Бизнес под защитой

Мошенничество — это не всегда про хакеров. Как продавать и покупать на интернет-площадках и не лишиться денег

Киберугрозы — это далеко не всегда про ловких хакеров, которые с помощью специальных программ взламывают сложные системы. Лишиться данных человек может по невнимательности, а порой и из-за чрезмерной доверчивости. В новой серии проекта «Бизнес под защитой» при поддержке онлайн-сервиса Битрикс24 и hoster.by мы говорим о безопасности на площадках C2C, где каждая сделка строится на доверии между продавцом и покупателем. Как распознать мошенника, не потерять свои данные и деньги и почему владельцы таких сайтов советуют клиентам договариваться исключительно в периметре площадки, обсуждаем с Юлией Семенченко, руководителем направления по усилению безопасности площадки «Куфар».

Можно ли взломать профиль на «Куфаре»?

Мошенничество — это не всегда про хакеров. Как продавать и покупать на интернет-площадках, и не лишиться денег

Юлия Семенченко,

руководитель направления по усилению безопасности площадки «Куфар»

Такая ситуация иногда случается, но дело здесь не в «Куфаре», объясняет Юлия Семенченко. В интернете очень много слитых баз с данными пользователей различных площадок, а многие, к сожалению, используют одинаковую почту и пароль для разных сервисов. И стоит мошеннику получить доступ к слитой базе, он может попытаться воспользоваться этими данными, чтобы зайти и в ваш профиль на «Куфаре», и в интернет-банкинг, да и куда угодно.

Сергей Повалишев,

генеральный директор hoster.by

— Чтобы примерно понимать масштаб: только за минувший год в НЦЗПД поступило около 50 уведомлений от компаний о нарушении систем защиты персональных данных. Одна из утечек затронула данные 109 тысяч граждан, — комментирует генеральный директор hoster.by Сергей Повалишев. — Неизвестно, что именно включали в себя эти базы данных, но email-адреса там были с высокой долей вероятности, могли быть и «хеши» паролей.

— Для защиты от таких ситуаций мы используем МФА, то есть мультифакторную или двухфакторную аутентификацию, — объясняет наша собеседница. — Если происходит вход с нового устройства или браузера, нетипичного для пользователя, запрашиваем код из СМС. Код приходит на номер, привязанный к профилю на платформе. МФА у нас добровольная, ее можно отключить при желании, и не все такой защитой пользуются. Но если мы видим риск, что аккаунт скомпрометирован и, возможно, у кого-то постороннего появился к нему доступ, мы принудительно вылогиним из него и подключим МФА, чтобы наши пользователи не стали жертвой мошенников.

Например, кто-то может пытаться зайти в профиль, используя подбор пароля. Или пользователь ведет себя подозрительно, совершает какие-то нетипичные для человека действия. Скажем, просматривает номера, не открывая объявления, или смотрит по 10 номеров в секунду. На площадке понимают, что это работает скрипт, который собирает номера пользователей. Причем сделать это невозможно, если ты не залогинен в своем профиле, то есть для таких действий нужен реальный аккаунт. Подозрительного пользователя мы автоматически вылогиниваем и подключаем МФА, чтобы в случае захвата его профиля не пострадали другие. И это лишь самые очевидные примеры, подчеркивают в компании: за безопасностью следят на уровне отлаженных процессов.

— Бывают ситуации, когда пользователю в Viber могут написать: я оформил заказ на ваш товар, подтвердите — и высылают ссылку, — приводит еще один пример Юлия. — Это не ссылка для перевода денег, там не надо вводить номер карты или СМС-код. Это просто страница, очень похожая на страницу для входа на «Куфар»: человек вводит свой логин, пароль и код, если подключена МФА, и мошенник оказывается в профиле, с которого теперь может просматривать номера в объявлениях других пользователей.

К слову, известны случаи, когда мошенники размещают в интернете объявления о подработке для школьников и затем привлекают их к просмотру номеров. Но если в такой ситуации будут пострадавшие и они пойдут в милицию, то к ребенку, совершавшему просмотры, тоже может прийти милиция. На площадке напоминают: нужно быть внимательными, и, если кто-то хочет получить через вас данные других пользователей, ни в коем случае нельзя на это соглашаться.

За что могут заблокировать профиль на площадке

Профили на площадках C2C блокируют за серьезные нарушения. Как отмечает Юлия Семенченко, мошенничество может быть не только брутальным, когда мошенники где-то за границей сидят и пытаются украсть деньги с карты под видом совершения сделки. Все же случаются и кейсы, когда свои же белорусы подвели, причем не всегда умышленно.

— Профиль блокируют после обращения в Службу поддержки пострадавших, так как любые нечестные действия — это плохой опыт для наших пользователей. Например, взял предоплату, но не выслал товар. Мы не знаем, чего ожидать от этого человека, и можем заблокировать его профиль, чтобы такого не повторялось. Если владелец аккаунта выходит с нами на связь, предлагаем уладить ситуацию, и если он это делает, то мы профиль разблокируем. Однако если ситуация повторяется, то мы блокируем окончательно. При этом абсолютное большинство сделок проходит гладко. Наши пользователи по результатам общения или сделки могут оценить друг друга — и это тоже создано для повышения уровня доверия, ведь, когда мы совершаем сделку, нам важно понимать, что нас не обманут и не подведут.

Мы развиваем систему рейтингов, у нас есть возможность оценить как продавца, так и покупателя. В среднем на «Куфаре» оценка у пользователей — 4,92. Поэтому с уверенностью можно сказать, что большинство продавцов и покупателей в Беларуси добросовестные. И лишь изредка бывают ситуации, когда что-то нежелательное произошло, — это капля в море. Ежедневно у нас более 1 млн активных пользователей, которые каждый день оставляют около 13 тысяч оценок.

Как пример мошенничества: зимой пользователь продавал один и тот же билет на концерт МОТа несколько раз. Причем встречался лично с покупателями, не скрывал своих данных — в итоге нечестного продавца быстро обнаружили, и дальше ситуацией занималась милиция.

— Для нас это стало поводом какие-то процессы пересмотреть, где-то ужесточить, — подчеркивает представитель площадки. — Теперь у нас билеты публикуются только с ценой, причем до номинала или равной ему. Кстати, если вы купили билет у другого человека, можно обратиться к организатору и попросить изменить QR-код. А если видите, что продавец не удалил объявление после продажи, можно написать в службу поддержки для проверки.

В компании при этом подчеркивают, что порой жалобы пользователей друг на друга могут быть связаны с тем, что ожидания не совпали с реальностью. Например, кто-то заплатил за товар и ждет, что ему в этот же день отправят его почтой. А у продавца что-то случилось, и он не смог вовремя ответить на сообщение. Человек начинает нервничать, писать в службу поддержки, что его обманули мошенники, а на самом деле люди просто не поняли друг друга.

Что делать, если не можете зайти в свой профиль

В компании подчеркивают, что настоящему владельцу аккаунта не составит труда зайти в профиль и ввести свой код, даже если ему сбросили пароль и подключили принудительно МФА. Также на помощь может прийти служба поддержки, у которой есть свои способы понять, тот ли это пользователь.

При этом если пользователь не может зайти в профиль, то он видит сообщение с пояснением.

Так, если профиль был ранее пользователем удален, можно обратиться в службу поддержки и восстановить его.

Если же профиль заблокирован, нужно опять-таки написать в службу поддержки и узнать, в чем дело.

«Когда человек ушел с площадки, мы перестаем получать сигналы, если что-то пошло не так»

— У нас в центре сообщений невозможно отправлять ссылки — мы их блокируем, — рассказывает Юлия Семенченко. — Если кто-то хочет обмануть, мошенническую ссылку на «Куфаре» он отправить не сможет. Именно поэтому мошенники предпочитают действовать через мессенджеры. Чаще всего через Viber, так как он есть у большинства пользователей. И там мы уже не имеем контроля: когда человек ушел с площадки, мы перестаем получать сигналы, если что-то пошло не так. Именно поэтому мы призываем всегда оставаться на площадке, здесь же договариваться о сделке.

Этот принцип работает не только на онлайн-площадках, но и внутри компаний. Когда сотрудники обсуждают рабочие вопросы в личных мессенджерах, пересылают документы через сторонние сервисы или обмениваются файлами без единых правил, обеспечить безопасность корпоративных данных становится значительно сложнее. В такой ситуации труднее вовремя заметить подозрительную активность, восстановить историю взаимодействия или понять, где произошел инцидент.

Именно поэтому все больше компаний выстраивают работу в едином защищенном цифровом пространстве.

Мультифункциональная платформа Битрикс24 дает сотрудникам удобную и безопасную среду для работы: корпоративные чаты, документы, задачи, календарь и другие инструменты работают внутри единого защищенного контура. Администратор может управлять правами доступа сотрудников, а такие механизмы безопасности, как двухфакторная аутентификация и контроль входов, помогают снизить риск несанкционированного доступа к корпоративной информации. Такой подход позволяет команде работать в единой среде, а компании — сохранять контроль над своими данными и процессами.

В каждом диалоге в самом начале есть напоминание, что безопаснее всего обсуждать сделку на платформе и ни в коем случае нельзя переходить по ссылкам от незнакомцев и вводить там данные карты и СМС-код. Площадка разработала собственные приложения для Android и iOS, которые в том числе позволяют включить уведомления о новых сообщениях и переписываться с потенциальными продавцами или покупателями. При этом человек, который что-то продает, может максимально защитить свои данные, тот же номер телефона, и не отображать их на «Куфаре» — просто переписываться. Если же он выбирает отобразить телефон на этапе подачи объявления, площадка также предупреждает о мошенниках, которые могут выйти на связь в мессенджерах.

В центре сообщений блокируют не только мошеннические ссылки, но и номера карт, на которые ранее получали предоплату, но товар не выслали. Вопросы возникнут и в том случае, если номер карты высылают не цифрами, а написанным на листке или в виде скриншота. Если мошенники понимают, что номер карты не пройдет, могут написать неправильный, а потом сообщить, мол, в двух последних цифрах ошиблась — там не 20, а 18. И такие случаи тоже отслеживают.

«Белорусские данные очень дорогие»

— Мы недавно завершили очередную аттестацию систем защиты информации. Долго над этим работали и многое для этого сделали, что тоже очень помогает пользователям чувствовать себя в безопасности, — подчеркивает Юлия. — У нас утечек не было, но мы внимательно следим за такими ситуациями в других компаниях. Например, если у ретейла была утечка и данные в открытом доступе, смотрим, что это за пользователи. Если есть пересечения с нашими и видим риски, просим пользователей поменять пароль, а тем, кто не сделал в течение какого-то времени, мы его просто сбросим. В таком случае, если человек пытается зайти в свой профиль, ему может потребоваться установить новый пароль.

— Хотелось бы подчеркнуть, что аттестация системы защиты информации — это обязательная процедура для всех, кто принимает, обрабатывает или хранит персональные данные. Даже если это лишь телефон и, например, адрес доставки, — подчеркивает Сергей Повалишев. — Это подтверждение соблюдения базовых требований защиты данных. Даже если создать и аттестовать такую систему самостоятельно не получится из-за отсутствия необходимых компетенций или времени, это можно отдать на аутсорс надежному партнеру. Но откладывать аттестацию не стоит — кибератаки могут нанести огромный ущерб (как экономический, так и репутационный). К тому же в этом году серьезно выросли штрафы для компаний, которые не защищают данные клиентов должным образом.

