Локальные проекты
Сторонние системы, у которых существуют Java-версии для мобильных телефонов, обычно создаются крупными платежными системами, обеспечивающими быстрое и надежное пополнение счетов с помощью электронных валют или терминалов самообслуживания.
К примеру, система "e-port мобайл" - это дополнение к платежной системе E-port и с ее помощью можно не только переводить деньги на счета мобильных телефонов и пополнять аккаунты у интернет-провайдеров, но и организовать небольшой пункт по приему платежей и продаже виртуальных карт предоплаты (PIN-кодов). Схема работы одна, различия существуют только в функционале той или иной версии программы.
Для работы с программой подойдет практически любой терминал более-менее известного производителя с поддержкой Java, версию для которого можно загрузить с wap-сайта компании, а более точно процесс установки описан в специальном разделе. Далее - достаточно быстрая регистрация, и пользователь фактически создает себе электронную карту пополнения счетов, деньги с которой списываются в рамках лимита, который обеспечивается введенными туда средствами. К примеру, пользователь переводит на эту карту аванс в 1 тыс. руб. - значит, в пределах этой суммы он может пополнять электронные счета у различных операторов связи.
Интерфейс системы откровенно аскетичен - но за счет того, что все меню "прошито" в программе-клиенте, трафик между системой и пользовательским терминалом получается небольшой. Обычно ввод платежа начинается сразу с выбора провайдера в пункте меню "Новая заявка" (открывается сразу после загрузки приложения). При этом, для быстрого выбора провайдера нажмите цифровую клавишу с номером элемента списка, расположенного на экране рядом с наименованием провайдера. Для проведения оплаты процедура аналогична операторским системам и занимает небольшое количество времени. Кстати, если GPRS-соединение невозможно (или пользователь находится в роуминге), то в настройках программы можно выбрать транспорт SMS (правда, для этого изначально должна быть подключена услуга оплаты заявок через SMS).
Кстати, в верхней части всех основных окон приложения расположена статусная строка, отображающая состояние соединения с сервером e-port и сводную информацию о статусах обрабатываемых заявок - каждый цвет имеет свое описание. Если белый - то устанавливается соединение с сервером, желтый - передача данных на сервер, синий - получение данных с сервера, а зеленый значит, что предыдущий обмен данными с сервером завершился без ошибок, время следующего сеанса обмена данными не наступило. Красный цвет - при предыдущем обмене данными возникли ошибки, соединение разорвано, серый - пользователь запретил приложению устанавливать соединение.
Безопасность "e-port мобайл" обеспечивается применением 512-битного асимметричного шифрования ко всему трафику, таким образом, обеспечивается и аутентификация пользователя/сервера, эквивалентная применению 512 бит ЭЦП. Кроме того, для ограничения доступа к приложению телефона рекомендуем установить отдельный пароль. В целом, система работает стабильно, но с установкой могут возникнуть проблемы - далеко не все типы терминалов, даже с современной версией Java, корректно работают с этим клиентским ПО.
Примерно аналогично исполнена и система "Мобильный кошелек" от компании Qiwi - Java-клиент для мобильного телефона необходимо загрузить с wap-сайта компании, а при его установке получить специальное инициирующее сообщение с паролем, который будет служить "ключиком" для входа в систему.
В отличие от остальных систем, у Qiwi функционал для мобильного терминала несколько "урезан" по сравнению с "базовой" версией "Личного кабинета", управление которым осуществляется через интернет-сайт. Но баланс "Мобильного Кошелька" и "Личного Кабинета" Qiwi един и привязан к номеру сотового телефона пользователя. Вполне очевидное удобство в этом случае - это возможность "забрасывать" деньги на свой баланс с помощью сети платежных терминалов Qiwi (более 72 тыс. терминалов по всей России), причем платежи от 500 руб. зачисляются без комиссии.
Дизайн, как и у остальных систем, минималистичный - все-таки, интерфейс откровенно недоработан, над его внешним видом можно было бы потрудиться и более вдумчиво. Единственное достоинство системы - все работает быстро.
