Maxim Kozenko
2 251
Блоги

Безопасны ли бесконтактные платежи?

Бесконтактные платежи завоевывают российский рынок. X5 Retail Group сообщает об увеличении доли бесконтактных платежей в сетях «Пятерочка», «Перекресток» и «Карусель» в 7 раз. В «М.Видео» и «Эльдорадо» отметили, что также наблюдают подобный тренд и зафиксировали увеличение платежей в 2 раза. Технический директор международного платежного сервиса Fondy Максим Козенко рассказал об основных уязвимостях NFC-платежей и эффективных способах защиты от NFC-мошенничества.

Поделиться

В избранное

В избранном

История NFC началась в 1983 году, когда электротехник Чарльз Вэлтон изобрёл «портативный радиочастотный излучатель-идентификатор». В марте 2004 года компании Nokia, Sony и Royal Philips Electronics решили вернуться к технологии и основали NFC Forum. Через 2 года была разработана первая спецификация и выпущен телефон, поддерживающий NFC-технологию. Nokia 6131 NFC хоть и нёс революционное изобретение на борту, но в быту практически не использовался.

В 2011 году к NFC Forum присоединяется Google. И сейчас NFC поддерживается в мобильной операционной системе Android. Кроме того, решения для бесконтактной системы передачи данных представили Apple, Samsung и даже Garmin. Но чаще всего NFC встречается в банковских картах.

Российские банки уже сегодня предлагают клиентам карты, позволяющие оплачивать покупки бесконтактным способом. Например, Сбербанк выдаёт бюджетникам карты российской системы «МИР», поддерживающей оплату через NFC-решения.

Популярность беспроводных технологий привлекает не только пользователей, но и злоумышленников. Они придумывают различные ухищрения для хищения денежных средств с карты или получения доступа к конфиденциальной информации владельца.

Уязвимости платежей на основе NFC

NFC работает на дистанции не более 10 сантиметров на частоте 13,56 МГц. Технология подразумевает обязательное наличие инициатора и цели. Инициатор генерирует активное поле, а цель считывает его в пассивном режиме.

Над получением доступа к данным, передаваемым по NFC, уже сейчас бьются учёные и хакеры. Исследователям из британского Университета Суррей удалось считать данные, передаваемые с помощью NFC-решений в супермаркете. Для этого использовались портативные гаджеты, которые не вызывали подозрения у покупателей. При этом они находились на расстоянии 45 сантиметров от получателя информации.

Испанские хакеры Рикардо Родригес и Хосе Вилла использовали психологию человека и создали вирус для мобильной операционной системы Android. Они рассудили, что человек часто носит кошелёк с карточками, поддерживающими технологию NFC со смартфоном. По сути, вирус делает телефон своеобразным ретранслятором сигнала банковской карты. И злоумышленник может оплатить покупку вашей картой, дождавшись, когда вирус отправит информацию о том, что карта готова к осуществлению транзакции. Такой вид взлома получил названием relay-атаки.

Со временем считать данные с карты, оснащённой NFC-технологией, становилось всё проще. Уже сейчас можно скачать приложения NFC Basic, Banking Card Reader и узнать номер, срок действия, иногда имя пользователя и историю транзакций. В интернете при желании можно найти интернет-магазины, которые не требуют ввода CVV2-кода при покупке, и совершить операцию по украденным данным.

Ещё одной атакой можно считать использование средствами радиоэлектронной борьбы или RFID-глушилок. При их использовании нарушается работа инициатора и провести оплату становится невозможно.

Стоит учитывать, что сами носители NFC могут быть уязвимы. Например, смартфоны и планшеты не защищены от уязвимостей в коде операционной системы, поэтому мобильное приложение для приема бесконтактных платежей может стать целью хакеров.

Не гарантируют 100% безопасность и принимающие устройства: POS-терминалы, банкоматы. Их программный код также подвержен уязвимостям.

Угроза для транспортных NFC-карт

NFC-технология используется не только в банковских карточках, но и в транспортных картах, которыми оплачиваются поездки в метро и наземном транспорте. В отличие от банковских, транспортные карты не имеют шифрования и поэтому любопытные граждане могут заглянуть внутрь электронной прошивки.

Делается это с помощью общедоступных программ. Взлому были уже подвержены карта «Тройка», а также транспортные карты Нижнего Новгорода. Энтузиасты создавали карты с бесконечным оплаченным проездом.

В основном взлом транспортных карт осуществлялся за счет атаки на чип семейства Mifare Classic с устаревшим режимом безопасности SL1. Современные же карты выпускаются уже на базе усовершенствованных чипов и данные уязвимости для них не актуальны.

Защититься от атак

Бесконтактная технология оплаты, действительно, удобна. Банки даже сделали возможность покупок до 1 000 рублей без ввода PIN-кода. Это один из этапов защиты пользователей.

Лимит на сумму операции как способ защиты используют не только банки, но и платежные провайдеры. Например, процессинговая компания Fondy ограничила для своих клиентов размер единоразового платежа. Так, сумма, которую компания может принять через NFC с помощью приложения, не может превышать 5 000 руб.

Еще один способ защиты от NFC-мошенничества — вместо пластика использовать мобильное приложение, которое привязано к счету карты. Безопасность такого способа оплаты поддерживает технология HCE. С ее помощью мобильное устройство с поддержкой бесконтактных платежей передает данные о платежной операции через канал, защищенный при помощи шифрования. Данные, которые необходимы для бесконтактного платежа, хранятся в памяти смартфона или планшета. Такая модель работы значительно снижает вероятность симуляции NFC-платежа и перехвата данных злоумышленниками. Если пользователь не активировал мобильное приложение, к которому привязана карта, атака с использованием ретрансляции невозможна. Технологию HCE поддерживают, например, мобильные приложения: Visa QIWI Wallet, Тинькофф, Яндекс.Деньги.

Чтобы обезопасить NFC-платежи пользователю смартфона с технологией HCE важно учесть риски:

  • Получение прав суперпользователя сторонними приложениями на Android-смартфоне, если устройство поддерживает Root-доступ. Пользователю не следует активировать Root-доступ на устройстве, на котором хранятся данные карты и используется приложение для NFC-платежей.
  • Установка вредоносного ПО, от которого поможет защититься бдительность владельца и проверка данных о разработчике мобильного приложения перед установкой на устройство.
  • Потеря или кража телефона, на котором не установлена блокировка по паролю или отпечатку пальца. Чтобы избежать этого риска, владельцу телефона следует хранить устройство в надежном месте и защитить его с помощью блокировки.

Защитить от атак на NFC-карты помогают аксессуары. В интернет-магазинах можно купить кардхолдер или футляр для карт с экранирующей вставкой из алюминия. Цена может варьироваться от 50 до 500 рублей.

Если тратить деньги не хочется, то в кармашек кошелька можно положить листок фольги. Таким образом, создаётся клетка Фарадея, которая не даёт радиоволнам уйти за пределы кошелька. Ещё можно просто держать несколько карт с NFC-технологией в одном месте, чтобы считывающее устройство не могло установить сигнал от конкретной карты. И постарайтесь держать карты подальше от телефонов с NFC-приёмником.

Заботясь о безопасности своей бесконтактной карты не стоит забывать о базовых рекомендациях по хранению паролей, управлению доступом к интернет-банку. Не передавайте персональную информацию третьим лицам, не держите карты и PIN-коды к ним в одном месте, не оплачивайте услуги на малоизвестных или не проверенных сайтах.

Самые популярные карточные NFC решения PayWave и PayPass от платежных систем Visa и MasterCard построены на базе современной безопасной технологии карт с EMV чипом. Возможности атак на них существенно ограничены по сравнению с картами на базе магнитной полосы. Естественно данное утверждение не касается случаев атак на владельца карты с использованием социальной инженерии или на платежную инфраструктуру в других «узких» местах безопасности, например, перехват персональных данных держателя карты.

NFC пользуется популярностью

По данным компании Visa, больше трети тех, кто не пользуется бесконтактными платежами готовы в будущем начать платить смартфоном. К концу 2017 года все выпущенные Сбербанком новые карты, кроме карт моментальной выдачи и электронных, будут поддерживать NFC. А банк ВТБ фиксирует рост доли карт с бесконтактной оплатой в 2 раза и ожидает дальнейшее их увеличение на руках населения.

Одной из основных опасностей является фрод или мошенничество с картами. Например, в Великобритании в прошлом году держателям карт был нанесен ущерб в £618 млн. Тогда как годом ранее этот показатель был на уровне £609,9 млн. Объём ущерба для владельцев бесконтактных карт составил £6,9 млн. И важно сейчас рассказать людям о правилах безопасности, прежде чем они лишатся денег на картах.

{ "author_name": "Maxim Kozenko", "author_type": "self", "tags": [], "comments": 8, "likes": 25, "favorites": 6, "is_advertisement": false, "section_name": "blog", "id": "30473", "is_wide": "" }
{ "is_needs_advanced_access": false }

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Подписаться на push-уведомления
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } } ]