Горячий ветер 2018

Коломенский кайт клуб "Семь ветров" при поддержке Комитета по физической…

Как Валерий Шувалов снег убирал в 2016 году

Руководитель администрации города Валерий Шувалов проверил лично, как происходит расчистка…

В доме красногорского стрелка нашли долговые расписки Рассказова

В доме убийцы нашли черную бухгалтерию, где фигурируют крупные суммы,…

Дальнобойщики против "Платона"

Дальнобойщики бастуют по всей России. «Недовольство растет. Власти это замалчивают».…

«
»

Бесконтактные банковские карты. Анализ безопасности и способов мошенничества. Бесконтактная карта безопасность


Стоит ли бояться бесконтактных платежей? Самая очевидная опасность — потеря бесконтактной карты ‐ Сберометр

Банки наращивают долю бесконтактных карт. Насколько безопасны такие карты и какие способы могут использовать мошенники, чтобы уводить деньги с пластика?

В России активно развивается система бесконтактных платежей. По данным компании Visa, с сентября 2015 по сентябрь 2016 года количество транзакций по картам Visa РayWave увеличилось в 4,5 раза. В пресс-службе платежной системы MasterCard, ссылаясь на исследование MasterIndex по итогам 2016 года, отметили, что более 60% россиян знакомы с технологией бесконтактной оплаты. Этот показатель вдвое превышает результаты 2015 года.

Опрошенные РБК топ-10 банков и банковских групп из рэнкинга «Интерфакс-100» отмечают, что постепенно наращивают объем бесконтактных карт в своем портфеле, хотя они не ведут отдельную статистику по бесконтактным картам, и приводят оценочные цифры. По данным пресс-службы Альфа-банка, за два года объем бесконтактных карт увеличился примерно в два раза. В пресс-службе ЮниКредит Банка говорят, что на долю бесконтактных карт в общем портфеле организации приходится почти 80%, а год назад этот показатель составлял около 70%.

«Большинство новых карт, выпускаемых ВТБ, являются бесконтактными. В настоящий момент их доля составляет более 30% от карточного портфеля банка, год назад она составляла примерно 15%, и данный показатель продолжает активно расти», — говорит заместитель руководителя департамента розничных продуктов ВТБ Юлия Деменюк. Остальные опрошенные банки не предоставили статистику относительно выпуска бесконтактных карт.

В конце сентября Сбербанк сообщил, что к концу 2017 года все выпущенные банком новые карты, кроме карт моментальной выдачи и электронных (Visa Electron, Maestro, Maestro Социальная), станут бесконтактными. На долю бесконтактных карт Visa и MasterCard в портфеле Сбербанка сейчас приходится 11%. Всего же у Сбербанка 131 млн действующих пластиковых карт, таким образом, в ближайшие годы по мере обновления портфеля только от Сбербанка на рынок поступят десятки миллионов бесконтактных карт.

В основе действия технологии бесконтактной передачи данных лежит отправка сведений на малом расстоянии (не более 5 см) между картой и считывателем через магнитное поле, говорят эксперты. Чип и антенна, размещенные в карте, откликаются на запрос платежного терминала. Транзакции на сумму до 1 тыс. руб. не требуют введения пин-кода. Сделано это, для того чтобы недорогие покупки не занимали у покупателя много времени. Более крупные операции уже нуждаются в дополнительном подтверждении пин-кодом. Изменить этот лимит самостоятельно клиент банка не может.

В России бесконтактная карточная технология от Visa РayWave​ появилась осенью 2011 года. PayPass от MasterCard — в 2008 году.

С популярностью бесконтактных платежей увеличивается и количество слухов об уязвимости этой технологии. РБК разбирался, действительно ли бесконтактные карты более уязвимы по сравнению с обычным «пластиком» и как держатели таких карт могут защититься от мошенников.

Опасности реальные и мнимые

Получая на руки новую карту, клиенты часто задают вопрос о ее надежности, отмечают банкиры. По словам директора по мониторингу электронного бизнеса Альфа-банка Алексея Голенищева, подобные вопросы вызваны относительной новизной технологии и отсутствием популярной информации, а также надуманным и необоснованным негативом, порой транслируемым в интернете.

В частности, некоторые клиенты боятся, что с бесконтактной карты можно в людных местах мгновенно без ведома владельца снять небольшую сумму. «Якобы в общественном транспорте ходят мошенники с бесконтактными терминалами и списывают незаметно с бесконтактных карт клиентов суммы до 1000 руб. Это очень гипотетический вариант, практически малоосуществимый», — говорит Голенищев. «Размер угрозы крайне переоценен», — согласен руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention «Лаборатории Касперского» Денис Горчаков.

Как поясняет старший специалист отдела исследования безопасности банковских систем Positive Technologies Ярослав Бабин, для проведения транзакции и списания денег с карты необходим работающий платежный терминал, чтобы банк-эквайер мог провести платеж. POS-терминал выдается только юридическим лицам и индивидуальным предпринимателям при заключении соответствующего договора, поясняет менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента ИБ ГК Softline Дмитрий Тирский. «Поэтому неправомерное использование оборудования легко установить, а вся информация о совершенных транзакциях сохраняется в логах банка, обслуживающего терминал», — говорит он.

Если клиенту придет уведомление об операции, которую он не совершал, то он может сообщить об этом в свой банк, который определит, через терминал какого банка был совершен платеж. «После этого банк, выдавший терминал оплаты, будет вынужден вернуть средства клиенту. В дальнейшем банк-эквайер может взыскать возвращенные денежные средства и оштрафовать владельца терминала оплаты», — поясняет начальник отдела развития Фридом Финанс Банка Мурад Шихмагомедов.

Еще одна угроза, информация о которой активно тиражируется в интернете, связана с возможностью с помощью самодельного считывающего устройства «уводить» с пластика не деньги, а данные (от имени держателя до истории транзакций и остатке на счете).

В Сети эта схема описана следующим образом: с помощью самодельного считывающего устройства злоумышленники считывают с карт данные, чтобы потом, используя их, создать карту-клон с магнитной полосой и совершать с ее помощью покупки в интернете. Этот вариант мошенничества эксперты называют не самым популярным, но реализуемым. В 2015 году, по данным компании Zecurion, таким образом с бесконтактных карт россиян увели 2 млн руб., статистику за более поздний период компания не предоставляет, ссылаясь на договоренности с банками.

По словам Дмитрия Тирского, информация, которую могут узнать мошенники, очень ограничена. Это номер карты, срок действия, история транзакций, чтобы оценить активность пользования картой и активность ее использования. При этом код CVV (трехзначный код, расположенный на обратной стороне карты), который необходимо вводить для подтверждения платежа, скопировать невозможно. Алексей Голенищев из Альфа-банка говорит, что несколько лет назад некоторые онлайн-продавцы игнорировали требование подтверждать транзакции с помощью CVV и подобные махинации были возможны. Также, по его словам, иногда мошенники пользовались пробелами настройки системы безопасности банков. «Были единичные случаи, когда мошенники выясняли, что у какого-то банка некорректно работает система авторизации, и вместо запрашиваемого CVV вбивали произвольные цифры. Но банки совершенствуют свою систему безопасности. Сейчас все банки — эмитенты карт в России в обязательном порядке проверяют CVV/CVC», — говорит он.

Эксперты говорят, что самая очевидная опасность для клиента — потеря бесконтактной карты. Если она попадет в руки злоумышленника, тот сможет беспрепятственно совершать мелкие покупки, пока владелец не заблокирует «пластик». Даже специальное оборудование ему для этого не понадобится.

Однако руководитель направления информационной безопасности компании КРОК Андрей Заикин отмечает, что несколько платежей на мелкую сумму подряд заставят сработать защитные системы банка и банк заблокирует такие операции как подозрительные. Транзакции будут заморожены до подтверждения их легитимности. В банках подтвердили, что система безопасности отслеживает подобные транзакции, отметив, что, как правило, операция блокируется после трех совершенных подряд операций на сумму, не требующую пин-кода.

На всякий случай

Те, кто все-таки боятся неправомерного списания средств с карты «по воздуху», могут найти в интернете нехитрые приспособления, которые защитят от мошенников. Например, в онлайн-магазинах можно найти экранирующие футляры из алюминия. Их цена варьируется от 50 руб. (за кардхолдер на одну карту) до 500 руб. (за футляры из кожи на несколько карт). Дороже (от 700–900 руб.) будут стоить полноценные кошельки с подкладкой из металлизированной ткани. Встречаются даже сумки и портфели со специальными изолированными отделениями, которые не пропустят сигнал.

Эксперты подтверждают, что эти способы действенные. Считать данные карты будет невозможно, но, чтобы совершить покупку, пластик придется каждый раз вынимать из «упаковки».

Начальник аналитического управления​ Бинбанка Александр Свиридов добавляет, что если в кошельке есть две и более бесконтактных карты (включая транспортные), то это усложняет задачу считывания для злоумышленника. Терминал просто «запутается» в радиоволнах от нескольких карт.  

www.sberometer.ru

Бесконтактные банковские карты. Анализ безопасности и способов мошенничества. |

Банки наращивают долю бесконтактных карт. Насколько безопасны такие карты и какие способы могут использовать мошенники, чтобы уводить деньги с пластика?

В России активно развивается система бесконтактных платежей. По данным компании Visa, с сентября 2015 по сентябрь 2016 года количество транзакций по картам Visa РayWave увеличилось в 4,5 раза. В пресс-службе платежной системы MasterCard, ссылаясь на исследование MasterIndex по итогам 2016 года, отметили, что более 60% россиян знакомы с технологией бесконтактной оплаты. Этот показатель вдвое превышает результаты 2015 года.

Опрошенные РБК топ-10 банков и банковских групп из рэнкинга «Интерфакс-100» отмечают, что постепенно наращивают объем бесконтактных карт в своем портфеле, хотя они не ведут отдельную статистику по бесконтактным картам, и приводят оценочные цифры. По данным пресс-службы Альфа-банка, за два года объем бесконтактных карт увеличился примерно в два раза. В пресс-службе ЮниКредит Банка говорят, что на долю бесконтактных карт в общем портфеле организации приходится почти 80%, а год назад этот показатель составлял около 70%.«Большинство новых карт, выпускаемых ВТБ, являются бесконтактными. В настоящий момент их доля составляет более 30% от карточного портфеля банка, год назад она составляла примерно 15%, и данный показатель продолжает активно расти», — говорит заместитель руководителя департамента розничных продуктов ВТБ Юлия Деменюк. Остальные опрошенные банки не предоставили статистику относительно выпуска бесконтактных карт.

В конце сентября Сбербанк сообщил, что к концу 2017 года все выпущенные банком новые карты, кроме карт моментальной выдачи и электронных (Visa Electron, Maestro, Maestro Социальная), станут бесконтактными. На долю бесконтактных карт Visa и MasterCard в портфеле Сбербанка сейчас приходится 11%. Всего же у Сбербанка 131 млн действующих пластиковых карт, таким образом, в ближайшие годы по мере обновления портфеля только от Сбербанка на рынок поступят десятки миллионов бесконтактных карт.В основе действия технологии бесконтактной передачи данных лежит отправка сведений на малом расстоянии (не более 5 см) между картой и считывателем через магнитное поле, говорят эксперты. Чип и антенна, размещенные в карте, откликаются на запрос платежного терминала. Транзакции на сумму до 1 тыс. руб. не требуют введения пин-кода. Сделано это, для того чтобы недорогие покупки не занимали у покупателя много времени. Более крупные операции уже нуждаются в дополнительном подтверждении пин-кодом. Изменить этот лимит самостоятельно клиент банка не может.

В России бесконтактная карточная технология от Visa РayWave​ появилась осенью 2011 года. PayPass от MasterCard — в 2008 году.С популярностью бесконтактных платежей увеличивается и количество слухов об уязвимости этой технологии. РБК разбирался, действительно ли бесконтактные карты более уязвимы по сравнению с обычным «пластиком» и как держатели таких карт могут защититься от мошенников.

Опасности реальные и мнимые

Получая на руки новую карту, клиенты часто задают вопрос о ее надежности, отмечают банкиры. По словам директора по мониторингу электронного бизнеса Альфа-банка Алексея Голенищева, подобные вопросы вызваны относительной новизной технологии и отсутствием популярной информации, а также надуманным и необоснованным негативом, порой транслируемым в интернете.В частности, некоторые клиенты боятся, что с бесконтактной карты можно в людных местах мгновенно без ведома владельца снять небольшую сумму. «Якобы в общественном транспорте ходят мошенники с бесконтактными терминалами и списывают незаметно с бесконтактных карт клиентов суммы до 1000 руб. Это очень гипотетический вариант, практически малоосуществимый», — говорит Голенищев. «Размер угрозы крайне переоценен», — согласен руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention «Лаборатории Касперского» Денис Горчаков.Как поясняет старший специалист отдела исследования безопасности банковских систем Positive Technologies Ярослав Бабин, для проведения транзакции и списания денег с карты необходим работающий платежный терминал, чтобы банк-эквайер мог провести платеж. POS-терминал выдается только юридическим лицам и индивидуальным предпринимателям при заключении соответствующего договора, поясняет менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента ИБ ГК Softline Дмитрий Тирский. «Поэтому неправомерное использование оборудования легко установить, а вся информация о совершенных транзакциях сохраняется в логах банка, обслуживающего терминал», — говорит он.Если клиенту придет уведомление об операции, которую он не совершал, то он может сообщить об этом в свой банк, который определит, через терминал какого банка был совершен платеж. «После этого банк, выдавший терминал оплаты, будет вынужден вернуть средства клиенту. В дальнейшем банк-эквайер может взыскать возвращенные денежные средства и оштрафовать владельца терминала оплаты», — поясняет начальник отдела развития Фридом Финанс Банка Мурад Шихмагомедов.Еще одна угроза, информация о которой активно тиражируется в интернете, связана с возможностью с помощью самодельного считывающего устройства «уводить» с пластика не деньги, а данные (от имени держателя до истории транзакций и остатке на счете).В Сети эта схема описана следующим образом: с помощью самодельного считывающего устройства злоумышленники считывают с карт данные, чтобы потом, используя их, создать карту-клон с магнитной полосой и совершать с ее помощью покупки в интернете. Этот вариант мошенничества эксперты называют не самым популярным, но реализуемым. В 2015 году, по данным компании Zecurion, таким образом с бесконтактных карт россиян увели 2 млн руб., статистику за более поздний период компания не предоставляет, ссылаясь на договоренности с банками.По словам Дмитрия Тирского, информация, которую могут узнать мошенники, очень ограничена. Это номер карты, срок действия, история транзакций, чтобы оценить активность пользования картой и активность ее использования. При этом код CVV (трехзначный код, расположенный на обратной стороне карты), который необходимо вводить для подтверждения платежа, скопировать невозможно. Алексей Голенищев из Альфа-банка говорит, что несколько лет назад некоторые онлайн-продавцы игнорировали требование подтверждать транзакции с помощью CVV и подобные махинации были возможны. Также, по его словам, иногда мошенники пользовались пробелами настройки системы безопасности банков. «Были единичные случаи, когда мошенники выясняли, что у какого-то банка некорректно работает система авторизации, и вместо запрашиваемого CVV вбивали произвольные цифры. Но банки совершенствуют свою систему безопасности. Сейчас все банки — эмитенты карт в России в обязательном порядке проверяют CVV/CVC», — говорит он.Эксперты говорят, что самая очевидная опасность для клиента — потеря бесконтактной карты. Если она попадет в руки злоумышленника, тот сможет беспрепятственно совершать мелкие покупки, пока владелец не заблокирует «пластик». Даже специальное оборудование ему для этого не понадобится.Однако руководитель направления информационной безопасности компании КРОК Андрей Заикин отмечает, что несколько платежей на мелкую сумму подряд заставят сработать защитные системы банка и банк заблокирует такие операции как подозрительные. Транзакции будут заморожены до подтверждения их легитимности. В банках подтвердили, что система безопасности отслеживает подобные транзакции, отметив, что, как правило, операция блокируется после трех совершенных подряд операций на сумму, не требующую пин-кода.

На всякий случай

Те, кто все-таки боятся неправомерного списания средств с карты «по воздуху», могут найти в интернете нехитрые приспособления, которые защитят от мошенников. Например, в онлайн-магазинах можно найти экранирующие футляры из алюминия. Их цена варьируется от 50 руб. (за кардхолдер на одну карту) до 500 руб. (за футляры из кожи на несколько карт). Дороже (от 700–900 руб.) будут стоить полноценные кошельки с подкладкой из металлизированной ткани. Встречаются даже сумки и портфели со специальными изолированными отделениями, которые не пропустят сигнал.Эксперты подтверждают, что эти способы действенные. Считать данные карты будет невозможно, но, чтобы совершить покупку, пластик придется каждый раз вынимать из «упаковки».Начальник аналитического управления​ Бинбанка Александр Свиридов добавляет, что если в кошельке есть две и более бесконтактных карты (включая транспортные), то это усложняет задачу считывания для злоумышленника. Терминал просто «запутается» в радиоволнах от нескольких карт.

Подробнее на РБК:http://www.rbc.ru/money/23/10/2017/59e9d7039a794786105a821a

 

brodv.ru

Крадём миллион с бесконтактной «кредитки»

(Не)безопасность пластиковых карт всегда была темой горячей, но с распространением карт бесконтактных переросла в настоящую фобию — не хуже фобии ГМО, «телефонов-убийц», выжигающего мозги Wi-Fi и тому подобного. Если вдруг вы не слышали, многие и очень многие уверены, что бесконтактный «пластик», которым так легко оплатить покупку в магазине (провёл рядом с терминалом — и готово! Пин-код вводить не требуется), так же легко отдаёт деньги и «злобным хакерам». Популярная пресса подогревает истерию, не вдаваясь в детали. Страшные истории сменяют одна другую: если несколько лет назад этим забавлялись исследователи на security-конференциях, теперь уже настоящие воры, якобы, опустошают «кошельки» в общественном транспорте, просто проходя рядом с жертвами. Что там, на днях промелькнуло сообщение об устройстве для «мелкосерийного» клонирования бесконтактных карт — аж по 15 штук в секунду!

При всём при этом у здравомыслящих людей болтается где-то мысль, что всё это — именно беспричинная фобия, паранойя (карты на рынке уже полтора десятилетия, а конец света так и не наступил). Но чтобы подозрение подтвердить, надо углубиться в технические вопросы, на что времени всегда не хватает. Так давайте сделаем это вместе.

Бесконтактные карты бывают разными, отнюдь не только банковскими: для удостоверения личности, проезда в общественном транспорте и т.п. Однако то, что лежит в бумажниках большинства (в том числе россиян) — это кредитные или дебетовые банковские карты, произведённые с опорой на стандарт ISO/IEC 14443. Стандарт этот предполагает использование в качестве канала связи протокола NFC (цифровой радиообмен на частоте 13.56 МГц). Приёмник лишён источника питания и работает за счёт энергии, наводимой в антенне, спрятанной внутри карты же. Этого хватает, чтобы принять и передать некоторый небольшой объём информации. NFC — медленный протокол (десятки килобайт в секунду), но в данном случае много и не требуется. Карты VISA payWave, MasterCard PayPass и отечественная «Мир» работают именно так.

А главная проблема бесконтактного «пластика» не в технологиях, а в поверхностном понимании принципа их работы. Стараясь максимально облегчить обывателям адаптацию к новому продукту, маркетологи втолковали им, что провести пластиковой картой с магнитной полосой по считывающему устройству и сделать бесконтактный «клик» по NFC-терминалу — это одно и то же. Так что люди, особенно в странах, где культура пользования «пластиком» насчитывает не одно десятилетие (магнитный стрип — детище 70-х), не видят функциональной разницы между тем и другим. И рассуждают примерно так: раньше карту нужно было достать из бумажника, теперь же вор может просто пройти рядом со мной и, даже не касаясь, украсть с моей кредитки всю информацию!

Что ж, отчасти это и в самом деле так, но лишь отчасти. Вы тоже можете попробовать себя в роли такого «высокотехнологичного вора». Для этого не придётся ничего паять и даже покупать нелегальный карт-ридер. Достаточно современного смартфона с поддержкой NFC. Установите любое из многочисленных приложений для чтения NFC-меток (NFC Basic, Banking Card Reader и др.), приложите карту к телефону, и — вуаля, данные «украдены». Тонкость в том, что это за данные.

В открытом виде бесконтактные банковские карты хранят лишь номер, дату экспирации, реже имя пользователя и историю транзакций. Формально этого уже достаточно, чтобы воспользоваться вашей картой без вашего ведома, например, для покупки чего-нибудь через интернет: не все интернет-магазины требуют CVV-код, размещённый на обороте карты (но не записываемый в память). Так что — да, это повод для тревоги.

Но вот «клонировать» карту полноценно (записать информацию на чистую карту-болванку и использовать её в обычных магазинах без ограничений), что обещают продавцы устройств вроде упоминавшегося нелегального высокоскоростного карт-ридера (всего-то за $800!), таким образом не удастся. Почему? Потому что любая офлайновая транзакция предполагает общение между, грубо говоря, кассовым аппаратом и чипом карты, причём на каждый такой сеанс чип генерирует одноразовый ключ с использованием стойкого крипто. Чтобы клонировать вашу карту, необходимо вытащить из неё криптоключи — а сделать это через NFC невозможно.

Реальных способов эксплуатировать бесконтактную карту всего два. Во-первых, вор может обзавестись собственным PoS-терминалом с поддержкой бесконтактных карт. Спрятав такой в сумке, он и правда может ходить по людным местам и инициировать покупки, когда рядом оказывается чья-то карта. Однако вычислить имя мошенника в таком случае не составит труда (все терминалы регистрируются в органах), да и размер бесконтактной транзакции, не требующей пин-кода, ограничен некоторой небольшой суммой (в России это порядка одной тысячи рублей).

Во-вторых, вор может использовать схему ретрансляции радиосигнала — воспользовавшись опытом «коллег», угоняющих таким образом автомобили. Здесь потребуются два вспомогательных NFC-устройства. Первое должно находиться рядом с картой жертвы, второе — в месте совершения покупки, скажем, рядом с кассой в магазине. В качестве таких устройств могут выступать, например, смартфоны, поддерживающие NFC. Касса инициирует продажу, второй смартфон транслирует NFC-сигнал на первый, тот передаёт его карте, и по той же цепочке информация возвращается обратно. Жертва ничего не заметила, а покупка совершена. Сложности, впрочем, очевидны. Необходим специальный софт, которого пока, насколько известно, не существует (поправка, спасибо читателям: в лабораторных условиях уже реализовали). Плюс опять-таки размер транзакции ограничен.

Кстати: мобильные кошельки (Apple Pay, Android Pay, Samsung Pay) проблеме бесконтактных краж не подвержены — по той простой причине, что виртуальная карта отвечает на запросы считывающего устройства только когда это нужно пользователю, а в остальное время молчит.

Что в итоге? Клонировать бесконтактную карту невозможно. Украсть с неё, находясь рядом, можно лишь незначительную сумму. Так что истории про несчастных, «потерявших тысячи долларов в один момент, не извлекая карту из кармана», либо выдумки, либо заблуждения (вероятно, карта была скомпрометирована иначе).

Единственной реальной угрозой остаётся похищение номера карты и использование его для несанкционированных покупок через Сеть. Риск на самом деле невелик: вор должен подобраться к вам слишком близко, плюс в развитых странах банк обязан отменить такую транзакцию по первому требованию, а сумму возместить. В России закон пока этого не требует (поправьте, если уже не так), так что если вас гложет беспокойство, воспользуйтесь старой доброй клеткой Фарадея: храните бесконтактные карты в кармашке из алюминиевой фольги. Но лучше — подумайте о замене карты мобильным приложением: электронные кошельки, хранящие аналоги банковских карт, проблеме бесконтактных краж не подвержены вовсе.

www.computerra.ru

Чего ожидать от бесконтактной банковской карты? Безопасность | Техника и Интернет

Система может потребовать введения пин-кода даже при оплате мелких покупок, если 4−5 платежей следуют один за другим в течение короткого промежутка времени.

До сих пор бесконтактные платежи не слишком популярны среди мошенников. По данным Карточной ассоциации, в прошлом году доля преступлений с бесконтактными картами составила лишь 0,016% от общего числа мошенничеств с банковскими картами. Однако логично предположить, что по мере распространения технологии преступники неизбежно уделят ей больше внимания.

Неизвестно, что придумают воры, но исследователи пытаются упредить преступные попытки и активно ищут потенциальные уязвимости новых систем.

Недавно эксперты из Университета Ньюкасла, изучая безопасность бесконтактных дебетовых карт Visa, нашли серьёзный недостаток. Оказывается, 20-фунтовый порог расходов можно обойти и воровать суммы до 999999,99, если расчёты ведутся в иностранной валюте.

Чтобы получить доступ к данным обычного «пластика», преступники пользуются различными «накладками» на банкоматы, считывающими и запоминающими информацию с карточек. В случае с бесконтактными картами возможностей у мошенника ещё больше.

Скопировать их содержимое можно с помощью дистанционного сканера. Исследователи из Университета Суррея предупреждают, что для этого преступнику не придётся «срезать карман» жертвы или прижиматься к ней поплотнее. Самодельные сканеры потенциально эффективны на расстоянии до 80 см.

Снизить вероятность кражи данных и денег с бесконтактных карт помогают специальные защитные металлизированные бумажники, непроницаемые для радиоволн.

Известная компания Norton, специализирующаяся на борьбе с компьютерными вирусами, разрабатывает безопасные брюки со встроенной защитой. Тем же, кто не желает тратить деньги на специальную одежду и аксессуары, эксперты рекомендуют заворачивать бесконтактные банковские карты в фольгу.

Теоретически все эти меры должны помочь. Но при этом теряет смысл главное преимущество бесконтактной технологии. Перед тем как воспользоваться картой, её придётся достать из бумажника и развернуть фольгу, что не совсем удобно.

MasterCard разработала биометрический метод борьбы с мошенниками. В бесконтактную карту записывается информация об отпечатках пальцев владельца. Платёж осуществляется только тогда, когда покупатель прикоснётся пальцами к сенсорной площадке терминала.

Разработчики уверены в безопасности биометрической защиты и утверждают, что при её широком внедрении отпадёт необходимость в ограничении суммы единовременного платежа.

Тем не менее отпечатки пальцев можно подделать. Компания Bionym по заказу Королевского банка Канады тестирует браслет, использующий для идентификации личности владельца бесконтактной карты его сердечный ритм. Насколько эффективна «сердечная» технология защиты бесконтактных карт, сведений пока нет.

Но несмотря на потенциальные бреши в безопасности, большинство британских банков активно переходит на новую технологию, не спрашивая мнения клиентов. Полагая, что дополнительные доходы покроют возможные расходы на возмещение ущерба, банки выдают бесконтактные карты взамен отслужившего свой срок пластика.

Будьте осторожны!

shkolazhizni.ru

ЦБ РФ и банки рассказали о безопасности бесконтактных карт

КАЗАНЬ, 14 окт — РИА Новости/Прайм. Российские банки активно переходят на оплату при помощи пластиковых карт с бесконтактной технологией, в большинстве случаев высоко оценивая их безопасность. В ЦБ РФ же отмечают, что уязвимости имеют и контактная и бесконтактная технологии, но основные риски при проведении платежей кроются, прежде всего, в доверчивости клиентов.

Здание Сберегательного банка. Архивное фотоСбербанк запустил пилот по выдаче кредитных карт клиентам от 21 годаМасштабные планы по переходу на бесконтактные технологии в четверг озвучил Сбербанк. Крупнейший российский банк представил проект "умного города" — в татарстанском Зеленодольске он оснастил pos-терминалами (устройствами для приема банковских карт) 70% торгово-сервисных точек, начиная с крупных сетевых магазинов до предпринимателей на продуктовом рынке. Все они теперь принимают к оплате карты по бесконтактной технологии.

Кроме того, Сбербанк выдаст "Карты жителя Республики Татарстан", работающие с бесконтактной технологией, 70% совершеннолетних жителей этого районного центра, еще 30% обеспечит банк "АК Барс". Глава Сбербанка уже анонсировал расширение этого проекта на остальные города Татарстана, включая Казань, а после его обкатки — на другие регионы России.

Греф также сообщил, что Сбербанк переведет все свои карты на бесконтактные технологии к 2020 году.

Банк ВТБ тоже активно смещает акцент оплаты покупок в сторону бесконтактных технологий, выпуская своим клиентам банковские карты с сервисами Pay Pass и Pay Wave, рассказала РИА Новости руководитель службы банковских карт ВТБ Мария Точилова.

Одним из примеров реализации проекта с использованием бесконтактных платежей является установка турникетов для приема карт Mastercard Pay Pass / Visa Pay Wave в московском метрополитене, в которой участвовали и компании группы ВТБ.

Банк "ВТБ 24" заявил, что уже сейчас более половины парка pos-терминалов поддерживает бесконтактные карты. Внедрить бесконтактную технологию во всем эквайринговом парке эта кредитная организация планирует по мере плановой ротации оборудования, то есть через 2-3 года, заявил вице-президент, заместитель директора департамента розничного бизнеса "ВТБ 24" Алексей Киричек.

Безопасность — дело рук самих клиентов

Первые карты национальной платежной системы Мир. Архивное фотоЦБ РФ заявил о безопасности карты "Мир" при соблюдении стандартных правилВопрос о безопасности бесконтактных платежей зависит от того, как выстроена их инфраструктура, какие лимиты по таким операциям установлены для клиентов.

Однако главной проблемой является не техническая сторона вопроса, а доверчивость пользователей банковских карт, которые продолжают попадаться на психологические уловки мошенников, выдавая им данные своих карт, считает замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев.

"В любой технологии есть и плюсы, и минусы, любая технология сопровождается уязвимостями. Вопрос не в том, уязвима ли технология, а вопрос в том, как организована ее работа, как само окружение, в котором она реализуется, спроектировано с точки зрения безопасности: как построена технология платежей, есть ли какие-либо контрольные точки, ограничения, лимиты", — пояснил Сычев.

Представитель ЦБ в качестве примера уязвимости бесконтактной технологии привел ситуацию, когда злоумышленник находится рядом с пользователем такой карты и перехватывает информацию с нее. Но именно поэтому, по словам Сычева, в банках при использовании бесконтактных платежей вводятся лимиты по максимальной сумме одной операции, продуманные технологии, включающие не только технические меры, но и организационные, которые позволяют эту технологию использовать.

"Основная проблема сейчас не в конкретных технологиях, а в том, что атака на средства клиентов сопровождается еще и атакой на клиента самого с точки зрения социальной инженерии. Узкое место – это, прежде всего, сам клиент: его психология, его ощущения безопасности", — заключил Сычев.

Почти полностью безопасно

Оплата покупок с помощью бесконтактной банковской карты. Архивное фотоСбербанк заменит все банковские карты на бесконтактные к 2020 годуБанки же смотрят на безопасность бесконтактных технологий с большим оптимизмом. В частности, кредитные организации уверяют, что проблема с возможностью перехвата данных бесконтактной карты злоумышленником, находящимся в непосредственной близости, решена.

"Сама технология является безопасной, так как операция не может быть проведена дважды, а сигнал принимается терминалом на минимальном расстоянии, что делает невозможным его перехват", — рассказала Точилова из ВТБ.

Гендиректор процессинговой компании "МультиКарта" (входит в группу ВТБ) Кирилл Свириденко считает, что при соблюдении элементарных правил бесконтактные технологии достаточно безопасны.

"Для карточек существуют различные металлизированные боксы, кейсы, которые не дают возможности карте сработать, когда она там находится. Использование мобильных телефонов с функцией бесконтактной оплаты — еще более удобно и безопасно, так как функцию бесконтактной оплаты можно деактивировать, когда она не нужна. К тому же некоторые смартфоны активируются отпечатком пальца владельца, что обеспечивает дополнительную безопасность", — рассказал Свириденко.

Ряд банков недавно обеспечил технологическую реализацию платежных сервисов Samsung Pay и Apple Pay в России. Оба сервиса позволяют совершать покупки в торговых точках бесконтактным путем при помощи телефонов и других гаджетов, оснащенных технологией NFC, а Samsung Pay дает пользователю возможность платить в любых терминалах, включая те, которые работают с бесконтактной технологией, и те, которые работают с магнитной полосой карты.

 

Сбербанк уточнил, что при использовании технологии Apple Pay осуществляется идентификация клиента по отпечатку пальца, это решение встроено в технологию Apple Pay. Кроме того, при проведении операции по Apple Pay клиент получает уведомление о совершенной операции по смс с помощью сервиса Мобильный банк.

 

Эксперты "ВТБ 24" отмечают высокую безопасность сервиса Samsung Pay: телефон не хранит данные карт – номера карты заменяются так называемым "токеном", который может быть использован только вместе с гаджетом конкретного пользователя. Каждая операция обязательно подтверждается в телефоне отпечатком пальцев или пин-кодом, а также дополнительно шифруется с помощью разовых ключей. Таким образом, по мнению экспертов банка, смартфон является надежным способом оплаты покупки.

Банк "Открытие" говорит, что сегодня уровень безопасности бесконтактных платежей "сопоставим с уровнем безопасности контактного чипа, который, в свою очередь, является самым безопасным способом платежа". Группы исследователей и хакеров, по словам банка, проводят опыты по компрометации данных бесконтактных карт, но приходят только к суррогатным решениям с массой условностей.

"На данный момент не зафиксировано случаев компрометации данных банковской карты при использовании бесконтактных средств платежа, поэтому можно говорить о степени защищенности, близкой к 100%", — сообщили в пресс-службе "Открытия".

"Бесконтактные платежи полностью безопасны благодаря применяемым техническим решениям. До сих пор нет ни одного зафиксированного факта мошенничества, связанного с уязвимостью бесконтактных платежей", — привели аналогичный факт в Тинькофф банке.

Иного взгляда придерживается вице-президент — управляющий директор по электронному бизнесу Промсвязьбанка Алгирдас Шакманас. По его словам, банковские приложения должны, прежде всего, соответствовать строгим стандартам безопасности, потому что речь идет о персональных данных и деньгах клиента. Однако, "развитие "быстрых" функций доступа, как правило, не сопровождается таким же быстрым развитием технологий безопасности", считает эксперт.

Технологии востребованы

По мнению директора по электронной коммерции Mail.Ru Group Андрея Ефимочкина, технологии будут безопасны ровно настолько же, насколько безопасны все другие карты международных платежных систем, которые выдаются по всей России. "Скорее всего, будут введены ограничения на сумму платежа, которую можно списать при бесконтактной оплате. Как правило, это 1 тысяча рублей. Кроме того, в соответствии со 161-ФЗ "О национальной платежной системе", если произойдет несанкционированный платеж и пользователь обратится в банк в течение того же дня, все деньги будут возвращены", — считает он.

Зеленодольск. Архивное фотоВ России появился первый безналичный городВ пресс-службе компании "Яндекс.Деньги" указали, что бесконтактные технологии сейчас становятся все более востребованными. "Мультифункциональные карты – следующий шаг в развитии бесконтактных технологий. Такая синергия оплаты с социальными программами – перспективная идея, которая может быть реализована во многих регионах при поддержке местных властей и необходимой интеграции систем", — считают в компании.

Зампред СДМ-Банка Олег Илюхин уверен, что технологии бесконтактных платежей, будучи наиболее современными платёжными технологиями, хорошо защищены от мошенников. "Следует, однако понимать, что лишь совокупность действий банков- эмитентов, эквайреров и платежных систем обеспечивают ограничения от возможных потерь держателей карт. Только при строгом соблюдении правил международных платежных систем всеми участниками системы бесконтактные платежи безопасны", — отметил он.

Помимо того, топ-менеджер банка советует не забывать об элементарных правилах безопасности – не носить смартфон и карты вместе, устанавливать на смартфон антивирус, не устанавливать непроверенного программного обеспечения, не добиваться администраторского доступа к своему телефону.

ria.ru

Бесконтактные NFC карты и платежи – на сколько безопасен такой тип оплаты, способы использования + возможные убытки

Вскоре все больше и больше клиентов захотят платить за свои устройства. Поэтому, чтобы подготовиться к изменению, можно соблюсти ряд руководств к NFC. Сегодняшние мошенники находятся на охоте за подробными сведениями о карте. Единственной информацией, которая может быть прочитана с бесконтактной карты, является: номер карты, дата истечения срока действия и в некоторых случаях имя владельца карты (та же информация, доступная на передней стороне карты).

Сама по себе эта информация просто не полезна для сегодняшних мошенников, которым также необходимо получить действительно чувствительную информацию, такую ​​как код CVV (трехзначный код безопасности на обратной стороне карты), PIN-коды, подтвержденные Визовые коды, коды защиты карты, адреса фактурирования и другие скрытые данные безопасности. Ни одна из этих важных деталей не может быть прочитана с бесконтактной карты.

По мере того, как продолжаются крупные нарушения кредитных карт, компании, поставщики обработки платежей и торговцы, как правило, ставят безопасность данных клиентов приоритетной.

С угрозой нарушения карточных данных и мошенничества продолжаются разработки карт, которые позволяют бизнесменам внедрять технологию чип-карт EMV - новейший стандарт безопасности обработки платежей. Бонус к использованию технологии EMV заключается в том, что он позволяет осуществлять мобильные платежи. Чип-карты и мобильные платежи используют терминалы кредитных карт с поддержкой NFC.

Как работает NFC

NFC (Near Field Communication) - это технология оплаты, которая позволяет смартфонам и другим устройствам взаимодействовать друг с другом, что дает возможность терминалам принимать бесконтактные платежи. Как мобильные, так и бесконтактные платежи EMV могут быть произведены с помощью терминала NFC, а для этого нужно просто помахать картой перед сенсором. Это новая технология, которая может сделать транзакции более безопасными.

NFC на самом деле является подмножеством того, что называется RFID (радиочастотная идентификация), технология, которая позволяет идентифицировать вещи с помощью радиоволн. RFID не является чем-то новым - он использовался десятилетиями для таких вещей, как сканирование предметов в продуктовых магазинах и багажа, а также маркировки крупного рогатого скота.

NFC, который был внедрен в начале 2000-х годов, использует определенную частоту RFID (точнее, 13,56 МГц) для ближней связи. На сегодняшний день одним из наиболее распространенных применений для NFC является идентификационные карточки для доступа к таким местам, как офисные здания и частные гаражи. Бесконтактный платеж является сделкой, которая не требует физического контакта между устройством и терминалом платежей.

Чтобы бесконтактный платеж прошел без проблем, нужно держать телефон на расстоянии в 5 сантиметров от считывателя.

Когда инициируется бесконтактный платеж (заказчиком, удерживающим или использующим мобильное устройство для платежного терминала), технология NFC начинает работать. Используя эту конкретную частоту, считыватель с поддержкой NFC и смартфоном передает зашифрованную информацию, чтобы завершить платеж. Это займет всего несколько секунд.

Карты NFC

Является ли NFC защищенным

Мобильные платежи NFC динамически шифруются, что делает их одним из самых безопасных способов оплаты. Платежи NFC являются на самом деле более безопасными, чем карты с магнитной полосой. В отличие от данных на карточке с магнитной полосой (которая является статичной), данные, связанные с транзакцией NFC, зашифрованы и динамичны, а это означает, что они постоянно меняются. На рынок выходят различные платежи с поддержкой NFC. Для пользователей iPhone есть Apple Pay. Пользователи Android имеют Android Pay и Samsung Pay в качестве опций. Некоторые чип-карты даже оснащены, чтобы быть «бесконтактными».

Например, Apple Pay защищен Touch ID технологией отпечатков пальцев Apple. Чтобы инициировать транзакцию Apple Pay, необходимо разблокировать свой телефон с помощью отпечатка пальца. Поэтому, даже если устройство украдено, никто не сможет получить данные. (Именно по этой причине Apple Pay работает только на самых последних моделях iPhone, которые оснащены Touch ID).

Способы использования NFC

Как владелец бизнеса, стоит ознакомиться с тем, как платить с NFC в качестве клиента, чтобы быть уверенным в безопасности транзакций. Во-первых, всегда полезно быть в курсе того, куда направляется индустрия платежей. Во-вторых, это поможет устранить любые проблемы, которые могут возникнуть у клиентов, когда они будут платить за свое устройство. Сделать себя настроенным для оплаты через телефон относительно легко. Большинство мобильных кошельков используют камеру телефона для чтения номеров на кредитной карте (которые зашифрованы). Если владелец является пользователем iPhone 6s и хочет использовать Apple Pay, он также может синхронизировать свою платежную информацию iTunes. Чтобы принять мобильные платежи NFC в компании, необходимо настроить устройство с поддержкой NFC. Квадратный бесконтактный и чип-ридер принимает как платежи EMV, так и NFC.

Основные риски

По мере того как различные технологии безопасности продолжают развиваться, несомненно, будут и связанные с ними риски. Хотя преимущества инвестирования в терминал NFC бесчисленны, по-прежнему существуют потенциальные риски для безопасности. Существует несколько проблемных областей, связанных с технологией NFC, что торговцы должны иметь в виду, в том числе:

  • Хакеры могут использовать вредоносные коды на устройстве, используемом плательщиком.
  • Удаленный вор мог получить доступ к сигналу во время бесконтактной транзакции, используя метод спуфинга через радиоприемник.
  • Злоумышленник может нажимать на чье-то устройство и собирать информацию с помощью принимающего устройства NFC.

Кроме того, предприниматели должны учитывать уязвимость технологий, которые полагаются на беспроводной сигнал для принятия платежей. Всегда существует вероятность того, что хакеры смогут получить доступ к конфиденциальной информации о продавцах, хранящейся в терминале NFC, в результате небезопасного беспроводного соединения.