Достаточно явно отмечена попытка сделать из подобного "кошелька" многофункциональное приложение - к примеру, здесь есть возможность осуществить VoIP-звонок, оплата за который будет списана со счета пользователя (цены - средние по рынку, но дешевле аналогичных вызовов у операторов связи). По схеме вызова это напоминает традиционный call-back. Аналогичным образом работает и SMS-сервис. Кроме того, в систему встроен блок мобильного контента. Возможно, в ближайшее время с помощью подобной системы можно будет оплачивать и ПО в интернет-магазинах: загрузка версии происходит с web-сайта, а получить PIN-код для активации программы можно и по SMS.
"Мобильный кошелек" от системы WebMoney (WM Keeper Mobile или Telepat), без сомнения, наиболее функциональная и приятная в исполнении программа из тех систем, что мы рассматриваем. Она подойдет для уже "действующих" пользователей систем электронной наличности, поскольку по функционалу и структуре меню практически полностью повторяет свою "компьютерную" версию. Версию ПО мы загрузили на официальном wap-портале компании в виде Java-программы, хотя, в отличие от остальных систем, есть версия "кошелька" и для коммуникаторов, работающих под управлением Windows Mobile.
ПО WM Keeper Mobile работает в режиме реального времени и полностью совместимо со всеми WebMoney-сервисами - к примеру, действует система внутренних сообщений, можно выставлять коды протекции для защиты платежей, а сами транзакции проходят в режиме реального времени. Поддерживаются как минимум три основные валюты - рубли, доллары США и евро, хотя можно подключить и экзотические типы платежных средств: к примеру, украинские гривны.
Список операторов для пополнения счета у Telepat самый большой - здесь как ведущие операторы из России (не только "Большая тройка", но и региональные компании), так и крупные операторы мобильной связи из Украины и Беларуси. Все данные учетных форм получаются напрямую с сервера системы, поэтому, с одной стороны, отличаются высокой актуальностью (последние версии платежных реквизитов, типовых форм и т.д.), с другой - при нестабильном GPRS-соединении программа будет "притормаживать". Такой же большой список для оплаты в категории интернет-провайдеров: есть даже Yota, коммерческая эксплуатация сети которой началась только с первого июня. В целом, функционал решения присутствует, даже с определенным перебором - есть блок операций, пополнения счета с помощью карты оплаты, а также меню для вывода средств на другой WM-кошелек.
Отметим, что во всех без исключения мобильных системах оплаты одним из ключевых является вопрос стабильности соединения с сервером по беспроводному каналу передачи данных. Во время установки мобильных клиентов связь (даже в условиях столицы) была не всегда достаточно стабильной для того, чтобы клиентское ПО могло "безболезненно" соединится с сервером для полноценного взаимодействия (мы использовали GPRS-канал от "ВымпелКома"). Кроме того, работа подобного ПО фактически эквивалентна функционированию полноценной мобильной игры - батарею терминалов это "подсаживает" вполне заметно.
Безопасный доступ
Мобильный кошелек - все равно что счет в банке, поэтому относиться к нему надо соответственно. Хотя в плане безопасности он защищен гораздо хуже - нет системы авторизации, основанной на переменных кодах или специальном калькуляторе кодов, часто паспортные данные пользователя просто отсутствуют, да и вывод денег в электронные платежные системы (через которые их можно отправить на другой конец планеты за секунды) упрощен. Все это делает мобильные платежи зоной повышенного риска.
В этой связи возрастают и риски, связанные с инсайдерами, "окопавшимися" в той или иной платежной системе. Недавний пример с системой "Мобильный кошелек" от компании Qiwi тому примером - правда, организаторов этой аферы правоохранительные органы уже арестовали, но вероятность того, что подобные технологии будут использоваться дальше, остается. К примеру, в случае с Qiwi, скопировав во время своей работы в Qiwi данные о состоятельных жертвах, на виртуальных счетах которых содержались более-менее приличные денежные средства, мошенники имитировали запрос с его номера мобильного телефона для подключения к услуге "Мобильный кошелек" (для этого использовалось специальное ПО). После этого система отправляла на телефон ничего не подозревающего абонента SMS с кодом доступа, через который можно попасть в личный кабинет и провести любую операцию с деньгами. Далее потенциальному потерпевшему звонили от имени какой-либо радиостанции или провайдера мобильной связи и сообщали, что он выиграл ценный приз. Но чтобы забрать подарок, просили сообщить код доступа и паспортные данные - якобы для проверки данных.
Подобная схема была необходима мошенникам для того, чтобы получить те данные, доступ которым серьезно ограничен - в частности, к паролям, которые хранятся обычно в полностью зашифрованном виде и недоступны для просмотра даже администраторам системы. А паспортные данные были необходимы для того, чтобы оформить переводы денежных средств на WebMoney, "Яндекс.Деньги" или MoneyMail, отправить средства с одного "мобильного кошелька" на любой другой (система позволяет сделать это без дополнительной комиссии), а также отправить их с помощью банковской системы Contact в любое другое государство за несколько минут, где другие участники преступной группировки получают их по поддельным документам. Кроме того, еще один "баг" в системе состоял в том, что до недавнего времени в ней можно было отправить деньги на идентификатор, который в системе не числился. Поскольку идентификатором являлся номер телефона, возможно было осуществлять переводы на тот номер, который был в руках мошенников - и как только сумма становилась более-менее значимой, подключить его к системе мобильных платежей, а все зачисленные на него средства немедленно вывести описанными выше способами. При этом, деньги могли так "отлеживаться" сколь угодно длительное время - всегда можно было сказать, что это ошибка. В среднем, мошенники получали с каждого потерпевшего несколько тысяч рублей, хотя были "уловы" и покрупнее, исчисляемые куда как большими суммами.
Как удавалось службе безопасности Qiwi не замечать преступной группы в течение двух лет их активной деятельности - загадка. Вряд ли ни один из ограбленных преступниками граждан не оставил заявление в милиции с точным указанием платежной системы, посредство которой его лишили честно заработанных финансовых средств. Кроме того, учитывая тот факт, что все действия в подобных системах записываются, сложно себе представить, что служба безопасности системы электронных взаиморасчетов смогла "прохлопать" вывод средств на сумму в 100 млн руб., при том, что по множеству подобных случаев служба поддержки компании должна была получать возмущенные запросы пользователей с общим смыслом "куда девались деньги?" Схема-то работы мошенников была повторяющейся и особыми изысками не отличалась. Хорошо, что в настоящий момент возможность пополнения счета "Мобильного кошелька" с пластиковых карт, эмиттированных другими банками, отсутствует - можно себе представить масштаб такого бедствия в подобном случае.
Определенные меры безопасности были предприняты только в первом квартале этого года, когда с начала апреля всем пользователям "Мобильного кошелька" было предложено поменять пароль, причем пароли для доступа с терминала и через web-интерфейс должны быть разные. Кроме того, всем пользователям только в апреле месяце по умолчанию подключили оповещение в виде SMS-сообщения о каждой совершенной транзакции (стоимость - 1 руб. за сообщение). Что мешало сделать подобный сервис раньше - загадка. Естественно, было уже поздно. Да и эти дополнения от инсайдеров в системе не спасут - зная пароль для доступа к личному кабинету пользователя, эту услугу уведомления можно отключить.
Действенной защитой от таких мошенников в любой системе мобильного платежа будет отказ от привычки рассказывать свои паспортные данные и PIN-коды по телефону незнакомым абонентам. Кроме того, желательно менять свой пароль доступа хотя бы раз в квартал. Ну и не стоит хранить в системе, которая крайне поверхностно относится к контролю действий своего персонала, много денег - только для текущей оплаты счетов.
Выводы
Современные системы "мобильных платежей", представленные в нашей стране, конечно, имеют не очень большую аудиторию пользователей - прежде всего, из-за технической сложности установки приложения в мобильный телефон: большинство пользователей сделать самостоятельно это не может. Из текущих версий все имеют какие-либо недостатки, препятствующие их глобальному внедрению. Будущее, скорее всего, за решениями, которые будут предустановлены в терминал: с приятным интерфейсом (как у решения от WebMoney), аккумулирующие в программе-клиенте всю необходимую информацию для совершения платежей (что минимизирует трафик с системой). Кроме того, подобное решение, разумеется, должно быть защищенным от постороннего использования (как минимум, стандартный пароль и привязка к SIM-карте), а также иметь специальный электронный счет, с которого возможно осуществлять перевод денег в пользу сторонних провайдеров.
Появление подобных систем - дело ближайшего года, причем поможет этому, без сомнения, интеграция операторов мобильной связи с торговыми сетями: в "своей" рознице проще реализовывать преднастроенные терминалы с необходимым для мобильных платежей ПО.
ВКонтакте