В компании говорят, что, если утекают какие-то белорусские данные, они на 100 процентов интересны мошенникам, потому что очень дорогие. Дело в том, что белорусские аккаунты непросто получить. К примеру, чтобы иметь на «Куфаре» верифицированный профиль, нужно проделать много сложных действий. В том числе белорусские симки просто так не купить: нужно прийти с паспортом к мобильному оператору. А без верифицированного номера аккаунт ни на что не годится.

«Задача площадки — создавать сервисы, которые помогают обезопасить сделку»

— Осведомленность пользователей всегда нужно повышать. Скоро мы запустим игру, где пользователи в интерактивной форме смогут попробовать свои силы в распознавании мошенников и их схем, — говорит Юлия. — За основу мы взяли реальные диалоги, которыми пользователи «Куфара» делились со службой поддержки. Хочется отметить, что пользователи очень образованны и бдительны. В большинстве случаев, когда в поддержку сообщают о мошенничестве, человек сам говорит о настораживающей ссылке. Игра же в легкой форме дополнительно обучит продавцов и покупателей нашей платформы. Она особенно понравится тем, кто не любит читать длинные тексты.

Одно из направлений площадки — «Куфар Путешествия», где для безопасности людей, которые приезжают заселяться из других городов, каждый объект верифицируют. В итоге, чтобы разместить объявление о сдаче квартиры или дома, владелец должен снять видео — от таблички, по лестнице, показать все комнаты. На площадке при этом смотрят, чтобы то, что на видео, совпадало с фотографиями. Плюс рейтинги, отзывы предыдущих гостей и возможность оперативно обратиться в службу поддержки. И такой контроль дал хороший результат: если какие-то жалобы и появляются, то это уже человеческий фактор, когда люди просто не смогли договориться.

— Наша задача как площадки — разрабатывать сервисы, которые помогают обезопасить сделку для обеих сторон, — подчеркивает представитель «Куфара». — Так у нас появились «Куфар Доставка» и «Куфар Оплата», которые созданы для того, чтобы люди могли безопасно передать друг другу деньги. Часто покупатель пишет, мол, куплю, вышлите наложенным платежом. А продавец отвечает, что хочет предоплату на карту. По сути, никто не готов платить вперед. И наши сервисы позволяют этот момент урегулировать: покупатель сразу переводит деньги, но продавец получит их лишь после того, как товар будет у покупателя. До момента получения товара покупателем средства холдируются на счете у банка-партнера. Если товар не понравится, то деньги возвращаются. Данные банковских карт при этом у нас не хранятся — только на стороне банка. По сути, это та же пересылка по почте, но она оформляется на «Куфаре».

Чек-лист: как себя обезопасить на онлайн-площадках

Никогда не переходите ни по каким ссылкам в мессенджерах. Если вам говорят, что, например, на «Куфаре» оформили доставку, зайдите в свой профиль на площадке и посмотрите, есть там такой заказ или нет.
Никогда не вводите код из СМС на сервисах, в которых не уверены.
Как и три цифры со стороны обратной карты — никому не сообщайте их ни при каких обстоятельствах. Хорошая практика — иметь виртуальную карту специально для платежей онлайн. А на некоторых площадках, в том числе на «Куфаре», есть возможность выпустить виртуальную карту, на которой можно держать небольшую сумму.
В объявлении подозрительно низкая стоимость? Это должно насторожить. Если вы эксперт и понимаете, сколько это стоит на самом деле, — сигнализируйте в службу поддержки площадки.
Никогда ни за кого не размещайте объявления, только свои. Иногда такие вакансии появляются в Viber-группах. Это подозрительная ситуация.
Если вам предлагают очень привлекательный вариант в недвижимости, а в мессенджере просят перевести предоплату, чтобы забронировать за вами, ни в коем случае не делайте этого. Чудо может обернуться мошенничеством.