Скачайте приложение, чтобы слушать «Эхо»
Купить мерч «Эха»:

Безопасность электронных платежей - Сергей Новиков - Точка - 2014-03-09

09.03.2014
Безопасность электронных платежей - Сергей Новиков - Точка - 2014-03-09 Скачать

А. ПЛЮЩЕВ: Московское время 21 час 9 минут, добрый вечер, вас приветствует Александр Плющев, в эфире программа «Точка». Есть мы в Сетевизоре, точнее, нет меня. Кстати, надо сказать, мне кажется, тема сегодняшней программы, вообще как бы ее название, она обязывает к тому, чтобы мне скрыться в некотором смысле от ваших глаз. Безопасность электронных платежей решили мы сегодня обсудить с Сергеем Новиковым, руководителем российского исследовательского центра Лаборатории Касперского. Добрый вечер, Сереж.

С. НОВИКОВ: Всем добрый вечер. Саш, привет. Уважаемые радиослушатели…

А. ПЛЮЩЕВ: Вот Сергея видно.

С. НОВИКОВ: … да, коли меня видно и слышно, я надеюсь, с прошедшим всех праздником, всем вам любви, добра, тепла, радости и весеннего настроения. Поэтому будьте, будьте счастливыми!

А. ПЛЮЩЕВ: У меня полное впечатление, что я попал куда-нибудь на этот самый, как он называется… Comedy Club. Вот. Ну, просто как бы безопасность электронных платежей – а тут на тебе, праздник, причем всех с ним. Вот.

Значит, мы просто с Сергеем не так давно побывали в Барселоне… продолжая тему прошлой программы, на которой были здесь Сережа Вильянов и Антон Нехаенко. Вы, наверное, слышали, мы говорили там о трендах, тенденциях и так далее. Традиционно там участвуют и российские компании, несколько разных. Самые одиозные, слава богу, как-то отвалились, вот. Ну, те, кто представляют российскую интернет, ну, софтверную и хардверную индустрию, они там присутствуют. Ну, вот а наряду с нашумевшей Йотой, один из традиционных участников там – это как раз Лаборатория Касперского. Обычно мы с Евгением Касперским устраиваем какое-нибудь интервью там прямо в Барселоне или, там, по итогам, я не знаю, где его еще застанешь. Теперь и там не застанешь, надо сказать. Вот. Но, тем не менее, устраивали, я бы так сказал, в каком-то роде панельную дискуссию, там, Лаборатория Касперского, как раз о безопасности электронных платежей. Мне показалась эта тема интересной, тем более что мы ни разу в программе «Точка» к ней не обращались. И, судя по всему, электронные платежи, прежде всего мобильные платежи сейчас, наверное, становятся все более и более массовой такой вещью. И, наверное, очень многие из тех, кто нас слушает, так или иначе, там, может быть, не сами, а через родственников, эти платежи совершали. Ну, я не говорю, там, о платежах смсками, а вот то, что покупки в интернете, покупки, там, я не знаю, билетов, или товаров, или услуг, или чего угодно вы наверняка делали, ну, так или иначе. Я надеюсь, во всяком случае, на это. Вот. Я-то делаю это регулярно.

И мне, кстати, тема показалась поначалу сильно надуманной, скажу тебе сразу, скажу тебе откровенно. И вот вы устраивали там голосование, там такое голосование было – кидаешь свою визитную карточку в один из аквариумов, типа, вы считаете безопасными электронные платежи или небезопасными. Ну, вопрос мне показался крайне некорректным, я не участвовал в голосовании, скажу сразу. Поскольку я сам люблю ставить некорректные вопросы и буду ставить их в течение сегодняшней программы, вот.

Мы как решили построить нашу сегодняшнюю программу? Необычно, надо сказать, весьма необычно, потому что в программе «Точка» редко принимаются всякие разные телефонные звонки, а здесь будут, смотри-ка, будут. И для этого мне надо пересесть за другой компьютер, я понял, потому что программы, принимающей звонки, у меня здесь нет. Сейчас я эту операцию совершу буквально на ваших глазах.

С. НОВИКОВ: Пока Александр пересаживается, я расскажу, что за телефонные звонки мы хотим принимать. Можно?

А. ПЛЮЩЕВ: Давай, пожалуйста, да.

С. НОВИКОВ: Дорогие радиослушатели, дорогие друзья, очень хочется услышать от вас, звонки именно от вас в том случае, если у вас действительно украли деньги, вы потеряли деньги. Вследствие вот каких-либо электронных платежей вдруг вы обнаруживаете, что у вас на вашей кредитной карте или на вашем банковском счету вдруг откуда-то пропали деньги.

А. ПЛЮЩЕВ: Давай сразу оговоримся, что это не деньги с мобильного счета, потому что это немного другая тема. Не деньги с мобильного счета. Если у вас, там, на короткий номер, там, оператор, мошенничество какое-то и так далее – это совсем отдельная история, и о ней как-нибудь поговорим в отдельной передаче. Она тоже уважаемая и тоже очень важная тема, но сегодня просто о другом.

Наш телефон - +7-985-970-45-45 – это смс, точнее, я прошу прощения. Твиттер-аккаунт @vyzvon. А вот в эфир можно позвонить по +7-495-363-36-59 – это наш номер. Если у вас случалось подобное, случалось что-то, когда у вас украли деньги с карточки, со счета через интернет и так далее, но не касающееся мобильных счетов. Вот. А мы с Сергеем, собственно, во-первых, покомментируем, а во-вторых, поговорим.

Смотри, звонки-то есть. Давай прямо с них и начнем.

С. НОВИКОВ: Отлично.

А. ПЛЮЩЕВ: Алло, добрый вечер. Алло?

СЛУШАТЕЛЬ1: Алло.

А. ПЛЮЩЕВ: Да, здравствуйте. Как вас зовут?

СЛУШАТЕЛЬ1: Здравствуйте. Иван.

А. ПЛЮЩЕВ: Да, Иван, пожалуйста. Вы откуда нам звоните?

СЛУШАТЕЛЬ1: Из Москвы.

А. ПЛЮЩЕВ: Так. Что у вас случилось, случалось? Когда это было?

СЛУШАТЕЛЬ1: Ситуация была у девушки. Дело в том, что она потеряла сим-карту когда-то давным-давно.

А. ПЛЮЩЕВ: Так.

СЛУШАТЕЛЬ1: Не пользовалась ей год, или более даже года. Вот. И у нее в системе Сбербанк Онлайн был подключен мобильный банк, вот, к этому номеру старому, которым она не пользовалась, который заблокировали уже давным-давно.

А. ПЛЮЩЕВ: Так.

СЛУШАТЕЛЬ1: Вот. И, рано или поздно… точнее, не рано или поздно, в общем, оказалось так, что деньги с карточки списались, причем списались они на этот номер, который уже был давным-давно заблокирован, и сняли там порядка 15 тысяч рублей.

А. ПЛЮЩЕВ: О-па. Вот. Слушай, какой интересный слушай, даже себе и представить невозможно. То есть, подождите, я вот, убейте, только одного не понял: черезо что и куда влезли? И при чем здесь мобильный банк?

СЛУШАТЕЛЬ1: Как я себе представляю, этот номер телефона, который Билайн заблокировал, он его вновь включил в продажу.

А. ПЛЮЩЕВ: А.

СЛУШАТЕЛЬ1: Вот. Таким образом, человек купил, видимо, этот номер, а ему приходили смски о пополнении счета. Ну, человек-то карточкой пользовался. Ему приходит смска, потому что в базе Сбербанк Онлайна именно этот телефон записан. Вот. Там, вам поступили средства, там, 15 тысяч рублей. Вот. Он прочитал, с карточки эти деньги можно снять, вот. И снял, собственно, 15 тысяч рублей. И никакая поддержка со стороны Сбербанка не поступила, они сказали…

А. ПЛЮЩЕВ: Клево. Но, мне кажется, здесь речь идет о некой ошибке скорее, нежели о мошенничестве и так далее. Мы говорим, конечно, о преступности.

С. НОВИКОВ: Безусловно. Иван, спасибо вам за звонок, спасибо за историю.

А. ПЛЮЩЕВ: Вообще сколько не бывает только в жизни…

С. НОВИКОВ: Да, разные абсолютно истории. Тут комментировать действительно, наверное, мало что можно. История простая: это некая беспечность пользователей. И если уж вы там подключили мобильный банкинг, указали там какой-то номер свой, то будьте любезны его поддерживать в актуальном состоянии.

А. ПЛЮЩЕВ: Ну да, тут, в общем, не для серьезных разборок. Но история интересная. Алло, добрый вечер.

СЛУШАТЕЛЬ2: Вечер добрый.

А. ПЛЮЩЕВ: Да, здравствуйте. Как зовут вас?

СЛУШАТЕЛЬ2: Меня зовут Борис Анатольевич, я из Москвы.

А. ПЛЮЩЕВ: Да, Борис Анатольевич, пожалуйста.

СЛУШАТЕЛЬ2: Вот у соседки моей – она уже женщина в возрасте, но, тем не менее, продвинутая. ..

А. ПЛЮЩЕВ: Так.

СЛУШАТЕЛЬ2: Вот. У нее… она вот тоже Сбербанк Онлайн пользовалась. Вдруг ей на работу приходит сообщение…

А. ПЛЮЩЕВ: Понятно. Я понял, понятно, спасибо большое, спасибо за звонок. Друзья, мы просто не об этом, просто не о службе Сбербанк Онлайн, при всем интересе к ней. Еще раз: если вы платите в интернете, платите в интернете с мобильного ли телефона, ну, используя его как смартфон, или через компьютер, вот. Пожалуйста, если у вас были какие-то проблемы, позвоните нам. Что интересно, всякие мобильные мошенничества, я имею в виду, с номером мобильного телефона, мне кажется, более распространены, поэтому мы имеем такие звонки. Давай послушаем еще раз, да. Добрый вечер, алло. Алло, здравствуйте.

СЛУШАТЕЛЬ3: Здравствуйте. Меня зовут (неразб.), москвичка. Я на операцию копила деньги. И в сберкассе, в сберкассе сняли у меня 30 тысяч. Я полтора года куда только не обращалась…

А. ПЛЮЩЕВ: То есть, прошу прощения, речь идет об ошибке. Ну, ошиблись, там по ошибке сняли.

СЛУШАТЕЛЬ3: Как по ошибке сняли?

А. ПЛЮЩЕВ: Ну так. Видимо, сняли по ошибке, если в сберкассе. Они же не специально это сделали.

СЛУШАТЕЛЬ3: … сняли, и я полтора года ходила доказывала…

А. ПЛЮЩЕВ: Понятно, спасибо большое. Ну, просто…

С. НОВИКОВ: Спасибо огромное. Удивительные люди нас слушают, удивительные люди нас слушают, удивительные люди нам звонят. Спасибо за ваши звонки. Мы, к сожалению или к счастью, говорим чуть-чуть о другом. Но, так или иначе, я уверен, что некоего мошенничества, фрода, ошибок и так далее в сфере банковского обслуживания достаточно много происходит и в Москве, и в регионах и так далее. О чем мы говорим? Мы говорим о мошенничестве в случае, там, банковских различных платежей.

А. ПЛЮЩЕВ: Конечно.

С. НОВИКОВ: Интернет-платежей. Значит, по поводу актуальности проблемы. Перед тем как мы перейдем…

А. ПЛЮЩЕВ: Да, поскольку я заявил, что мне кажется проблема немножко надуманной.

С. НОВИКОВ: Проблема, по нашим данным… у нас, может быть, свой какой-то особый взгляд, но он отражает, опять же, на наш субъективный взгляд, некую действительность. Мы проводим регулярно некие опросы среди как, там, обычного населения, среди финансового сектора, различного уровня компаний. И вот Лаборатория Касперского совместно с B2B International провели некий ежегодный опрос, который показал совершенно уникальные цифры. Вот по данным этого опроса, 98% пользователей интернета совершают онлайн-платежи. Это какая-то астрономическая цифра…

А. ПЛЮЩЕВ: Вранье, по-моему, абсолютное.

С. НОВИКОВ: На мой взгляд… но это официальные данные.

А. ПЛЮЩЕВ: «На мой взгляд тоже», - хотел сказать Сергей, но побоялся.

С. НОВИКОВ: Официальная данные, друзья.

