Перейти к основному содержанию
ИТарктика
Василий Мамин
главный специалист сектора веб-разработки и развития портальных технологий ГАУ РК "Центр информационных технологий"
18.06.2018

Кому доверить свои деньги?

Оплата услуг в интернете, совершение покупок в интернет-магазине, перевод денег между счетами - для совершения этих операций часто используются электронные платежные системы. Безопасно ли это? Обеспечивается ли конфиденциальность ваших персональных данных? Есть ли вероятность похитить деньги из вашего электронного кошелька? И какую электронную платежную систему лучше использовать? Давайте разбираться.

Для сравнительной характеристики возьмем наиболее распространенные в России системы: Payeer, Web-Money, Z-Payment, Paypal, Яндекс-Деньги, Qiwi-Wallet. Оценка будет производиться по многоуровневой системе, включающей различные параметры. Все они тем или иным образом связаны со сферой информационной безопасности. Каждый из заданных параметров оценивается по трёхбалльной шкале.

При этом не будем забывать о человеческом факторе. Например, если сервис не обязателен для включения, то высока вероятность, что пользоваться им не будут. Поэтому в систему подсчета также введен весовой коэффициент для каждого параметра в зависимости от его обязательности: для обязательных сервисов - «1», для сервисов, которые требуется подключать дополнительно - «0,5».

Защита при авторизации/регистрации

Критерии при вводе пароля

Первый из критериев — набор параметров, отвечающих за защиту информации при прохождении пользователем авторизации/регистрации на сайте компании. В этот параметр включены: соответствие сложности пароля требованиям политики безопасности, наличие ограниченного числа попыток ввода пароля при прохождении авторизации, возможность многофакторной аутентификации, возможность использования токенов для прохождения авторизации, наличие Captcha при авторизации.

Для начала рассмотрим параметры: «соответствие пароля требованиям безопасности» и «ограниченное число ввода пароля при прохождении авторизации». Так как не существует нормативных правовых актов федерального уровня, устанавливающих четкие ограничения к данным параметрам, то для оценки будем использовать минимальные требования из готовящейся к внедрению рекомендательной методики ФСТЭК России «Меры защиты информации в государственных информационных системах».

Выдержка из документа: «длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней».

Рассматривая непосредственно сложность пароля, стоит отметить, что приведенные в методическом документе требования соблюдаются во всех системах за исключением Z-Payment. К сожалению, в этой системе удалось зарегистрироваться, использовав пароль «1». Таким образом, все системы за соответствие требований с учетом весового коэффициента получают 3 балла, система Z-Payment – 1 балл, за пароль, грубо несоответствующий требованиям. Так как ни одна из компаний не предусматривает обязательную смену паролей по истечении определенного срока, этот параметр не повлиял на расстановку баллов.

При рассмотрении параметра «ограниченное число ввода пароля при прохождении авторизации» обнаружено, что данный критерий не реализован в электронном кошельке Payeer, в системах Z-Payment, Paypal, Web-Money. В системах Яндекс Деньги и QIWI Wallet он отражен не полностью: вместо временной блокировки аккаунта компания к запросу учетных данных добавляет требование ввода Captcha. Во всех системах параметр используется по умолчанию, поэтому с учетом весового коэффициента участники исследования получают: Z-Payment, Paypal, Web-Money - 3 балла, Яндекс Деньги, QIWI Wallet - 2 балла и компания Payeer остается с нулем.

Многофакторная аутентификация

Очень важный критерий при определении защищенности электронной платежной системы - возможность реализации на ней многофакторной аутентификации при входе пользователя в систему. Этот параметр позволяет избежать несанкционированного входа в личный кабинет пользователя даже в случае подбора пароля от его учетной записи.

Наличие Captcha при авторизации – этот параметр крайне раздражает большинство пользователей, так как заставляет тратить дополнительное время на его заполнение. Но он помогает защититься от атак программ-роботов, пытающихся автоматически заполнить поля логин и пароль для получения доступа к личному кабинету. Данный параметр не реализован только в системах Paypal Яндекс.Деньги, поэтому они по указанному критерию получают 0 баллов, а остальные – по 3 балла.

