Серое утро санкций
Юрий Литвиненко о рисках схем обхода ограничений
Сбербанк, лишившийся из-за санкций возможности продлевать сертификаты для интернет-шифрования, 30 декабря перевел платежный шлюз (отвечает за форму и страницу оплаты картой в интернет-магазинах) на сертификаты Минцифры. Банк на протяжении многих месяцев убеждает пользователей установить сертификаты на собственные ПК и телефоны, иначе сайты, использующие решение от Минцифры, будут выдавать ошибку.
Юрий Литвиненко
Фото: Эмин Джафаров, Коммерсантъ
Клиенты интернет-магазинов, которые не установили сертификаты, будут видеть платежную страницу банка на одном из пяти «альтернативных доменов», где соединение с ней будет устанавливаться с использованием иностранных сертификатов. В доменах не упоминается Сбербанк, и они выглядят настолько обезличено — securecardpayment.ru, secure-payment-way.ru и т. п., что вне контекста легко сошли бы за мошеннические. В документации к платежному шлюзу Альфа-банка, также попавшего под санкции, подобные схемы не описываются; «Мультикарте» же после выхода подсанкционного ВТБ из Группы Т1 удалось обновить иностранный сертификат.
Появление подобных доменов в официальной связке со Сбербанком не только рискует стать поводом для нового всплеска мошеннических схем, но и нарушает главное правило цифровой гигиены: «Проверяй, что вводишь данные карты на подлинной странице». Но под давлением санкций банк не впервые идет на шаги, вызывающие вопросы у специалистов по кибербезопасности. Например, его мобильное приложение (позиционировано как сторонняя разработка) ставится на iPhone, по сути, путем взлома.
Вся современная цифровая инфраструктура так или иначе строится на доверии сторон. Например, когда я загружаю приложение из «Play Маркета», я исхожу из того, что Google проверила его безопасность и совместимость с моим телефоном. Так же и с зашифрованными соединениями в интернете: я исхожу из того, что разработчик ОС или браузера проверил центр сертификации, а тот — клиентов, которым выдает сертификаты.
Санкции и прочие ограничения все сильнее разрушают эту систему в России. Вокруг попавших в черные списки банков и компаний разворачиваются сети формально не связанных с ними сервисов, доверие к которым вроде бы подразумевается, но не может быть декларировано и официально подтверждено, а значит, создает риски.
С практической точки зрения это лучше, наверное, чем просто полная потеря работоспособности сервисов. Проблема с платежными страницами от Сбербанка, например, могла бы затронуть таких крупных игроков ритейла, как «Детский мир», «Связной», «Леруа Мерлен» (см. “Ъ” от 15 декабря 2022 года). Но чем больше вокруг подсанкционных игроков будет таких схем, тем сильнее, видимо, будет желание их партнеров и клиентов работать с более прозрачными организациями.