© ComNews
12.08.2019

В Mail.ru появился сервис онлайн-платежей - теперь оплатить счета можно "не выходя" из почты Mail.ru. Сервис запущен в десктопной версии, к осени он появится в мобильных приложениях почты. В Mail.ru сообщили, что у любой компании есть возможность встроить кнопку оплаты в письмо. Аналитики считают вероятным, что скоро письма с просьбами об оплате пришлют злоумышленники: можно не сомневаться в том, что все мошенники такую кнопку в свои письма уже встроили. 

В Mail.ru сообщают, что финансовые операции и данные пользователей защищены по международным стандартам. Платежи компания проводит через собственную РНКО "Деньги.Мэйл.Ру". Деньги поступают напрямую на счет получателя, без обращения к посредникам и сторонним сервисам.

В почтовом сервисе Mail.Ru Group ("Почта Mail.Ru") появился умный механизм, который определяет, в каких письмах есть счета или другая платежная информация. "Необходимые для оплаты данные теперь видны прямо в списке писем. Перейти к оплате можно из списка сообщений в одно касание. Еще до открытия письма пользователь видит основную информацию о предстоящей оплате в списке входящих. Сумма, адресат и назначение платежа отображаются в превью письма, там же можно найти и кнопку "оплатить". Письма с платежной информацией выделяются на общем фоне. Штрафы ГИБДД и счет мобильного телефона уже можно оплачивать прямо из основного интерфейса почты. Сервис также работает с проектами Mail.ru "Облако", "Добро" и "Игры". Оплачивать игровые покупки, переводить средства на благотворительность или покупать дополнительно место в облачном хранилище уже можно из списка входящих. При этом у любой компании есть возможность встроить кнопку оплаты в свое письмо. Все письма с кнопками "оплаты" проходят дополнительную проверку безопасности, чтобы исключить фишинг и другие способы обманным путем получить доступ к финансовым данным пользователя", - рассказала пресс-служба Mail.ru.

Пресс-секретарь Mail.ru Group Артем Попов сказал корреспонденту ComNews, что количество оплаченных услуг через почту к концу года будет зависеть от итогового числа компаний, которые присоединятся к сервису. "Список партнеров сейчас формируется, об их подключении мы проинформируем клиентов. Уже сейчас пользователи могут напрямую оплатить штрафы и счет мобильного телефона", - прокомментировал он, на часть вопросов в компании отказались от комментариев.
 

"Одно из ключевых направлений стратегии почты Mail.ru - создание "полезной" почты, поэтому наш сервис давно перестал быть просто инструментом общения, а стал многофункциональной платформой для решения любых задач - как рабочих, так и личных. С финансовыми вопросами мы сталкиваемся ежедневно, это важная часть нашей жизни, поэтому развитию платежных функций почта уделяет особое внимание. Кроме того, платежные данные - это чувствительная информация, которую можно доверить только проверенным временем, безопасным сервисам, и почта Mail.ru как раз является таким инструментом", - прокомментировал директор по продукту почты Mail.ru Иван Мыздриков.

По данным Mail.ru, письма с квитанциями, счетами, налогами и штрафами 70% пользователей считают самыми важными. "Такие сообщения должны быть заметными, чтобы у пользователя была возможность произвести оплату "на месте". Совершать платежи в почте можно банковскими картами платежных систем Visa, MasterCard, "Мир". Для частых операций есть возможность "привязать" карту. Данные карты сохранятся в системе и при следующей оплате будут введены автоматически", - уточнили в пресс-службе Mail.ru.

Ведущий антивирусный эксперт "Лаборатории Касперского" Сергей Голованов отметил, что ускорение процесса оплаты может использоваться злоумышленниками, которые подменяют платежные поручения. "Пример - фальшивые сообщения о необходимости оплатить штраф ГИБДД. Даже при очень качественной проверке всех входящих сообщений нельзя исключать, что поддельный документ будет представлен пользователю на оплату. В подобных случаях предотвратить мошенничество позволит только повышение цифровой грамотности населения", - рассказал корреспонденту ComNews Сергей Голованов.

Представитель компании "Доктор Веб" Максим Якушев уверен: риск есть всегда, и главный тут - человеческий фактор. "Именно он остается до сих пор основным риском при совершении онлайн-платежей. А чтобы его минимизировать - достаточно следовать правилам сетевой гигиены: своевременное обновление приложений, ОС и установленный антивирус на устройстве и/или ПК. Мы крайне не рекомендуем совершать онлайн-платежи без установленной антивирусной защиты. Еще одним риском мы бы назвали нечеткие гарантии того, что кибермошенники не смогут сформировать письмо так, что система анализа Mail.ru будет автоматически предлагать их вам оплатить. Стоит учесть и то, что электронное письмо - это документ, который подчиняется определенным стандартам. В связи с этим не ясно, насколько сервис Mail.ru готов модифицировать сообщения для внесения туда предложений об оплате. Бесплатные сервисы активно передают информацию о своих пользователях в обезличенном виде - и это ни для кого уже не секрет. Но если информация о ваших платежах анализируется и отображается, то, значит, она где-то хранится - не анализируется же весь массив ваших писем в момент обращения к ним. А раз он хранится, то может и утечь. Вы давали разрешение на хранение информации, касающейся вас? А на передачу информации о ваших платежах/штрафах/покупках третьим лицам?" - осталось много вопросов у Максима Якушева. 

Директор по консалтингу ГК InfoWatch Мария Воронова сказала, что ключевые угрозы при использовании подобной платежной платформы классические. "Во-первых, это компрометация учетных данных. Использовал ненадежный пароль или же "засветил" логин-пароль на каком-либо другом, даже не обязательно фишинговом, сайте (а не секрет, что многие интернет-пользователи используют один надежный пароль для множества ресурсов) – поставил под угрозу безопасность своего аккаунта и будущих платежей. Но при этом же данные риски могут быть снижены многофакторной аутентификацией, привязкой к геолокационным данным, определенному устройству или набору устройств (ноутбук, планшет, смартфон). Во-вторых – фишинг. Возможности фишинговых атак сейчас очень широки – подмена отправителя, подмена получателей платежа и платежных реквизитов – с помощью применения антифрод-систем отсечь сходу 100% фишинговых запросов без потери удобства использования ресурса вряд ли получится. Это скорее утопия, тот труднодостижимый KPI, к которому стремятся все специалисты в области информационной безопасности. В-третьих, это невежество и ошибки самих пользователей из серии "не туда нажал", "оплатил одно и то же два раза", раскрыл пароль на соседнем сайте, подтвердил фишинговый платеж. Вариантов - множество. И это только вершина айсберга возможных угроз, сопутствующих внедрению нового цифрового сервиса. Если говорить про сопутствующие риски – как правило, на старте проектирования все возможные сценарии угроз учесть проблематично, поэтому, как и во всех новых электронных сервисах, в первое время риски могут быть значительными. Далее, с развитием цифровой платформы быстрых онлайн-платежей, уровень рисков прогнозируемо будет снижаться", - прокомментировала Мария Воронова.

Аналитик ГК "Финам" Леонид Делицын сказал, что потенциально онлайн-платежами может воспользоваться каждый, и спустя 10 лет ей будут пользоваться все. "Но это не произойдет мгновенно, поскольку острой необходимости изменить привычные нам способы оплаты у нас нет. Поэтому можно предположить, что в первый год это будет 2-3 млн клиентов-новаторов, наиболее динамичных, толерантных к риску и ценящих экономию времени выше всего. Чтобы человек попробовал оплату таким образом, он должен получить несколько писем с информацией об оплате. Значит, предварительно человек должен где-то заполнить анкету и указать свой почтовый ящик на Mail.ru, что несколько сужает аудиторию, хотя и не слишком значительно. Наконец, как плательщик, я, в общем, не очень заинтересован в том, чтобы малоприятная информация о том, что я должен заплатить и тут, и там все время каким-то образом подсвечивалась в моем почтовом ящике. Обычно считается, что таких раздражительных пользователей, которых разработчики не предусмотрели, - не более 5%. Но есть примеры и того, как редизайн сервиса приводил к массовому недовольству пользователей. Всякая инновация несет в себе новые риски. Весьма вероятно, что очень скоро письма с просьбами об оплате попытаются прислать мошенники. Поскольку встроить кнопку оплаты в письмо разрешается любой компании, можно не сомневаться в том, что все мошенники ее в свои письма уже встроили. Чем чаще мы доверчиво кликаем в ссылки, призывающие оплатить, тем более привлекательной мишенью для мошенников становимся. Подобно тому, как "черные" оптимизаторы много лет зарабатывают, обманывая поисковые машины, а спамеры умудряются просачивать свои сообщения через любые фильтры, ошибки типа "пропуск цели" неизбежны. И если пользователи потратят много времени на такие письма - даже при условии, что в итоге не потеряют средства, у них может сформироваться негативное отношение к подобному способу платежа. И хотя Mail.ru обещает дополнительные проверки на фишинг и прочее, есть проблема и с ошибкой другого рода. Можно ведь запретить кнопки всем, кроме ГИБДД, налоговой, банков и операторов связи, но тогда услугой не смогут пользоваться тысячи компаний. Если же часто блокировать письма невинных компаний, то они будут искать другие способы оповестить о платежах", - описал свой взгляд Леонид Делицын.

Аналитик управления операций на российском фондовом рынке ИК "Фридом Финанс" Александр Осин отметил, что, как показывает статистика маркетинговых акций, конечными пользователями услуги становится несколько процентов от получивших рекламное предложение об этой услуге. "В данном случае услуга бесплатна, так что процент может быть выше, измеряться 10-20% пользователей Mail.ru. Но большую долю пользователей получить будет сложно в связи с тем, что доходы 75% населения РФ составляют менее 40 тыс. руб. в месяц, что ограничивает активность этих потребителей в области использования новых банковских технологий в интернете. Сервис удобен для части пользователей из тех, кто делает покупки и платежи в интернете. Что касается рисков, то они очевидно выше - за повышенное удобство надо платить повышенными рисками. Степень рисков оценить в рамках кабинетного исследования крайне сложно, но с учетом того, что на рынке стабилен спрос на программы защиты "Касперского" и прочие, этот риск реален, измеряется по крайней мере несколькими процентами вероятности", - предположил Александр Осин.

В 2018 г. почта Mail.ru запустила услугу денежных переводов на любой адрес электронной почты. Техническую сторону сервиса обеспечили процессинг Mail.Ru Group и ВТБ (см. новость ComNews от 28 февраля 2018 г.). Позже в этом же году Сервис Mail.Ru Group "Почта Mail.ru" анонсировал EGO. Благодаря продуктовому обновлению у почты появились новые возможности для пользователей, такие как технология Smart Groups, группировка заказов из онлайн-магазинов, поиск по категориям транзакционных писем, напоминания и возможность оплаты мобильного телефона прямо из письма, кнопка оплаты услуг партнеров (см. новость ComNews от 21 июня 2018 г.).