Не проходит и недели, чтобы очередной банк не объявил о выпуске карт, стикеров MasterCard PayPass и Visa payWave либо иных средств платежа на основе бесконтактных технологий. Портал Банки.ру выяснил, защищены ли пользователи этих продуктов от «высокотехнологичных» мошенников.
Преимущества платежных средств, работающих без непосредственного контакта с терминалом, очевидны. По замыслу разработчиков PayPass, для оплаты покупки с помощью бесконтактной карты не нужно выпускать ее из рук, не нужно даже показывать ее кассиру. Этим обеспечивается как удобство использования пластика, так и защита его данных от попадания не в те руки. При этом оплата в пределах небольшой суммы (1 тыс. рублей в России, 25 евро в Европе) не требует от держателя ввода ПИН-кода, что, к примеру, позволяет использовать бесконтактную карту как проездной билет на городской и пригородный транспорт. И это само по себе порождает немало вопросов касательно безопасности финансов держателя карты.
Бесконтактные средства платежа основаны на технологии RFID, подразумевающей использование микрочипа с антенной — так называемой RFID-метки. Большинство таких меток пассивные, то есть собственного питания не имеют. При попытке считывания метки чип активируется от изучения считывателя и выдает записанную на нем информацию. Стандарт подразумевает срабатывание RFID-метки в 3—5 см от считывателя, но уже существуют достаточно компактные устройства, способные работать с меткой на дистанции до 30 см.
В случае систем бесконтактных платежей встроенная в карту RFID-метка содержит базовые сведения о карте, в частности ее номер и дату срока действия. И, что самое интересное, передаются они считывателю в открытом, незашифрованном виде. Как показывает практика, этими данными может воспользоваться злоумышленник для выполнения мошеннической трансакции.
Разработчики стандарта бесконтактных платежей, разумеется, не могли не предусмотреть функции обеспечения безопасности. В данном случае такой функцией является динамический CVV-код, то есть код, меняющийся при выполнении каждой трансакции. При этом данных об обычном CVV, позволяющем совершать покупки через Интернет, в RFID-метке не хранится. Казалось бы, этого достаточно для защиты денег владельца карты…
Базовая технология мошеннического снятия денег с таких карт крайне проста. Злоумышленник, вооруженный простейшим мобильным RFID-сканером (помещенным для маскировки в чехол для телефона или небольшую сумку), отправляется в торговый центр, заполненный посетителями, или на станцию метро в час пик. Пробираясь в толпе, он проводит сканером в непосредственной близости от сумок и внутренних карманов курток и пиджаков ничего не подозревающих граждан. Со всех попавших в зону действия карт сканер запрашивает данные и получает их вместе с очередным динамическим CVV. Сообщник злоумышленника, получив данные, с помощью специального устройства записывает их на белый пластик (карту-клон) и отправляется совершать покупки стоимостью менее 1 тыс. рублей каждая (один динамический CVV-код можно использовать только для одной трансакции, а следующего CVV белый пластик не знает). Когда впоследствии держатели таких отсканированных бесконтактных карт попытаются совершить покупку с помощью пластика, система обнаружит повторное использование того же самого CVV и заблокирует карты. Злоумышленники к этому времени давно получат свои товары и обратят их в деньги.
Казалось бы, 1 тыс. рублей — сумма небольшая. Но данный способ позволяет массово «обрабатывать» бесконтактные карты, которых в России становится все больше, а многие зарубежные банки других уже и не выпускают. Кроме того, за этот лимит можно выйти, просто подсмотрев вводимый ПИН-код и отсканировав карту после того, как владелец совершит трансакцию. Также в связи с бесконтактными картами вызывает опасения практика многих банков рассылать свои карты по почте. Недобросовестный сотрудник почтовой службы, вооружившись RFID-сканером, может получить номер и дату срока действия карты, кроме того, он будет знать имя и почтовый адрес ее владельца — а ведь этих данных в некоторых случаях достаточно для совершения покупки через Интернет.
Владельцу PayPass также стоит задуматься о том, в каком кармане он носит свой смартфон. Многие современные модели поддерживают технологию NFC, позволяющую считывать RFID-метки на близком расстоянии. А значит, распространив по нескольким тысячам смартфонов невинное на вид мобильное приложение, злоумышленники могут массово собирать данные платежных карт и использовать их для своего обогащения.
Впрочем, по мнению начальника управления пластиковых карт ВТБ 24 Александра Бородкина, опасности бесконтактного мошенничества не стоит придавать излишне серьезного значения: «Любой мошенник в первую очередь заинтересован в том, чтобы получить деньги, а возможность поесть в McDonalds ему не слишком интересна. Поэтому бесконтактные карты, в силу ограничения на трансакции без ПИН-кода суммой в тысячу рублей, привлекательной целью для мошенника не являются. Другой разговор, если такие карты получат в России большое распространение — тогда мошенники будут ходить со своими терминалами, например, в метро и считывать все карты подряд. Но это тоже крайне маловероятная схема, так как мерчендайзер получает свои деньги далеко не сразу — скорее всего, мошенник будет разоблачен гораздо раньше».
Заместитель руководителя лаборатории по компьютерной криминалистике Group-IB Сергей Никитин также не сомневается в безопасности бесконтактных средств платежа: «Использование таких средств вполне безопасно, если задан лимит на проведение операции без ввода ПИН-кода. Кроме того, таким образом преступникам гораздо сложнее сфотографировать или считать карту. Риск несанкционированного сканирования существует, были успешные эксперименты по копированию или перехвату платежных данных, однако реального распространения подобные инциденты не получили как у нас, так и в мире».
Несмотря на отсутствие негативной статистики, на рынке существуют уже средства защиты от сканирования бесконтактных карт. «Одним из таких средств защиты является, например, свинцовый кошелек. И это не шутка, в Сети на торговых площадках достаточно распространены кошельки и кардхолдеры, представляющие собой компактную версию клетки Фарадея (замкнутая сетка из металла, не пропускающая радиоволны. — Прим. ред.)», — отметил Сергей Никитин.
Помимо финансовых, бесконтактным картам присущи и другие риски. RFID-метки можно сканировать и на большом расстоянии, хватило бы мощности считывателя. А это значит, что, проходя через ворота магазинного сканера, владелец карты каждый раз отмечается на них, что позволяет, к примеру, отслеживать его передвижения.
Судя по темпам внедрения бесконтактных платежных систем, все эти возможности не слишком пугают банки — очевидно, выгода превышает потери. Точнее, потери при «бесконтактном» мошенничестве пока незначительны, и банки могут компенсировать их безболезненно для себя. Тем не менее в Сети все чаще можно найти разнообразные советы по уничтожению RFID-метки в бесконтактной карте: от «прожаривания» карты в микроволновке до механического уничтожения чипа с помощью отвертки. Делается это как раз для того, чтобы пользоваться бесконтактной картой, как обычной.
Михаил ДЬЯКОВ,