Три мифа о безопасности мобильных платежей

    Yota продолжает развенчивать популярные мифы, и сегодня мы решили поговорить о серьезной и волнующей многих пользователей теме — безопасности мобильных платежей. Оплачивать покупки при помощи мобильного телефона давно стало обыденностью и эта сфера до сих пор окружена недомолвками и мифами.



    Мобильные платежи с помощью NFC небезопасны: злоумышленники могут получить личную информацию со смартфона через взломанный терминал.

    Технология Near-Field Communication, сокращенно NFC, появилась несколько лет назад, но уже получила широкое распространение в больших городах. Еще бы: мало кто любит носить с собой кучу карточек, гораздо удобнее приложить к терминалу телефон. Одновременно с появлением новой технологии появились сомнения в ее безопасности.

    Принцип работы NFC основан на работе в ближнем магнитном поле двух индукционных катушек. Чтобы сработать, бесконтактный терминал и карточка должны находится на расстоянии не более 5 см друг от друга. Но это еще не все.

    Смартфоны с NFC-устройством оснащены дополнительными системами безопасности. Приложения Samsung Pay, Android Pay, Apple Pay заменяют реальный номер карты на Device Account Number – аналог, данные которого остаются у продавца при покупке вместо реальных данных вашей банковской карты. С этими данными ни продавец, ни злоумышленники ничего не смогут сделать.



    Получается, все данные моих карт остаются у производителя телефона?

    Нет. После того, как вы авторизуете карту в системе, компания получает у банка Device Account Number и привязывает его к карте и телефону, а данные самой банковской карты не сохраняет. В результате, компания-разработчик получает только статистику. А данные карты остаются у платежной системы (Visa или Mastercard), банка и у вас.

    Cегодня платежи со смартфона безопаснее платежа напрямую с карты. На это есть несколько причин:

    • Не нужно вводить пин-код,
    • Вы не светите карту нигде,
    • Службы мобильных платежей для авторизации требуют отпечаток пальца владельца,
    • У служб мобильных платежей нет доступа к банковскому счету,
    • Забытый пароль службы платежа нельзя восстановить — только зарегистрироваться повторно, предварительно сбросив все настройки.

    Попытки взломать платежные NFC-системы предпринимались с самого начала распространения технологии. Часто хакеры тренируются на взломе транспортных карт для их бесплатного пополнения: подобные инциденты случались как в России, так и за рубежом. Тем не менее, убедительных свидетельств взлома пока не случалось.

    С терминалами еще сложнее: чтобы работать и проводить платежи, каждый кассовый аппарат должен быть зарегистрирован, плюс составляется договор с банком-эквайром, в котором указаны паспортные данные продавца и реквизиты предприятия. Любую транзакцию можно отследить и отменить.

    Но мошенники не дремлют, и уже научились воровать деньги напрямую с карточки с помощью самодельных ридеров: они прикладываются на расстоянии 5-15 см к считывателю карты и снимают деньги везде – на рынках, в магазинах, в общественном транспорте. Правда вряд ли кто-то спокойно отреагирует, если посторонний будет сканировать его карман или карточку в руке – поэтому и защититься от такого воровства легко, если не «светить» своими карточками подолгу в общественных местах. Для этого даже продаются специальные защитные кошельки — RFID blocking wallet. Ну или можно обернуть их в фольгу – это правда работает. Шапочка из фольги может уберечь вашу карточку, но не голову – не перепутайте! :-)

    Если держать телефон у терминала слишком долго, то деньги снимут несколько раз

    К сожалению, двойная транзакция – действительно распространенный вид мошенничества. Кроме того, двойное списание денег со счета часто обусловлено неисправным терминалом или техническим сбоем в банке. В таких случаях продавец сам отменяет платеж и деньги возвращаются на счет покупателя. Если же вина за банком, то обращаться нужно туда напрямую – по закону, если в незаконном списании виноват он, то банк обязан вернуть эту сумму с процентами.

    Во всех случаях телефон ни при чем, так же как и его расстояние до терминала оплаты. Сигнал получен – деньги списаны – терминал печатает чек. Если устройство исправно и подключено правильно, то повторно деньги не спишутся.

    Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета

    Банки часто присылают одноразовый пароль безопасности по смс для подтверждения интернет-платежа со зловещим предупреждением НЕ ПОКАЗЫВАЙТЕ ПАРОЛЬ НИКОМУ.

    Поскольку пароль недолговечен – его действие всего несколько минут, то считается, что злоумышленник просто не успеет перехватить код.

    В январе этого года злоумышленникам удалось украсть крупные суммы с банковских карточек пользователей в Германии, используя уязвимости SS7.

    Сотни домашних компьютеров были заражены троянцами, которые воровали привязанные номера телефонов, логины и пароли доступа в онлайн-банк, после чего злоумышленники переводили деньги к себе на счет. Оператор связи, находящийся за пределами Германии, предоставлял им доступ к протоколу, воры переадресовывали SMS с банковским паролем на свой номер, подтверждая платеж.

    Немецкий мобильный оператор O2 позже подтвердил, что неопознанный телефонный оператор заблокирован, а пострадавшие клиенты проинформированы. Но неизвестно, удалось ли им вернуть деньги. Примечательно, что во время хищений система безопасности банков не скомпрометировала ни один платеж.

    В 2016 году Американский Национальный институт стандартов и технологий предложил отказаться от текстовых сообщений для двухфакторной аутентификации и заменить их криптографическими ключами безопасности, которые будут храниться на защищенных устройствах. Но пока ничего не изменилось.



    Что делать?

    К сожалению, пока что банки не поддерживают альтернативные способы аутентификации. Единственное, что остается – следить за безопасностью мобильных устройств и компьютеров, с которых вы оплачиваете покупки:

    • регулярно проверяйте устройства на наличие вредоносного ПО,
    • не вводите данные карты на чужих компьютерах и смартфонах,
    • пользуйтесь магазинами, которые используют защищенное HTTPS-соединение,
    • Для оплаты интернет-покупок лучше пользоваться не своей основной картой, а завести виртуальную карточку.
    Yota
    Компания

    Похожие публикации

    Комментарии 13

      0
      Кошельки с фольгой? Панику только нагоняете некоторым) Достаточно держать в кошельке пару карт и их никто не считает)
        0

        Зависит от ридера, некоторые считают сразу все карточки. Год назад на ГТ эту тему перетерли по полной программе.

          0
          Стандарт предполагает anticollision механизм.
          Любой стандартный ридер вполне работает с более 1-й картой в поле действия.
          0
          Но в статье 4 мифа)
            0
            В 2016 году Американский Национальный институт стандартов и технологий предложил отказаться от текстовых сообщений для двухфакторной аутентификации и заменить их криптографическими ключами безопасности, которые будут храниться на защищенных устройствах. Но пока ничего не изменилось.

            Да, именно в мобильно-банковских системах пока это не используется (или мало где используется, я не слышал). Но практика правильная и, главное, набирающая популярность. Я уверен, что в скором будущем она появится и в мобильных платежах.
              0
              Принцип работы NFC основан на работе в ближнем магнитном поле двух индукционных катушек. Чтобы сработать, бесконтактный терминал и карточка должны находится на расстоянии не более 5 см друг от друга.

              И что мешает злоумышленнику сделать катушечку побольше?
              И превратить 5 см в 5 метров ?

                0
                Мешает принцип установки связи между устройствами, который зависит не только от мощности сигнала. Так бы давно уже люди ходили с супер большими антеннами и читали карты.
                  0

                  Вопрос был в этих 5 см, а дальнейший взлом протокола связи — это уже "дело техники" ...

                    0
                    NFC для банковских карточек — в девичестве ISO 14443. Частота 13.56Мгц для обмена данными.

                    Стандарт определяет (кстати 10 см) минимальные требования для ридеров, поддерживающих стандарт.

                    Кстати, если что, расстояние в первую очередь определяется необходимостью запитать чип на классической карт/токене. Для NFC модулей в телефоне — не актуально.

                      0

                      Я сам не пробовал моделировать физику связи в NFC, но насколько я понимаю, магнитное поле от антенны, скажем, телефона на расстоянии более 20 см будет слабее шумов, что и не позволяет сделать считыватель с больших расстояний.

                        0
                        Физика… физика простая
                        Если говорить про классическую карту (занимался ими..), то там обычная катушка по периметру карты.
                        Питание чипа карты от конденсатора, заряжаемого наводкой на катушку карты от катушки ридера (аля детекторный приемник).
                        расстоянии более 20 см будет слабее шумов, что и не позволяет сделать считыватель с больших расстояний.

                        Расстояние в первую очередь определяется мощностью сигнала на картушке ридера, которым нужно еще запитать чип карты. Вот эту минимальную величину расстояния между картой (размера ISO-7810) и ридером и определяет стандарт.
                        Т.е. это не физическое ограничение, а просто требование к производителям ридеров, что бы ридеры могли читать карту с такого расстояния.

                        Что в карте, что в ридере одна катушка. Протокол довольно простой. Стандарт открытый. Давно существуют opensource решения. 13Мгц это не ВЧ/СВЧ. Все просто.

                        Вообще то говорить по передачу через «магнитное поле» для 13Мгц…
                        Впрочем длинноволновые радиостанции то же, можно сказать, передают через магнитное поле ЭДС на катушку приемного контура радиоприемника :)
                        Вопрос только в масштабе и дальности.

                        А с NFC модулем в телефоне проще. Ему не нужно мощного сигнала от ридера что бы записать чип. Своя батарейка есть.

                        А помехи на 13.56Мгц с полосой 847.5кГц и амплитудной модуляцией.
                        Не знаю. Не исследовал. Но, почему то кажется, что этот диапазон не сильно зашумлен.
                  0
                  Но мошенники не дремлют, и уже научились воровать деньги напрямую с карточки с помощью самодельных ридеров: они прикладываются на расстоянии 5-15 см к считывателю карты и снимают деньги везде – на рынках, в магазинах, в общественном транспорте.

                  Особенно интересно, наверное, это делать со сберовских банкоматов. Магазины… товары… зачем. Сразу нал.
                    0
                    Попытки взломать платежные NFC-системы предпринимались с самого начала распространения технологии. Часто хакеры тренируются на взломе транспортных карт для их бесплатного пополнения: подобные инциденты случались как в России, так и за рубежом. Тем не менее, убедительных свидетельств взлома пока не случалось.

                    Нужно отделить мух от котлет.

                    NFC (ISO 14443) включает в себя, например, как и древние карты NXP Mifarte Classic так и транспорт для работы с EMV картами.

                    NXP Mifare Classic наверное уже только ленивый не ломал.
                    А транспорт EMV карт ломать смысла нет. Там защита не на транспортном уровне.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое