Безопасны ли бесконтактные платежи?


Бесконтактные платежи завоевывают российский рынок. X5 Retail Group сообщает об увеличении доли бесконтактных платежей в торговых сетях «Пятерочка», «Перекресток» и «Карусель» в семь раз. В «М.Видео» и «Эльдорадо» отметили, что также наблюдают подобный тренд и зафиксировали увеличение платежей в два раза. Поговорим об основных уязвимостях NFC-платежей и эффективных способах защиты от NFC-мошенничества.

Безопасны ли бесконтактные платежи?

История NFC началась в 1983 году, когда электротехник Чарльз Вэлтон изобрёл «портативный радиочастотный излучатель-идентификатор». В марте 2004 года компании Nokia, Sony и Royal Philips Electronics решили вернуться к технологии и основали NFC Forum. Через 2 года была разработана первая спецификация и выпущен телефон, поддерживающий NFC-технологию. Nokia 6131 NFC хоть и нёс революционное изобретение на борту, но в быту практически не использовался.

В 2011 году к NFC Forum присоединяется Google. И сейчас NFC поддерживается в мобильной операционной системе Android. Кроме того, решения для бесконтактной системы передачи данных представили Apple, Samsung и даже Garmin. Но чаще всего NFC встречается в банковских картах.

Российские банки уже сегодня предлагают клиентам карты, позволяющие оплачивать покупки бесконтактным способом. Например, Сбербанк выдаёт бюджетникам карты российской системы «МИР», поддерживающей оплату через NFC-решения.

Популярность беспроводных технологий привлекает не только пользователей, но и злоумышленников. Они придумывают различные ухищрения для хищения денежных средств с карты или получения доступа к конфиденциальной информации владельца.

Уязвимости платежей на основе NFC

NFC работает на дистанции не более 10 сантиметров на частоте 13,56 МГц. Технология подразумевает обязательное наличие инициатора и цели. Инициатор генерирует активное поле, а цель считывает его в пассивном режиме.

Над получением доступа к данным, передаваемым по NFC, уже сейчас бьются учёные и хакеры. Исследователям из британского Университета Суррей удалось считать данные, передаваемые с помощью NFC-решений в супермаркете. Для этого использовались портативные гаджеты, которые не вызывали подозрения у покупателей. При этом они находились на расстоянии 45 сантиметров от получателя информации.

Испанские хакеры Рикардо Родригес и Хосе Вилла использовали психологию человека и создали вирус для мобильной операционной системы Android. Они рассудили, что человек часто носит кошелёк с карточками, поддерживающими технологию NFC со смартфоном. По сути, вирус делает телефон своеобразным ретранслятором сигнала банковской карты. И злоумышленник может оплатить покупку вашей картой, дождавшись, когда вирус отправит информацию о том, что карта готова к осуществлению транзакции. Такой вид взлома получил названием relay-атаки.

Со временем считать данные с карты, оснащённой NFC-технологией, становилось всё проще. Уже сейчас можно скачать приложения NFC Basic, Banking Card Reader и узнать номер, срок действия, иногда имя пользователя и историю транзакций. В интернете при желании можно найти интернет-магазины, которые не требуют ввода CVV2-кода при покупке, и совершить операцию по украденным данным.

Ещё одной атакой можно считать использование средствами радиоэлектронной борьбы или RFID-глушилок. При их использовании нарушается работа инициатора и провести оплату становится невозможно.

Стоит учитывать, что сами носители NFC могут быть уязвимы. Например, смартфоны и планшеты не защищены от уязвимостей в коде операционной системы, поэтому мобильное приложение для приема бесконтактных платежей может стать целью хакеров.

Не гарантируют 100% безопасность и принимающие устройства: POS-терминалы, банкоматы. Их программный код также подвержен уязвимостям.

Угроза для транспортных NFC-карт

NFC-технология используется не только в банковских карточках, но и в транспортных картах, которыми оплачиваются поездки в метро и наземном транспорте. В отличие от банковских, транспортные карты не имеют шифрования и поэтому любопытные граждане могут заглянуть внутрь электронной прошивки.

Делается это с помощью общедоступных программ. Взлому были уже подвержены карта «Тройка», а также транспортные карты Нижнего Новгорода. Энтузиасты создавали карты с бесконечным оплаченным проездом.

В основном взлом транспортных карт осуществлялся за счет атаки на чип семейства Mifare Classic с устаревшим режимом безопасности SL1. Современные же карты выпускаются уже на базе усовершенствованных чипов и данные уязвимости для них не актуальны.

Как защититься от карточных атак

Бесконтактная технология оплаты, действительно, удобна. Банки даже сделали возможность покупок до одной тысячи рублей без ввода PIN-кода. Это один из этапов защиты пользователей.

Лимит на сумму операции как способ защиты используют не только банки, но и платежные провайдеры. Например, процессинговая компания Fondy ограничила для своих клиентов размер единоразового платежа. Так, сумма, которую компания может принять через NFC с помощью приложения, не может превышать 5 000 руб.

Еще один способ защиты от NFC-мошенничества — вместо пластика использовать мобильное приложение, которое привязано к счету карты. Безопасность такого способа оплаты поддерживает технология HCE. С ее помощью мобильное устройство с поддержкой бесконтактных платежей передает данные о платежной операции через канал, защищенный при помощи шифрования. Данные, которые необходимы для бесконтактного платежа, хранятся в памяти смартфона или планшета.

Такая модель работы значительно снижает вероятность симуляции NFC-платежа и перехвата данных злоумышленниками. Если пользователь не активировал мобильное приложение, к которому привязана карта, атака с использованием ретрансляции невозможна. Технологию HCE поддерживают, например, мобильные приложения: Visa QIWI Wallet, Тинькофф, Яндекс.Деньги.

Чтобы обезопасить NFC-платежи пользователю смартфона с технологией HCE важно учесть риски:

  1. Получение прав суперпользователя сторонними приложениями на Android-смартфоне, если устройство поддерживает Root-доступ. Пользователю не следует активировать Root-доступ на устройстве, на котором хранятся данные карты и используется приложение для NFC-платежей.
  2. Установка вредоносного ПО, от которого поможет защититься бдительность владельца и проверка данных о разработчике мобильного приложения перед установкой на устройство.
  3. Потеря или кража телефона, на котором не установлена блокировка по паролю или отпечатку пальца. Чтобы избежать этого риска, владельцу телефона следует хранить устройство в надежном месте и защитить его с помощью блокировки.
  4. Защитить от атак на NFC-карты помогают аксессуары. В интернет-магазинах можно купить кардхолдер или футляр для карт с экранирующей вставкой из алюминия. Цена может варьироваться от 50 до 500 рублей.

Если тратить деньги не хочется, то в кармашек кошелька можно положить листок фольги. Таким образом, создаётся клетка Фарадея, которая не даёт радиоволнам уйти за пределы кошелька. Ещё можно просто держать несколько карт с NFC-технологией в одном месте, чтобы считывающее устройство не могло установить сигнал от конкретной карты. И постарайтесь держать карты подальше от телефонов с NFC-приёмником.

Заботясь о безопасности своей бесконтактной карты не стоит забывать о базовых рекомендациях по хранению паролей, управлению доступом к интернет-банку. Не передавайте персональную информацию третьим лицам, не держите карты и PIN-коды к ним в одном месте, не оплачивайте услуги на малоизвестных или не проверенных сайтах.

Самые популярные карточные NFC решения PayWave и PayPass от платежных систем Visa и MasterCard построены на базе современной безопасной технологии карт с EMV чипом. Возможности атак на них существенно ограничены по сравнению с картами на базе магнитной полосы. Естественно данное утверждение не касается случаев атак на владельца карты с использованием социальной инженерии или на платежную инфраструктуру в других «узких» местах безопасности, например, перехват персональных данных держателя карты.

NFC пользуется популярностью

По данным компании Visa, больше трети тех, кто не пользуется бесконтактными платежами готовы в будущем начать платить смартфоном. К концу 2017 года все выпущенные Сбербанком новые карты, кроме карт моментальной выдачи и электронных, будут поддерживать NFC. А банк ВТБ фиксирует рост доли карт с бесконтактной оплатой в 2 раза и ожидает дальнейшее их увеличение на руках населения.

Одной из основных опасностей является фрод или мошенничество с картами. Например, в Великобритании в прошлом году держателям карт был нанесен ущерб в £618 млн. Тогда как годом ранее этот показатель был на уровне £609,9 млн. Объём ущерба для владельцев бесконтактных карт составил £6,9 млн. И важно сейчас рассказать людям о правилах безопасности, прежде чем они лишатся денег на картах.


Теги:

Добавить комментарий

Ваш адрес email не будет опубликован.