Rambler's Top100
 
Статьи ИКС № 05 2014
Антон РАЗУМОВ  06 мая 2014

Защита нужна всем звеньям цепочки

Без должных механизмов защиты компании, предлагающие услуги мобильной коммерции, просто утонут в претензиях, разборе спорных ситуаций и, в конечном счете, недополучат существенную долю прибыли.

Антон РАЗУМОВОб угрозах и механизмах защиты в m-commerce рассказывает Антон РАЗУМОВ, руководитель группы консультантов по безопасности Check Point Software Technologies.

Осторожно, атака!

Пользователи услуг мобильной коммерции должны знать о двух основных угрозах, ведущих к потере средств. Первая из них – это кража или утрата мобильного устройства, а вторая – заражение его вредоносным ПО, полностью готовым к внедрению в планшеты и смартфоны. Атаки хакеров на мобильные устройства сегодня, увы, реальность. Например, в результате комплексной атаки Eurograbber, произошедшей в 2012 г., злоумышленники украли свыше 36 млн евро. Вредоносная программа, а именно модификация троянской программы Zeus, поддерживаемая удаленными центрами управления, внедрялась в компьютеры жертв, а ее версия для смартфонов – в мобильные устройства для перехвата SMS-сообщений и обхода выполняемой банком процедуры двухфакторной аутентификации. Похитив данные клиентов и получив код банковской транзакции (TAN), злоумышленники автоматически переводили с банковских счетов жертв на подставные счета различные денежные суммы (от 500 до 250 тыс. евро).

Поскольку атаки на мобильные устройства позволяют вывести реальные средства, причем довольно значительные, для злоумышленников они будут становиться все более и более привлекательными. Тем более что привязка платежного аккаунта банковской карты к мобильному устройству, позволяя его владельцу совершать оплату в один клик, заодно существенно облегчает задачу хакерам, сумевшим пробраться «внутрь» телефона. Ведь в этом случае для проведения платежа с кредитной карты не нужно знать ее номер, CVV, дату выпуска и т.д.

Словом уже сейчас, когда мобильная коммерция только набирает обороты, необходимо предусмотреть меры предосторожности. И уж если привязывать к телефону платежный аккаунт, то обязательно использовать средства защиты.

Самое слабое звено

Защита в мобильной коммерции требуется многоуровневая, ведь сбой на стороне любого из участков процесса может привести к утечке данных. Так что усилия приходится прикладывать всем: и торгово-сервисным предприятиям, и разработчикам программных продуктов, и не в меньшей степени самим пользователям, которые должны заботиться о собственной безопасности. Для этого рекомендуется как минимум использовать на телефоне PIN-код, при установке приложений обращать внимание на то, какие разрешения оно для этого запрашивает (например, доступ к каким-либо ресурсам).

По моему убеждению и опыту, самое слабое звено – это всегда пользователь. Разработчик тоже может ошибиться, но все-таки в данном случае именно пользователь, который бездумно чему-то верит, оставляет PIN-коды, переходит по всевозможным ссылкам, которые могут содержать вредоносное ПО, является самым уязвимым звеном в защите.

Методы, организационные и технические

Вот почему самая важная организационная мера – обучение пользователей тому, что можно делать со своего смартфона или планшета и чего делать ни в коем случае нельзя. Постоянно напоминать им о необходимости быть бдительными должны все, кто вовлечен в процесс мобильной коммерции (банки, интернет-магазины, операторы сотовой связи). Государство, все чаще предлагающее доступ к госсулугам и оплату их получения со смартфонов и планшетов, тоже должно участвовать в повышении грамотности населения в вопросах мобильной коммерции и информационной безопасности.

Не менее важны технические меры, которые постоянно усложняют процесс проверки, запрашивают дополнительную информацию. Сейчас уже часто недостаточно номера пластиковой карты со всеми реквизитами – с помощью технологии 3D Secure приходит еще сс кодом TAN, который нужно ввести для того, чтобы оплата прошла. Усовершенствование проверки, вовлечение в нее дополнительных каналов связи, естественно, не радует пользователей, процесс покупки для которых становится сложнее, но зато значительно повышается безопасность платежных транзакций.

К техническим мерам относятся и более продвинутые механизмы защиты, например, использование мобильных клиентов для работы с банками. Появляется все больше мобильных приложений, которые позволяют делать переводы, совершать платежи третьим лицам. Зачастую задачу мошенникам можно затруднить с помощью организационных и технических мер, например, разрешив пользователям переводить средства только доверенным получателям. В этом случае, даже если телефон украли, вывести средства на совершенно нового получателя не получится.

В обеспечении безопасности платежных транзакций должны быть заинтересованы те, кто предлагают услуги мобильной коммерции. А значит, им нужно инвестировать, например, в специальные защищенные виртуальные контейнеры для оплаты услуг, которые были бы изолированы, и даже в случае компрометации устройства не позволяли ли бы выводить деньги. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: