Бесконтактные платежи. Опасности и меры предосторожности.

Вернуться кБЛОГ НТЦ РЕЛЭКС

Бесконтактные платежи. Опасности и меры предосторожности.

Бесконтактная банковская карта действительно удобная штука. Не нужно ничего никуда засовывать, вспоминать PIN-код, подписывать чеки плохо пишущей ручкой,отсчитывать купюры и копаться по карманам в поисках мелочи.Приложил — и готово, можно идти по своим делам.Только иногда простота совершения покупки заставляет задуматься: а что, украсть деньги с карты так же просто? Провел ридером по карману — и прощайте, средства,нажитые честным трудом трудом?

Расстояние
Бесконтактные банковские карты используют для передачи данных технологию NFC,разновидность RFID. На карте размещены чип и антенна, которые «отвечают» на запрос платежного терминала на своей радиочастоте. Разные платежные системы используют собственные стандарты: Visa payWave, MasterCard PayPass и так далее.Но устроены они похожим образом.Дальность передачи данных через NFC составляет несколько сантиметров.Поэтому первый барьер защиты — физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.Зато можно сделать нестандартный ридер, который работает на большей дистанции.Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и тому подобных местах скопления людей.Разумеется, подобраться к карточке — это только полдела. Дальше нужно преодолеть более серьезную защиту, основанную на криптографии.

Криптография
Бесконтактные транзакции защищены тем же стандартом EMV, что и чиповые карты. В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.
Сделать терминал, который будет считывать данные карты «из кармана» клиента,теоретически возможно. Но этот терминал должен иметь криптографические ключи,полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером.

Сумма покупки
Есть еще один уровень защиты — ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем. В России максимальный порог платежа составляет 1000 рублей. Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN)

Данные карты
Есть и еще одна неприятная возможность. Через NFC можно украсть не «саму транзакцию», а информацию о банковской карте.
Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение(например, Banking card reader NFC — можете сами поэкспериментировать со своими картами). До сих пор считалось, что эта открытая информация не ставит под угрозу безопасность карты. Однако авторитетное британское издание для потребителей «Which?» выступило с неожиданным опровержением этого тезиса.

Хотя сама технология бесконтактных платежей действительно закрыта хорошей многофакторной защитой, это совсем не значит, что с ней ваши деньги находятся в безопасности. Ну а для полной уверенности в том, что никто и никаким образом не сможет считать вашу бесконтактную карту без вашего ведома, можно купить специальный экранированный кошелек.

Вернуться кБЛОГ НТЦ РЕЛЭКС