Как списать деньги с карты с помощью телефона с nfc
Может ли злоумышленник украсть данные карты или деньги, незаметно используя бесконтактные NFC-платежи?
Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?
Незаметное считывание
Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…
Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.
…или деньги?
Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.
Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.
Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
Тут, однако, начинается серая зона.
Что, если…
При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.
Что делать-то?
Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.
Модули Near Field Communication используют для совершения оплаты в магазинах, обмена информацией между гаджетами. С момента своего появления они успели укрепиться в повседневности. Терминалы для оплаты гаджетами появились в магазинах по всему миру: от крупных городских гипермаркетов до небольших семейных прилавков в деревнях. Даже в автобусах можно рассчитаться смартфоном, если в нем есть чип NFC. Проездные выпускаются уже с этим модулем. Например, в карте «Тройка» установлены микросхемы от компании Micron. Билет больше не нужно вставлять в терминал: достаточно приложить его к специальной зоне. Оплата занимает значительно меньше времени, чем при использовании банковских карт с чипом или наличного расчета.
Как работает NFC
Передача данных между смартфонами происходит, когда пользователи активируют функцию бесконтактного поля. Для этого устройства должны находиться как можно ближе друг к другу. Поймать связь не получится, если между ними будет расстояние больше десяти сантиметров. Соединение устанавливается на частоте тринадцать мегагерц. Этот диапазон принадлежит стандарту беспроводных подключений ISO 14443, который устанавливается во всех современных гаджетах и кредитных картах.
Функции NFC можно использовать для:
- оплаты покупок через терминалы стандарта EMV;
- быстрого подключения аксессуаров;
- передачи данных на гаджеты;
- считывания информации с меток.
Чипы NFC в смартфонах, кредитных картах и проездных внешне различаются, но от этого не меняется система их работы. По металлическим контактам передается запрос, микросхема обрабатывает его и в обратном направлении отправляет данные о платеже. По такому же принципу работают пластиковые карты с чипами. Бесконтактный перевод данных осуществляется с помощью антенны, которая передает радиосигнал терминалу.
Безопасность бесконтактной оплаты смартфоном
Функция давно используется в пластиковых картах, они воспринимаются как более защищенный способ расчета в магазинах.
На самом деле, смартфоны с чипом NFC сами по себе не несут угрозы. Установив соединение с терминалом, гаджет проходит идентификацию — передает информацию о счете, с которого списываются средства. Приложения для оплаты используют для этих целей уникальный номер устройства, обеспечивая дополнительную защиту. При этом, взломать терминалы нельзя: они проходят специальную сертификацию безопасности PCI SSC (Payment Card Industry Data Security Standard). Единственный способ, которым злоумышленники могут получить данные со смартфона: использовать считыватели для NFC. Дополнительно придется обойти защиту используемого приложения.
Чтобы не стать жертвой мошенничества, рекомендуется держать смартфон и пластиковые карты раздельно.
Так устройство не сможет считать данные и сделать перевод на чужой счет без участия владельца. Если это правило соблюдается, а гаджет систематически сканируется антивирусом, риск взлома минимален.
Защита данных при оплате через NFC
Перехват ключа мошенниками не несет угрозы для пользователей. Код запрашивается для одной транзакции и будет действителен только для ее оплаты. Например, если пользователь совершил оплату через NFC, а затем чек был отменен, для повторной покупки терминал запросит новый ключ. Из-за таких сложностей мошенники не могут перехватить данные и остаться незамеченными. Им придется взломать банковскую систему, чтобы получить код, сгенерированный гаджетом.
Денежный лимит на оплату
Транзакции с помощью NFC происходят значительно быстрее, ведь соединение устанавливается за секунду. На данный момент, при покупках до тысячи рублей терминалы в России не требуют подтверждения в виде PIN-кода. Если к гаджету привязана карта Visa, то без пароля можно оплачивать суммы до трех тысяч рублей. Изменения вступили в силу 13 апреля 2019 года. Для остальных платежных систем повышение аутентификационного порога пока не планируется.