А. ПЛЮЩЕВ: Ну, слушай, просто очевидно, что это не так.

С. НОВИКОВ: Скорее всего, это не так, потому что, действительно, бабушки, может быть, дети не всегда совершают онлайн-платежи. Но даже если мы убавим эту официальную цифру на какое-то количество процентов, все равно…

А. ПЛЮЩЕВ: Процентов на 40.

С. НОВИКОВ: 20, 15, 10. Все равно, друзья, не секрет, что рынок онлайн-платежей, он сумасшедшим образом растет, и все большее и большее количество интернет-пользователей видят плюсы в том, что что-либо оплачивать, покупать через интернет, иметь, там, онлайн-счета в банках и так далее.

А. ПЛЮЩЕВ: Это так, это действительно так.

С. НОВИКОВ: Супер.

А. ПЛЮЩЕВ: Другое дело то, что, смотри, ну, вот у меня есть масса знакомых, я не знаю, продвинутые они или нет. Часть из них пользуется интернет-платежами. Я ни разу не слышал… я пользуюсь интернет-платежами, ну, наверное, чтобы не соврать, лет больше десяти, да? У меня есть масса знакомых, которые тоже пользуются интернет-платежами, они все разной степени продвинутости. Кто-то не пользуется. Но я ни от одного не слышал: слушай, чувак, у меня увели деньги с карты.

С. НОВИКОВ: Отлично, это позитивная новость. Я попытаюсь объяснить, почему она и откуда. Первое объяснение совершенно тривиальное: не совсем правильная целевая аудитория. Александр Плющев и все его знакомые: а) грамотные, образованные, догадывающиеся о возможных опасностях, аккуратно пользующиеся своими онлайн-платежами, деньгами, кредитные картами и так далее. А, как правило, именно на такое банковское мошенничество попадают люди, которые, ну, не сильно, мягко говоря, прошу прощения, заморачиваются, там, не знаю, в своей секьюрности, безопасности, и вообще их не волнуют вопросы рисков и, возможно, там, своей финансовой безопасности.

Касательно той же статистики. 98% пользуются, процентов 30 при этом (в России, может быть, чуть-чуть меньше, это международная цифра) пользуются мобильными платежами, интернет-платежами с мобильных устройств. При этом заявили о каких-то махинациях за последние 12 месяцев, случившихся за последний год фактически, 64% пользователей – это мировые цифры, и порядка 73-74% пользователей именно в России.

Опять же, ты скажешь, вот я не попал в эти 74%, я, там, не совсем верю в ваши цифры, но, так или иначе, если просто чуть-чуть расширить круг общения и взять, там, срез целевой аудитории менее подкованной, грамотной и менее находящейся в теме данной проблемы, то, поверь мне, там будет гораздо больше вот пострадавших, условно, от подобного рода мошенничества.

А. ПЛЮЩЕВ: Ну, каковы цифры сейчас? Есть ли у тебя цифры, сколько мошенники уводят на интернет-платежах?

С. НОВИКОВ: Ух, отличный вопрос. Тут…

А. ПЛЮЩЕВ: В год, например.

С. НОВИКОВ: Ну, так как, опять же, для всех радиослушателей, мы тут на светлой стороне и мы пытаемся, наоборот, эти цифры уменьшить, финансовую отчетность мы от них не получаем, естественно, от этих злоумышленников…

А. ПЛЮЩЕВ: Подожди, но ты же говоришь о числе обращений. Каждое обращение, оно подразумевает какую-то сумму. Человечек же не говорит: у меня украли несколько денег…

С. НОВИКОВ: Конечно. Но сколько людей не обратилось? По как бы такой экспертной оценке, это, не знаю, миллионы долларов в год, миллионы долларов в год только на территории нашей страны, только на территории Российской Федерации. Но это такая экспертная оценка по тому, как мы общаемся, я не знаю, с банковским сообществом и так далее.

А. ПЛЮЩЕВ: Ну, то есть, исходя из проникновения интернета, ну, по очень консервативной оценке я возьму, 50 миллионов человек – это у каждого украли примерно по доллару.

С. НОВИКОВ: Смотри, это, опять же, мы говорим не про физиков…

А. ПЛЮЩЕВ: Не про физических лиц.

С. НОВИКОВ: Да, да. То есть, цифра, сколько украли у физических лиц – это гораздо сложнее еще оценить. Потому что сколько физических лиц не обращаются, если у них с карточки, там, сняли 3 тысячи рублей, или 5 тысяч рублей, или сколько-то еще? Даже об этом никто не узнает никогда. И в этом проблема, и об этом тоже стоит, мне кажется, обязательно сказать и, может быть, радиослушателям задуматься о том, что, друзья, если произошло некое мошенничество, у вас украли деньги, об этом не нужно как бы забыть, смолчать, не проверить, не посмотреть выписку, не обратиться в банк и далее обратиться в правоохранительные органы. То есть, все это остается долгое время безнаказанным и не очень эффективно преследуется только потому, что люди абсолютно беспечны.

А. ПЛЮЩЕВ: Слушай, отвлекаясь вообще на самом деле от этой темы, вот вдруг пришел мне в голову вопрос: скажи, а почему вы решили, в смысле, Лаборатория Касперского, которая всю жизнь занималась, там, интернет-угрозами, вирусами и так далее, вдруг заняться – я понимаю, что это, наверное, созвучная тема, но тем не менее – интернет-платежами?

С. НОВИКОВ: Очень классный вопрос. Почему вдруг решили и вовремя или не вовремя, поезд ушел или, наоборот, еще не ушел? Очень интересная тема. На наш взгляд, во-первых, ну, то есть, базируясь на многолетнем опыте, экспертизе и накопленных знаниях об угрозах… а, естественно, это вещь абсолютно созвучная. То есть, вообще глобальные интернет-угрозы, я не знаю, таргетированные атаки, кибермошенничество и так далее с непосредственно угрозами к онлайн-платежам и онлайн-банкингу – это абсолютно созвучные вещи, с одной стороны. С другой стороны, мы именно сейчас понимаем, что рынок находится на таком пределе насыщения, что действительно это востребовано, это будет востребовано рынком. Наши технологии на сегодняшний день, зрелость наших технологий позволяет нам предложить некое решение, продукт. В первую очередь, конечно, оно для корпоративного клиента. То есть, мы предлагаем – это некая совокупность решений – банкам, финансовым организациям, предоставляющим услуги уже онлайн-платежей, и к физикам это имеет чуть-чуть меньше, к обычным пользователям чуть-чуть имеет меньшее отношение, безусловно.

Но, так или иначе, мы на сегодняшний день понимаем, что мы: а), способны, мы как бы уверены, что именно с помощью этих технологий мы сможем существенно помочь финансовым организациям и банкам обезопасить их системы платежей. Плюс ко всему, всем известный закон – ты можешь в мне помочь, хотя я попытаюсь вспомнить точные цифры – с 1 января 14-го года, когда банки будут обязаны, уже обязаны компенсировать своим клиентам все деньги в случае мошенничества при интернет-платежах.

А. ПЛЮЩЕВ: А, ну, именно из-за чего они делают смс-оповещения, например, принудительно. Но вот что здесь еще спрашивают. Например, Сергей из Пензы нам комментирует. Я также напомню, что номер смс +7-985-970-45-45, твиттер-аккаунт @vyzvon. Не очень получилось у нас с телефонными звонками, может быть…

С. НОВИКОВ: Но мы можем продолжить.

А. ПЛЮЩЕВ: Ты смелый человек. И смс и Твиттером будет, может быть, как-то получше. Вот Сергей из Пензы пишет: «Умные люди, в том числе и я, для интернета держат отдельную карту, на которую перечисляют сумму исходя из планируемой покупки». И, в общем, никакого на самом деле не нужно и решения, знаете ли, от Касперского.

С. НОВИКОВ: Да мы и не предлагаем обычным домашним пользователям наше решение. В первую очередь, ну, давайте его назовем. Kaspersky Fraud Prevention – это некое решение, действительно, в первую очередь для финансовых институтов, финансовых организаций, банков и так далее.

Касательно вот этого совета – суперсовет. Это было на самом деле… на закуску я хотел оставить неких 5-6 ключевых, топовых советов для обычных пользователей онлайн-банкинга или онлайн-платежей. И это один из советов. Поверьте, это очень правильный и грамотный совет. Когда мы для того, чтобы какую-то кредитку, дебетовую карточку оставлять в интернете, заводим отдельную карту, перечисляем на нее ту непосредственно сумму, небольшую сумму денег, которую мы хотим потратить, и, в принципе, все, и уже интернет, весь этот большой-большой интернет не имеет доступа к нашей основной карте, на которую мы получаем наши бешеные зарплаты.

А. ПЛЮЩЕВ: Это Сергей Новиков, руководитель российского исследовательского центра Лаборатории Касперского. Мне очень странно, что он не предусмотрел следующую возможность, ну, насчет вот этой, значит, такой специальной интернет-карты. То есть, а каким образом ты туда деньги-то перечисляешь? Ты идешь в банк и кладешь туда? Это очень удобный интернет-платеж тогда получается.

С. НОВИКОВ: Ну, отличный комментарий. Согласен по поводу удобства или неудобства. Но, так или иначе, чтобы быть в безопасности, мы должны чем-то жертвовать, Александр. И, как сказать? Не хочу... вот касательно паранойи, за нами следят…

А. ПЛЮЩЕВ: Об этом мы еще поговорим.

С. НОВИКОВ: Обязательно поговорим. И обязательно именно деньги с нашей карточки украдут… Я не про это говорю, не хочу ни в коем случае никого запугивать. Но для того, чтобы просто вот здраво подумать и минимизировать свои риски, иногда, Александр, стоит дойти до банка и положить на эту вторую карточку…

А. ПЛЮЩЕВ: Это безусловно, особенно если ты, там, как бы подозреваешь... Ведь тут что может быть? Я тебя как бы всячески подталкиваю к этой мысли, а ты ее старательно обходишь: что твой компьютер может быть уже заражен, например, да? И когда ты вводишь ту карту, с которой ты перечисляешь деньги, ты можешь потерять деньги на ней. Вот о чем идет речь. Не сам платеж самому себе у тебя украдут…

С. НОВИКОВ: Естественно.

А. ПЛЮЩЕВ: … вот, а то, что впоследствии ты можешь потерять деньги, вот о чем идет речь.

С. НОВИКОВ: Если, опять же, ну, абстрагироваться, подняться на один, там, буквально уровень выше и просто представить, какие риски и в чем вот угроза, три момента, три момента. Компьютер, с которого вы делаете платеж, или мобильное устройство, с которого вы делаете платеж, может быть заражено. Это риск номер один. Если оно заражено, то данные… я не знаю, там, установлен какой-то троянчик, кейлогер, что-либо угодно, и данные ваши…

А. ПЛЮЩЕВ: Кейлогер – это тот, кто следит за тем, какие клавиши ты нажимаешь.

С. НОВИКОВ: Спасибо, Александр.

А. ПЛЮЩЕВ: Перевожу на всякий случай для тех, кто нам звонил.

С. НОВИКОВ: Спасибо. Так вот, какая-либо вредоносная программка установлена, и она, ну, собирает все, что вы там нажимаете на клавиатуре, вводите в интернет, и потом эти данные уходят мошенникам, злоумышленникам и так далее, и они уже с этими данными могут делать все что угодно. Напоминаю, в большинстве случаев онлайн-платежей мы вводим и номер кредитной карты, и вот эти три цифры с обратной стороны карты, CVC код, так называемая дополнительная защита. То есть, фактически у злоумышленника появляется информация, ну, фактически вся информация, необходимая ему для использования вашей карты в дальнейшем. Это угроза номер один.

Угроза номер два – соединение. Это, там, защищенный Wi-Fi, не защищенный Wi-Fi, используете вы VPN, используете вы сети 3G – неважно. То есть, есть риски, что даже в случае, если вы, там, уверены, что ваш компьютер не заражен, допустим, да? Но вы используете открытую сеть, в любом кафе в Москве, в аэропорту в Москве, в гостинице, где абсолютно открытый незапароленный Wi-Fi, то неизвестный человек, сидящий рядом с вами, абсолютно элементарно, даже не обладая какими-то супертехническими навыками, может собирать весь трафик, который идет от вашего компьютера, соответственно, к серверу и, опять же, получать все данные, которые вы вводите в интернет. Это история номер два.

История номер три – это фишинг и непосредственно зараженный сайт или поддельный сайт, на котором вы пытаетесь совершить этот платеж. И это как бы вот риск номер три в случае онлайн-платежей.

А. ПЛЮЩЕВ: Ну, а, кстати, есть ли у тебя данные, каков процент именно фишинга, вот тогда, когда тебе сайт подбрасывают, подбрасывают поддельную форму, поддельные кнопки, извини, поддельные реквизиты и так далее?

С. НОВИКОВ: Тоже, ну, точную цифру, наверное, не назову. Это на один легальный нормальный сайт, особенно если сайт популярный, приходится – даже порядок, боюсь обмануть вас с порядком – сотни тысяч пиратских нелегальных фишинговых сайтов. Особенно, правда, в случае популярных ресурсов. У нас даже есть некая статистика просто вот, ну, сразу в голове точных, может быть, цифр нет. Касательно фишинговых страниц самых известных, я не знаю, социальных сетей или самых известных популярных ресурсов, типа Эппл, Гугл и так далее. Вот там, я не знаю, ежемесячно мы детектируем массу, действительно, порядка сотни тысяч фишинговых сайтов, которые абсолютно похожи, выглядят идентично, но только вся эта информация уходит на какие-то там поддельные сервера, поддельные…

А. ПЛЮЩЕВ: А как люди на них попадают-то?

С. НОВИКОВ: Кликая просто по ссылке, вот просто по ссылке. Как это обычно работает? Вот, опять же, давайте в ходе всей передачи я буду давать некие простые рекомендации. Чтобы обезопасить себя от мошенничества, и вы хотите что-либо оплатить, купить в интернете, зайти на какой-то сайт онлайн-магазина, откройте заново окно браузера – Интернет Эксплорера или любые другие, более правильные браузеры. Открыли заново это окно и ввели в адресной строке заново страничку вашего интернет-магазина, в который вы действительно хотите зайти, а не кликаете по ссылке. Потому что все, что вам пришло в рекламке, в спаме, не знаю, даже, может быть, не в спаме, а в каком-то именно таргетированном для вас письме, и вас просят кликнуть на ссылку какого-то интернет-банкинга или онлайн-магазина – лучше не делайте этого. Потому что, кликнув на ссылку, у вас откроется абсолютно такой же сайт, красивый, с официальными логотипами, вы даже не будете подозревать, что это поддельный сайт. При этом он будет ненастоящий.

А. ПЛЮЩЕВ: Смотри, у нас появилась первая реальная история, ее прислала Тамара из Волгоградской области. Тамара пишет: «Работаю главным бухгалтером. В декабре 2012-го года украли 7 миллионов рублей в, - я не знаю, правильно я читаю название, - НЗБанке через Банк-Клиент. Дело возбудили, успели заблокировать счета, по которым деньги прошлись, и часть денег вернули, но виновных не нашли. Через полтора года дело закрыли». Вот, по меньшей мере, такая история есть. Банк-Клиент, то есть, вот где точка.

С. НОВИКОВ: Очень-очень интересная история. Во-первых, она, опять же, Александр мне не поверит, но, я надеюсь, может быть, сознательные радиослушатели мне поверят – это повсеместно. Это действительно, вот когда мы говорили про миллионы ущерба, это в первую очередь вот именно атаки на юридические лица, на какие-то маленькие компании, средние компании, которые используют Банк-Клиент. И вот именно этих атак на различный софт… различного программного обеспечения касательно Банк-Клиента в России много, и он может быть не совсем идеальный во многих случаях. Это, в первую очередь, про это.

Вот история из Волгограда – комментарий какой? Первое. Несовершенство работы наших правоохранительных органов, к сожалению. Второе. Может быть, опять же, заказчиком вот… не знаю, правильно как это называется в терминах. Тем людям, которые инициировали вот данное разбирательство, не хватило либо сил, либо мужества, либо, я не знаю, опять же, финансов, чтобы довести это дело до конца. Не поверите, да, не хочу тут бравировать, но Лаборатория Касперского достаточно серьезно тоже занимается неким сервисом по расследованию инцидентов. Мы очень тесно сотрудничаем с правоохранительными органами по этому поводу, их консультируем всячески, помогаем в расследовании. Не берем на себя, там, ответственности по, там, я не знаю, нахождению злоумышленников и их дальнейшему преследованию, это не наша работа, но, с точки зрения технических консультаций, мы всячески от и до помогаем. Поэтому, в данном случае тут какая рекомендация? Набраться мужества и довести это дело до конца. К сожалению, в России это повсеместно, вот именно похожего рода мошенничество.

А. ПЛЮЩЕВ: Слушай, ну, вот ты говорил о вашем комплексе решений, если я правильно понял, насчет… ну, вот в смысле банков и так далее. Это же вот, мне кажется, тот случай, о котором пишет Тамара, в том смысле. А, ну, условно говоря, я не знаю, есть ли у вас какой-то рейтинг банков или, там, кредитных организаций, не знаю, интернет-магазинов и так далее, который бы… ну, такой рейтинг безопасности, который бы ты мог, я не знаю, порекомендовать или, там, как бы оценить их с точки зрения безопасности? Есть ли у вас такой? Или вот вы придумали продукт, ну, и кто купил – молодцы, и до свидания.

С. НОВИКОВ: Очень хороший тоже вопрос, полезный. Конечно, Саш, я на него не отвечу, потому что тут рекомендации какие? Есть крупные финансовые учреждения, которые, ну, действительно гораздо серьезнее заботятся о безопасности, это не секрет. Есть более мелкие финансовые учреждения, которые вопросом безопасности, ну, в силу, опять же, своей, там, возможности, невозможности, уделяют гораздо меньшее внимание. Вот, может быть, если это можно воспринять как совет, с одной стороны, да.

С другой стороны, касательно купил – не купил наше решение. Да, купили решение – рисков, там, существенно снизили. И те самые пользователи того провайдера, который купил, например, наше решение, они должны себя чувствовать, по-хорошему, в большей безопасности. Но не только это. То есть, есть ответственность... Кстати, на этой пресс-конференции в Барселоне мы тоже это обсуждали, это очень интересный вопрос: а кто ответственен? Вот кто вот… мы берем просто обычных домашних пользователей, которые со своих домашних компьютеров или смартфонов делают платежи. Кто ответственен за, там, возможные риски того, что случилось? Это в первую очередь банк или это сам пользователь?

А. ПЛЮЩЕВ: Знаешь, что? Я вот тоже очень долго думал над этим вопросом. И я пришел вот к какому выводу. Я, например, стараюсь пользоваться PayPal – это посредник, который мне гарантирует то, что мои данные будут сохранены, который гарантирует, например, что если меня нагреют даже – это не мошенничество, не фрод – если меня нагреют на аукционе eBay и не пришлют мне мой товар, деньги он мне вернет. И я использую PayPal, я использую Яндекс Деньги, у которого, может быть, не аналогичные гарантии, но тоже каждый раз я карту не свечу. Если я вижу оплатить картой или Яндекс Деньгами, я просто на автомате жму Яндекс Деньги.

С. НОВИКОВ: Супер. Но это, опять же, про некую… не то что даже сознательность, некую подготовленность, образованность, мы по-английски называем security awareness, по-русски это некая осведомленность того, что эти риски есть.

А. ПЛЮЩЕВ: Это называется осторожность.

С. НОВИКОВ: Осторожность, да, отличное тоже слово. Это вот супер… это, может быть, одна из причин, может быть, даже основная, почему с тобой за 10 лет…

А. ПЛЮЩЕВ: Нет, я иногда, когда… вот сейчас буквально у меня возникла необходимость оплатить T-Mobile, карточку в Америке, симку. И карточки в Америке не принимают PayPal, и вообще ничего не принимают, кроме просто карты – бывает и такое. Вот.

С. НОВИКОВ: Очень часто.

А. ПЛЮЩЕВ: И мне приходится светить карту, да, ничего не сделаешь. Поэтому так. Другое дело, что веришь ты этому оператору или нет. Вот. Смотри, тут же был вопрос на самом деле, спросили: «Скажите, насколько безопасен PayPal?» - пишет Андрей из Питера. Значит ли это, что вот я использую PayPal, или я использую Яндекс Деньги, или, там, какую-то другую, третью систему, я не знаю – значит ли это, что я себя стопроцентно обезопасил?

С. НОВИКОВ: Ох, какой философский вопрос. Друзья, развею мифы. Заявление антивирусного эксперта Лаборатории Касперского: стопроцентной безопасности не существует. Стопроцентная безопасность – это вот отключили от 220… хотя в случае ноутбука и смартфона не поможет. Вытащили симки, вытащили батарейку – и вот это стопроцентная безопасность.

А. ПЛЮЩЕВ: Утопились в колодце, и все.

С. НОВИКОВ: Вот, супер. Но совершенно очевидно, да, что, там, я пытаюсь неумело шутить, но, так или иначе, мы не представляем свою современную жизнь без интернета, мы не представляем свою современную жизнь без гаджетов. И даже, по нашим данным, 98% не представляют свою жизнь без онлайн-платежей.

По поводу PayPal, Яндекс Денег и так далее. К сожалению, нет, к сожалению, нет. То есть, есть непосредственно, непосредственно вредоносные программы, которые в случае, если ваш компьютер заражен, вот какой-то конкретной вредоносной программой, она пытается найти вот этот платеж в сторону PayPal или в сторону Яндекс Денег, при помощи PayPal или Яндекс Денег, и перехватить эту транзакцию. То есть, такие вредоносы тоже существуют, и их, если честно, немалое количество.

А. ПЛЮЩЕВ: Отсюда вопрос: а почему вы не предлагаете, или, может быть, вы собираетесь предлагать, я не знаю, решение для физиков, как ты выражаешься, для обычных нас, пользователей, а, ну, есть решение только для B2B, то есть, только для банков и организаций?

С. НОВИКОВ: Александр, ну, не совсем так, прости. Мы, естественно, предлагаем решение и для обычных пользователей, и мы с тобой даже, может быть, не в эфире, но тоже его некоторым образом обсуждаем. Это самый стандартный Kaspersky Internet Security, Касперский Антивирус, в составе которого есть непосредственно функционал по защите своих платежей. Называется этот функционал Safe Money. И мы когда около полугода назад презентовали наш новый продукт, Kaspersky Internet Security 2014, о нем достаточно много и подробно рассказывали.

А. ПЛЮЩЕВ: Я почувствовал некий упрек такой в свой адрес…

С. НОВИКОВ: Прости, прости.

А. ПЛЮЩЕВ: Да нет, мы только этим и занимаемся. Здесь Сергей Новиков, руководитель российского исследовательского центра Лаборатории Касперского, и говорим мы о безопасности электронных платежей. Мне кажется, мы достаточно этому времени уделили, более чем.

И, смотри, я хотел бы вообще на некоторую расширенную тему поговорить. Вот оставить слово «безопасность», а вот «электронных платежей» вычеркнуть. Тем более что времени у нас не так много. Смотри, опять же, в Барселоне, я не знаю, ходил ты или нет, интересовался или нет, большой интерес вызвали два блэкфона: один от компании Boeing, вот, авиационной, а другой от испанской компании Geeksphone. Вот. Значит, оба телефона позиционировались как, ну, наиболее безопасные, наиболее защищенные в плане того, чтобы там за тобой не следили, чтобы трафик не перехватили, чтобы не взломали…

С. НОВИКОВ: Все зашифровано…

А. ПЛЮЩЕВ: Да, все зашифровано. А Boeing, он вообще чуть ли не взрывается в случае, если вдруг почувствует опасность. Он сам как-то чует там. Я его не смотрел, врать не буду, видел только по картинкам, телепередачам. А вот Geeksphone посмотрел – ну, в общем, конечно, это все забавно достаточно выглядит. Но ты, человек, представляющий компанию, занимающуюся безопасностью, как ты оценишь все это вот?

С. НОВИКОВ: Это еще более философский вопрос. Ну, давайте попробуем поговорить об этом чуть-чуть буквально. Значит, философский ответ такой: мы вообще живем с вами вместе в безумно интересное время. Чем оно интересное? Абстрагируясь от политики, вот такой совершенно актуальной политики, все друг за другом следят. У нас вот между, условно говоря, ресерчерами ходит такая байка, которая на самом деле не байка. Мы все прекрасно, там, понимаем, что, ну, как минимум, как минимум за нашими компьютерами одновременно следят 3, как минимум 3 разных разведки, разведслужбы разных стран мира. Это вот, ну, как минимум. И это не…

А. ПЛЮЩЕВ: Я уж не говорю о Лаборатории Касперского, которая за всеми следит.

С. НОВИКОВ: Лаборатория Касперского не следит ни за кем, мы просто пытаемся спасти этот мир, сделать его безопаснее, и жизнь наших пользователей в интернете сделать спокойной – вот это наша миссия.

Касательно блэкфона, да? Александр вкратце рассказал, что это такое. Это абсолютно такой защищенный со всех сторон телефон, который вот в случае Boeing чуть ли не взрывается, если его кто-то там…

А. ПЛЮЩЕВ: Уничтожает данные все.

С. НОВИКОВ: Уничтожает данные, правда. Во-первых, это только анонс, да? Мы еще не имеем возможности его, там, не знаю… потрогать, да, имели возможность в Барселоне, это было безумно интересно, но вот действительно с ним поработать… если я не ошибаюсь, в ближайший месяц они обещали начинать официальные продажи. Нам действительно очень интересно. Мы¸с точки зрения вообще вопросов безопасности…

А. ПЛЮЩЕВ: Испанский вроде бы продается уже, можно заказать.

С. НОВИКОВ: Можно заказать. Точно можно заказать, но вот он еще… буквально они его пришлют через месяц, мне кажется, то есть, еще вот нет поставок.

Касательно вообще всей этой темы шпионажа, секретов, слежения друга за другом – это актуальная проблема, друзья. Это проблема, которая началась этак, не знаю, наверное, несколько лет назад. Мы вот в начале передачи, наверное, большую часть передачи говорили про кибермошенничество, кибермошенников, да. Это 90% всех возможных угроз в современном интернете. А вот эти последние 9-10% - это именно про кибершпионаж, воровство информации, корпоративной информации, слежение одних государств за другими, одних компаний за другими. И в этой связи вообще вопрос безопасности, особенно после разоблачений Эдварда Сноудена летом прошлого года, становится еще более горячим, актуальным, и система координат в мире существенно меняется. Вплоть до того, наверное, слышали эти истории, что за президентами разных стран, за канцлерами разных стран следят и прослушивают их телефонные разговоры, нашумевшие истории. Поэтому, касательно вот всех этих разработок, новых технологий, новых девайсов, гаджетов, которые якобы, опять же, с одной стороны, а с другой стороны мы надеемся, что это отчасти и правда, будут позволять абсолютно безопасно и, там, с помощью самых современных средств шифрования ими пользоваться, что означает, что за тобой якобы никто не сможет следить – дай бог, что это правда, потому что вопрос анонимности, в современном цифровом мире он стоит крайне актуально.

А. ПЛЮЩЕВ: Ну, с другой стороны, мне кажется, что, опять же, тут точно так же – не знаю, согласишься ты со мной или нет – точно так же, как с интернет-платежами, единственное надежное средство, если вот, ну, реально вы боитесь, что за вами следят, не знаю, реальное средство – отказаться от всех средств связи, и все, больше ничего. Потому что даже все вот эти блэкфоны, когда спрашиваешь у их создателей: а вот, ну, правда ли, что за мной не будет следить, там, АНБ, ФСБ и все такое? Они отвечают следующей фразой: мы абсолютно законопослушные люди. Вот. Ну, раз законопослушные, то понятно, что, по запросу, все они предоставляют. И максимум, вот я так тоже размышлял, максимум, ну, от кого вы можете защититься – это от каких-то весьма слабых конкурентов. Потому что сильные конкуренты имеют связи в нужных организациях, которые… ну, и так далее, я уже все рассказал. Вот. Не знаю, как вы там на это смотрите.

С. НОВИКОВ: Мы на это смотрим с настороженностью, безусловно, потому что это проблема, это актуальная проблема. Но тут все равно можно, можно давать советы. И особенно, знаете, на разных форумах, разных конференциях людей, борющихся за права человека, в разных странах мира, действительно эксперты по безопасности пытаются даже читать, там, тренинги и лекции на тему того, а как же действительно попытаться минимизировать свои риски того, что какие-либо правительства будут за вами следить. И есть, есть технически грамотные рекомендации и технически грамотные советы, начиная, естественно, от шифрования, в первую очередь, чем серьезнее шифрование, тем лучше, чем более стойкие алгоритмы, тем лучше. Иметь, я не знаю, бэкапы постоянно везде в зашифрованном виде, использовать VPN и так далее и так далее.

А. ПЛЮЩЕВ: Так, значит, тут возвращаются к безопасности интернет-платежей. Ну, вот смотри, например, Дмитрий из Санкт-Петербурга пишет: «Есть элементарная защита интернет-платежей, например, у банка ВТБ. Вам выдается карта кодов на подтверждение конкретного разового платежа. При следующем платеже для подтверждения вы вводите уже другой код. И никакого Касперского и специальных банковских карт не требуется». Понял?

С. НОВИКОВ: Классный комментарий, классный комментарий. На это есть энное количество тоже – ну, цифрами не буду кидаться – энное количество вредоносных программ, которые это элементарно обходят. В первую очередь, эти вредоносные программы, конечно, используют некие человеческие уязвимости. Работает это элементарно. Точно так же, как вот человек (неразб.) элементарную защиту, точно так же эта элементарная защита обходится. Соответственно, заходите на сайт, пытайетесь сделать вот этот онлайн-платеж с помощью вот этого набора паролей, а вам тот же абсолютно легальный сайт, который вот вдруг вам высвечивает некое окошко: вы знаете, введите, пожалуйста… вам нужно обновить ваши пароли. Для того, чтобы обновить пароли, введите, пожалуйста, все пароли, которые указаны на вашем листе, и мы вам пришлем новый, условно говоря, аккаунт, логин и пароль. И интерфейс этого окна, который выводится на экран, выглядит абсолютно точно так же, как и сам сайт непосредственно платежной системы. Это некий просто обман пользователя. И пользователя, так как он доверяет, он на доверенном сайте находится, он видит эту легальную страничку, легальное сообщение, точно так же он вводит, доверяя всему тому, что происходит, вводит все те самые пароли, которые у него написаны на этом листочке, который ему выдал официальный банк.

А. ПЛЮЩЕВ: Я уж молчу про такую уловку, как синий экран смерти.

С. НОВИКОВ: Это очень классная история. Это вот касательно, в первую очередь… чуть-чуть больше про юридические лица. Это троянская программа, называется Лурк, которая обходит вот те самые токены, которые выдают бухгалтерам в каких-то далеких офисах. Так вот, когда они открыли свой Банк-Клиент… история очень интересная. Открыли свой Банк-Клиент, куда нужно, опять же, с помощью двухфакторной аутентификации ввести пароль, вставить токен, без которого ничего не будет работать. Так вот, этот прекрасный пользователь, тетечка, дядечка, неважно, все это сделала, зашла в Банк-Клиент, вставила токен в компьютер – и сразу же на экране появляется синий экран смерти традиционный, который там говорит, что надо дамп памяти снимать и так далее и так далее. Что делает в этот момент пользователь? Он пугается. Он пугается, что же происходит. На самом деле в этот момент надо срочно отключиться от сети, не знаю, отключить интернет-кабель, может быть, отключить питание и так далее, и все тогда будет хорошо. Но, естественно, человек этого не делает, а этот момент – это не настоящий синий экран смерти, это самая настоящая вредоносная программа, которая его просто тебе подставляет. И в этот момент, когда вы уже залогинились в систему и у вас воткнут токен физически в ваш компьютер, все деньги уходят тем самым злоумышленникам, которые вам эту программку…

А. ПЛЮЩЕВ: Важный еще вопрос не обсудили, опять же, про интернет-платежи. Ты говоришь, что все больше и больше мобильных интернет-платежей, ну, то есть, со смартфонов. Не столько, там, с использованием счета, ну, счета телефонного, сколько со смартфона. Ну, и я понимаю, что главным образом, как у вас это говорится уже не первый год (у вас – это у Лаборатории Касперского), что наиболее опасные в этом смысле смартфоны – это Андроиды, поскольку под них больше всего вирусов, их больше всего используется. Ну, и так далее. Примерно такая же картина, как с Windows на рынке персональных компьютеров, правильно?

С. НОВИКОВ: Абсолютно.

А. ПЛЮЩЕВ: Вот. Значит ли это, - тогда задам я вопрос, - что если у меня Айфон, то я в полной безопасности? Ну, или в полной, не в полной, но, в общем, в какой-то.

С. НОВИКОВ: В какой-то степени – да.

А. ПЛЮЩЕВ: В большей.

С. НОВИКОВ: В большей. Безусловно, касательно вредоносного кода под разные платформы, это абсолютная правда, количество, там, вредоносного кода под Андроид растет с геометрической прогрессией, там, я не знаю, сотни уникальных экземпляров ежедневно. И функционал этих андроид-троянцев, вредоносцев, он очень похож на то, что происходит на обычных компьютерах. То есть, это и троянские программы, которые воруют пароли, собирают всю информацию, отправляют смски на короткие платные номера, собирают всю информацию с вашего смартфона, вплоть до фотографий, переписки, смсок и так далее.

С Айфоном, конечно же, ситуация абсолютно другая, тьфу-тьфу-тьфу, гораздо более спокойная и безопасная. Но, но, уважаемые пользователи продукции компании Эппл, я тоже вам не рекомендую быть в абсолютном таком неведении и безопасности, и вот этот миф о том, что, ну, у меня же, там, Мак-компьютер, или Айфон, или Айпад и так далее, мне все равно ничего не будет – это, к сожалению, неправда. Касательно Маков так точно неправда, потому что OS X – это такая история очень пограничная. Очень большое количество… большое количество вирусного кода, который работает на Мак-компьютерах. Последнее время в таргетированных атаках на конкретных людей, на конкретные организации очень часто злоумышленники используют именно версии под Мак. Потому что, опять же, пользователи Мака, во-первых, они, как правило, какого-то высокого уровня в организациях и, как правило, себя чувствуют абсолютно беспечно и обладают большим количеством информации.

Касательно Айфонов, Айпадов, то есть, iOS, непосредственно вредоносного кода раз два и обчелся, вот известного, который был действительно официально найден, и они достаточно быстро его удаляли из Эппл Стора. То есть, это была одна история полуторагодичной давности, и вот еще одна история совсем недавняя. Но они достаточно быстро это закрыли. Другая история про уязвимости, тоже, наверное, многим известная, уязвимости в пятой-шестой версии iOS, когда SSL сертификаты подделываются и вы вводите свои данные, там, я не знаю, в любой социальной сети или в почте и так далее, и все эти данные абсолютно доступны сразу же могут быть злоумышленникам. То есть, это просто некая уязвимость в программном обеспечении. Ну, и, естественно, не стоит забывать про контентные угрозы: фишинг, поддельные сайты, спам-рассылки и так далее, нелицеприятный контент – это точно так же угрожает пользователям продукции компании Эппл.

Резюме. У нас осталось время на резюме?

А. ПЛЮЩЕВ: Полминуты.

С. НОВИКОВ: Полминуты. Абсолютно быстро. Антивирус, надежный, хороший, регулярно обновляемый. Не кликайте на все подряд, думайте, куда вы заходите, куда вы жмете. Если вы собираетесь сделать платежную операцию, лучше открыть заново сайт. Обновляйте свое программное обеспечение на компьютере и на смартфоне. Может быть, вторая карточка – это очень хороший совет, на которую вы кладете минимальное количество денег именно для платежей. Ну, и просто будьте бдительны, включайте голову, думайте о вашей безопасности.

А. ПЛЮЩЕВ: Спасибо большое. Сергей Новиков, руководитель российского исследовательского центра Лаборатории Касперского. Говорили о безопасности электронных платежей и не только. Спасибо, Сереж.


Напишите нам
echo@echofm.online
Купить мерч «Эха»:

Боитесь пропустить интересное? Подпишитесь на рассылку «Эха»

Это еженедельный дайджест ключевых материалов сайта

© Radio Echo GmbH, 2025