Вітаю, дана лекція буде присвячена одній із найважливіших тем нашого курсу – безпеці електронних фінансів. Як ми вже говорили раніше – отримання фінансової користі, це головна мета злочинців у кіберсвіті, а найпростішим способом, звичайно, є крадіжка фінансової інформації у персональних користувачів чи у великих компаній. А вже за допомогою цієї інформації можна отримати і реальні гроші.
Фінансові дані якими воліють заволодіти зловмисники можна розділити на такі типи:
1) Інформація про карту для оплати в Інтернет: номер картки, строк дії, CVV2 код (останні три цифри на звороті картки).
На жаль, зараз у більшості випадків достатньо цих даних для проведення покупок у глобальній мережі.
2) Дані для входу в клієнт-банк: пароль, номер телефону, ключ доступу
Якщо зловмисники отримали ці дані, то вже зможуть заволодіти практично всіма фінансами, які є на ваших рахунках, особливо це небезпечно для бізнесу.
3) Інформація про картки для фізичних розрахунків: дані картки, PIN-код.
Адже, знаючи PIN-код і зробивши дублікат карти, нею можна буде вільно розраховуватись практично у любому магазині чи знімати готівку у банкоматі.
Існує три найбільш розповсюджені способи отримання зловмисниками попередньо вказаної фінансової інформації:
По-перше, це згадувані ще у другій лекції троянські програми, які відслідковують відвідуваність певних ресурсів, натискання на клавіші, скріншоти екрану, а також сучасні способи, які ми згадували у третій лекції: фішинг – створення підробних сайтів та скімінг – використання фізичних накладок для банкоматів.
Також останнім часом досить поширеним шахрайським методом є дзвінки власникам карт. Зловмисники представляються співробітниками банку і всілякими способами намагаються отримати інформацію про платіжну картку.
Можливості захисту від подібних схем
Розглянемо конкретні можливості захисту від подібних схем.
По-перше, як це не банально звучить, але найкраще взагалі не «пускати» на власний комп’ютер троянські програми. Для цього, одразу після встановлення операційної системи, потрібно інсталювати антивірус, принаймні безкоштовний.
Після встановлення всіх інших необхідних програм варто створити обліковий запис користувача без прав адміністратора і працювати повсякденно лише використовуючи його. У разі потреби встановлення певної програми зробіть це з облікового запису адміністратора, але після цього поверніться назад до звичайного облікового запису.
Використання облікового запису без прав адміністратора не дозволить шкідливим програмам запуститись навіть якщо вони потраплять на Ваш комп’ютер.
Фішінг
Ви вже знаєте що таке фішинг і бачили приклади фішингових сайтів, водночас варто відмітити, що середня тривалість життя фішингових сайтів складає близько 3-х днів, після чого вони просто блокуються або не підтримуються зловмисниками. На жаль, навіть за цей короткий проміжок часу зловмисники встигнуть отримати користь. Від фішингових сайтів Вас, по-перше, має захищати Ваш антивірус. Тут важливими будуть актуальність і швидкість наповнення бази фішингових сайтів обраного антивірусного вендору.
Однак, покладатись лише на когось не варто. Часто, достатньо просто бути уважними. При відкритті будь-якої сторінки пов’язаної з фінансовими операціями дуже важливо дивитись на протокол з’єднання, який при цьому використовується. Для цього достатньо подивитись у верхній лівий куток браузера. Там має бути позначка https://, а не http://. Протокол http:// не є захищеним і тому не потрібно вводити будь-яку фінансовому інформацію на сайтах, в яких не використовується протокол https://.
Також варто просто уважно дивитись на адресу сайту. Можливо, Вам щось здасться дивним, будуть переплутані літери, додані непотрібно префікси до адреси сайту. У цьому разі також варто одразу ж залишити сайт.
Якщо не звертати увагу на ці деталі, можна просто одного разу після купівлю товару на 200 гривень виявити, що з карти зникла вся сума, оскільки, залишені вами дані залишаться на серверах зловмисників.
Раджу Вам, по можливості, робити платежі у браузері, в якому відрита лише одна вкладка, оскільки існують шкідливі веб-додатки, які можуть перехоплювати інформацію з інших вкладок.
