Yota продолжает развенчивать популярные мифы, и сегодня мы решили поговорить о серьезной и волнующей многих пользователей теме — безопасности мобильных платежей. Оплачивать покупки при помощи мобильного телефона давно стало обыденностью и эта сфера до сих пор окружена недомолвками и мифами.



Мобильные платежи с помощью NFC небезопасны: злоумышленники могут получить личную информацию со смартфона через взломанный терминал.

Технология Near-Field Communication, сокращенно NFC, появилась несколько лет назад, но уже получила широкое распространение в больших городах. Еще бы: мало кто любит носить с собой кучу карточек, гораздо удобнее приложить к терминалу телефон. Одновременно с появлением новой технологии появились сомнения в ее безопасности.

Принцип работы NFC основан на работе в ближнем магнитном поле двух индукционных катушек. Чтобы сработать, бесконтактный терминал и карточка должны находится на расстоянии не более 5 см друг от друга. Но это еще не все.

Смартфоны с NFC-устройством оснащены дополнительными системами безопасности. Приложения Samsung Pay, Android Pay, Apple Pay заменяют реальный номер карты на Device Account Number – аналог, данные которого остаются у продавца при покупке вместо реальных данных вашей банковской карты. С этими данными ни продавец, ни злоумышленники ничего не смогут сделать.



Получается, все данные моих карт остаются у производителя телефона?

Нет. После того, как вы авторизуете карту в системе, компания получает у банка Device Account Number и привязывает его к карте и телефону, а данные самой банковской карты не сохраняет. В результате, компания-разработчик получает только статистику. А данные карты остаются у платежной системы (Visa или Mastercard), банка и у вас.

Cегодня платежи со смартфона безопаснее платежа напрямую с карты. На это есть несколько причин:

  • Не нужно вводить пин-код,
  • Вы не светите карту нигде,
  • Службы мобильных платежей для авторизации требуют отпечаток пальца владельца,
  • У служб мобильных платежей нет доступа к банковскому счету,
  • Забытый пароль службы платежа нельзя восстановить — только зарегистрироваться повторно, предварительно сбросив все настройки.

Попытки взломать платежные NFC-системы предпринимались с самого начала распространения технологии. Часто хакеры тренируются на взломе транспортных карт для их бесплатного пополнения: подобные инциденты случались как в России, так и за рубежом. Тем не менее, убедительных свидетельств взлома пока не случалось.

С терминалами еще сложнее: чтобы работать и проводить платежи, каждый кассовый аппарат должен быть зарегистрирован, плюс составляется договор с банком-эквайром, в котором указаны паспортные данные продавца и реквизиты предприятия. Любую транзакцию можно отследить и отменить.

Но мошенники не дремлют, и уже научились воровать деньги напрямую с карточки с помощью самодельных ридеров: они прикладываются на расстоянии 5-15 см к считывателю карты и снимают деньги везде – на рынках, в магазинах, в общественном транспорте. Правда вряд ли кто-то спокойно отреагирует, если посторонний будет сканировать его карман или карточку в руке – поэтому и защититься от такого воровства легко, если не «светить» своими карточками подолгу в общественных местах. Для этого даже продаются специальные защитные кошельки — RFID blocking wallet. Ну или можно обернуть их в фольгу – это правда работает. Шапочка из фольги может уберечь вашу карточку, но не голову – не перепутайте! :-)

Если держать телефон у терминала слишком долго, то деньги снимут несколько раз

К сожалению, двойная транзакция – действительно распространенный вид мошенничества. Кроме того, двойное списание денег со счета часто обусловлено неисправным терминалом или техническим сбоем в банке. В таких случаях продавец сам отменяет платеж и деньги возвращаются на счет покупателя. Если же вина за банком, то обращаться нужно туда напрямую – по закону, если в незаконном списании виноват он, то банк обязан вернуть эту сумму с процентами.

Во всех случаях телефон ни при чем, так же как и его расстояние до терминала оплаты. Сигнал получен – деньги списаны – терминал печатает чек. Если устройство исправно и подключено правильно, то повторно деньги не спишутся.

Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета

Банки часто присылают одноразовый пароль безопасности по смс для подтверждения интернет-платежа со зловещим предупреждением НЕ ПОКАЗЫВАЙТЕ ПАРОЛЬ НИКОМУ.

Поскольку пароль недолговечен – его действие всего несколько минут, то считается, что злоумышленник просто не успеет перехватить код.

В январе этого года злоумышленникам удалось украсть крупные суммы с банковских карточек пользователей в Германии, используя уязвимости SS7.

Сотни домашних компьютеров были заражены троянцами, которые воровали привязанные номера телефонов, логины и пароли доступа в онлайн-банк, после чего злоумышленники переводили деньги к себе на счет. Оператор связи, находящийся за пределами Германии, предоставлял им доступ к протоколу, воры переадресовывали SMS с банковским паролем на свой номер, подтверждая платеж.

Немецкий мобильный оператор O2 позже подтвердил, что неопознанный телефонный оператор заблокирован, а пострадавшие клиенты проинформированы. Но неизвестно, удалось ли им вернуть деньги. Примечательно, что во время хищений система безопасности банков не скомпрометировала ни один платеж.

В 2016 году Американский Национальный институт стандартов и технологий предложил отказаться от текстовых сообщений для двухфакторной аутентификации и заменить их криптографическими ключами безопасности, которые будут храниться на защищенных устройствах. Но пока ничего не изменилось.



Что делать?

К сожалению, пока что банки не поддерживают альтернативные способы аутентификации. Единственное, что остается – следить за безопасностью мобильных устройств и компьютеров, с которых вы оплачиваете покупки:

  • регулярно проверяйте устройства на наличие вредоносного ПО,
  • не вводите данные карты на чужих компьютерах и смартфонах,
  • пользуйтесь магазинами, которые используют защищенное HTTPS-соединение,
  • Для оплаты интернет-покупок лучше пользоваться не своей основной картой, а завести виртуальную карточку.

Комментарии (7)


  1. Hollow_man
    29.11.2017 14:04

    Кошельки с фольгой? Панику только нагоняете некоторым) Достаточно держать в кошельке пару карт и их никто не считает)


    1. T-362
      29.11.2017 15:18

      Зависит от ридера, некоторые считают сразу все карточки. Год назад на ГТ эту тему перетерли по полной программе.


  1. Gorodnya
    29.11.2017 15:26

    Но в статье 4 мифа)


  1. Zo0m3R
    29.11.2017 15:46

    В 2016 году Американский Национальный институт стандартов и технологий предложил отказаться от текстовых сообщений для двухфакторной аутентификации и заменить их криптографическими ключами безопасности, которые будут храниться на защищенных устройствах. Но пока ничего не изменилось.

    Да, именно в мобильно-банковских системах пока это не используется (или мало где используется, я не слышал). Но практика правильная и, главное, набирающая популярность. Я уверен, что в скором будущем она появится и в мобильных платежах.


  1. alz72
    30.11.2017 09:07

    Принцип работы NFC основан на работе в ближнем магнитном поле двух индукционных катушек. Чтобы сработать, бесконтактный терминал и карточка должны находится на расстоянии не более 5 см друг от друга.

    И что мешает злоумышленнику сделать катушечку побольше?
    И превратить 5 см в 5 метров ?


    1. virtustilus
      03.12.2017 02:30

      Мешает принцип установки связи между устройствами, который зависит не только от мощности сигнала. Так бы давно уже люди ходили с супер большими антеннами и читали карты.


      1. alz72
        03.12.2017 08:23

        Вопрос был в этих 5 см, а дальнейший взлом протокола связи — это уже "дело техники" ...