Защита бесконтактных банковских карт MasterCard PayPass и Visa payWave от кражи денег «по воздуху».

  • srctps://media.kasperskydaily.com/wp-content/uploads/sites/90/2015/08/06044845/nfc_blog.png»/>

    «С вас 732 рубля», — говорит кассир в супермаркете. Я привычно шлепаю закрытым кошельком по карточному терминалу. Секунда, короткий писк, и все — оплата прошла.

    Бесконтактная банковская карта действительно удобная штука. Не нужно ничего никуда засовывать, вспоминать PIN-код, корябать чеки плохо пишущей ручкой, не говоря уже о том, чтобы отсчитывать купюры и копаться по карманам в поисках мелочи. Приложил — и готово, свободен.

    nfc_fb.png

    Продавцам бесконтактные платежи тоже только в радость, поскольку позволяют ускорить процесс оплаты и увеличить таким образом пропускную способность кассы — самого узкого места во всем торговом хозяйстве.

    Только вот простота совершения покупки заставляет задуматься: а что, украсть деньги с карты так же просто? Провел ридером по карману — и привет, средства, нажитые непосильным трудом?

    Чтобы разобраться в этом вопросе, я проштудировал немало докладов с хакерских конференций и пообщался с представителями банка. Ответ получился скорее обнадеживающим, хотя и не без нюансов.

    Расстояние

    Бесконтактные банковские карты используют для передачи данных технологию NFC, разновидность RFID. На карте размещены чип и антенна, которые «откликаются» на запрос платежного терминала на радиочастоте 13,56 МГц. Разные платежные системы используют собственные стандарты: Visa payWave, MasterCard PayPass, American Express ExpressPay и так далее. Но устроены они похожим образом.

    Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты — физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.

    Зато можно сделать нестандартный ридер, который работает на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного сканера.

    Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и тому подобных местах скопления людей. Благо в некоторых странах подходящие карты лежат в бумажнике уже у каждого второго гражданина.

    Впрочем, можно пойти еще дальше и обойтись вовсе без сканера и личного присутствия. Еще одно оригинальное решение проблемы расстояния предложили испанские хакеры Рикардо Родригес и Хосе Вилла, представившие доклад на недавней конференции Hack In The Box.

    contactless-card-attack-concept-1024x411.jpg

    Большинство современных Android-смартфонов оснащены модулем NFC. При этом смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке. Родригес и Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала.

    Как только зараженный телефон оказывается возле бесконтактной карты, он отправляет через Интернет злоумышленникам сигнал о доступности транзакции. Мошенники активируют обычный платежный терминал, подносят к нему свой NFC-смартфон. Таким образом создается «мост» через Интернет между NFC-карточкой и NFC-терминалом, удаленными друг от друга на любое расстояние.

    Троянец может распространяться стандартным способом, например в комплекте со «взломанным» платным приложением. Все, что требуется, — это версия Android 4.4 и выше. Root-доступ необязателен, хотя и желателен для того, чтобы троянец мог работать и после блокировки экрана.

    Криптография

    Разумеется, подобраться к карточке — это только полдела. Дальше нужно преодолеть более серьезную защиту, основанную на криптографии.

    Бесконтактные транзакции защищены тем же стандартом EMV, что и чиповые карты. В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.

    Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было.

    #Деньги из воздуха: безопасны ли #бесконтактные #платежи?

    Tweet

    Есть, правда, одна деталь. В стандартной реализации защита чиповых карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала.

    «Сделать терминал, который будет считывать данные карты «из кармана» клиента, теоретически возможно. Но этот терминал должен иметь «на борту» криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Таким образом, мошенничество будет легко обнаружить и расследовать», — рассказал нам руководитель управления поддержки приложений Райффайзенбанка Александр Тараторин.

    Сумма покупки

    Есть еще один уровень защиты — ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем. В России максимальный порог платежа составляет 1000 рублей, в США — $25, в Великобритании — 20 фунтов (скоро будет повышен до 30) и так далее.

    Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка — эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты.

    Квантовый пластик: какими будут кредитки будущего? https://t.co/zSYNadHivWpic.twitter.com/HbUCxDUhyN

    — Евгений Касперский (@e_kaspersky_ru) February 5, 2015

    Но и здесь есть нюансы. Другая команда британских исследователей из Университета Ньюкасла почти год назад сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.

    Представители платежной системы Visa опровергли практическую осуществимость подобной атаки, заявив, что транзакция будет отклонена банковскими системами безопасности.

    По словам Тараторина из Райффайзенбанка, терминал контролирует максимальный размер платежа независимо от того, в какой валюте он осуществляется.

    Мы пойдем другим путем

    Так что же, получается, что мошенническая NFC-транзакция неизбежно будет задержана банком или платежной системой? Скорее всего, да, если в этой схеме не задействованы недобросовестные работники на стороне банка.

    Но есть и еще одна неприятная возможность. Через NFC можно украсть не «саму транзакцию», а информацию о банковской карте.

    Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение (например, Banking card reader NFC — можете сами поэкспериментировать со своими картами).

    До сих пор считалось, что эта открытая информация не ставит под угрозу безопасность карты. Однако авторитетное британское издание для потребителей «Which?» выступило с неожиданным опровержением этого тезиса.

    **SECURITY ALERT** We’ve found a flaw with contactless cards that could be exploited to make pricey online purchases http://t.co/0yVNrKDije

    — Which? (@WhichUK) July 22, 2015

    Эксперты «Which?» протестировали десяток разных бесконтактных карт, выпущенных британскими банками. С помощью доступного NFC-ридера и бесплатного ПО им удалось декодировать номер и дату истечения срока действия для всех десяти карт.

    Казалось бы, беспокоиться рано. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты.

    К сожалению, многие интернет-магазины в реальности не требуют его для покупки. Что и продемонстрировали эксперты «Which?», успешно заказавшие телевизор за 3 тыс. фунтов в одном из крупных онлайн-ритейлеров.

    Мораль

    Хотя сама технология бесконтактных платежей действительно закрыта хорошей многофакторной защитой, это совсем не значит, что с ней ваши деньги находятся в безопасности. Слишком многое в банковских картах связано с давно устаревшими технологиями (магнитная полоса, онлайновый платеж без дополнительной аутентификации и так далее).

    Еще больше зависит от добросовестности настроек конкретных финансовых учреждений и магазинов. Причем последние в погоне за высокой скоростью покупок и низким процентом «брошенных корзин» нередко очень сильно пренебрегают безопасностью платежа.

    Как устроен криминальный бизнес на банкоматах и как не стать целью преступников — Часть 2: http://t.co/pQGSjrXh1Cpic.twitter.com/bW6GgRlpJr

    — Kaspersky Lab (@Kaspersky_ru) January 30, 2015

    Посему стандартные советы по обеспечению безопасности сохраняют свою актуальность и в этом случае. Берегите карту и PIN-код от чужих глаз, не «светите» ее где попало, смотрите, что устанавливаете на смартфон, обзаведитесь антивирусом, включите SMS-уведомления об операциях, а при первом подозрении обращайтесь в банк.

    Ну а для полной уверенности в том, что никто и никаким образом не сможет считать вашу бесконтактную карту без вашего ведома, можно купить специальный экранированный кошелек. Уж физику точно не обманешь.

В России стали довольно популярны банковские карты, позволяющие совершать платежи по бесконтактной технологии, учитывая тот факт, что банки насильно выдают своим клиентам карты с NFC чипами. Как правило, это карты работающие с платежными системами Visa и MasterCard. У Visa технология называется payWave, у MasterCard это PayPass, что в сущности одно и тоже. Узнать поддерживает ли ваша банковская карта бесконтактные платежи вы можете по наличию на ней фирменных логотипов с наименованием данных технологий или универсального значка радиомодуля.

