Перейти к основному содержанию
ИТарктика
Василий Аркадьевич Мамин
Ведущий специалист отдела сопровождения информационных систем
государственного автономного учреждения Республики Коми
«Центр информационных технологий» (ГАУ РК «ЦИТ»)
Исследование безопасности электронных платежных систем
Аннотация:

В статье проводится сравнительный анализ наиболее популярных в России электронных платежных систем с целью выявления систем наиболее безопасных для использования потребителем в плане хранения денежных средств и своей личной информации.

Ключевые слова: ЭПС, электронная платежная система, платежи, информационная безопасность, информационные технологии.

Введение

Конец 20-го века охарактеризован переходом России на рыночную экономику. Страну лихорадит, но на полках магазинов всё чаще появляются иностранные товары, доступ к которым ранее был крайне затруднен. После окончания знаменитого дефолта 1998 года экономика в стране начинает выправляться. И тогда в начале 21-го века замечен активный рост информации (до 2010-го года информация удваивается в течение одного календарного года, а после удвоение наблюдается каждые 2 месяца), в городе в каждой семье появляется как минимум 1 компьютер, и с каждым годом увеличивается число аппаратов имеющих выход в интернет. А, следовательно, наблюдается рост транзакций, проводимых через «всемирную паутину». Будь то: оплата услуг в интернете, совершение покупок в интернет-магазине, перевод денег между счетами, многие для совершения этих операций используют электронные платежные системы. Безопасно ли это? Обеспечивается ли конфиденциальность Ваших персональных данных при совершении транзакций? Есть ли вероятность похитить Ваши деньги с Вашего электронного кошелька? И какую электронную платежную систему лучше использовать на сегодняшний день? Именно на эти вопросы я постараюсь ответить в данной статье.

  1. Рейтинг безопасности электронных платежных систем.

Вопрос безопасности электронных денег всегда был и остается одним из основных факторов, которые сдерживают развитие этого рынка. В рейтинге будут тестироваться наиболее популярные на сегодняшний день электронные платежные системы, с целью определения надежности каждой из них и выборки самой надежной по представленным параметрам.

Для оценки использовались наиболее распространенные в России системы. Среди них такие системы как: Payeer, Web-Money, Z-Payment, Paypal, Яндекс-Деньги, Qiwi-Wallet. Данная расстановка соблюдена в соответствии с тем, в какой последовательности были получены ответы на заданные вопросы для написания статьи от сотрудников службы технической поддержки электронных платежных систем.

Методика оценки электронных платежных систем включает в себя одни и те же критерии, каждому из которых соответствует определенная шкала оценок. В конце статьи электронные платежные системы будут ранжироваться по совокупному количеству баллов, набранных в ходе каждого испытания.

Оценка производится по многоуровневой системе, включающая в себя определенное количество различных параметров. Все эти параметры тем или иным образом связаны со сферой информационной безопасности. Каждый из заданных параметров оценивается по трехбалльной шкале. Выбор для анализа именно трехбалльной системы обоснован нынешним развитием электронных платежных систем, когда большинство параметров можно охарактеризовать лишь словами «да» или «нет». Соответственно система электронных платежей в случае максимального соответствия какому-либо параметру получает высший балл (3), при полном несоответствии - минимальный (0). Один или два балла присуждаются в случае частичного соответствия выбранному параметру, но не дающему возможность поставить 0 или 3 балла.

Пользуясь вышеизложенной системой, не стоит забывать о наличии человеческого фактора. Т.е. если сервис не является обязательным для включения, то высока вероятность того, что пользователь этим сервисом пользоваться не будет и забудет о его существовании. Поэтому в систему подсчета также введен весовой коэффициент для каждого параметра в зависимости от его обязательности: для обязательных сервисов - «1», а для сервисов, которые требуется подключать дополнительно - «0,5».

  1. Защита при авторизации/регистрации
    1. Критерии при вводе пароля

Это первый из критериев — набор параметров, отвечающий за защиту информации при прохождении пользователем авторизации/регистрации на сайте компании. В этот параметр включены: соответствие сложности пароля требованиям политики безопасности, наличие ограниченного числа попыток ввода пароля при прохождении авторизации, возможность прохождения аутентификации с одновременным использованием нескольких средств для прохождения аутентификации (многофакторная аутентификация), возможность использования токенов для прохождения процесса авторизации, наличие Captcha при авторизации.

Для начала хотелось бы рассмотреть параметры: «соответствие пароля требованиям безопасности» и «ограниченное число ввода пароля при прохождении авторизации». Так как на сегодняшний день не существует нормативных правовых актов, принятых на федеральном уровне, устанавливающих четкие ограничения к данным параметрам, то для оценки использовались минимальные требования, установленные в готовящейся к внедрению рекомендательной методике ФСТЭК России «Меры защиты информации в государственных информационных системах».

Выдержка из данного документа: «длина пароля не менее шести символов, алфавит пароля не менее 30 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут, смена паролей не более чем через 180 дней».

Рассматривая непосредственно сложность пароля, стоит отметить, что приведенные в методическом документе требования соблюдаются во всех системах за исключением системы Z-Payment. К сожалению, в этой системе удалось зарегистрироваться, использовав при регистрации пароль «1». Благодаря тому что пароль является обязательным параметром при прохождении регистрации всех пользователей, то все системы за соответствие требований с учетом весового коэффициента получают 3 балла, система Z-Payment – получает 1, за наличие пароля, грубо несоответствующего вышеуказанным требованиям. Так как сейчас ни одна из компаний, работающая с пользователями в интернете, не предусматривает обязательную смену паролей по истечении определенного срока, то при исследовании данных критериев этот параметр не повлиял на расстановку баллов.

При рассмотрении параметра «ограниченное число ввода пароля при прохождении авторизации» обнаружено, что данный критерий не реализован в электронном кошельке Payeer, в системах Z-Payment, Paypal, Web-Money. В системах Яндекс Деньги и QIWI Wallet данный критерий реализован не полностью: вместо временной блокировки аккаунта компания к запросу учетных данных добавляет требование ввода Captcha. Во всех системах данный параметр используется по умолчанию, поэтому с учетом весового коэффициента участники исследования получают: Z-Payment, Paypal, Web-Money - 3 балла, Яндекс Деньги, QIWI Wallet - 2 балла и компания Payeer в соответствии с данным критерием остается с нулем.

2.2. Многофакторная аутентификация.

Очень важным критерием при определении защищенности электронной платежной системы является возможность реализации на ней многофакторной аутентификации при входе пользователя в систему. Ведь данный параметр позволяет избежать несанкционированный вход в личный кабинет пользователя даже в случае подбора пароля от его учетной записи.

Наличие Captcha при авторизации – этот параметр воспринимается крайне раздражительным для большинства пользователей, так как заставляет тратить дополнительное время на его заполнение. Но использование именно этого параметра с большой долей вероятности помогает компании защититься от атак аккаунтов пользователей электронных платежных систем специальными программами-роботами, пытающихся реализовать автоматическое заполнение полей логин и пароль с целью получения доступа к личному кабинету пользователя. Данный параметр не реализован только в системах Paypal Яндекс.Деньги. Поэтому данные системы по указанному критерию получают 0 баллов, а остальные с учетом весового коэффициента 3 балла.

Следующим хотелось бы рассмотреть параметр «SMS-подтверждение при прохождении авторизации/регистрации». Данный параметр работает следующим образом: на указанный вами в личном кабинете номер телефона приходит код подтверждения (некоторый набор символов, чаще всего цифровой), который вводится в специальную форму на сайте электронной платежной системы. И если высланный код введен правильно, то система подтверждает выполняемое действие. Выполнение данного требования помогает пользователю защитить свой аккаунт от воздействия злоумышленников. Исследование показало, что не все приведенные компании используют данный сервис, но приятным является тот факт, что в системах, применяющих эту функции, она является обязательной. Поэтому в соответствии с весовым коэффициентом баллы по этому параметру распределились следующим образом: Яндекс.Деньги, QIWI Wallet и Webmoney получают по 3 балла, в то время как кошелькам от компаний Z-Payment, Payeer, Paypal не достается ничего.

Последний параметр в данном разделе - доступ к системе с помощью специального аппаратного обеспечения, например USB-ключей. Подобную дополнительную опцию из всех систем реализует лишь Webmoney в некоторых видах своих кошельков, остальные, либо не предоставляют такой возможности, либо возможность предоставления подобной услуги имеется, но информация о ней является конфиденциальной. Стоит отметить, что в Webmoney данный сервис является добровольным. Таким образом, с учетом весового коэффициента, Webmoney получает по этому параметру 1,5 балла, все остальные — по нулю.

2.3. Параметры защиты внутри самой системы.

После того как рассмотрена группа критериев позволяющая выяснить лидеров по параметрам, связанным с реализацией защиты при аутентификации пользователя будут рассматриваться критерии, связанные с непосредственным использованием электронной платежной системы.

Изначально будет рассмотрен параметр, позволяющий бороться с мошенниками внутри систем. А именно «наличие анонимных пользователей». Обязательно следует отметить, что для данного критерия очень важен способ работы системы. Так как подавляющее большинство рассматриваемых систем позволяют не оставлять в системе информации о себе — это лишний шанс для различных мошенников. Поэтому анонимность в данном случае - скорее минус, чем плюс: анонимность выгодна мошенникам, чтобы постоянно менять кошельки, счета и т.д., реализуя при этом хитрые схемы добывания денег из честных пользователей. Рассматривая данный параметр, стоит отметить что из представленных систем, только Paypal уже на стадии регистрации запрашивает персональные данные пользователя, тем самым не оставляя возможности зарегистрированным пользователям совершать анонимные покупки. Но хоть данные и заполняются при регистрации, никакой проверки на их достоверность не происходит. Остается только надеяться на порядочность при заполнении полей о себе пользователем. Но всё-таки за старания уменьшить количество соискателей «легкой наживы» уже на стадии регистрации Paypal получает 2 балла. Все поля являются обязательными для заполнения. Поэтому с учетом весового коэффициента у компании также остается 2 балла. Системы Яндекс.Деньги, Webmoney, QIWI Wallet действуют аналогичным способом: данные электронные платежные системы дают возможность пользователю совершать анонимные покупки, но с ограниченными возможностями и в рамках установленного денежного лимита. При превышении установленных ограничений система обязует пользователя однозначно подтвердить свою личность. За это каждая из перечисленных систем получает по 1 баллу. Команды Payeer и Z-Payment по этому критерию получают 0 баллов, за наличие анонимности и отсутствии информации по указанному параметру соответственно.

Построение некой социальной сети пользователей электронных платежных систем.- очень полезное и необходимое действие для выстраивания прозрачного рынка электронных платежей. Рассмотрим параметр, который помогает пользователям системы с большим уровнем безопасности совершать транзакции - система «черных списков». В полной мере это решение реализовано в одной-единственной рассмотренной платежной системе — Webmoney, которая уделяет большую долю внимания необходимости построения социальной сети пользователей.

Суть «черных списков» состоит в том, что любой участник системы, который считает, что его обманули или что с ним поступили нечестно, может оставить жалобу или претензию на другого участника системы. Очень важно то, что подобные жалобы/претензии доступны для просмотра всем участникам системы, которые пытаются провести транзакцию с пользователем, на которого выставлена подобная информация. Наличие «черных списков» повышает доверие между конкретными участниками системы и, соответственно, позволяет эффективно выстраивать упомянутую социальную сеть. Именно в таком виде система существует только в Webmoney. За это система получает 3 балла. Стоит отметить, что Z-Payment реализует похожий подход, но информация о подозрительных аккаунтах является персональной для каждого пользователя и хранится в его личном кабинете. Также в случае выявления мошеннических действий, направленных на деятельность системы, компания уведомляет своих пользователей рассылкой, а так же появляется информация в их личном кабинете. За щепетильный подход в уведомлении пользователей о мошеннических действиях система получает 2 балла. В системе Payeer данный список отсутствует, но компания заботится о своих клиентах и блокирует подозрительные аккаунты. За это системе вручается 1 балл. Остальные участники исследования за полное отсутствие системы «черного списка» и её аналогов, либо за отсутствие информации по указанному критерию получают 0 баллов.

