Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
8 сентября 2016

Кража денег с PayPass-карт: миф или реальность

Что будет, если воры считают вашу бесконтактную карту прямо из сумки? Мы выяснили, стоит ли этого опасаться и пора ли покупать бумажник с защитой от мошенников.

Зачем нужна бесконтактная оплата

Российские банки в течение последних двух-трех лет активно выпускают карты с поддержкой бесконтактной оплаты PayPass и Paywave — именно так называются эти системы у Mastercard и Visa соответственно. Более 30 тысяч торговых точек в России поддерживают их прием — приложив карту, можно и проезд в метро оплатить, и кольцо с бриллиантом.

Основное применение, конечно, — это микроплатежи, поскольку при суммах до 1000 рублей не требуется ни ввода пин-кода, ни подписи владельца — приложил и пошел, хотя и для более крупных покупок бесконтактная карта дает дополнительную безопасность, ведь вы не выпускаете ее из рук: если же она окажется у продавца, кассира или официанта, то он может как минимум быстро и незаметно получить ее реквизиты, а затем продать их кардерам.

Специальный валидатор, который поддерживает технологию PayPass, уже установлен в автобусах Москвы и Санкт-Петербурга. С ним проезд можно оплачивать самостоятельно с помощью банковской карты. Фото: petersburglike.ru

Где тут уязвимость?

Тем не менее, можно прочитать данные вашей бесконтактной карты, причем для этого не нужен даже терминал, а достаточно смартфона с поддержкой NFC. В частности, никак не защищен от считывания номер карты и срок ее действия, а также список и суммы последних транзакций.

Этой информации недостаточно для создания полноценного клона, однако в ряде случаев достаточно для CNP-транзакции (Card Not Present) — то есть, операции без присутствия карты, или, попросту говоря, осуществления платежа через интернет или по телефону (например, в России так можно через колл-центр купить билеты «Аэрофлота») — без ввода имени/фамилии и CVC/CVV-кода.

В США за 4 года группа мошенников «обчистила» более миллиона банковских карт, списав с каждой всего по 9 долларов. Из-за незначительности суммы заметили и оспорили пропажу всего 10% пострадавших.

Нужно ли бояться человека с терминалом?

В начале этого года рунет взбудоражила история IT-специалиста, который сфотографировал в метро человека с беспроводным банковским терминалом и предположил, что с его помощью пассажир крал деньги с бесконтактных карт пассажиров. Ведь какая разница, карту приложить к терминалу или терминал к карте? Доказательств, конечно, никаких представлено не было, но история активно обсуждалась в СМИ, которые собрали неплохой трафик на заголовках про «Новый способ мошенничества» и «Как страшно жить».

В итоге появилась еще одна городская легенда, которой ловко воспользовались производители бумажников, предложившие изделия с экранированными отделениями для банковских карт. Выкинь свой старый кошелек и купи новый! Дорого! Гарантия! Иначе лишишься всего! Либо, как дурак, заматывай карточки в фольгу. Нет, серьезно, именно такие советы пишут авторы статей об этой «уязвимости».

Купила кошелек LV с защитой от считывания карт: много слышала о том, что вор может просто в автобус зайти и снять все ваши деньги. Ну, и сам кошелек модный и красивый, давно хотела такой.
Ирина КрасильщиковаВоронеж

На самом деле эта городская легенда — что-то вроде историй про крыс-мутантов, которые живут в канализации, внезапно выныривают из унитаза и откусывают ноги ничего не подозревающим обывателям. То есть, считать бесконтактную карту, лежащую в кошельке хозяина, теоретически можно. Но практически…

Во-первых, вы не знаете, у кого из пассажиров есть карта с PayPass, а у кого нет. У большинства нет. Во-вторых, вы не знаете, где эта карта лежит, а считать NFC-карту терминалом можно только в непосредственной близости, не больше пары сантиметров. То есть, нужно, получается, подходить ко всем подряд и тщательно водить терминалом вдоль сумок и карманов жертвы.

Информацию с карты с PayPass можно считать только на расстоянии нескольких сантиметров. Фото: Daily Mail

Американскими экспертами по IT-безопасности, конечно, был сделан экспериментальный считыватель, позволяющий «снимать» данные чуть ли не с нескольких метров, но возить его пришлось аж в тележке из супермаркета. И есть «троян» для Android-смартфонов, который, если носить телефон вместе с картами, может их тихонько прочитать и отправить данные злоумышленнику, однако тут вероятность совпадения нескольких условий успеха тоже невелика. Но, допустим, считать данные удалось.

Куда уйдут эти деньги? Каждый терминал зарегистрирован в банке, а каждый его владелец имеет специальный счет продавца, на который эти деньги поступают. То есть, никакой анонимности здесь нет, и вывести средства, полученные преступным путем, очень сложно; вернее, даже невозможно это сделать, оставаясь анонимным. Будет как в том анекдоте про грабителя, ворвавшегося в банк с пистолетом с криком: «Это ограбление! Никому не двигаться! Сейчас же переведите все деньги на счет 40817810452360569251!» Только с той еще разницей, что максимальная сумма перевода без подтверждения владельцем карты ограничена — тысяча рублей.

IT-специалист Сергей Вильянов считает, что бесконтактные транзакции защищены не хуже, чем платежи по чипованным картам (тем более, что карты, поддерживающие бесконтактные платежи, всегда чипом оснащены).

Стандарт EMV, по которому защищены беспроводные платежи, исключает саму возможность клонирования карты по информации, передаваемой во время транзакции. Это даже сложнее, чем клонировать человека по капле слюны. Ну, и если бы у кого-то появилась такая возможность, вряд ли бы он торговал ею по цене айфона, потому что Visa и MasterCard купили бы описание уязвимости гораздо дороже.
Сергей Вильяновредактор направления IT и инноваций портала Bankir.ru

В общем, не уязвимость, а один сплошной анекдот. Так что никаких специальных кошельков и шапочек из фольги вам не нужно: платить за него вдвое больше просто потому, что внутри металлизированная сетка? Сомнительное решение. Есть, впрочем, одно исключение: это кошельки, в которых экранируются все карты, кроме одной. Это позволит использовать бесконтактную оплату, не извлекая карту из бумажника: в обычном же портмоне PayPass-карты будут конфликтовать не только друг с другом, но и с проездными на общественный транспорт, ключ-картами от офисов и т.п. И обязательно проверьте, подключено ли у вас 3-D Secure. 

Как защититься?

Основной способ защиты от подобного мошенничества — это технология 3-D Secure, которую поддерживает большинство банков; часто владелец карты может сам выбрать, включать или нет ее для своей карты, однако в солидных банках без подключенного 3DS просто не будут работать платежи через интернет.

Суть технологии предельно проста: при проведении платежа браузер перенаправляется на страницу банка, где предлагается ввести одноразовый пароль, полученный по SMS на привязанный к карте номер.

Безусловно, эти SMS злоумышленник тоже может перехватить, однако одновременно и считать ваши данные карты, и перехватить сообщения практически нереально, уж проще тогда просто отобрать у вас сумку с телефоном и кошельком.

Тем не менее, 3D-Secure — не панацея. Некоторые банки разрешают операции по карте и там, где технология не поддерживается. В этом случае нужно уточнить, нельзя ли установить лимиты по таким незащищенным операциям, и тогда риск внезапного опустошения счета будет минимальным.

 

Понравился материал? Расскажите о нем друзьям!
Комментарии
16
master68
Поддерживаю Илью. Тут и гуглить не нужно. Попробуйте ка сбербанку что нибудь предьявить, даже "суперпуперпрозрачные" транзакции! Голову расшибёте, но деньги они вам не отдадут!!! Примеров в интернете обчитаешься, можно уже многотомник выпускать!!! И закон Сбербанку по хрену!
СсылкаПожаловаться
Илья Пунгин
В ответ на комментарий от Юрий Рябиков История переписки2
Юрий Рябиков
Добрый день! У меня впечатление, что у вы не полностью представляете себе структуру и правила проведения безналичных расчетов с использованием банковских карт. Все операции с использованием банковских карт по определению прозрачны. Все участники этих операций зарегистрированы в международных платежных системах. Средства переводятся на легальные расчетные счета. Выстроены многоуровневые системы безопасности не позволяющие неоднократно и в массовом количестве проводить операции по списанию средств с банковских карт. При любом обращении пользователя информация моментально анализируется и при наличии угрозы, подозрительный участник отключается от системы переводов. При этом все полученные им средства блокируются обслуживающим его банком. По оспоренным операциям в течение суток средства подлежат обязательному немедленному возврату. По более поздним обращениям, более долгий срок разбирательства. При этом все участники идентифицированы. И у всех своя зона ответственности. Это не ситуация, когда у вас наличку из кармана вытащили и с поличным не поймали. Здесь всегда известны участники, получившие ваши средства. И кроме банковских правил, вас защищает уголовный кодекс. Безопаснее расчетов на сегодня просто не существует. Оспоренных операций ничтожно мало. Стандартный процент человеческих ошибок, достаточно просто исправляемых. Но несомненно осуществлять микроплатежы стало более удобно.
СсылкаПожаловаться
Средства переводятся на легальные расчётные счета, после чего банк заявляет, что умывает руки (ибо он свои обязательства передать деньги от А к Б исполнил, а уж правомерно ли это - не ему, знаете ли, решать), хотя при этом и соглашается передать всю информацию о сделке правоохранительным органам, но исключительно по их запросу. Погуглите отзывы про магазин technoplus.ru - они уже несколько лет собирают деньги, не отправляя товары, при этом и в поисковиках (том же Яндексе) висят регулярно и в первой пятёрке по нужным им запросам. Уже большому числу "покупателей" известно, что этот сайт - мошеннический. Его реквизиты и лица, стоящие за ним, известны правоохранительным органам. Но что с того? Говорите, оспоренные платежи возвращают? Знаем, сталкивались - никто ничего не возвращает! Даже думать об этом забудьте! УК, говорите, на стороне добропорядочного гражданина? Ну и что, что "ту" сторону найдут - "там" или регистрация на бомжа, или какой уголовник, с которого взять нечего. Вы случайно не теорию нам рассказали? Я вот говорю (к сожалению) о практике...
СсылкаПожаловаться
Илья Пунгин
Ага, и что толку с того, что известно, на чей счёт "упали" деньги с вашей карточки? В статье "Блокировка сайта как средство борьбы с мошенниками" (на хабре) подробно описана ситуация, когда деньги были переведены лицу, "вычислить" которое для правоохранительных органов не составляет труда, однако воз (то бишь деньги) и ныне там (ну завели уголовное дело по факту мошенничества - и что с того? думаете, с кражей расследование пойдёт по-другому?) а если с карты снимут небольшую сумму (до 5000 руб. - хотя для кого как, кому-то это - большие деньги!), то размер ущерба будет (с недавних пор, кстати, - не потому ли, что таких случаев стало много?) незначительным, а что делают с подобными кражами? Тщательнейшим образом расследуют всеми имеющимися в наличии силами?
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 6S 32GB
от35 780руб.
Apple iPhone 7 32GB
от43 400руб.
Samsung Galaxy A5 (2016)
от17 100руб.
Apple iPhone SE 64GB
от28 590руб.
Xiaomi Mi5 32GB
от16 130руб.
Apple iPhone 7 128GB
от51 480руб.
Xiaomi Redmi 3S Pro 32GB
от9 590руб.
Meizu M3 Note 16GB
от9 290руб.
Samsung Galaxy J2 Prime
от7 938руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru