Резюме
Мобильные точки продаж, оснащенные платежными технологиями таких компаний, как Square и PayPal, удобны для малого бизнеса, но уязвимы для киберпреступников.От ювелирного бутика на 12 человек до службы разнорабочих на 6 человек - малые предприятия в наши дни могут не отставать от больших мальчиков, когда дело доходит до приема электронных платежей.
Мобильные точки продаж (mPOS), оснащенные платежными технологиями таких компаний, как Square и PayPal, позволяют малым предприятиям обрабатывать транзакции по кредитным и дебетовым картам быстро и удобно.
Но с точки зрения безопасности, какой ценой достигаются скорость и удобство? И, что наиболее важно, как малые предприятия могут предотвратить проблемы с безопасностью с помощью этих mPOS-устройств до того, как они нанесут ущерб?
Исследование показывает, что устройства mPOS уязвимы для мошенничества и воровства.
Исследование, недавно проведенное компанией Positive Technologies, занимающейся кибербезопасностью, выявило недостатки в устройствах mPOS, которые могут стать причиной мошенничества и краж.В пресс-релизе Ли-Энн Галлоуэй и Тим Юнусов, два исследователя из Positive Technologies, заявили, что они обнаружили уязвимости в mPOS-устройствах, которые могут позволить «злонамеренным продавцам» изменить взимаемую сумму и принудительно использовать небезопасные способы оплаты, такие как кредит и дебетовые карты с магнитной полосой. Кроме того, недостатки устройств могут позволить считывать данные клиентов, например PIN-коды.
Платежными приложениями, включенными в обзор Галлоуэя и Юнусова, были iZettle, PayPal, Square и SumUp. В случае Square уязвимости возникли только в устройствах, которые работали со сторонним программным обеспечением от компании Miura.
Исследователи изучили устройства mPOS в США и Европе и подчеркнули, что лишь небольшая часть устройств подвержена нарушениям безопасности.
«В настоящее время существует очень мало проверок продавцов, прежде чем они смогут начать использовать устройство mPOS, и поэтому менее щепетильные люди могут относительно легко украсть деньги у людей, если у них есть технические ноу-хау», - предупредил Галлоуэй в новостях. релиз. «Таким образом, поставщики считывателей должны убедиться, что безопасность очень высока и встроена в процесс разработки с самого начала».
Крупные производители платежных приложений говорят, что они используют это
Эксперт по безопасности Роберт Сицилиано, генеральный директор Safr.me , сказал, что все платежные приложения обнаруживают уязвимости после их выпуска, потому что разработчики все еще пытаются избавиться от программных ошибок. По его словам, это обычно происходит, когда компания спешит на рынок с приложением и уделяет больше внимания продажам и маркетингу, а не безопасности.PaymentsSource.com сообщил, что iZettle, PayPal, Square и SumUp заявили, что устранили уязвимости, выявленные Positive Technologies, и «минимизировали» любые угрозы.
CreditCards.com обратился к двум крупнейшим поставщикам платежных технологий из этих четырех - PayPal и Square - чтобы узнать больше о том, как они повышают безопасность мобильных платежей.
Представитель PayPal сказал, что компания не будет предоставлять информацию, помимо этого заявления: «Безопасность и безопасность счетов, данных и денег наших клиентов является высшим приоритетом PayPal. Мы применяем изощренные методы защиты данных наших клиентов».
Однако представитель PayPal указал нам на веб-страницу, посвященную безопасности бизнес-счетов PayPal. В протокол безопасности PayPal включены временные ограничения, которые иногда накладываются на учетные записи, чтобы защитить покупателей и продавцов от возможных гнусных действий.
Со своей стороны Square не предоставила никаких заявлений и просто направила нас на свою веб-страницу по вопросам безопасности. Square заявляет, что шифрует платежную информацию и внимательно следит за транзакциями, чтобы предотвратить мошенничество, среди прочих мер безопасности. В качестве меры предосторожности Square запрещает хранение номеров карт, данных магнитных полос и кодов безопасности на своих мобильных платежных устройствах.
Как владельцы малого бизнеса относятся к безопасности mPOS?
Мы обратились к нескольким владельцам малого бизнеса, чтобы оценить их опасения по поводу безопасности mPOS.По большому счету, ответившие владельцы малого бизнеса заявили, что их не беспокоят потенциальные недостатки mPOS, и они не сталкивались с какими-либо проблемами безопасности.
Дэвид Кляйн, владелец розничного продавца сладостей CandyManKitchens.com и изобретатель леденцов Jelly Belly, сказал, что использует Square для мобильных транзакций и надеется, что компания «всегда будет на высоте». Кляйн сказал, что не сталкивался с какими-либо проблемами с Square, кроме случайной пометки транзакции как возможной мошеннической.
С другой стороны, Лукас Хортон, владелец Valeria Custom Jewelry, сказал, что у него нет «особой уверенности» в платежных приложениях - он использует и Square, и PayPal, - но он не пострадал от каких-либо недостатков безопасности.
Независимо от того, доверяете вы или более скептически, ваш малый бизнес должен укрепить свою защиту от киберпреступников, пытающихся проникнуть в ваши платежные приложения.
Итак, как вы это делаете? Мы собрали советы от PayPal, Square, Positive Technologies и других.
Как защитить свой бизнес при использовании мобильных картридеров
- Оцените риски использования устройства mPOS
- Выполняйте обновления программного обеспечения, когда вас о них уведомляют
- Создавайте сложные пароли и не используйте их повторно
- Смахивайте или опускайте карты вместо простого ввода номеров счетов
- Проявите творческий подход к управлению учетной записью
1. Оцените риски.
Прежде чем начать использовать какое-либо устройство mPOS, взвесьте риски. Является ли бренд уважаемым, когда речь идет о безопасности платежей? Изучите компанию в Интернете, чтобы узнать.
«В то время как рынок для большинства этих продуктов в настоящее время не очень развит, популярность растет, поэтому крайне важно, чтобы безопасность стала приоритетом», - сказал Юнусов, один из исследователей Positive Technologies.
По словам Луиса Скиалаббы, директора по маркетингу операторских решений Radware, поставщика технологий веб-безопасности, одним из вопросов, на которые следует обратить внимание, является то, сочетает ли поставщик приложения mPOS многофакторную аутентификацию с существенными требованиями к паролю, а также насколько сильны его брандмауэры безопасности. .
На своем веб-сайте PayPal сообщает, что настоятельно рекомендуется использовать дополнительный «ключ безопасности». Ключ включает двухэтапную аутентификацию, которая отправляет одноразовый ПИН-код вместе с вашим паролем для каждого входа в учетную запись.
«В то время как крупные розничные торговцы осознают, что качество обслуживания клиентов включает в себя безопасность, малые предприятия также должны взвесить, как нарушение может повлиять на лояльность клиентов», - сказал Скиалабба. «Время, необходимое для безопасной обработки платежа, в конечном итоге может стоить ожидания».
Оценивая безопасность, Пракаш Ранганатан, доцент кафедры электротехники Университета Северной Дакоты и директор программ кибербезопасности, отметил, что хакеры находят «прибыльную цель» в дешевых кардридерах, которые подключаются к смартфонам или планшетам, потому что их довольно легко использовать. их уязвимости. Поэтому лучше всего инвестировать в более качественные и дорогие устройства чтения карт.
2. Сделайте обновления.
Вы знаете те предупреждения об обновлениях, которые вы получаете от поставщиков программного обеспечения? Конечно, они могут раздражать, но они также важны. Специалисты рекомендуют выполнять ПО обновления, когда вас уведомляют о них - и вы не откладываете обновления - чтобы ваша мобильная платежная система была вооружена для защиты от последних кибератак.
3. Практикуйте правильное управление паролями.
Помимо создания сложных паролей (например, с прописными буквами, строчными буквами и разными символами) и никогда не использовать один и тот же пароль для разных учетных записей, Siciliano предлагает помнить о том, кто в вашей компании имеет доступ к паролям учетных записей.
Между тем, Ранганатан рекомендует часто менять пароли - каждые 60–90 дней.
4. Проведите пальцем по экрану вместо того, чтобы вводить числа вручную.
PayPal рекомендует, чтобы, если вы столкнулись с ручным вводом чисел при использовании мобильного платежного приложения, а не смахиванием или окунанием карты, вы должны провести пальцем или окунуть. Почему? Потому что транзакции через магнитную полосу или чип EMV предлагают встроенные функции безопасности, недоступные для транзакций, вводимых вручную.
5. Проявите творческий подход.
Аарон Вист, основатель Drink Shrub, стартапа, производящего безалкогольные напитки на основе уксуса и кокосовой воды, сказал, что для предотвращения нарушений безопасности мобильных платежных приложений его бизнес открыл отдельные банковские счета, привязанные к приложениям, которые не являются основными банковскими счетами компании.
Следовательно, если учетная запись, подключенная к платежному приложению, будет взломана, «у нас будет лишь небольшая уязвимость», - сказал Вист.
«Помимо этого, мы доверяем этим поставщикам заниматься - это выходит далеко за рамки нашего опыта», - добавил он. «Если и когда нас взломают, мы, скорее всего, сменим поставщиков, если они не захотят решать проблему и возмещать потерянные деньги».
