платежей и
защиты от мошенничества.
Многочисленные попытки международных платежных систем сделать расчеты в области
электронной коммерции максимально безопасными привели к появлению разработанного
платежной системой Visa International протокола 3-D Secure.
Технология 3-D Secure представляет собой протокол аутентификации владельца карты при
проведении покупок в сети Интернет, предназначенный для обеспечения безопасности интернетплатежей: проверка личности осуществляется в онлайн-режиме.
Основным действующим принципом технологии 3-D Secure стала гарантия безопасности
проведения расчетов в системе электронной коммерции. Причем данная технология не только
гарантирует сохранение в безопасности сведений о покупателях, но и в значительной степени
способствует сохранению финансовых средств остальных участников платежа.
Реализуется технология 3-D Secure на основе трех доменов (что и заложено в ее названии), в
которых начинается и завершается жизненный цикл транзакции. Это домен эмитента, в котором
происходит аутентификация держателя, домен эквайера, включающий в себя банк-эквайер и
интернет-магазин, и, наконец, домен взаимодействия, содержащий службы и сервисы платежной
системы.
Цепочка, обеспечивающая безопасность 3-D Secure, состоит из таких звеньев, как:
— проверка личности владельца карты в реальном времени, которая начинается после ввода
номера карты на платежной странице электронного магазина, откуда покупатель
перенаправляется на сервер своего банка-эмитента. Для проверки используется пароль,
известный только владельцу карты и банку;
— формирование банком-эмитентом по результатам проверки ответного сообщения, которое банкэмитент защищает от несанкционированных изменений, используя цифровую пдпись;
— защита конфиденциальной информации пользователя, например номера карты, для чего
используются защищенные страницы платежного сервера, на котором сохраняется введенная
информация. Получатель платежа — электронный магазин — не имеет доступа к этой
информации, что защищает от ее хищения.
Таким образом, 3-D Secure не только обеспечивает безопасное проведение платежа, но и
разграничивает риски участников транзакции за счет четкого разделения функций при обработке
платежной операции: банк-эмитент проверяет личность держателя карты, поскольку именно он
располагает информацией о клиенте, а банк-эквайер автоматически организует связь с системой
аутентификации эмитента, используя для этого сервисы платежных систем. Отметим, что, если
мошенническая транзакция прошла через интернет-магазин, использующий технологию 3-D
Secure, ответственность за нее, согласно правилам платежных систем, будет нести уже не
эквайер, а эмитент, и при этом не имеет значения, использует эмитент технологию 3-D Secure или
нет. Выгода использования протокола 3-D Secure для точки электронной коммерции понятна, а вот
эмитенты попадают в сложную ситуацию, поскольку оказываются перед выбором: либо
приобрести очень недешевое решение 3-D Secure и обезопасить своих клиентов и себя от
мошенников, либо запретить держателям карт их использование в интернет-магазинах и потерять
значительную часть клиентов, пользующихся интернет-коммерцией, либо ничего не делать и
надеяться, что мошенничество не затронет их.
Можно с уверенностью сказать, что применение этого протокола гарантирует безопасность
платежей через Интернет для всех пользователей в любых электронных магазинах.
В борьбе за безопасность интернет-платежей международные платежные системы действуют
сообща, поэтому протокол 3-D Secure, предложенный Visa Int., был поддержан системой
MasterCard Worldwide. Результатом сотрудничества в сфере безопасности интернет-расчетов
стало появление программ Verified by Visa и MasterCard SecureCode. Обе программы для
безопасных расчетов в Сети предлагают использовать технологию 3-D Secure.
В самом общем виде обе программы предлагают держателю карты для проведения интернетплатежей зарегистрироваться на сайте банка-эмитента и получить от него некое кодовое слово
(число), которое потребуется ввести в всплывающем окне после решения держателя оплатить
выбранный товар/услугу на сайте интернетпродавца. Именно по этому слову (числу), которое
известно только банку-эмитенту и держателю, эмитент идентифицирует держателя и
подтверждает возможность успешного проведения операции оплаты. Как вариант, кодовое слово
или число может генерироваться единожды для каждой оплаты и высылаться SMS-сообщением на
телефон держателя карты. В этом случае при регистрации держателю потребуется сообщить
банку-эмитенту свой номер мобильного телефона, проконтролировать, чтобы на момент
проведения операции телефон был в зоне действия оператора связи, и иметь положительный
баланс на счете для успешного получения SMS-сообщения. Таким образом, проверкой введенной
кодовой информации и отправкой банком-эмитентом ответного сообщения транзакция успешно
завершается. Даны гарантии безопасности платежа и сохранности индивидуальной информации,
эмитент и эквайер обеспечили проведение безопасного расчета, интернет-коммерсант продал
товар, а держатель карты получил не только товар, но и новые преимущества от совершения
покупки по 3-D Secure: в системе создается специальная регистрационная запись, фиксирующая
платежи в Интернете, держателю не нужно иметь особую карту, чтобы оплачивать товары или
услуги в сети Интернет. Кроме того, владельцам зарегистрированных карт Visa Int. предоставляет
дополнительные удобства: возможность возврата денег, гарантированную защиту от
мошенничества.
Прочитав все вышеизложенное, резонно задаться вопросом, почему же не все так хорошо, если
все так хорошо? Почему продолжают встречаться случаи мошенничества и кражи персональных
данных, почему Интернет кишит сообществами интернет-шоперов, делящихся информацией о
потерянных деньгах и отказах в проведении платежей? Ответ прост — вся красивая модель
работы 3-D Secure строится на непременном участии в этих программах и эмитента, и эквайера, и
интернет-коммерсанта. Если держатель карты зайдет на сайт интернет-коммерсанта,
участвующего в любой из программ Verified by Visa или MasterCard SecureCode, и получит отказ в
проведении операции, это будет означать, что банк-эмитент, выдавший держателю карту, не
присоединился к протоколу 3-D Secure.
По информации MasterCard Worldwide, в мире зарегистрировано более 470 тыс. интернетмагазинов, участвующих в программе MasterCard SecureCode, и примерно столько же
участвующих в программе Verified by Visa.
А что в России?
В 2003 г. система ASSIST стала первой российской системой электронных платежей,
сертифицированной Visa International по новой технологии 3-D Secure, что можно считать как
значимым событием для самой компании, так и важным этапом в развитии электронной
коммерции в России в целом. С этого времени система ASSIST выступает в качестве
независимого провайдера аутентификации кард-холдера Verified by Visa.
Банки, принципиальные члены МПС, имеющие лицензию на интернет-эквайринг и
заинтересованные в нем, могут подключать свои процессинговые центры к шлюзу ASSIST.
В деле обеспечения возможности участникам электронной коммерции принимать к оплате карты
международных платежных систем активно стартовала компания PayOnline System — самая
современная из российских систем интернет-платежей. Компания сертифицирована на
соответствие PCI DSS и прошла сертификацию в международных платежных системах Visa
International и MasterCard Worldwide.
Солидным игроком в области предоставления интернет-процессинга по банковским картам,
работающим на российском рынке, является голландская компания CronoPay.
Интересным, на наш взгляд, явлением на российском рынке стала система HandyBank, которая
представляет собой интернет-банковский сервис для пользователей — физических лиц. Этот
сервис предоставляют банки — участники системы. HandyBank дает возможность клиенту банка
круглосуточно с любого компьютера или мобильного телефона совершать интернет-платежи со
счета своей банковской карты. Система только начинает свое развитие, но уже сейчас у нее есть
ряд реальных преимуществ по сравнению с обычными карточными платежами в Интернете. Вопервых, высокий уровень безопасности: система позволяет совершать транзакции, не передавая в
Интернет ни номера своей карты, ни ПИН-кода к ней, ни других ее реквизитов. Во-вторых, более
широкий спектр платежных операций. Клиенты HandyBank могут оплачивать множество услуг в
упрощенном режиме, совершать банковские переводы, платить налоги и штрафы (госплатежи),
совершать интернет-покупки с банковской гарантией возврата денег при любых проблемах с
поставкой товара. К дополнительным преимуществам можно отнести также мобильный банкинг и
пополнение счета через терминальные сети.
Таким образом, у российской интернет-коммерции есть все необходимые ресурсы для того, чтобы
привлечь к себе большое число интернет-покупателей, предоставив им широкий спектр
предлагаемых товаров и услуг и продемонстрировав высокую степень защищенности расчетов.
***
По последним сообщениям, появившимся в СМИ, в кампанию по борьбе с интернетмошенничеством включилась корпорация Microsoft. Как сообщает пресс-служба корпорации,
Microsoft совместно с Национальной ассоциацией по борьбе с киберпреступностью (NCFTA)
разработали систему Internet Fraud Alert, призванную противодействовать интернет-мошенникам.
Инициативу поддержали eBay, система PayPal, Citizens Bank, а также американская Федеральная
комиссия по торговле и некоторые другие организации.
Internet Fraud Alert позволяет создавать базу украденных данных о сетевых аккаунтах или
кредитных картах. Информация будет максимально оперативно передаваться в организацию,
обслуживающую владельца данных. Таким образом, банки и другие компании смогут обеспечить
безопасность пользователя и, проанализировав механизм кражи данных, предотвратить новые
случаи.
Все вышесказанное дает основания полагать, что защита платежей в сети Интернет есть
краеугольный камень в деле дальнейшего развития электронной коммерции, и участие в этой
работе таких монстров, как Visa International, MasterCard Worldwide и корпорация Microsoft,
приведет к повышению безопасности производимых интернет-расчетов и, как следствие, к
повышению уровня доверия держателей карт и пользователей интернет-коммерции.
Ну и, наконец, не забывайте о старом добром способе защиты — о страховом полисе, который в
настоящее время предлагают в основном активные банки-эмитенты. Банки, заключая договоры со
страховыми компаниями, предлагают держателям страхование рисков от мошеннических
операций, а в связи с ростом количества таких операций страхование пластиковых карт
становится все более востребованным как со стороны банков-эмитентов, так и со стороны
держателей карт. Среди основных рисков, которые покрывает страховка карты, — получение
мошенниками денег из АТМ с использованием украденной карты или поддельной карты,
использование поддельной карты и поддельной подписи на платежных документах, совершение
мошеннических операций по украденным данным карты в сети Интернет.
Банкам-эмитентам, которые хотят разрушить традицию перекладывания убытков по
мошенническим операциям на держателей карт, следует серьезнее отнестись к этому
перспективному способу защиты средств клиента и собственного имиджа.