Главная > Твой доход > Эта уязвимая карта на Камчатке и везде

Эта уязвимая карта на Камчатке и везде


30-11-2015, 02:39. Разместил: kamviz
Новый старый способ украсть деньги с вашей карты.Не удивляйтесь, если завтра, в толкучке на камчатском рынке или после поездки в московской подземке, у вас с карты спишут деньги где-нибудь в Мексике. Как это происходит, объясняет Владислав Бирюков, аналитик инвестиционной компании "АйКомИнвест".

Уважаемое британское издание Which? сообщило в среду об обнаружении уязвимости в защите бесконтактных банковских карт. По итогам эксперимента, авторам Which? удалось сделать в крупном британском интернет-магазине пару неавторизованных покупок, в том числе дорогого телевизора стоимостью в 3 тысячи фунтов.

Какое отношение эта история имеет к нашей жизни, спросите вы? Самое прямое. Посмотрите на ваши банковские карточки. Нет ли на них логотипа функции бесконтактной оплаты (четыре расширяющиеся дуги)?

У разных платежных систем эта опция называется по-разному — Visa payWave, MasterCard PayPass — но устроена схожим образом. Такие карты в последнее время выпускают практически все крупные российские банки, да и не только российские. В той же Великобритании бесконтактных карт эмитировано чуть меньше численности населения страны.

Бесконтактные карты используют стандарт NFC — это радиосвязь, работающая на расстоянии в несколько сантиметров. На том же семействе стандартов основаны бесконтактные проездные в транспорте и пропуска во многих офисных зданиях.

Платить бесконтактной картой очень удобно. На секунду подносишь карту к терминалу — и все, никаких PIN-кодов и подписей. Совместимых терминалов, по крайней, мере в Москве, очень много — я уже забыл, когда расплачивался в супермаркетах по-другому.

Конечно же, простота бесконтактной оплаты потребовала и хорошей многоуровневой защиты.

Первый ее слой — физический. Карту нужно поднести к терминалу оплаты вплотную, иначе она не сработает.

Второй слой — ограничение суммы транзакции. Бесконтактно без дополнительной верификации можно оплатить только небольшую покупку. Пороговую сумму определяет банк, в России это стандартно одна тысяча рублей. При превышении порога или попытке сделать несколько последовательных покупок сработает система защиты — вас попросят ввести PIN-код или расписаться на чеке.


Третий слой обороны — самый серьезный, криптографический. Бесконтактные карты защищены тем же стандартом EMV, что и обычные чиповые карты. Для подтверждения легитимности транзакции микросхема на карте каждый раз генерирует одноразовый код. Перехватить его можно, но бессмысленно — для следующей покупки он уже не подойдет.

В считывающем терминале записан криптоключ, который можно получить только в банке по договору на юридическое лицо. Таким образом, абы кто платежным терминалом не завладеет. А даже если завладеет, найти концы будет несложно.

Таким образом, получается, защита у бесконтактных транзакций очень серьезная.

Хорошо, а как же тогда Which? удалось купить телевизор?

Банально просто. На чипе бесконтактной карты в незашифрованном виде может храниться кое-какая информация. Часто это номер карты, срок ее действия и список последних операций.

Считать эти данные очень просто — никакие специальные банковские ридеры для этого не нужны. Достаточно обычного смартфона с поддержкой NFC — а таких на рынке сейчас каждый второй. На смартфон устанавливается бесплатная и вполне легальная программа, например, Banking card reader NFC (подходит для Android-устройств, можно скачать в сервисе Google Play).


То есть подносим смартфон к чужому кошельку и видим номер карты и срок ее действия. Теоретически этих данных должно быть недостаточно, чтобы украсть деньги через интернет — нужен еще трехзначный CVV2/CVC2-код (тот, что написан на обратной стороне карты), имя владельца и адрес. А нередко еще и потребуется дополнительный код двухфакторной аутентификации, который банк присылает на ваш телефон по SMS.

На практике, увы, многие интернет-магазины довольствуются только номером карты и сроком действия. Что собственно и продемонстрировали эксперты Which? своей покупкой телевизора. Имя и адрес клиента они ввели придуманные — прошло без проблем.

В принципе, не на всех бесконтактных картах номер и срок действия хранится в открытом доступе. Это решает банк-эмитент и платежная система. Авторы Which? протестировали десять карточек, и на всех данные удалось прочитать.

Но может это чисто британская проблема? И у наших российских карточек все в порядке? Увы, нет.

У меня в кошельке две бесконтактные карты — одна Visa и одна MasterCard. Разных банков, из первой двадцатки в национальных рейтингах. Обе прочитались без проблем.

Самое же интересное, что описанная Which? проблема совсем не нова. Эту проблему уже поднимали российские СМИ, почти год назад. И ничего с тех пор не изменилось: как хранилась информация на картах в открытом виде, так и хранится.

Получается, что формально в системе защиты бесконтактных карт уязвимости нет. А на практике — деньги украсть можно. Пусть для этого и придется хитрым образом извернуться.

Стоит ли бить тревогу? До сих пор ведь как-то жили с этим и вроде ничего.

Стоит. Если до сих пор подобных мошеннические схемы широко не использовались, это не значит, что так будет и впредь. Число преступлений с хищением данных банковских карт быстро растет, а их техника становится все более изощренной.

Так что не удивляйтесь, если завтра, после поездки в толкучке московской подземки, у вас с карты спишут деньги где-нибудь в Мексике. Конечно, такой платеж можно попытаться оспорить. И, возможно, после разбирательства банк вернет деньги. Но вам оно нужно?

Что же делать?

Проверить "читаемость" своей карты и требовать от банка перевыпуска с "закрытием" номера. Следить за сохранностью своего счета (подписка на SMS-уведомления). При первом подозрении писать заявление в банк. Или прятать карту куда-то поглубже, где ее не прочитать "случайно" прислоненным телефоном. Не фольгой же обматывать, в самом деле?
ИК
Вернуться назад