Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



К. О. Маковейчук Електронна комерція

К. О. Маковейчук Електронна комерція




Сторінка5/15
Дата конвертації16.03.2017
Розмір1.85 Mb.
ТипКонспект
1   2   3   4   5   6   7   8   9   ...   15

Рисунок 1.1 – Вікно індексної (першої) сторінки сайту ПриватБанку із точкою входження в „Приват24” для приватних осіб





Рисунок 1.2 – Вікно індексної (першої) сторінки сайту ПриватБанку із точкою входження в „Приват24” для банків, корпоративних клієнтів та підприємців




Рисунок 1.3 – Відокремлений від індексної сторінки корпоративного сайту вхід в систему „Приват24”





Рисунок 1.4 – Реєстрація в системі „Приват24” для клієнтів ПриватБанку

Р
исунок 1.5 – Вікно Приват24 „Мои счета”

Інтернет-банкінг Ощадбанку з урахуванням його специфіки, а саме того, що більшість українців звикли сплачувати комунальні послуги в оф-лайні через нього, пропонує, окрім виписок за рахунками своїм клієнтам, спектр послуг стосовно комунальних платежів клієнтам будь-яких банків, за допомогою їх ідентифікації за кодом платника. Це перегляд заборгованостей, отримання єдиного рахунку на оплату (якщо клієнт бажає платити в оф-лайн), перегляд історій оплати за обраний період, отримання рахунку миттєвої оплати для подальшої оплати в касоматах і пристроях PayBox, і власне оплата в системі.

Я
к вже було сказано вище, оплату комунальних послуг Ощадбанк реалізує за допомогою платіжного сервісу «Єдиний гаманець» (див. рис. 1.6).

Рисунок 1.6 – Оплата комунальних послуг за допомогою платіжного сервісу «Єдиний гаманець»

Фактично, сервіс пропонує сформувати єдиний рахунок за комунальні послуги, в якому є реквізити та суми, але користувач може вводити суми власноруч та вводити показники лічильників при необхідності (див. рис. 1.7). Потім, залежно від обраного користувачем варіанту, переадресувати суму рахунку для сплати або в систему Інтернет-банкінгу Приват24, або в систему НСМЕП, або в платіжний шлюз, або, для власників гаманця в цій системі, в платіжну частину самої системи «Єдиний гаманець» (див. рис. 1.8).

Рисунок 1.7 - Єдиний рахунок за комунальні послуги



Рисунок 1.8 – Переадресація рахунку в точку оплати через мерчант

Система мерчанту відправить SMS-пароль на номер телефону користувача або пароль на е-мейл (див. рис. 1.9). Після авторизації необхідна ще одна авторизація - в платіжному сервісі або на сайті Інтернет-банку, і потім відбувається списання єдиної суми. Інформація про сплату поступить на вказаний телефон / е-мейл. Усі суми будуть рознесені по рахункам організацій автоматично, комісія відсутня. Квитанція про оплату поступить на е-мейл користувача. При бажанні її можна роздрукувати для звірки оплат.

Рисунок 1.9 – Підтвердження в системі мерчанту номера телефону користувача за допомогою SMS пароля

Для справки: мерчант (від англ. merchant - купець, торговець, комерсант) - назва для широкої категорії фінансових послуг, призначених для використання в бізнесі. Найбільш часто ця назва відноситься до служби, яка дозволяє приймати платежі з використанням банківської пластикової карти. У загальному випадку, цей термін може мати на увазі наступні значення: прийом платежів через банківські картки; перевірка та надання гарантій отримання послуг; автоматизована система складання послуги; програми подарунків і карт лояльності; платіжний шлюз; маркетинг по електронній пошті;

Подарунок - це річ, яку дарувальник за власним бажанням безкоштовно віддає у володіння іншої особи з метою задовольнити її вподобання. Слово «подарунок» за смисловим значенням схожий з такими поняттями як «дар» та «пожертва».
Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.
Ри́нок фіна́нсових по́слуг - особлива форма організації руху фінансових ресурсів в економічній системі, яка за своїм призначенням має забезпечити юридичним, фізичним особам і державі належні умови для залучення необхідних коштів і продажу тимчасово вільних грошових засобів.
Електро́нна по́шта (англ. e-mail, або email, скорочення від electronic mail) - популярний сервіс в інтернеті, що робить можливим обмін даними будь-якого змісту (текстові документи, аудіо-, відеофайли, архіви, програми).
прямий поштовий маркетинг; системи он-лайн замовлень.

Тарифи на підключення та послуги Інтернет-банкінгу.

Підключення до послуги Інтернет-банкінгу зазвичай є безкоштовним. Щомісячна або щорічна оплата також відсутні. Однак деякі банки все ж стягують плату.

У Надра-банку за право використання сервісу необхідно одноразово заплатити 10 грн.

Зарплатні клієнти ОТП Банку платять 60 грн. за підключення до OTPdirekt, решта - 100 грн. При цьому клієнт отримує брелок генератора паролів.

Деякі банки вимагають розмістити кошти на своїй пластиковій картці в якості незнижуваного залишку: 300 грн. в Укрексімбанку, 60 грн. в банку «Фінанси і Кредит». Крім того, до переліку витрат на підключення може потрапляти вартість використання систем безпеки: так, Укрексімбанк стягує 170 грн. в якості застави за генератор одноразових паролів.

Генератор (рос. генератор, англ. generator, нім. Generator m) - пристрій, апарат чи машина, що виробляє якийсь продукт (газ, лід тощо), електричну енергію (генератор електромашинний, радіосигналів тощо), створюють електричні, електромагнітні, світлові або звукові сигнали - коливання, імпульси (наприклад, ламповий, магнетронний, квантовий, ультразвуковий генератор).
Ця сума повертається клієнтові після розриву договору.

Регулярну оплату за використання Інтернет-банкінгу стягують УкрСиббанк, Укрексімбанк і "Фінанси та Кредит». Щомісячне обслуговування в УкрСиббанку залежить від використовуваного пакету і становить від 9 до 135 грн. В Укрексімбанку потрібно щорічно оплачувати вартість тарифного пакету та оренду генератора одноразових паролів, разом: 13,44 грн. для зарплатних клієнтів і 19,44 грн. для всіх інших.

Тільки половина банків - лідерів ринку не беруть плату, серед них: Альфа-Банк, ПУМБ, Приватбанк, Укрсоцбанк та Форум.

Безпека Інтернет-банкінгу.

Банки намагаються використовувати різні системи і механізми, покликані якщо не гарантувати, то, хоча б, підвищити безпеку використання он-лайн банкінгу.

Механі́зм (грец. μηχανή mechané - машина) - система тіл, що призначена для перетворення руху одного або декількох тіл у потрібний рух інших тіл. Механізм складає основу більшості машин і застосовується в різноманітних технічних об'єктах.



Шифрування даних

На сьогодні вже всіма або майже всіма банками, які надають послугу Інтернет-банкінгу, застосовується SSL-шифрування даних, переданих від комп'ютера користувача в систему банку і назад. Цей захід безпеки дозволяє виключити поширений раніше вид шахрайства.

Шахрайство - заволодіння чужим майном або придбання права на майно шляхом обману чи зловживання довірою.
Раніше часто використовувалася схема «man in the middle»: дані про платіж перехоплюються на етапі, коли вони відправлені від клієнта, але ще не дійшли до банку. Шахрай змінює дані і тільки після цього відправляє їх у банк.

Щоб скористатися всіма перевагами захищеної передачі даних, слід дотримуватися елементарних заходів безпеки в Інтернеті - не реагувати на підозрілі повідомлення (отримані нібито від банку) і не переходити за невідомими посиланнями.

Одноразові паролі, одержувані в банкоматі.

При такій системі захисту, крім звичайного логіна і пароля, для входу в систему та підтвердження операцій клієнт повинен ввести одноразовий пароль, список яких він може отримати в банкоматі свого банку.

З точки зору безпеки така система має перевагу - щоб здійснювати операції з картковим рахунком через Інтернет-банкінг, особа повинна як мінімум мати в наявності безпосередньо саму карту, а також знати ПІН-код, щоб отримати список паролів в банкоматі.

Зáхист інформáції (англ. Data protection) - сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
Аспект (лат. aspectus - вигляд, погляд) - поняття філософії (онтології, теорії пізнання). У філософії аспект розглядається

Разом з тим не можна не відзначити ряд недоліків такої системи захисту. По-перше, список паролів, роздрукований у вигляді чека з банкомату, доведеться зберігати для підтвердження майбутніх операцій.

Банкома́т - електронний програмно-технічний комплекс з вмонтованою спеціалізованою ЕОМ, призначений для здійснення автоматизованих операцій прийому-видачі наявних грошових коштів, зокрема з використанням платіжних карт, передачі розпоряджень банку про перерахування грошових коштів з банківського рахунку клієнта та виконання інших операцій: оплати товарів, послуг; для автоматизованого складання документів, що підтверджують відповідні операції (видача паперових касових чеків). Ідея створення апарата, що може в будь-який час видавати паперові гроші, прийшла Джону Шеппард–Баррону в середині 60-х років, коли він працював на компанію з виробництва цінних паперів. Перший цілодобовий банкомат з'явився в червні 1967 року, в Лондоні. Для зняття грошей використовувалися іменні ваучери, що їх необхідно було заздалегідь отримати в банку.
Це означає, що якщо клієнт випадково втратить або викине чек (або просто використовує всі паролі), необхідно особисто отримувати нові. Крім того, списком можуть заволодіти зловмисники.

Рекомендується не зберігати список одноразових паролів разом з логіном і паролем від облікового запису. Останній взагалі не рекомендується записувати.

Одноразові СМС-паролі.

Цей спосіб аутентифікації клієнта в системі Інтернет-банкінгу є чи не найпоширенішим в пропозиціях українських банків. При такій системі кожна операція, яка здійснюється за допомогою он-лайн банкінгу, повинна бути підтверджена одноразовим паролем, отриманим клієнтом в СМС-повідомленні на мобільний телефон. При цьому мобільний номер клієнта повинен бути «прив'язаний» до номера рахунку.

Така система має ряд переваг. По-перше, вона досить проста у використанні - клієнтові не потрібно спеціальне обладнання, а процедура підтвердження операції займає всього пару хвилин. По-друге, вона дозволяє убезпечити парну запис від використання зловмисниками - навіть якщо шахраям стане відомий логін і пароль для входу в систему, вони не отримають доступ до грошей, а клієнт дізнається про спробу провести несанкціоновану операцію з СМС-повідомлення. Крім цього, клієнтові не потрібно зберігати список одноразових паролів, а значить, він не зможе його втратити, і його не вкрадуть.

На цьому переваги системи закінчуються. Дійсно, зловмисникам досить складно заволодіти одноразовим паролем, чинним протягом короткого часу. Якщо тільки вони не заволоділи мобільним телефоном. І зовсім марною система буде в тому випадку, якщо клієнт користується Інтернет-банкінгом з мобільного телефону і при цьому зберігає паролі в браузері. Тоді, вкравши у клієнта телефон, шахрай отримає його рахунок в повне розпорядження.

Якщо банк використовує аутентифікацію клієнта по СМС, необхідно дотримуватися наступних правил:

- не користуватися Інтернет-банкінгом з мобільного телефону;

- не зберігати пароль від облікового запису в браузері;

- у разі втрати або крадіжки мобільного телефону - негайно звернутися в банк з проханням заблокувати обліковий запис Інтернет-банкінгу.



