Новый старый способ украсть деньги с вашей карты

© Fotolia / ratmanerОплата с помощью бесконтактной банковской картыОплата с помощью бесконтактной банковской карты
Не удивляйтесь, если завтра, после поездки в толкучке московской подземки, у вас с карты спишут деньги где-нибудь в Мексике. Как - объясняет Владислав Бирюков.

Владислав Бирюков, аналитик инвестиционной компании "АйКомИнвест", для МИА "Россия сегодня"

Уважаемое британское издание Which? сообщило в среду об обнаружении уязвимости в защите бесконтактных банковских карт. По итогам эксперимента, авторам Which? удалось сделать в крупном британском интернет-магазине пару неавторизованных покупок, в том числе дорогого телевизора стоимостью в 3 тысячи фунтов.

Какое отношение эта история имеет к нашей жизни, спросите вы? Самое прямое. Посмотрите на ваши банковские карточки. Нет ли на них логотипа функции бесконтактной оплаты (четыре расширяющиеся дуги)?

У разных платежных систем эта опция называется по-разному — Visa payWave, MasterCard PayPass — но устроена схожим образом. Такие карты в последнее время выпускают практически все крупные российские банки, да и не только российские. В той же Великобритании бесконтактных карт эмитировано чуть меньше численности населения страны.

Бесконтактные карты используют стандарт NFC — это радиосвязь, работающая на расстоянии в несколько сантиметров. На том же семействе стандартов основаны бесконтактные проездные в транспорте и пропуска во многих офисных зданиях.

Платить бесконтактной картой очень удобно. На секунду подносишь карту к терминалу — и все, никаких PIN-кодов и подписей. Совместимых терминалов, по крайней, мере в Москве, очень много — я уже забыл, когда расплачивался в супермаркетах по-другому.

Конечно же, простота бесконтактной оплаты потребовала и хорошей многоуровневой защиты.

Первый ее слой — физический. Карту нужно поднести к терминалу оплаты вплотную, иначе она не сработает. 

Второй слой — ограничение суммы транзакции. Бесконтактно без дополнительной верификации можно оплатить только небольшую покупку. Пороговую сумму определяет банк, в России это стандартно одна тысяча рублей. При превышении порога или попытке сделать несколько последовательных покупок сработает система защиты — вас попросят ввести PIN-код или расписаться на чеке.

Банковская карта. Архивное фото
Крупнейшие банки РФ полностью перешли на выпуск карт с чипами
Третий слой обороны — самый серьезный, криптографический. Бесконтактные карты защищены тем же стандартом EMV, что и обычные чиповые карты. Для подтверждения легитимности транзакции микросхема на карте каждый раз генерирует одноразовый код. Перехватить его можно, но бессмысленно — для следующей покупки он уже не подойдет.

В считывающем терминале записан криптоключ, который можно получить только в банке по договору на юридическое лицо. Таким образом, абы кто платежным терминалом не завладеет. А даже если завладеет, найти концы будет несложно.

Таким образом, получается, защита у бесконтактных транзакций очень серьезная.

Хорошо, а как же тогда Which? удалось купить телевизор?

Банально просто. На чипе бесконтактной карты в незашифрованном виде может храниться кое-какая информация. Часто это номер карты, срок ее действия и список последних операций.

Считать эти данные очень просто — никакие специальные банковские ридеры для этого не нужны. Достаточно обычного смартфона с поддержкой NFC — а таких на рынке сейчас каждый второй. На смартфон устанавливается бесплатная и вполне легальная программа, например, Banking card reader NFC (подходит для Android-устройств, можно скачать в сервисе Google Play).

Мобильный телефон. Архивное фото
ЦБ РФ предупреждает о росте мошенничества с мобильными устройствами
То есть подносим смартфон к чужому кошельку и видим номер карты и срок ее действия. Теоретически этих данных должно быть недостаточно, чтобы украсть деньги через интернет — нужен еще трехзначный CVV2/CVC2-код (тот, что написан на обратной стороне карты), имя владельца и адрес. А нередко еще и потребуется дополнительный код двухфакторной аутентификации, который банк присылает на ваш телефон по SMS.

На практике, увы, многие интернет-магазины довольствуются только номером карты и сроком действия. Что собственно и продемонстрировали эксперты Which? своей покупкой телевизора. Имя и адрес клиента они ввели придуманные — прошло без проблем.

В принципе, не на всех бесконтактных картах номер и срок действия хранится в открытом доступе. Это решает банк-эмитент и платежная система. Авторы Which? протестировали десять карточек, и на всех данные удалось прочитать.

Но может это чисто британская проблема? И у наших российских карточек все в порядке? Увы, нет.

У меня в кошельке две бесконтактные карты — одна Visa и одна MasterCard. Разных банков, из первой двадцатки в национальных рейтингах. Обе прочитались без проблем.

Самое же интересное, что описанная Which? проблема совсем не нова. Эту проблему уже поднимали российские СМИ, почти год назад. И ничего с тех пор не изменилось: как хранилась информация на картах в открытом виде, так и хранится.

Получается, что формально в системе защиты бесконтактных карт уязвимости нет. А на практике — деньги украсть можно. Пусть для этого и придется хитрым образом извернуться.

Стоит ли бить тревогу? До сих пор ведь как-то жили с этим и вроде ничего.

Стоит. Если до сих пор подобных мошеннические схемы широко не использовались, это не значит, что так будет и впредь. Число преступлений с хищением данных банковских карт быстро растет, а их техника становится все более изощренной.

Так что не удивляйтесь, если завтра, после поездки в толкучке московской подземки, у вас с карты спишут деньги где-нибудь в Мексике. Конечно, такой платеж можно попытаться оспорить. И, возможно, после разбирательства банк вернет деньги. Но вам оно нужно?

Что же делать?

Проверить "читаемость" своей карты и требовать от банка перевыпуска с "закрытием" номера. Следить за сохранностью своего счета (подписка на SMS-уведомления). При первом подозрении писать заявление в банк. Или прятать карту куда-то поглубже, где ее не прочитать "случайно" прислоненным телефоном. Не фольгой же обматывать, в самом деле?

Мнение
Комментарии
8 пользователей оставили 8 комментариев
Разве можно быть уверенным, что универсальная электронная карта будет лишена таких косяков? А то так прислонятся телефоном в очереди и работай потом всю жизнь оплачивая чужой кредит, или доказывая по судам, что ты живой, здоровый, живёшь в России, никуда не улетал и зовут тебя Вася Пупкин.
Полный бред, недостойный внимания!!! Автор упомянул CVV2/CVC2-код и код двухфакторной аутентификации по SMS, а потом благополучно умолчал о их преодолении, списывая на послабления интернет магазинов, но разве они дают разрешение на списание средств с карты? Все эти данные отправляются по запросу банка и без них средства списать невозможно!!! Готов предоставить автору свою карту для эксперемента и посмотреть, как он с треском провалится!
Наверх
Авторизация
He правильное имя пользователя или пароль
Войти через социальные сети
Регистрация
E-mail
Пароль
Подтверждение пароля
Введите код с картинки
He правильное имя пользователя или пароль
* Все поля обязательны к заполнению
Восстановление пароля
E-mail
Инструкции для восстановления пароля высланы на
Смена региона
Идет загрузка...
Произошла ошибка... Повторить
правила комментирования материалов

Регистрация пользователя в сервисе РИА Клуб на сайте Ria.Ru и авторизация на других сайтах медиагруппы МИА «Россия сегодня» при помощи аккаунта или аккаунтов пользователя в социальных сетях обозначает согласие с данными правилами.

Пользователь обязуется своими действиями не нарушать действующее законодательство Российской Федерации.

Пользователь обязуется высказываться уважительно по отношению к другим участникам дискуссии, читателям и лицам, фигурирующим в материалах.

Публикуются комментарии только на тех языках, на которых представлено основное содержание материала, под которым пользователь размещает комментарий.

На сайтах медиагруппы МИА «Россия сегодня» может осуществляться редактирование комментариев, в том числе и предварительное. Это означает, что модератор проверяет соответствие комментариев данным правилам после того, как комментарий был опубликован автором и стал доступен другим пользователям, а также до того, как комментарий стал доступен другим пользователям.

Комментарий пользователя будет удален, если он:

  • не соответствует тематике страницы;
  • пропагандирует ненависть, дискриминацию по расовому, этническому, половому, религиозному, социальному признакам, ущемляет права меньшинств;
  • нарушает права несовершеннолетних, причиняет им вред в любой форме;
  • содержит идеи экстремистского и террористического характера, призывает к насильственному изменению конституционного строя Российской Федерации;
  • содержит оскорбления, угрозы в адрес других пользователей, конкретных лиц или организаций, порочит честь и достоинство или подрывает их деловую репутацию;
  • содержит оскорбления или сообщения, выражающие неуважение в адрес МИА «Россия сегодня» или сотрудников агентства;
  • нарушает неприкосновенность частной жизни, распространяет персональные данные третьих лиц без их согласия, раскрывает тайну переписки;
  • содержит ссылки на сцены насилия, жестокого обращения с животными;
  • содержит информацию о способах суицида, подстрекает к самоубийству;
  • преследует коммерческие цели, содержит ненадлежащую рекламу, незаконную политическую рекламу или ссылки на другие сетевые ресурсы, содержащие такую информацию;
  • имеет непристойное содержание, содержит нецензурную лексику и её производные, а также намёки на употребление лексических единиц, подпадающих под это определение;
  • содержит спам, рекламирует распространение спама, сервисы массовой рассылки сообщений и ресурсы для заработка в интернете;
  • рекламирует употребление наркотических/психотропных препаратов, содержит информацию об их изготовлении и употреблении;
  • содержит ссылки на вирусы и вредоносное программное обеспечение;
  • является частью акции, при которой поступает большое количество комментариев с идентичным или схожим содержанием («флешмоб»);
  • автор злоупотребляет написанием большого количества малосодержательных сообщений, или смысл текста трудно либо невозможно уловить («флуд»);
  • автор нарушает сетевой этикет, проявляя формы агрессивного, издевательского и оскорбительного поведения («троллинг»);
  • автор проявляет неуважение к русскому языку, текст написан по-русски с использованием латиницы, целиком или преимущественно набран заглавными буквами или не разбит на предложения.

Пожалуйста, пишите грамотно — комментарии, в которых проявляется пренебрежение правилами и нормами русского языка, могут блокироваться вне зависимости от содержания.

Администрация имеет право без предупреждения заблокировать пользователю доступ к странице в случае систематического нарушения или однократного грубого нарушения участником правил комментирования.

Пользователь может инициировать восстановление своего доступа, написав письмо на адрес электронной почты moderator@rian.ru

В письме должны быть указаны:

  • Тема – восстановление доступа
  • Логин пользователя
  • Объяснения причин действий, которые были нарушением вышеперечисленных правил и повлекли за собой блокировку.

Если модераторы сочтут возможным восстановление доступа, то это будет сделано.

В случае повторного нарушения правил и повторной блокировки доступ пользователю не может быть восстановлен, блокировка в таком случае является полной.

Чтобы связаться с командой модераторов, используйте адрес электронной почты moderator@rian.ru или воспользуйтесь формой обратной связи.

Заявка на размещение пресс-релиза
Компания
Контактное лицо
Контактный телефон или E-mail
Комментарий
Введите код с картинки
Все поля обязательны к заполнению. Услуга предоставляется на коммерческой основе.
Заявка успешно отправлена