Стоит ли бояться бесконтактных платежных систем? Разбираем популярный миф
Вы наверняка что-то слышали о бесконтактных платежных системах, с помощью которых можно пользоваться смартфоном вместо банковской карты. А еще вам могут быть известны увлекательные рассказы о том, как грабители, вооруженные терминалами оплаты, ловко уводят деньги буквально из карманов зазевавшегося пользователя. Мы вместе с экспертами AlfaLab решили ответить на самые частые вопросы по этой теме, а заодно разобраться, помогает ли обертка из фольги уберечь деньги от карманников.
Раньше я проводил магнитной полоской, потом совал ее внутрь, теперь вот достаточно коснуться. В чем разница вообще?
Разница в технологии передачи данных. Когда вы проводите картой, терминал считывает информацию с магнитной полосы. Это такой «односторонний» вариант общения карты с терминалом, поэтому всю работу по проверке данных, шифрованию и прочим прелестям терминал берет на себя. Если карту надо вставить в терминал, значит, она работает как флешка, то есть в ней есть чип (по сути, маленький компьютер).
Он уже активно вовлечен в «диалог» с терминалом, и его при желании можно даже перепрограммировать (теоретически можно даже записать одновременно и приложение Visa, и MasterCard). Наконец, бесконтактная карта тоже содержит чип, только считывается он уже не как флешка, а при помощи технологий RFID (radio-frequency identification) и ее разновидности NFC (near-field communication). Вкратце эта технология основана на взаимодействии двух индукционных катушек, то есть на ближнем магнитном поле. Чтобы ей нормально функционировать, карта и терминал должны быть очень близко друг от друга, обычно в пределах пяти сантиметров.
NFC из всех беспроводных технологий считается одной из самых устойчивых к «подслушиванию», уж больно близко надо подкрасться. Сравнить можно с альтернативами вроде Wi-Fi и Bluetooth, которые работают на существенно бóльших расстояниях и довольно легко подвергаются прослушиванию, если канал не зашифровать. Именно поэтому банки, да и вообще многие сервисы так старательно рекомендуют вам не вводить пароли и другую важную информацию вроде данных кредитки, если вы подключились к открытой сети.
Скажу как эксперт, что за годы работы ни разу не сталкивался со случаями краж денег с карт через NFC. Мне вообще кажется, что все эти люди в метро с терминалами просто везут эти терминалы заказчикам. Важно понимать, что терминал нельзя так просто взять — он должен быть зарегистрирован, подключен, ловить сеть, на него должен быть открыт счет, а организация, на которую открыт счет, должна пройти проверку службы безопасности банка. И это все затем, чтобы ходить по метро, прислоняться и снимать суммы меньше 1000 рублей. Можно прикинуть, что такой инновационный цифровой способ кражи по всем параметрам — издержки, риски, эффективность — проигрывает аналоговым карманным кражам.
Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка
Я подношу телефон, а деньги списываются с карты. Как так?
Во-первых, если вы можете так делать, значит, в вашем телефоне тоже есть NFC-устройство. Во-вторых, работа связки «телефон-карта» осуществляется благодаря крутым системам ApplePay и SamsungPay, позволяющим заменить реальный номер вашей карты на некий аналог под названием Device Account Number. Почему мы считаем, что это круто? Допустим, вы очень бережно храните свою карту, нигде ее не светите, и банк, разумеется, еще бережнее следит за вашими данными. А вот промежуточное звено — продавец — делает вас уязвимым, так как продавцов много и за всех ни вы, ни банк ручаться не можете. Если вы платите картой с магнитной полосой, то ваши данные остаются у продавца (на случай возврата, например), что не есть хорошо. В случае с оплатой по телефону продавец получает только Device Account Number, с которым без вашего телефона он при всем желании сделать ничего не сможет.
Вот что говорит по этому поводу наш эксперт Егор Салтыков, аналитик департамента аудита защищенности Digital Security: «С точки зрения банковских продуктов, бесконтактные карты менее предпочтительны, чем смартфоны, поскольку они постоянно являются рабочими, а не задействуют свой функционал по требованию клиента. Касательно NFC-карт в целом, подобную технологию можно считать вполне безопасной, так как последние ревизии бесконтактных карт используют более надежные методы шифрования и хранения данных. Однако не стоит забывать, что если, как в случае с метрополитеном, необходимо поддерживать более старые версии карт, в которых еще существуют уязвимые к атакам протоколы, то лучше задуматься о своевременном обновлении «карточного парка», чтобы предотвратить возможные инциденты».
Кстати, если вы вдруг переживали из-за того, что, подключая карту к смартфону, могли по неосторожности слить свои данные, то имейте в виду, что в Apple ничего про вашу карту не знают: после того как вы авторизовали ее в ApplePay, компании остается лишь получить у банка Device Account Number, привязать его к вашей карте и передать на ваш телефон. После этого все транзакции включают только вас, платежную систему (Visa, MasterCard) и банк, а Apple достается только статистика. С Samsung все обстоит похожим образом, так что не переживайте.
А если списывают деньги, то могут еще чего-то своровать? Фотки например?
Если коротко, то нет, не могут, но есть нюанс. Конечно, существуют технологии передачи фотографий, ссылок и прочего на основе NFC: Android Beam и S-Beam для устройств Samsung. Они очень надежные, так как, опять же, в отличие от Bluetooth и Wi-Fi, которые народ у нас любит оставлять открытыми и включенными, NFC еще и требует близкого контакта двух устройств. Но эти технологии обмена данными никак не связаны с платежной системой. Так что в итоге — нет, если кто-то и попытается украсть ваши финансы, ухватить «заодно» еще и фотографии у него не получится.
Гипотетически, я могу придумать единственный способ, как NFC может быть опасно. Кто-то должен собрать устройство, которое считает данные с чипа — это будет номер карты, срок действия и специальный CVV (он отличается от CVV карты, это специальный код, только для бесконтактных операций). Дальше человеку придется изготовить карту, причем это будет карта с магнитной лентой, потому что чипированные карты так просто не сделать. С этой картой надо ехать либо в Азию, либо в США (там распространены карты с лентами), где можно попытаться с помощью этой карты что-то купить или снять деньги. Это при том, что любой нормальный банк такую операцию заблокирует — в запросе будет не тот CVV. Еще есть опция купить что-то в интернете, где не требуются ни CVV, ни SMS-код, но такие операция легко оспариваются у банка. В общем, не очень понятно.
Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка
Вот несу я карту в кармане, а тут раз — и кто-то провел терминалом. И все, денежки тю-тю?
Скажем так, возможность взлома в принципе существует.
Но это не значит, что вот так просто, потерев терминал о ваш карман,
можно украсть деньги. Даже бабушки, когда подносят сумки к терминалам,
чтобы заплатить за проезд, должны поднести к считывающему устройству конкретное место сумки, прислонить и
некоторое время подержать. То есть не все так просто.
Одна из теоретических возможностей — это атака посредника.
Делается это так: один из злоумышленников (Вася) должен с передатчиком
в руке дежурить у терминала, который принимает бесконтактные карты
(у автомата с шоколадками, например), а другой (Петя) — дежурить
с устройством для считывания RFID-меток возле вашего кармана. Напомним,
что дистанция считывания для таких карт даже в лабораторных условиях
составляет ну от силы сантиметров десять.
Весь процесс будет
напоминать эстафету: Вася должен получить запрос от автомата
с шоколадками, быстро передать его по интернету Пете, который в этот
момент должен передать сигнал вашей карте (которая в кармане, как
мы помним), а потом все в обратном порядке, и так до тех пор, пока
транзакция не подтвердится. Так что, заметив в десяти сантиметрах от своего кармана с картой таинственного
незнакомца со считывающим устройством, поинтересуйтесь, что он покупает —
«Марс» или «Сникерс». Кстати, на что-то более дорогое злоумышленнику лучше не рассчитывать,
потому что для покупки свыше определенной суммы (около 1000 рублей) ему придется ввести PIN.
Помогает ли защитить карту фольга? В шапочки из фольги я, если что, не верю.
Как ни странно — да, помогает. Если вы беспокоитесь за кражу по «шоколадному» сценарию, то оборачивание в фольгу, специальные кошельки и кейсы действительно полностью заблокируют вашу карту от внешнего считывания.
А нельзя собрать какую-нибудь электромагнитную пушку, чтобы деньги с метрового расстояния воровать?
Для NFC-девайсов (телефона и банковских карт) нельзя, так как они работают на эффекте ближнего поля: на больших расстояниях поле катушки слишком быстро затухает. Тем не менее, с небольшого расстояния считать информацию вполне можно, через карман или конверт, например. Поэтому первое поколение бесконтактных карт, в чипы которых закладывалось много незашифрованной информации (имя владельца в том числе) признали уязвимым и быстро исправили, добавив в числе прочего шифрование. В самом крайнем случае, даже если вашу карту украли, ее не получится использовать для нескольких покупок, так как для каждой операции создается уникальный код. Ну и не забывайте, что для больших покупок все еще требуется PIN.
Если телефон и карточку носить вместе — она не размагнитится?
Нет, вот тут точно можно не переживать. Бесконтактные карты работают не на магнитной полосе, а на встроенном чипе. Он активируется только в тот момент, когда его считывают таким же NFC-совместимым устройством. Все остальное время это просто очень маленькая флешка.
Что лучше — карта или телефон?
На вкус и цвет, конечно, но в целом смартфон лучше. Безопаснее — точно, так как, во-первых, вы нигде не светите данные своей карты, а во-вторых, оплата с помощью смартфона требует дополнительного шага авторизации — отпечатка пальца. Мы попросили нашего эксперта прокомментировать, насколько эта мера важна, да и где вообще проходит грань между удобством и безопасностью:
«Нет смысла запрашивать PIN или подпись (если речь идет о карте) при покупке продуктов в супермаркете, когда банк знает, что это происходит каждый день приблизительно в одно и то же время. С другой стороны, впервые совершенная оплата в ресторане Парижа должна насторожить банк и быть проведена с максимальным «недоверием» к клиенту, чтобы убедиться, что ее осуществляет владелец карточного счета.
С точки зрения бесконтактной оплаты, карта или телефон равнозначны, оба способа удобны, в обоих способах есть лимиты на оплату по картам. Однако, карта активна все время и для оплаты покупок ниже уровня лимита PIN-код не требуется, чем теоретически могут воспользоваться мошенники (например, в транспорте, прикладывая PoS-терминалы к сумкам и карманам пассажиров). Таким образом, безопаснее использовать дополнительные средства проверки пользователя, который оплачивает покупку, в частности, с помощью считывателя пальца в смартфоне».
А от себя добавим, что главное, если уж вы решите заворачивать что-то в фольгу, то пусть это лучше будет карта, а не голова.
Тарас Молотилин