Как работает безопасный прием платежей в интернет-магазине. Protect: защита платежных карт

, 15 августа 2016

Что такое браузер SafeZone? Самый защищённый браузер в мире®, обеспечивающий безопасность и анонимность в Интернете, с функцией Режима безопасных платежей.

В последнее время очереди в банковскую кассу стали для многих довольно редким событием. Проверка баланса, оплата счетов и совершение покупок с помощью онлайн-банков действительно очень удобны и стали для нас обычным явлением, несмотря на то, что они связаны с повышенным риском. Каждый раз при авторизации на странице интернет-банка мы вводим комбинацию логина и пароля, которая может оказаться в руках злоумышленников, поставив под угрозу сохранность денежных средств. Ч тобы обезопасить вас и ваши сбережения, мы создали защищённый Режим безопасных платежей в браузере SafeZone.

Мы обеспечиваем безопасность и анонимность при работе в Интернете

Пользователи постоянно устанавливают большое количество подключаемых расширений и модулей в свои веб-обозреватели, чтобы повысить уровень конфиденциальности, заблокировать рекламу или распознать сайты с низкой репутацией. Наши разработчики приняли решение максимально повысить уровень обеспечиваемой приватности, по умолчанию встроив данные расширения в браузер с говорящим названием SafeZone.

Поначалу данный продукт был доступен только в платных версиях наших антивирусных продуктов, однако, следуя миссии обеспечения надёжной онлайн-защиты каждого Интернет-пользователя, мы сделали его доступным и в бесплатной версии антивируса Avast .

Режим безопасных платежей изолирует вашу сессию

Хакеры имеют множество способов для перехвата информации во время совершения операций в интернет-банке. При использовании SafeZone сервисы онлайн-банков открываются в надёжно защищённом Режиме безопасных платежей . При вводе URL-адреса вашего интернет-банка (например: online.sberbank.ru) Режим безопасных платежей запускается автоматически.

Данная функция изолирует сеанс в защищённом виртуальном пространстве, охраняя передаваемые данные от потенциальной угрозы кейлоггеров, шпионских программ , отслеживания в сети и перехвата любых учётных и прочих персональных данных. Работая в Режиме безопасных платежей, вы можете быть уверены в сохранности производимых финансовых операций и защите ваших действий от отслеживания.

Для обеспечения более высокого уровня защиты наше веб-решениешифрует передаваемые и получаемые данные с помощью собственных DNS-серверов. Это особенно актуально при подключении к незащищенным общедоступным точкам доступа Wi-Fi. Вы можете активировать Режим безопасных платежей в любое время и на любом сайте по вашему желанию, обеспечив дополнительный уровень защиты и конфиденциальности.

Защита от мошеннических сайтов

Фишинг – один из самых популярных способов хищения персональных данных для последующего отъёма денежных средств у пользователей онлайн-сервисов. Как правило, используется метод рассылки e-mail сообщений от имени банковских учреждений и прочих известных организаций. Сразу отличить от оригинала подобные сообщения бывает непросто. Данные письма зачастую содержат призыв для перехода по прикреплённой ссылке, кликнув по которой пользователь оказывается на мошенническом сайте, внешне неотличимым от настоящего, где по той или иной причине будет необходимо ввести свои учётные данные (например, для входа в интернет-банк). Ранее мы о случаях маскировки мошеннических сайтов под страницы известных ритейлеров и службы DHL .

В случае, если вы попытаетесь перейти на подозрительный сайт, используя наш веб-обозреватель, сессия автоматически будет перенесена в изолированное защищенное окно для обеспечения защиты от взлома и акцентирования внимания пользователя о потенциальной онлайн-угрозе . Обратите внимание на веб-адрес сайта. Как правило, злоумышленники делают его похожим на оригинальный, но с незначительными изменениями. Отсутствие также должно насторожить. В случае каких-либо сомнений в подлинности сайта или письма всегда рекомендуем связываться со службой поддержки вашего банка.

Наш продукт фильтрует веб-страницы с плохой репутацией и предотвращает автоматическую установку нежелательных расширений, исключая риск стать жертвой шпионских программ . Это наш самый безопасный инструмент для ежедневной работы в Интернете.

Установите SafeZone в качестве браузера по умолчанию

Данный инструмент является одним из компонентов защиты нашего антивируса и по умолчанию устанавливается вместе с ним. На рабочем столе появляется ярлык программы. Однако, по желанию, его можно удалить. Во время инсталляции антивируса вы также можете исключить программу из списка компонентов для установки.

Открыть компонент можно также через пользовательский интерфейс антивируса Avast в разделе Инструменты либо через меню Пуск. Если у вас уже установлен антивирус Avast, а браузер не отображается в списке установленных, перезагрузите свой компьютер для завершения процесса установки.

Как удалить браузер SafeZone

Для корректного удаления любого дополнительного элемента антивирусной защиты Avast откройте Панель управления компьютера -> Установка и удаление программ (Программы и компоненты) -> Двойное нажатие на Avast -> Выберите Модифицировать -> Снимите галочку с компонента, который вы пожелаете удалить.

Сейчас все большую популярность набирают всевозможные сервисы онлайн работы с деньгами. Интернет-банкинг, Webmoney, Яндекс.Деньги – эти платежные системы охватывают все больше пользователей, а на Западе и вовсе давно уже знакомы практически всем.

Но в тоже время подобные сервисы – лакомая цель для очень многих мошенников. Еще бы – кошелек с крупной суммой денег, к которому можно получить доступ из любой точки планеты, где есть Интернет! К тому же, такой стремительный рост новых способов расчета за товары и услуги привел к тому, что далеко не все знают, как необходимо правильно защищать свои интернет-сбережия и безопасно ими пользоваться. Известен, например, случай, когда реквизиты доступа к системе Webmoney пользователя можно было найти в документе, который был публично размещен в социальной сети Вконтакте.

Ухищрения мошенников

Однако, зная методы хакеров, можно достаточно неплохо обезопасить свои онлайн-деньги.

Универсальный способ получить незаконный доступ к кошельку – использование троянских программ. Этот подход одинаково эффективен как для программных интернет-платежей, так и сервисов, работающих через веб-интерфейс браузера. Троянец попадает на компьютер под видом полезного обновления, а на самом деле, будучи запущенным, начинает «подсматривать» все вводимые логины и пароли и передавать их злоумышленнику.

Кроме того, распространены троянские программы и для мобильных устройств. Основная их задача – перехват SMS с кодом подтверждения операции, который приходит на телефон. Таким образом, заразив компьютер вирусов и перехватив мобильное сообщение, хакер может получить полный доступ к платежной системе.

Обезопасить себя от троянцев несложно – достаточно использовать на компьютере и мобильном телефоне хороший, обновленный антивирус, а также не запускать подозрительное ПО.

Второй любимый прием хакеров – фишинг. Чаще всего жертвой этого метода становятся платежные сервисы, которые работают через интерфейс браузера, без установки дополнительного ПО. В этом случае хакером создается сайт – точная копия платежной системы, ссылка на который подбрасывается «жертве». Все введенные на таком ресурсе логины и пароли тут же доставляются злоумышленнику, и в итоге он имеет полный доступ к реквизитам системы.

Основное оружие против фишеров – внимательность и осторожность. Во-первых, дизайн фишингового сайта очень редко может совпадать до мельчайших деталей с сайтом-оригиналом. А сам домен, на котором хакер расположил свой ресурс, никогда не будет совпадать с оригинальным. Поэтому, если вы попали на подозрительный сайт, не вводите на нем никакой информации, а лучше внимательно присмотритесь к адресу страницы. И, конечно же, лучше всего не переходить по ссылкам, присланным от незнакомых людей, особенно в соц. сетях.

Ну и, конечно же, не будем забывать про самый древний, но, тем не менее, действенный способ хищения денег – обман. Всевозможные призывы пожертвовать деньги на благотворительность, дать займ, вложить их в систему, которая даст 100500% прибыли и т.д. – все это чаще всего обман. Обычно убедиться в том, насколько можно доверять просителю, достаточно легко – он сможет представить официальные документы. Например, если в Интернете собирают деньги на лечение, то должны быть указаны сведения, подтверждающие болезнь и сумму, необходимою на лечение. Кроме того, чаще всего те, кому на само деле нужна помощь, имеют не только реквизиты в платежных интернет-системах, но и официальный счет в банке.

Собственная безопасность

Но не только из-за хакерских ухищрений можно потерять свои деньги. Очень часто пользователи сами провоцируют кражи, оставляя в общем доступе информацию, которой там не должно быть. Помните: никому нельзя оставлять свои логины и пароли от платежных систем! Этого вполне достаточно, чтобы получить возможность воспользоваться деньгами, даже если используется дополнительная защита.

Кроме того, существует еще несколько способов обеспечить дополнительную безопасность своих денег в Интернете:

1. Используйте двухэтапную аутентификацию. В этом случае для входа в систему необходимо кроме логина и пароля ввести код, который придет в SMS на мобильный телефон. Для того, чтобы обойти такую защиту, злоумышленнику нужно иметь физический доступ к телефону или установить в него троянца-перехватчика SMS,что достаточно проблематично.

Небольшая хитрость: если использовать для идентификации устаревшие модели телефонов, без поддержки выхода в Интернет и возможности установки стороннего ПО, то можно гарантировано обезопасить себя от вирусов на мобильном устройстве.

2. Использовать привязку кошелька к IP-адресу. Таким образом, получить доступ к средствам можно будет лишь с Вашего устройства, что значительно уменьшает шансы взлома. К сожалению, способ не работает, если используется динамический IP или же есть необходимость иметь доступ к счету с разных устройств.

3. Не храните ключи на компьютере. Многие программы платежных сервисов используют файл с «ключами», который привязывает их к определенному устройству. Такие файлы легко украсть хакеру. Лучше всего ключи хранить отдельно, например, на флешке.

4. Не игнорируйте обновления программ платежных сервисов. В них разработчики устраняют критические ошибки и уязвимости.

5. Не храните крупные суммы на интернет-счету.

И самое главное – не бойтесь работать с интернет-деньгами. При соблюдении должных мер предосторожности это очень удобный и современный инструмент.

Роман Идов, аналитик компании SearchInform, эксперт по информационной безопасности:

Работа с системами интернет-платежей требует от пользователя значительных усилий по соблюдению информационной безопасности, поскольку риски намного выше, чем когда, например, злоумышленники похищают его учетную запись в социальной сети. Главным правилом должна стать разумная доля паранойи, которая поможет распознать потенциальные проблемы и вовремя предотвратить похищения аутентификационных данных. Представьте, что это не виртуальные деньги, а «живые» банкноты, и в вас сразу проснется желание защитить их от возможных посягательств, что повысит бдительность и уменьшит возможные риски.

Как совершать онлайн-платежи безопасно рассказано в этой статье.

Оплата различных услуг и товаров через интернет очень удобна в плане экономии времени, но связана с некоторыми рисками, которые можно минимизировать, используя нижеприведенные рекомендации.

