08.09.2016 17:00
В связи с массовым распространением бесконтактных банковских карт все чаще поднимается вопрос об их безопасности. Что будет, если злоумышленник считает данные карты прямо из вашего кармана или кошелька? Как защититься от таких воров?
Справка: PayPass, Paywave и ExpressPay — это совместимая с EMV бесконтактная технология проведения платежа, основанная на стандарте ISO/IEC 14443, предоставляющая держателям карт MasterCard PayPass, Maestro PayPass, Visa payWave American ExpressPay способ совершения оплаты путём близкого поднесения или прикосновения платёжной картой или иным платёжным инструментом, таким как телефон или брелок для ключей, к считывающему платёжному терминалу вместо проведения ею для считывания или вставки её в терминал.
Российские банки в течение последних двух-трех лет активно выпускают карты с поддержкой бесконтактной оплаты PayPass, Paywave и ExpressPay — именно так называются эти системы у Mastercard, Visa и American Express соответственно. Более 30 тысяч торговых точек в России поддерживают их прием — приложив карту, можно и проезд в метро оплатить, и кольцо с бриллиантом.
Основное применение, конечно, — это микроплатежи, поскольку при суммах до 1000 рублей не требуется ни ввода пин-кода, ни подписи владельца — приложил и пошел, хотя и для более крупных покупок бесконтактная карта дает дополнительную безопасность, ведь вы не выпускаете ее из рук: если же она окажется у продавца, кассира или официанта, то он может как минимум быстро и незаметно получить ее реквизиты, а затем продать их кардерам.
То есть, в случае потери бесконтактной карты ей может воспользоваться любой мошенник, совершая мелкие покупки до 1000 рублей, пока вы ее не заблокируете. Это уязвимость номер один. Поэтому будьте внимательны со своими банковскими картами.
Так же, можно прочитать данные вашей бесконтактной карты, причем для этого не нужен даже терминал, а достаточно смартфона с поддержкой NFC. В частности, никак не защищен от считывания номер карты и срок ее действия, а также список и суммы последних транзакций.
Этой информации недостаточно для создания полноценного клона, однако в ряде случаев достаточно для CNP-транзакции (Card Not Present) — то есть, операции без присутствия карты, или, попросту говоря, осуществления платежа через интернет или по телефону (например, в России так можно через колл-центр купить билеты «Аэрофлота») — без ввода имени/фамилии и CVC/CVV-кода.
В США за 4 года группа мошенников «обчистила» более миллиона банковских карт, списав с каждой всего по 9 долларов. Из-за незначительности суммы заметили и оспорили пропажу всего 10% пострадавших.
В начале этого года рунет взбудоражила история IT-специалиста, который сфотографировал в метро человека с беспроводным банковским терминалом и предположил, что с его помощью пассажир крал деньги с бесконтактных карт пассажиров. Ведь какая разница, карту приложить к терминалу или терминал к карте? Доказательств, конечно, никаких представлено не было, но история активно обсуждалась в СМИ, которые собрали неплохой трафик на заголовках про «Новый способ мошенничества» и «Как страшно жить».
В итоге появилась еще одна городская легенда, которой ловко воспользовались производители бумажников, предложившие изделия с экранированными отделениями для банковских карт. Выкинь свой старый кошелек и купи новый! Дорого! Гарантия! Иначе лишишься всего! Либо, как дурак, заматывай карточки в фольгу. Нет, серьезно, именно такие советы пишут авторы статей об этой «уязвимости».
На самом деле эта городская легенда — что-то вроде историй про крыс-мутантов, которые живут в канализации, внезапно выныривают из унитаза и откусывают ноги ничего не подозревающим обывателям. То есть, считать бесконтактную карту, лежащую в кошельке хозяина, теоретически можно. Но практически…
Во-первых, вы не знаете, у кого из пассажиров есть карта с PayPass, Paywave или ExpressPay , а у кого нет. У большинства нет. Во-вторых, вы не знаете, где эта карта лежит, а считать NFC-карту терминалом можно только в непосредственной близости, не больше пары сантиметров. То есть, нужно, получается, подходить ко всем подряд и тщательно водить терминалом вдоль сумок и карманов жертвы.
Американскими экспертами по IT-безопасности, конечно, был сделан экспериментальный считыватель, позволяющий «снимать» данные чуть ли не с нескольких метров, но возить его пришлось аж в тележке из супермаркета. И есть «троян» для Android-смартфонов, который, если носить телефон вместе с картами, может их тихонько прочитать и отправить данные злоумышленнику, однако тут вероятность совпадения нескольких условий успеха тоже невелика. Но, допустим, считать данные удалось.
Куда уйдут эти деньги? Каждый терминал зарегистрирован в банке, а каждый его владелец имеет специальный счет продавца, на который эти деньги поступают. То есть, никакой анонимности здесь нет, и вывести средства, полученные преступным путем, очень сложно; вернее, даже невозможно это сделать, оставаясь анонимным. Будет как в том анекдоте про грабителя, ворвавшегося в банк с пистолетом с криком: «Это ограбление! Никому не двигаться! Сейчас же переведите все деньги на счет XXXXXXXXXXXXXXXXXX!» Только с той еще разницей, что максимальная сумма перевода без подтверждения владельцем карты ограничена — тысяча рублей.
В общем, не уязвимость, а один сплошной анекдот. Так что никаких специальных кошельков и шапочек из фольги вам не нужно: платить за него вдвое больше просто потому, что внутри металлизированная сетка? Сомнительное решение. Есть, впрочем, одно исключение: это кошельки, в которых экранируются все карты, кроме одной. Это позволит использовать бесконтактную оплату, не извлекая карту из бумажника: в обычном же портмоне PayPass-карты будут конфликтовать не только друг с другом, но и с проездными на общественный транспорт, ключ-картами от офисов и т.п. И обязательно проверьте, подключено ли у вас 3-D Secure.
Основной способ защиты от подобного мошенничества — это технология 3-D Secure, которую поддерживает большинство банков; часто владелец карты может сам выбрать, включать или нет ее для своей карты, однако в солидных банках без подключенного 3DS просто не будут работать платежи через интернет.
Суть технологии предельно проста: при проведении платежа браузер перенаправляется на страницу банка, где предлагается ввести одноразовый пароль, полученный по SMS на привязанный к карте номер.
Безусловно, эти SMS злоумышленник тоже может перехватить, однако одновременно и считать ваши данные карты, и перехватить сообщения практически нереально, уж проще тогда просто отобрать у вас сумку с телефоном и кошельком.
Тем не менее, 3D-Secure — не панацея. Некоторые банки разрешают операции по карте и там, где технология не поддерживается. В этом случае нужно уточнить, нельзя ли установить лимиты по таким незащищенным операциям, и тогда риск внезапного опустошения счета будет минимальным.
В случае потери бесконтактной банковской карты, сразу же звоните в банк и блокируйте ее. Не нужно знать ее пинкода, чтобы опустошить ее, совершая мелкие покупки до 1000 рублей.