Ещё одной особенностью этих систем является возможность осуществлять бесконтактные платежи до определённой суммы без аутентификации держателем карты (без ввода PIN-кода). В России такие операции ограничены суммой до 1000 рублей, в странах еврозоны до 25 евро, в США до 15 долларов, в Великобритании до 20 фунтов стерлингов (с сентября 2015 года — 30), до 50 злотых в Польше, в Казахстане до 4000 тенге, в Беларуси до 22 бел. рублей, в Польше до 50 злотых, в Укрaине до 500 гривен, в Узбекистане до 25 долларов США и т. д.   С одной стороны это очень удобно когда вы торопитесь или заняты руки, но есть и обратная сторона такой технологии, это операции без подтверждения. Вообще, если разобраться, банковские карты всегда были в центре внимания злоумышленников, огромные суммы денег были украдены у их владельцев, а благодаря бесконтактной технологии появилась еще одна брешь в безопасности.Первая проблема, эта потеря или кража карты, когда вы этого не заметили. Злоумышленник может ходить с ней по магазинам и делать покупки до 1000 рублей, пока не опустошит счет.Вторая проблема, незаметная кража денег через NFC радиомодуль.  Обычно это происходит в общественном транспорте, когда плотность пассажиропотока высока и злоумышленнику легко затеряться в толпе людей, он пользуясь небольшим PoS-терминалом или даже специально подготовленным смартфоном, проводит в непосредственной близости от тех мест на вашей одежде где может лежать кредитка или по сумке в которой лежит кошелёк, предварительно установив платеж в пределах суммы в 1000 рублей. Вы не подозревая производите оплату и деньги уходят злоумышленнику. 
В таких случаях хорошо помогает СМС-информирование о списании, у вас появляется возможность оперативно позвонить в банк и уведомить оператора о неправомерном списании денежных средств с вашего расчетного счета. Сложность быстрого реагирования может возникнуть в метро, когда уровень сигнала сети вашего мобильного оператора недостаточен чтобы получить СМС своевременно, также вы просто можете не услышать сигнал телефона из-за высокого уровня шума. Для злоумышленника все наоборот, Wi-Fi в вагонах метро добавил больше возможностей совершить кражу, так как для проведения операции по снятию средств с банковской карты нужен интернет канал для связи с банком. Некоторые люди сразу даже не замечают списаний со счета, так как в ряде случаев они не значительны и не всегда удается вспомнить какие покупки в тот день оплачивались картой, особенно если редко используешь для оплаты наличные. По этим противоправным действиям даже нельзя составить полную статистику, так как обращений в правоохранительные органы по данным инцидентам не много по причине нежелания владельца карты тратить время из-за незначительного размера украденных средств.Есть ряд довольно простых и очевидных способов обезопасить свои деньги от злоумышленников:1) Старайтесь не класть банковские карты в карманы штанов и куртки, лучше носите в средних отделениях сумки/портфеля (дальше от стенок);2) Не отключайте СМС-информирование, может помочь своевременно среагировать;3) Ограничивайте сумму ежедневных затрат/снятий по карте, если это позволяют настройки вашего банк-клиента;4) Используйте специальные средства защиты банковских карт, большое их количество появилось на Aliexpress. К специальным средствам защиты можно отнести экранированные кошельки, пакетики, металлические кейсы и держатели банковских карт. Специальные кошельки сейчас существуют на любой цвет и достаток, даже бренд LV имеет в своей линейки такие кошельки.
Вот совсем недорогой вариант, полиэтиленовые пакетики с алюминиевым экранирующим напылением:
Есть еще металлические кейсы и держатели:
Если вы вообще не хотите тратиться на такие устройства, то можно самому сделать конвертик для банковской карты из пищевой фольги или вырезать из упаковки Tetra Pak скрепив края степлером .
Если вы знаете еще какие-то методы защиты от мошенников, пишите в комментариях. Всем удачи! БезопасностьОбновление 20.04.2019 Бесконтактные банковские NFC карты позволяют расплачиваться за осуществленную покупку без контакта платежной карточки с терминалом: не нужно ничего никуда засовывать, вспоминать PIN-код, подписывать чеки плохо пишущей ручкой, не нужно отсчитывать купюры и копаться по карманам в поисках мелочи. Продавцам NFC карты тоже нравятся, поскольку позволяют ускорить процесс оплаты и увеличить таким образом пропускную способность кассы. Бесконтактные банковские карты используют для передачи данных технологию NFC: на карте размещены чип и антенна, которые «откликаются» на запрос платежного терминала на радиочастоте 13,56 МГц. Разные платежные системы используют собственные стандарты: Visa payWave, MasterCard PayPass, American Express ExpressPay и так далее. Но устроены они похожим образом. Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты — физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно. Зато можно сделать нестандартный ридер, который работает на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного сканера. Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и тому подобных местах скопления людей.  Можно обойтись и без ридера. На конференции Hack In The Box испанские хакеры Рикардо Родригес и Хосе Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала. Как только зараженный телефон оказывается возле бесконтактной карты (смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке), он отправляет через Интернет злоумышленникам сигнал о доступности транзакции. Мошенники активируют обычный платежный терминал, подносят к нему свой NFC-смартфон. Таким образом создается «мост» через Интернет между NFC-карточкой и NFC-терминалом, удаленными друг от друга на любое расстояние. Троянец может распространяться стандартным способом, например в комплекте со «взломанным» платным приложением.

Криптографическая защита бесконтактные банковские NFC карты

Бесконтактные транзакции защищены стандартом EMV (тем же что и банковские карты с чипом). В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции. Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было… Или я таких не нашёл. Но есть одна деталь. В стандартной реализации защита чиповых банковских карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала. Сделать терминал, который будет считывать данные карты «из кармана» клиента возможно. Но этот терминал должен иметь криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Что тоже получить не просто.

Ограничение максимальной суммы бесконтактной транзакции бесконтактных банковских NFC карт

Есть еще один уровень защиты — ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем. В России максимальный порог платежа составляет 1000 рублей (насколько знаю — это рекомендация Visa и Mastercard в России). С 13 апреля 2019 Visa увеличила такие платежи до 3000 рублей. Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка-эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты. Но команда британских исследователей из Университета Ньюкасла, в 2014 что ли году, сообщала, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.Как с этим сейчас — не знаю.

Данные с бесконтактных банковских NFC карт

Через NFC можно узнать информацию о банковской карте: стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение… А потом оплатить покупки. К примеру, британское издание для потребителей «Which?» с помощью доступного NFC-ридера и бесплатного ПО декодировали номер и дату истечения срока действия для всех тестируемых десяти карт. И сделали заказ в магазине по этой карте. Возможность такого заказа связано с тем, что не все магазины требуют CVV-код карты.В общем мое мнение такое. Использование бесконтактных банковских NFC карт более-менее безопасно(как и обычных карт). Самое плохой вариант — если у вас украдут данную карту. Тогда ничего не помешает снимать деньги… Даже если это будут не мошенники/воры а друг, жена/муж, ребенок… В общем, если речь не идет о злом умысле, как в случае ребенка… (хоть за картами нужен постоянный присмотр, но чего в жизни не бывает) Немного про защиту NFC карт напишу ниже

Защита бесконтактных банковских NFC карт

Мне в голову приходят следующие варианты защиты бесконтактных карт от несанкционированного списания:

  • экранирующий чехол/кейс/кошелек… Говорят что даже можно сделать самому из фольги.
  • две бесконтактных карты рядом в кошельке или бумажнике

При попытке считывания данных аппарат мошенников не сможет правильно скопировать информацию, так как входящий сигнал будет направляться одновременно с нескольких карт и он обработается некорректно.Попадалась информация, что в этом случае карты могут звенеть на рамках в супермаркетах, как будто метки на товаре. Кончено не всегда. В этом случае помогает положить карточку другой стороной.