Обязательное наличие операционной системы
В 2018 году были презентованы два браслета с NFC чипом: Mi Band 3 и Honor Band 4. В них производители добавили долгожданную бесконтактную оплату. Разочарованию покупателей не было предела: функция оказалась рабочей только в Китае. В остальных странах мира использовать чип можно только для связи со смартфоном и быстрой синхронизации. Бренды не дают обещания выпустить прошивку, которая решила бы проблему: они не смогли бы сделать это, даже при большом желании. Пользователям остается ждать новых браслетов, которые будут отвечать требованиям безопасности для бесконтактной оплаты.
Для бесконтактной оплаты устройства используют системы Apple, Samsung и Google Pay. Чтобы она работала, гаджет должен отвечать определенным условиям. Кроме наличия NFC модуля, браслетам нужны операционные системы Android или IOS. Они гарантируют безопасность при оплате через сертифицированные терминалы. В сами аксессуары система EMV не встроена, поэтому для обработки транзакции им пришлось бы отправлять запрос на смартфон.
Из-за этого браслеты могут выполнить только роль посредника, что влияет на безопасность данных. Такие характеристики не отвечают требованиям международных платежных систем, поэтому браслеты без операционных систем Android или IOS не могут использоваться для оплаты. Эта функция работает в Mi Band 3 и Honor Band 4 только со стандартами приложения Mi Pay, которые используют на территории Китая.
Бесконтактная оплата – одна из самых полезных функций современных смартфонов. С ее помощью достаточно поднести гаджет к платежному терминалу или турникету в общественном транспорте, чтобы оплатить покупку или поездку. Мобильные банки – еще одно невероятное изобретение, которое упрощает жизнь миллионов пользователей. Однако насколько безопасно хранить данные карт на смартфоне и оплачивать все подряд с помощью гаджета?
В статье мы рассмотрим три сценария, которые мошенники могут использовать, чтобы украсть деньги с вашего смартфона. А в конце материала вы найдете советы о том, как избежать кражи и что делать, если это все-таки произошло.
Смартфон с NFC попал в руки мошенников
Самый простой способ для злоумышленника — физически завладеть вашим смартфоном с подключенной системой бесконтактных платежей. Кстати, далеко не редкость, когда с забытого в такси или другом транспорте смартфона предприимчивые граждане оплачивают мелкие покупки, пока владелец не заблокировал карты.
Почему это происходит? Такие платежные системы как Apple Pay и Google Pay позволяют бесконтактно оплатить покупку на сумму до 1000 рублей без разблокировки гаджета. Чтобы потратить больше денег, устройство придется активировать. Поэтому важно устанавливать пин-код, использовать датчик отпечатков и другие способы ограничения доступа к девайсу – даже если это кажется вам неудобным.
Именно поэтому современные гаджеты по умолчанию не позволяют использовать бесконтактные платежи и вносить данные банковских карт, если не установлена блокировка экрана. Но это правило, как мы уже сказали, не относится к тратам до 1000 рублей – телефон может быть заблокирован, а деньги все равно спишут.
Теоретически с помощью часов можно оплатить покупку, но нужно знать пароль блокировки
Что касается смарт-часов с NFC, то с их помощью можно расплатиться и без смартфона. Да, к примеру, в Apple Watch есть функция блокировки с помощью пароля — она активируется, когда часы сняты с руки. А если длительным нажатием боковой кнопки сбросить данные без пароля, то вся информация о карте сотрется.
В браслете с NFC мы тоже рекомендуем сделать две вещи: поставить пин-код на оплату (его нужно вводить каждый раз у терминала) и активировать автоблокировку при снятии гаджета с запястья.
Смартфон взломали и украли данные карты
Чтобы украсть ваши деньги, мошенникам не обязательно завладеть смартфоном физически. И даже если вам кажется, что вы не публичная личность, чтобы вызвать интерес хакеров, – это заблуждение. Увы, мы сами часто разрешаем доступ стороннему ПО, скачивая приложения по подозрительным ссылкам и открываем сомнительные письма. А шпионская программа регистрирует все вводимые логины и пароли и перенаправляет их злоумышленникам. В том числе, это могут быть и данные для входа в мобильный банк.