Електронний цифровий підпис (ЕЦП).
Розпоря́дження: Розпорядження (також право розпоряджання, лат. ius abutendi) - одна з правомочностей власника (нарівні з володінням і користуванням). Можливість визначати фактичну і юридичну долю речі.
Електро́нний цифрови́й пі́дпис (ЕЦП) (англ. digital signature) - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача.

Цей механізм найчастіше використовується при обслуговуванні банками компаній, але іноді його пропонують і індивідуальним клієнтам. Плюс ЕЦП в тому, що вона дозволяє однозначно ідентифікувати користувача. Недолік же полягає в тому, що ЕЦП також може бути вразлива для шахраїв. Зловмисники можуть викрасти ключа від цифрового підпису, заразивши комп'ютер користувача шкідливим програмним забезпеченням. Існують віруси-«троянці», які вміють знаходити і красти на зараженому комп'ютері аутентифікаційні дані (ідентифікатори, паролі і ключі ЕЦП) користувачів для доступу до різних сервісів (у тому числі і серверів віддаленого обслуговування клієнтів банків.

Якщо для підтвердження фінансових операцій через Інтернет клієнт використовує ЕЦП, він повинен регулярно користуватися актуальними антивірусними програмами та перевіряти комп'ютер на предмет зараження комп'ютерними вірусами.

Антивірусна програма (антивірус) - спеціалізована програма для знаходження комп'ютерних вірусів, а також небажаних (шкідливих) програм загалом та відновлення заражених (модифікованих) такими програмами файлів, а також для профілактики - запобігання зараження (модифікації) файлів чи операційної системи шкідливим кодом.
Також експерти не радять залишати ключ ЕЦП підключеним до комп'ютера, якщо він на флеш-карті, і встановленим в браузері, якщо він у вигляді файлового сертифіката.

Зовнішні електронні пристрої.

Деякі банки пропонують користувачам он-лайн банкінгу придбати (або взяти в оренду) спеціальний пристрій - генератор одноразових паролів. Генератор підключається до комп'ютера через usb-порт і не вимагає спеціального програмного забезпечення.

Інші фінансові установи пропонують використовувати зовнішній електронний ключ, який генерується при першому підключенні до системи Інтернет-банкінгу, записується на зовнішній носій і потім використовується при проведенні операцій в системі (саме про такий варіант ЕЦП на флеш-карті йшлося трохи вище).

Неба́нківська фіна́нсова устано́ва - юридична особа, яка відповідно до законодавства України не є банком, надає одну або кілька фінансових послуг та внесена до Державного реєстру фінансових установ у порядку, установленому законодавством України.

Такі системи, по суті, є спрощеною версією ЕЦП. Серед недоліків їх можна виділити те, що клієнт не зможе отримати доступ до свого рахунку, не маючи під рукою «ключа», а завжди носити його з собою може бути не дуже зручно і безпечно.

Крім перерахованого вище, банки найчастіше застосовують додаткові заходи для забезпечення безпечного користування Інтернет-банкінгом:

- обмеження використання особистого сертифікату - система деяких банків дозволяє використовувати електронний ключ (електронний сертифікат) тільки на тому комп'ютері, на якому він був згенерований. Таким чином, здійснювати платежі через Інтернет-банкінг ви зможете тільки зі свого особистого комп'ютера (хоча переглядати виписки по рахунку можна і на інших пристроях);

- віртуальна клавіатура - призначена для того, щоб шахраї не могли «зчитати» ваші реєстраційні дані при введенні їх зі звичайною клавіатури за допомогою комп'ютерних вірусів («троянів»);

Сертифікат (франц. certificat, від пізньолат. sertifico - засвідчую),
Клавіату́ра (англ. keyboard) - сукупність розміщених у певному порядку клавіш пристрою, що використовується для введення і редагування даних, а також керування виконанням окремих операцій.

- обмеження тривалості сесії - у випадку неактивності користувача, сесія в системі Інтернет-банкінгу через певний час (зазвичай 10-15 хвилин) буде закрита (в Приват24 через 15 хвилин). Після цього для відновлення роботи потрібно заново пройти аутентифікацію;

- історія підключень - за допомогою цієї функції користувач Інтернет-банкінгу дізнається, якщо хтось крім нього підключався до системи, а також зможе відстежити всі несанкціоновані операції, якщо вони були зроблені (в Приват24 зберігається список IP, з яких були спроби невдалих підключень з невірним паролем).

Експерти відзначають, що найчастіше причиною шахрайського доступу до рахунку користувача Інтернет-банкінгу є неуважність і необережність самого користувача. А тому, щоб уникнути можливих проблем, власникові облікового запису слід берегти дані доступу до неї. По-перше, експерти радять періодично змінювати паролі для доступу в систему, бажано робити це раз на місяць і не використовувати Інтернет-банкінг на неперевірених комп'ютерах (наприклад, в Інтернет-кафе).

Інтерне́т-кафе́ - громадський заклад, що надає послуги доступу до інтернету за гроші, часто - за погодинну платню. Слово «кафе» в назві походить від того, що деякі з таких закладів також працюють як звичайні кафе, де клієнтам подають каву, напої тощо.

По-друге, слід дотримуватися обережності при роботі в Інтернеті. Шахраї широко використовують прийоми «соціальної інженерії» для того, щоб виманити аутентифікаційні дані (логін, пароль і т.д.) клієнтів. Найбільш старий метод - «фішингові» листи електронної пошти, які провокують одержувачів відправити свої аутентифікаційні дані зловмисникам або пропонують пройти за посиланням на шахрайський сайт. З ростом популярності соціальних мереж («Однокласники», Twitter, Facebook) шахраї тут же почали використовувати для «фішингу» повідомлення соціальних мереж. Також зловмисники створюють підроблені копії сайтів для Інтернет-банкінгу з іменами, дуже схожими на справжні (в Росії, наприклад, було вже кілька гучних конфліктів, причому копії створювалися для сайту Ощадбанку та інших великих банків).

Ство́рення (англ. Creation, нім. Schöpfung, івр. בריאת העולם‎) - доктринальна позиція у багатьох релігіях та філософських системах вірувань, яка твердить, що за створенням всесвіту стоїть Божество. Богословські пояснення створення всесвіту можуть мати різноманітні форми, однією з основних є релігійна догма створення.
І якщо клієнт введе на такому сайті дані свого облікового запису, то вони тут же потраплять в руки до шахраїв. При цьому СМС - пароль, як правило, виманює у клієнта по телефону під приводом того, що оператор (насправді зловмисник) з його допомогою скасує останню помилкову операцію (насправді переведе всі кошти з усіх рахунків клієнта себе). Треба знати, що паролі на скасування операцій в Інтернет-банках ніколи не приходять, тільки на виконання. На помилкові операції клієнт повинен складати спеціальну заявку, і вони будуть не скасовані, а повернуті кошти за помилковим транзакцій через час, і то при наявності можливостей (якщо транзакція фізособі, необхідна її згода). Під час роботи з сайтом Інтернет-банку необхідно також звертати увагу на адресний рядок в браузері. Якщо це дійсно адресу Інтернет-банку, то робота йде по захищеному SSL протоколу, і адреса повинна починатися з префікса HTTPS.
Протоко́л - (фр. protocole, пізньолат. protocollum з пізньогрец. Πρωτόκολλον (Πρώτο+κολλάω) - перший, передній+приклеюю) - перший лист, приклеєний до звитку папіруса чи нотаріального документа, на якому була написана дата.
Якщо ж сайт підроблений (при цьому доменне ім'я може збігатися), то, швидше за все, адреса буде починатися з префікса звичайного TCP / IP протоколу - HTTP. Однак і тут не варто втрачати пильність, оскільки на сьогодні є сервіси, що дозволяють захистити сервер будь-якому користувачеві за допомогою протоколу SSL, і, отже, і сервер шахраїв теж може бути захищений.

Якщо в клієнта виникли побоювання, що шахраї отримали доступ до його рахунку через Інтернет-банкінг, експерти радять зробити наступні дії:

- відключити комп'ютер від Інтернету;

- звернутися до контакт-центру (а при необхідності - у відділення) банку, викласти проблему і попросити заблокувати обліковий запис;

- перевірити комп'ютер на предмет зараження шкідливим програмним забезпеченням;

- відновити роботу з системою он-лайн банкінгу тільки тоді, коли підтверджено, що загроза відсутня;

- змінити пароль від облікового запису.

Якщо підозри клієнта виправдалися, і з рахунку були списані несанкціоновані їм платежі, слід скласти заяву про події в банк і в правоохоронні органи.

Правоохоро́нні о́ргани - державні органи, що на підставі законодавства держави здійснюють правоохоронну (правозастосовну та правозахисну) діяльність.
В цьому випадку не рекомендується робити ніяких дій на комп'ютері (встановлювати або видаляти програмне забезпечення тощо) до прибуття співробітників правоохоронних органів або фахівців банку, оскільки будь-які зміни можуть перешкодити розслідуванню інциденту.

Системи безпеки Інтернет-банкінгу, що використовуються найбільшими українськими банками, представлені в таблиці 1.2.
Таблиця 1.2 - Системи безпеки Інтернет-банкінгу, що використовуються найбільшими українськими банками

Банк

Яка система безпеки використовується

Додатково

ПриватБанк

Одноразові смс-паролі

Історія невдалих спроб підключень, віртуальна клавіатура, обмеження тривалості сесії

Укрексимбанк

Одноразові паролі (використовується USB-генератор)

ЕЦП

УкрСіббанк

Зовнішній електронний ключ

ЕЦП

Укрсоцбанк

Одноразові паролі (отримуються в банкоматі банку)

код PIN2, надається одночасно з картою

Альфа-Банк

Одноразові смс-паролі



ОТП Банк

Одноразові паролі (використовується USB-генератор)



Фінанси і Кредит

Одноразові смс-паролі

ЕЦП

ПУМБ

Одноразові смс-паролі



Форум

Одноразові смс-паролі

Історія підключень, обмеження тривалості сесії

Дельта-Банк

Одноразові смс-паролі



Сведбанк

Одноразові смс-паролі

Віртуальна клавіатура

Пивденный

Зовнішній електронний ключ

ЕЦП

Сбербанк Росії

Одноразові смс-паролі

ЕЦП

Universal Bank

Особистий цифровий сертифікат

Можна замовити смарт-карту для зберігання особистого сертифікату

Оцінити системи Інтернет-банкінгу в цілому можна за допомогою критеріїв та питань, наведених в таблиці 1.3.

Крите́рій (від лат. critērium, яке зводиться до грец. χριτήριον - здатність розрізнення; засіб судження, мірило, пов'язаного з грец. χρινω - розділяю, розрізняю) - мірило, вимоги, випробування для визначення або оцінки людини, предмета, явища; ознака, взята за основу класифікації.

1   2   3   4   5   6   7   8   9   ...   15



  • Рисунок 1.2 – Вікно індексної (першої) сторінки сайту ПриватБанку із точкою входження в „Приват24” для банків, корпоративних клієнтів та підприємців
  • Рисунок 1.3 – Відокремлений від індексної сторінки корпоративного сайту вхід в систему „Приват24”
  • Рисунок 1.4 – Реєстрація в системі „Приват24” для клієнтів ПриватБанку
  • Тарифи на підключення та послуги Інтернет-банкінгу.
  • Безпека Інтернет-банкінгу.
  • Одноразові паролі, одержувані в банкоматі.
  • Електронний цифровий підпис
  • Зовнішні електронні пристрої.
  • Таблиця 1.2 - Системи безпеки