  • суточный лимит
  • подключение СМС уведомления об снятии средств (что бы вы успели заблокировать карту при списании)

Как предотвратить мошенничество с банковской картой (дебетовой и кредитной) написано отдельно.Тип статьи:

В связи с появлением системы бесконтактных платежей все чаще можно увидеть банковские кредитные и дебетовые карты, оснащенные чипом для оплаты покупок бесконтактным способом. Но какие особенности у данных карт и как мошенники могут украсть деньги с них?

MasterCard PayPass или Visa PayWave. Что выбрать?

Карты с технологией payWave принадлежат платежной системе Visa, в то время как карты с технологией PayPass относятся к системе MasterCard. Сама технология практически идентична — с помощью карты пользователь может оплатить покупки не вставляя карту в картоприемник.

Также карты оснащенные данной технологией поддерживают обычную систему оплаты через терминал, т.к имеют специальную магнитную ленту.

Как покупать с помощью бесконтактной оплаты

Технология бесконтактной формы оплаты реализуется с помощью встроенной в банковскую карту антенны и микропроцессор, с помощью которых на pos-терминал  передаются все необходимые данные, позволяя оплачивать покупки одним касанием. После того как вы поднесете карту к терминалу, издается звук, а на экране появляется надпись, подтверждающая списание определенной суммы. Сразу после списания денег терминал отключается автоматически, что обеспечивает защиту от повторного снятия денежных средств.

Также стоит отметить, что бесконтактную оплату можно осуществить только если сумма покупки не превышает 1000 рублей (актуально для России). Если стоимость товара выше данной суммы, то вам придется дополнительно ввести пин-код. За границей лимит по оплате без ввода защитного кода может быть другой, в связи с чем эту информацию лучше уточнить у продавца. 

Бесконтактные карты: плюсы и минусы 

Преимущества банковских карт PayPass и payWave:

— Быстрая бесконтактная скорость оплаты товаров и услуг

— Безопасность от продавца, т.к ее не надо передавать в чужие руки

— Можно использовать в банкоматах и терминалах

— Нет необходимости вводить ПИН-код (до 1000 рублей)

— Меньше изнашиваются и стираются

— Принимаются практически во всех странах мира

Недостатки банковских карт PayPass и payWave:

Не смотря на то, что банки заявляют о том, что данная технология обеспечивают максимальную защищенность, многие потребители не доверяют данному заявлению. По мнению многих опрошенных, мошенники могут списать деньги с карты с большей вероятностью, чем с карты без данной технологии.

Один из таких методов, якобы, показали в ТВ передаче «Решала». По мнению экспертов такое мошенничество невозможно, т.к купить терминал в магазине невозможно. Он выдается только в спец.органах и ставится на учет в налоговой.

Где оформить бесконтактные карты с бесконтактной оплатой в России? 

В то время как за рубежом бесконтактные операции используются практически везде, в России банков, выпускающих подобные карты пока немного.

Первыми в России карты Visa payWave начал выпускать Альфа-Банк в 2011 году.

На данный момент карту MasterCard PayPass можно оформить в таких банках, как Альфа-Банк, Банк Петрокоммерц, Московский Индустриальный Банк, Ситибанк, Райффайзенбанк, Русский Стандарт Банк, ТКС.

Пусть медленно, но точек приема бесконтактных карт становится все больше, а многие аналитики глубоко уверены, что у таких платежей большое будущее.

Что делать, если потерял банковскую карту?

При утере банковской карты убедитесь еще раз, что она у вас не в квартире или вашем автомобиле и сообщите в банк для оперативной ее блокировке, т.к если ее найдет мошенник, то он легко сможет воспользоваться вашей картой и потратить все деньги на ней.

  • Как и где носить банковскую карту

  1. не сгибайте  банковскую карту, чтобы не повредить чип;
  2. избегайте попадания воды на чип карты;

О том, как вернуть деньги при ошибочном повторном списании читайте здесь.

Подписывайтесь на Телеграм SmartMoney.Today! @smtoday26.09.2017 7501

Насколько безопасны бесконтактные банковские карты?

Выдали мне в Сбербанке взамен старой пластиковой карты современную –   бесконтактную. Которую можно просто поднести к терминалу для оплаты покупки, и деньги сами утекут – безо всяких пин-кодов. А отказаться можно? – спросила я. «Нельзя», – ответил менеджер банка. Не заподозрив во мне журналиста, она поделилась,  как  деньги с их карт «украдывают» и какую защиту от этого предлагает банк.

Кошелек или сумочка?

В Сбербанке меняют ваши старые пластиковые карты на новые – они с уже встроенным радиочипом. Технология бесконтактной оплаты для карт Visa называется PayWave,  для Mastercard  –  PayPass.  Суть одинакова: карту можно не засовывать в терминал при оплате покупки, а просто поднести ее. При этом используется технология RFID (когда  пластиковая карта  и терминал обмениваются радиосигналами).  Если сумма покупки меньше 1000 рублей, то система пин-код не спрашивает – просто списывает деньги со счета. Можно ли отказаться  от этого чуда технологий? – спросила я менеджера допофиса № 9055/1823  Марию. У Марии был важный вид. Она посмотрела на меня как на отсталую в техническом плане гражданку и сказала, что  отказаться от использования бесконтактного чипа нельзя. Получить карту без радиометки тоже нельзя. И даже уменьшить сумму «бесконтактного и бесконтрольного» списывания средств (без ввода пин-кода) нельзя.

Ответ меня сильно удивил, и я на всякий случай включила диктофон.  Заодно решила узнать у Марии то, что давно собиралась спросить у Сбербанка, но стеснялась. Насколько эта замечательная система PayPass/PayWave безопасна?

При оплате карту вообще «можно не доставать  из кошелька» – написано на сайте Сбербанка. Меня волнует: а из сумочки она действует? А если да, то любой, кто прижался в автобусе своим мобильным терминалом к моей карте (которая в сумочке), сможет  воспользоваться моим счетом (в пределах 1000 руб)?

Нет, через сумку не получится, – подумав, сказала Мария. – Надо прижиматься  очень-очень плотно! Когда я сама прикладываю, если криво карту приложу – не срабатывает.  У меня даже в метро не всегда получается  рассчитаться, хотя я прям так прижимаю, –  менеджер показала руками как.

– Для чего тогда нужны металлические чехлы, на которых написано, что они предназначены для защиты карт от несанкционированного снятия денег?

– Возможно, они нужны для защиты от переносных скиммингов,  рассчитанных на систему PayPass и PayWave, – сказала Мария.

(Ремарка в скобках: скиммеры – это устройства такие, для кражи денег с карт.) Как  они работают? – спросила я.

– Ни разу не видела! Но есть скимминги, которые мошенники устанавливают прям на терминалы банкомата. А  у таксистов есть  такие небольшие … Когда вы прям там карту вставляете… Я думаю, это должно быть что-то наподобие. Но к нему тоже надо прям хорошо приложиться! – немного сбивчиво, но  уверенно объяснила Мария.

– И что делать? Как защищаться? – вскричала я в испуге.

– Сбербанк может вам предложить оформить финансовую защиту от мошеннических действий, – сообщила Мария.

По ее словам, финансовая защита страхует от «краж по скиммингу», «краж, когда перехватывают данные карты в общественных местах».

– Например, сотрудники общественных предприятий –  кафе, отелей – считывают номер карты, запоминают оборотные три цифры и совершают покупки в Интернете. Как правило,  именно сотрудники крадут данные карт!  А вот если кто украдет саму вашу карточку, то он сможет пойти в магазин и до тысячи рублей рассчитаться за покупки. Три операции он так совершит, а на четвертый раз уже потребуется пин-код. А еще  бывает, что в очереди люди стоят деньги снимать, а у них пин-коды подсматривают и карты украдывают! – решила быть откровенной со мной менеджер.

По ее словам, от всех этих безобразий (и еще  много от чего) может спасти «финансовая защита» от Сбербанка, и всего за 990 рублей в год. Я обещала подумать и попрощалась. Но вопросы остались. Если я не заплачу Сбербанку за «защиту финансов» 990 рублей,  значит,  мои финансы будут защищены меньше, чем у тех, кто заплатил?

И еще непонятно про кошелек и сумочку.  Если можно платить, не доставая карту из кошелька, то почему нельзя платить, не доставая карту из сумочки?

Мучаясь этими вопросом, я положила свое бесконтактное  чудо технологий поглубже в карман кошелька сумочки (есть у меня такой) и  пошла  искать ответы у других специалистов.

ЦБ РФ: экранируйте фольгой

Мои сомнения оказались не беспочвенными. Бесконтактные карты оказались довольно беззащитными существами. Хотя MasterCard, Visa, как и Сбербанк, уверяют, что пользоваться  ими не опаснее, чем другими технологиями для безналичной оплаты. Но Центробанк РФ предупреждает россиян.

«В местах большого скопления людей (переполненном общественном транспорте, на рынках, в магазинах) злоумышленник прислоняет бесконтактный считыватель или POS-терминал к карманам одежды, стенкам сумок и крадет деньги с карт у ничего не подозревающих жертв. Злоумышленнику достаточно приблизить считыватель к карте на расстояние 5–20 сантиметров, чтобы произвести списание. Полученную информацию мошенники могут также записывать на карты-клоны для дальнейшего хищения средств с настоящих банковских карт», – это информация официального сайта Банка России.

Там же есть рецепты, как защищаться.

«Использовать специальные экранированные бумажники (карта кладется в отсек, экранированный фольгой). Убедиться, что в качестве подтверждения списания суммы более 1000 рублей стоит запрос PIN-кода, а не подпись чека. В случае если вы не планируете оплачивать бесконтактным способом покупки на сумму более 1000 рублей, рекомендуется (при наличии такой возможности у банка-эмитента) установить индивидуальный расходный лимит по карте и ограничить размер возможных транзакций», – рекомендует Центробанк.

Эксперты Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ РФ (ФинЦЕРТ), рассказали, что  наиболее популярным способом краж в РФ по-прежнему остается скимминг, при котором информация о банковской карте крадется с помощью специального устройства.

Хакерский «считыватель» достаточно приблизить на 20 см к карте с чипом RFID, чтобы считать информацию. Разновидностью скимминга являются шимминг и Black Box  – взлом и установка в банкоматы вредоносного программного обеспечения.

Как сообщает сайт ЦБ РФ, ФинЦЕРТ  «зафиксировал единичные случаи использования устройств, способных считывать информацию с чипов платежных карт. В настоящее время проводится техническое исследование этих устройств… Использование злоумышленниками полученной информации для создания копии платежной карты возможно, но затруднительно».

По данным аналитического центра Zecurion, в 2017 году число краж денег с банковских карт в России может вырасти по сравнению с предыдущим годом на 30 %.

Пойду куплю шоколадку для своей банковской карты. Шоколадку съем, в фольгу положу свой  пластик.

Елена Роткевич

Сбербанк комментирует

Мы попросили ответить на два наших вопроса пресс-службу Северо-Западного банка ПАО Сбербанк. Получили ответы на большее количество вопросов.

– Безопасны ли платежи с помощью карт, имеющих PayWave/PayPass? Что делать, чтобы защитить такую карту от злоумышленников?