Отзывы. Прежде чем, что то купить через интернет желательно собрать максимум информации как о товаре, так и о репутации продавца (компании, интернет-ресурса,магазина, человека). Знакомство с отзывами в интернете способно уберечь от многих ошибок. Наличие у продавца сертификатов от сторонних компаний, которым Вы доверяете также является хорошим признаком.
Защищенность места оплаты и соединения. Использование открытых сетей Wi-Fi и компьютеров в общественных местах не приемлемо для совершения онлайн-платежей. Для защиты Wi-Fi используйте такие программы, как .Платежи стоит совершать только при наличии защищенного соединения по протоколу https, при котором весь трафик шифруется. В наличии такого соединения можно убедиться, взглянув на начало адресной строки в браузере. Для Google Chrome при правильном соединении https и замочек будут зеленого цвета. При подозрительном соединении https перечеркнуто красной чертой, а серый замочек – красным крестиком. Для выяснения подробностей нужно кликнуть по замочку. При отсутствии защищенного соединения вместо https в начале адресной строки будет только http.
Сокрытие данных своей карты. Очень часто разумно скрыть от продавца данные своей карты или счета, на котором числится большая сумма. В этом случае для оплаты удобно использовать сторонние системы, такие как Яндекс.Деньги, WebMoney, PayPal. Этот способ можно применять при отсутствии защищенного соединения с сайтом-продавцом. Другим вариантом является использование виртуальных карт, предоставляемых многими банками. Непосредственно перед расчетом на эти платежные средства переводится необходимая сумма, для того, чтобы сразу ее потратить.
Использование всех предоставляемых средств защиты своего платежа. Приведу простой пример. Ровно месяц назад я оплатил покупку обучающего курса через Яндекс.Деньги. Отзывы о продавце были самые замечательные. Репутация незапятнанная. Курс же до сих пор я так и не получил. Насколько мне удалось выяснить, у продавца сейчас большие проблемы со здоровьем. У меня бы не было никакого беспокойства за свои деньги, если бы при оплате я поставил галочку перед Защитить кодом протекции. В таком случае продавец получил бы мои деньги только после сообщения ему кода протекции. До этого я мог бы в любой момент вернуть свои средства. В системе Яндекс.Деньги перевод лучше осуществлять лишь тогда, когда система определяет, что получатель идентифицирован . В этом случае получатель подтвердил свою личность и система располагает его паспортными данными.
Защита своего счета. Разумной мерой защиты является установка ежедневного лимита на снятие денег со своего счета. Это не позволит злоумышленнику снять всю сумму сразу. Многие банки предоставляют возможность получения SMS уведомления при снятии денег со счета. Если деньги были сняты мошенниками, то такая функция позволяет сразу же позвонить в банк с целью блокировки счета. После визита с документами в ближайшее отделение банка будет шанс исправить ситуацию.
Не станьте жертвой социальной инженерии. Методы социальной инженерии в руках мошенников зачастую превосходят чисто программно-технические средства взлома. Суть этих методов заключается в использовании человеческой неосмотрительности для выуживания нужных данных. Для этого, например, жертве в письме сообщается о необходимости совершить ряд действий на сайте платежной системы или интернет-банкинга. В письме указывается для перехода ссылка, ведущая на поддельный (фишинговый) сайт, который чисто внешне ничем не отличается от настоящего. Различие может заключаться лишь в одном знаке в URL, что непросто заметить. Ничего не подозревающий пользователь переходит на фишинговый сайт, на котором вводит свой логин и пароль, вследствие чего они становятся известными мошенникам.
Для выявления ссылок на фишинговые сайты используйте возможности антивирусов или штатные средства браузеров.
Для затруднения хищения своих логинов и паролей для их набора используйте

Злоумышленники могут попытаться получить ваши платежные данные (номер карты, имя владельца, срок действия и CVV2), чтобы затем использовать их для кражи денег с вашего счета. Платежные данные могут подвергнуться опасности в следующих случаях:

форма онлайн-платежа была размещена на сайте злоумышленниками;
сайт, принимающий оплату с платежных карт, не использует защищенное соединение HTTPS ;
сайт использует неизвестный Яндексу сертификат ;
форма платежа находится на другом домене, нежели основной сайт.

При вводе номера платежной карты Яндекс.Браузер может вывести на экран два вида предупреждений:

Угроза кражи данных
Потенциальная проблема безопасности

Чтобы получить дополнительную информацию о проблеме, нажмите на значок карточки в Умной строке. Вы увидите одно из следующих сообщений:

Сообщение	Описание
example.com
«Имя сертификата»	Сертификат сайта
	фишинговую страницу.
example.com .

Сообщение	Описание
Вы вводите номер карты ** на сайте example.com** , не использующем надежное шифрование. Ваши платёжные данные могут перехватить злоумышленники.	Яндекс считает сайт подозрительным или во время платежа сайт использует незащищенное HTTP-соединение. Прервите платеж, иначе ваши платежные данные могут стать добычей мошенников.
«Имя сертификата» может увидеть данные вашей банковской карты.	Сертификат сайта неизвестен Яндексу (сертификат подтверждает подлинность сайта и участвует в шифровании данных при HTTPS). Проверьте происхождение сертификата и решите, доверяете ли вы ему.
Соединение с этим сайтом не шифруется, но данные вашей карты будут отправлены на защищённый example.com .	Форма для ввода платежных данных находится не на том сайте, на котором вы совершаете платеж. Есть вероятность, что вы попали на фишинговую страницу. Убедитесь, что вы доверяете сайту, на котором расположена форма ввода платежных данных.
Данные вашей банковской карты будут направлены на другой защищённый сайт - example.com .

Cтандарт безопасности 3-D Secure использован Международными платежными системами VISA и MasterCard для разработки сервисов безопасных расчетов по картам в Интернет. В VISA данный сервис называется "Verified by VISA" , в MasterCard MasterCard SecureCode .

Технология 3-D Secure является самым передовым стандартом безопасности платежей и сводит риск мошенничества к нулю. Это достигается главным образом за счет того, что при оплате покупки по технологии 3-D Secure аутентификация владельца карты осуществляется на специальном сервере банка, выпустившего карту. Для аутентификации клиента требуется пароль, который известен только самому владельцу карты. Таким образом, одного номера карты недостаточно, чтобы совершить оплату. Безопасность передачи данных в сети обеспечивается использованием протокола шифрования SSL (Secure Socket Layer).

SSL сертификат

SSL (Secure Sockets Layer) — это основанный на открытых ключах, протокол безопасности, реализующий безопасный канал между веб-сервером и браузером пользователя. Протокол безопасности SSL широко используется в обозревателях Интернета и серверах для проверки подлинности, целостности сообщения и обеспечения конфиденциальности.

Сертификаты представляют собой цифровые документы, которые позволяют и серверам, и клиентам проверить подлинность друг друга. Они необходимы для установления между сервером и браузером на компьютере клиента соединения по протоколу SSL, при котором информация передается в зашифрованном виде.

* Согласно операционным правилам международных платежных систем Visa с 1 апреля 2003 года и MasterCard (с 1 января 2005 года) держатель карты не имеет права оспорить платеж по карте, если он была проведен в Интернет-магазине, поддерживающим 3-D Secure, так как платеж считается однозначно идентифицированной банком, выпустившим карту, на правомерность и легитимность.

Теперь магазин в случае платежа по 3-D Secure не будет нести потерь в результате действий карточных мошенников, так как аутентификация личности кардхолдера происходит на стороне банка-эмитента.

]Таким образом, снимается один из основных барьеров, мешающих магазину принимать кредитные карты в интернете. Технология 3-D Secure , по утверждению международных платежных систем VISA и MasterCard , является наиболее безопасной из всех существующих, а это безусловно влияет на конкурентоспособность магазинов и лояльность владельцев карт.

Владелец карты Visa или MasterCard, совершая покупку по 3-D Secure, получает новые преимущества.

Во-первых, в системе создается регистрационная запись, специально фиксирующая платежи в Интернет.
Во-вторых, владельцу карты не нужно менять свою карту, чтобы оплачивать товары или услуги по новой технологии — ему нужно лишь получить в банке, выпустившем карту, пароль, предоставляющий возможность работы по 3-D Secure .
Кроме того, владельцам карт VISA и MasterCard предоставляет дополнительные удобства - возможность возврата денег! Гарантированную защиту от мошенничества.

* В платежной системе VISA Int. стандарт безопасности 3-D Secure включен в программу Verified By VISA .
* В платежной системе MasterCard Int. стандарт безопасности 3-D Secure включен в программу MasterCard SecureCode.