Следующий параметр - «SMS-подтверждение при прохождении авторизации/регистрации». Он работает следующим образом: на указанный вами в личном кабинете номер телефона приходит код подтверждения (некоторый набор символов, чаще всего цифровой), который вводится в специальную форму на сайте электронной платежной системы. И если высланный код введен правильно, то система подтверждает выполняемое действие. Выполнение данного требования помогает пользователю защитить свой аккаунт от воздействия злоумышленников. Исследование показало, что не все приведенные компании используют данный сервис, но приятным является тот факт, что в системах, применяющих эту функции, она является обязательной. Поэтому в соответствии с весовым коэффициентом баллы по этому параметру распределились следующим образом: Яндекс.Деньги, QIWI Wallet и Webmoney получают по 3 балла, в то время как кошелькам от компаний Z-Payment, Payeer, Paypal не достается ничего.

Последний параметр в данном разделе - доступ к системе с помощью специального аппаратного обеспечения, например USB-ключей. Подобную дополнительную опцию из всех систем реализует лишь Webmoney в некоторых видах своих кошельков, остальные, либо не предоставляют такой возможности, либо возможность предоставления подобной услуги имеется, но информация о ней конфиденциальна. Стоит отметить, что в Webmoney данный сервис является добровольным. Таким образом, с учетом весового коэффициента, Webmoney получает 1,5 балла, все остальные — по нулю.

Защита внутри системы

Сначала рассмотрим параметр, позволяющий бороться с мошенниками внутри систем. А именно - «наличие анонимных пользователей». Для этого критерия очень важен способ работы системы. Так как подавляющее большинство рассматриваемых систем позволяют не оставлять в системе информации о себе — это лишний шанс для мошенников. Поэтому анонимность в данном случае - скорее минус, чем плюс: она выгодна мошенникам и позволяет постоянно менять кошельки, счета и т.д. для отработки мошеннических схем. Из представленных систем только Paypal уже на стадии регистрации запрашивает персональные данные пользователя, тем самым не оставляя возможности совершать анонимные покупки. Но хоть данные и заполняются при регистрации, никакой дальнейшей проверки их достоверности не происходит. Поэтому за старания уменьшить количество искателей «легкой наживы» на стадии регистрации Paypal получает 2 балла. Все поля являются обязательными для заполнения. Поэтому с учетом весового коэффициента у компании также остается 2 балла. Системы Яндекс.Деньги, Webmoney, QIWI Wallet действуют аналогичным способом: дают возможность пользователю совершать анонимные покупки, но с ограниченными возможностями и в рамках установленного денежного лимита. При превышении установленных ограничений система обязует пользователя однозначно подтвердить свою личность. За это каждая из перечисленных систем получает по 1 баллу. Команды Payeer и Z-Payment по этому критерию получают 0 баллов за анонимность и отсутствие информации по указанному параметру соответственно.

Социальная сеть пользователей электронных платежных систем необходима для создания прозрачного рынка электронных платежей. Рассмотрим параметр, который помогает пользователям системы совершать транзакции с высоким уровнем безопасности – это система «черных списков». В полной мере решение реализовано только в Webmoney. Система уделяет большое внимание построению социальной сети пользователей.

Суть «черных списков» состоит в том, что любой участник системы, который считает, что его обманули или что с ним поступили нечестно, может оставить жалобу или претензию на другого участника. Очень важно, что подобные жалобы/претензии доступны для просмотра всем, кто пытается провести транзакцию с пользователем, на которого выставлена подобная информация. За эту систему Webmoney получает 3 балла. Z-Payment реализует похожий подход, но информация о подозрительных аккаунтах является персональной и хранится в личном кабинете пользователя. Также в случае мошеннических действий, направленных на деятельность системы, компания уведомляет пользователей рассылкой, плюс информация появляется в личных кабинетах. За щепетильный подход система получает 2 балла. В Payeer данный список отсутствует, но компания заботится о своих клиентах и блокирует подозрительные аккаунты. За это системе достается 1 балл. Остальные участники исследования за полное отсутствие системы «черного списка» и её аналогов, либо за отсутствие информации по указанному критерию не получают баллы.

Крайне важными для защиты от мошенников являются функции, позволяющие отслеживать движение средств на балансе пользователя. Также безопасность покупки обеспечивает наличие SMS и e-mail-подтверждения совершаемой операции. Данные сервисы помогут предостеречь пользователя от непреднамеренной покупки и защитят при попытке совершения покупки мошенником через его аккаунт. И именно поэтому эти 2 параметра будут рассмотрены в следующую очередь. Просматривая ответы от службы технической поддержки компаний, приятен факт наличия абсолютно у всех рассматриваемых компаний заявленных параметров. Открытым остается только вопрос по системе Paypal, сотрудники которой отказались предоставлять информацию о наличии SMS-оповещения, сославшись на конфиденциальность. Поэтому все системы получают по 3 балла за e-mail-оповещения и все, за исключением, Paypal получают по 3 балла за SMS-оповещения. Также необходимо заметить, что функция email-оповещения обязательна во всех системах, за исключением QIWI Wallet и Webmoney. В них настройка параметра ведется отдельно в личном кабинете. За это весовой коэффициент компаний равен 0,5. Аналогичная ситуация обстоит с SMS-оповещениями: данная функция является обязательной в системе Webmoney, а в остальных настраивается дополнительно. Поэтому с учетом весового коэффициента по данным параметрам баллы распределяются следующим образом:

Наличие SMS-оповещения:

  • Webmoney – 3 балла;
  • Payeer, Z-Payment, Яндекс.Деньги, QIWI Wallet – 1,5 балла;
  • Paypal – 0 баллов.

Наличие e-mail-оповещения:

  • Payeer, Z-Payment, Paypal, Яндекс.Деньги – 3 балла;
  • QIWI Wallet, Webmoney – 1,5 балла.

Множество из регистрирующихся пользователей не подозревают о том, какими путями мошенник может их «обвести вокруг пальца», завладеть учетными данными и электронными деньгами. Для этого было бы полезно узнать о самых основных способах защиты. В этом пользователю поможет инструкция или видео с объяснениями, размещенные на сайте компании. Подобная инструкция есть на сайтах Яндекс.Деньги, QIWI Wallet, Webmoney, за что компании получают по 3 балла. В компании Z-Payment такая инструкция отсутствует, но в случае выявления мошеннических действий пользователи ЭПС уведомляются путем рассылки по электронной почте и отражением данной информации на странице личного кабинета. Т.к. это не решает проблему с неграмотностью пользователя, но позволяет ему быть более осторожным при совершении транзакций, компания получает 1 балл. В системах Payeer и Paypal инструкции отсутствуют, системы баллов по этому критерию не получают.

Защита данных пользователя в системе исключительно важна, поэтому в них используется специальный протокол, который обрабатывает приватную информацию, в том числе - любые персональные данные. Последним из рассматриваемых параметров будет использование ЭПС протокола https. Именно он обеспечивает криптографический протокол SSL/TLS, который шифрует передаваемую в систему информацию. В этом параметре система оценивания крайне проста: наличие протокола https дает компании 3 балла, а его отсутствие 0. В связи с этим расстановка баллов выглядит следующим образом: Payeer, Paypal, Яндекс.Деньги, QIWI Wallet, Webmoney – по 3 балла, Z-Payment – 0.

Осталось только свести все параметры в единую таблицу и определить лидера нашего рейтинга — по сумме набранных баллов.

Подсчет баллов по указанным параметрам

орплоро

После оценки критериев, можно подвести итоги. По сумме рассмотренных параметров самой безопасной оказалась система Webmoney. Если пользователь задействует все предоставленные ей сервисы обеспечения безопасности, он может стать фактически неуязвимым для мошенников. Второе место заняла система QIWI Wallet, третье - «Яндекс.Деньги. Однако не стоит забывать, что при составлении рейтинга учитывались далеко не все возможные параметры, а только те, оценить которые можно наглядно. Также не на все вопросы компании готовы были предоставить ответ. Так что при более глубоком подходе результаты, скорее всего, оказались бы распределены по участникам рейтинга более равномерно. Но самое главное, что хочется донести в заключении: несмотря на любые самые совершенные меры защиты, всегда остается человеческий фактор, и именно он в подавляющем большинстве случаев становится причиной потери денег и персональных данных.