Три мифа о безопасности мобильных платежей

    Yota продолжает развенчивать популярные мифы, и сегодня мы решили поговорить о серьезной и волнующей многих пользователей теме — безопасности мобильных платежей. Оплачивать покупки при помощи мобильного телефона давно стало обыденностью и эта сфера до сих пор окружена недомолвками и мифами.



    Мобильные платежи с помощью NFC небезопасны: злоумышленники могут получить личную информацию со смартфона через взломанный терминал.

    Технология Near-Field Communication, сокращенно NFC, появилась несколько лет назад, но уже получила широкое распространение в больших городах. Еще бы: мало кто любит носить с собой кучу карточек, гораздо удобнее приложить к терминалу телефон. Одновременно с появлением новой технологии появились сомнения в ее безопасности.

    Принцип работы NFC основан на работе в ближнем магнитном поле двух индукционных катушек. Чтобы сработать, бесконтактный терминал и карточка должны находится на расстоянии не более 5 см друг от друга. Но это еще не все.

    Смартфоны с NFC-устройством оснащены дополнительными системами безопасности. Приложения Samsung Pay, Android Pay, Apple Pay заменяют реальный номер карты на Device Account Number – аналог, данные которого остаются у продавца при покупке вместо реальных данных вашей банковской карты. С этими данными ни продавец, ни злоумышленники ничего не смогут сделать.



    Получается, все данные моих карт остаются у производителя телефона?

    Нет. После того, как вы авторизуете карту в системе, компания получает у банка Device Account Number и привязывает его к карте и телефону, а данные самой банковской карты не сохраняет. В результате, компания-разработчик получает только статистику. А данные карты остаются у платежной системы (Visa или Mastercard), банка и у вас.

    Cегодня платежи со смартфона безопаснее платежа напрямую с карты. На это есть несколько причин:

    • Не нужно вводить пин-код,
    • Вы не светите карту нигде,
    • Службы мобильных платежей для авторизации требуют отпечаток пальца владельца,
    • У служб мобильных платежей нет доступа к банковскому счету,
    • Забытый пароль службы платежа нельзя восстановить — только зарегистрироваться повторно, предварительно сбросив все настройки.

    Попытки взломать платежные NFC-системы предпринимались с самого начала распространения технологии. Часто хакеры тренируются на взломе транспортных карт для их бесплатного пополнения: подобные инциденты случались как в России, так и за рубежом. Тем не менее, убедительных свидетельств взлома пока не случалось.

    С терминалами еще сложнее: чтобы работать и проводить платежи, каждый кассовый аппарат должен быть зарегистрирован, плюс составляется договор с банком-эквайром, в котором указаны паспортные данные продавца и реквизиты предприятия. Любую транзакцию можно отследить и отменить.

    Но мошенники не дремлют, и уже научились воровать деньги напрямую с карточки с помощью самодельных ридеров: они прикладываются на расстоянии 5-15 см к считывателю карты и снимают деньги везде – на рынках, в магазинах, в общественном транспорте. Правда вряд ли кто-то спокойно отреагирует, если посторонний будет сканировать его карман или карточку в руке – поэтому и защититься от такого воровства легко, если не «светить» своими карточками подолгу в общественных местах. Для этого даже продаются специальные защитные кошельки — RFID blocking wallet. Ну или можно обернуть их в фольгу – это правда работает. Шапочка из фольги может уберечь вашу карточку, но не голову – не перепутайте! :-)

    Если держать телефон у терминала слишком долго, то деньги снимут несколько раз

    К сожалению, двойная транзакция – действительно распространенный вид мошенничества. Кроме того, двойное списание денег со счета часто обусловлено неисправным терминалом или техническим сбоем в банке. В таких случаях продавец сам отменяет платеж и деньги возвращаются на счет покупателя. Если же вина за банком, то обращаться нужно туда напрямую – по закону, если в незаконном списании виноват он, то банк обязан вернуть эту сумму с процентами.

    Во всех случаях телефон ни при чем, так же как и его расстояние до терминала оплаты. Сигнал получен – деньги списаны – терминал печатает чек. Если устройство исправно и подключено правильно, то повторно деньги не спишутся.

    Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета

    Банки часто присылают одноразовый пароль безопасности по смс для подтверждения интернет-платежа со зловещим предупреждением НЕ ПОКАЗЫВАЙТЕ ПАРОЛЬ НИКОМУ.

    Поскольку пароль недолговечен – его действие всего несколько минут, то считается, что злоумышленник просто не успеет перехватить код.

    В январе этого года злоумышленникам удалось украсть крупные суммы с банковских карточек пользователей в Германии, используя уязвимости SS7.

    Сотни домашних компьютеров были заражены троянцами, которые воровали привязанные номера телефонов, логины и пароли доступа в онлайн-банк, после чего злоумышленники переводили деньги к себе на счет. Оператор связи, находящийся за пределами Германии, предоставлял им доступ к протоколу, воры переадресовывали SMS с банковским паролем на свой номер, подтверждая платеж.

    Немецкий мобильный оператор O2 позже подтвердил, что неопознанный телефонный оператор заблокирован, а пострадавшие клиенты проинформированы. Но неизвестно, удалось ли им вернуть деньги. Примечательно, что во время хищений система безопасности банков не скомпрометировала ни один платеж.

    В 2016 году Американский Национальный институт стандартов и технологий предложил отказаться от текстовых сообщений для двухфакторной аутентификации и заменить их криптографическими ключами безопасности, которые будут храниться на защищенных устройствах. Но пока ничего не изменилось.



    Что делать?

    К сожалению, пока что банки не поддерживают альтернативные способы аутентификации. Единственное, что остается – следить за безопасностью мобильных устройств и компьютеров, с которых вы оплачиваете покупки:

    • регулярно проверяйте устройства на наличие вредоносного ПО,
    • не вводите данные карты на чужих компьютерах и смартфонах,
    • пользуйтесь магазинами, которые используют защищенное HTTPS-соединение,
    • Для оплаты интернет-покупок лучше пользоваться не своей основной картой, а завести виртуальную карточку.
    Yota
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 7

      0
      Кошельки с фольгой? Панику только нагоняете некоторым) Достаточно держать в кошельке пару карт и их никто не считает)
        0

        Зависит от ридера, некоторые считают сразу все карточки. Год назад на ГТ эту тему перетерли по полной программе.

        0
        Но в статье 4 мифа)
          0
          В 2016 году Американский Национальный институт стандартов и технологий предложил отказаться от текстовых сообщений для двухфакторной аутентификации и заменить их криптографическими ключами безопасности, которые будут храниться на защищенных устройствах. Но пока ничего не изменилось.

          Да, именно в мобильно-банковских системах пока это не используется (или мало где используется, я не слышал). Но практика правильная и, главное, набирающая популярность. Я уверен, что в скором будущем она появится и в мобильных платежах.
            0
            Принцип работы NFC основан на работе в ближнем магнитном поле двух индукционных катушек. Чтобы сработать, бесконтактный терминал и карточка должны находится на расстоянии не более 5 см друг от друга.

            И что мешает злоумышленнику сделать катушечку побольше?
            И превратить 5 см в 5 метров ?

              0
              Мешает принцип установки связи между устройствами, который зависит не только от мощности сигнала. Так бы давно уже люди ходили с супер большими антеннами и читали карты.
                0

                Вопрос был в этих 5 см, а дальнейший взлом протокола связи — это уже "дело техники" ...

            Only users with full accounts can post comments. Log in, please.