Мобильный кошелек

Локальные проекты

Сторонние системы, у которых существуют Java-версии для мобильных телефонов, обычно создаются крупными платежными системами, обеспечивающими быстрое и надежное пополнение счетов с помощью электронных валют или терминалов самообслуживания. К примеру, система "e-port мобайл" - это дополнение к платежной системе E-port и с ее помощью можно не только переводить деньги на счета мобильных телефонов и пополнять аккаунты у интернет-провайдеров, но и организовать небольшой пункт по приему платежей и продаже виртуальных карт предоплаты (PIN-кодов). Схема работы одна, различия существуют только в функционале той или иной версии программы.

Процесс регистрации в системе, при подключенных услугах передачи данных (WAP и GPRS), происходит достаточно быстро; после этого необходимо пополнить карту e-port - и можно переводить платежи.

Для работы с программой подойдет практически любой терминал более-менее известного производителя с поддержкой Java, версию для которого можно загрузить с wap-сайта компании, а более точно процесс установки описан в специальном разделе. Далее - достаточно быстрая регистрация, и пользователь фактически создает себе электронную карту пополнения счетов, деньги с которой списываются в рамках лимита, который обеспечивается введенными туда средствами. К примеру, пользователь переводит на эту карту аванс в 1 тыс. руб. - значит, в пределах этой суммы он может пополнять электронные счета у различных операторов связи.

Приложение обеспечивает автоматическую обработку платежей - для быстрой "проводки" достаточно только точно вводить реквизиты получателя платежа, более никаких действий для успешного завершения обработки предпринимать не надо.

Интерфейс системы откровенно аскетичен - но за счет того, что все меню "прошито" в программе-клиенте, трафик между системой и пользовательским терминалом получается небольшой. Обычно ввод платежа начинается сразу с выбора провайдера в пункте меню "Новая заявка" (открывается сразу после загрузки приложения). При этом, для быстрого выбора провайдера нажмите цифровую клавишу с номером элемента списка, расположенного на экране рядом с наименованием провайдера. Для проведения оплаты процедура аналогична операторским системам и занимает небольшое количество времени. Кстати, если GPRS-соединение невозможно (или пользователь находится в роуминге), то в настройках программы можно выбрать транспорт SMS (правда, для этого изначально должна быть подключена услуга оплаты заявок через SMS). Кстати, в верхней части всех основных окон приложения расположена статусная строка, отображающая состояние соединения с сервером e-port и сводную информацию о статусах обрабатываемых заявок - каждый цвет имеет свое описание. Если белый - то устанавливается соединение с сервером, желтый - передача данных на сервер, синий - получение данных с сервера, а зеленый значит, что предыдущий обмен данными с сервером завершился без ошибок, время следующего сеанса обмена данными не наступило. Красный цвет - при предыдущем обмене данными возникли ошибки, соединение разорвано, серый - пользователь запретил приложению устанавливать соединение. Безопасность "e-port мобайл" обеспечивается применением 512-битного асимметричного шифрования ко всему трафику, таким образом, обеспечивается и аутентификация пользователя/сервера, эквивалентная применению 512 бит ЭЦП. Кроме того, для ограничения доступа к приложению телефона рекомендуем установить отдельный пароль. В целом, система работает стабильно, но с установкой могут возникнуть проблемы - далеко не все типы терминалов, даже с современной версией Java, корректно работают с этим клиентским ПО. Примерно аналогично исполнена и система "Мобильный кошелек" от компании Qiwi - Java-клиент для мобильного телефона необходимо загрузить с wap-сайта компании, а при его установке получить специальное инициирующее сообщение с паролем, который будет служить "ключиком" для входа в систему.

Загрузка ПО при стабильно действующей сети происходит быстро - оно весит несколько сотен кб.

В отличие от остальных систем, у Qiwi функционал для мобильного терминала несколько "урезан" по сравнению с "базовой" версией "Личного кабинета", управление которым осуществляется через интернет-сайт. Но баланс "Мобильного Кошелька" и "Личного Кабинета" Qiwi един и привязан к номеру сотового телефона пользователя. Вполне очевидное удобство в этом случае - это возможность "забрасывать" деньги на свой баланс с помощью сети платежных терминалов Qiwi (более 72 тыс. терминалов по всей России), причем платежи от 500 руб. зачисляются без комиссии.

При первом запуске "Мобильный кошелек" запросит номер мобильного телефона, куда пришлет пароль в виде SMS-сообщения: при его вводе он авторизует пользователя и "допустит его" до главного меню.

Дизайн, как и у остальных систем, минималистичный - все-таки, интерфейс откровенно недоработан, над его внешним видом можно было бы потрудиться и более вдумчиво. Единственное достоинство системы - все работает быстро.

В "Мобильном кошельке" можно отследить попытки сделать из этого достаточно локального ПО генератор дополнительной прибыли для компании - загрузка контента, осуществление VoIP-звонков, отправка SMS: все возможно из интерфейса системы.

Достаточно явно отмечена попытка сделать из подобного "кошелька" многофункциональное приложение - к примеру, здесь есть возможность осуществить VoIP-звонок, оплата за который будет списана со счета пользователя (цены - средние по рынку, но дешевле аналогичных вызовов у операторов связи). По схеме вызова это напоминает традиционный call-back. Аналогичным образом работает и SMS-сервис. Кроме того, в систему встроен блок мобильного контента. Возможно, в ближайшее время с помощью подобной системы можно будет оплачивать и ПО в интернет-магазинах: загрузка версии происходит с web-сайта, а получить PIN-код для активации программы можно и по SMS. "Мобильный кошелек" от системы WebMoney (WM Keeper Mobile или Telepat), без сомнения, наиболее функциональная и приятная в исполнении программа из тех систем, что мы рассматриваем. Она подойдет для уже "действующих" пользователей систем электронной наличности, поскольку по функционалу и структуре меню практически полностью повторяет свою "компьютерную" версию. Версию ПО мы загрузили на официальном wap-портале компании в виде Java-программы, хотя, в отличие от остальных систем, есть версия "кошелька" и для коммуникаторов, работающих под управлением Windows Mobile.

Приложение можно загрузить с официального сайта достаточно быстро, при регистрации потребуется указать номер телефона, получить мастер-код от системы (потребуется при переустановке приложения) и придумать пароль (будет оберегать систему от пользователей, которым может попасть в руки ваш мобильник).

ПО WM Keeper Mobile работает в режиме реального времени и полностью совместимо со всеми WebMoney-сервисами - к примеру, действует система внутренних сообщений, можно выставлять коды протекции для защиты платежей, а сами транзакции проходят в режиме реального времени. Поддерживаются как минимум три основные валюты - рубли, доллары США и евро, хотя можно подключить и экзотические типы платежных средств: к примеру, украинские гривны.

Структура "мобильного кошелька" позволяет ориентироваться в нем даже не особенно подготовленному пользователю.

Список операторов для пополнения счета у Telepat самый большой - здесь как ведущие операторы из России (не только "Большая тройка", но и региональные компании), так и крупные операторы мобильной связи из Украины и Беларуси. Все данные учетных форм получаются напрямую с сервера системы, поэтому, с одной стороны, отличаются высокой актуальностью (последние версии платежных реквизитов, типовых форм и т.д.), с другой - при нестабильном GPRS-соединении программа будет "притормаживать". Такой же большой список для оплаты в категории интернет-провайдеров: есть даже Yota, коммерческая эксплуатация сети которой началась только с первого июня. В целом, функционал решения присутствует, даже с определенным перебором - есть блок операций, пополнения счета с помощью карты оплаты, а также меню для вывода средств на другой WM-кошелек. Отметим, что во всех без исключения мобильных системах оплаты одним из ключевых является вопрос стабильности соединения с сервером по беспроводному каналу передачи данных. Во время установки мобильных клиентов связь (даже в условиях столицы) была не всегда достаточно стабильной для того, чтобы клиентское ПО могло "безболезненно" соединится с сервером для полноценного взаимодействия (мы использовали GPRS-канал от "ВымпелКома"). Кроме того, работа подобного ПО фактически эквивалентна функционированию полноценной мобильной игры - батарею терминалов это "подсаживает" вполне заметно.

Безопасный доступ

Мобильный кошелек - все равно что счет в банке, поэтому относиться к нему надо соответственно. Хотя в плане безопасности он защищен гораздо хуже - нет системы авторизации, основанной на переменных кодах или специальном калькуляторе кодов, часто паспортные данные пользователя просто отсутствуют, да и вывод денег в электронные платежные системы (через которые их можно отправить на другой конец планеты за секунды) упрощен. Все это делает мобильные платежи зоной повышенного риска. В этой связи возрастают и риски, связанные с инсайдерами, "окопавшимися" в той или иной платежной системе. Недавний пример с системой "Мобильный кошелек" от компании Qiwi тому примером - правда, организаторов этой аферы правоохранительные органы уже арестовали, но вероятность того, что подобные технологии будут использоваться дальше, остается. К примеру, в случае с Qiwi, скопировав во время своей работы в Qiwi данные о состоятельных жертвах, на виртуальных счетах которых содержались более-менее приличные денежные средства, мошенники имитировали запрос с его номера мобильного телефона для подключения к услуге "Мобильный кошелек" (для этого использовалось специальное ПО). После этого система отправляла на телефон ничего не подозревающего абонента SMS с кодом доступа, через который можно попасть в личный кабинет и провести любую операцию с деньгами. Далее потенциальному потерпевшему звонили от имени какой-либо радиостанции или провайдера мобильной связи и сообщали, что он выиграл ценный приз. Но чтобы забрать подарок, просили сообщить код доступа и паспортные данные - якобы для проверки данных. Подобная схема была необходима мошенникам для того, чтобы получить те данные, доступ которым серьезно ограничен - в частности, к паролям, которые хранятся обычно в полностью зашифрованном виде и недоступны для просмотра даже администраторам системы. А паспортные данные были необходимы для того, чтобы оформить переводы денежных средств на WebMoney, "Яндекс.Деньги" или MoneyMail, отправить средства с одного "мобильного кошелька" на любой другой (система позволяет сделать это без дополнительной комиссии), а также отправить их с помощью банковской системы Contact в любое другое государство за несколько минут, где другие участники преступной группировки получают их по поддельным документам. Кроме того, еще один "баг" в системе состоял в том, что до недавнего времени в ней можно было отправить деньги на идентификатор, который в системе не числился. Поскольку идентификатором являлся номер телефона, возможно было осуществлять переводы на тот номер, который был в руках мошенников - и как только сумма становилась более-менее значимой, подключить его к системе мобильных платежей, а все зачисленные на него средства немедленно вывести описанными выше способами. При этом, деньги могли так "отлеживаться" сколь угодно длительное время - всегда можно было сказать, что это ошибка. В среднем, мошенники получали с каждого потерпевшего несколько тысяч рублей, хотя были "уловы" и покрупнее, исчисляемые куда как большими суммами. Как удавалось службе безопасности Qiwi не замечать преступной группы в течение двух лет их активной деятельности - загадка. Вряд ли ни один из ограбленных преступниками граждан не оставил заявление в милиции с точным указанием платежной системы, посредство которой его лишили честно заработанных финансовых средств. Кроме того, учитывая тот факт, что все действия в подобных системах записываются, сложно себе представить, что служба безопасности системы электронных взаиморасчетов смогла "прохлопать" вывод средств на сумму в 100 млн руб., при том, что по множеству подобных случаев служба поддержки компании должна была получать возмущенные запросы пользователей с общим смыслом "куда девались деньги?" Схема-то работы мошенников была повторяющейся и особыми изысками не отличалась. Хорошо, что в настоящий момент возможность пополнения счета "Мобильного кошелька" с пластиковых карт, эмиттированных другими банками, отсутствует - можно себе представить масштаб такого бедствия в подобном случае. Определенные меры безопасности были предприняты только в первом квартале этого года, когда с начала апреля всем пользователям "Мобильного кошелька" было предложено поменять пароль, причем пароли для доступа с терминала и через web-интерфейс должны быть разные. Кроме того, всем пользователям только в апреле месяце по умолчанию подключили оповещение в виде SMS-сообщения о каждой совершенной транзакции (стоимость - 1 руб. за сообщение). Что мешало сделать подобный сервис раньше - загадка. Естественно, было уже поздно. Да и эти дополнения от инсайдеров в системе не спасут - зная пароль для доступа к личному кабинету пользователя, эту услугу уведомления можно отключить. Действенной защитой от таких мошенников в любой системе мобильного платежа будет отказ от привычки рассказывать свои паспортные данные и PIN-коды по телефону незнакомым абонентам. Кроме того, желательно менять свой пароль доступа хотя бы раз в квартал. Ну и не стоит хранить в системе, которая крайне поверхностно относится к контролю действий своего персонала, много денег - только для текущей оплаты счетов.

Выводы

Современные системы "мобильных платежей", представленные в нашей стране, конечно, имеют не очень большую аудиторию пользователей - прежде всего, из-за технической сложности установки приложения в мобильный телефон: большинство пользователей сделать самостоятельно это не может. Из текущих версий все имеют какие-либо недостатки, препятствующие их глобальному внедрению. Будущее, скорее всего, за решениями, которые будут предустановлены в терминал: с приятным интерфейсом (как у решения от WebMoney), аккумулирующие в программе-клиенте всю необходимую информацию для совершения платежей (что минимизирует трафик с системой). Кроме того, подобное решение, разумеется, должно быть защищенным от постороннего использования (как минимум, стандартный пароль и привязка к SIM-карте), а также иметь специальный электронный счет, с которого возможно осуществлять перевод денег в пользу сторонних провайдеров. Появление подобных систем - дело ближайшего года, причем поможет этому, без сомнения, интеграция операторов мобильной связи с торговыми сетями: в "своей" рознице проще реализовывать преднастроенные терминалы с необходимым для мобильных платежей ПО.