Защита аккаунта Payoneer

Мы в Payoneer понимаем, что наш бизнес требует доверия. Значительная часть этого доверия основана на знании того, что ваши финансы в безопасности, когда вы работаете с нами.

Выбор платежного сервиса — дело серьезное. Хотя низкие комиссии, гибкие варианты оплаты и другие полезные услуги сами по себе хороши, эти решения должны исходить от компании с надежной инфраструктурой безопасности. Миллионы людей во всем мире пользуются услугами компании Payoneer для управления своими международными платежами и развития бизнеса, поэтому нашим приоритетом номер один является обеспечение безопасности вашего аккаунта.

Технологии, действующие процедуры и опыт помогают компании Payoneer противостоять всем видам кибератак, нацеленных на наших пользователей. Это четко демонстрируется в нашем многоуровневом подходе к предотвращению перехвата аккаунтов, что является одним из фундаментальных элементов нашей стратегии кибербезопасности.

Чтобы вы могли лучше понять, почему так много людей доверяют компании Payoneer, мы продемонстрируем, как сочетание наших инструментов безопасности и возможностей управления рисками защищает вас от атак на перехват аккаунта.

Но сначала давайте разберемся, что такое захват аккаунта и каковы его последствия.

Что такое захват аккаунта?

Захват аккаунта — это незаконное получение злоумышленником учетных данных пользователя, чтобы попасть в его аккаунт и получить доступ к конфиденциальной информации. Попасть в чужой аккаунт злоумышленник может несколькими способами, включая следующие.

• Ввод украденных учетных данных. Злоумышленник попадает в чужой аккаунт, используя учетные данные, украденные во время ранее осуществленного взлома.
• Социальная атака. Злоумышленник выдает себя, например, за администратора сайта и убеждает пользователям предоставить свои учетные данные. Фишинговые электронные письма и SMS — два наиболее популярных инструмента психологической атаки.

• Силовая атака. Злоумышленник использует бот для массового ввода сочетаний имен пользователей и паролей на платформе, пока аккаунт не будет взломан.

Пользователи могут выполнить несколько простых шагов для предотвращения захвата аккаунта. Прежде всего, используйте уникальные пароли при регистрации в каждой новой онлайн-службе. Таким образом, даже если один из аккаунтов будет взломан, злоумышленник не сможет использовать полученные учетные данные для проникновения на другие платформы. Кроме того, необходимо очень внимательно относиться к любым электронным письмам и SMS, которые могут быть частью психологической атаки, и никому и никогда не сообщать свои пароли. Обратите внимание, что компания Payoneer НИКОГДА не просит сообщить имя пользователя или пароль по электронной почте, телефону или в чате.

Ниже мы расскажем о мерах, которые компания Payoneer принимает для предотвращения захвата аккаунтов.

Многоуровневый подход Payoneer к предотвращению и выявлению захвата аккаунтов

Для предотвращения захвата аккаунтов мы применяем ряд упреждающих методов, которые не позволяют ботам и злоумышленникам добраться до аккаунтов пользователей:

• Двухфакторная аутентификация – Payoneer использует двухфакторную аутентификацию, чтобы защитить Ваш аккаунт от несанкционированного проникновения. Двухфакторная аутентификация – это дополнительная мера безопасности, которая применяется в случае некоторых операций в аккаунте. При помощи сообщения или звонка на Ваше мобильное устройство Вам отправляется код, который необходимо ввести перед тем, как продолжить активность в аккаунте.*
• Использование CAPTCHA. Мы используемCAPTCHA в различных местах нашей системы, в том числе на странице входа. Это предотвращает взлом аккаунтов ботами.

• Брандмауэры веб-приложений (WAFs). Payoneer использует облачные и внутренние брандмауэры веб-приложений для выявления ботов и блокирования их доступа к нашему сайту.
• Программное обеспечение для обнаружения ботов. Payoneer использует программное обеспечение, которое отслеживает активность ботов на нашем веб-сайте по таким параметрам, как скорость ввода и перемещение мыши. Кроме того, мы можем скрывать поля ввода пароля в веб-браузерах, чтобы боты не могли считывать пароли пользователей. 
• Отслеживание клонов сайтов. Один из методов, используемых злоумышленниками для перехвата аккаунтов, состоит в создании копии сайта с другим доменным именем. Затем используется психологическая атака, чтобы обманом завлечь пользователя на мошеннический сайт и ввести свои имя пользователя и пароль для входа. Мы применяем передовое программное обеспечение для отслеживания копий сайтов и устраняем их. 
• Упреждающий поиск взломанных учетных данных. Payoneer использует различные сервисы киберразведки для упреждающего поиска взломанных учетных данных пользователей как в открытых источниках, так и в даркнет. Если будут обнаружены учетные данные пользователя, он будет немедленно уведомлен об этом, а его пароль будет изменен.

Хотя вышеупомянутые меры могут эффективно предотвращать перехват аккаунтов, мы знаем, что их бывает недостаточно. Хакеры постоянно разрабатывают новые инструменты и методы для взлома аккаунтов пользователей, а это значит, что недостаточно просто предотвращать атаки. В дополнение к описанным выше средствам предотвращения взлома мы внедрили и другие сложные инструменты и возможности для выявления атак.

1. Gatekeeper: адаптивная проверка подлинности RSA

Адаптивная проверка подлинности RSA — это интуитивно понятная система проверки пользователя, которая оценивает факторы риска, например страну, IP-адрес и размер транзакции, для выявлении любых аномалий в аккаунтах. При обнаружении активности, которая может сигнализировать о захвате аккаунта, система выполняет дополнительные идентификационные действия (например, применяет контрольные вопросы) для обеспечения безопасности аккаунта.

Наша система обнаружения угроз использует новейшие технологии статистического машинного обучения. Это позволяет нам выявлять новые угрозы в реальном времени и реагировать на них, при этом на несколько шагов опережая хакеров и обеспечивая полную защиту данных наших пользователей.

2. Selector: мониторинг на основе правил

Наш механизм мониторинга на основе правил — это серверный инструмент, использующий заданные правила для выявления подозрительной активности в аккаунте пользователя. Как только срабатывает какое-либо правило, наши эксперты изучают ситуацию, чтобы определить, был ли взломан аккаунт.

Например, аномально большой денежный перевод, особенно в новый аккаунт Payoneer, скорее всего, включит наши защитные механизмы и приведет к расследованию. Если затем будет установлен перехват аккаунта, он будет немедленно приостановлен, а владелец аккаунта получит уведомление.

3. Protector: модели рисков и профилирование поведения

Мы используем комплексные программы моделирования рисков и профилирования поведения для анализа подозрительных транзакций пользователей. Информация, которую мы получаем в результате такого анализа, используется для прогнозирования будущего злонамеренного поведения, которое может сигнализировать о захвате аккаунта.

Например, наши модели риска анализируют данные, связанные с подозрительным поведением, таким как резкое увеличение количества международных переводов в определенную страну или большие объемы транзакций с нового устройства, и используют их для идентификации аккаунтов с таким же поведением.

4. Failsafe: связь с клиентами

Мы знаем, что, независимо от развитости используемых технологий, человеческую интуицию пока ничем не заменишь. Вот почему мы поддерживаем постоянный открытый канал связи с пользователями. Так нам удается быстрее обнаруживать подозрительную активность в аккаунтах и применять описанные выше шаги.

Захват аккаунтов — это постоянная угроза, которая требует упреждающих и инновационных шагов по предотвращению со стороны пользователей и поставщиков услуг. Мы не можем здесь раскрыть все меры, которые принимаем для обеспечения безопасности, но в этом вы можете быть уверены: наши методы позволяют предотвращать доступ злоумышленников и ботов к конфиденциальным данным и быстро реагировать на любую подозрительную активность для защиты аккаунтов.

Именно по этой, а также по многим другим причинам некоторые из ведущих мировых цифровых брендов, включая Amazon, Airbnb и Google, вместе с миллионами малых и средних компаний по всему миру доверяют Payoneer, поскольку знают, что безопасность данных у нас всегда в приоритете. Если у вас есть дополнительные вопросы о безопасности своего аккаунта, свяжитесь со своим менеджером по работе с клиентами или обратитесь в нашу службу поддержки клиентов. Мы всегда рады помочь.

* В настоящий момент двухфакторная аутентификация доступна в странах Европы и некоторых других. В ближайшее время мы планируем сделать эту функцию доступной во всех странах.