Verified By VISA

Технология 3-D Secure является самым передовым стандартом безопасности платежей через Интернет и сводит риск мошенничества к нулю.

Это достигается главным образом за счет того, что при оплате покупки по технологии 3-D Secure аутентификация владельца карты осуществляется на специальном сервере банка, выпустившего карту. Для аутентификации клиента требуется пароль, который известен только самому владельцу карты. Таким образом, одного номера карты недостаточно, чтобы совершить оплату. Безопасность передачи данных в сети обеспечивается использованием протокола шифрования SSL (Secure Socket Layer).

VISA 3-D Secure : Протокол безопасности 3-D Secure предложен Международной Платежной Системой VISA . Введение данного протокола безопасности для платежей через интернет по пластиковым картамVISA позволяет существенно снизить риск мошеннических транзакций.

Verified by VISA — новая услуга, которая позволяет Вам совершать покупки в режиме реального времени, обеспечивая дополнительную безопасность Ваших операций. Используя простую процедуру проверки, Verified by Visa подтвердит Вашу личность во время совершения Вами покупки в участвующих в этой программе Интернет-магазинах. Это очень удобно и Вы сможете использовать для этого Вашу карту Visa.
Дополнительно к всем остальным преимуществам — Verified by Visa очень проста в использовании. Вы регистрируете карту только один раз и получаете свой пароль. Затем при совершении покупок в участвующих в этой программе Интернет-магазинах, автоматически появляется диалоговое окно Verified By Visa. Вам необходимо только лишь ввести свой пароль и подтвердить свою операцию (кликнуть "Подтвердить"). Ваша личность будет подтверждена и покупка будут совершена в режиме безопасности. Чтобы активировать услугу Verified by Visa для Вашей карты Visa, либо для того, чтобы получить более детальную информацию, свяжитесь с Вашим банком.

Verified by VISA is a new service that lets you shop online with added confidence.
Through a simple checkout process, Verified by Visa confirms your identity when you make purchases at participating online stores. It’s convenient, and it works with your existing Visa card.
Plus, Verified by Visa is simple to use. You register your card just once, and create your own password. Then, when you make purchases at participating online stores, a Verified by Visa window will appear. Simply enter your password and click submit. Your identity is verified and the purchase is secure.
To activate Verified by Visa in your Visa card, or to learn more, contact the financial institution that issued your Visa card.

MasterCard SecureCode

MasterCard UCAF/SecureCode :

В целях повышения безопасности интернет-платежей по картам MasterCard применяется технология UCAF/SecureCode. Как видно из названия, технология включает два способа проведения платежей — UCAF и SecureCode. Рассмотрим два способа более подробно.

UCAF : Данная технология подразумевает использование электронного кошелька держателя карты. После принятия решения об оплате товара и вводе реквизитов пластиковой карты MasterCard покупатель перенаправляется на специальную страницу на сервере банка. Данная страница содержит особые поля, в которых записана информация о реквизитах платежной карты, размере оплаты, адресе покупателя, идентификаторе магазина, уникальном номере транзакции и т.п. На основе этих данных и после аутентификации держателя карты электронный кошелек вычисляет или получает от банка эмитента специальное значение AAV (Account holder Authentication Value). Это значение аутентифицирует держателя карты и подтверждает его желание произвести оплату на указанную сумму. Метод вычисления AAV и аутентификации пользователя определяется банком-эмитентом. Электронный кошелек предоставляется пользователю банком эмитентом карточки и после установки на компьютер держателя карты запускается автоматически при появлении в браузере страницы с вышеуказанными специальными полями. Значение поля AAV проверяется сервером банка на соответствие вышеописанным полям и, в случае правильно заполненного поля AAV, производится оплата. В том случае, если поле AAV заполнено неправильно, платеж блокируется. Если поле AAV не заполнено, то платежная карта MasterCard трактуется как не вовлеченная в технологию UCAF и далее платеж протекает по технологии SecureCode.