Безопасны ли бесконтактные платежи?

Бесконтактные платежи завоевывают российский рынок. X5 Retail Group сообщает об увеличении доли бесконтактных платежей в сетях «Пятерочка», «Перекресток» и «Карусель» в 7 раз. В «М.Видео» и «Эльдорадо» отметили, что также наблюдают подобный тренд и зафиксировали увеличение платежей в 2 раза. Технический директор международного платежного сервиса Fondy Максим Козенко рассказал об основных уязвимостях NFC-платежей и эффективных способах защиты от NFC-мошенничества.

История NFC началась в 1983 году, когда электротехник Чарльз Вэлтон изобрёл «портативный радиочастотный излучатель-идентификатор». В марте 2004 года компании Nokia, Sony и Royal Philips Electronics решили вернуться к технологии и основали NFC Forum. Через 2 года была разработана первая спецификация и выпущен телефон, поддерживающий NFC-технологию. Nokia 6131 NFC хоть и нёс революционное изобретение на борту, но в быту практически не использовался.

В 2011 году к NFC Forum присоединяется Google. И сейчас NFC поддерживается в мобильной операционной системе Android. Кроме того, решения для бесконтактной системы передачи данных представили Apple, Samsung и даже Garmin. Но чаще всего NFC встречается в банковских картах.

Российские банки уже сегодня предлагают клиентам карты, позволяющие оплачивать покупки бесконтактным способом. Например, Сбербанк выдаёт бюджетникам карты российской системы «МИР», поддерживающей оплату через NFC-решения.

Популярность беспроводных технологий привлекает не только пользователей, но и злоумышленников. Они придумывают различные ухищрения для хищения денежных средств с карты или получения доступа к конфиденциальной информации владельца.

NFC работает на дистанции не более 10 сантиметров на частоте 13,56 МГц. Технология подразумевает обязательное наличие инициатора и цели. Инициатор генерирует активное поле, а цель считывает его в пассивном режиме.

Над получением доступа к данным, передаваемым по NFC, уже сейчас бьются учёные и хакеры. Исследователям из британского Университета Суррей удалось считать данные, передаваемые с помощью NFC-решений в супермаркете. Для этого использовались портативные гаджеты, которые не вызывали подозрения у покупателей. При этом они находились на расстоянии 45 сантиметров от получателя информации.

Испанские хакеры Рикардо Родригес и Хосе Вилла использовали психологию человека и создали вирус для мобильной операционной системы Android. Они рассудили, что человек часто носит кошелёк с карточками, поддерживающими технологию NFC со смартфоном. По сути, вирус делает телефон своеобразным ретранслятором сигнала банковской карты. И злоумышленник может оплатить покупку вашей картой, дождавшись, когда вирус отправит информацию о том, что карта готова к осуществлению транзакции. Такой вид взлома получил названием relay-атаки.

Со временем считать данные с карты, оснащённой NFC-технологией, становилось всё проще. Уже сейчас можно скачать приложения NFC Basic, Banking Card Reader и узнать номер, срок действия, иногда имя пользователя и историю транзакций. В интернете при желании можно найти интернет-магазины, которые не требуют ввода CVV2-кода при покупке, и совершить операцию по украденным данным.

Ещё одной атакой можно считать использование средствами радиоэлектронной борьбы или RFID-глушилок. При их использовании нарушается работа инициатора и провести оплату становится невозможно.

Стоит учитывать, что сами носители NFC могут быть уязвимы. Например, смартфоны и планшеты не защищены от уязвимостей в коде операционной системы, поэтому мобильное приложение для приема бесконтактных платежей может стать целью хакеров.

Не гарантируют 100% безопасность и принимающие устройства: POS-терминалы, банкоматы. Их программный код также подвержен уязвимостям.

NFC-технология используется не только в банковских карточках, но и в транспортных картах, которыми оплачиваются поездки в метро и наземном транспорте. В отличие от банковских, транспортные карты не имеют шифрования и поэтому любопытные граждане могут заглянуть внутрь электронной прошивки.

Делается это с помощью общедоступных программ. Взлому были уже подвержены карта «Тройка», а также транспортные карты Нижнего Новгорода. Энтузиасты создавали карты с бесконечным оплаченным проездом.

В основном взлом транспортных карт осуществлялся за счет атаки на чип семейства Mifare Classic с устаревшим режимом безопасности SL1. Современные же карты выпускаются уже на базе усовершенствованных чипов и данные уязвимости для них не актуальны.

Бесконтактная технология оплаты, действительно, удобна. Банки даже сделали возможность покупок до 1 000 рублей без ввода PIN-кода. Это один из этапов защиты пользователей.

Лимит на сумму операции как способ защиты используют не только банки, но и платежные провайдеры. Например, процессинговая компания Fondy ограничила для своих клиентов размер единоразового платежа. Так, сумма, которую компания может принять через NFC с помощью приложения, не может превышать 5 000 руб.

Еще один способ защиты от NFC-мошенничества — вместо пластика использовать мобильное приложение, которое привязано к счету карты. Безопасность такого способа оплаты поддерживает технология HCE. С ее помощью мобильное устройство с поддержкой бесконтактных платежей передает данные о платежной операции через канал, защищенный при помощи шифрования. Данные, которые необходимы для бесконтактного платежа, хранятся в памяти смартфона или планшета. Такая модель работы значительно снижает вероятность симуляции NFC-платежа и перехвата данных злоумышленниками. Если пользователь не активировал мобильное приложение, к которому привязана карта, атака с использованием ретрансляции невозможна. Технологию HCE поддерживают, например, мобильные приложения: Visa QIWI Wallet, Тинькофф, Яндекс.Деньги.

Чтобы обезопасить NFC-платежи пользователю смартфона с технологией HCE важно учесть риски:

• Получение прав суперпользователя сторонними приложениями на Android-смартфоне, если устройство поддерживает Root-доступ. Пользователю не следует активировать Root-доступ на устройстве, на котором хранятся данные карты и используется приложение для NFC-платежей.
• Установка вредоносного ПО, от которого поможет защититься бдительность владельца и проверка данных о разработчике мобильного приложения перед установкой на устройство.
• Потеря или кража телефона, на котором не установлена блокировка по паролю или отпечатку пальца. Чтобы избежать этого риска, владельцу телефона следует хранить устройство в надежном месте и защитить его с помощью блокировки.

Защитить от атак на NFC-карты помогают аксессуары. В интернет-магазинах можно купить кардхолдер или футляр для карт с экранирующей вставкой из алюминия. Цена может варьироваться от 50 до 500 рублей.

Если тратить деньги не хочется, то в кармашек кошелька можно положить листок фольги. Таким образом, создаётся клетка Фарадея, которая не даёт радиоволнам уйти за пределы кошелька. Ещё можно просто держать несколько карт с NFC-технологией в одном месте, чтобы считывающее устройство не могло установить сигнал от конкретной карты. И постарайтесь держать карты подальше от телефонов с NFC-приёмником.

Заботясь о безопасности своей бесконтактной карты не стоит забывать о базовых рекомендациях по хранению паролей, управлению доступом к интернет-банку. Не передавайте персональную информацию третьим лицам, не держите карты и PIN-коды к ним в одном месте, не оплачивайте услуги на малоизвестных или не проверенных сайтах.

Самые популярные карточные NFC решения PayWave и PayPass от платежных систем Visa и MasterCard построены на базе современной безопасной технологии карт с EMV чипом. Возможности атак на них существенно ограничены по сравнению с картами на базе магнитной полосы. Естественно данное утверждение не касается случаев атак на владельца карты с использованием социальной инженерии или на платежную инфраструктуру в других «узких» местах безопасности, например, перехват персональных данных держателя карты.

По данным компании Visa, больше трети тех, кто не пользуется бесконтактными платежами готовы в будущем начать платить смартфоном. К концу 2017 года все выпущенные Сбербанком новые карты, кроме карт моментальной выдачи и электронных, будут поддерживать NFC. А банк ВТБ фиксирует рост доли карт с бесконтактной оплатой в 2 раза и ожидает дальнейшее их увеличение на руках населения.

Одной из основных опасностей является фрод или мошенничество с картами. Например, в Великобритании в прошлом году держателям карт был нанесен ущерб в £618 млн. Тогда как годом ранее этот показатель был на уровне £609,9 млн. Объём ущерба для владельцев бесконтактных карт составил £6,9 млн. И важно сейчас рассказать людям о правилах безопасности, прежде чем они лишатся денег на картах.