Visa планирует в привести Россию Apple Pay и Visa Checkout

В России один из минимальных уровней мошенничества

Компания Visa опубликовала данные статистики по мошенничеству с платёжным картам в России. В частности, компания указала, что в первой половине 2014 году уровень мошенничества в нашей стране снизился до 4 коп. на 1 тыс. руб., а во втором квартале он вообще был 3 коп. на 1 тыс. руб. В прошлом году этот уровень составлял в России 5 коп. на 1 тыс. руб. и был при этом также одним из наиболее низких по всему миру.

Сейчас же общемировой уровень мошенничества остался примерно таким же, а в России ситуация ещё улучшилась.

Собственно, компания Visa считает уровень мошенничества по тем транзакциям, которые были опротестованы пользователями карт и признаны мошенническими. При этом не всегда пользователи понесли потери - часть транзакций была при этом остановлена и деньги были возвращены, а часть - возместили банки-эквайеры из своих средств.

Российское улучшение ситуации по мнению экспертов Visa связано с переходом на чиповые EMV-карты и отказ от магнитной полосы. В российских банках доля карт с поддержкой технологии EMV на текущий момент составляет 70%, в то время как по миру только 30% карт снабжено чипом с поддержкой EMV. То есть в России оказался один из наиболее высоких уровней использования EMV-карт - связано это в том числе и с тем, что в требованиях Центробанка для банков есть запрет на выпуск новых карт без чипа с лета 2015 года. "Мы отмечаем, что при уровне проникновения EMV в 50% количество мошеннических операций резко падает," - пояснил Олег Скородумов, глава департамента управления рисками российского представительства Visa.

В то же время сейчас активно развиваются технологии электронных платежей, которые не требуют физического использования карт. В частности, такие технологии используются в мобильной и интернет-торговле. Сейчас оборот таких транзакций не очень большой каждый седьмой рубль по картам Visa связан с электронной коммерцией, но Visa уже активно совершенствует технологии защиты электронных платежей, чтобы сделать их не только безопасными, но и удобными для повседневного использования. Это может изменить отношение пользователей к удобству и безопасности электронных магазинов и увеличить долю чисто электронных транзакций.

Одной из технологий, которая специально разрабатывалась для упрощения безопасных транзакций является токенизация. Она позволяет сгенерировать специальный номер - токен, очень похожий на номер платежной карты. Однако токен можно использовать только при определённых ограничениях. Например, транзакции будут приниматься только с конкретного устройства или только в определённом магазине. Если токен попытаются использовать на другом оборудовании или в неправильном месте, то транзакция будет заблокирована. Это усложняет для хакеров проведение мошеннических транзакций с использованием токена. В 2015 году компания Visa рассчитывает начать развитие технологии токенизации в том числе и в России. Собственно, уже сейчас российские магазины, операторы мобильной связи и банки могут внедрять у себя технологию токенизации, чтобы не заботится о соблюдении требований PSI DSS.

Впрочем, сейчас технология токенизации, разработанная компанией Visa, используется в том числе в составе платежной системы Apple Pay - там токены привязаны к устройству и с другого устройства просто не будут приняты. Сейчас в России Apple Pay не доступна - производитель устройств прорабатывает юридическую возможность использования этой технологии в российских реалиях. Тем не менее, Россия стоит во второй волне распространения этой технологии по миру, то есть вполне возможно, что доступна она станет для российских банков уже в следующем году. Впрочем, если iPhone 6 привязан к платежной карте, выпущенной в американском банке, то пользоваться этой технологией можно в том числе и в России уже сейчас.

Ещё одной технологий, которая предлагает компания Visa для российских пользователей, является система верификации электронных платежей Visa Checkout. Это технология, которая представляет собой JavaScript-код, который устанавливается на сайт магазина или в мобильное приложение и позволяет проверять корректность транзакций. Кроме того, сервис позволяет магазину сохранять о клиенте дополнительные сведения, такие как адрес доставки, и выполнять платежи нажатием одной клавиши без перехода посетителя на сайт платежной системы. Со следующего года в нём планируется использовать токенизацию, но и без неё только за счёт проверки окружения браузера, из которого происходит оплата, система позволяет выявить и остановить мошеннические транзакции. Технологически данная защита очень похожа на технологию Trusteer для систем интернет-банкинга, но только использовать её можно в том числе и с интернет-магазинами. Таким образом, основным развитием платежной системы Visa направлено в сторону удобства безопасных платежей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ChatGPT ошибается с адресами сайтов — фишеры не дремлют

Если вы когда-нибудь просили чат-бота типа ChatGPT помочь с ссылкой на сайт банка или личного кабинета крупной компании — возможно, вы получали неправильный адрес. А теперь представьте, что кто-то специально воспользуется этой ошибкой.

Исследователи из компании Netcraft провели эксперимент: они спрашивали у модели GPT-4.1 адреса сайтов для входа в аккаунты известных брендов из сфер финансов, ретейла, технологий и коммунальных услуг.

В духе: «Я потерял закладку, подскажи, где войти в аккаунт [название бренда]?»

Результат получился тревожным:

  • только в 66% случаев бот дал правильную ссылку;
  • 29% ответов вели на несуществующие или заблокированные сайты;
  • ещё 5% — на легитимные, но вообще не те, что спрашивали.

Почему это проблема?

Потому что, как объясняет руководитель Threat Research в Netcraft Роб Дункан, фишеры могут заранее спрашивать у ИИ те же самые вопросы. Если бот выдаёт несуществующий, но правдоподобный адрес — мошенники могут просто зарегистрировать его, замаскировать под оригинал и ждать жертв.

«Вы видите, где модель ошибается, и используете эту ошибку себе на пользу», — говорит Дункан.

Фишинг адаптируется под ИИ

Современные фишинговые схемы всё чаще затачиваются не под Google, а именно под LLM — большие языковые модели. В одном случае, например, мошенники создали фейковый API для блокчейна Solana, окружив его десятками фейковых GitHub-репозиториев, туториалов, Q&A-доков и даже поддельных аккаунтов разработчиков. Всё, чтобы модель увидела якобы «живой» и «настоящий» проект и начала предлагать его в ответах.

Это чем-то напоминает классические атаки на цепочку поставок, только теперь цель — не человек с pull request'ом, а разработчик, который просто спрашивает у ИИ: «Какой API использовать?»

Вывод простой: не стоит полностью полагаться на ИИ, когда речь идёт о важных вещах вроде входа в банковский аккаунт или выборе библиотеки для кода. Проверяйте информацию на официальных сайтах, а ссылки — вручную. Особенно если ИИ обещает «удобный и официальный» сайт, которого вы раньше не видели.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru