Яндекс. Деньги

http://money.yandex.ru

«Яндекс. Деньги» – популярный в России проект интернет-платежей, был создан в 2002 г. компанией «Яндекс» и группой компаний PayCash. Но с 30 марта 2007 г. компания «Яндекс» стала единоличным владельцем проекта «Яндекс. Деньги». Второй совладелец платежной системы, компания PayCash, продала всю свою долю в проекте, лицензию на технологии и программное обеспечение, использующееся в системе. Сделка повлекла смену юридического лица – вместо ООО «Яндекс. Деньги» было образовано ООО «ПС Яндекс. Деньги». Переименование и изменение состава владельцев никак не отразились на пользователях системы. Новая компания также сохранила все договоренности с партнерами системы. В настоящее время система продолжает активно развиваться, мы же опишем основные принципы и условия ее функционирования. В системе используется два разных типа кошелька «Яндекс. Кошелек» – (доступ с помощью веб-интерфейса) и «Интернет. Кошелек» (доступ с помощью специального ПО). Оба эти кошелька не связаны между собой, имеют разные балансы, номера и разную правовую и технологическую основу функционирования.В основе «Интернет. Кошелька» компания PayCash использовала модель цифровых наличных (digital cash), разработанную отцом-основателем электронной наличности – Дэвидом Чаумом (David Chaum), ученым-криптографом из Нидерландов, создавшим в 1994 г. компанию Digicash и платежную систему eCash. Правда, в отличие от классической модели Чаума, вместо электронных монет PayCash использует свою разработку – «платежную книжку», номинал которой подтверждается подписью банка. Пользователь может расходовать средства по этой платежной книжке, не зная подписи банка, но зачисление на нее осуществляется только в случае подтверждения операции банком методом «слепой» подписи (blind signature) [18] . Подобный метод означает, что генерация самих «платежных книжек» осуществляется электронным кошельком, а банк подтверждает только их номинал, не зная их реквизитов, обеспечивая тем самым анонимность платежей в системе. Для защиты от мошенничества средства «платежной книжки» – электронные монеты являются одноразовыми, т. е. при осуществлении оплаты банк проверяет, не использовались ли эти электронные деньги раньше: если да, то отказывает в совершении покупки, если нет, то осуществляет эмиссию новых монет и зачисление их на кошелек получателя, а оплаченные монеты считает использованными. Система позволяет хранить цифровую наличность непосредственно в электронных кошельках клиентов, совершенно независимо от сервера системы. Такой подход обеспечивает повышенную защиту самой системы, однако при потере или неисправности электронного носителя, на котором хранится наличность, теряются и электронные деньги клиента аналогично с потерей обычных монет или купюр.

Функционирование «Интернет. Кошелька»: 1) в момент оплаты товаров или услуг через Интернет. Кошелек выставляет электронный счет, включающий в себя договор купли-продажи, подписанный электронной цифровой подписью магазина;2) пользователь, в случае согласия с условиями договора и достаточности электронной наличности в интернет-кошельке, производит покупку. В этот момент электронный кошелек покупателя отсылает на электронный кошелек магазина договор, подписанный электронной подписью пользователя, и электронные деньги для осуществления оплаты;3) получив электронные деньги от пользователя, магазин предъявляет их в процессинговый центр системы для подтверждения их подлинности;4) проверив, что деньги ранее не использовались и являются подлинными, процессинговый центр подтверждает их платежеспособность магазину и высылает электронную квитанцию покупателю. Одновременно производится списание средств со счета пользователя в процессинговом центре и их зачисление на счет магазина;5) получив подтверждения подлинности и платежности электронных денег, магазин отсылает квитанцию об оплате на кошелек пользователя и производит отправку товара или оказание услуг.

Особенности системы «Яндекс. Деньги»: 1) в качестве средств защиты «Интернет. Кошелька» используется RSA [19] с длиной ключа 1024 бита и алгоритм «слепой» подписи. При работе с «Яндекс. Кошельком» обмен данными между браузером пользователя и веб-сервером платежной системы защищается посредством SSL с длинной ключа 128 бит. При этом не стоит забывать, что основную роль в обеспечении безопасности расчетов играет сам пользователь, а система предоставляет средства для этого. Более того, на сайте приведено несколько простых правил, таких как «покупайте в известных магазинах», «старайтесь оценить добропорядочность продавца», «оценивайте реалистичность предложения» и др.Некоторое время назад мошенники стали использовать технологию «фишинга» для получения доступа к кошелькам пользователей этой системы. Для этого они рассылают письма примерно такого содержания:

От кого: [email protected] Тема: счет заблокирован Уважаемый пользователь,Согласно пункту 4.6.2.5. Соглашения об использовании Системы «Яндекс. Деньги» Ваш счет заблокирован.Необходима реактивация счета в системе. Для реакцивации проследуйте по линку:passport.yanclex.ruЛибо свяжитесь с одним из наших операторов:ООО «ПС Яндекс. Деньги». 101000, г. Москва, ул. Вавилова, дом 40, тел.: +7 (495) 739-23-25ООО «ПС Яндекс. Деньги», Петербургский филиал. 191123, г. Санкт-Петербург, ул. Радищева, д. 39, тел.: +7 (812) 334-7750

Адреса и телефоны указаны в письме верно, но ссылка ведет на подложный сайт: yanclex вместо yandex. Система никогда не рассылает писем пользователям, письмо от сотрудников «Яндекс. Деньги» может прийти только в ответ на обращение пользователя. Для того чтобы обезопасить себя от мошенников, пользователь системы не должен открывать ссылку и вводить логин, пароль и платежный пароль; 2) «Яндекс. Деньги» обеспечивает анонимность платежей, как и при использовании традиционных денег. Анонимность достигается использованием алгоритма «слепой» подписи, что делает невозможным идентификацию пользователя системы, а также сбор информации о проведенных им платежах и проведение анализа действий держателя денег в системе;3) устойчивость к обрывам канала связи, особенно актуальна для пользователей, использующих ненадежные способы соединения с сетью Интернет. Любые технологии подключения к сети Интернет не лишены проблемы разрывов сеанса связи, и в случае использования нестабильного соединения это преимущество будет также важно пользователю. В случае обрыва связи в момент совершения операции ни плательщик, ни получатель не рискуют потерять перечисляемые электронные деньги.