Кража денег с PayPass-карт: миф или реальность
Российские банки в течение последних двух-трех лет активно выпускают карты с поддержкой бесконтактной оплаты PayPass и Paywave — именно так называются эти системы у Mastercard и Visa соответственно. Более 30 тысяч торговых точек в России поддерживают их прием — приложив карту, можно и проезд в метро оплатить, и кольцо с бриллиантом.
Основное применение, конечно, — это микроплатежи, поскольку при суммах до 1000 рублей не требуется ни ввода пин-кода, ни подписи владельца — приложил и пошел, хотя и для более крупных покупок бесконтактная карта дает дополнительную безопасность, ведь вы не выпускаете ее из рук: если же она окажется у продавца, кассира или официанта, то он может как минимум быстро и незаметно получить ее реквизиты, а затем продать их кардерам.
Где тут уязвимость?
Тем не менее, можно прочитать данные вашей бесконтактной карты, причем для этого не нужен даже терминал, а достаточно смартфона с поддержкой NFC. В частности, никак не защищен от считывания номер карты и срок ее действия, а также список и суммы последних транзакций.
Этой информации недостаточно для создания полноценного клона, однако в ряде случаев достаточно для CNP-транзакции (Card Not Present) — то есть, операции без присутствия карты, или, попросту говоря, осуществления платежа через интернет или по телефону (например, в России так можно через колл-центр купить билеты «Аэрофлота») — без ввода имени/фамилии и CVC/CVV-кода.
В США за 4 года группа мошенников «обчистила» более миллиона банковских карт, списав с каждой всего по 9 долларов. Из-за незначительности суммы заметили и оспорили пропажу всего 10% пострадавших.
Нужно ли бояться человека с терминалом?
В начале этого года рунет взбудоражила история IT-специалиста, который сфотографировал в метро человека с беспроводным банковским терминалом и предположил, что с его помощью пассажир крал деньги с бесконтактных карт пассажиров. Ведь какая разница, карту приложить к терминалу или терминал к карте? Доказательств, конечно, никаких представлено не было, но история активно обсуждалась в СМИ, которые собрали неплохой трафик на заголовках про «Новый способ мошенничества» и «Как страшно жить».
В итоге появилась еще одна городская легенда, которой ловко воспользовались производители бумажников, предложившие изделия с экранированными отделениями для банковских карт. Выкинь свой старый кошелек и купи новый! Дорого! Гарантия! Иначе лишишься всего! Либо, как дурак, заматывай карточки в фольгу. Нет, серьезно, именно такие советы пишут авторы статей об этой «уязвимости».
На самом деле эта городская легенда — что-то вроде историй про крыс-мутантов, которые живут в канализации, внезапно выныривают из унитаза и откусывают ноги ничего не подозревающим обывателям. То есть, считать бесконтактную карту, лежащую в кошельке хозяина, теоретически можно. Но практически…
Во-первых, вы не знаете, у кого из пассажиров есть карта с PayPass, а у кого нет. У большинства нет. Во-вторых, вы не знаете, где эта карта лежит, а считать NFC-карту терминалом можно только в непосредственной близости, не больше пары сантиметров. То есть, нужно, получается, подходить ко всем подряд и тщательно водить терминалом вдоль сумок и карманов жертвы.
Американскими экспертами по IT-безопасности, конечно, был сделан экспериментальный считыватель, позволяющий «снимать» данные чуть ли не с нескольких метров, но возить его пришлось аж в тележке из супермаркета. И есть «троян» для Android-смартфонов, который, если носить телефон вместе с картами, может их тихонько прочитать и отправить данные злоумышленнику, однако тут вероятность совпадения нескольких условий успеха тоже невелика. Но, допустим, считать данные удалось.
Куда уйдут эти деньги? Каждый терминал зарегистрирован в банке, а каждый его владелец имеет специальный счет продавца, на который эти деньги поступают. То есть, никакой анонимности здесь нет, и вывести средства, полученные преступным путем, очень сложно; вернее, даже невозможно это сделать, оставаясь анонимным. Будет как в том анекдоте про грабителя, ворвавшегося в банк с пистолетом с криком: «Это ограбление! Никому не двигаться! Сейчас же переведите все деньги на счет 40817810452360569251!» Только с той еще разницей, что максимальная сумма перевода без подтверждения владельцем карты ограничена — тысяча рублей.
IT-специалист Сергей Вильянов считает, что бесконтактные транзакции защищены не хуже, чем платежи по чипованным картам (тем более, что карты, поддерживающие бесконтактные платежи, всегда чипом оснащены).
В общем, не уязвимость, а один сплошной анекдот. Так что никаких специальных кошельков и шапочек из фольги вам не нужно: платить за него вдвое больше просто потому, что внутри металлизированная сетка? Сомнительное решение. Есть, впрочем, одно исключение: это кошельки, в которых экранируются все карты, кроме одной. Это позволит использовать бесконтактную оплату, не извлекая карту из бумажника: в обычном же портмоне PayPass-карты будут конфликтовать не только друг с другом, но и с проездными на общественный транспорт, ключ-картами от офисов и т.п. И обязательно проверьте, подключено ли у вас 3-D Secure.
Как защититься?
Основной способ защиты от подобного мошенничества — это технология 3-D Secure, которую поддерживает большинство банков; часто владелец карты может сам выбрать, включать или нет ее для своей карты, однако в солидных банках без подключенного 3DS просто не будут работать платежи через интернет.
Суть технологии предельно проста: при проведении платежа браузер перенаправляется на страницу банка, где предлагается ввести одноразовый пароль, полученный по SMS на привязанный к карте номер.
Безусловно, эти SMS злоумышленник тоже может перехватить, однако одновременно и считать ваши данные карты, и перехватить сообщения практически нереально, уж проще тогда просто отобрать у вас сумку с телефоном и кошельком.
Тем не менее, 3D-Secure — не панацея. Некоторые банки разрешают операции по карте и там, где технология не поддерживается. В этом случае нужно уточнить, нельзя ли установить лимиты по таким незащищенным операциям, и тогда риск внезапного опустошения счета будет минимальным.