Крайне важным для защиты от мошенников являются функции позволяющие отслеживать движение средств на балансе пользователя. Также безопасность покупки обеспечивает наличие SMS и e-mail-подтверждение совершаемой операции. Данные сервисы помогут предостеречь пользователя от непреднамеренной покупки и защитит его при попытке совершения покупки  мошенником через его аккаунт. И именно поэтому эти 2 параметра будут рассмотрены в следующую очередь. Просматривая ответы от службы технической поддержки компаний, приятен факт наличия абсолютно у всех рассматриваемых компаний заявленных параметров. Вопрос остается только по системе Paypal, сотрудники которой отказались предоставлять информацию о наличии SMS-оповещения, сославшись на конфиденциальность указанной информации. В связи с имеющейся информацией системы получают по 3 балла за наличие e-mail-оповещения и все, за исключением, Paypal получают по 3 балла за наличие SMS-оповещения. Paypal в данном компоненте за отсутствие информации получает 0. Также необходимо заметить, что функция email-оповещения является обязательным параметром во всех системах, за исключением QIWI Wallet и Webmoney. В указанных системах настройка этого параметра ведется отдельно в личном кабинете. За это весовой коэффициент компаний равен 0,5. Аналогичная ситуация обстоит с SMS-оповещениями: данная функция является обязательной в системе Webmoney, а для остальных настраивается дополнительно. Поэтому с учетом весового коэффициента по данным параметрам баллы распределяются следующим образом:

Наличие SMS-оповещения:

  • Webmoney – 3 балла;
  • Payeer, Z-Payment, Яндекс.Деньги, QIWI Wallet – 1,5 балла;
  • Paypal – 0 баллов.

Наличие e-mail-оповещения:

  • Payeer, Z-Payment, Paypal, Яндекс.Деньги – 3 балла;
  • QIWI Wallet, Webmoney – 1,5 балла.

Множество из регистрирующихся пользователей не подозревают о том, какими путями мошенник может их «обвести вокруг пальца», завладеть учетными данными и электронными деньгами при использовании электронной платежной системы. Для этого каждому зарегистрированному пользователю было бы полезно узнать о самых основных способах защиты от утраты денежных средств. В этом пользователю поможет наличие на сайте компании инструкции, видео с объяснениями. Подобная инструкция реализована на сайтах Яндекс.Деньги, QIWI Wallet, Webmoney, за что компании получают 3 балла. В компании Z-Payment такая инструкция отсутствует, но в случае выявления мошеннических действий пользователи ЭПС уведомляются путем рассылки по электронной почте и отражением данной информации на странице личного кабинета. Т.к. это не решает проблему с неграмотностью пользователя ни в какой мере, но позволяет ему быть более осторожным при совершении транзакций. За это компания получает 1 балл. В системах Payeer и Paypal отсутствует вообще, поэтому данные системы баллов по этому критерию не получают.

Защита данных пользователя в системе исключительно важна, поэтому в них используется специальный протокол, который обрабатывает приватную информацию, в том числе любые персональные данные. Последним из рассматриваемых параметров будет использование ЭПС протокола https. Указанный параметр является крайне важным для пользователя. Именно протокол https обеспечивает криптографический протокол SSL/TLS, который шифрует передаваемую в систему информацию. В этом параметре система оценивания крайне проста: наличие протокола https дает компании 3 балла, а его отсутствие 0. В связи с этим расстановка баллов выглядит следующим образом: Payeer, Paypal, Яндекс.Деньги, QIWI Wallet, Webmoney – 3 балла, Z-Payment – 0.

Для более красочного и понятного представления отразим рассмотренные параметры в виде таблицы.

Таблица 1. Сводная таблица по рассматриваемым параметрам обеспечения безопасности информации

 

Payeer

Z-Payment

Paypal

Яндекс.Деньги

QIWI Wallet

Web money

Возможность использования токенов для аутентификации

Отсутствует

Отсутствует

Неизвестно

Неизвестно

Неизвестно

Присутствует в некоторых видах кошелька

Соответствие сложности пароля требованиям безопасности

Соблюдается

Не соблюдается

Соблюдается

Соблюдается

Соблюдается

Соблюдается

Ограниченное число попыток ввода пароля

при прохождении авторизации

Отсутствует

Соблюдается (3 попытки, после чего доступ входа в личный кабинет блокируется на 1 час)

Соблюдается

(5 попыток, после чего временно блокируется доступ)

Соблюдается частично (после 10 неверно набранных паролей система просит помимо комбинации логин+пароль вводить captcha)

Соблюдается частично (после 10 неверно набранных паролей система просит помимо комбинации логин+пароль вводить captcha)

Соблюдается (5 попыток, после чего ограничивается доступ на 10 минут)

Наличие Captcha при авторизации

Присутствует

Присутствует

Отсутствует

Отсутствует

Присутствует

Присутствует

SMS-подтверждение при прохождении авторизации/регистрации 

Отсутствует

Отсутствует

Отсутствует

Присутствует

Присутствует

Присутствует

Наличие анонимных пользователей ЭПС 

Присутствует

Неизвестно

Отсутствует

Присутствует, но с ограниченными правами покупки только в магазинах РФ с максимальной суммой платежа до 15000

Присутствует, но

с ограниченными правами

Присутствует для некоторых видов кошельков с ограниченными правами

 

Наличие системы blacklist

Отсутствует, подозрительные аккаунты блокируются

Персональная для каждого пользователя (настраивается в личном кабинете)

Отсутствует

Неизвестно

Неизвестно

Присутствует

Наличие SMS-оповещения 

Является дополнительной услугой

Является дополнительной услугой

Неизвестно

Является дополнительной услугой

Является дополнительной услугой

Присутствует

 

 

Наличие e-mail оповещения

Присутствует

Присутствует

Присутствует

Присутствует

Присутствует, дополнительно настраивается в личном кабинете

Присутствует, дополнительно настраивается в личном кабинете

 

 

Инструкция для пользователя (обучение): основные способы защиты от мошенника в ЭПС (фишинг и т.д.) 

Отсутствует

Инструкция отсутствует.

 В случае выявления мошеннических действий пользователи ЭПС уведомляются путем рассылки по электронной почте и отражением данной  информации на странице личного кабинета.

Отсутствует

Присутствует

Присутствует

Присутствует

Использование протокола https для шифрования сессии между клиентом и ЭПС 

Используется

Используется протокол http

Используется

Используется

Используется

Используется

После заполненной информации по системам осталось только свести все параметры в единую таблицу и определить лидера нашего рейтинга — по сумме набранных баллов.

Таблица 2. Подсчет баллов по указанным параметрам

Система/критерий

Использование токенов

Сложность пароля

Число попыток ввода пароля

Captcha

SMS-подтверждение

Анонимные пользователи

Система blacklist

SMS-оповещение

e-mail-оповещение

Инструкция пользователя

Протокол https

Результат

Payeer

0

3

0

3

0

0

1

1,5

3

0

3

14,5

Z-payment

0

1

3

3

0

0

2

1,5

3

1

0

14,5

Paypal

0

3

3

0

0

2

0

0

3

0

3

14

Яндекс.Деньги

0

3

2

0

3

1

0

1,5

3

3

3

19,5

QIWI Wallet

0

3

2

3

3

1

0

1,5

1,5

3

3

21

Webmoney

1,5

3

3

3

3

1

3

3

1,5

3

3

28

Заключение

После оценки данных критериев, можно подвести итоги. По сумме рассмотренных параметров самой безопасной оказалась система Webmoney. Если пользователь задействует все предоставленные ей сервисы обеспечения безопасности, он может остаться фактически неуязвимым для мошенников. Второе место заняла система QIWI Wallet, третье - «Яндекс.Деньги. Однако не стоит забывать, что при составлении рейтинга учитывались далеко не все возможные параметры, а только те, оценить которые можно довольно легко и наглядно. Также не на все вопросы компании готовы были предоставить ответ. Так что при более глубоком подходе результаты, скорее всего, оказались бы распределены по участникам рейтинга более равномерно. Но самое главное, что хочется донести в заключении статьи, это то что, несмотря на любые самые современные применяемые меры защиты, всегда остается человеческий фактор, для которого найти абсолютный способ защиты невозможно.

Библиографический список

  1. Методический документ ФСТЭК России от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах» [Электронный ресурс]. URL: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument
  2. Контакты PAYEER [Электронный ресурс]. URL: https://payeer.com/ru/contacts/
  3. Служба технической поддержки платежной системы Z-Payment [Электронный ресурс]. URL: https://z-payment.info/support/
  4. Получайте и отправляйте онлайн-платежи Paypal [Электронный ресурс]. URL: https://www.paypal.com/ru/home
  5. Яндекс.Деньги. Написать [Электронный ресурс]. URL: https://money.yandex.ru/feedback/?_openstat=imainnew2%3Bfeedback
  6. Безопасность QIWI изнутри [Электронный ресурс]. URL: https://qiwi.com/security.action
  7. Support.WebMoney [Электронный ресурс]. URL: https://support.wmtransfer.com/asp/index.asp