Непосредственно данные карты не хранятся в памяти смартфона — только зашифрованная информация
А вот извлечь данные мобильного банка без участия владельца устройства практически невозможно. Дело в том, что информация о картах (номер, код, фамилия, срок действия) не копируются в смартфон. Когда вы вносите платежные данные в Apple Pay или Google Play, то на телефоне хранится только токен — 16-значное число, в котором зашифрован номер банковского счета. И всякий раз при бесконтактной оплате вместе с ним передается криптограмма (нечто вроде одноразового кода, который проверяет платежная система и разрешает либо запрещает транзакцию).
К смартфону с NFC поднесли банковский терминал, чтобы списать деньги
Как мы уже выяснили, можно оплачивать покупки даже с заблокированного телефона. Поэтому возникает логичный вопрос – реально ли похитить деньги при помощи банковского терминала, если поднести его к чужому смартфону? Эта теория была особенно популярной, когда только появились карты с чипом PayPass – тогда даже появились специальные защищенные кошельки. И в целом, такой метод мошенничества реален, но его очень сложно реализовать.
В первую очередь, злоумышленнику придется зарегистрировать (теоретически, можно и купить уже готовое) юридическое лицо с оформленным на него расчетным счетом и договором эквайринга — возможностью получать безналичную оплату через терминалы. Это трудозатратно и недешево.
Также мошенник должен знать, где находится ваш смартфон или карта с PayPass. А еще ему нужно быть очень осторожным, ведь для снятия денег нужен довольно тесный контакт (до 10 см). Согласитесь, сложно не заметить, если незнакомый человек начнет в людном месте прижимать к вам банковский терминал.
Кроме того, для реализации такой схемы мошенничества преступнику понадобится бесперебойный мобильный интернет или устройство с поддержкой Wi-Fi. При этом соединение должно быть быстрым, чтобы успеть поднести терминал в тот момент, когда сессия активна. И списать при этом он сможет до 1000 рублей, ведь именно столько позволяют тратить системы бесконтактных платежей без разблокировки смартфона. Так стоит ли игра свеч?
Мошеннику проще всего украсть смартфон и взломать его, чтобы воспользоваться мобильным банком
Подобные прецеденты были только в США – и это разовые случаи, когда мошенникам просто везло. Так что подозрительный человек с терминалом в метро, скорее всего, просто курьер, а не нацелившийся на ваши деньги хакер.
Что делать, чтобы избежать кражи денег?
Конечно, проще всего посоветовать не забывать смартфон в такси и в общественных местах, но люди не делают это специально. Редакция ZOOM.CNews — за более практичные советы:
2. Обязательно установите код разблокировки, причем он должен быть сложнее, чем 123456. Поставьте графический ключ, внесите отпечаток пальца, настройте разблокировку по лицу и другие методы блокировки экрана, доступные на вашей модели смартфона.
3. Если у вас включена возможность оплаты картой без пин-кода — верните пин-код, это безопасней.
4. Установите на банковских картах лимит. Некоторые банки предлагают менять его прямо в приложении — можно это делать непосредственно перед покупкой. Да, неудобно, но гарантированно защитит от снятия крупных сумм денег, причем не только через бесконтактные платежи.
5. Если используете смарт-часы или браслет с NFC, установите на них пин-код и блокировку при снятии с руки.
6. Не храните данные карт, пароли и коды в переписке, фотогалерее или в заметках. Если боитесь забыть, используйте хотя бы менеджеры паролей.
7. Установите пин-код на SIM-карту. Многие сейчас этого не делают, ограничиваясь кодом для разблокировки гаджета, но PIN будет не лишним, если мошенник захочет переставить симку в другой смартфон.
8. Если вы все-таки опасаетесь таинственного незнакомца с терминалом, то исключительно ради собственного спокойствия можно носить карты в кармане на груди, класть вместе несколько карт с NFC (тогда при попытке приложить терминал к кошельку система запросит выбрать только одну карту и платеж не пройдет). Можно даже даже приобрести специальный экранированный кошелек, который не позволит списать деньги с вашей карты где-то в толпе.
Что делать, если смартфон украли, а деньги уже списали?
В первую очередь, найдите способ позвонить в банк и заблокировать все карты, которые у вас есть.
После этого уже можно воспользоваться функцией удаленного доступа («Найти устройство», «Локатор» и др.) и стереть с гаджета все данные, в том числе и банковских карт. И далее уже стоит обратиться в полицию. Но имейте в виду — если смартфон украли с целью взлома, то найти таких злоумышленников будет довольно сложно.
Смартфоны и другие устройства с NFC давно стали нормой. Мы даже перестали обращать внимание на то, как изменилась культура покупок: еще несколько лет назад наличные деньги и пластиковые карты казались незаменимыми, а сегодня их место заняли смартфоны. Смартфоны с NFC не только удобны, но и полезны для окружающей среды: за последние годы потребность в пластиковых картах снизилась, их выпуск заметно уменьшился. До сих пор остаются люди, которые не доверяют этой технологии, полагая, что ею могут воспользоваться мошенники. Разобрались, насколько безопасна технология NFC.
Разбираемся, могут ли с вашего гаджета с NFC украсть деньги
Как работает NFC
Передача данных между устройствами происходит, когда пользователи активируют функцию бесконтактного поля. Чтобы все сработало, устройства должны быть как можно ближе друг к другу: вспомните, насколько небольшое расстояние должно быть между смартфоном и терминалом при оплате покупки. Чипы NFC в смартфонах, кредитных картах и проездных могут различаться внешне, но у них один общий метод работы. По металлическим контактам отправляется запрос, а микросхема обрабатывает его, отправляя данные о платеже.
Безопасность бесконтактных платежей
Ваши устройства достаточно защищены от вмешательства мошенников извне
Защита бесконтактных банковских карт
У карт и устройств с NFC есть обязательные требования к безопасности, при которых они будут работать
Что делать, если потерял телефон с NFC
Потеряли смартфон? Поторопитесь заблокировать его и сменить пароли от банковских приложений
Другая ситуация обстоит со смарт-часами и фитнес-браслетами: с их помощью можно расплатиться и без какой-либо защиты. В браслетах с NFC тоже лучше ставить пароль на использование устройства, всякое может случиться.
Как воруют деньги с карты
Мошенникам не так уж и просто будет украсть деньги с помощью терминала: это будет затратно и невыгодно
Как оказалось, украсть деньги с помощью NFC не так уж просто. Для этого есть определенные степени защиты, а платежные системы в смартфонах просто не позволят воспользоваться вашими картами без подтверждения личности. Даже если вашу карту или смартфон украдут, вы быстро это заметите, успев заблокировать их. Взлом же займет много времени. Опасность может подстерегать лишь владельцев смарт-часов и фитнес-браслетов. Итог: пользоваться бесконтактной оплатой можно спокойно, не опасаясь за свои деньги.
Свободное общение и обсуждение материалов
Мифы о Wi-Fi - это отдельный вид искусства. Как и мифы о других технологиях. Некоторые из них весьма нелепы, но в них почему-то до сих пор верят. Конечно, большая часть народных легенд связана с вредом для здоровья, но есть интересные мифы о том, что мобильная связь мешает Wi-Fi и многом другом. Почему появляются необычные истории про какие-то виды технологий? В первую очередь, из-за неосведомленности людей и неточности имеющейся информации о существующей технологии. Давайте разберемся, влияет ли беспроводной интернет на здоровье, нужно ли отключать Wi-Fi-роутер на ночь, много ли электроэнергии расходует роутер, который мы круглый год не выключаем из сети, и насколько же крут беспроводной интернет, что о нем выдумывают самые невероятные истории.
WhatsApp уже давно не представляет из себя ничего особенно ценного. Люди постепенно начинают понимать, что Telegram не только не хуже, но по большинству показателей даже лучше. Поэтому, узнав, что хотя бы часть их знакомых перешла в мессенджер Павла Дурова, они следует их примеру, меняя WhatsApp на Telegram. Тем не менее, у многих до сих пор не получилось отказаться от WhatsApp, чтобы руководство мессенджера не делало. Но, судя по всему, с появлением рекламы его аудитория сильно поубавится.
Читайте также: