Не давайте сфотографировать карту
Когда вы платите в торговой точке, злоумышленник может незаметно сфотографировать карту и воспользоваться ей в дальнейшем при оплате в интернете. В кафе или ресторане это сделать еще проще:
Когда вы платите картой, есть несколько способов украсть у вас деньги. Физически карта для платежей в интернете не нужна. Если, например, официант уносит у вас карту, он может сфотографировать ее с двух сторон и воспользоваться ею в интернете. Когда вы пользуетесь Apple Pay, фотографировать нечего, у вас не могут украсть эти ваши данные.
Apple Pay достаточно «показать» карту один раз – ввести ее данные и сохранить их. При этом ее номер не хранится ни на смартфоне, ни на серверах Apple. Номер карты связывают с уникальным номером учетной записи устройства, который, в свою очередь, шифруют и хранят в чипе Secure Element, установленном в iPhone или другом совместимом устройстве. А для подтверждения платежа необходим отпечаток пальца.
Нужен и палец, и смартфон
Просто украсть iPhone, чтобы воспользоваться Apple Pay, не имеет смысла – оплату все равно придется подтверждать через Touch ID отпечатком пальца. Теоретически если владелец смартфона заснет в такси или будет без сознания, то его Apple Pay можно будет воспользоваться, подтвердив платеж отпечатком пальца, отметил Торбахов.
С неживым пальцем это не сработает – Touch ID не распознает холодные отпечатки. Напомним, что разблокировать «яблочный» смартфон отпечатком пальца можно, если Touch ID уже использовался в течение последних восьми часов, а цифровой пароль вводился в течение последних шести дней.
Евгений Черешнев, представитель «Лаборатории Касперского», утверждает:
Современные методы NFC-платежей типа PayPass/PayWave довольно безопасны - размер типовой операции регламентируется банками, что позволяет им сильно снизить риски краж в гипотетических сценариях, в которых человек, например, находится без сознания – злоумышленники не смогут снять большой объем денег без дополнительных факторов идентификации. В случае чипованных карт это, как минимум, PIN и/или подтверждающий номер из одноразового проверочного SMS. Ряд консервативных банков до сих пор используют одноразовые таблицы разовых кодов и те тоже прекрасно работают. Однако, в обоих случаях [оплате с помощью фото карты или использования Apple Pay с iPhone человека, который находится без сознания], после кражи злоумышленнику придётся предъявить продавцу (а вместе с ним и банку) дополнительный фактор идентификации – PIN, SMS или хотя бы отпечаток пальца (в случае Apple Pay). Угроза использования “отрезанного” пальца для последующей авторизации, по моим данным, не соответствует действительности: Apple TouchID использует радиочастотное сканирование для распознания субэпидермальных слоёв кожи, а мертвая ткань отличается от живой, поэтому злоумышленник не получит доступа к информации.
