Безпека в сфері електронної комерції та платіжних операцій

Застосовуйте захищені носії ключової інформації для накладання електронного цифрового підпису та методи багатофакторної автентифікації.

З персонального комп'ютера, на якому здійснюється підготовка та відправка документів до банку, необхідно звести до мінімуму використання інтернету. Не відвідуйте сайтів сумнівного змісту та будь-яких інших інтернет-ресурсів невиробничого характеру (соціальні мережі, конференції та чати, телефонні сервіси тощо).

Не читайте пошту та не відкривайте поштових вкладень до електронних листів, які надійшли від невідомих або підозрілих адресатів. Не слід здійснювати встановлення та оновлення будь-якого програмного забезпечення не з офіційних сайтів виробників.

Налаштовуйте окремо мережеве обладнання корпоративних і персональних комп'ютерів. Доступ до мережі Інтернет обмежуйте «білим списком» сайтів з усіх робочих місць, на яких здійснюється підготовка, підписання та відправлення платіжних документів.

У «білий список» повинні включатися виключно перевірені сайти самої організації, банків, податкової служби, інших державних органів, доступ до яких НЕОБХІДНИЙ у виробничому процесі, сервери оновлень системного та антивірусного програмного забезпечення.

Мінімізуйте кількість користувачів комп'ютерів, на яких здійснюється підготовка та відправлення документів до банку.

Доцільно обмежити фізичний доступ до персональних комп'ютерів, на яких здійснюється підготовка та відправлення документів до банку (надавати доступ виключно відповідальним працівникам, які безпосередньо вповноважені та мають право проводити роботи з програмним забезпеченням системи ДБО).

Використовуйте сучасне антивірусне забезпечення, оновлюйте та проводьте антивірусну перевірку на комп'ютерах.

Шкідливе програмне забезпечення здатне перехоплювати будь-які дані обміну з банком, персональних комп'ютерів клієнтів та/або особистих даних держателів електронних платіжних засобів та зберігати/поширювати таку інформацію для подальшого несанкціонованого використання сторонніми особами злочинним шляхом.

Не допускайте несанкціонованого використання ключів електронного цифрового підпису, зберігайте ключові носії в спосіб, що виключає несанкціонований доступ до них.

Генерацію секретних ключів слід виконувати тільки самостійно. Нікому (у тому числі працівникам банку) не повідомляти та не передавати паролі до особистих секретних ключів. Не записувати та не зберігати паролі разом з носієм ключа.

Фішинг (від англ. Fishing – «риболовля») – один з найбільш поширених видів шахрайства з використанням методів соціальної інженерії. Його мета – під різними приводами виманити у власників платіжних карток конфіденційну інформацію, у тому числі реквізити платіжних карт, що дає можливість отримати доступ до рахунку і вкрасти гроші.

Щоб зловити на гачок довірливого користувача, злочинці імітують діяльність наявних банків-емітентів і компаній, активно використовуючи неголосові засоби комунікації: SMS-повідомлення, е-mail-повідомлення, форму оплати на сайті, який є фішинговим вебресурсом.

Фішинговий сайт – це шахрайський вебресурс, що здійснює крадіжку реквізитів платіжних карт під виглядом надання послуг (це може бути, наприклад, поповнення мобільного рахунку або переказ коштів з картки на картку), або клон вебресурсу організації, якій користувач довіряє (на кшталт portmone.com, ukrposhta.com тощо).

За статистикою понад 90 % фішингових сайтів надають саме вдавані послуги поповнення мобільних рахунків і переказу коштів з картки на картку.

Головна рекомендація фахівців з кібербезпеки в платіжній сфері – ніколи не зазначати дані своєї платіжної карти (номер, термін дії, тризначний код безпеки CVV2/CVC2 зі зворотного боку картки), а також банківський код підтвердження операції з SMS-повідомлення на підозрілих і неперевірених сайтах.

Розпізнати фішинговий вебресурс не проблема
Перевірити сайт можна навіть просто візуально, не використовуючи жодних додаткових сервісів.

Якщо домен сторінки починається з http://, а не з https:// і не має стилізованого символа замка, який повідомляє про встановлення безпечного https-з'єднання, ресурс, як мінімум, небезпечний, як максимум – може бути фішинговим.

Реєстрація сайту, який надає послуги переказу коштів з картки на картку, а також поповнення мобільного телефону або онлайн-кредитування не в домені національного рівня .UA може бути ознакою фішингового ресурсу.

Наявність нульових комісій та інших «НЕЙМОВІРНИХ» пропозицій має насторожити.

Тематичні недоліки, наприклад відмінності в назві домену в адресному рядку і в тексті або на банері, теж можуть свідчити про те, що це шахрайський сайт.

Якщо в адресному рядку відображаються однакові адреси для всіх сторінок сайту, користувач точно зайшов на фішингових ресурс.

Ніколи не повідомляйте конфіденційні дані вашої картки стороннім особам (ПІН-код, повний номер картки, термін дії та CVV2/CVC2-код).

Співробітники банку НІКОЛИ не запитують цю інформацію.

Для online-покупок використовуйте ОКРЕМУ фізичну або віртуальну картку, аби не «розкривати» дані основної картки, наприклад зарплатної. Не зберігайте на картах для online-покупок свої кошти тривалий час, краще витратити кілька хвилин для переказу потрібної суми, ніж втратити свої гроші.

Якщо вам телефонують з банку та повідомляють про несанкціоноване списання з рахунку – кладіть слухавку, незалежно від того, з якого номеру цей дзвінок надійшов.

Для перевірки інформації передзвоніть у свій банк САМОСТІЙНО на номер, що зазначено на зворотному боці вашої картки.

Звертайте особливу увагу на сайти, де Ви плануєте здійснювати оплату товарів/послуг. Поле з назвою сайту повинно мати захисний протокол, який у разі наведення в це поле курсора має такий вигляд: «https://{назва сайту}»

Завжди встановлюйте ліміт на покупки як на фізичній, так і на віртуальній картці.

Негайно змінюйте ПІН-код до вашої карти, якщо є підозри, що він став відомий іншим особам. Блокуйте картку в разі виявлення спроб здійснити несанкціоновані платежі.