Ймовірні загрози безпеці інформації, яка передається в мережі
Таблиця 11.1
РІЗНОВИДИ ШАХРАЙСТВА В ЕЛЕКТРОННІЙ КОМЕРЦІЇ
Забезпечення захисту у платіжних системах в Internet
Інші системи захисту інформації, шо передається в Internet
Криптографічні засоби шифрування інформації
Різновиди шахрайства в електронній комерції
ТЕМА 11. БЕЗПЕКА І ЗАХИСТ ІНФОРМАЦІЇ В INTERNET
Невпинне зростання користувачів Internet в останні роки спричинило появу в мережі багатьох негативних явищ. Покупки товарів з чужими кредитними картками, крадіжки інтелектуальної власності в Internet набули величезного розмаху і нікого вже не дивують.
Основною проблемою безпеки електронної комерції в Internet з часу її виникнення була проблема передавання закритої інформації (номерів кредитних карток, сум платежів тощо) через відкриту мережу. У таблиці 11.1 подано ймовірні загрози безпеці інформації, яка передається в мережі, разом з рішеннями, що дають змогу організувати і значно підвищити захищеність даних, у тому числі й у ситуаціях, не пов’язаних безпосередньо з електронною комерцією (наприклад, під час відправлення конфіденційної інформації електронною поштою).
Різновид загрози | Рішення | Дія | Технологія |
Дані навмисно перехоплюються, читаються або змінюються | Шифрування | Кодування даних, яке перешкоджає їх читанню або викривленню | Симетричне або асиметричне шифрування |
Користувачі ідентифікують себе неправильно (з шахрайською метою) | Автентифікація | Перевірка справжності відправника, одержувача і повідомлення | Цифрові підписи |
Користувач отримує несанкціонований доступ з однієї мережі до іншої | Брандмауер | Фільтрація трафіка, який іде до мережі або на сервер | Брандмауери, віртуальні приватні мережі |
Найпоширенішою є крадіжка ідентифікаційної інформації (різновид загрози під номером 1): злодії збирають персональну інформацію – імена, адреси, номери соціального страхування й інші важливі дані, а після цього замовляють картки під цими іменами. Хоча крадіжки такого типу – річ не нова, Internet значно полегшив їх здійснення. Хакери і кракери «зламують» сайти, які зберігають цю інформацію. В деяких випадках злочинці вдають із себе легітимних он-лайнових торговців і збирають інформацію в покупців, які нічого не підозрюють.
Хакер – фахівець у галузі комп’ютерної техніки, який “зламує” системи захисту з метою задоволення власних професійних амбіцій, отримання «інтересу».
Кракер – хакер, який «зламує» комп’ютерні системи захисту з метою крадіжки й отримання фінансових доходів.
Дійсні номери карток також можуть бути автоматично згенеровані. Internet перенасичений хакерськими сайтами, які пропонують програмне забезпечення для генерації номерів кредитних карток, що здаються дійсними. Ці програми використовують складний алгоритм створення номерів, у яких, наприклад, перші чотири цифри відповідають дійсним цифрам банків-емітентів. Генератори створюють 12 додаткових цифр, які під час перевірки відповідають параметрам дійсних карток. Навіть якщо жоден банк ніколи не емітував картку з цим згенерованим номером, може так статися, що вони будуть авторизовані при електронних платежах.
Існує інший старий перевірений спосіб: кредитні картки викрадають у фізичному світі і використовують для он-лайнових закупівель.
Від реального ризику потерпають продавці. Саме вони несуть відповідальність за шахрайські он-лайнові трансакції. Співвідношення шахрайства такого типу становить від 2% продажів в одних товарних категоріях до 40% - в інших. Наприклад, такий гігант електронної комерції, як Amazon.com, визнає серйозність цієї проблеми і заявляє, що його спроможність протистояти шахрайству з боку третіх сторін через трансакції з допомогою кредитних карток є одним з ключових чинників, які визначають позитивні результати діяльності компанії.
Рівень шахрайства в 2% у 20 разів перевиш;ує оцінки компаній Visa і MasterCard – найвідоміших емісіонерів кредитних карток. У роздрібному он-лайновому бізнесі 2% шахрайських продажів при справжніх трансакціях могли б принести половину прибутку компанії. Крім того, постраждалі продавці платять штраф за кожне повернення, відшкодування власнику картки за не-авторизований продаж. Якщо повернення стають частими, продавець сплачує підвищену комісію за трансакції або втрачає цю послугу взагалі.
Шахрайські Internet-замовлення можна поділити на дві категорії: товари, що можна легко обміняти на наявні, і трансакції, які не потребують фізичної доставки. До першої категорії належать споживча електроніка, діаманти і презентаційні сертифікати. До другої – програмне забезпечення, яке можна завантажити з мережі, і передплата на сайти «для дорослих». На цих сайтах (переважно американських) практично 100% трансакцій з деяких країн Східної Свропи – шахрайські.
Головними вимогами до здійснення комерційних операцій в Internet є конфіденційність, цілісність, автентифікація, авторизація, гарантії і збереження таємниці. Перші чотири вимоги можна забезпечити технічними засобами, а досягнення гарантій і збереження таємниці залежить від технічних засобів, від відповідальності окремих осіб та установ, а також від дотримання законів, що захищають споживача від можливого шахрайства.