Безпека розрахунків банківськими картками в інтернеті

Мітки: Security Testing

Повчально-навчальна історія про кіберзлочин, яка може стати в нагоді до інформації QA тестувальникам, які тестують банківські системи, або ж проекти де проводяться онлайн оплати: торгівельні мережі, інтернет магазини, сервіси придбання квитків скажімо. Оригінал історії читай за посиланням

Суть така: прокидається одного разу фрілансер від звуку СМС телефону, працює на Upwork частково, подорожував нещодавно по США. Бере в руки телефон, і не зовсім розуміючи його суть з самого сранку…. Бачить повідомлення з банку де вказано ніби-то Він нещодавно зробив покупку у Японії з карти на 158 400 японських ієн. Почав гуглити скільки це у національній валюті й так… не трішки був шокований. Звісно зателефонував на гарячу лінію банку. Спробував пояснити ситуацію, що ніякої покупки не робив. Попросив транзакцію скасувати. Карту одразу ж заблокували. Викликали у банк зробити скан паспорту……і так розпочалася тривала історія розслідування цього кіберзлочину.

Скрімінг

Чому так трапилося? Банківської картки був зроблений дублікат за допомогою пристрою скіммера. Зараз його можна реалізувати навіть за допомогою телефону. У США цей вид злочину дуже сильно розвинений. Там платіжні картки проводять у pos -терміналах за допомогою магнітної полоси, переходити на чіповані не поспішають, оскільки банківські карти застраховані.

Найімовірніша версія автора посту, десь у кафе, перед тим, як провести карту в терміналі, її непомітно провели за допомогою скрімера під магнітною полосою і на основі цього виробили дублікат. На чорному ринку дублікат перепродали, перевезли у Токіо.

Що цікаво у статті згадані цікаві моменти із банківських процедур, процедур Арбітражу Visa, а також ГОЛОВНА ДЕТАЛЬ на підставі якої вдалося повернути кошти — в Японії всі платежі повинні проводитися за допомогою чіпа на карті, а в даній торговій точці провели за допомогою магнітної смуги.

15 порад: Як убезпечити себе при розрахунках банківською карткою

Не думай, що подібне ніколи не торкнеться тебе!

Тестувальники деякі із цих порад теж можуть узяти собі на заміточку, тестуючи фінансові продукти.

  1. Не слід вводити дані платіжних карт на різних непотрібних сайтах, узагалі не відвідуй сайти, де потенційно можуть бути різні віруси.
  2. Подбай про конфіденційність паролів. Так, паролі необхідно зберігати, щоб не забути, проте зберігати їх рекомендується в окремому від карти місці. Паролі акаунтів прив’язаних до карти мають бути максимально складними і непередбачуваними.
  3. Краще мати кілька банківських карт. Припустімо одна основна, якою ти взагалі не користуєшся, вона просто лежить, наприклад, десь вдома. І ти з неї перекидаєш потрібні суми на другорядну, якою усюди розраховуєтесь (в інтернеті, в магазинах). Тобто основна ідея, не тримати багато грошей на карті, яку ти “світиш”. Схожий варіант зберігати значні суми коштів на “банківському рахунку”, а не на картці.
  4. Намагайся скрізь, де можна, здійснювати оплату з використанням чіпованої картки, а не застарілої технології магнітної смуги. Це безпечніше.
  5. Для закордонних поїздок теж рекомендовано використовувати окрему карту, де відкриті оплати на усі країни. На основній карті, ця опція повинна бути заблокованою.
  6. Встанови ліміти на суми операцій. Це теж допоможе уникнути ситуацій, коли намагаються списати більшу суму грошей.
  7. “Береженого Бог береже!!! Або ж свою безпеку забезпечити собі зможеш тільки ти.” ЗАВЖДИ стеж за своєю карткою, тримай її в надійному місці. Стеж, щоб її проводили саме в терміналі. Ніколи не віддавай її офіціантам, барменам, не лінуйся сам підходити до терміналу. Те ж саме в готелях та інших місцях, де існує велика прохідність люду.
  8. Будь обережним із банкоматами. Звертай увагу чи не має на ньому стороннх пристроїв. Камер. Виникли підозри, не соромся обмацати банкомат.
  9. Будь обачним та не розголошуй особисті дані. Як на диво у 80% випадків ми винні самі. Коротше, не ведись на “соціальний розвод”. З метою безпеки в жодному випадку не передавай код CVV2 та інші дані стороннім! Для купівель на українських сайтах достатньо зазначити номер картки, строк дії та CVV2-код, що написано на звороті картки (поруч із останніми 4 цифрами номера картки). Для купівель на закордонних сайтах можуть знадобитися ім’я, прізвище власника картки та білінг-адреса (адреса проживання власника картки або адреса, яку зазначено під час отримання картки в банку). Ім’я та адресу обов’язково зазначати латиницею!
  10. Купуйт у відомих інтернет-магазинах.
  11. Сплачуй послуги тільки на сайтах з захищеним з’єднанням https:// Сучасні браузери автоматично блокують ненадійні сайти і запитують дозвіл на оплату у користувача. Надійний сайт сертифікований за стандартом PCI DSS відповідно до вимог зберігання, обробки, передачі та управління даними власників платіжних карт.
  12. Використовуй додаткові технології аутентифікації, що підключені до більшості банківських карт. Це підвищує безпеку платежів і знижує ризик несанкціонованих операцій. Щоразу, при оплаті онлайн на мобільний висилається одноразовий пароль або поступає пароль для підтвердження платежу. Якщо ця функція неактивна, вартує підключити її у банку.
  13. Здійснюй оплати тільки з особистих пристроїв. Сплачуй послуги в інтернеті тільки з персональних пристроїв. Паролі та дані на сторонніх девайсах можуть зберегтися і зловмисники зможуть легко скористатися ними.
  14. Використовуй по можливості Apple Pay, Приват, мобільний банкінг і подібні технології. Це безпечніше, аніж розплачуватися картою.
  15. Тримай свої гроші в банках, які хоча б трохи турбуються про своїх клієнтів. Готові відстоювати інтереси своїх клієнтів. Дотримуються усіх необхідних міжнародних стандартів. Мінімально більше про цей стандарт пропонуємо дізнатися у Вікіпедії, ось тут

Бажаєш дізнатися апріорі, яким вимогам повинні відповідати безпечні додатки? Рекомендуємо переглянути відеозапис воркшопу: Security Development Lifecycle

А про тестування безпеки - дізнайся на Mini course: Security Testing by static and dynamic analysis methods

kurs_security_testing_2.300x0.jpeg.pagespeed.ce.dcf2g_cJEt.jpg

Курси та події

Публікації

Відео