Социальные сети переходят на безнал

Социальные сети переходят на безнал

Вслед за «ВКонтакте», и «Одноклассники» запустили возможность оплаты подарков, опций и, конечно, приложений с помощью банковской карты. Здесь российские мегапроекты (чья численность, правда, заметна только на фоне пользователей РУнета) следуют в общем кильватере того же Facebook или LiveJournal.

Однако, наличие у «ВКонтакте» и «Одноклассники» систем сертификации по PCI DSS пока меня не убеждает в безопасности пользовательских данных — пользуясь весьма низким уровнем знаний рядовых участников соцсетей, мошенники теперь перейдут к целевым атакам тех абонентов, которые уж привязали свой «пластик» для многократных платежей в своих профилях. Тем более, что по данным «Лаборатории Касперского» этот тренд весьма показателен во всем мире: атаки с целью легкой наживы в цифровом мире все больше монетизируются. Вспомним хотя бы «пробитие защиты» у крупных иностранных игровых сервисов, которые случились в начале лета 2011 года.

Правда, с точки зрения стоимости проведения платежей работа с банковскими картами выгодна для владельцев социальных сетей (как, впрочем, и служб знакомств – той же Мамбы.ру): стоимость таких транзакций и для системы и для пользователей ниже, чем у различных «электронных кошельков», количество таких карт на руках у населения велико, да и нет никаких ограничений по переводимым суммам. Именно поэтому крупные соцсети вполне заинтересованы в том, чтобы снизить «порог входа» для реализации таких проектов в своих веб-сервисах. Вместе с этим, они существенно упрощают задачу мошенникам, для которых непросвещенный абонент с пластиковой карточкой — вполне законная добыча.

Но сначала о хорошем. В перспективе, банковские карты для работы в соцсетях для пользователя вполне интересны: если деньги ушли ошибочно, их всегда можно вернуть (в срок до 180 дней с момента совершения платежей), за пополнение счета таким образом нет никаких жестоких комиссий, как у операторов связи в случае премиум-SMS. Кроме того, есть возможность четкой фиксации расходов — по выпискам видно сколько и куда денег ушло. Думаю, что большой оборот получат те разработчики, которые сумеют адаптировать системы своих online-терминалов для пополнения счетов различных интернет-магазинов и провайдеров в соцсетях. Это куда как проще и выгоднее, чем рекламировать свою площадку в «диком» Интернете или развивать партнерские программы. Одна сеть — и, бац, миллионы практически готовых пользователей на расстоянии вытянутой руки. Причем, как в веб, так и в мобильной версии. Чем не многофункциональный электронный терминал самообслуживания прямо в профиле социальной сети? 🙂 Правда, с гораздо меньшей комиссией, чем на улице.

Теперь собственно о особенностях сервиса. Процессинг карт в соцсетях «ВКонтакте» и «Одноклассники» осуществляют банки — «Русский стандарт» и «Альфа-банк» соответственно. Если в первом случае за пополнение взымается комиссия в 1,9% (правда, сервис пополнения «ВКонтакте» у нас работать не захотел — видимо, были технические сложности), то во втором все бесплатно. Причем, привязка карты осуществляется по «принципу PayPal» — идет авторизация на небольшую сумму с кодом, который надо ввести на платежной страничке. С этой точки зрения все хорошо. Причем, коды CVV/СVС в системах не хранятся — стандарт PCI DSS это однозначно запрещает 🙂 Однако, при осуществлении платежа не работает базовый принцип безопасности «карта только на владельца профиля»: то есть тот же ребенок легко может заплатить «пластиком» родителей. Сравнения имен владельца профиля и владельца карты нет. С точки зрения соцсетей это нормально — деньги-то не пахнут, но первая дырка в системе безопасности уже есть.

Вторая дырка присутствует в плане подтверждения платежа. В любой системе типа «электронный кошелек» (за исключением работы приложения WebMoney в сети «ВКонтакте»), да и в PayPal том же (при связке с ebay) для того, чтобы заплатить картой, абоненту предлагается ввести дополнительный пароль, который страхует от неавторизованного доступа. Его, конечно, рекомендуют сделать другим, чем пароль к основной страничке профиля. Но у «ВКонтакте» и «Одноклассники» этого нет. Получил права доступа — может пробовать заплатить. Да, требуется знание кода CVV/СVС, но его вполне себе можно «срезать» у пользователя с помощью социальной инженерии. Или подобрать — там всего-то три цифры, интересно какой блок на перебор стоит у банков? 🙂

Кстати, у российских соцсетей весьма поверхностный подход к заботе о пользователях. В наших системах если пользователь спрашивает о том, как бы поговорить о странных платежах с его карты, support соцсети рычит «обсуждайте это со своим банком», а в том же Facebook есть пункт «Оспорить платеж». Причем, это сообщение будет переадресовано напрямую владельцам нужного приложения, которые ответят на сообщение и урегулируют возникшие разногласия. А если нет — им «отключат газ».

Еще одна проблема — это весьма низкий уровень безопасности, о котоом осведомлены сами рядовые пользователи. Я уже предчувствую, что скоро будет волна (и не одна!) спама из серии «бонусы для вkадельцев пластиковых карт!» или «восстановите номер вашей карточки немедленно!» которые будут вести на откровенно фишинговые сайты, имитирующие внешний вид социальных сетей. Вот кардеры-то разгуляются на всю мощь — Россия быстро влезет из числа отстающих стран, данные банковских карт пользователей которой не пользуются спросом на рынке 🙂 Будут и ломать профили для похищения закупленных кредитов в соцсетх — чтобы перевести из на другой счет или купить какие-либо артефакты/повышение уровня в пиратских приложениях, созданных исключительно под такую «модель потребления».

А уж как только соцсети запустят долговые сервисы — здесь уж держись по полной программе: системы безопасности дадут такую течь, которую можно будет устранить только тотальными репрессиями и «закрытием» большинства «дырок» путем… ограничения функционала подобных систем. То есть все вернется на круги своя, но прибыль будет отмечена только у банков, кадеров и владельцев таких систем 🙂

Похожие статьи:

Читайте также

Комментирование закрыто.