Защита карт бесконтактной оплаты

Уязвимость карт бесконтактной оплаты

Так как при оплате услуг стоимостью до 1000 рублей банковская карта с бесконтактной оплатой не требует введения пин-кода, отсюда следует самый простой и наглядный способ похищения с нее денег – с использованием POS-терминала. Если его считывающий чип окажется на расстоянии нескольких сантиметров от передатчика карты, то с нее можно легко списать деньги без участия владельца.

В отличие от обычной карты, карточка с возможностью бесконтактной оплаты имеет микрочип и антенну, что работают по технологии RFID. Они контактируют и «откликаются» на сигнал радиопередатчика, встроенного в специальный терминал, что позволяет производить оплату только касанием. Сигнал достаточно слабый, а потому приемник и передатчик должны находиться на расстоянии в несколько сантиметров друг от друга, что делает такие виды платежей на первый взгляд достаточно безопасными.

Но существуют достоверные данные, что мошенники активно пользуются этим способом в электричках, метро, других людных местах, где появляется возможность приблизиться к человеку вплотную, не вызвав каких-либо подозрений. Имея POS-терминал, мошенник может свершить один рейд, «отобрав» до 1000 рублей включительно с одного пластика, и уйти с уловом в несколько тысяч (или несколько десятков тысяч).

Впрочем, несмотря на кажущуюся простоту, решение этой задачи не всегда доступное. Во-первых, чип RFID довольно проблематично считать. Чтобы карта и терминал взаимодействовали друг с другом, необходимо приблизить их на расстояние нескольких сантиметров (если речь идет только о POS-терминале). Но если используются другие способы хищения данных, то усиление приёмной антенны позволяет уже до 1 м считать необходимую информацию и при наличии определенного софта не спасет даже кучность бесконтактных карт.

Кроме того, вариант банального обмана в магазине, ресторане или баре более чем вероятен. Особенно если вы решите проявить ненужное доверие, и карта окажется в руках недобросовестного продавца или официанта. Исчезновение небольшой суммы со счета можно даже и не заметить или заметить не сразу. Вернуть украденные таким образом деньги – как бы вы потом не апеллировали к банку – будет невозможно.

На смартфонах с функцией Apple Pay, Android Pay, Samsung Pay и Mir Pay отключить модуль NFC, отвечающий за бесконтактные транзакции, можно. Можно еще заодно удалить соответствующее приложение.

А вот на банковских картах, привязанных к платежным системам MasterCard Pay Pass, Visa Pay Wave, МИР, отключить возможность бесконтактной оплаты невозможно, говорит Куприянов.

Как воруют данные?

Защита карт бесконтактной оплаты

Технология Radio Frequency IDentification использует радиочастоту 13,56 МГц, на которой происходит обмен платежной и идентификационной информацией между чипом карты и передатчиком терминала. Некоторые платежные системы используют другие стандарты связи, но суть процесса от этого не меняется. Физическая защита позволяет уберечь ваши деньги при использовании стандартного терминала, ведь обмен данными возможен лишь на расстоянии в несколько сантиметров. Но что, если использовать более мощные (и при этом компактные) передатчики?

Такие сканеры, работающие по RFID-технологии и умеющие «опрашивать» бесконтактные карты на расстоянии до 80 см уже существуют. Не так давно подобный прибор продемонстрировали британские исследователи из Университета Суррей, которые активно работают над противодействием мошенничеству в данной сфере. Если использовать устройство вместо POS-терминала, то можно легко массово «списывать» со счетов владельцев бесконтактных карт суммы ниже установленного лимита (1000 рублей в России, 25$ – в США, 30 фунтов – в Великобритании и т.д.).

При этом точного совмещения приемника-передатчика и чипа с антенной уже не требуется, достаточно, чтобы они находились на расстоянии до 80 см друг от друга. Так как сигнал у сканера более сильный, чем у терминала, то помехи от ключей и мобильных телефонов, находящихся рядом с картой, практически не будут иметь значения.

Еще дальше пошли хакеры, предложившие оригинальный способ хищения средств без использования сложного сканирующего оборудования. Так как смартфон и карточка владельца часто находятся рядом, то можно использовать NFC-модуль телефона в качестве ретранслятора, который передает платежные данные жертвы мошеннику.

Как только смартфон оказывается рядом с картой и идентифицирует ее чип, он «связывается» через интернет с мошенниками. Злоумышленник активирует имеющийся в его распоряжении POS-терминал и проводит платеж, используя вместо кредитки свой телефон со специально установленным на него приложением. Смартфон владельца карты при этом выступает своеобразным мостом или ретранслятором.

