Способы защиты от киберпреступности базируются на следующих основных принципах:
— получение четкой информации о личности или организации, с которой вступают в деловые отношения (полные паспортные данные, почтовый адрес физического лица, юридический адрес и банковские реквизиты организации, телефон и адрес электронной почты, расположенной не на бесплатном сервере, а у платного провайдера). Для проверки репутации американских сайтов можно посетить интернет-страницу авторитетной организации по защите прав потребителей Better Business Bureau http://www.bbbonline.org/consumer/index.asp;
— использование электронных сертификатов и безопасных протоколов передачи данных;
— непредоставление продавцам реквизитов пластиковых карт и паспортных данных (для этого существуют биллинги и авторизационные сервера процессинговых центров);
— использование кредитных карт (в этом случае возврат денег или чарджбек осуществляется значительно быстрее и проще, нежели при использовании других средств платежа).Приведём некоторые рекомендации, разработанные специалистами Центра анализа интернет-мошенничества – Internet Fraud Complaint Center на основе анализа совершённых преступлений:обязанности покупателя интернет-аукциона возникают только после того, как продавец выполнит свои обязательства;
— нежелательно покупать товары на сайтах, базирующихся в других странах;— нужно уточнять у продавца – кто будет доставлять купленный товар, как, когда и каким образом можно будет вернуть непонравившийся или бракованный товар, кто оплачивает его пересылку;— если продавцы товаров на интернет-аукционе предлагают договориться напрямую, это может сэкономить деньги, а может и помочь в совершении мошенничества, поскольку интернет-аукционы могут обеспечивать страхование заключаемых на них сделок.
Примечание: Подробные правила организации и участия в интернет-аукционах приведены на сайте Федеральной Торговой Комиссии США – Federal Trade Comission (http://www.ftc.gov/bcp/conline/pubs/online/auctions.htm).
Способы защиты от мошенничества при использовании пластиковых карт:
— наиболее простым способом снижения вероятности потерь от мошенничества является ограничение функциональности пластиковой карты совместно с подключением к услуге мониторинга активности (например, в форме SMS-сообщений обо всех операциях с карт-счетом). Для ограничения функциональности пластиковой карты используются: лимит на максимальную сумму покупки, максимальное количество операций, максимальную сумму операций по одной карте, ограничение региона использования карты, блокировка карты на то время, пока она не используется и т.д.;
— желательно использовать пластиковые карты, имеющие страховой полис;— никогда никому (включая работников банка) не сообщать ПИН-код карты и не вводить его на виду у посторонних;
— хранить карту в надёжном месте, недоступном для мошенников;— в случае потери карты оперативно связаться с банком и заблокировать её использование. В этом случае многое зависит от содержания договора на открытие карт-счёта. Например, клиент по договору может нести ответственность за все операции со своей пластиковой картой в течении N-го числа дней с момента подачи письменного заявления об утере или клиент должен самостоятельно оплачивать блокировку карты (желательно избегать использования данных пунктов в договоре);
— избегать оплаты с помощью голосовой авторизации, снятия слипов импринтером в тех торговых заведениях, надёжность которых вызывает сомнения: есть риск, что с карты снимут большую сумму, чем требуется, либо скопируют данные с магнитной полосы специальным прибором;
— в случае отказа в авторизации нужно проконтролировать факт уничтожения слипа сотрудником торгового предприятия;— совершая покупки в Интернете, любую информацию, касающуюся карт, следует передавать только по защищённым протоколам, например, протоколу SSL 3.0, с длиной ключа шифрования не менее 128 бит;— необходимо своевременно проверять выписку по карте (стейтмент). Существуют строго оговоренные сроки, в течение которых можно выставить претензию обслуживающему банку (чарджбек). Своевременное выставление претензий снимает с клиента ответственность за дальнейший ход событий.
В 1988 году создана группа реагирования на компьютерные происшествия CERT (Computer Emergency Response Team), существующая на средства Министерства обороны США. В настоящее время CERT – одна из нескольких десятков организаций, стоящих на страже Сети. Группа собирает информацию о взломах систем безопасности и предлагает рекомендации по предотвращению их в будущем. Если нарушаются законы (например, при хищении данных), то исследователи экстренных ситуаций передают полученную ими информацию в Национальное подразделение по борьбе с компьютерной преступностью под эгидой Федерального бюро расследований или в Группу борьбы с компьютерной преступностью Интерпола.
Кроме того, жертвы киберпреступности могут обратиться в следующие структуры:
1. Международная веб-полиция – International Web Police (www.web-police.org/forms/wp_crimereport.html). Сайт специализируется на международных преступлениях. В случае мошенничества содержание заполненной жертвой формы будет передано в соответствующие правоохранительные органы страны, граждане которой участвуют в афёре. Web Police тесно сотрудничает со спецподразделениями, которые занимаются интернет-преступлениями.
2. Центр анализа интернет-мошенничества – Internet Fraud Complaint Center (www.ifccfbi.gov/cf1.asp). Сайт поддерживается американским Федеральным бюро расследований и, соответственно, чаще всего занимается преступлениями, которые произошли в США или как-то задели интересы американских граждан. Между тем сотрудничество ФБР с правоохранительными органами других стран позволяет надеяться на то, что проблема расследования преступлений в других странах все-таки будет решена.
3. Международная группа по борьбе с киберпреступностью Евросоюза – European Network and Information Security Agency (ENISA) имеет право регулирования деятельности стран-участниц ЕС (http://www.enisa.eu.int/).
4. Федеральная служба безопасности Российской Федерации (www.fsb.ru/contact/contact.html). В случае если мошенник или жертва – гражданин России можно обратиться в соответствующие спецслужбы. Российские правоохранительные организации активно занимаются киберпреступлениями. Как и в предыдущих случаях, подобные службы ценят как можно более подробную информацию о преступнике.
5. Рабочая группа Anti-Phishing Working Group (www.antiphishing.org/) занимается борьбой с использованием фишинга.
6. Официальный сайт Центра исследования проблем компьютерной преступности (http://www.crime-research.org/).
Автор: Юрасов А.В. — Проректор по воспитательной работе и международному сотрудничеству, заведующий кафедрой электронной коммерции Поволжского государственного университета телекоммуникаций и информатики, доктор экономических наук, действительный член Академии Телекоммуникаций и Информатики.