Безпека онлайн-платежів: як не втратити гроші через хакерів
У червні 2023 року проросійська хакерська група NoName057 погрожувала атакувати фінансовий сектор України. Протягом наступних чотирьох днів численні українські банки зазнали DdoS-атак.
Періодично відбуваються збої у роботі вітчизняних фінансових, комунікаційних та інших об'єктів IT-інфраструктури через кібератаки. Водночас досягти колапсу або тривалої зупинки, окрім як у випадку з "Київстар", ворогу не вдається.
Системність кібератак та наслідки під час широкомасштабного вторгнення
Галузь онлайн-платежів і до 24 лютого 2022 року стикалася з різними викликами у сфері безпеки, особливо це актуально для платіжних сервісів в період активного зростання та розширення функціоналу.
Найрозповсюдженішими були спроби несанкціонованого доступу, фішингові атаки, шахрайські схеми та інше. Найбільш інтенсивно атаки відбувались в періоди підвищеного онлайн-трафіку — такі як святкові або сезонні розпродажі.
Під час широкомасштабного вторгнення виклики та масштаби кардинально змінились та стали системними. Наприклад, у 2023 році наш сервіс потрапив під DdoS-атаку, що проходила з боку країни-агресора.
Ми стали об’єктом атаки на День Незалежності, деякі функції та інструменти працювали з затримкою, проте зупинити повністю роботу злочинцям не вдалось, атаку було відбито достатньо швидко.
Залежність інфраструктури онлайн-платежів від сторонніх сервісів змушує одночасно закривати прогалини та мати альтернативи у низці сфер: серверному забезпеченні, інтернет-комунікаціях, банківському обслуговуванні.
Так масштабний збій у роботі оператора "Київстар" у грудні 2023 року також вплинув на сервіси онлайн-платежів. Ми зіткнулись з затримками в обробці транзакцій та проблемами з клієнтським доступом до особистого кабінету.
Для рішення з доступом залучали альтернативні канали, окрім СМС-повідомлень. В таких випадках важлива швидка реакція підтримки та дозвіл скористатись іншими методами авторизації. Також довелось вживати термінових заходів, покращуючи резервування та перерозподіл трафіку.
З огляду на цей досвід, на майбутнє точно потрібно посилювати резервні системи та запроваджувати додаткові заходи для підтримки стабільності у разі виникнення схожих ситуацій.
2024 рік у цьому контексті, на жаль, не відрізняється від двох попередніх років. Треба бути готовим до нових кіберзагроз, що можуть стати тільки небезпечнішими та різноманітнішими й з не меншою інтенсивністю. За аналогією тому, що відбувається в реальному світі: ракетні атаки на інфраструктуру, кібератакам регулярно піддається інфраструктура в інтернеті.
Чому безпека коштує дорого та які ризики непередбачуваних витрат
Щоб успішно відповідати на виклики у сфері безпеки, необхідно постійно впроваджувати нові технології та методи. А саме оновлювати системи моніторингу й аналізу транзакцій та виявляти незвичайну поведінку покупця, застосовувати нові алгоритми захисту від фішингу та шахрайства, проводити навчання в галузі кібербезпеки тощо. Все це коштує грошей.
Розмір інвестицій у безпеку щорічно закладається у відсотках від загальних бюджетних видатків компанії. За останні два роки витрати на безпеку у нас особисто зросли на 30-35%.
Цифри змінюються в залежності від ринкових умов та вартості сучасних технологій. Крім того, ніколи не втрачають актуальності можливі ризики вимагання, коли хакери шифрують або крадуть дані та вимагають викупу за їх повернення.
Сервіси онлайн-платежів оперують не своїми грошима, виступаючи провідником для коштів між покупцем та продавцем, щосекунди відбувається зміна балансів (для прикладу, ми щодня обробляємо понад пів мільйона платежів) й втрата даних у цій сфері могла б стати значною проблемою.
Через ці ризики значна частина безпекового бюджету йде на резервне копіювання.
Загрози фішингу та крадіжки особистих даних залишаються найбільш проблемними та витратними у плані захисту.
Застосування соціальної інженерії (використання людської психології та довіри в інтернеті) для обману користувачів та отримання їхньої особистої інформації потребує постійного моніторингу та оновлення заходів безпеки, адже інструменти та схеми шахраїв вдосконалюються.
Як протистояти загрозам
Велику кількість загроз цілком можливо попередити та вжити превентивних безпекових заходів саме завдяки моніторингу, тобто знати заздалегідь, що саме і коли готується.
В умовах активності проросійських хакерських груп, у сфері онлайн-платежів в основному атаки спрямовані на фінансові транзакції, оскільки це привабливий напрям для кіберзлочинців.
Вітчизняні компанії у сфері онлайн-платежів постійно проходять сертифікацію PCI DSS. Багато хто також має власну систему захисту AntiFraud. Стандарт PCI DSS гарантує безпеку обробки платіжних даних.
AntiFraud використовується для активного виявлення та запобігання шахрайським операціям. Не всі системи онлайн-платежів впроваджують антифрод через складність та витрати, але це критично важливий аспект, що забезпечує стабільність та довіру до сервісу, тому вартує зусиль.
Чому це важливо? Власні системи запобігання шахрайству включають алгоритми моніторингу транзакцій, виявлення аномалій та аналіз поведінки клієнтів. З цією ж метою активно використовується і штучний інтелект, як один з елементів екосистеми безпеки.
Деякі транзакції можуть перевірятись додатково, щоб автоматично не відхилити підозрілий платіж, який все ж таки має право здійснювати власник картки. Основне завдання - оперативно виявляти та блокувати потенційні шахрайські операції.
Окрім цього, перевірку повинен проходити і продавець. Адже шахрайство може відбуватись як зі сторони покупців, так і продавця.
Ще один важливий аспект системи захисту — співпраця у сфері безпеки з профільними держструктурами, банками та міжнародними платіжними системами, такими як Visa та Mastercard.
Останнє включає обмін інформацією про нові загрози, спільне навчання персоналу та використання стандартів безпеки. Ці заходи допомагають суттєво мінімізувати ризики.
У разі покупки стороннього ПО або послуг, вибір краще робити на користь великих іноземних вендорів. Адже вони так само стикаються з атаками і сервіси онлайн-платежів залежать від того, як вдало ним протистоять.
Походження, зв'язки та успішний досвід щодо зовнішніх загроз — ключові критерії для вибору постачальника.
Поради користувачам – як захиститись
Окрім звичайних заходів безпеки, користувачам важливо приділяти увагу захисту від соціальної інженерії та фішингу. Наприклад, при переході на платіжну сторінку слід звертати увагу на адресу у браузері, наявність дійсного сертифікату безпеки та безпечного з’єднання. Крім того:
- використовувати надійні паролі та двофакторну автентифікацію;
- перевіряти сайти на оригінальність перед введенням особистих даних;
- регулярно переглядати фінансові операції. Чи всі транзакції робились саме вами?
- оновлювати програмне забезпечення та антивірусні програми;
- бути пильними при відкритті підозрілих повідомлень або посилань.
Використання віртуальних банківських карток виключно для онлайн-платежів допоможе ефективно захищатися від шахрайства, оскільки вони не прив'язані до основного рахунку. Звісно, якщо на картці буде обмежений ліміт під заплановані покупки. Це може обмежити потенційні фінансові втрати у разі несанкціонованих операцій.