close-btn

Павел Крылов, Group-IB: Для e-commerce безопасность – это всегда неудобство

Стоит обратить внимание на приближение праздников. В это время мошенники как никогда изобретательны

Павел Крылов

Павел Крылов, Group-IB Фото: eCom21

В канун новогодних онлайн-распродаж редакция PaySpace Magazine предлагает вспомнить о безопасности покупок в интернете. Во время конференции eCom21, которая проходила в Риге в прошлом месяце, мы поговорили с руководителем отдела защиты онлайн-платежей компании Group-IB. Павел Крылов рассказал о контрафакте, поддельных страницах оплаты и незащищенности личных кабинетов.

Павел, расскажите о наиболее популярных схемах обмана покупателей в электронной коммерции

На самом деле большинство самых популярных схем, которые касаются непосредственно коммерции, исходят из классики, которая была еще до интернета. Например, контрафакт, использование чужого бренда, и т.п. Просто теперь это перешло в Интернет-торговлю.

Стоит обратить внимание на приближение праздников. Люди интересуются, куда полететь на Новый год, и мошенники этим пользуются. Набирая в поисковике запрос «дешевые билеты», велика вероятность попасть на сайт мошенников, который внешне не вызывает подозрений. С помощью легальных ресурсов преступники подтягивают актуальное расписание рейсов, и создают формы для приема платежной информации. Только деньги клиента попадают не на банковский счет компании, которая продает билеты, а мошенникам.

Также популярны фишинговые сайты, которые якобы являются официальными представителями крупного ритейла, но на самом деле продают контрафакт или вовсе не продают товары. Они просто собирают заказы. Кроме того, мошенники научились подменять формы приема платежа на сайтах легальных интернет-магазинов. Это легко делается с помощью доступных сервисов по переводу с карты на карту и веб-инъекций, которые внедряются зловредным кодом на компьютерах и мобильных устройствах при посещении легальных страниц приема платежей.

Программы лояльности так же являются популярной мишенью преступников. Бонусные баллы, мили и т.п. можно монетизировать. Взломать аккаунт пользователя на сайте интернет-магазина гораздо проще. Ведь уровень защиты кабинетов ниже, чем в интернет-банках. Как правило, личный кабинет защищен логином и паролем из-за требований к удобству использования интернет-магазина. Мошенники проникают в личные кабинеты, используя простой перебор паролей. Поэтому порог вхождения мошенников в этот криминальный бизнес очень низкий. У нас был случай, когда это делали школьники 14-15 лет.

Вообще для e-commerce безопасность – это всегда неудобство, которое очень тяжело обосновать перед покупателем, который не заинтересован в том, чтобы совершать лишние действия.

group-ib

Мы сейчас занимаемся поведенческим анализом, дополнительными проверками на стороне клиента, чтобы понять, есть ли повод подозревать его в мошеннических действиях или нет.

Хоть это и не касается напрямую e-commerce, но для конечных покупателей существенно выросли риски хищений с телефона. За год ущерб от хищений с Android-телефонов вырос почти на 500%.

Как защитить себя от мошенников, покупая в Интернете?

Покупателю надо обращать внимание на некоторые элементы сайта – такие как корректность SSL-сертификата, контактную информацию, время существования и историю продавца на рынке. Стоит поискать отзывы на просторах Интернета. Есть специфические проверки, например, посмотреть время жизни домена. Если счет идет на дни – то, скорее всего, это мошенники.

Есть специальные проекты по защите от мошенничества в сети Интернет. Например, наша компания совместно с AviaSales создала ресурс http://настоящийбилет.рф, на котором можно проверить легитимность ресурса, продающего авиационные билеты. За историю существования данного сервиса было выявлено и заблокировано более 400 мошеннических сайтов «по продаже авиабилетов».

Насчет контрафакта, честно говоря, если человек хочет купит дешевле – сложно его остановить, он не обращает внимание на предупредительные знаки. Мы с контрафактом боремся, защищаем производителей медицинских товаров, кинофильмы, особенно западные, когда прокатчики не имеют рычагов влияния в регионе.

Если покупатель все-таки ввел свои данные на фишинговом сайте и его средства ушли на карту мошенника, какова вероятность того, что пользователю удастся вернуть средства?

Не знаю какая сложилась практика за рубежом, но в России если клиент подтвердил мошеннический платеж 3DS-кодом (смс-кодом), то банк не вернет средства.

То есть покупатель каждый раз идет на риск?

Да, риск существует всегда. Это как с самолетами: иногда они разбиваются. Но статистика – вещь упрямая. Она показывает, что таких инцидентов намного меньше, чем опасений.

Какой процент средств в общем обороте e-commerce попадает в руки мошенников?

Это зависит от страны. В высокоразвитых государствах этот показатель составляет 1-2%. Тем не менее, для продавцов это существенные деньги. Для менее развитых рынков убытки достигают 10%.

Это зависит от того, с какими рисками столкнулась организация. И насколько серьезно отнеслась к защите.

Недавно Apple выпустил ноутбук со сканером отпечатков. Сможет ли биометрия защитить покупки?

Отпечаток пальца – это некое удобство. Но давно известно, что это ненадежное средство авторизации. Будет достаточно бокала с отпечатком пальца, чтобы зайти в этот же ноутбук.

group-ib

Это новая технология, к которой мошенникам еще надо адаптироваться. Но по факту, если устройство заражено, троян имеет полный контроль над ним. И какие бы средства авторизации не использовались, преступник сможет вклиниться в любой процесс подтверждения личности.

Но в целом биометрия – это хороший компромисс между безопасностью и удобством.

Киберпреступники – кто они?

Умных людей много. Тем более, совершить киберпреступление психологически проще, чем классическое, за счет отсутствия прямого контакта с жертвой.

У кого-то есть понимание, что он не готов преступить закон. У кого-то нет. В любом случае, нужно понимать, что вначале будет успешный период, но потом тебя начнут ловить, и поймают. Не с первого раза, из-за недостатка данных или небольшого ущерба.  Но остановиться, перейдя черту один раз, очень и очень сложно. Например, спецслужбы и наша компания (Group-IB, — ред.), никогда не берут на работу бывших хакеров – потому что сломленный рубеж не подлежит восстановлению. Пригласить на работу такого человека – это взять на себя риск, что потом к тебе придут и обвинят, что это твой сотрудник участвовал в противоправных действиях.

Как часто вы сами покупаете в Интернете?

Довольно часто.  Другое дело что, понимая специфику, обращаешь внимание на нюансы, больше соблюдаешь гигиену по безопасности.

ЧИТАЙТЕ ТАКЖЕ — О киберугрозах в онлайн-торговле и будущем платежей — интервью с Кристианом Шмиелем

google news