Ростовский Ю.М., Гречков В.Ю. Внешнеэкономическая деятельность. Учебник" (3е издание, переработанное и дополненное) (Ростовский Ю. М., Гречков В. Ю.) ("
 Скачать 2.26 Mb.
|
|
способам фишинга можно отнести: - технологии отслеживания клавиатурного ввода (key-logging). С помощью программы-шпиона (spyware) вводимая пользователем с клавиатуры информация может быть направлена создателю шпиона, позволяя ему отслеживать все посещения сайтов, вводимые пароли и PIN-коды, читать электронные письма, сообщения в чаты, реквизиты для доступа к сайтам финансовой направленности и т.п.; - технологии редиректа, предназначенные для переадресации сетевого трафика пользователя: информация перенаправляется на сайты компьютерных мошенников; - технологии, носящие название pharming, предназначенные для перехвата информации между взаимодействующими сторонами с целью перенаправления пользователей на фишинг-сайты; - подмена адресов и настроек используется программами-налетчиками (hijackers). Такие программы могут поражать браузер и подменять его стартовую страницу, "налеты" проводятся также на автозагрузку, кэш, рабочий стол, папку "Избранное"; - технология фиксации опечаток получила название typoattacks. Вредоносные программы фиксируют неправильный набор популярных адресов, далее регистрируется сайт с ошибочным доменным именем и на него попадает каждый пользователь, ошибающийся при наборе адреса; - заражение поисковых систем. При заражении вредоносным ПО изменяется стартовая страница и подменяется поисковая интернет-система, например Google. Когда владелец компьютера обращается к этой поисковой системе, его запрос перенаправляется на страницу, по виду точно такую же, как и Google, и выполняющую ту же функцию. Однако в качестве результатов поиска отражается именно то, что требуется злоумышленникам; - для получения контроля над целой сетью компьютеров используются так называемые крысы (Remote Access Trojan, RAT). Для аккумулирования опыта борьбы с фишингом, углубленного изучения этого явления и активной борьбы с ним была создана международная ассоциация Anti-Phishing Working Group (APWG), включающая несколько тысяч членов по всему миру, свыше 1500 компаний и ряд разработчиков антивирусов. Организация World Wide Web Consortium (W3C), занимающаяся разработкой технологических стандартов для Всемирной паутины, создала рабочую группу для борьбы с фишерами. Примечание. В России первый случай фишинга был зафиксирован в 2004 г., жертвой атаки стал Ситибанк, ряду клиентов которого были высланы ложные письма с просьбой подтвердить работоспособность счетов на определенном сайте. Обязательными к заполнению полями на сайте-подделке были в том числе номер банковской карты и PIN-код. Безопасность предприятий электронной коммерции В связи с постоянным увеличением количества и появлением различных новых видов угроз для ведения электронного бизнеса безопасность в настоящее время понимается в широком смысле: не только как защищенность сетевых соединений и отсутствие онлайн-мошенничеств, но и как гарантия того, что покупателей интернет-магазинов не обманут и их деньги в любом случае не пропадут. Для подтверждения подобного рода безопасности существует практика сертификации предприятий электронной коммерции. Так, например, в Европе функционирует компания Trusted Shops GmbH <1>, основной целью которой являются обеспечение высокого уровня надежности в сфере интернет-бизнеса и предоставление потребителям информации, в каких электронных магазинах безопасно совершать покупки. Сертификат Trusted Shops свидетельствует, что в данном магазине посетителя не обманут; деньги возвращаются покупателю товаров и услуг в случаях, если ему не доставят заказанный на условиях предоплаты товар, или не вернут деньги при возвращении товара в магазин, или в случае мошенничества с его кредитной картой. При этом гарантом возврата денег выступает компания Trusted Shops. -------------------------------- <1> www.trustedshops.com. Примечание. Компания Trusted Shops GmbH была основана в 2000 г. в тесном взаимодействии с агентствами по защите прав потребителей. При поддержке Европейского союза система Trusted Shops сейчас действует практически во всей Европе, особенно масштабно в Великобритании, Германии, Франции, Бельгии, Нидерландах и Скандинавии. В эту систему входят более 2000 интернет-магазинов. Поскольку во многих странах Европы такая сертификация существует достаточно давно и информация всегда может быть предоставлена клиенту, собирающемуся совершить онлайн-покупку, владельцы интернет-магазинов сами заинтересованы в наличии сертификата, подтверждающего надежность его виртуальных точек продажи. Европейская программа сертификации включает три основные проверки: - юридическую (проверка правильности оформления учредительных документов); - техническую (проверка наличия защищенных соединений, обеспечивающих безопасность транзакций); - финансовую (проверка кредитоспособности самого электронного магазина). Подобная проверка - не разовая акция, а регулярно проводимый процесс, и при выдаче (продлении) сертификата учитывается отсутствие обоснованных жалоб на магазин со стороны клиентов. Примечание. В России также начинается процесс добровольной сертификации интернет-магазинов. Национальная ассоциация участников электронной торговли НАУЭТ при поддержке Конфедерации обществ защиты прав потребителей и Департамента потребительского рынка и услуг Москвы представила программу Safeshopping, разработанную по мировым стандартам, но с учетом особенностей российского рынка электронной коммерции. При этом НАУЭТ договорилась с компанией Trusted Shops об официальной поддержке программы Safeshopping.ru. В течение ближайшего года будет создана уникальная программа добровольной сертификации российских интернет-магазинов, в которую войдут лучшие наработки российских специалистов и вызывающие доверие клиентов всего мира методы защиты репутации Trusted Shops. Таким образом, комплексная работа по защите информации включает разработку полноценной системы защиты, включающей правовые, морально-этические, административные, физические и аппаратно-программные меры. При разработке такой системы важно понимать, что в настоящее время полностью изменился сам профиль злоумышленников: сегодня компьютерные сети и базы данных массово взламывают не подростки и не любители, а организованные профессионалы, преследующие коммерческие цели. Доход от киберпреступности сейчас уже превосходит доход от сбыта наркотиков и продолжает расти (по оценкам, например, Казначейства США). 10.2. Формы расчетов и методы платежей в электронной коммерции Защита информации в электронных платежных системах Одним из наиболее важных элементов электронной коммерции является наличие платежной системы, позволяющей пользователям оплатить произведенную покупку любым удобным для них способом. К платежным системам в Интернете предъявляются особенно жесткие требования по соблюдению конфиденциальности, сохранению целостности информации, аутентификации как со стороны продавца, так и покупателя. К этим требованиям добавляется также необходимость авторизации, которая позволит продавцу определить, располагает ли покупатель средствами для оплаты покупки и гарантии покупателю, что продавец компетентен и заслуживает доверия. Для выполнения требований по конфиденциальности и аутентификации в Интернете используются методы шифрования информации, которые были рассмотрены выше, включая использование цифровой подписи и цифровых сертификатов для подтверждения надежности всех контрагентов. Осуществление платежей в сети Интернет по сути представляет собой электронный аналог традиционных офлайновых платежей посредством наличных, чеков или кредитных карт. Платежные системы в Интернете можно разделить на кредитные, дебетовые или электронные чеки и системы, работающие с цифровыми наличными. Кредитные системы Кредитные системы - это аналог обычных систем с платежами, осуществляемыми с помощью кредитных карт: оплачивая покупку, покупатель доказывает продавцу свою платежеспособность, сообщая ему номер карты; продавец может проверить это и представить покупателю слип <1>, чтобы тот заверил его своей подписью. Затем продавец представляет слип в банки, получает деньги, а покупатель может проследить снятие денег со счета, изучив банковскую выписку. В последние годы широкую популярность приобрели банкоматы и автоматизированные торговые POS-терминалы (Point of Sale - оплата в точке продажи), при использовании которых нет необходимости в заполнении слипов: терминал позволяет считывать реквизиты карты, покупатель вводит свой PIN-код (Personal Identification Number - персональный идентификационный номер), и на клавиатуре терминала набирается сумма сделки. -------------------------------- <1> Специальный бумажный чек с оттиском рельефной информации, нанесенной на кредитную карту, удостоверяющий факт совершения покупки и ее оплаты. Оплата покупки по кредитной карте в Интернете происходит аналогично, только с использованием дополнительных транзакций для передачи данных и с рядом дополнительных мер для обеспечения безопасности. Покупатель может направить продавцу незашифрованный номер своей кредитной карты или ее реквизиты, зашифрованные до проведения транзакций. Если покупатель пользуется электронным магазином и вносит номер кредитной карты в форму заказа, то данные на сервер продавца будут передаваться в открытом виде. При этом безопасность совершенно не гарантирована: информация может быть перехвачена либо сам продавец может нелегально использовать незашифрованный номер карты для снятия с нее денег. Для того чтобы обезопасить подобный обмен, необходимо использовать браузер и сервер (электронный магазин), поддерживающие протокол шифрования SSL (см. далее). В этом случае все данные будут защищены от несанкционированного доступа в сети Интернет, но защита не сервере продавца не обеспечивается. Для того чтобы защититься от недобросовестного продавца, который может использовать кредитную карту для несанкционированных покупок, разработаны специальные системы, использующие шифрование данных и цифровые подписи. Различные фирмы предлагают системы собственной разработки (наиболее известными являются CyberCash, Verifone), общим принципом функционирования которых являются применение вспомогательного приложения для web-браузера, так называемого электронного бумажника (wallet), и передача зашифрованного номера кредитной карты на собственный сервер фирмы для аутентификации и подтверждения покупки. Другие системы, как, например, First Virtual, выдают пользователям персональный идентификатор (VirtualPIN), который они затем используют вместо номера кредитной карты; после получения информации о продаже от продавца этот идентификатор вновь преобразуется в номер кредитной карты для проведения окончательного расчета. Еще одним способом, позволяющим покупателям избежать передачи данных кредитной карты через Интернет, является генерация одноразовых карт, такой способ предлагает компания Orbiscom. Банки - эмитенты одноразовых карт устанавливают у себя систему Orbiscom, а пользователи должны установить специальную программу, интерфейс которой выглядит как графическое изображение кредитной карты с чистой строкой вместо номера. Введя в чистую строку номер своей кредитной карты, пользователь получает уникальный номер, который затем и используется в электронном магазине вместо номера кредитной карты и действителен лишь на одну покупку. Конечно, использование программного обеспечения различных разработчиков тормозит развитие единой системы платежей с помощью кредитных карт, поэтому требуется разработка единого стандарта, который позволит ввести единообразный способ проведения платежных операций в Интернете. К настоящему времени работы в этом направлении продолжаются и уже действуют два стандарта, упрощающих применение электронного бумажника и осуществление платежей с помощью кредитных карт. 1. Первым является набор протоколов SET (Secure Electronic Transaction), предназначенных для использования в различных приложениях (например, web-браузерах). Этот набор протоколов обеспечивает использование цифровых сертификатов для идентификации всех сторон, участвующих в сделке купли-продажи, и шифрование информации о кредитной карте и покупке перед тем, как передать эту информацию в Интернет. Правила SET предусматривают первоначальное шифрование сообщения с использованием случайным образом сгенерированного симметричного ключа, который, в свою очередь, шифруется открытым ключом получателя сообщения, в результате чего образуется так называемый электронный конверт. Получатель сообщения может расшифровать этот конверт с помощью своего закрытого (секретного) ключа и получить таким образом секретный ключ отправителя, который затем используется для расшифровки присланного сообщения. Целостность информации и аутентификация участников обмена обеспечиваются использованием электронной цифровой подписи. Многие компании интегрируют SET с другими технологиями для достижения максимальной конфиденциальности и безопасности совершения платежей. В настоящее время практически во всех крупных платежных системах Интернета предлагаются услуги с использованием протокола SET. К основным преимуществам использования SET для всех сторон сделки можно отнести следующие: - продавец защищен от возможных покупок с помощью неавторизованной платежной карты и от отказа от покупки; - банки защищены от необходимости осуществления платежей по покупкам с помощью неавторизованной карты; - в случае перехвата номера кредитной карты или осуществления покупки у несуществующего продавца покупатели не пострадают. К сожалению, протокол SET не получил всеобщего распространения, и компании электронной торговли, принимающие оплату по кредитным карточкам, вынуждены сталкиваться со сложностями, связанными с интеграцией конкурирующих технологий аутентификации покупателей. Ведущие компании - Visa International и MasterCard International, поддерживающие этот протокол с 1997 г., даже пришли к выводу, что он потерпел неудачу: при его использовании клиентам приходится терять время на длительную загрузку на свои компьютеры необходимых компонентов, в этой системе применяется не слишком удобная система цифровых сертификатов, интегрировать ее в системы продавцов и банков, эмитирующих кредитные карты, оказалось непросто. В результате на рынке присутствуют технологии обеих компаний, основанные на существенно различных подходах. В схеме Verified by Visa аутентификация выполняется на узле продавца: владелец кредитной карты в процессе подписки на услуги аутентификации задает свой пароль, при покупке в электронном магазине у него запрашивается этот пароль, а банк-эмитент кредитной карты проводит верификацию пароля и передает продавцу уведомление о результате аутентификации вместе с параметрами платежа. Технология MasterCard Secure Payment Application предполагает, что аутентификация будет выполняться с помощью специального приложения: владелец карты задает пароль на сервере банка-эмитента и загружает с него на свой компьютер специальное приложение; работающая на сервере программа автоматически заполнит все стандартные поля заказа, а загруженное приложение генерирует код аутентификации; после этого клиент вводит свой пароль, а уведомление о результате аутентификации и параметры платежа передаются банку-эмитенту. В результате отсутствия единого стандарта и наличия разнородных технологий компаниям электронной торговли приходится поддерживать оба механизма аутентификации. 2. Вторым стандартом является JEPI (Joint Electronic Payment Initiative), также обеспечивающий стандартное взаимодействие сторон в процессе платежа. На стороне покупателя стандарт обеспечивает интерфейс, позволяющий web-браузеру и электронному бумажнику использовать различные протоколы платежей, а на стороне продавца он обеспечивает передачу поступающих транзакций соответствующему протоколу (например, SET). Этот стандарт удобен тем, что предоставляет возможность продавцу поддерживать различные платежные системы, предпочитаемые покупателем. К основным |