Гроші та кібербезпека #1

Цього разу, кілька порад, пересторог щодо проведення грошових транзакцій через браузер. Теоретично шахраї можуть створити ДУЖЕ подібні сайти як і за вмістом так і за посиланням, тому я раджу як мінімум бути дуже уважним і звіряти ДО БУКВИ посилання на які ви клікаєте, і як максимум НЕ робити транзакції через браузер, а старатись робити через мобільні додатки.

В цій статті я наводжу особисті поради щодо

• Monobank (UA) [5 з 5]
• Приват24 (UA, ПриватБанк) [4 з 5]
• LiqPay (UA, ПриватБанк) [3 з 5]
• PayPal (USA) [5 з 5]
• Revolut (GB) [5 з 5]
• WayForPay (UA) [4 з 5]
• Fondy (GB) [4 з 5]
• zrzutka.pl (PL) [5 з 5]

Моя стаття Грошові перекази та кібербезпека #2.

Monobank

Можливість закинути гроші на картку в Монобанку представляється посиланнями типу

send.monobank.ua/ { ІДЕНТИФІКАТОР_ПОСИЛАННЯ }

А якщо це “банка” то посилання містить слово jar (з англ. — банка):

send.monobank.ua/jar/ { ІДЕНТИФІКАТОР_ПОСИЛАННЯ }

Тобто вам можуть вислати таке посилання в Інстаграмі, чи в Фейсбуці і там можна провести перевід грошей. Але з точки зору БЕЗПЕКИ, я сам собі не раджу, а іншим просто звертаю увагу. Я вважаю, що в ці дні НЕ варто робити транзакції через такі посилання. Але якщо і робити то добре звірити посилання!!! ЗВІСНО САЙТ monobank.ua та піддомен send.monobank.ua ВАРТІ ДОВІРИ, але НЕ ВСІ люди уважно читають посилання, коли клікають, особливо якщо з мобільного телефону. І є ризик в ці дні клікнути НЕ той сайт, і перевести гроші НЕ туди куди очікувалось. Але якщо ви точно впевнені, що ви сайт перевірили, що ви підключені до відомої вам WiFi мережі, або ви вже advanced user і ви маєте додатково включений VPN, тоді звісно все безпечно.

Хоча я раджу ПРИНАЙМНІ не поспішати вводити дані своєї картки. І якщо є час, змога то спитайте автора СУТО номер картки, щоб ви його скопіювали, і ввели в програмці Монобанку, таким чином сам Монобанк вам зможе підтвердити наявність картки, і що дасть більше безпеку можливість провести перевід грошей. Якщо номер картки НЕ від Монобанку, то тоді програмка НЕ покаже вам власника, і це в межах норми, адже Монобанк не має права доступу до даних НЕ своїх клієнтів.

Важливо — ДІЄВІ ПЕРЕНАПРАВЛЕННЯ з браузера в додаток Монобанк. Не всі соц. мережі трансформують текст посилання в фактичне гіперпосилання.

Наприклад в пості Instagram-а, посилання залишаються текстом. Але якщо ви скопіюєте той текст посилання в десь де підтримується rich text edit, наприклад MS Word, чи MacOS/iOS Notes чи навіть в пост Facebook-a чи твіт Twitter-a, тоді там буде фактичне гіперпосилання. І тоді, якщо на телефоні, вже встановлений додаток monobank, і посилання для закидання грошей суто на картку чи на “банку” Монобанку сформоване як дійсне гіперпосилання, клікаючи на посилання автоматично відкривається функціональність в мобільному додатку. І в такому випадку я вважаю, такий метод є безпечніший ніж через браузер.

Слід ще зауважити, що в Instagram розповіді (story), посилання будуть фактичними гіперпосиланнями, але клікаючи в Інстаграмі, буде перенаправлення до проміжної сторінки через управління посиланнями внутрішнім переглядачем Інстаграма. Як наслідок, такі посилання НЕ відкриваються в додатку Монобанк. В такому разі треба клікнути “три крапки” до сторі в Інстаграмі, і з випавшого меню вибрати “Open in browser” і тоді відкриється в зовнішньому браузері (Chrome, Safari, etc.) або“Copy link” і тоді вручну вставити посилання у ваш зовнішній браузер. І АЖ ТОДІ перенаправлення автоматично відбудеться в програмку Монобанк, де ви безпечно можете виконати транзакцію.

Подібно працює перенаправлення в додатку Facebook.

зліва як то в Інстаграмі, а справа як то є в Фейсбуці

В серпні 2022 я замітив, що на браузерній сторінці оплати Монобанку появилась окрема кнопка mono Pay, клікаючи на яку переходить в програмку Монобанк:

Слід зауважити, що посилання на “банку” (jar) може бути активним, але якщо “банка” закрита автором або потенційно вже заповнена, тоді додаток monobank буде писати, червоне повідомлення про мінімальну суму 0.00.

Приват24

Я не маю картки ПриватБанку, але маю можливість користуватись картками інших людей та системою Приват24. Ще не дослідив всі можливості, але в програмках Приват24 чи для Андроїда чи для iOS є подібним до програмки Монобанку.

Наприклад, я вважаю, що краще проводити транзакції суто в програмці, яка при вписанні номер картки “підказує” чи картка MasterCard чи VISA, що може повпливати на кінцеве рішення щодо валюти транзакції. Я частково згадував це в статті Нюанси PayPal.

Але я знаю, що посилання, які формуються для оплати на картку ПриватБанк, звісно має свій формат:

next.privat24.ua/money-transfer/form/ { ІНФОРМАЦІЯ ПРО КАРТКУ }

LiqPay

Фактично, продукт LiqPay це власність ПриватБанку і зроблений суто під процес “отримання грошей”. Тому є два кути зору на цю платформу:

1. Ви автор, власник аккаунта, власник ПриватБанк картки, яка підключена до LiqPay акаунта, де ви створюєте підписку для отримання грошей від когось.
2. Ви просто людина, від якої знімаються гроші на ту чи іншу підписку. Ви можете мати аккаунт в системі LiqPay, і переглядати свої підписки та виплати від вас до них.

Я користуюсь на даний момент тільки для оплати одного платежу раз в місяць. Але його я включив давно. Слід зауважити, що першу транзакцію мій польський банк заблокував, і мені подзвонили з підозрою, що мою картку використовує хтось чи щось. Я звичайно запевнив їх, що це нормальна система, і щомісячні платежі можна затверджувати без остраху. Але відтоді, я песимістично почав відноситись до онлайн сайтів чи систем, які в автоматичному режимі знімають гроші.

Але в ці дні ви також можете побачити, посилання на волонтерські підписки, тому уважно придивляйтесь до букв самого посилання.

liqpay.ua/ { МОВА } /checkout/card/ { ІДЕНТИФІКАТОР }

Я свого часу бачив очима (вже не дуже доброї якості навіть з окулярами), що посилання було `liquidpay`. І пояснюю я це собі тим, що це моя англомовна профдеформація. Плюс я слухаю електронну музику Liquid Drum&Bass. А ще слово “ліквід” це фінансовий термін. Тому чисто психологічно все сходиться, щоб мозок думав, а очі бачили саме `ліквідпей`. Але дійсний сайт є `LIQPAY`.`UA` => LiqPay

Як система загалом видається безпечною. Але особливо в ці дні я б все одно утримувався від використання через браузер, а замість того дізнався фактичний номер картки і закинув гроші з програмки на мобільному телефоні.

Якщо ви автор підписики.

Тоді треба мати аккаунт в системі. Я встановив мобільний додаток на iOS/iPhone, але залогуватись польським номером не можу (адже саме з ним в мене пов’язана та циклічна оплата до підписки). Я думав, що програмка може мати логування, але вона виглядає тільки для авторів впідписок — пробував також створити особистий профіль, але запис теж не виглядає можливим, бо вводячи дані своєї МоноБанк картки видає помилку (потенційно треба вводити ТІЛЬКИ ПриватБанк картку). Не знаю точно.

PayPal

Частково я вже згадував про PayPal в окремій статті Нюанси PayPal.

На різних сайтах, ви можете отримати перенаправлення на сайт

paypal.com/donate?token= { ІДЕНТИФІКАТОР_ПОСИЛАННЯ }

і вже на ньому бачити певні дані рахунку отримувача в системі PayPal. Але знову ж таки, я особисто стараюсь УНИКАТИ платежів через інтернет сайти, бо як програміст розумію, що подібні сайти можна перехопити простими інструментами, засобами JavaScript. Звісно, в якісних системах існує перевірка на різних рівнях, але вам варто розуміти. Якщо ви ВКЛЮЧИТЕ дозвіл вашому браузеру підключатись до вашого PayPal-a то браузер може це запам’ятати в тимчасовій пам’яті. Доступ дл якох потенційно може бути доступний хакерам, які можуть проводити на вас фішингову атаку. І все ж таки навіть якщо ви проводите транзакцію через браузер. НЕ ЗАПАМЯТОВУЙТЕ принаймні дані картки в браузері. Вилогувуйтесь з PayPal системи в браузері. А найкраще очищайте кеш браузера час від часу (Ctrl + Shift + Del).

Revolut

Ця система відносно нова для мене, хоча я давно про неї знаю. В цій статті, хочу зауважити, що тут також є можливість сформувати посилання для оплати, і кинути комусь в Інстаграмі чи інших соц. мережах.

Найпростіший метод, це вам хтось може прислати посилання суто на пряму до аккаунта, де ви можете побачити ім’я отримувача. Посилання в такому випадку буде мати вигляд:

revolut.me/ { ІДЕНТИФІКАТОР }

де ідентифікатор, це так званий RevTag — короткий нікнейм в системі Revolut.

Інший метод, це посилання під конкретну транзакцію купівлі/продажу (від вас / до вас)

приклад формування посилань двох типів

Посилання формуються відповідним шаблоном:

для відправлення грошей (p — pay):

revolut.me/p/ { ІДЕНТИФІКАТОР_ПОСИЛАННЯ }

для отримання грошей (r — request):

revolut.me/r/ { ІДЕНТИФІКАТОР_ПОСИЛАННЯ }

Як і в PayPal так і з Revolut, якщо у вас ВЖЕ є програмка на телефоні, то такі посилання будуть відкриватись в програмці, і це ДОБРЕ — БЕЗПЕЧНО.

Але якщо ви відкриєте те посилання в браузері коли нема програмки, чи в браузері компютерному, тоді ризики можуть бути.

приклад вигляду сторінок оплати в браузері, де НЕМАЄ програмки Revolut

Тому ЗВІСНО — ПРОВІРЯЙТЕ уважно чи посилання сформовано з довіреного домену `revolut . me`.

Якщо ж таки ви дійшли до введення даних вашої картки, то принаймні НЕ ЗАПАМЯТОВУЙТЕ дані в браузері (бо він вас про то точно спитає).

зліва — продовження sent from => claim funds | справа — продовження requested by => оплатити карткою

Наголошую, що більшість платіжних систем є безпечні для транзакцій в браузері. І на прикладі Revolut, ми бачимо, що на сторінці пише “Processed securely by PCI DSS” — детальна інформацію по кліку на тому реченні:

Але в ці дні, якщо є можливість, то раджу УНИКАТИ онлайн транзакцій посередництвом браузера, або дуже уважно провіряти дані та спостерігати за форматом посилання.

До речі, доброю характеристикою саме Revolut-а є те, що ті посилання мають час життя — тиждень або два тижні, залежить. Я логіки ще не знаю.

Посилання також може бути відмінено в будь-який момент автором. Тоді ви побачите щось на подобі цього:

вигляд сторінки, коли посилання на Revolut було відмінено автором

Інтернет сайтів, на яких збирають пожертвування дуже багато. Наведу приклад одного польського поки що.

WayForPay.com

WayForPay— український продукт, платіжний сервіс, який дозволяє приймати онлайн-платежі для бізнесу. Їх сторінка на Фейсбуці — тут. Інформація на golden.com — тут.

Платформа не була мені відома до війни, але бачу, що різні організації створюють акаунти. Шаблон посилання такий:

https://secure.wayforpay.com/payment/ { НАЗВА ОРГАНІЗАЦІЇ }

Важливо додати, що посилання може бути в спрощеній формі, без слова secure але тоді посилання може не працювати. Принаймні в мене 404 — тому будьте уважні, уточняйте деталі в організації, яка створила аккаунт в системі WayForPay.

Інший приклад організації, якій можна закинути гроші. Тут я звертаю увагу, що з мобільного доступні Apple Pay, Google Pay та картка єПідтримка, а з комп’ютера Apple Pay недоступно (ну принаймні в мене).

Щось подібне як з LiqPay, тут теж є мобільний додаток WayForPay (iOS, Android), і ніби можна залогуватись, по номеру українського телефону, але пише, що потрібно мати магазин (shop). Я точно ще не вивчив систему, але навіть після реєстрації, мене мобільна програмка закинула на мобільний браузер, я думав, що я зареєструвався, і наступного разу зможу залогуватись, а воно не працює — і знову мене просить реєструватись.

Буду досліджувати детальніше при нагоді. Але поки що уникаю оплат через браузер.

Fondy

Ще одна нова система для мене, яку побачив у використанні під час війни. Англійська система. Виглядає серйозною. Їх сторінки в соц. мережах: Facebook, LinkedIn, Instagram і навіть на GitHub-і.

Зауважте, що є два домени:

https://fondy.io/

та

https://fondy.eu

Точніше так, ви можете побачити сервер fondy.eu наприклад в назви електронної пошти — sales@fondy.eu але коли впишете такий сайт в адресі браузера, то вас перенаправить на fondy.io — виглядає на офіційну основну адресу сайта. Більше в них на сторінці контактів.

І структура посилання для транзакції посередництвом браузера складніша ніж в попередніх системах.

https://pay.fondy.eu/merchants/
f3_ІДЕНТИФІКАТОР_ТОКЕН_21
/default/index.html
?button=d1_ЯКИЙСЬ_ІНШИЙ_ІДЕНТИФІКАТОР_ТОКЕН_ff10

Це напевно перший сайт, на якому пояснюють чому безпечно використовувати зберігання даних картки в браузері.

Але я й надалі наголошую, що особисто я раджу утримуватись в ці дні від будь-яких грошових транзакцій посередництвом браузерів. Я сам собі не довіряю, не то щоб новим платіжним платформам. Звісно я звіряю дані, я вишукує інформацію, але мені НЕВІДОМИЙ код платформи, я не користувався нею, не маю підтверджених даних щодо дійсно використання токенів “під капотом” системи. Тому і собі і іншим раджу, якщо є можливість то спитайте в авторів номер картки, таким чином ви не тільки убезпечите себе, а й провірите автора-отримувача.

zrzutka.pl

Цей сайт добре відомий на території Польщі для збору благодійних внесків. Але все ж таки, я уникаю оплат через браузер і вам раджу. Хоча фактично транзакція НЕ проходить на пряму через сайт, а через доступні платіжні системи в Польщі.

https://zrzutka.pl/

Що мене зацікавило, це те що ви самі можете вирішувати чи оплачуєте комісію транзакції. Я так розумію, тут діє принцип благодійності — якщо донатиш основну суму, то можеш вирішити яку суму комісії можеш теж задонатити. Поки що я не бачив подібного в інших системах донатів чи грошових переводів.

І звичайно, що безпека кожної із систем визначається якістю та провіреністю тих систем.

Але уявість собі, що ви НЕ знаєте як правильно пишеться посилання, і шахрай зробив подібний сайт. з помилкою в одну букву. Україномовному може бути на слух правильне слово, а записано може бути інакше (zrzutka => zżutka), і якщо ви забудете провірити посилання, і ввести дані своєї картки, то шахраї можуть потім скористатись даними.

Тому, хочете слухайтесь моїх порад, хочете ні, ваша справа. Але я не лінуюсь спитати автора суто номер картки, і вже через програмку Інтернет банкінгу перекинути гроші. Я вважаю, що найбільш безпечно.

щодо VPN та безпеки транзакцій

Якщо маєте можливість, то купіть підписку на місяць чи на рік будь-якого програмного забезпечення для VPN, що принаймні дасть вам додатковий захист. Звісно, що й безплатного VPN теж вистачить. Але, я вважаю, що компанії, які продають VPN як їхній продукт мають є більш відповідальні і у випадку проблем, вас як клієнта може захистити закон про захист споживачів.

АЛЕ Є ОДНЕ АЛЕ.

Деякі платіжні системи можуть працювати тільки з транзакціями в межах держави. Я точно не знаю, ще не бачив проблем. Але теоретично може бути так, що у вас включений VPN наприклад на німецьку ІП адресу, а транзакцію ви робити з вашої картки яка українська чи польська, то сам банк ваш може заборонити. Особливо, якщо ви часто міняєте ІП адреси, то банк може почати підозрювати (адже банки мають інструменти відслідковування ІП адрес).

Але наголошую, МЕНІ такі ситуації невідомі. Якщо ви і попадете в таку ситуацію, то виключіть VPN і спробуйте знову.

З часом я додам може ще декілька нюансів:

• Хоча я не маю криптовалюти і крипто-гаманця, але планую створити і ознайомитись.
• інші платіжні системи (їх є багато, тому по мірі потреби особистої чи хтось мене запитає, тоді додам тут ще під пункти)

Щось почитати більше:

• Моя стаття Грошові перекази та кібербезпека #2.
• Моя стаття Грошові перекази та кібербезпека #3.
• Моя стаття Платіжні системи — мої підсумки.
• Моя детальна стаття Cyber Security notes про нюанси кібербезпеки в деяких соціальних мережах, програмах, платформах. (2022)
• importance of cyber security in digital currencies (2022)
• Credit Card Security Risks (2021)
• Кілька слів про кібербезпеку у ЗСУ (2020)
• 33 поради з кібербезпеки (2017)
• Придбання товарів через Інтернет (2022)
• ЗАКОН УКРАЇНИ Про захист прав споживачів