Технология бесконтактной оплаты с чипом NFC плотно вошла в нашу жизнь — с её помощью многие совершают практически все бытовые покупки, от кофе до пакета продуктов. Но уже который год не утихают споры о безопасности такого метода оплаты. С одной стороны — ярые противники NFC кричат о том, что сам факт отсутствия прямого контакта является огромным полем для мошенничества. С другой — защитники технологии утверждают, что способ оплаты мало чем отличается в вопросах безопасности от других.
Мы изучили добрые пару десятков источников, чтобы составить своё мнение: итак, насколько все же безопасна бесконтактная оплата?
Немного о мошенничестве PayPass в Британии.
Подобное исследование проводил Роджер Граймс, пишущий редактор CSO, занимающийся вопросами кибербезопасности с 1987 года. Как и мы, он твердо решил разобраться в безопасности использования PayPass. В своём исследовании он ссылается на официальный финансовый отчет Великобритании за 2016 год. Из этого отчёта мы видим:
- При расходе 25.2 млрд фунтов с помощью бесконтактной технологии было украдено всего 6.9 млн фунтов;
- На каждые 100 фунтов украдено 2.7 пенсов. Кстати, в 2015 году цифра была больше — 3.6 пенсов;
- Кражи с помощью бесконтактных карт и девайсов составляет всего … 1.1% от общего объема мошенничества с картами!
Голые цифры не устроили Роджера, т.к. до этого он не смог найти ни одного подтвержденного кейса с воровством денег через PayPass. Он связался с Visa, MasterCard и даже людьми, которые составляли отчет для правительства. 6.7 млн фунтов — это достаточно внушительная сумма, и Граймс очень хотел разобраться: а как утекли-то? Правда, особого успеха он не достиг, но смог подтвердить свои предположения о том, что большая часть денег была похищена при махинациях со смартфоном. К сожалению, каких-то конкретных чисел нет.
Иными словами, Роджер Граймс не смог найти ни одного “железного” доказательства и кейса, при котором с paypass-карты были бы сворованы деньги. Однако, преступление с использованием RFID-технологии он смог обнаружить: угон Мерседеса. В качестве подтверждения, запись с полицейской камеры:
https://www.youtube.com/watch?v=HZIfEWVBXw4
Редактор связался с целым рядом специалистов и все как один сказали — нет, сценарий воровства денег с paypass-карты крайне маловероятен. Подтвердил это и аналитик британской торговой палаты, Майв Дэнн: “размахивая ридером на улице или в поезде, мне ни разу не получилось взять платёж с прохожих”.
И много о мошенничестве в наших реалиях.
Для начала немного о потерях в результате использования бесконтактных технологий. Как пишут “Известия”, ссылаясь на результаты исследования компании Zecurion, за весь 2015 год “ушло” 2 млн рублей. В 2016 году мошенники были более продуктивны и смогли увести 1 млн рублей за период январь-апрель. Вероятнее всего, в деле замешаны всё же смартфоны, а не PayPass-карты, и сейчас мы объясним вам почему.
Принцип работы.
PayPass работает с помощью NFC-чипа, который в свою очередь является разновидностью RFID. Дальность действия — в лучшем случае несколько сантиметров. В последнее время все чаще появляются статьи и материалы о том, как в метро или автобусе ходят тёмные личности с ридером и проверяют карты присутствующих.
А теперь на минуту задумаемся: вы себе можете представить, что кто-то водит по вам сканером? Первое препятствие для мошенников — это объективная реальность и разумные ограничения технологии. Да, возможно в транспорте, особенно в час пик, злоумышленник будет находиться на необходимом для воровства расстоянии. Что может ему помешать? В первую очередь, элементарно одежда и толщина бумажника. Ему может элементарно не хватить дистанции! Также сигналу будут активно препятствовать монеты в вашем кармане и другие карты, оснащенные бесконтактной технологией. Например, “Тройка”. Но подогреем немного паранойю и предположим, что он всё же может добраться до вашей карты.
Как защититься? Про несколько карт и монеты мы вас уже рассказали. Есть ещё один способ, активно агитируемый теми же британцами — это несканируемые кошельки. В них вы можете хранить ваши карты и не бояться, что “по воздуху” до них доберутся. Кстати, например, CSO считают эти кошельки бесполезными. Не потому что они препятствуют сканированию, а потому что пытаются бороться с проблемой, которой нет.
Действительно ли ридеры неопасны? И да, и нет. С одной стороны, классические сканеры обладают малым радиусом действия и вряд ли вы не заметите, что вас пытаются просканировать. Но в лабораторных условиях создаются устройства, которые способны читать карты на расстоянии до 80 см. Отсюда легко сделать вывод, что мошенник должен быть личностью нетривиальной, но уверенным Кулибиным, чтобы самостоятельно из электронных компонентов создать оборудование. Но здесь его ждёт новое препятствие.
Шифрование.
Получив данные с вашей карты, мошенник здорово разочаруется — начиная c PayPass второго поколения они очень хорошо зашифрованы. Предположим, только предположим, что он найдёт способ их расшифровать. Получит он не так много: номер карты, срок её действия и в лучшем случае список последних операций.
Исследователи, пробующие на зуб технологию PayPass в поисках уязвимостей, в конечном итоге все же смогли воспроизвести пару случаев, когда покупка через интернет с помощью украденных данных оказалась возможной. Вот только задумайтесь: часто ли вы совершаете покупки в интернете, в результате которых вам не нужно ни имя владельца, ни CVV? Я активный пользователь карт и скажу честно — не сталкивался ни разу. Более того, при любой покупке я должен был пройти двухфакторную аутентификацию через SMS, приходящую на смартфон. Как видите, целый ряд условий, каждое из которых будет препятствовать мошенничеству.
Однако, факт остается фактом: мне не удалось обнаружить ни одного случая, когда с помощью украденных номера карты и срока действия на территории РФ оказалось реально что-то купить в интернет-магазине.
И всё же, можно как-то с помощью PayPass воровать деньги у населения?
Попробуем с вами создать сценарий, при котором у мошенника действительно есть возможность утащить ваши кровно заработанные. Что для этого нужно будет сделать:
— Получить информацию с карты. Многие статьи рисуют страшную картину, в которой мошенник прогулочным шагом ходит по вагонам электричек и массово сканирует карты пассажиров. Как мы уже выяснили, ситуация далека от реальности. Но на секунду предположим, что неделями катаясь по утрам в автобусах, наш мошенник все же смог найти жертву и утащить данные карты. Или представим, что это гений преступности и обладает супер-сканером, как вам интереснее.
— Получив данные карты, он должен её расшифровать. Банки же, однако, сбережения граждан берегут и справиться с “чтением” полученной информации совсем непросто. Но допустим, что у вора есть криптографические ключи банка-эквайзера.
— Чтобы хоть как-то воспользоваться этой информацией, мошеннику придется найти магазин, который в погоне за быстрыми и удобными покупками пренебрег безопасностью платежей.
Есть и более реалистичный сценарий. Правда, очень скоротечный:
— Мошенник является юридическим лицом и, после всех бюрократических моментов, получает терминал, в котором есть и возможность сканирования, и криптографические ключи. Ещё и возможность проводить платежи!
— После первого же обращения жертвы, терминал блокируется, а мошенник участвует в увлекательном приключении “Расследование и последствия преступления для юридического лица”.
Кстати, знаете какой максимальный куш воришки во втором случае? 1 000 рублей. Именно такой максимальный платеж в РФ без подтверждения. Если попытаться снять больше, то система не пропустит платёж без PIN-кода. Который, ясное дело, мошенник не знает.
Выводы.
Стремясь найти объективный ответ о безопасности технологии PayPass, мы обратились к специалистам банков, которые уж точно разбираются в платёжных системах. В целом, их ответы подтверждают мнения специалистов, которые вы без труда сможете найти в открытых источниках.
Вот что ответили на наши вопросы в Рокетбанке о PayPass-мошенничестве: “Вряд ли расскажем что-то, чего не знаете сами :) Кейсов таких не было, потому что это легенды от удивительных паникёров. Чтобы списать деньги с карты бесконтактным способом, нужен терминал, который зарегистрирован на какое-то определённое юридическое лицо, что очень легко определяется. А юр.лицо, в свою очередь, не будет так рисковать :) Чтобы оплата прошла, нужно приложить карту прям к терминалу, практически вплотную, наверняка, вы заметите, если по вашему карману джинс будут водить пос-терминалом в поисках карты с бесконтактной оплатой”.
Другой наш источник, твёрдо дал понять: у вас могут утащить деньги множеством самых разных способов и “по воздуху” (через PayPass) будет наименее вероятным.
В общем и целом, у нас есть все основания считать, что технология бесконтактной оплаты безопасна и не станет причиной потери крупной суммы. Любая мошенническая схема сложна, а возможный выхлоп очень невелик. Однако, как и с любой другой картой, здесь действуют стандартные правила:
— Не светите карточкой в людных местах.
— Пользуйтесь SMS-уведомлением от банка, оно позволит вам сразу заметить, если с карты будут сняты деньги.
— Писать на карте PIN-код не нужно. Никогда.
— Следите за приложениями, которые устанавливаете на смартфон.
— И самое главное: при малейших подозрениях свяжитесь со своим банком.
Если вы активно пользуетесь PayPass, будьте спокойны и продолжайте с комфортом оплачивать свои покупки. Но за карточкой всё же следите — были случаи, когда их воровали совсем не по воздуху и бежали закупаться в пределах лимита. Но один звонок в банк решит эту проблему.
Всем хорошего дня! Берегите свои финансы.