Несмотря на живой интерес к криптовалюте и различного вида электронным кошелькам, самым распространенным способом оплаты товаров и услуг в интернете остаются банковские карты. Такая карта фактически открывает доступ к банковскому счету. Неудивительно, что люди переживают: насколько безопасны онлайновые платежи?
Как это работает
В процесс оплаты вовлечены пользователь (владелец карты), интернет-магазин, банк-эмитент (выпустивший карту для пользователя), банк-эквайер (банк, сотрудничающий с магазином) и платежная система (Visa, MasterCard, Мир, Unionpay и пр.).
- Пользователь выбирает товар/услугу на сайте магазина и опцию оплаты картой.
- Магазин перебрасывает пользователя на форму банка-эквайера или посредника-агрегатора (такого, как Robokassa). Пользователь вводит в защищенную форму данные своей карты.
- Технология 3D Secure: банк-эмитент попросит подтвердить платеж. Чаще всего это делается через отправку пользователю специального кода по SMS или в мобильном приложении. Пользователь «возвращает» этот код банку-эмитенту — вводит в поле на сайте.
- Банк-эквайер отправляет запрос с платежную систему, та связывается с банком-эмитентом, и тот подтверждает платеж. Может и не подтвердить — например, если на карте недостаточно средств.
- Банк-эквайер передает подтверждение платежа магазину.
Данные между ними (включая данные карты) передаются в защищенном, зашифрованном виде. В целом это безопасная система. Когда она может стать небезопасной?
Возможные риски
Ниже перечислены примеры рисков, существующих в связи с оплатой товаров или услуг картой в интернете.
- Пользователь может стать жертвой фишинговой атаки. Тогда он окажется на мошенническом сайте магазина, очень похожем на настоящий сайт.
- В былые годы можно было нарваться на простые формы, не защищенные HTTPS. Сейчас это маловероятно.
- Иногда случаются утечки персональных данных. В данном случае, например, из банка-эмитента.
- Данные могут перехватить с помощью кейлоггера (программного, аппаратного) или видеонаблюдения.
- Злоумышленник может получить несанкционированный доступ к онлайн-кабинету на сайте банка-эмитента, мобильному устройству или иному месту, где хранится информация о счете и карте. Например, если получит доступ к устройству, изъятому во время обыска.
- Когда причиной становится человеческий фактор (и это не только про фишинг). Например, человек сам ошибочно проводит платеж дважды.
Если карта привязана к смартфону (Google Pay, Apple Pay), это значит, что данные карты находятся в смартфоне. В принципе злоумышленник может воспользоваться смартфоном для покупки товаров и услуг, в том числе онлайн. Нам известны люди, которые открывали банковские счета, но не заказывали (и не получали) пластиковые карты. Вместо карт они успешно использовали Google Pay или Apple Pay. Поэтому советы, которые вы прочтете в этой статье, отчасти применимы и к телефонам с Google Pay / Apple Pay.
Что можно делать для профилактики
Вы можете предпринять определенные шаги для снижения рисков.
- Если вдруг вам предлагают ввести данные карты на странице без HTTPS, откажитесь от этой идеи.
- Включите двухфакторную аутентификацию в своем аккаунте на сайте банка-эмитента. Убедитесь, что там используется надежный пароль.
- Убедитесь, что у вас работает 3D Secure. Если не работает, обратитесь в банк.
- Если позволяет банк-эмитент, вы можете создать для интернет-платежей одноразовую виртуальную карту. Возможно, стоит выбирать банк, который это умеет. С помощью такой карты можно совершать однократные онлайновые платежи — заказать пиццу или купить компьютерную деталь в онлайн-магазине — но нельзя совершать повторные платежи.
- Если позволяет банк-эмитент, для онлайн-платежей можно создать многоразовую виртуальную карту. Чтобы снизить риски, нужно применить ограничения (см. ниже).
- Используйте для карты ограничения банка:
— ограничивать объем ежедневных операций определенной суммой;
— ограничивать размер одного платежа;
— устанавливать максимальную сумму расходов в месяц;
— временно отключать онлайн-платежи. - Иногда банк не позволяет создавать виртуальные карты, но можно выпустить дополнительную физическую карту (так порой делают для подростков). Тоже рабочий вариант — с упомянутыми ограничениями.
- Если в банке реализована схема «внутренний счет + карточный счет», есть смысл не хранить на карте много средств, а переводить с внутреннего счета по необходимости.
- Если ваш банк не позволяет выпускать электронные карты и применять ограничения для платежей по карте, возможно, лучше сменить банк. Или дополнительно открыть счет в том банке, который это умеет, и использовать его карту для онлайн-платежей.
- Вообще, правильно иметь два банковских счета и более, лучше в разных банках. Окажется скомпрометирован один — сможете использовать другой. Хорошо, если у разных аккаунтов не только разные пароли, но и разные привязанные адреса email.
- Различные сайты то и дело предлагают сохранить данные вашей карты. Не соглашайтесь на это без большой необходимости.
- Если вы хотите запомнить данные карты для себя (номер, имя, дату окончания, CVV, пин-код), можно использовать менеджер паролей. В некоторых менеджерах паролей (например, Bitwarden) даже есть специальные шаблоны, чтобы было удобнее хранить эти данные и использовать их для вставки на сайты.
- Узнавайте попытки фишинга и не поддавайтесь им.
- Не запускайте на свои устройства вредоносные программы. Будьте аккуратны с тем, что скачиваете из сети. Возможно, стоит задействовать антивирус (или, как минимум, не отключать тот, что включен по умолчанию).
- Не предоставляйте данные карты кому попало.
- При вводе паролей и данных карты постарайтесь не оказываться в поле зрения камер наблюдения или любопытствующих соседей. Можно также использовать автоматизированную вставку реквизитов из менеджера паролей. На худой конец прикрывайте рукой вводимый с клавиатуры пароль.
- Защищайте те места на компьютере и в интернете, где находится информация о вашей карте и вашем счете, с помощью надежных паролей и по возможности двухфакторной аутентификации.
- Обращайте внимание на новости о слитых базах и о том, как реагируют те компании/сайты, у кого случился слив. Делайте выводы, с кем иметь дело, а от кого лучше держаться подальше.
Некоторые банки используют технологию динамического кода CVV. Этот код важен для онлайновых платежей и обычно напечатан на задней стороне карты. Динамический CVV регулярно меняется (подобно коду двухфакторной аутентификации) и отображается либо на специальном маленьком экранчике на самой карте, либо в приложении, либо в личном кабинете на сайте банка. Если данные вашей карты с динамическим CVV «утекли», злоумышленники все равно не получат CVV.
Что можно сделать в экстренном случае
Попробуем составить нечто вроде короткого кризисного протокола для ситуации, когда ваша карта, как вы считаете, была скомпрометирована онлайн.
- Заблокируйте карту (в онлайн-кабинете на сайте банка-эмитента, по телефону горячей линии, указанному на карте, или прийти в банк самостоятельно).
- Если есть основания подозревать слив данных, смените пароль к онлайн-банку.
- Проверьте, были ли в последнее время какие-либо несанкционированные платежи и переводы с карты.
- Если да, сообщите о мошенничестве в банк-эмитент и постарайтесь отменить эти операции.
- Перевыпустите карту (у вас будет новая карта с вашим именем, но другими реквизитами).
Оплата жителями РФ товаров и услуг за рубежом
С марта 2022 года карты российских банков-эмитентов не принимаются за рубежом. Соответственно, такой картой нельзя расплатиться в нероссийском интернет-магазине. Это создало проблемы для множества людей — тех, кому нужно оплатить, скажем, привычный хостинг.
Существует и обратная проблема: не получается оплатить российский сервис с помощью карты нероссийского банка-эмитента. Это беда для россиян, которые покинули страну, но вынуждены время от времени совершать платежи внутри России. Например, оплачивать коммунальные услуги в оставленной квартире или «подпитывать» свой российский сотовый номер, который необходим для доступа на «Госуслуги» и прочие подобные ресурсы.
Можно рассматривать криптовалюту (для тех, кто хочет и умеет) или «хавалу» (неформальную договоренность о трансграничном обмене денег). А как насчет доверенного лица?
Оплата через доверенное лицо
Предположим, вы в России, вам нужно оплатить хостинг в Германии. Вы просите своего друга, коллегу или иного человека, живущего за рубежом, которому вы доверяете, сделать оплату своей (его) карточкой. В обмен на какую-либо услугу с вашей стороны, в качестве оплаты за выполненную работу, в долг или в виде подарка на ваш день рождения.
Удобнее всего было бы отправить другу ссылку на форму, где он мог бы просто ввести сумму, ID вашего аккаунта и реквизиты своей карты. К сожалению, часто оплата невозможна без предварительной авторизации на сайте.
- Вы могли бы получить от доверенного лица по безопасному каналу реквизиты карты, авторизоваться на сайте магазина и провести платеж. Этот вариант лучше, если у доверенного лица есть возможность выпуска одноразовой виртуальной карты. В этом случае доверенное лицо должно закрыть (заблокировать) виртуальную карту сразу после платежа.
- Либо доверенное лицо могло бы получить от вас по безопасному каналу связи реквизиты входа на сайт магазина, авторизоваться там и провести платеж. В этом случае сразу после платежа вам нужно сменить пароль к магазину.
Оба варианта, однако, нельзя назвать безопасными. В первом случае доверенному лицу придется как-никак делиться с вами реквизитами карты. Во втором случае вы рискуете, открывая кому-то еще доступ к вашему аккаунту. Кроме того, оба варианта нарушают пользовательские соглашения, по которым реквизиты доступа запрещено передавать третьим лицам. Решением этой проблемы может оказаться опция «предоставить (частичный) доступ к моему аккаунту владельцу другого аккаунта». Такая опция есть, например, у регистратора и хостинг-провайдера GoDaddy.
Оплата через собственную зарубежную карту
Если вы проживаете в РФ, но можете временно выехать из страны и открыть банковский счет за рубежом, доверенное лицо не понадобится. Выбор стран, где нерезиденту-россиянину согласятся открыть счет, весьма ограничен. Из ближайших вариантов это Казахстан, Кыргызстан, Армения, Узбекистан, Грузия. Список банков здесь приводить нет смысла, так как банки часто меняют правила работы с клиентами-нерезидентами вплоть до полного отказа в обслуживании. Для открытия счета требуется загранпаспорт, а список остальных документов меняется от банка к банку. Могут попросить предоставить ВНЖ, ИНН, регистрацию места жительства или договор об аренде жилья, трудовой договор или регистрацию в качестве индивидуального предпринимателя. Некоторые банки интересуются законностью средств — просят налоговую декларацию за определенный период. Часто требуется местная SIM-карта. Сроки открытия счетов варьируются от пары дней до двух недель. Некоторые банки позволяют подать заявление на открытие счета по почте или по доверенности. Столь же пестрые условия существуют для пополнения этих карт. Если вы заинтересовались открытием счета за рубежом, лучше посмотрите ссылку для соответствующей страны выше или просто поищите в сети наиболее свежую информацию. Возможно, придется написать в приглянувшийся вам банк и уточнить условия выпуска карты на текущий момент.
Помимо организационных хлопот с открытием счета, россиянам предписано законом уведомлять налоговую инспекцию об этом факте. Штраф за непредоставление этих данных может достигать 5 тысяч рублей. В целом мы советуем рассматривать этот вариант, только если вам необходимо более-менее часто оплачивать что-либо в интернете. Например, если вы много путешествуете и самостоятельно бронируете себе билеты и жилье.