Оффтоп Maxim Kozenko
2 754

Безопасны ли бесконтактные платежи?

Бесконтактные платежи завоевывают российский рынок. X5 Retail Group сообщает об увеличении доли бесконтактных платежей в сетях «Пятерочка», «Перекресток» и «Карусель» в 7 раз. В «М.Видео» и «Эльдорадо» отметили, что также наблюдают подобный тренд и зафиксировали увеличение платежей в 2 раза. Технический директор международного платежного сервиса Fondy Максим Козенко рассказал об основных уязвимостях NFC-платежей и эффективных способах защиты от NFC-мошенничества.

В закладки

История NFC началась в 1983 году, когда электротехник Чарльз Вэлтон изобрёл «портативный радиочастотный излучатель-идентификатор». В марте 2004 года компании Nokia, Sony и Royal Philips Electronics решили вернуться к технологии и основали NFC Forum. Через 2 года была разработана первая спецификация и выпущен телефон, поддерживающий NFC-технологию. Nokia 6131 NFC хоть и нёс революционное изобретение на борту, но в быту практически не использовался.

В 2011 году к NFC Forum присоединяется Google. И сейчас NFC поддерживается в мобильной операционной системе Android. Кроме того, решения для бесконтактной системы передачи данных представили Apple, Samsung и даже Garmin. Но чаще всего NFC встречается в банковских картах.

Российские банки уже сегодня предлагают клиентам карты, позволяющие оплачивать покупки бесконтактным способом. Например, Сбербанк выдаёт бюджетникам карты российской системы «МИР», поддерживающей оплату через NFC-решения.

Популярность беспроводных технологий привлекает не только пользователей, но и злоумышленников. Они придумывают различные ухищрения для хищения денежных средств с карты или получения доступа к конфиденциальной информации владельца.

Уязвимости платежей на основе NFC

NFC работает на дистанции не более 10 сантиметров на частоте 13,56 МГц. Технология подразумевает обязательное наличие инициатора и цели. Инициатор генерирует активное поле, а цель считывает его в пассивном режиме.

Над получением доступа к данным, передаваемым по NFC, уже сейчас бьются учёные и хакеры. Исследователям из британского Университета Суррей удалось считать данные, передаваемые с помощью NFC-решений в супермаркете. Для этого использовались портативные гаджеты, которые не вызывали подозрения у покупателей. При этом они находились на расстоянии 45 сантиметров от получателя информации.

Испанские хакеры Рикардо Родригес и Хосе Вилла использовали психологию человека и создали вирус для мобильной операционной системы Android. Они рассудили, что человек часто носит кошелёк с карточками, поддерживающими технологию NFC со смартфоном. По сути, вирус делает телефон своеобразным ретранслятором сигнала банковской карты. И злоумышленник может оплатить покупку вашей картой, дождавшись, когда вирус отправит информацию о том, что карта готова к осуществлению транзакции. Такой вид взлома получил названием relay-атаки.

Со временем считать данные с карты, оснащённой NFC-технологией, становилось всё проще. Уже сейчас можно скачать приложения NFC Basic, Banking Card Reader и узнать номер, срок действия, иногда имя пользователя и историю транзакций. В интернете при желании можно найти интернет-магазины, которые не требуют ввода CVV2-кода при покупке, и совершить операцию по украденным данным.

Ещё одной атакой можно считать использование средствами радиоэлектронной борьбы или RFID-глушилок. При их использовании нарушается работа инициатора и провести оплату становится невозможно.

Стоит учитывать, что сами носители NFC могут быть уязвимы. Например, смартфоны и планшеты не защищены от уязвимостей в коде операционной системы, поэтому мобильное приложение для приема бесконтактных платежей может стать целью хакеров.

Не гарантируют 100% безопасность и принимающие устройства: POS-терминалы, банкоматы. Их программный код также подвержен уязвимостям.

Угроза для транспортных NFC-карт

NFC-технология используется не только в банковских карточках, но и в транспортных картах, которыми оплачиваются поездки в метро и наземном транспорте. В отличие от банковских, транспортные карты не имеют шифрования и поэтому любопытные граждане могут заглянуть внутрь электронной прошивки.

Делается это с помощью общедоступных программ. Взлому были уже подвержены карта «Тройка», а также транспортные карты Нижнего Новгорода. Энтузиасты создавали карты с бесконечным оплаченным проездом.

В основном взлом транспортных карт осуществлялся за счет атаки на чип семейства Mifare Classic с устаревшим режимом безопасности SL1. Современные же карты выпускаются уже на базе усовершенствованных чипов и данные уязвимости для них не актуальны.

Защититься от атак

Бесконтактная технология оплаты, действительно, удобна. Банки даже сделали возможность покупок до 1 000 рублей без ввода PIN-кода. Это один из этапов защиты пользователей.

Лимит на сумму операции как способ защиты используют не только банки, но и платежные провайдеры. Например, процессинговая компания Fondy ограничила для своих клиентов размер единоразового платежа. Так, сумма, которую компания может принять через NFC с помощью приложения, не может превышать 5 000 руб.

Еще один способ защиты от NFC-мошенничества — вместо пластика использовать мобильное приложение, которое привязано к счету карты. Безопасность такого способа оплаты поддерживает технология HCE. С ее помощью мобильное устройство с поддержкой бесконтактных платежей передает данные о платежной операции через канал, защищенный при помощи шифрования. Данные, которые необходимы для бесконтактного платежа, хранятся в памяти смартфона или планшета. Такая модель работы значительно снижает вероятность симуляции NFC-платежа и перехвата данных злоумышленниками. Если пользователь не активировал мобильное приложение, к которому привязана карта, атака с использованием ретрансляции невозможна. Технологию HCE поддерживают, например, мобильные приложения: Visa QIWI Wallet, Тинькофф, Яндекс.Деньги.

Чтобы обезопасить NFC-платежи пользователю смартфона с технологией HCE важно учесть риски:

  • Получение прав суперпользователя сторонними приложениями на Android-смартфоне, если устройство поддерживает Root-доступ. Пользователю не следует активировать Root-доступ на устройстве, на котором хранятся данные карты и используется приложение для NFC-платежей.
  • Установка вредоносного ПО, от которого поможет защититься бдительность владельца и проверка данных о разработчике мобильного приложения перед установкой на устройство.
  • Потеря или кража телефона, на котором не установлена блокировка по паролю или отпечатку пальца. Чтобы избежать этого риска, владельцу телефона следует хранить устройство в надежном месте и защитить его с помощью блокировки.

Защитить от атак на NFC-карты помогают аксессуары. В интернет-магазинах можно купить кардхолдер или футляр для карт с экранирующей вставкой из алюминия. Цена может варьироваться от 50 до 500 рублей.

Если тратить деньги не хочется, то в кармашек кошелька можно положить листок фольги. Таким образом, создаётся клетка Фарадея, которая не даёт радиоволнам уйти за пределы кошелька. Ещё можно просто держать несколько карт с NFC-технологией в одном месте, чтобы считывающее устройство не могло установить сигнал от конкретной карты. И постарайтесь держать карты подальше от телефонов с NFC-приёмником.

Заботясь о безопасности своей бесконтактной карты не стоит забывать о базовых рекомендациях по хранению паролей, управлению доступом к интернет-банку. Не передавайте персональную информацию третьим лицам, не держите карты и PIN-коды к ним в одном месте, не оплачивайте услуги на малоизвестных или не проверенных сайтах.

Самые популярные карточные NFC решения PayWave и PayPass от платежных систем Visa и MasterCard построены на базе современной безопасной технологии карт с EMV чипом. Возможности атак на них существенно ограничены по сравнению с картами на базе магнитной полосы. Естественно данное утверждение не касается случаев атак на владельца карты с использованием социальной инженерии или на платежную инфраструктуру в других «узких» местах безопасности, например, перехват персональных данных держателя карты.

NFC пользуется популярностью

По данным компании Visa, больше трети тех, кто не пользуется бесконтактными платежами готовы в будущем начать платить смартфоном. К концу 2017 года все выпущенные Сбербанком новые карты, кроме карт моментальной выдачи и электронных, будут поддерживать NFC. А банк ВТБ фиксирует рост доли карт с бесконтактной оплатой в 2 раза и ожидает дальнейшее их увеличение на руках населения.

Одной из основных опасностей является фрод или мошенничество с картами. Например, в Великобритании в прошлом году держателям карт был нанесен ущерб в £618 млн. Тогда как годом ранее этот показатель был на уровне £609,9 млн. Объём ущерба для владельцев бесконтактных карт составил £6,9 млн. И важно сейчас рассказать людям о правилах безопасности, прежде чем они лишатся денег на картах.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Maxim Kozenko", "author_type": "self", "tags": [], "comments": 6, "likes": 25, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 30473, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15388' + '59599') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 30473, "author_id": 125973, "diff_limit": 1000, "urls": {"diff":"\/comments\/30473\/get","add":"\/comments\/30473\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/30473"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

6 комментариев 6 комм.

Популярные

По порядку

Написать комментарий...
0

Прекрасная обзорная статья, правда нет никаких данных какой же процент % среди мошенничества по nfc платежам. Думаю мизерный.

Ответить
1

В Великобритании - (в самом конце статьи) - на уровне 1%
Но конечно будет уверенно расти вместе с ростом популярности бесконтакта.
По статье - кроме вау-эффекта, так-то одни проблемы с этой фигней :(

Ответить
0

Ну не знаю, а год пользовался бесконтактный карточкой всё было нормально, но может и есть какие проблемы при оплате смартфоном, хотя видел пижонов оплачивающих планшетом)

Ответить
0

А чего сразу пижоны?) Телефоном пользоваться безопаснее, вам же написали. Тогда как с бесконтактных карт можно считывать хорошо сляпанным самоделным прибором, пробираясь с ним, лежащим в сумочке, где-нибудь в толпе метро, собирая урожай, как грибы. Ведь умельцам похрену стандартные ограничения по силе сигнала, они вольны себе сделать, чтоб и с 20 и с 30 см ловило. А с телефона ничего не сосчитаешь, пока экран не разблокируешь. Ну а в магазине-то уж получше видно, не приближается ли кто внезапно к твоей вытянутой руке с телефоном...

Ответить
0

Пижоны было только про планшеты)

Ответить
0

Понятно.)) Однако, да, я живо представил себе картину, как покупатель водит планшетом над терминальчиком, накрыв полностью, как доской, и его, и всю кассу, пытаясь совместить излучатель с приемником. :-D )))

Ответить

Комментарий удален

Комментарий удален

0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления