Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
15 июня 2016, Источник: Hi-Tech Mail.Ru

Могут ли мошенники клонировать вашу банковскую карту?

На днях в интернете началась паника: в продаже появились устройства, которые якобы могут клонировать вашу банковскую карту на расстоянии. Утверждается, что гаджет может создать 15 копий бесконтактной карты всего за секунду. Hi-Tech.Mail.Ru оперативно разобрался в ситуации и выяснил, правда ли это.

Данные крадут за секунды

Группа хакеров The CC Buddies продает в даркнете новый девайс, который способен клонировать 15 банковских карт в секунду с расстояния в восемь сантиметров. Не надо ни к кому прижиматься: прошел по вагону метро — девайс скопировал данные с современных бесконтактных карт и записал их во внутреннее хранилище. Впоследствии злоумышленник подключит прибор к компьютеру через USB-порт, а специальное приложение, которое The CC Buddies продают в комплекте с устройством, позволит извлечь украденную информацию и в буквальном смысле создать клон вашей карты на пластиковом носителе.

Но деньги украсть не получится 

Продается прибор за 1,2 биткоина, что по текущему курсу составляет чуть более 800 долларов. Что же, пора оставлять дома бесконтактные карты?

На самом деле все совсем не так. Этот прибор рассчитан на не особо разбирающихся в теме «кулхацкеров» (англ. cool hacker, "крутой хакер" в ироничном смысле), желающих «халявы нахаляву». Если почитать описание прибора, то становится очевидна его безобидность: заявлено, что Contactless Infusion X5 собирает данные о номере карты и сроке ее действия (эти данные есть в любой карте), а также, при их наличии — дополнительные данные, а именно, адрес владельца и список последних операций по счету. Казалось бы, вон сколько данных! Однако украсть деньги они не помогут, и вот почему.

Устройство, которое клонирует 15 пластиковых карт за секунду / Softpedia

Клонировать бесконтактную карту таким образом нельзя, потому что здесь авторизация строится на генерации чипом ответа на запрос на базе хранящегося в защищенной области памяти ключа (откуда невозможно прочитать этот ключ физически). Расплатиться через интернет такой картой нельзя — недостаточно данных, плюс никто не отменял двухфакторную авторизацию 3D-Secure (в приличных банках без нее не работают платежи через интернет вообще). Залить данные карты на карту с магнитной полосой можно. Но карта же чиповая, и при операции по магнитной полосе банк, через который попытаются снять деньги, должен будет вернуть их, поэтому такие операции практически везде запрещены, и в любом случае ваш банк вернет вам средства по опротестованной операции. То есть бояться нечего — есть мнение, что подобные вбросы распространяются продавцами экранированных кошельков, чтобы увеличить спрос на свой товар.

Бесконтактные транзакции защищены не хуже, чем платежи по чипованным картам (тем более, что карты, поддерживающие бесконтактные платежи, всегда чипом оснащены). Стандарт EMV, по которому защищены беспроводные платежи, исключает саму возможность клонирования карты по информации, передаваемой во время транзакции. Это даже сложнее, чем клонировать человека по капле слюны. Ну и если бы у кого-то появилась такая возможность, вряд ли бы он торговал ей по цене айфона, потому что Visa и MasterCard купили бы описание уязвимости гораздо дороже
Сергей Вильяновредактор направления IT и инноваций портала bankir.ru

Что думает платежная система?

В MasterCard отметили, что пользоваться бесконтактной технологией оплаты просто, удобно и так же безопасно, как и другими решениями MasterCard для оплаты покупок и услуг. Это современное и высокозащищенное решение. Чтобы ваши деньги остались при вас, вовлечено сразу несколько уровней защиты – на самой карте (или другом бесконтактном устройстве), в терминале, в котором обслуживается карта, на уровне платежной системы, на уровне банков – и эмитентов карт, и эквайеров. Важно понимать, что безопасность в вопросах безналичной оплаты банковскими картами – это всегда комплекс мер: технических, административных, логистических и т.д.

Прежде всего бесконтактная оплата – это операция, совершаемая только на сертифицированном терминале, который подключен к инфраструктуре банка, а банк, в свою очередь, – к платежной системе. Операция обрабатывается участниками платежной системы, которые выполняют соответствующие правила. Обычный человек не может получить банковский терминал. Терминал связан с банком защищенным каналом, и банк не просто «передает» данные, но и исполняет определенные требования по безопасности, за которыми следит платежная система. В частности – банк проверяет при подключении торговые и сервисные компании.

Обмен данными между терминалом и бесконтактной картой происходит на очень коротком расстоянии – менее 4 см.  Поле контакта достаточно маленькое – в него нужно довольно точно попасть, чтобы совершилась оплата. Повторная оплата исключена – терминал переходит в пассивный режим после проведения транзакции.

Фото: Олег Горобец / Блог «Лаборатории Касперского»

Диалог между картой и терминалом содержит одноразовые зашифрованные пароли, которые генерирует специальный чип, и минимум информации о карте – например, в нем нет даже имени владельца карты.

Держатель карты получает СМС о расходах по карте. Вы знаете, что потерянные наличные нельзя вернуть. Но если вы забыли или потеряли любую карту  − обычную или бесконтактную – вы всегда можете ее оперативно заблокировать через банк.

Кстати, похожую историю уже описывал один из сотрудников «Лаборатории Касперского» в своем аккаунте Facebook. Он заметил в метро пассажира с банковским терминалом в руках и раздул панику, что деньги с бесконтактных банковских карт могут украсть «по воздуху». Правда, через полчаса пост был удален, но белки-истерички уже полгода как пишут со ссылкой на него о том, как страшно жить, в смысле, ездить в метро с банковскими картами PayPass и PayWave в кошельке. Мол, для покупок до 1000 рублей никакой авторизации не требуется, поэтому прячьте ваши денежки и надевайте шапочки из фольги.

На самом же деле бояться нечего и картами с NFC можно пользоваться. Если же вы совсем параноик - используйте NFC-оплату в смартфоне, привязав карту к нему через промежуточный сервис вроде "Карты Билайн": в этом случае без запуска приложения и ввода пароля бесконтактная оплата работать вообще не будет.

Степан Зайцев

Расскажите друзьям, что пользоваться бесконтактной банковской картой оказалось так же безопасно, как и обычной. Не стоит бояться таких мошенников. Кнопки ниже!

Комментарии
28
Олег Коваль
В ответ на комментарий от lobzik История переписки3
lobzik
Повезло что в США попытались расплатиться, а попытались бы где-нибудь у нас и успешно смогли бы... И я не про касперского, а про вполне реальную демонстрацию использования двух телефонов как репитера при обмене терминала с картой, да и уж совсем примитивная атака - поднести терминал к карману в транспорте. Думаю, очевидно что это возможно для карт без пин-кода, коих полно. Понятно, что потом будут танцы с бубном и многие смогут транзакции отменить но это то еще развлечение. Непонятно в принципе, для чего плодить столь очевидные угрозы безопасности, которые не имеют ни малейшего смысла. Нет никакой существенной разницы между втыканием карты на пару секунд в терминал и прикладыванием ее к нему на то же время.
СсылкаПожаловаться
Да попросту собираются ввести единые системы оплаты, в транспорте, например - как сейчас RFID-картами платим. Я так считаю, что это пока лишнее.
Транспортную карту с небольшой суммой - лучше держать отдельно от банковской всё-таки.
СсылкаПожаловаться
KoZaK
В ответ на комментарий от Алмаз Нургаллиев История переписки3
Комментарий удален.Почему?
Доброй ночи! Это был Райф. В смысле Райффайзенбанк.
СсылкаПожаловаться
[RMA]
*Обычный человек не может получить банковский терминал*
Значит нужно стать "не обычным" человеком. Снять какую-нибудь кладовку под офис (в районе 30 000 рублей), зарегистрировать на зицпредседателя Фунта ООО "Рога и копыта" с основным видом деятельности по оказанию курьерских и иных услуг населению и уставным капиталом 10 000 рублей, купить портативный терминал (от 10 000 до 40 000 рублей), зарегистрировать его в налоговой (около 1 500 рублей). Вуаля, неделю, дней 10, пока контору не накроют, можно бегать в часы пик по крупному городу и списывать у зевак по 1000 рублей "за оказание иных услуг". Основная масса по поводу списанного штукаря вообще никуда разбираться не пойдёт, часть будет отсеяна самой полицией, ибо доказательств, что вы не получали "иных услуг" у вас нет, а по поводу сходить разобраться куда там с вас списали штукарик, отрывать попу от кресла - лениво. За вред в размере 1000 рублей уголовная ответственность не наступает. В общем, потраченные 90-100 тыр, в крупном городе, у мошенника окупятся за 1 день. Так что, граждане, не верьте банкам, новостям на мыле и защищайте свои деньги самостоятельно. Дальше положишь... ;)
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 6S 32GB
от35 980руб.
Apple iPhone 7 32GB
от43 400руб.
Samsung Galaxy A5 (2016)
от17 100руб.
Apple iPhone SE 64GB
от30 180руб.
Xiaomi Redmi 3S Pro 32GB
от9 131руб.
Samsung Galaxy S7 32GB
от32 500руб.
Meizu M3 Note 16GB
от9 290руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Apple iPhone 7 128GB
от51 500руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru