Блог компании Mastercard

Становление электронных расчётов. Обеспечение защиты платежей и персональных данных клиентов

Современные электронные кошельки
и их защита

Коммерсантам, появившимся в интернете почти сразу после его рождения, быстро стало понятно, что обычные межбанковские денежные переводы неудобны для растущего бизнеса. Платёжка стоит дорого, а её исполнение может затянуться на несколько дней. Нужно было придумать всеобщий эквивалент стоимости для виртуального мира, который был бы дешёвым, быстрым и безопасным.

Так появились электронные деньги, а средство для хранения и работы с ними, по аналогии с реальным миром, получило название «Электронный кошелёк» (e-wallet).

Первые кошельки были программными. Приложение устанавливалось на локальный компьютер и держало все данные в зашифрованном файле на локальном диске. Такой способ был не слишком надёжен – порча или кража файла приводила к потере всех денег.

К настоящему моменту все электронные кошельки мигрировали в распределённую облачную среду и получили несколько уровней защиты.

I уровень

Логин и пароль.

А также CAPTCHA для защиты от роботов.
II уровень

Двухфакторная авторизация.

Обычно кошелёк просит у пользователя номер мобильного телефона и отправляет на него SMS с разовым паролем. Этот пароль, отправленный через дополнительный независимый канал связи с клиентом, и является вторым фактором для проверки.
III уровень

Привязка к устройству.

Перед началом работы с новым устройством, будь то компьютер, телефон или планшет, кошелёк просит у пользователя номер телефона и присылает на него разовый пароль для привязки кошелька к устройству.
IV уровень

Разовые пароли для исполнения платежей.

Эти коды могут быть представлены в разной форме. Чаще всего это пароль, присылаемый по SMS, но может быть и слово из фиксированной таблицы переменных кодов.

Преимущество такой таблицы в том, что коды всегда находятся в руках у клиента и никуда не пересылаются. Недостаток – при больших количествах переводов таблица быстро заканчивается, нужно получать новую карточку или печатать новый чек.

Наиболее прогрессивным способом формирования разовых паролей может считаться аппаратный генератор разовых паролей. Он совмещает в себе преимущество владения устройством и отсутствие пересылки нового кода. Также существует более дешёвый вариант – программный генератор разовых паролей, который работает, например, в смартфоне.
Таким образом, в настоящее время можно считать, что электронные кошельки, в целом, достаточно хорошо защищены. Их безопасности угрожает только человеческий фактор. Мошенники, специализирующиеся на «социальной инженерии», могут быть очень убедительны.
Некоторые системы электронных денег пошли ещё дальше, и это сближает их со «взрослыми» системами «Банк-клиент» для переводов денег в реальном мире. Владелец кошелька проходит идентификацию, после чего для него изготавливается сертификат электронной подписи. Такая подпись гарантирует авторство отправителя и защиту платежей.

Ещё одна дополнительная мера – защита перевода по времени или по коду протекции. Код протекции, по сути, тот же второй фактор, работающий на стороне получателя. Его значение передается получателю по другому каналу и необходимо для приёма денег.

Кошелёк плюс карта. Универсальность против безопасности

Любая система электронных денег является замкнутой. Деньги в систему должны попасть, из системы их нужно выводить. Для оплаты должна быть развёрнута собственная сеть приёма. Чтобы система электронных расчётов стала популярной, подключение участников должно происходить легко.

Несмотря на то, что в целом завести кошелек и настроить приём к оплате современных систем электронных денег несложно, им всё равно не хватает универсальности, присущей международным платёжным системам. Поэтому следующим естественным шагом для ведущих электронных кошельков стало начало расчётов по банковским картам.

Как это сделано

Совместно с банком-эмитентом и международной платёжной системой, например, MasterCard, регистрируется карточная программа и начинается выпуск карт, баланс которых привязан к балансу электронного кошелька. Все операции по карте автоматически авторизуются против баланса кошелька, и средства при проведении расчётов списываются с этого же баланса.

Преимущества

Полная универсальность и гибкость расчётов, присущая международным платёжным системам. Карты могут быть выпущены не только в виртуальной форме (номер и реквизиты), но и в виде пластика для реального мира. По этим картам для владельцев кошельков доступны все операции, начиная от оплаты в интернете и заканчивая снятием наличных в банкоматах. Использование электронных денег никогда не было таким удобным.

Недостатки

Присоединение к платёжным системам автоматически означает для кошельков начало игры на чужом поле. Карты-кошельки раскрываются для всего мира и принимают на себя некоторые риски, присущие обслуживанию банковских карт.
Как только появляются реквизиты карт, становятся теоретически возможными компрометация данных или подделка пластика.

Благодаря развитию технологий банковские карты, снабжённые EMV-чипом, подделать очень трудно, поэтому особое внимание безопасности платежей стоит уделять в виртуальном мире, во вселенной card-not-present.

Когда покупатель оплачивает товар в Интернет, он должен ввести номер карты, дату окончания действия, а также код безопасности (CVC2), и этого будет достаточно для проведения платежа.

В настоящий момент стандартные меры по борьбе с подобной компрометацией включают: защиту канала SSL, код безопасности CVC2, известный только держателю, плюс технологию 3D Secure. Последняя подразумевает использование упомянутого выше второго фактора между банком и держателем карты. Интернет-магазин перед проведением платежа запрашивает подтверждения операции непосредственно у банка-эмитента, а банк спрашивает клиента через SMS.
Сегодня меры защиты карт и платежей не ограничиваются только этими методами. Существуют проекты по введению, например, динамического кода CVC2, также банки могут самостоятельно или по просьбе клиента ограничивать совершение транзакций в зависимости от страны или категории магазина, суммы или количества покупок.

Кошелёк плюс карта. На пути к гармонии

Большинство россиян получают зарплату перечислением на свой банковский счет, интерфейсом к которому служит банковская карта, часто её называют «зарплатной». Электронный кошелёк обычно используется для онлайн-покупок, и поскольку имеет ряд ограничений, нуждается в постоянном источнике средств – очень часто таким источником является банковская карта. Возникает вопрос – как совместить удобство онлайн-оплаты при достаточном уровне безопасности данных источника денежных средств.

Как показывает практика, требуется защитить данные карты в момент их ввода на сайте и передачи по каналам связи. Решение MasterPass, предложенное платёжной системой MasterCard, решает именно эту задачу.

Как это работает:

1
Покупатель выбирает на сайте оплату товара с помощью MasterPass.
2
Система показывает список кошельков, поддерживающих технологию MasterPass в стране покупателя, из которых он выбирает кошелёк, в котором зарегистрирован.
3
Аутентификация происходит по правилам кошелька привычным для покупателя способом – ввод обычного логина и пароля, которые используются для подтверждения платежа.

После успешного входа в свой личный кабинет покупатель, если требуется, выбирает нужную карту и адрес доставки из нескольких имеющихся, либо сразу переходит к подтверждению покупки. После этого система передаёт реквизиты карты и адрес доставки платежному провайдеру магазина. Дополнительно вводить реквизиты карты вручную не требуется.

Для клиента особенно удобно проводить оплату товара через MasterPass с мобильного устройства. Вместо прохождения квеста с заполнением форм владельцу кошелька достаточно нажатия нескольких кнопок.

Дистанционное банковское обслуживание

За прошедшие годы коммерческие банки тоже не стояли на месте. Времена, когда платежные поручения возили в банк исключительно на бумаге, давно прошли. Сегодня можно с уверенностью сказать, что банк, не имеющий системы дистанционного обслуживания клиентов – обречён. Мало того, существуют банки без отделений – у них вся работа с клиентами построена удалённо, через интернет.

К настоящему моменту личный кабинет клиента в самых продвинутых из систем типа «Интернет-банк» даёт доступ ко всем продуктам, включая банковские карты и счета.


Для защиты доступа в «Интернет-банк» банки используют несколько факторов авторизации:

Логин и пароль;
Данные об устройствах подключения;
Генераторы одноразовых паролей;
Электронную подпись.


Для подтверждения платежей и переводов применяют:

Разовый пароль, передаваемый по SMS;
Разовый пароль из таблицы переменных кодов;
Электронную подпись и другие методы.

Варианты с электронной подписью чаще используются для систем «Банк-клиент» юридических лиц.


Через систему «Интернет-банк» можно заплатить за некоторые товары, но это будет стандартный банковский перевод. О такой оплате с интернет-магазином надо договариваться отдельно, запрашивать счёт, платить по реквизитам и ждать несколько дней.

Интернет-банк, карты и MasterPass.
Новый альянс

Многие банки выпускают пластиковые карты. В большинстве банков для удобства доступа к счетам и картам есть система онлайн-банкинга. Уже в первом приближении «Интернет-банк» очень похож на электронный кошелёк – в нем хранятся данные о банковской карте и адрес. Получается, что, подключившись к платформе MasterPass, «Интернет-банк» сможет по соответствующим протоколам общаться с магазинами и платёжными провайдерами, что облегчит процесс интернет-покупок для держателей карт.

В этом случае при оплате товара клиент выберет на сайте кнопку «Оплата MasterPass» и найдёт в списке кошельков свой банк. Авторизация клиента в системе «Интернет-банк» будет выполнена стандартным путём. В случае успеха «Интернет-банк» безопасно передаст реквизиты карты торговой точке для проведения оплаты.

Комментарии 2

    +3
    Меня страшно раздражает, что отправка кода «по SMS» считается более надёжным, чем использование TOTP.

    Ещё больше раздражает конструкция, в которой логин и пароль вводится на том же устройстве, куда приходит SMS. Одна реклама в браузере с zeroday и root exploit, и от двухфакторной защиты остаётся только пшик.

    Но главное, что меня раздражает, что кто-то может брать мои деньги с карты без разрешения.

    В paypal всё просто — мне мерчант показывает страницу, где написано «сколько заплатить» и я нажимаю «да». Почему при оплате картой в амазоне достаточно только номера, а сколько денег брать — решает уже амазон? Почему в магазине я ввожу пин-код на чужом устройстве и это является доказательством моего согласия с транзацией, размера которого я на половине устройств не вижу (а для второй половины есть малварные терминалы, занижающие рамер транзакции)?

    Почему нельзя сделать так, чтобы я, в момент оплаты, на _своём_ устройстве видел сумму и получателя платежа и на нём нажимал «да»?

    (это вопрос к мастеркард, как системе).

    Почему мои деньги на карте могут быть заблокированы по решению первого попавшегося клерка в банке, госслужащего (да ещё нескольких враждующих стран)? Почему я не могу иметь тот же уровень уверенности в платёжеспособности карты, какой я имею с наличными и биткоинами?

    (это вопрос к современной банковской системе, которая считает нормальным блокировать средства на счетах по любому чиху).
    • НЛО прилетело и опубликовало эту надпись здесь

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.