Конечно, подобные технологии хищения информации и денег достаточно сложны и представляют пока, скорее, теоретический интерес. Ведь кредитная карта с бесконтактным чипом имеет и другие уровни защиты помимо физического (о них – далее). Но предупрежден – значит, вооружен. Так что лучше быть готовым к тому, что в ближайшем будущем – с учетом скорости развития науки и техники – подобные технологии станут общедоступными. И знать, как защитить карту с бесконтактной оплатой уже необходимость.

Предлагаем ознакомиться  Приставы Арестовали Машину За Долги Можно Ли Ездить На Машине

защита карт бесконтактной оплаты - фото 1

Бумажники и чехлы с экранирующими вставками – простое и популярное сегодня решение. Внешне они не отличаются от обычных кошельков, но имеют внутри слой металлизированной пленки из сплава металлов, что блокирует разные диапазоны радиочастот и в том числе 13, 56. Благодаря этому считать данные с датчика карт не получится даже мощным сканером.

RFID-защита может обеспечиваться различными способами – в зависимости от дизайна и конструктивных особенностей конкретной модели. Обычно применяются отражающие или поглощающие материалы, которые и обеспечивают защиту от сканирования. Дополнительно могут использоваться различные микропередатчики, обеспечивающие активную защиту путем генерации «белого шума» – комплекса радиоволн различной частоты, что препятствует считыванию информации. Хотя 100% защиту не может гарантировать ни один из способов.

Если нужды в постоянном ношении большого количества карт, документов и денег нет, то можно воспользоваться более компактными приспособлениями – специальными чехлами. Они обычно изготавливаются из кожи, пластика, ткани и различных синтетических материалов и как кошельки, бумажники, имеют экранирующую прокладку. При оплате кредитка может даже полностью не извлекаться из чехла – достаточно ее краешка с чипом.

Удобство использования экранированного чехла еще и в том, что он достаточно тонок и мал – по размерам кредитки – а поэтому его можно носить в кошельке или бумажнике. Правда использование нескольких таких чехлов уже станет проблематичным.

Металлические чехлы удобны для ношения большого количества карт. Для оплаты просто необходимо извлечь нужную. Но носить подобный чехол, конечно, придется отдельно – для кошелька или бумажника он великоват.

Спустился в метро, остался без денег

Гораздо хуже, если бесконтактная карта попадет в руки мошенников. В наших магазинах давно не спрашивают документы при оплате покупок. Получается, что завладев чужой карточкой, злоумышленники могут без проблем расплачиваться ей в супермаркетах и пр. торговых точках. Вот реальная история из Сызрани: там местный житель украл банковскую карту, несколько раз расплатился ей в магазине, заправил автомобиль.

Пару лет назад, с ростом популярности бесконтактных операций, по интернету начали гулять фотографии из метро, где в толпе пассажиров стоит неприметный мужчина с POS-терминалом в руке. На первый взгляд казалось, что в подземку спустился курьер какого-нибудь магазина. Но таких неотъемлемых для курьеров атрибутов, как пакеты или большой рюкзак, у молодого человека не было.

«На практике пока требует примерно таких же усилий, как кража наличных. Нужно выставить на терминале сумму, а затем поднести его вплотную к кошельку, где лежит карта, и дождаться прохождения транзакции. При этом если карта лежит в глубине сумки, вероятность срабатывания терминала снижается практически до нуля», — объясняет основатель и технический директор компании DeviceLock Ашот Оганесян.

«Однако мошенники не стоят на месте, и стоит ожидать, что с ростом популярности бесконтактных карт появятся и специальные „пиратские“ терминалы с выносной антенной и увеличенной мощностью сигнала, которые позволят снять с карты деньги, просто проведя рукавом по вашему карману», — добавляет Оганесян.

По словам Куприянова, есть в арсенале мошенников и более сложные в техническом плане схемы (NFC Transaction Relay), при которых злоумышленники используют два устройства: одно выступает ретранслятором NFC-сигнала, а второе получает этот сигнал и ретранслирует его POS-терминалу. «В этом случае POS-терминал считает, что к нему приложили карту с поддержкой бесконтактных платежей.

Риск данного вида мошенничества значительно повышается, если злоумышленникам каким-либо образом удастся подсмотреть PIN. В этом случае, помимо оплаты дорогих покупок, злоумышленники также получают возможность снять денежные средства с карты в банкоматах с поддержкой бесконтактных карт», — подчеркивает эксперт.

В свою очередь риск-директор проекта «Совесть» Анастасия Мухачева указывает, что для того, чтобы такой терминал мог функционировать и, соответственно списывать деньги, он должен быть закреплен за юридическим лицом. «Если служба безопасности банка замечает, что терминал „замешан“ в мошенничестве, его отключают, а владельца штрафуют.

Предлагаем ознакомиться  Хочу жить в тайланде

По словам вице-президента Российского клуба финансовых директоров, к.э.н. Тамары Касьяновой, обезопасить свои средства от перехвата очень просто — нужно хранить карточку в специальном чехле из алюминия. Этот футляр блокирует доступ злоумышленников к карточке. Купить его можно, например, в китайских интернет-магазинах, меньше чем за 100 рублей.

Встроенная защита бесконтактной карты и возможности ее обхода

Помимо защиты на физическом уровне – необходимости близкого позиционирования карты и терминала – существует также защита на уровне криптографии. Дело в том, что банковская карта не имеет постоянного CVV-кода. При каждой платежной операции он генерируется случайным образом. Поэтому само по себе считывание данных ничего не дает мошеннику, кроме возможности единожды совершить транзакцию на сумму до 1000 рублей (или в другой валюте – в соответствии с устанавливаемыми банками ограничениями).

Сегодня мошенники с помощью специального оборудования научились считывать случайно генерируемый CVV-код и использовать его до того, как это сделает владелец карты. При этом средства списываются со счета жертвы, а владелец при следующей попытке оплатить покупку получает информацию об ошибке. При этом карта даже может быть заблокирована, что создаст определенные трудности.

Защита карт бесконтактной оплаты

Но и потеря, к примеру, 800 рублей – это тоже неприятность. Особенно, если мошеннику удается совершить несколько похожих операций. Кстати, сделать это также можно далеко не всегда, так как многие банки сегодня используют защиту от многократного снятия некрупных сумм, не требующих подтверждения пин-кодом.

Изготовление дубликата сим-карты

Отдельно стоит рассказать об этом способе мошенничества, который на первый взгляд не касается непосредственно финансов. Но ведь именно к номеру телефона сегодня привязаны карты у многих пользователей. Имея копию сим-карты, мошенники смогут совершать транзакции так, что владелец даже не узнает о них, а также проводить оплаты и снимать наличные средства в тех случаях, когда для операции требуется SMS-подтверждение.

Схема мошенничества достаточно проста – владельцу карты, паспортные данные которого известны, звонят и сбрасывают или отправляют SMS с просьбой перезвонить. Чтобы не вызывать подозрений мошенники обычно представляются сотрудниками банка, пенсионного фонда, различных государственных организаций. Далее злоумышленники обращаются в сервисный центр оператора связи с просьбой перевыпустить сим-карту. Для этого необходимо назвать паспортные данные владельца, время и номера последних совершенных звонков иногда – пополнить счет.

Подобные звонки и пополнение счета – первый признак того, что вас пытаются ограбить виртуальные мошенники. Обычно после этого номер оказывается заблокированным, а деньги со счета – выведены на другие карты или электронные кошельки. Действовать в таком случае надо максимально быстро:

  • Заблокировать все привязанные к номеру пластиковые карты, обратившись в банк.
  • Позвонить оператору с просьбой блокировки дубликата сим-карты.
  • Написать заявление в правоохранительные органы.

Что безопаснее: смартфон или карта?

Оплата бесконтактной картой и смартфоном практически одинакова, рассказывает Мухачева. Разница заключается в небольших технологических отличиях, касающихся реализации NFC (ближняя бесконтактная связь — ред.) в телефоне.

«Оплата смартфоном даже безопаснее, поскольку для каждого платежа в этом случае генерируются одноразовые платежные данные, и настоящий номер вашей банковской карты не передается на банковский терминал. Но нужно быть внимательными, ведь в случае потери телефона, не защищенного паролем, у его новых обладателей появятся шансы получить как информацию, хранимую на нем, так и ваши деньги», — предупреждает эксперт.

Впрочем, по ее словам, и платежные сервисы, и банки, и производители терминалов, смартфонов заботятся о безопасности проведения транзакций. Так, например, на iPhone нельзя провести бесконтактную оплату без введения пароля.

Общие рекомендации

Самое главное, о чем стоит позаботиться, – это ограничение посторонним доступа к карте. Расплачивайтесь всегда самостоятельно и не передавайте кредитку в руки официантам, продавцам, работникам торговых залов и т.д. Перед тем, как произвести платеж, сверяйтесь с тем, какая сумма введена на экране терминала.

Обязательно используйте SMS-уведомление, даже если эта услуга является платной. Обычно абонентка не столь велика, а незаметно «потерять» можно существенно больше. Уведомление приходит моментально – при оплате – это позволит вам сразу понять, что вы либо утеряли свою карточку, либо рядом орудует мошенник с терминалом или сканером, считывающим данные через Radio Frequency IDentification.

Для мошенника наиболее простым способом получения доступа к вашим финансам является похищение самой карты. И пусть снять наличные средства у него не получится, но он сможет использовать ее для оплаты покупок в интернете или обычных магазинах. В таком случае SMS-сообщения уведомят вас о пропаже и необходимости действий.

Заблокировать утерянную или похищенную карту можно через специальное банковское приложение, по телефону или посетив отделение, где вы получали кредитку, лично. Для удаленной блокировки вам, скорее всего, потребуются дополнительные данные – например, кодовое слово или паспортная информация. Позже карту можно будет восстановить без особых проблем – бесплатно или за небольшую плату за перевыпуск и обслуживание.

Предлагаем ознакомиться  Как правильно составить завещание при жизни: образец, сколько стоит завещание, какие документы нужны

Старайтесь всегда держать карту таким образом, чтобы к ней не было прямого доступа из вне, а между ее чипом и ближайшим человеком всегда оставалось расстояние минимум в 10 см. То есть прячьте ее во внутренний карман, рюкзак, портфель. Луше, если рядом будут находиться какие-то металлические экранирующие предметы – ключи, зажигалка, перочинный нож, мультитул.

Если кредитная карта находится при вас и с нее списываются деньги, значит, скорее всего, рядом или удаленно «работает» мошенник. Проверьте, не лежит ли ваша карточка рядом с телефоном, который и выступает в роли передатчика. Сразу же выключите смартфон и переместите карту подальше – во внутренние карманы или сумку. Помните, что злоумышленник не сможет получить доступ к вашему мобильнику, если на нем отсутствуют root-права, а его дисплей заблокирован.

Для защиты своих средств можно уменьшить лимит на оплату без подтверждения пин-кодом. Сегодня многие банковские организации предоставляют такую возможность. Настроить этот параметр можно в приложении или на официальном сайте – в Личном кабинете. Можно и вовсе отменить платежи без введения PINа, но это ограничит функциональность вашей бесконтактной карты. Впрочем, когда речь идет о безопасности и сохранности денежных средств, удобство и функциональность отходят на второй план.

Как вариант, можно отказаться от физического использования самой карты, установив специальное приложение для оплаты на смартфон. Конечно, здесь существует вероятность кражи уже самого телефона. Поэтому такое решение оправдано для мобильных, снабженных датчиком отпечатка пальца. В таком случае даже если гаджет окажется в руках злоумышленников, оплатить с него покупку не получится.

Обязательной составляющей безопасности ваших финансов является защита смартфона и приложений от вредоносных программ, шпионского ПО и вирусов. Поэтому антивирус должен быть в списке обязательных программ, которые вы устанавливаете на свой мобильный. А вот к другим приложениям, особенно сторонним, следует относиться с подозрением – ведь любое из них может быть источником троянов, благодаря которым злоумышленники получают доступ и похищают платежные данные.

Как защитить бесконтактную банковскую карту?

Помимо общих рекомендаций, которые могут использоваться в отношении не только бесконтактных, но и обычных карт, существуют способы их физической защиты. Передачу данных по RFID-технологии можно попробовать блокировать с помощью тонкого слоя металла. Это может быть пищевая фольга или фольга для запекания. Главное, чтобы она была полностью металлизированной – внутренняя оболочка от пачки сигарет не защитит.

Технология экранирования от электромагнитных сигналов основана на простом принципе клетки Майкла Фарадея, и не все металлические экраны способны успешно блокировать считывание антеннами сканеров.

Можно порекомендовать и другой способ экранирования. Носите несколько бесконтактных карт вместе – в одном отделении кошелька. Лучше, если это будут кредитки разных банков и типов, работающие на разных частотах или неплатежные карты, например, транспортные. При попытке считать информацию сканнером прибор будет получать отклик с разных чипов, что существенно усложняет получение и расшифровку информации. Но данный способ сработает только в случае контактных терминалов, а специальные софты и усиленные антеннами «грабберы» с легкостью его обходят.

Носить карточку завернутой в фольгу или большое количество кредиток вместе достаточно неудобно. Ведь тогда теряются основные преимущества бесконтактного способа оплаты – его скорость. Лист фольги или тонкого экранирующего металла можно вложить в кармашки кошелька или бумажника, чтобы они прикрывали карточку с двух сторон.

Экранирующие бумажники, кошельки и чехлы

Преимущества использования экранированных чехлов:

  • Надежная защита платежной информации от взлома и копирования.
  • Защита карты от размагничивания, даже если она находится в сильном электромагнитном поле.
  • Защита кредитки от механических повреждений и износа.

Кроме того, «экранирующие чехлы и бумажники – это не только удобно, но и красиво. Они могут быть частью общего стиля и образа владельца.

You May Also Like

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Adblock detector