» » Чек-лист мікропозичальника

Чек-лист мікропозичальника

Безпека і легальність

Нещодавно мені випала нагода проаналізувати сайти 16 українських сервісів мікрокредитування. Хочу поділитися своїми спостереженнями і розповісти про те, на що я звертала б увагу, вибираючи сервіс мікрокредитів, якби моє розуміння фінансової дисципліни дозволяло користуватися цими послугами.

Сьогодні я хочу поговорити про безпеку і легальність сервісів онлайн-кредитування. У наступних матеріалах я розповім, які пункти договору потрібно читати з калькулятором в руках, щоб не залишитися без штанів, а також, чому я вірю, а що у мене викликає сумнів на сайтах мікропозик.

Тринадцять з шістнадцяти сервісів видають кредити виключно на банківську карту. Це означає, що у них ви будете вводити не тільки свої персональні дані. Всі практикують верифікацію карти перед прийняттям рішення про видачу кредиту. Тому ви повідомляєте сервісу номер карти, термін дії та CVV2 / CVС2.

Код CVV2 / CVС2 (назва залежить від того, випущена карта в платіжній системі Visa або MasterCard) наноситься на зворотний бік карти і призначений для перевірки її справжності, коли сама карта фізично не пред’являється, наприклад, при покупках в інтернеті.

Мікрокредитний сервіс запитує у клієнта ці відомості, щоб переконатися, що клієнт саме той, за кого себе видає – законний власник банківської пластикової картки. За допомогою отриманої від клієнта інформації сервіс блокує суму в межах до 10 гривень. Передбачається що, якщо клієнт не шахрай, який вкрав карту або її дані, він зможе розблокувати гроші через колл-центр свого банку або за допомогою інтернет-банкінгу. Таким чином сервіс виконує ідентифікацію та верифікацію клієнта, чим знижує свої ризики.

Однак сукупність відомостей про карту (номер, термін і код перевірки справжності) становить інтерес і для шахраїв. Фактично, крадіжку цієї інформації можна прирівняти до крадіжки грошей. З урахуванням всього цього хочеться бути впевненою, що в процесі передачі мої дані не будуть перехоплені. Відповідно необхідно звертати увагу, чи є з’єднання з сайтом захищеним.

Не будучи фахівцем з кібербезпеки, для себе я визначила мінімум: переконатися, що в адресному рядку є значок захищеного з’єднання і адреса сайту містить розширення https. Розширення https вказує, що на сайті встановлений SSL сертифікат, який забезпечує шифрування даних, захищаючи їх таким способом від перехоплення. Наскільки я розумію, якщо сайт використовує просто протокол http, то передача даних на цей сайт відбувається небезпечним способом. До речі, одна частина мікрокредітних сервісів використовує SSL сертифікат, а частина – ні.

Коли я говорю про легальність, мова йде про те, щоб розуміти, з якою компанією належить укладати договір. Як вона називається? Чи має діючу ліцензію? На всіх сайтах, які я відвідала, були вказані найменування, коди ЄДРПОУ та, як правило, розміщені скани ліцензій.

Переконатися в тому, що ліцензія все ще діє і компанія все ще має право вести діяльність, можна за адресою www.kis.nfp.gov.ua в Комплексній інформаційній системі Нацкомфінпослуг. Щоб знайти необхідну інформацію, достатньо ввести код ЄДРПОУ та вибрати тип фінансової установи.

Наступний крок: переконатися, що сайт, на якому я залишаю свої дані, належить саме цій фінансовій компанії. Це потрібно, щоб не стати жертвою фішингу. Шахраї роблять «копію» реального сайту реальної компанії і розміщують її на домені, ім’я якого дуже схоже на ім’я оригіналу, щоб заплутати користувачів. У поспіху або через неуважність можна зайти на цей сайт-копію і особисто передати свої дані, включаючи дані банківських карт, злочинцям. Якщо ви стежите за новинами, то періодично бачите інформацію, що хтось «підробив» сайт того чи іншого, часто великого, банку.

Щоб знизити такий ризик, я заходжу на один із сервісів «whois», вводжу адресу сайту, який мене цікавить, і дивлюся на результати пошуку в розділ «Registrant». Якщо в ньому вказано найменування фінансової компанії, ліцензію якої я перевірила, значить, сайт належить їй. Якщо ж там вказано іншу особу або сказано, що дані не публікуються, це не означає, що сайт обов’язково шахрайський, але виключити фішинг в такому випадку я не можу.

Отже, моя мінімальна перевірка безпеки і легальності складається з таких кроків:

перевірка безпеки: переконатися, що в адресному рядку є значок захищеного з’єднання і адреса сайту включає https
перевірка легальності: знайти на сайті мікрокредитного сервісу найменування та код ЄДРПОУ фінансової компанії, яка видає кредити, і на сайті Нацкомфінпослуг www.kis.nfp.gov.ua перевірити, чи внесена вона до реєстру фінансових установ та чи дійсна її ліцензія,
захист від фішингу: перевірити, що сайт мікрокредітной сервісу належить цій фінансовій компанії; на сайті «whois» ввести доменне ім’я мікрокредітной сервісу і подивитися, чи вказана фінансова компанія в розділі «Registrant»

Анна Кальф спеціально для Є Профіт

Інші статті автора:

Що спільного між диваном та покемоном

Веб-гаманець – дзеркало душі…

Чи здолає останню милю малеча з e-commerce?