Может ли злоумышленник получить информацию с карты

Исследователи протестировали 10 карт (шесть дебетовых и четыре кредита от добровольцев) для оценки рисков безопасности. Бесконтактные карты закодированы для «маскировки» персональных данных, но используя легкодоступный считыватель и бесплатное программное обеспечение для декодирования данных, можно прочитать номер карты и дату истечения срока действия со всех 10 карт. Также выяснилось, что можно прочитать ограниченную информацию о последних 10 транзакциях, хотя ни одна карта не выявила код безопасности CVV (номер на оборотной стороне).

Можно ли использовать информацию для покупки

Хотя большинство интернет-магазинов не позволят платить без CVV, некоторые это делают. Поэтому, хоть у мошенников может быть ограниченный выбор покупок, он все равно может потратить деньги владельца карты:

Отраслевые стандарты определяют максимальную силу магнитного поля для считывателей карт с 5 см, некоторые могут читать карты на больших расстояниях. Возможно, можно прочитать небольшой процент карт от 15 до 20 см от читателя, но даже если это произойдет в 0,1% случаев, с более чем 300-метровыми транзакциями, имевшими место в прошлом году, многие потребители могут пострадать.

Алгоритм работы платежа

Что можно потерять

Мошеннические транзакции на бесконтактных картах защищены теми же правилами, которые применяются к другим платежным картам. Это означает, что в случае мошенничества, банк вернет деньги, если это не результат халатности клиента. Однако ему придется заплатить часть общей суммы мошеннических транзакций, совершенных на карте. То, что банки берут большую часть финансового удара на себя, не означает, что это не влияет на пострадавшего клиента:

  • Часть суммы клиент все же потеряет.
  • Ему придется пройти через хлопоты по восстановлению карты или для того, чтобы вернуть деньги из своего счета.
  • Если атакующие крадут небольшие суммы, клиент может даже не заметить и, следовательно, не сможет сообщить об этом.
  • Трудно быть полностью анонимным, если клиент пользуется геотегами.
  • Некоторые карты транслировали недавнюю историю транзакций. Это имеет очевидные последствия для конфиденциальности.
  • Номера кредитных карт могут использоваться в фишинг-атаках.
  • Возможна покупка вещей на имя человека с помощью его кредитной карты без его ведома.

Выбор предпринимателей

Предприниматели, не использующие технологию EMV для обработки чиповых карт, могут нести ответственность за некоторые связанные с мошенничеством платежи, которые могли быть предотвращены EMV. Также предприниматели, которые используют устройства с поддержкой EMV, получают два по цене одного: возможность выполнять транзакции EMV, а также безопасно принимать мобильные/бесконтактные платежи. Внедряя технологию микросхем EMV, как бесконтактную, так и традиционные транзакции могут возникать в более безопасной инфраструктуре, которая уменьшает мошенничество.

Как потребители, так и предприниматели все больше отдают предпочтение технологии NFC благодаря ее способности уменьшать риск мошенничества. Терминалы NFC и чипы платежей позволяют пользователям избегать многих наиболее распространенных тактик кражи кредитной карты. Двумя распространенными стратегиями, используемыми ворами для доступа к данным кредитных карт клиентов, являются: компрометирование самого терминала и взлом серверов предприятия для доступа к ценной информации о клиентах. Терминал NFC, который принимает бесконтактные платежи, может помочь клиентам избежать обоих этих сценариев, поскольку он устраняет необходимость прокрутки карты вообще. Кроме того, более совершенная технология NFC позволила устройствам и картам генерировать уникальный номер карты для каждой транзакции.

www.vseprocredit.ru

Мои финансы – с защитой танцы / Блог компании Группа Компаний ХОСТ / Хабр

Вам встречались люди с торчащим кусочком фольги из кошелька? Нет? Совсем скоро вы их увидите во всех городах страны! Кто эти люди? Самые обычные граждане, которые волнуются за свои финансы. Причина их беспокойства — бесконтактные платежные карты технологии PayWave и PayPass.

Бесконтактные банковские карты – это уже знакомые и привычные для нас кусочки пластика, с той лишь разницей, что в них есть антенна для передачи информации по радиоканалу. Самыми распространёнными их видами являются VISA PayWave и MasterCard PayPass. Отличить такие карты можно по соответствующему символу в виде волны в углу и названию бесконтактной технологии рядом с логотипом платежной системы. Для оплаты покупки всего лишь надо поднести такую карту к платёжному терминалу, оснащенному специальным радиоприемником. И всё — платеж осуществлен. Никаких вводов паролей и оставления «автографов». Скорость увеличивается – очереди сокращаются.

Но как во всем прекрасном, так и в бесконтактных платежах есть свои спорные моменты. Увидев, как работают карты данного типа, возникает вопрос: если продавец может получить с карты данные, необходимые для проведения транзакции, что мешает злоумышленнику просканировать карту и снять с нее деньги? Безопасно или нет носить в кармане бесконтактную банковскую карту?

Немного истории
Впервые вопрос о безопасности банковских карт возник вначале 70-ых годов ХХ века, когда банки столкнулись с острой нехваткой рабочих рук. Операционисты не успевали обрабатывать вал бумаг, которыми сопровождались запросы на кредиты и их одобрение.

Эта ситуация побудила банки организовать самообслуживание клиентов при помощи банкоматов. Для обеспечения доверия новому оборудованию инженерам нужно было предложить способ, с помощью которого пользователи могли бы просто, быстро и безопасно себя идентифицировать. Так появились карты с магнитной полосой.

Однако в таких картах с магнитными носителями существовала и существует серьезная проблема, которая называется скимминг. В случае проведения «пластика» через скиммер, специальное считывающее устройство, маскируемое под штатные элементы банкомата, злоумышленники могут сделать копию магнитной полосы, а затем перенести полученную информацию на чистую карту.

В ответ на это в 80-х годах появились смарт-карты. По своему внешнему виду они весьма похожи на своих прародителей. Наряду с магнитной полосой, которая используется там, где недоступны считывающие устройства для смарт-карт, в пластик корпуса такой карты встраивается еще микропроцессорный чип – фактически полноценный компьютер. В контексте банковских приложений его еще часто называют EMV-чипом.

EMV – это стандарт, созданный совместными усилиями компаний Europay, MasterCard и Visa с целью повышения уровня безопасности банковских платежей. Вскоре после его создания Europay и MasterCard слились в одну компанию, но название документа уже менять не стали. Итак, за счет чего повысился уровень безопасности?

Во-первых, сложность подделки. Две минуты поиска на просторах Интернета и Вам будет предложена самая подробная инструкция по клонированию карт с магнитной полосой, а так же несколько десятков вариантов приобретения оборудования, необходимого для этого. Подделка карты с чипом на данный момент считается невозможной.

Второй фактор безопасности — использование динамических данных. Для каждой банковской транзакции EMV-чип генерирует индивидуальный код подтверждения. В связи с этим, перехват данных, передаваемых при платеже, становится бессмысленным.

В-третьих, появление предметной верификации держателя. При использовании магнитной карты для подтверждения платежа Вам необходимо поставить свою подпись, которую в большинстве случаев никто не сличает с оригиналом. А о том, что необходимо так же сверить имя владельца «пластика» с удостоверением личности его держателя, и говорить не стоит. При использовании чиповой карты подтверждение каждого платежа происходит путем введения PIN-кода.

Хоть EMV-чип стал серьезной альтернативой магнитной полосе, тем не менее, и у него есть ряд недостатков. Самый главный из них – это необходимость обеспечивать совместимость с гигантской инфраструктурой магнитной полосы. Для решения данной проблемы банки выпускают гибридные карты, предоставляющие оба варианта доступа к платежу. Но при обслуживании такой комбинированной карты по магнитной полосе, вновь встает вопрос безопасности. Снова появляется угроза скимминга.

Стоит отметить, что копирование данных все-таки возможно и с чипа. Со смарт-карт, выпущенных до 2008 года (MasterCard) и до 2009 года (Visa), можно считать информацию достаточную для изготовления соответствующей магнитной полосы, а именно: номер, срок действия, служебный код, информация о банке. Для карт, выпущенных позднее указанных дат, такой проблемы уже не существует.

Получится ли у мошенника воспользоваться такой копией или нет – вопрос. Как и карты, так и терминалы бывают различных типов. Если мошенник с «клоном» обратится в терминал, оборудованный только считывателем магнитной полосы, то проблем с использованием не возникнет. Гибридный терминал при распознавании кода, полученного с карты, способен установить, что помимо магнитной полосы она должна содержать еще и чип. В таком случае транзакция осуществлена не будет.

Вторая серьезная проблема EMV-чипа – это низкая скорость работы контактного интерфейса. Время необходимое для доступа к чипу, авторизации и выполнения необходимых процедур существенно больше, чем время транзакции по карте с магнитной полосой. В случае систем массового обслуживания данный факт может быть куда более критичным, чем риски мошенничества.

Все это обусловило необходимость создания платежных технологий, которые сочетали бы в себе лучшие стороны как магнитных, так и чиповых карт и при этом имели минимум недостатков. На эту роль как раз и претендуют бесконтактные банковские карты NFC.

О бесконтактных технологиях
В качестве физической основы механизма бесконтактных банковских платежей используется технология NFC. NFC (Near Field Communication — «коммуникация ближнего поля») — это беспроводная высокочастотная связь малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 10 сантиметров. По сути, это простое расширение стандарта бесконтактных карт (ISO 14443) RFID, объединение интерфейса смарт-карты и считывателя в единое устройство. Технология NFC в области банковских приложений позволяет заменить устаревшую, но привычную магнитную полосу на более современное решение, не ограничиваясь при этом банковскими картами. Оплата может производиться и иными платежными инструментами, будь то сотовый телефон или RFID-стикер, наклеенный на любой удобный предмет.

В бесконтактных картах информация, необходимая для проведения транзакций, хранится на чипе карты. Существует два типа таких карт.

Для первого варианта исполнения характерно наличие только бесконтактного интерфейса, размещенного на карте c магнитной полосой. Данный вид предназначен, в основном, для США. Фактически бесконтактный модуль является статическим и дублирует информацию, хранящуюся на магнитной полосе.

Второй вариант является более защищенным, чем первый. В такой карте обязательно наличие двух интерфейсов, взаимодействующих с чипом: контактного (впаянного элемента, напоминающего SIM-карту) и бесконтактного (RFID-метка). Карты данного типа соответствуют стандарту EMV. Они не только сохранили преимущества своих «чипованных собратьев», но и стали более удобными:

— Бесконтактная карта всегда остается при своем владельце. Её не надо передавать продавцу для проведения через считывающее устройство или вставлять в терминал. Особенно приятно прекращение практики, при которой вы, оплачивая обед, должны смириться с тем, что официант взял карту и ушёл оплачивать Ваш заказ, обслуживать других посетителей, пить чай и т.д.

— По бесконтактным картам, с целью увеличения скорости обслуживания, разрешены платежи без дополнительной аутентификации. Для России эта сумма составляет 1 000 рублей, для Украины – 200 гривен, а, например, для Таиланда – 700 тайских бат. Это не значит, что нельзя совершить бесконтактную оплату покупки, чья стоимость превышает данную сумму, просто в этом случае Вам придётся пройти процедуру аутентификации.

Совершение платежей на небольшие суммы без авторизации стало возможным благодаря тому, что международные платежные системы взяли курс на повышение скорости оплаты. Так Visa установила максимально допустимое время для проведения транзакций равным 30 секундам. С этой же целью Visa запустила программу Visa Easy Payment Service, по которой все точки продаж не должны требовать удостоверения личности у клиентов при покупке на сумму менее 1 000 руб.

Новая технология оплаты становится незаменима в точках массового обслуживания, где критична именно скорость, например, в транспорте. Секунды, сэкономленные при использовании бесконтактных карт, существенно сокращают очереди и время ожидания клиентов.

А как же безопасность?
В картах PayPass и PayWave используется RFID чип, работающий на частоте 13,56 МГц. Именно благодаря ему происходит обмен данными между картой и терминалом. Однако, злоумышленник может легко перехватить эти сведенья с помощью альтернативного RFID-сканера.

Производители бесконтактных карт решением проблемы называют тот факт, что радиус действия RFID-меток составляет 3-5 см. Но данный аргумент является весьма спорным, т.к. уже существуют дальнобойные считыватели с радиусом действия более 30 см. Пока они имеют в своем составе достаточно большие антенны, что не умаляет факта их существования.

Таким образом, имея RFID-сканер можно сформировать запрос на транзакцию и провести атаку на карту. Безусловно, этих данных недостаточно для создания клона, но ряд фишинговых атак может оказаться вполне успешным.

Между тем, и законодатели, и платежные системы в этом вопросе поддерживают держателя денежных средств. Сумма платежей до 1 000 рублей, оспариваемая владельцем карты возвращается без дополнительного расследования и в кратчайшие сроки. Во многом это связанно с заинтересованностью в развитии микроплатежей и постоянном увеличении денежных оборотов. На это явно указывает и один из самых обсуждаемых принятых законов – 161-ФЗ «О национальной платежной системе». Если ранее при махинациях с банковскими картами свою невиновность приходилось доказывать владельцу скомпрометированной карты, что в российских судах чаще всего ничем хорошим не заканчивалось, то с 1 января 2014г. ситуация кардинально меняется. В соответствие со статьей 9 упомянутого закона банк обязан возместить клиенту сумму операции, совершенной без его согласия, после получения уведомления о несанкционированном переводе денежных средств. И уже только после этого приступать к расследованию инцидента. Современные системы фрод мониторинга тем не менее не дадут злоупотреблять клиентам банков правом постоянно оспаривать операции. Желающих нажиться на ложных обращениях, можно оперативно выявить.

Так стоит ли пользоваться бесконтактными банковскими картами или нет? Скорее всего, стоит. Это не только удобно, это практически безопасно. Но если сомнения в безопасности передачи данных вашей карты по радиочастотному каналу всё-таки остаются, то экранирование карты конвертом из фольги решит этот вопрос. И нам все чаще будут встречаться люди с торчащим уголком фольги из кошелька.

habr.com