Також, якщо Ви не працюєте за власним комп’ютером, краще проводити фінансові операції в браузері в режимі інкогніто, щоб не залишити данні реальному власнику комп’ютера.
Захист від скімерів
Захист від скімерів практично повністю залежить від Вашої уваги. Безперечно, найпростішим способом захисту є використання банкоматів лише у відділеннях банків.
Краще за все обрати певні перевірені банкомати і користуватись ними.
Звичайно, життя вносить свої корективи. Інколи нам потрібно швидко зняти певну суму у невідомому місці і тут краще за все уважно оглянути банкомат. Все-таки не варто користуватись банкоматом того банку, про який Ви навіть не чули, оскільки Ви не будете знати як мають виглядати банкомати даного банку.
Як ми вже говорили, часто зловмисники дзвонять і просто випитують під різними приводами дані кредитної картки. Вам можуть сказати, що хтось намагався зняти гроші з вашої карти і потрібно уточнити дані щоб її заблокувати. Аналогічно можуть діяти і лжеспівробітники банку – зловмисники, котрі можуть випитувати у Вас PIN-код.
Приводів може бути дуже багато: від проблем з оплатою, до пропозиції повернути якісь бонусні кошти на Вашу карту. Все це є типовими методами соціальної інженерії.
Головне чітко розуміти, що ні в якому разі нікому і ніколи не потрібно говорити термін дії карти, CVV2 код та PIN-код.
У разі, якщо, хтось буде робити переказ коштів на Вашу карту варто пам’ятати, що для цього достатньо лише імені власника карти, а також номер самої і карти.
Варто відмітити, що існує також можливість зламу самого банку, з бази даних якого можуть будуть викрадені персональні дані клієнтів. Однак, в Україні таці інциденти не є поширені, або, принаймні, про них досі відкрито не заявляли. Проте, варто відмітити, що у США та країнах Західної Європи дана практика є досить розповсюдженою, варто згодом очікувати подібні інциденти і у нашій країні.
Що ж робити у подібній ситуації? Коли, наприклад одного чудового ранку Ви прокидаєтесь і бачите sms, в якому сказано що з вашого рахунку були зняті певні кошти, але Ви цього не робили.
Варто одразу ж звернутись в банк. На сайті банку Ви завжди можете знайти потрібні телефонні номери (радимо їх також записати в телефонну книгу) і по них повідомити, що Ви не робили ніяких транзакцій чи переказів. Після цього Ваша карта буде заблокована, і весь баланс на ній також. Тому не варто користуватись лише однією картою.
Розпочнеться розслідування випадку, банк буде розбиратись чому і як були зняті кошти. Однак, варто наголосити, що чим швидше Ви повідомите в банк про проблему, тим простіше буде повернути Вам гроші. Більшість сучасних платіжних систем по типу Visa чи MasterCard дають можливість повернути гроші за покупку, якщо Ви доведете що не робили її протягом досить тривалого часу, аж до 60 календарних діб.
Найкращі практики захисту
Найкращою практикою для захисту ваших фінансів є створення окремої карти для он-лайн платежів, на яку Ви будете просто переводити потрібні кошти перед проведенням транзакції. В цьому випадку, навіть якщо зловмисники будуть мати дані карти, з неї просто не буде що красти.
Взагалі правильно мати декілька карт. Наприклад, однією розраховуватись фізично в терміналах магазинів, іншою проводити он-лайн платежі, а основну використовувати лише для переказів коштів на попередні дві.
Це, можливо, здається досить незручним варіантом, однак, варто піти на деякі поступки для безпеки фінансів.
Також наполегливо радимо користуватись технологією 3D Secure. Вона полягає у тому, що перед проведенням транзакції Вам буде приходити на телефон sms з кодом. Отриманий код потрібно ввести для підтвердження проведення оплати чи переказу.
Якщо зараз у Вас не підключений даний тип захисту, раджу звернутись в банк і підключити технологію 3D Secure.
Хочу ще раз наголосити, що Ваша безпека у Ваших руках, найголовніше – це бути уважним і не забувати про поради, отримані у даній лекції. Для зручності Ви можете завантажити їх у вигляді невеликої презентації.
У наступній лекції ми поговоримо про безпеку персональної інформації, зокрема, про захист від крадіжки чи випадкової втрати.