Ar suabejojate prieš įvesdami savo kreditinės kortelės duomenis internetinėje parduotuvėje? Ar galvojate, kad rizikuojate, ar esate įsitikinęs, kad toks atsiskaitymo būdas saugus? Užbėgdamas į priekį galiu pasakyti, kad šiais laikais dėl interneto saugumo nereikėtų per daug sukti galvos. Prieš dešimtį metų problemų atsiskaitant internetu buvo kur kas daugiau.

Yra du dalykai, kurie gąsdina bet kurį virtualų pirkėją. Pirmasis tas, kad prekė gali neatkeliauti arba būti kitokia, nei aprašyta. Antrasis ir baisesnis – jei kortelės duomenys patenka į blogas rankas. Abu atvejai gresia nuostoliais. Tačiau kortelės informacija kur kas svarbiau.

Aptarkime galimus atsiskaitymo internete būdus.

Šis būdas gerai žinomas Lietuvoje – taip galima paštu atsisiųsti knygą ar kompaktinį diską ir sumokėti juos atsiimant pašte. Šis būdas saugus tuo, kad į procesą neįtraukiama jokia elektroninė informacija, – dažniausiai atsiskaitoma grynaisiais. Tačiau apmokėjimas atsiimant prekę nėra paplitęs, nes jis neteikia garantijų pardavėjui. Jei pirkėjas persigalvos, pardavėjui teks apmokėti siuntimo išlaidas. Be to, toks būdas paprastai priimtinas tik šalies viduje, iš užsienio tokiu būdu ką nors atsisiųsti dažniausiai nepavyks.

Apmokėjimas pavedimu taip pat saugus pirkėjui. Ir pardavėjui jis nėra nepriimtinas. Vienintelis trūkumas tas, kad pinigai tarp skirtingų bankų gali keliauti tam tikrą laiko tarpą, t. y. apmokėjimas nėra momentinis. Pirkėjai dažniausiai nėra suinteresuoti mokėti pavedimu dėl pavedimo mokesčių. Pervedant lėšas banko viduje, šis mokestis nedidelis. Tačiau jis išauga atliekant pavedimus tarp skirtingų bankų ir ypač padidėja darant tarptautinius pavedimus – svyruoja nuo 30 iki 80 litų atliekant pavedimus iš Lietuvos. Taigi toks apmokėjimas tikrai neparankus pirkėjui. Bet jis saugus tuo atžvilgiu, kad jokia finansinė pirkėjo informacija nepatenka už banko ribų. Pavedimu geriausia apmokėti šalies viduje.

Šis metodas priimtinas dažniausiai tik vienos šalies viduje. Iš pardavėjo svetainės nukreipiama tiesiai į banko puslapį, kur pirkėjas suveda savo prisijungimo kodus ir tokiu būdu patvirtina nuskaitymą iš sąskaitos. Nors veiksmai panašūs į pavedimą, bet nenuskaitomas pavedimo mokestis, nes sutartį su banku pasirašo pardavėjas. Bet šis metodas labai retas. Lietuvoje vos keletas pardavėjų ir vienintelis „Hansabankas“ teikia tokio tipo paslaugą.

Apmokėjimas kortele rizikingas tuo atžvilgiu, kad jos duomenys keliauja interneto kanalais, kurių saugumas – ne visada aukščiausio lygmens. Persiunčiama visa kortelės informacija, kurios reikia lėšoms nuskaityti. Taigi potencialiai duomenys gali būti perimti ir panaudoti jūsų sąskaitai ištuštinti. Kiek saugesnis metodas yra atskira virtuali kortelė, skirta tik atsiskaityti internetu. Jos sąskaitoje pinigų niekada nebus daugiau, nei ten padėsite vienam pirkimui. Taigi net jei duomenys ir būtų perimti, iš tuščios sąskaitos ne kažin ką išpeši.

Šiuo metu dauguma interneto parduotuvių savininkų naudojasi trečiųjų šalių kortelių informacijos apdorojimo programine įranga. Ši yra sertifikuota, galima pasitikėti. Kortelės duomenys neišsaugomi pardavėjo duomenų bazėje, o pateikiami tiesiogiai programinei įrangai apdoroti. Paprastai pardavėjas net neturi galimybės, žinoma, ir kėslų tą informaciją nugvelbti. Kortelės duomenys išsaugomi pardavėjo duomenų bazėje išimtiniais atvejais – dažniausiai kai tai susiję su paslaugų teikimu ir jos turi būti atnaujinamos automatiškai. Tai gali būti, tarkim, domeno registracijos atnaujinimas ar panaši periodinė paslauga.

Dauguma pardavėjų leidžia apmokėti naudojantis tarpininku. Labiausiai paplitęs pasaulyje tarpininkas yra „PayPal“. Jis leidžia apmokėti už prekes, pervesti lėšas kitam „PayPal“ sąskaitos turėtojui, taip pat teikia įvairias paslaugas pardavėjams. „PayPal“ turi gerą reputaciją, jo istorijoje yra labai mažai neigiamų atsiliepimų. Kad galėtumėte naudotis „PayPal“, reikia užsiregistruoti ir pateikti kreditinės kortelės duomenis. Vienintelis nemalonus aspektas – „PayPal“ šiuos duomenis saugo savo duomenų bazėje, tačiau perkant jie nepateikiami pardavėjui.

Taigi galime daryti išvadą, kad patogiausia atsiskaityti arba tiesiogiai kortele, arba su tarpininko pagalba. Tačiau iki šiol dar yra nemažai pardavėjų, kurie nesinaudoja tarpininkais. Jei norėsite internetu nusipirkti lėktuvo bilietą, teks pasinaudoti kortele. Pažiūrėkime, kas lemia atsiskaitymo saugumą.

SSL (Secure Socket Layer) ir TLS (Transport Layer Security) šifravimas

Bet kuri svetainė, kurioje reikia atlikti apmokėjimą, turi būti apsaugota SSL šifravimu. Atkreipkite dėmesį į adreso juostą. Jeigu priekyje yra tik „http“, o ne „https“, duomenų jokiu būdu nereikėtų pateikti, nes jie keliaus internetu atviru tekstu. Tai pirmasis požymis, kad svetainė nėra saugi.

Kitas dalykas, kad SSL sertifikatas turi priklausyti svetainei ir turi būti išduotas patikimos sertifikatų bendrovės. Dažniausiai sertifikatus išduoda „VeriSign“. Paprastai naršyklės statuso juostoje būna matoma rakto piktograma, kurią paspaudus parodoma informacija apie sertifikatą. Peržiūrėkite ją. Atkreipkite dėmesį į šifravimo rakto ilgį – jis turėtų būti ne mažesnis nei 256 bitų. Nors 40 bitų šifravimas jau pasenęs, tačiau gali būti naudojamas kai kuriose šalyse, kur įstatymiškai 256 bitų šifravimas neleidžiamas. 128 bitų šifravimas taip pat laikomas pakankamai saugiu.

TLS yra naujesnis protokolas, pagrįstas paskutine SSL versija (3.0). TLS 1.1 (naujausia) versija palaikoma daugelio šiuolaikinių naršyklių.

Problema ta, kad SSL/TLS užtikrina saugumą tik apsikeičiant duomenimis. Šis protokolas visiškai neapsaugo nuo pasinaudojimo pavogtais kortelės duomenimis.

SET (Secure Electronic Transaction) transakcijų šifravimas

SET šifruoja mokėjimo kortelių duomenis ir užtikrina, kad abi dalyvaujančios pusės – mokėtojas ir pardavėjas – yra unikalios. Ši technologija yra dviejų kortelių gamintojų – „MasterCard“ ir VISA – bendradarbiavimo vaisius. SET laikoma patikima technologija, nes ji sertifikuota kortelių gamintojų. Siunčiant užklausą ji užkoduojama taip, kad tik bankas gali ją iššifruoti. Naudojamas dvigubas vartotojo parašas, kurį gali patikrinti tik banko įranga. Apmokestinimo informacija siunčiama pardavėjui, o kortelės ir papildoma informacija – apmokestinimo serveriui. Apmokestinimo informacija siunčiama atviru tekstu, o visa kita – šifruotai. Vien pavogtų kortelės duomenų šiuo atveju nepakaks, nes elektroninį parašą turi kortelės savininkas.

Jeigu galite patikrinti, kad kortelėms apdoroti pardavėjas naudoja šią technologiją, jam galima dėti didelį pliusą.

PKI infrastruktūrą galima palyginti su banko seifu. Pasitelkus daugelį viešųjų raktų pinigus galima padėti į sąskaitą, tačiau juos nuskaitys tik bankas, kuriam priklauso privatus raktas. Apskritai PKI naudojamas ten, kur reikia patikrinti subjekto tapatybę. Jo principas pagrįstas dviejų susietų šifravimo raktų naudojimu. Kas užšifruojama vienu raktu, tą galima iššifruoti tik kitu. Be to, raktų sukūrimas pagrįstas pirminių skaičių aritmetika – turint vieną raktą neįmanoma atkurti kito. Ši technologija naudojama ir pirmiau aprašytame SET protokole.

Išvardyti metodai yra saugaus komunikavimo protokolai. Tuo tarpu IOTP (Internet Open Trading Protocol) yra specializuotas protokolas, skirtas realiam pasauliui atvaizduoti elektroninės prekybos srityje. Šio protokolo kūrėjų tikslas – įgyvendinti visuotinai priimtą elektroninės prekybos protokolą, kuris būtų naudojamas visų pardavėjų. IOTP apima ne vien šifravimą, bet apskritai bendrą elektroninės prekybos procesą, kurio metu pirkėjas atlieka tam tikrus veiksmus: pasirenka produktą ir pardavėją, susitaria dėl pristatymo ir netgi kartais grąžina prekę. Šį protokolą derėtų vadinti ne tiek apmokėjimo, kiek apsipirkimo protokolu.

Tai papildomas saugumo garantas. VISA ir „MasterCard“ siūlo šio saugumo garantus „Verified by VISA“ ir „MasterCard SecureCode“. Šis patikrinimas įgyvendinamas užduodant specifinį klausimą, į kurį gali atsakyti tik kortelės turėtojas. Užklausą sukuria kortelių apdorojimo įranga, pardavėjas net neturi galimybės jos perimti. Šis papildomas patikrinimas teikia garantiją ir pardavėjui, kad pinigai nebus apgaulingai grąžinti, bei apsaugo pirkėją nuo pasinaudojimo kortelės duomenimis. Jei pardavėjo svetainėje rasite bent vieną iš šių dviejų logotipų, galite juo pasitikėti.

Su atsiskaitymu internetu šis skyrelis neturi tiesioginio ryšio, tačiau tai žinoti verta. Seniau visos atsiskaitymo kortelės būdavo magnetinės. Dabar jau kelerius metus naujos kortelės yra lustinės. Kuo jos skiriasi?

Lustinės kortelės taip pat yra ir magnetinės – dėl suderinamumo su senąja įranga. Magnetinės kortelės trūkumas – pirkėjas nėra autorizuojamas. Žinoma tūkstančiai atvejų, kai sukčiai pasinaudojo svetima kortele apsipirkti. Paprastai reikalaujamas parašas retai nuodugniai tikrinamas. Dažnai pirkėjas atgauna kortelę, kol čekiai spausdinami. Parašas nėra rimta apsauga.

Yra ir dar vienas trūkumas. Kortelės duomenys perduodami telefono linija, tad pasistengus juos galima perimti, ypač dėl to, kad jie nešifruojami. Žinoma, tai nėra kasdienis reiškinys, tačiau tokią transakciją galima pakartoti.

Lustinė kortelė saugesnė tuo atžvilgiu, kad paprastai reikalaujamas PIN kodas. Jis patikrinamas pačiame nuskaitymo įrenginyje ir tik tas įrenginys patvirtina, kad kortelės duomenis galima naudoti lėšoms nuskaityti. Šis atsiskaitymo būdas saugesnis, nes PIN kodo neįmanoma perimti, nebent vizualiai.

Jei norite saugiai jaustis atsiskaitydami internetu, galite apsidrausti keletu būdų.

Pažiūrėkite, kokius saugumo garantus gali pateikti pardavėjas. Pasiskaitykite jo privatumo politikos aprašymą (privacy policy, licence agreement), pasidomėkite, kaip apdorojami jūsų kortelės duomenys, paieškokite informacijos apie patį pardavėją kitur – galbūt rasite perspėjimą.

Jei radote prekę kur kas pigiau nežinomo pardavėjo svetainėje, pagalvokite, ar neverta dėl šventos ramybės sumokėti kiek daugiau. Priešingu atveju nuostoliai gali būti didesni.

Įsigykite atskirą kortelę atsiskaitymams internetu. Paprasčiausia įsigyti virtualią kortelę. Į jos sąskaitą galėsite padėti tiek pinigų, kiek reikės konkrečiam atsiskaitymui. Lietuvoje šias korteles išduoda SEB („VISA Virtuon“), „DNB Nord“ (ERA) ir Ūkio (virtualioji „MasterCard“) bankai. Jos saugesnės ir tuo atžvilgiu, kad ant jų nėra atspausdintas CVC2/CVV2 kodas, – jis pateikiamas atskirame dokumente. Beje, šį kodą galite nuvalyti ir nuo savo kreditinės kortelės.

Naudokitės „PayPal“. Tai patikima kompanija pinigams pervesti internetu. Deja, dar ne visos interneto parduotuvės priima apmokėjimus šiuo metodu. Bet net jei ir neturite „PayPal“ abonento, ten, kur pardavėjas siūlo būtent tokį apmokėjimą, kortele atsiskaityti saugiau – tai rodo, kad operacijas su kortele pardavėjas atlieka per „PayPal“.

Neapsipirkinėkite bet kur. Ką tai reiškia? Naudokitės tik patikimu kompiuteriu. Neapsipirkinėkite iš interneto kavinės ar universiteto kompiuterio. Niekada neįmanoma patikrinti, ar vietinis administratorius nepasistengė įdiegti klaviatūros paspaudimų registro (keylogger). Taip galima perimti visus klaviatūros mygtukų paspaudimus ir pakartotinai panaudoti visus jūsų surinktus slaptažodžius.

Gal ir elementaru, bet įsitikinkite, kad tai, ką perkate, ir yra tai, ko norite. Jei ieškote priedo „Nokia“ telefonui, žiūrėdami į pirkinio nuotrauką internete įsitikinkite, kad ant jo užrašyta ne „Nokai“.

Kad ir kaip atrodytų, tačiau vis dėlto atsiskaitant internetu, tiesiogiai kreditine kortele ar per „PayPal“ vartotojas pats kontroliuoja atsiskaitymo procesą. Jis ir ne kas kitas pateikia kortelės duomenis. Apie bet kurią parduotuvę galima rasti atsiliepimų ir patikrinus šifravimo sertifikatą įsitikinti jos patikimumu.

Svarbu patikrinti, kokias saugumo technologijas naudoja pardavėjas. Jeigu duomenys išsaugomi jo individualioje duomenų bazėje, o vėliau persiunčiami el. paštu ar faksu, tai netgi saugiai pateikti duomenys gali būti perimti. Tačiau pardavėjai taip pat nėra suinteresuoti, kad jų parduotuvėje būtų apsipirkinėjama su pavogtais duomenimis. Dažnai būna atliekamas ne vienas patikrinimas – vardo, pavardės ir adreso. Ateityje šių patikrinimų dar daugės. Per keliolika internetinės prekybos metų saugumo technologijos pakankamai ištobulėjo.

Deja, realus gyvenimas nėra toks saugus, kaip virtualus. Įsivaizduokime tokią situaciją. Atėjote į mėgstamą restoraną ar užeigą. Nusprendėte nesiterlioti su grynaisiais ir atsiskaityti kortele. Padavėja nusineša kortelę, kad ją nuskaitytų. Ar esate visiškai garantuotas, kad simpatiška panelė nenusirašė visų kortelės duomenų, įskaitant ir CVV2 kodą? Manau, tikrai negalėtumėte būti užtikrintas kortelės duomenų saugumu. Juolab kad statistiniai tyrimai rodo, jog nuostolių dėl apgavystės atsiskaitant kortele „gyvai“ yra maždaug 2,5 proc., o atsiskaitant internetu – tik 0,1 proc. Elektronikos ir interneto eroje tai skamba visiškai logiškai. Didžiausių klaidų padaro patys pirkėjai, kai nepasistengia skirti laiko ir pasidomėti tuo, su kuo turi reikalą.

Saulius Pakrijauskas,
„Naujoji Komunikacija“