Обратно към блога

Сигурност на онлайн плащанията за защита на данните на кредитни карти | Практическо използване на VPN и Shadowsocks

Преглед

Правим онлайн пазаруване, международни преводи и се абонираме за услуги, въвеждайки ежедневно данните на кредитната карта в интернет. Въпреки това малко хора осъзнават по какъв маршрут се предават тези данни и пред какви рискове от изтичане са изложени. Всъщност броят на разкритите фишинг сайтове е нараснал значително спрямо предходната година, а при плащания чрез обществен Wi-Fi са докладвани и атаки тип „човек по средата".

Тази статия разглежда най-новите методи за кибератаки, насочени към данните на кредитни карти, и обяснява практически мерки за защита с VPN (особено решения базирани на Shadowsocks). Ще представим с конкретни примери за конфигурация как да направите ежедневните плащания сигурни.

Защо Сигурност е важен днес

Изтичането на данни от кредитна карта не се ограничава само до преки финансови щети — може да предизвика сериозни вторични щети, свързани с кредитна информация и лични данни. Важността на защитата на данните на картата с VPN се проявява в ситуации като:

• Намаляване на риска от прихващане на комуникации при плащания чрез обществен Wi-Fi в кафенета или летища
• Защита срещу географски фишинг при използване на японски сайтове за електронна търговия чрез местни мрежи по време на командировки или пътувания в чужбина
• Защита на комуникационния маршрут при управление на автоматични тегления за абонаментни услуги
• Укрепване на сигурността за услуги с транзакции на висока стойност, като борси за криптовалути
• Единно криптиране при използване на семейна кредитна карта от множество устройства в домашната мрежа

Shadowsocks (AES-256-GCM), приет от SecureSS, притежава характеристиката да бъде труден за засичане като TCP тунел и защитава комуникациите при плащане по начин, невидим за трети страни. Въпреки че самият VPN шлюз не се превръща в сървър за плащания, изграждането на криптиран специален тунел между браузъра/приложението и сървъра за плащания неутрализира прихващането в локалната мрежа и анализа на трафика на ниво ISP.

Как да подходим към това

Стъпка 1: Конфигурирайте автоматично свързване с VPN при плащания

Първо, конфигурирайте автоматичното стартиране на VPN при достъп до сайтове, където плащанията са чести (сайтове за електронна търговия, банки, фирми за ценни книжа, платформи за плащания). Приложението SecureSS предлага „функция за задействане", която стартира VPN при достъп до определени домейни, или конфигурацията „Always-On VPN" на ниво операционна система. При Windows активирайте „Настройки → Мрежа и интернет → VPN → Опции за връзка → Запазване на мрежови идентификационни данни" и активирайте автоматичното свързване при стартиране. При Mac конфигурирайте в Системните предпочитания, за да можете постоянно да проверявате статуса на връзката от лентата с менюта.

Стъпка 2: Винаги проверявайте DNS течовете и IP адреса преди плащане

Дори ако сте свързани с VPN, ако възникне DNS течове, информацията за посещаваните домейни може да достигне до ISP. Непосредствено преди да извършите плащане, отворете „dnsleaktest.com" или „ipleak.net" в браузъра и проверете дали показаният IP адрес е на VPN сървъра и дали DNS сървърът принадлежи на VPN доставчика. SecureSS има опция в приложението за превключване на DNS към „DNS само за VPN", а активирането й минимизира риска от изтичане. Освен това инсталирането на разширение за браузър, деактивиращо WebRTC (като uBlock Origin), осигурява още по-надеждна защита.

Стъпка 3: Приключване на сесията и проверка на журналите след плащане

След завършване на плащането, задължително приключете браузърната сесия и, ако е възможно, използвайте режим на частно сърфиране, за да не оставяте история или Cookie. SecureSS прилага строга политика за незаписване и не регистрира съдържанието на сесиите за връзка. Веднъж месечно проверявайте извлечението от картата и се уверете, че няма непознати малки суми (тестови плащания от няколкостотин йени). Нападателите често първо опитват малки плащания, за да проверят валидността на данните на картата. Ако открием подозрително плащане, незабавно се свържете с компанията на картата, за да я блокирате, и подайте сигнал до консултативния пункт за киберпрестъпления на Националната полицейска агенция.

Резюме

В: Плащанията чрез обществен Wi-Fi напълно сигурни ли са, ако имам VPN?

О: VPN криптира комуникационния маршрут, но не може да предотврати разпознаването на фишинг сайтове или заразяването с зловреден软件. Важно е да комбинирате VPN с основни мерки като проверка, че URL адресът е оригиналният, потвърждение, че сайтът използва HTTPS, и активиране на двуфакторна автентикация.

В: Shadowsocks от SecureSS не намалява ли скоростта при плащания?

О: Shadowsocks работи като лек TCP тунел с по-малко натоварване от традиционните VPN като OpenVPN. В много случаи скоростта се поддържа на около 80-90% от скоростта без VPN, а забавянето при зареждане на страниците за плащане обикновено не се усеща.

В: Добре ли е да изключа VPN веднага след въвеждане на данните на картата?

О: Няма проблем, ако изключите след получаване на потвърждение за плащането и браузърната сесия е напълно затворена. Въпреки това препоръчваме да продължите периодичната проверка на извлеченията и активирането на двуфакторна автентикация, независимо от VPN.

За онлайн плащания, включващи данни на кредитна карта, криптирането на комуникациите чрез VPN представлява мощен защитен слой. Използвайки базираното на Shadowsocks криптиране на SecureSS и изграждайки навика за трите точки — автоматично свързване при плащания, проверка на DNS течове и управление на сесии — можете да извършвате ежедневните плащания безопасно. SecureSS, достъпен от ¥500 на месец, ви позволява да проверите ефективността в реални сценарии на плащане по време на 5-дневния безплатен пробен период.