Посторонним код запрещен Насколько опасно заниматься интернет-шопингом, не вставая с дивана?

Россия - уникальная страна. У нас сложился дисбаланс не в пользу честного человека - российские хакеры самые квалифицированные в мире, а честные интернет-плательщики, наоборот, самые несведущие. Поэтому электронные платежи в России развиты слабо - владельцы банковских пластиковых крат считают, что пользоваться ими в интернет-магазинах очень рискованно. Так ли это на самом деле - мы и попытались разобраться.

Дистанционный кошелек: методы растраты

Электронная торговля начала развиваться в 90-е годы ХХ века благодаря феноменальной популярности сети интернет, основанной на классическом нежелании человека разумного оторвать свое тело от дивана. Сейчас объем сделок во всемирной сети превышает $220 млрд/год. В Америке не менее 60% пользователей что-то покупают в интернете, в России объем сделок в интернете несоизмеримо меньше.

Сейчас в Петербурге можно воспользоваться как системой платежей в интернете, с которой работает несколько банков сразу (например, в систему CyberPlat входят 26 российских банков, из которых в Петербурге известны МДМ-банк, Импэксбанк и "Югра"), так и собственными платежными системами отдельных банков. Случаи воровства из этих систем неизвестны. По официальной версии разработчиков - потому что там достаточно высокая степень защиты.

Теперь банки начинают раскручивать систему электронных платежей. Но не очень торопливо. Услуги интернет-банкинга предоставляются в основном корпоративным клиентам, юридическим лицам, а не отдельным гражданам.

- Техническая возможность оплатить услуги через интернет или просто через компьютер, не появляясь в банке, и для наших клиентов - физических лиц существует, но практически это не делается, - рассказал начальник отдела общественных связей Промстройбанка Иван Байлюк. - У нас хорошо развита такая же услуга для юридических лиц: лесорубы, сидя в тайге, могут провести платежи со своего банковского счета. А по части физических лиц особо хвастаться нечем, потому что большого спроса на такие услуги пока нет. Но если он появится, конечно, будем делать.

Между тем энтузиасты электронной коммерции уверены, что спрос на интернет-банкинг есть уже сейчас. По крайней мере, юридическая основа для него появилась. Например, была проблема с налоговыми службами. С легальных платежей в интернете, понятное дело, надо отчислять налоги. Устаревшая система привязки документооборота к бумажкам, не позволяла России решительно окунуться в мир новых возможностей. Без пакета документов, заверенных рукописными подписями и печатями, любой платеж считался левым. Теперь проблема снята. Российский закон об электронной цифровой подписи позволяет заменить сделанную одной левой закорючку электронным аналогом.

Методы защиты

Странность нынешней ситуации в том, что техническая и юридическая основа для интернет-банкинга и интернет-шопинга есть, но пользуются ей считанные единицы. Осенью 2004 года исследовательская компания ОТР опросила 231 российский банк. Обнаружилось, что только 53% этих банков используют веб-интерфейс для расчетов с корпоративными клиентами и только 9,8% предоставляют своим частным клиентам возможность платить за покупки в интернет-магазинах и управлять личным счетом с удаленного компьютера.

- Рынок электронной коммерции в России находится в зачаточном состоянии, но большинство крупных банков, по крайней мере входящие в первую двадцатку, предлагают услуги интернет-банкинга, только называют их все по-разному - "телебанк", система "банк-клиент" и т. п. Суть их сводится к одному - дистанционное управление банковскими счетами и оплата услуг организаций-партнеров (например, сотовых операторов связи), - рассказывает Игорь Демчев, начальник Управления пластиковых карт АКБ "Промсвязьбанк".

Типовая схема защиты от хакера работает так. Приходишь в банк, пишешь заявление, заключаешь договор. Заводишь счет "до востребования", закладываешь на него энную сумму и получаешь в банке электронную цифровую подпись - это дискета или флэш-карта с секретным шифром плюс пароль, который нужно, увы, хранить в голове. Как только у вас возникает непреодолимое желание заплатить детскому саду за счастливую возможность не видеть собственного малолетнего отпрыска, заходите на сайт банка, засовываете карточку в свой компьютер, вводите пароль и даете команду банку расплатиться с садиком.

После этого порядочный банк должен оперативно (у "Югры", например, в течение 20 сек.) еще и прислать вам SMS с сообщением, кому и за что вы только что заплатили. И если это случайно не вы, и товар вам не нужный, а счет ваш, означает это только одно - у вас отняли не только дискету с секретным шифром, но и выбили при помощи электроутюга пароль из головы. Но даже после этого вы еще можете заблокировать собственный счет, чтоб не утекли остатки.

- Можно заплатить и за помидоры в ларьке, пусть они выпишут счет, и мы его оплатим, - говорит один из пионеров интернет-банкинга в России Леонард Штутман, начальник Управления информационного обеспечения и банковских технологий Петербургского филиала банка "Югра". - Но мы не очень стремится в рынок эквайринга (продажи в интернете. - А. О.), так как в интернет-магазинах очень много отказов от платежей, зачастую необоснованных, а банк уже потратил на них время и технические средства. К тому же на других операциях интернет-банкинга - оплата услуг мобильной связи, коммунальных платежей, детских садов для частных лиц, платежей одной организации другой и тому подобное - мы уже зарабатываем по $3 млн в год, а работают на этом всего 4 операционистки. Один из наших клиентов, профессор, например, каждый месяц покупает книги в интернет-магазинах на сумму около 20 тысяч рублей.

- Для безопасной оплаты покупок и услуг в сети интернет мы разработали специальную карту MasterCard Virtual, которая не требует запоминания никаких паролей или кодов, - говорит начальник Управления пластиковых карт Промсвязьбанка Игорь Демчев. - Она меньше размером, чем обычная, и на ней нет магнитной полосы. Для оформления покупки в интернет-магазине, достаточно зайти на его сайт, заполнить бланк заказа, списав платежные реквизиты с карты: ее номер, срок действия, CVC2 (специальный код из трех цифр. - А. О.) и дать команду совершить платеж. После совершения операции оплаты карта может быть временно заблокирована по желанию клиента до следующей операции. Кроме того, на счет этой карты деньги можно переводить в ограниченном количестве, только в том, которое достаточно для этой покупки. Пользуясь нашей системой дистанционного управления банковскими счетами PSB On-line, возможно переводить на карточный счет MasterCard Virtual деньги и с ваших счетов до востребования, и с карточных счетовклассических карточных продуктов. Но для этого уже нужно вводить пароль и использовать электронный ключ. Таким образом, деньги для платежей в реальном пространстве и в виртуальном всегда лежат в разных корзинах, нужно их только вовремя перекладывать. Посторонний человек этого сделать не сможет.

Тормоза прогресса

Почему же все так медленно развивается, если все так хорошо и существуют столь изощренные способы защиты?

Тормоз No 1 традиционный - деньги. Не всякий банк будет менять программное обеспечение и нанимать лишних специалистов ради не слишком развитой в России интернет-торговли.

Тормоз No 2 - противоречие между массовостью услуги и эксклюзивным характером защиты. Если каждый банк разработает собственную систему интернет-платежей (хорошо бы для каждого магазина-партнера свою), хакеры замучаются все это взламывать. Но и для покупателей выбора никакого не будет - договорился с одним банком и покупаешь товары только в тех магазинах, с которыми он поставил согласованное программное обеспечение.

Мировая интернет-торговля пошла другим путем - путем унификации. Банки стали пользоваться услугами специализированных биллинговых компаний, которые замыкают на себя сразу целую пачку банков и магазинов. В России получили распространение считанные биллинговые компании (они же - всероссийские интернет-платежные системы) - СyberPlat, Faktura.ru, Assist. Они сами разрабатывают программное обеспечение, поставляют его банкам и магазинам, периодически его обновляют. Но чем выше степень унификации - тем ниже степень защищенности. Хакеры ведь тоже не стоят на месте.

