Добавлен: 17.10.2024
Просмотров: 32
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«Кабардино-Балкарский государственный университет
имени Х.М. Бербекова»
Институт информатики, электроники и робототехники
Кафедра Компьютерных технологий и информационной безопасности
КУРСОВАЯ РАБОТА
по дисциплине:
Основы информационной безопасности на тему
«Обеспечение ИБ электронных платежей»
| Выполнил – Пшунов Кантемир Ахмедович студент 1-го курса направления 10.03.01 профиль Информационная безопасность | Подпись |
| Руководитель: к.ф.-м.н., доцент каф. КТиИБ Ксенофонтов Александр Семенович | Оценка Подпись |
Нальчик 2022г.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 3
1.ПЛАТЕЖНАЯ СИСТЕМА 5
1.1Понятие и виды онлайн-платежей 5
1.2 Риски пользователей при проведении онлайн-платежей 8
2. Безопасность при проведении онлайн-платежей 13
2.1 Понятие идентификации и аутентификации 13
2.2 Основные методы идентификации и аутентификации пользователей при проведении онлайн-платежей 17
2.2.1 Описание протоколов SET и SSL 17
2.2.2 Использование пароля/PIN 21
2.2.3 Биометрические методы идентификации и аутентификации 22
3. Одноразовые пароли 23
3.1 Использование цифрового сертификата 26
3.2 Аутентификация устройства, использование дополнительных приложений 28
ЗАКЛЮЧЕНИЕ 30
31
СПИСОК ЛИТЕРАТУРЫ 31
ВВЕДЕНИЕ
Стремительное развитие популярности глобальное сети Интернет привело к тому, что повсеместно начали создаваться системы электронных платежей. Главное преимущество подобных платежей заключается в том, что клиенты могут осуществлять платежи без изнурительных и зачастую технически трудных этапов физической отправки платежного поручения в банк.
Понятие онлайн-платёж означает возможность оплатить услуги или товары через мобильное приложение или в интернете без использования банкнот. Обычно данная операция осуществляется прямо в мобильном приложении продавца или на сайте.
Существует много вариантов осуществления онлайн-платежей, к ним относятся:
-
Интернет-эквайринг; -
Электронные кошельки; -
СМС-оплата; -
Оплата через сервисы Apple Рay, Samsung Pay, Android Pay и т.д.; -
Онлайн-оплата с использованием терминалов.
В подобных системах и сервисах циркулируют информация (также и конфиденциальная), требующая защиты от просмотра, модификации и навязывании ложной информации.
Из-за роста популярности интернет-банкинга и онлайн-платежей всё более актуальной становится проблема мошенничества в этой сфере, так как информация, о которой идет речь может оказаться у злоумышленника. Помимо информации, его целью, в основном, будет являться получение денег пользователя. Ему будут нужны реквизиты банковской карты или, в случае интернет-банкинга, логина и пароля для доступа к счетам. Реквизиты банковских карт используются в операциях без предъявления карты в основном для оплаты товаров в интернет-магазинах.
Именно из-за подобных угроз, необходимо обеспечить соответствующую защиту. В основном данным вопросом занимается сторона, поставляющая ту или иную услугу или товар. Пользователю же требуется следовать предъявляемым требованиям, чтобы не попасть на уловки злоумышленника.
Так, при проведении онлайн-платежа, сервис в обязательном порядке проверяет пользователя на соответствие предъявляемых данных. Данный процесс представлен понятиями идентификации и аутентификации.
Для целей получения доступа наиболее полезным услугам при сохранении допустимого уровня безопасности пользователи обязаны помнить постоянно возрастающее количество имен пользователя, паролей (пин-кодов/PIN) и т.д.
Именно поэтому в современных системах онлайн-платежей применяются различные способы идентификации и аутентификации. К наиболее распространенным методам относятся:
-
имя пользователя и пароль; -
заранее сгенерированные коды безопасности; -
сертификаты; -
ввод кода подтверждения, принятого через сообщение службы коротких сообщений (SMS) и т.д..
Цель работы заключается в определении основ обеспечения безопасности электронных платежей.
В соответствии с поставленной целью были определены следующие задачи:
-
определение понятия электронной платежной системы и персонального платежа; -
выявление основных рисков проведения онлайн-платежей;
-
ПЛАТЕЖНАЯ СИСТЕМА-
Понятие и виды онлайн-платежей
-
Глобальная сеть Интернет стремительно развивается и предоставляет каждый раз новые сервисы. К таким сервисам относятся так называемые электронные деньги. Большинство пользователей сейчас предпочитают для ведения своей деятельности системы электронных платежей в силу их удобства и для экономии времени.
Термин «электронные деньги» получил за последние три десятилетия широкое распространение в экономической литературе отечественной и зарубежных стран. В научных работах системы электронных платежей определяются как комплекс специализированных программных средств, которые обеспечивают транзакции денежных средств от потребителя к поставщику услуг или товаров[6]. Общая схема работы электронных платёжных систем приведена на рис. 1.
Рисунок 1 – Принцип работы ЭПС
Так же следует определить понятие онлайн-платежей. Онлайн-платёж – возможность оплатить услуги или товары через мобильное приложение или в интернете без использования банкнот. Обычно данная операция осуществляется прямо в мобильном приложении продавца или на сайте.
На данный момент системы электронных платежей принято делить на следующие виды:
-
Интернет-эквайринг. Данный способ является самым простым для проведения онлайн платежа, так как перевод денежных средств со счета покупателя на счет продавца осуществляется при участии банка и процессинговой компании. Последняя предоставляет интерфейс для онлайн-покупки и производит процедуру списания и зачисления денег. Она может быть независимым предприятием или принадлежать банку. С помощью технологии защиты 3D-Secure, позволяющей аутентифицировать покупателя (с помощью отправки SMS на телефон и т.д.) подтверждается информация о платеже; -
Электронные кошельки. В качестве кошельков могут выступать кошельки таких сервисов, как QIWI, WebMoney и «Яндекс.Деньги». Данные компании предоставляют сайтам продавцов плагины для удобства расчетов. Стоит отметить, что данные о произведенной оплате передаются с использованием криптографических протоколов TLS и SSL; -
СМС-оплата. Этот метод заключается в списании денег со счёта мобильного телефона за те или иные покупки или услуги. К примеру, оплата контента в играх. Подходит для бизнеса, где проводятся много платежей без нужды в чеках. -
Несмотря на удобство данный способ редко используется из-за небольших сумм на мобильных счетах пользователей и дороговизны. К тому же комиссия SMS-агрегатора иногда доходит до 27%. -
Оплата через сервисы Apple Рay, Samsung Pay и Android Pay. В этих мобильных платежных системах используется токенизация платежных данных карты. В смартфоне имеется токен, который представляет собой доступ к данным карты покупателя, с которой списываются средства . подтверждение покупки производится с помощью пароля, Touch ID или Face ID. -
Онлайн-оплата с использованием терминалов. Под этим понимается самостоятельное взаимодействие клиента с терминалом, например, с терминалом «Связного», «Евросети» или QIWI. Продавец предварительно заключает договор с оператором терминала, подключающего оплату услуг бизнеса[12].
Также платежные системы можно по наличию программного обеспечения разделить на две группы:
-
требующие установки дополнительного программного обеспечения (например, Интернет.Кошелек, Webmoney); -
платежные системы с веб-интерфейсом (RUpay, Яндекс.Деньги, Paypal, E-Gold).
Любая электронная платежная система обеспечивает определенные преимущества электронных денег перед традиционными деньгами, так как переводы и платежи внутри ЭПС имеют следующие свойства:
-
анонимность (не во всех системах); -
моментальность; -
экстерриториальность; -
относительно небольшие комиссии; -
защищенность (нельзя или трудно подделать электронные деньги в отличие от наличных); -
делимость (любая сумма электронных денег, которая больше принятого в ЭПС минимума, может быть разделена на более мелкие части)[3].