– Сама по себе возможность бесконтактной оплаты не дает никаких преимуществ мошенникам: они не могут списать деньги без вашего ведома. Просто необходимо соблюдать основные правила безопасности, и рекомендуем обязательно подключить услугу Мобильный банк.

Ответы на возможные вопросы:

– Могут ли мошенники списать деньги считывающим устройством, незаметно прижав его к моему карману, – например, в транспорте, в магазинной очереди или в уличной толпе?

– POS-терминал «как в магазине» не может купить человек с улицы. Все подобные устройства регистрируются торговыми точками, деньги через терминалы переводятся на счета, у которых всегда есть владельцы – с паспортными данными, ИНН и т.п. Если какой-то предприниматель пойдет со своим терминалом в транспорт совершать фальшивые продажи, его сразу вычислят после первого же заявления пострадавшего

Терминал активируется для оплаты всего на несколько секунд. За это время очень сложно понять, где находится кошелек, и приблизиться к нему на расстояние не больше 4 см (именно таков радиус действия волн терминала).

Если бы мошенник сделал POS-терминал своими руками и научился бы мгновенно находить подходящие кошельки в толпе, ему надо было бы принимать безналичную оплату на какой-то счет. Анонимных счетов в России не бывает, а это значит, что мошенник не смог бы получить деньги, не «засветив» чье-то имя.

– Если коснуться терминала дважды, оба раза спишутся деньги?

– Нет. Терминал активируется, когда кассир вводит сумму. Это действует только на одну оплату, причем всего несколько секунд. Как правило, мы слышим при этом звуковой сигнал и видим на терминале значок бесконтактной оплаты. Если вы второй раз коснетесь терминала, а кассир при этом не вводил сумму новой покупки, терминал не «пикнет» и операция не пройдет.

– Если карту украли, могут ли воры потратить все деньги?

– Да. Они не смогут получить наличные с вашей карты и им будут доступны лишь мелкие покупки. Но чтобы любую попытку оплатить что-либо вашей картой отследить, обязательно подключите услугу Мобильный банк, с которой вы будете получать СМС-уведомления обо всех операциях. Если вы увидели, что с карты списана сумма, которую вы не тратили, сразу позвоните в контактный центр Сбербанка по номеру 900 и заблокируйте карту.

– Не спишутся ли деньги с моей карты за чужую покупку, если человек платит в магазине, а я стою в очереди очень близко, вплотную за ним?

– Нет. Для проведения операции карта должна быть прямо у терминала, на расстоянии не больше 4 см. Вряд ли человек в очереди перед вами будет стоять так близко к вам.

– С какой карты спишутся деньги, если касаться терминала кошельком, а в нем лежат кредитная и дебетовая карты (обе – бесконтактные)?

– Если в зоне действия терминала окажется больше одной бесконтактной карты, оплата не пройдет, а на терминале высветится надпись «Приложите одну карту». С какой карты платить, выбираете только вы сами, терминал не сделает это за вас.

– Можно ли на этих картах снизить лимит оплаты без ввода пин-кода ниже 1000 руб?

–  Снизить лимит нельзя.

Используемые источники:

  • https://www.kaspersky.ru/blog/contactless-payments-security/8608/
  • https://iblog.ws/security/24-zaschita-beskontaktnyh-bankovskih-kart-mastercard-paypass-i-visa-paywave-ot-krazhi-deneg-po-vozduhu.html
  • https://lik-o-dil-es.blogspot.com/2018/04/bezopasnost-beskontaktnyh-bankovskih-nfc-kart.html
  • https://smartmoney.today/blogs/393-beskontaktnye-karty-paypass-i-paywave-v-chem-raznica-i-kak-obezopasit-ot-krazhi.html
  • http://gorod-812.ru/naskolko-bezopasnyi-beskontaktnyie-bankovskie-kartyi/

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий