Категории: Все - інформація - безпека - інтернет

по Артем Євгенович Шевченко 12 месяца назад

88

Безпека в сфері електронної комерції та платіжних операцій

Захист особистих даних під час електронних платежів є вкрай важливим аспектом для запобігання шахрайству. Ніколи не розголошуйте конфіденційну інформацію вашої картки, таку як ПІН-код, номер картки або CVV-код, оскільки справжні співробітники банку цю інформацію не запитують.

Безпека в сфері електронної комерції та платіжних операцій

Безпека в сфері електронної комерції та платіжних операцій

Під час використання електронних платіжних засобів:

Завжди встановлюйте ліміт на покупки як на фізичній, так і на віртуальній картці.
Негайно змінюйте ПІН-код до вашої карти, якщо є підозри, що він став відомий іншим особам. Блокуйте картку в разі виявлення спроб здійснити несанкціоновані платежі.
Звертайте особливу увагу на сайти, де Ви плануєте здійснювати оплату товарів/послуг. Поле з назвою сайту повинно мати захисний протокол, який у разі наведення в це поле курсора має такий вигляд: «https://{назва сайту}»
Якщо вам телефонують з банку та повідомляють про несанкціоноване списання з рахунку – кладіть слухавку, незалежно від того, з якого номеру цей дзвінок надійшов.
Для перевірки інформації передзвоніть у свій банк САМОСТІЙНО на номер, що зазначено на зворотному боці вашої картки.
Для online-покупок використовуйте ОКРЕМУ фізичну або віртуальну картку, аби не «розкривати» дані основної картки, наприклад зарплатної. Не зберігайте на картах для online-покупок свої кошти тривалий час, краще витратити кілька хвилин для переказу потрібної суми, ніж втратити свої гроші.
Ніколи не повідомляйте конфіденційні дані вашої картки стороннім особам (ПІН-код, повний номер картки, термін дії та CVV2/CVC2-код).
Співробітники банку НІКОЛИ не запитують цю інформацію.

Фішинг: що це і як захиститись від нього

Наявність нульових комісій та інших «НЕЙМОВІРНИХ» пропозицій має насторожити.
Якщо в адресному рядку відображаються однакові адреси для всіх сторінок сайту, користувач точно зайшов на фішингових ресурс.
Тематичні недоліки, наприклад відмінності в назві домену в адресному рядку і в тексті або на банері, теж можуть свідчити про те, що це шахрайський сайт.
Розпізнати фішинговий вебресурс не проблема Перевірити сайт можна навіть просто візуально, не використовуючи жодних додаткових сервісів.
Реєстрація сайту, який надає послуги переказу коштів з картки на картку, а також поповнення мобільного телефону або онлайн-кредитування не в домені національного рівня .UA може бути ознакою фішингового ресурсу.
Якщо домен сторінки починається з http://, а не з https:// і не має стилізованого символа замка, який повідомляє про встановлення безпечного https-з'єднання, ресурс, як мінімум, небезпечний, як максимум – може бути фішинговим.
Фішинговий сайт – це шахрайський вебресурс, що здійснює крадіжку реквізитів платіжних карт під виглядом надання послуг (це може бути, наприклад, поповнення мобільного рахунку або переказ коштів з картки на картку), або клон вебресурсу організації, якій користувач довіряє (на кшталт portmone.com, ukrposhta.com тощо).
Головна рекомендація фахівців з кібербезпеки в платіжній сфері – ніколи не зазначати дані своєї платіжної карти (номер, термін дії, тризначний код безпеки CVV2/CVC2 зі зворотного боку картки), а також банківський код підтвердження операції з SMS-повідомлення на підозрілих і неперевірених сайтах.
За статистикою понад 90 % фішингових сайтів надають саме вдавані послуги поповнення мобільних рахунків і переказу коштів з картки на картку.
Фішинг (від англ. Fishing – «риболовля») – один з найбільш поширених видів шахрайства з використанням методів соціальної інженерії. Його мета – під різними приводами виманити у власників платіжних карток конфіденційну інформацію, у тому числі реквізити платіжних карт, що дає можливість отримати доступ до рахунку і вкрасти гроші.
Щоб зловити на гачок довірливого користувача, злочинці імітують діяльність наявних банків-емітентів і компаній, активно використовуючи неголосові засоби комунікації: SMS-повідомлення, е-mail-повідомлення, форму оплати на сайті, який є фішинговим вебресурсом.

Під час використання систем дистанційного банківського обслуговування (ДБО):

Не допускайте несанкціонованого використання ключів електронного цифрового підпису, зберігайте ключові носії в спосіб, що виключає несанкціонований доступ до них.
Генерацію секретних ключів слід виконувати тільки самостійно. Нікому (у тому числі працівникам банку) не повідомляти та не передавати паролі до особистих секретних ключів. Не записувати та не зберігати паролі разом з носієм ключа.
Використовуйте сучасне антивірусне забезпечення, оновлюйте та проводьте антивірусну перевірку на комп'ютерах.
Шкідливе програмне забезпечення здатне перехоплювати будь-які дані обміну з банком, персональних комп'ютерів клієнтів та/або особистих даних держателів електронних платіжних засобів та зберігати/поширювати таку інформацію для подальшого несанкціонованого використання сторонніми особами злочинним шляхом.
Мінімізуйте кількість користувачів комп'ютерів, на яких здійснюється підготовка та відправлення документів до банку.
Доцільно обмежити фізичний доступ до персональних комп'ютерів, на яких здійснюється підготовка та відправлення документів до банку (надавати доступ виключно відповідальним працівникам, які безпосередньо вповноважені та мають право проводити роботи з програмним забезпеченням системи ДБО).
Налаштовуйте окремо мережеве обладнання корпоративних і персональних комп'ютерів. Доступ до мережі Інтернет обмежуйте «білим списком» сайтів з усіх робочих місць, на яких здійснюється підготовка, підписання та відправлення платіжних документів.
У «білий список» повинні включатися виключно перевірені сайти самої організації, банків, податкової служби, інших державних органів, доступ до яких НЕОБХІДНИЙ у виробничому процесі, сервери оновлень системного та антивірусного програмного забезпечення.
З персонального комп'ютера, на якому здійснюється підготовка та відправка документів до банку, необхідно звести до мінімуму використання інтернету. Не відвідуйте сайтів сумнівного змісту та будь-яких інших інтернет-ресурсів невиробничого характеру (соціальні мережі, конференції та чати, телефонні сервіси тощо).
Не читайте пошту та не відкривайте поштових вкладень до електронних листів, які надійшли від невідомих або підозрілих адресатів. Не слід здійснювати встановлення та оновлення будь-якого програмного забезпечення не з офіційних сайтів виробників.
Застосовуйте захищені носії ключової інформації для накладання електронного цифрового підпису та методи багатофакторної автентифікації.