Однако следует отметить тот факт, что, не смотря на явные перспективы использования электронных денег в России, пока не имеются законодательные правила для них.
-
Риски пользователей при проведении онлайн-платежей
Поведение онлайн-платежей удобный процесс, и имеет много преимуществ, однако есть определенные проблемы риски, когда платежи обрабатываются в Интернете.
К наиболее существенным рискам проведения онлайн платежей относятся:
-
кража личных данных пользователя; -
кража денежных средств.
Стоит отметить, что самая большая проблема с любыми видами онлайн-платежей связана с безопасностью соединения. Во время обработки платежей важно обеспечить защищенность соединения, чтобы злоумышленник не смог, к примеру, перехватить данные о банковской карте, чтобы использовать для кражи личных данных обладателя карты.
Не следует недооценивать серьезность похищения личных данных. Так, например, средняя величина ущерба от утечки данных малого бизнеса в Европе от негативной прессы составляет 150000 долларов[18].
Платежные сервисы используют много способов и технологий для обеспечения защиты проводимых транзакций. Все платежные системы должны иметь возможность обеспечить онлайн-защиту данных банковской карты клиента, чтобы минимизировать риски хищения персональных данных.
На дынный момент искусственный интеллект и машинное обучение всегда работают над выявлением закономерности, которая способствует прохождению безопасных транзакций при одновременном блокировании потенциально мошеннических транзакций. Всегда необходимо спрашивать о безопасном диалоге с платёжными сервисами, позволяющими использовать банковские карты.
Большинство экспертов утверждаю, что гораздо сложнее получить разрешение на работу с банковскими картами именно для онлайн-платежей. Это все сложно из-за того, что есть риск отсутствия точности или искажения товаров, которые продаются по Интернету, причем этот риск выше, чем в традиционных магазинах.
При совершении покупок в интернете, онлайн-покупатели принимают на себя некоторый риск, потому что трудно определить добросовестные интернет-магазины и не попасться на уловки мошенников.
Также, в то время, как некоторые интернет-магазины легко разрабатывают мошеннические схемы, они сами могут стать пострадавшими.
В большинстве случаев продавцы уверены в том, что информация, предоставленная клиентом точная и он является авторизованным пользователем используемой карты.
Любой мошенник с достаточным количеством личной информации о владельце банковской карты может использовать данную карту для проведения онлайн платежа. В такой ситуации продавцу необходимо предпринимать все возможные шаги для того, чтобы вести учет онлайн-транзакций на случай разборок. Это особенно полено, когда держатель банковской карты оспаривает платеж («возвратный платеж»)[15].
Сами же платежи при х проведение с помощью банковских карт вполне безопасны Во время оплаты любого товара или услуги, сторона банка осуществляет ввод карточных данных, хотя пользователь и находится на сайте продавца Именно поэтому продавец не имеет доступа к секретным банковским реквизитам. Однако, если пользователь попадет на фишинговый сайт, все его введенные реквизиты станут доступными мошенникам.
При оплате картой всегда следует обращать внимание на правильность ссылки и включен ли режим «безопасное соединение». Также необходимо стараться не проводить оплаты в общественной WiFi сети, чтобы обезопасить себя от потенциального внешнего несанкционированного вмешательства с целью сбора вводимой информации (пароли, карточные реквизиты).
Существуют классификации, в которых выделяются следующие риски онлайн-платежей:
-
риск утраты ликвидности – неисполнение эмитентом своих обязательств из-за недостаточности размера активов; -
кредитный риск – получение убытков из-за неисполнения обязательств третьими лицами (расчетными банками, банками-участниками и т.д.); -
правовой риск – действие или событие правового характера; -
операционный риск – убытки в результате недостатков организации системы или злоупотребления лиц, которые имеют доступ к системе; -
риск потери управляемости в результате утраты руководством контроля над одним из вышеперечисленных рисков.