Покупающий, но беззащитный

Не все банки предоставляют своим клиентам спец. услуги защищенных платежей. Однако их клиенты могут воспользоваться обычной карточкой международной платежной системы - VISA, MasterCard и т. п. Оплатить с них товар или услугу в интернете проще простого - не надо ставить дополнительное программное обеспечение, не надо получать электронных ключей в банке, платить можно не только заранее оговоренным фирмам. Достаточно зайти на сайт интернет-магазина, выбрать товар и ввести три основных реквизита пластиковой карточки - номер, срок действия и цифровой код CVCR.

При платеже такими картами в большинстве интеренет-магазинов защиты никакой. Данные пересылаются по обыкновенным незашифрованным каналам, на такие магазины периодически совершают атаки хакеры. Между тем трех цифр хакеру вполне достаточно для того, чтобы совершать покупки в интернете за ваш счет. Правда, в некоторых магазинах нужно еще вводить свой адрес, фамилию, но ничто не мешает ввести поддельные - при большом объеме покупок интернет-магазин не будет их проверять, да и заинтересованности у него особой нет - деньги-то уже получены.

Сегодня известна масса способов несанкционированного изъятия излишков виртуальной наличности. Ради экономии места приведем лишь три:

1. Взлом базы данных интернет-магазина, где хранятся реквизиты карточек покупателей. Технология сложная, но возможная.

2. Сайты-двойники. Создается точная копия сайта вашего банка или интернет-магазина. Вы на него заходите, вводите туда данные карточки... От этого способа довольно просто защититься - достаточно знать правильный HTTP-адрес сайта.

3. Рассылка писем клиентам от имени банка с просьбой уточнить номер карты и другие данные.

Методы вроде примитивные, тем не менее, находятся людей, которые на них ведутся. Однако и для них существует соломинка, за которую можно ухватиться. В случае потери денег с карточки порядочные банки производят расследование и отдают клиенту утраченные средства, чтоб не утратить репутацию, а потому получают деньги со страховых компаний.

Гостиницы на особом положении

Зная обо всех этих штучках, многие категорически отказываются оплачивать бронь за гостиницу за границей через интернет, а получают вместо этого счет, идут в ближайшее отделение своего банка, где им долго удивляются и подозревают в том, что данные не полные (у иностранных банков реквизиты короче наших, что изумляет не слишком квалифицированных специалистов), потом попросили еще раз уточнить данные, послав запрос за границу. Впрочем, в случае таких мучений надо было просто сразу идти в центральное отделение банка, где сидят более опытные специалисты.

Однако и эти мучения - напрасны. На самом деле, как уверяют банковские руководители, бронирование гостиниц и автомобилей через интернет даже с введением данных карточки не так уж опасно.

- Я, например, так бронировал гостиницу в Лондоне, и все сработало, - говорит Игорь Демчев.

Вообще, нормальная гостиница или бюро проката автомобилей при бронировании через интернет даже не требуют кода, только номер карточки и срок действия. Для гостиниц и центров аренды автомобилей действуют особые правила обслуживания карт. Без авторизации, обладая только двумя данными из трех, они уже оформляют платежное поручение своему обслуживающему банку. Если вы не приехали, с вашей карточки все равно снимается плата за одну ночь (об этом предупреждают при подтверждении бронирования). Если хакер вломается в линию передачи данных между вами и гостиницей, он все равно не получит полного набора данных, необходимых для расплаты с вашего карточного счета.

Мобильные перспективы

Следующим шагом в развитии интернет-банкинга будет управление счетами через мобильные телефоны. В Японии это уже давно делается, а наши банки пока не нашли взаимопонимания с сотовыми операторами, хотя все предпосылки для развития такой системы есть. В России выпущено около 30 миллионов карт международных платежных систем и около 11 миллионов карт региональных платежных систем, а к сети сотовых операторов подключено более 74 миллионов мобильных телефонов. Когда-нибудь эти миллионы объединятся.

Алексей Орешкин

И никаких у.е. С 2005 года мы будем отстаивать свои права по-новому  »
Юридические статьи »
Читайте также