Контактная оплата стала привычкой: карта или телефон — и покупка прошла. На этом фоне регулярно всплывает страшилка: в толпе поднесли терминал к карману и списали деньги. Чтобы понять, где реальный риск, нужно разложить NFC‑платёж на детали: кто участвует, как идёт обмен данными и на каких местах мошеннику реально удобно присосаться.
Кто участвует в NFC‑платеже и что именно происходит
Покупатель — карта или смартфон. Если это карта, внутри работает чип с поддержкой бесконтактной оплаты. Если это смартфон, почти всегда используется токенизация: вместо настоящего номера карты в платёж уходит токен (виртуальный идентификатор), а подтверждение добавляет сам телефон.
Торговая точка — терминал (POS) и банк‑эквайер, который обслуживает продавца. Терминал собирает данные и отправляет запрос на авторизацию, а банк и платёжная система решают, можно ли провести операцию.
Ключевой момент: в большинстве современных сценариев бесконтактный платёж формирует уникальные данные для конкретной операции. Это не «одна и та же цифра», которую можно перехватить и повторить. Условно, это одноразовый «код операции»: данные меняются каждый раз, и простое копирование радиосигнала обычно не даёт возможности повторить платёж.
«Снимут в метро, просто поднеся терминал» — миф или риск
NFC‑связь очень короткая. Обычно это сантиметры; в реальной жизни связь становится ненадёжной, если вы не поднесли устройство почти вплотную. В кармане, через ткань, с движением людей вокруг задача усложняется.
Если говорить про карту, теоретически можно представить сценарий «мобильный терминал в сумке» и попытку провести мелкий платёж, пока карта рядом. Но на практике мошеннику мешают сразу несколько вещей: терминалу нужен зарегистрированный эквайринг, операции оставляют следы, а часть транзакций требует дополнительной проверки. Плюс у многих банков есть лимиты на бесконтакт без подтверждения, и спорные операции можно оспаривать через банк.
Со смартфоном сложнее: для оплаты обычно нужна разблокировка и подтверждение (биометрия или код), а токен привязан к устройству и операции. «Просто поднести терминал» к заблокированному телефону обычно не сработает.
Какие схемы реально встречаются
Самая частая история — не магия NFC, а обычный компрометированный доступ.
Кража телефона или карты. Если украдена карта, ей могут успеть оплатить мелкие покупки до блокировки. Если украден телефон, многое зависит от защиты: пароль, биометрия, можно ли платить без разблокировки.
Подмена реквизитов в интернете. Человек думает, что платит на настоящем сайте, но вводит данные карты на фишинговом. К NFC это почти не относится, но в разговорах всё смешивают.
Relay‑атаки (ретрансляция). Более техническая схема: обмен между картой и настоящим терминалом «удлиняют» через два устройства. В теории возможно, в жизни сложно: нужно оборудование, синхронизация и всё равно остаются следы в платёжной цепочке. Для массового снятия в метро это обычно слишком неудобно.
Что сделать, чтобы риск был минимальным
Если вы платите телефоном, оставляйте режим только после разблокировки и используйте биометрию. Это один из самых сильных уровней защиты.
Если вы платите картой, включите уведомления по операциям, чтобы видеть списания сразу. Держите карту в кошельке или отдельном кармане. Если вам так спокойнее, можно использовать кошелёк с экранированием.
Суть: снять деньги просто проходя рядом обычно не получается. Реальные риски чаще связаны с кражей, невнимательностью и тем, что человека убеждают сделать платёж самому. А заметное улучшение безопасности даёт оплата смартфоном с подтверждением.