Привязать карту к адресу электронной почты — это опасно!
Привязать к банковской карте адрес электронной почты и не вводить в интернет-магазинах ее реквизиты — казалось бы — это довольно безопасно! Ведь у мошенников теперь нет шансов их узнать! Но на самом деле все обстоит ровно наоборот.
Как это работает
В середине августа 2018 года в СМИ опубликована новость о том, что Банк России совместно ассоциацией «Финтех» продвигает разработанное при содействии последней приложение, позволяющее пользователям привязать свою банковскую карту к адресу электронной почты и использовать его при совершении покупок, не вводя абсолютно никаких данных. То есть при посещении магазина на странице оплаты пользователь теперь не должен вводить какие-либо реквизиты пластика. На введенный адрес поступает специальный код или ссылка и, пройдя по ней (введя код в приложение на смартфоне), пользователь авторизуется и с его карты списывается необходимая сумма.
Преимуществ этого метода оплаты, по мнению создателей, много. Во-первых, безопасность. Реквизиты карты при таком методе вообще украсть невозможно. Во-вторых, скорость. Больше не нужно искать в кошельке пластиковую карту, по одному вбивать каждый из ее номеров (номер карты, сроки действия, вводить латиницей имя, фамилию, CVV-код с обратной стороны и т.п.).
Оценили новшество и представители торговли. Алексей Федоров, управляющий партнер сети «220 вольт» считает, что так как кликов и вводимых данных теперь станет меньше, это благоприятно отразится на объемах торговли. Препятствий на пути к покупкам для пользователей станет гораздо меньше.
Почему привязывать карту к почте опасно
Однако авторы инновации, как обычно, взваливают обеспечение безопасности всего процесса на самого пользователя. Если теперь данные карты украсть сложно, то у злоумышленников появится больше стимулов украсть саму почту. Если раньше аккаунты взламывали в основном для того, чтобы получить доступ к социальным сетям, то теперь у преступников будет прямая выгода — завладев доступом к почте можно будет буквально обчистить кредитку «клиента».
Следует отметить, что почтовые ящики разных пользователей базируются на разной технологической базе и протоколах. При этом информации о том, защищен ли ящик в достаточной мере, как правило, нет. Использование древних протоколов POP3 и SMTP, без использования продвинутых настроек шифрования, значительно ослабляет защиту почтового ящика. Многие пользователи до сих пор не применяют сложные пароли, довольствуясь комбинациями вроде «1111» или повторяя в пароле имя почтового ящика. Пароли не меняются регулярно и даже эпизодически. Они могут быть добыты злоумышленниками методом социальной инженерии, войдя к потенциальной жертве в доверие.
Аналоги зарубежом
Однако в защиту разработчикам играет тот факт, что за границе в некоторых странах подобные системы уже применяются. Например похожая система функционирует в Китае. Это так. Однако введение подобного метода оплаты потребует от пользователей значительных усилий на привыкание. Кроме того, что ящик может быть взломан, а пароль может быть перехвачен, пароль и кодовое слово могут быть банально забыты пользователем. И восстановление может быть довольно сложным. Да и где гарантии, что если процедура восстановления окажется простой, к наличным средствам на привязанной банковской карте к адресу электронной почты не получат доступ злоумышленники?
Иными словами, привязать карту к адресу электронной почты — довольно опасно. Эта процедура на фоне возможного упрощения платежей таит в себе новые риски, к которым пользователи могут быть не готовы. И использовать такой метод оплаты следует крайне осторожно.