Сегодня в России все более популярными становятся карты бесконтактной оплаты. Их отличие от обычного «пластика» – в возможности совершать транзакции, просто поднеся карту к терминалу. О том, что карта обладает такой возможностью, информирует соответствующий значок на ее лицевой стороне. Сейчас технологии бесконтактной оплаты активно «продвигаются» организациями и банками, работающими с платежными системами Visa и MasterCard. Многие новые карты по умолчанию снабжены чипом для бесконтактной оплаты, что с одной стороны удобно для пользователей, а с другой – является серьезным недостатком и уязвимостью.

Что представляет собой карта бесконтактной оплаты?

С виду это обычная банковская карта. Но ее главной особенностью и отличительной чертой является наличие RFID-метки – микрочипа с антенной, приемником/передатчиком и модулем памяти, где хранится платежная информация и идентификационные данные. Метка активируется при запросе со стороны терминала и «отвечает» ему, сообщая информацию, необходимую для идентификации и доступа к счету клиента, с которого списывается требуемая сумма.

В общих чертах процедура оплаты покупок с использованием бесконтактной банковской карты выглядит следующим образом:

• продавец активирует терминал или иное платежное устройство;
• держатель карты подносит ее к экрану терминала на расстояние не более 5 см, ориентируя таким образом, чтобы чип находился рядом со сканирующим устройством;
• терминал и чип контактируют друг с другом и происходит передача данных;
• если сумма покупки менее 1000 рублей, то транзакция совершается и деньги списываются со счета клиента;
• если сумма покупки больше 1000 рублей, то терминал запрашивает у владельца карты пин-код;
• после проверки пин-кода сумма покупки списывается со счета клиента;
• терминал выдает чек, подтверждающий совершение транзакции.

Таким образом при совершении относительно небольших покупок (до 1000 рублей) держатель карты даже не вводит пин-код – платеж совершается автоматически, как только RFID-метка карты оказывается в электромагнитном поле сканера и остается там короткое время (1-2 секунды).

У разных платежных систем, использующих беспроводные технологии оплаты, применяются собственные стандарты связи и шифрования данных. Для взаимодействия между сканером (считывающим устройством) и RFID-модулем используется частота 13,56 МГц, на которой и происходит обмен данными. В этом и кроется основная уязвимость – ведь злоумышленник, обладая специальным оборудованием, теоретически имеет возможность перехватывать эти данные, «опрашивая» чип аналогично тому, как это делает платежный терминал. Но об этом мы поговорим чуть дальше.

Достоинства карт с RFID-технологией

Карты с бесконтактной оплатой удобны в первую очередь для крупных магазинов, супермаркетов, торговых сетей. Ведь при стандартной оплате требуется вставить карту в разъем терминала и ввести пин-код, что занимается некоторое время. При использовании RFID-технологий время, затрачиваемое на оплату, ощутимо сокращается. Пусть это всего лишь несколько секунд на одного покупателя, но в масштабах рабочего дня и нескольких тысяч клиентов экономия выглядит более серьезной.

Карты бесконтактной оплаты удобны и для их держателей – также за счет экономии времени и возможности оплачивать покупки даже не вынимая карту из бумажника или кошелька. Достаточно лишь поднести аксессуар, в кармашке или внутреннем отделении которого находится карта, на достаточно близкое расстояние к сканеру, чтобы считыватель и чип «связались» друг с другом. Все – платеж совершен. Такой способ расчетов особенно удобен в магазинах, где у вас могут быть заняты руки сумками и товарами или на АЗС, так как позволит вам расплачиваться, даже не выходя из автомобиля.

Недостатки бесконтактных карт

Конечно, процесс эксплуатации бесконтактных карт оплаты не лишен и ряда недостатков. Сегодня пока еще не все торговые точки оборудованы RFID-сканерами, что требует от клиента обязательного проведения платежа «по старинке».

Кроме того, большой проблемой может стать потеря такой карты. Нашедший ее получит возможность совершать покупки и оплачивать услуги без обязательного ввода пин-кода. Главное, чтобы сумма одной транзакции не превышала 1000 рублей.

Но самый главный минус – это информационная уязвимость данных карты и возможность хищения информации, денежных средств со счета. В последние несколько лет у россиян ежегодно воруют миллиарды рублей с подобных карт. В масштабах страны эта цифра не кажется такой уж большой, но связано это с тем, что пока RFID-карты не очень распространены, а сами владельцы заявляют в правоохранительные органы далеко не обо всех случаях мошенничества.

Как крадут деньги с бесконтактных карт?

Самый простой вариант, когда держатель бесконтактной карты оплаты лишается своих денег, – это потеря карты. Нашедший карту человек может использовать ее для оплаты небольших покупок и может делать это достаточно долго, особенно, если у владельца не подключено SMS-информирование о совершаемых операциях. Вернуть потраченные таким образом средства, к сожалению, нельзя, ведь доказать, что карта была потеряна и транзакции осуществлялись не вами практически невозможно. Кроме того, для того, чтобы банк считал транзакцию законной, достаточно правильно введенного пин-кода или автоматического подтверждения платежной информации через RFID-модуль. И не важно, кто совершает этот платеж.

Второй вариант кражи с карты бесконтактной оплаты также связан с невнимательностью и неосторожностью владельца. В роли мошенников при этом выступает обслуживающий персонал – продавцы, официанты, бармены – люди, которым вы передаете свою карту для оплаты. Помимо той суммы, которая должен быть списана с вашего счета, нередко пропадают и «лишние» 600-700 рублей. Небольшая сумма, списание которой не требует подтверждения пин-кодом, и достаточно незаметная для самого владельца, который может просто забыть, за что и сколько он платил.

Еще один, более сложный, но точно не менее распространенный способ кражи средств с карты – использование компактных PoS-терминалов. Достаточно расположить его возле карты, и он автоматически «опросит» модуль и запрошенная сумма спишется со счета. Суммы списаний обычно невелики и не превышают 1000 рублей, чтобы не потребовалось вводить пин-код. Обычно держатель карты даже не сразу замечает, что с его счета были списаны деньги. Происходит это чаще всего в общественном транспорте, где большая плотность народа и злоумышленник имеет возможность, не вызывая подозрений, поднести терминал к местам, где чаще всего хранятся карты. Это задние и нагрудные карманы, сумки, портфели, рюкзаки. Благодаря тесноте мошенник может приблизить терминал вплотную к телу или сумке, так что от хищения не всегда спасет даже толщина одежды.

Вместо терминала могут использоваться и другие приспособления, как, например, специально подготовленный смартфон с установленным на него программным обеспечением. Нахождение его в кармане или руках злоумышленника не вызовет подозрений, что только упростит задачу кражи денег с банковской карты.

Современные методы мошенничества развиваются столь же быстро, как и технологии защиты от него, а потому сейчас необязательно даже использование PoS-терминалов и близкий контакт между сканирующим устройством и RFID-модулем. Так называемые граберы и другие сканирующие устройства с мощным электромагнитным полем способны считывать данные с чипов на расстоянии нескольких метров. Использование таких агрегатов и современное программное обеспечение позволяет за считанные секунды сканировать десятки RFID-меток на картах и красть деньги у владельцев. Таким образом одна «прогулка» в месте большого скопления народа может принести в карманы злоумышленников десятки и сотни тысяч рублей. При таких возможностях высокая стоимость сканирующего оборудования не станет для мошенников преградой.

Стоит рассказать и об еще одном способе мошенничества уже достаточно популярном за рубежом, но пока мало распространенном у нас. Он заключается в перехвате управления смартфоном (посредством заражения его вирусом) и использовании NFC-модуля телефона в качестве ретранслятора сигнала. Так как карты бесконтактной оплаты часто физически находятся рядом со смартфоном, мошенники имеют возможность списывать средства на довольно большом расстоянии и без использования терминалов и сканирующих устройств.

Как защитить бесконтактную банковскую карту?

Если ситуация с безопасностью платежных данных столь удручающая, может стоит вовсе отказаться от использования карт с радиочастотными идентификационными модулями? Сделать это довольно сложно в силу ряда причин.

Во-первых, удобство использования таких банковских карт все-таки налицо и далеко не все пользователи предпочтут поменять комфорт на безопасность.

Во-вторых, как уже говорилось выше, многие новые карты (кредитные и дебетовые) выпускаются с RFID-модулем, вне зависимости от желаний владельца. Чтобы отключить технологию, необходимо обращаться в банк, выпустивший карту, с заявлением. И даже в таком случае это не всегда возможно.

В-третьих, карты с технологией бесконтактной оплаты все же можно использовать относительно безопасно, если соблюдать ряд несложных правил.

Общие рекомендации как защитить бесконтактную банковскую карту

Один из первых способов защитить себя от неконтролируемого списания средств – SMS-уведомление об операциях. Обязательно подключайте его, даже несмотря на то, что оно может быть платным. Стоимость услуг типа «мобильный банк» обычно невелика, но зато таким образом вы сможете сберечь гораздо большие средства от хищения.

Чтобы не пропустить SMS от банка, активируйте на телефоне не только звуковой, но и вибросигнал. Ведь злоумышленники так любят метро и общественный транспорт не только за толкучку и тесноту, но и за то, что жертва обычно не слышит SMS-уведомления из-за окружающего шума.

Если вы обнаружили, что деньги списываются со счета и это не какие-то автоматические и запланированные платежи, сразу же заблокируйте карту. Сделать это совсем просто через приложение или позвонив в банк.

Снизить вероятность мошеннических операций с картой позволит также ношение ее во внутреннем кармане одежды или во внутренних отделениях рюкзака или портфеля. Таким образом вы максимально защищаете чип от внешних воздействий, удаляя его на недоступное для сканирования с использованием PoS-терминалов. Но не стоит забывать о существовании других – более мощных – устройств, для которых расстояние не является преградой.

Еще один способ защиты (не на 100%, но с некоторой долей вероятности) – это ношение вместе нескольких карт с разными чипами, а также нахождение рядом металлических предметов, обладающих экранирующими свойствами. Это также не дает гарантии защиты от высокомощных современных граберов, но вполне может спасти при попытках считать информацию через терминал или смартфон.

Защитные кошельки и чехлы

Сегодня не существует лучшего варианта защиты от кражи информации с использованием радиочастот, как их экранирование. Это в полной мере касается и банковских карт с RFID-метками. Никакой злоумышленник с самой современной аппаратурой не сможет похитить ваши данные и деньги, если не сумеет считать информацию с чипа. Помешать ему это сделать помогут специальные кошельки, бумажники и картхолдеры с RFID-защитой.

Суть такой защиты – в экранировании радиоволн, которое достигается путем использования различных металлизированных материалов. Это могут быть фольгированные вставки и сетчатые экраны, вплетенная в ткань кошелька проволока, а также полностью металлические изделия для хранения карт.

К сожалению, гарантировать 100%-ную защиту здесь также можно не всегда, так как множество из таких аксессуаров, доступных на рынке, никогда не проходило полноценной проверки и не имеет подтверждающих безопасность и надежность сертификационных документов.

Технология Optexx, как способ защитить карту с бесконтактной оплатой

Технология Optexx – надежный и проверенный способ RFID-защиты, разработанный иностранными специалистами. Изначально материалы и изделия Optexx создавались для защиты данных чиновников, представителей государственных структур, крупных бизнесменов. Ведь утечка информации, которой обладают эти люди, может обернуться серьезными проблемами для государственной безопасности, бизнеса и т.д.

Суть технологии – в использовании специальных экранирующих материалов. В их основе сплав нескольких металлов, обладающих различными физико-химическими характеристиками. Благодаря особой структуре кристаллической решетки такой материал становится непроницаемым для радиоволн в широком диапазоне частот.

Именно различные экранирующие свойства материалов при работе с разными радиочастотами являются основной проблемой при создании аксессуаров с RFID-защитой. Нередко оказывается, что кошелек, прекрасно защищающий карту и чип при сканировании на частоте 13,56 МГц, не является препятствием при изменении частоты сигнала. Материал Optexx лишен подобных недостатков, что подтверждено соответствующими дипломами и сертификатами.

Аксессуары Optexx для защиты банковских карт

Если вы не знаете, как защитить карту с бесконтактной оплатой, то воспользуйтесь проверенной технологией Optexx. В нашем интернет-магазине представлен большой ассортимент специализированных аксессуаров:

• Чехлы для карт. Тонкие и компактные, они тем не менее надежно защищают модуль каты от сканирования. Вы можете быть уверены в том, что ваши данные и деньги останутся в неприкосновенности, так как злоумышленник просто не сможет считать информацию. При этом чехол настолько тонкий и легкий, что вы легко можете пометить его вместе с картой в обычный кошелек или бумажник.
• Картхолдеры. Эти приспособления предназначены для хранения сразу нескольких банковских карт (от 3 до 22 штук), а также других документов ISO-формата, например, визиток, пропуска или водительского удостоверения. При нажатии на расположенный в нижней части аксессуара «курок» все карты «выкидываются» вверх удобным для вас образом, чтобы вы смогли достать нужную.
• Кошельки. В продаже представлены модели разных размеров и с разным количеством отделений, с молнией и на кнопке, предназначенные для хранения банковских карт, наличных средств, документов. Вам не составит труда выбрать аксессуар, который полностью устроит вас по внешнему виду, вместительности и функциональности. Металлизированные вставки расположены как с внешних сторон аксессуаров, так и внутри, что обеспечивает надежную защиту даже когда кошелек открыт.
• Бумажники. Идеальный вариант для хранения банковских карт, документов и наличных денег во время путешествий. В бумажниках разных моделей можно уместить до 12 кредиток и до 3-х паспортов стандартных размеров. Все внутренние отделения экранированы, что исключает возможность сканирования даже при раскрытом бумажнике.
• Обложки для паспортов. Универсальные аксессуары, которые могут использоваться для защиты чипованных документов, а также имеют дополнительные внутренние отделения для хранения банковских карт, наличных средств, некоторых других документов.
  

В ассортименте представлены изделия разного дизайна и цветового исполнения, что позволит подобрать аксессуары в качестве подарка, для поездки или постоянного ношения с учетом личных предпочтений, пола, финансовых возможностей.

Достоинства защитных аксессуаров Optexx:

• Надежная защита RFID-чипов от считывания с использованием терминалов, сканеров, граберов и другого специализированного оборудования, работающего в широком диапазоне частот.
• Хорошие эксплуатационные качества. Несмотря на наличие экранирующих вставок, все кошельки, бумажники, картхолдеры компактны и удобны в эксплуатации. Их можно использовать в том числе и как обычные кошельки.
• Высокая степень механической устойчивости. Использование высококачественных материалов позволяет обеспечить защиту карт и документов не только от электромагнитного излучения, но и от механических повреждения, неблагоприятных погодных условий и т.д.
• Привлекательный внешний вид. Изделия Optexx станут прекрасным подарком, который удивит и порадует не только функциональностью, но и своими эстетическими качествами.

Все товары имеют сертификаты соответствия и безопасности, что подтверждает надежность их защиты и прекрасные показатели, продемонстрированные во время испытаний.

Использование банковских карт вместо наличных денег прочно вошло в нашу жизнь. Новое достижение в мире современных технологий – бесконтактная карточка. Пользоваться ею удобнее, чем более привычной контактной, но при этом необходимо знать, как защитить банковскую карту от взлома злоумышленниками.

Слабые стороны бесконтактной карты

Банки, рекламирующие бесконтактные способы оплаты, делают упор на их удобстве и безопасности. Достоинств, действительно, много, но есть и довольно серьезные недостатки. Главный из них – вероятность считывания информации с помощью самодельных устройств.

Мошенники нашли способ снимать деньги на расстоянии до 1 метра и более. Таким образом, те, кто не знает, как защитить банковскую карту от считывания, может лишиться средств, даже не подозревая об этом.

Особенно велика вероятность хищения в людных местах – в переполненной маршрутке, вагоне метро или в очереди. Мошенник, имеющий в кармане считыватель, может за один прием списать с вашего счета до 1000 рублей. Размер суммы зависит от установленного банком лимита, в среднем он равен эквиваленту 25$ США.

Способы хищения денег

Самый распространенный способ – это списание денег со счета при помощи POS-терминала, спрятанного в кармане мошенника. Приблизившись к вам на расстояние менее 10 см, он может списать с пластика деньги.

Украсть деньги можно даже без использования сканирования. Для этого хакеры используют смартфон хозяина карточки, приспособив его в качестве ретранслятора.

Добраться до чужих денег мошенник может с помощью фальшивого wi-fi или путем считывания CVV-кода. В этом случае не спасает даже криптографическая защита.

Уменьшить остаток денег могут и недобросовестные работники сферы обслуживания в ресторане или на станции техобслуживания, сняв сумму больше, чем указано в счете на оплату.

Как надежно защитить свои деньги

Для того, чтобы максимально оградить себя от потери денег, нужно внимательно изучить информацию о том, как защитить бесконтактную банковскую карту от мошеннического взлома. Для этого необходимо:

1. Расплачиваться самостоятельно, не выпуская карту из рук.
2. Использовать услугу SMS-уведомлений – так вы сразу узнаете о мошенническом снятии средств.
3. Прятать карту во внутренний отдел сумки или нагрудный карман во избежание физического хищения.
4. Держать кредитку отдельно от телефона.
5. Использовать фольгу, экранирующий кошелек или чехол для карты с защитой.

На последнем способе остановимся подробнее и посмотрим, защищает ли фольга банковскую карту от мошенничества.

Специальные чехлы и бумажники

Оберните карточку обычной фольгой или вложите лист фольги в бумажник, где она хранится. Металлизированное покрытие послужит надежным защитным экраном, который будет оберегать кредитку от электромагнитных сигналов считывателя.

Ещё лучше – приобрести специальный экранирующий кошелек или футляр, который вмещает одну или несколько карточек. Внешне эти защитные приспособления выглядят стильно и элегантно, ничем внешне не отличаясь от обычного кошелька или чехла для кредитной карты.

О том, как защитить банковскую карту с wi fi, нужно думать своевременно. При всех преимуществах бесконтактных платежей они имеют и свои слабые стороны. Уверения сотрудника банка в том, что карточка на 100% защищена от хакерского сканирования не должны мешать бдительности и бережному отношению к собственным финансам.

Как свидетельствуют отзывы, бесконтактные карты для оплаты товаров и услуг с каждым днем становятся все популярнее, конкурируя с классическими пластиковыми банковскими карточками. И это неудивительно, ведь они предлагают не менее обширный функционал, включая возможность хранить и переводить денежные средства, а также дистанционно управлять счетами, используя онлайновые платежные системы типа LiqPay, мобильный банкинг и интернет-банкинг, включая Приват 24, Пумб Online, Raiffeisen Online, My Alfa-bank /Альфа клик. С помощью платежных устройств, которые работают на интегральных схемах по бесконтактному принципу, сегодня совершаются покупки и оплачивается проезд в метро (например, в метрополитене в Харькове), их используют для оплаты доступа в развлекательные заведения.

Примерами смарт-карт, в основе которых лежит микросхема и плоская обмотка-антенна, также могут служить:

• электронные пропуска;
• клубные карты;
• биометрические паспорта.

Популярность смарт-карт в современном мире — особенно это касается стандарта ISO 14443 (Proximity Card) и Vicinity Card — обусловлена их исключительной простотой в использовании и относительно невысокой ценой. Судите сами: чтобы воспользоваться бесконтактной картой, достаточно просто поднести ее поближе к терминалу. Дальность действия устройства зачастую позволяет не доставать при считывании карточку из кредитницы или бумажника. Несмотря на простоту и удобство бесконтактных карт, умы общественности все еще продолжает будоражить тема их безопасности, что и порождает множество мифов. Попробуем разобраться с основными из них.

Миф 1: Платежи с помощью стандартных банковских карт безопаснее, чем бесконтактные

На самом деле, бесконтактная оплата картой отличается от платежа пластиком классического банковского формата Visa или MasterCard лишь технологически. Более того, оплата «по воздуху» даже безопаснее, поскольку такие транзакции защищены тем же стандартом EMV, что и карты с чипом, а он априори надежнее магнитной дорожки простейших карт Виза/Мастер/Американ экспресс, которую можно просто скопировать. При бесконтактной процедуре для каждого платежа генерируются одноразовые платежные данные.

Миф 2. Вооружившись самодельным считывателем, злоумышленники могут в людном месте незаметно снять деньги с бесконтактной карты

Как показывают опыты, для работы считыватель не должен находиться на слишком дальнем расстоянии от бесконтактной карточки. Мошеннику будет крайне непросто незаметно приблизиться настолько, чтобы извлечь деньги или данные с карты. Вероятно, со взломом могли бы справиться считыватели бесконтактных карт более мощного действия, но, по оценке специалистов, такое оборудование должно быть крупногабаритным — не меньше тележки из супермаркета.

Миф 3. С бесконтактной карты могут украсть деньги, воспользовавшись функцией мини-транзакции, не требующей ввода пин-кода

Совершить кражу денег и что-то купить за ваш счет с помощью бесконтактной карты не так уж привлекательно, ведь каждый независимый терминал электронных платежей регистрируется, заключая договор с банком-эквайером. А для этого продавцу требуется предъявить соответствующие идентифицирующие документы, что позволяет, при необходимости, легко его вычислить.

Миф 4. При потере карты владельцем мошенники могут без проблем использовать ее для оплаты покупок

Подобная ситуация может случиться и с обычной банковской картой «Виза», поэтому мифом в данном случае является, скорее, фраза «без проблем». О каждом списании средств с потерянной карты владелец будет получать уведомления. Но, обнаружив, что бесконтактная пластиковая карта пропала, не стоит ожидать таких сообщений, а следует сразу же уведомить банк, чтобы ее заблокировали. Подытожив вышесказанное, можно сделать вывод: решив заказать бесконтактную карту, вы действительно получите надежный и удобный платежный инструмент с многофакторной защитой. Но не стоит пренебрегать стандартными советами по обеспечению безопасности денег: следите за картой и держите в тайне PIN-код, а, если хотите защитить карту от стороннего считывателя, обзаведитесь специальным экранизированным кошельком.

В Беларуси растет число киберворовства с карточек. Но чтобы украсть деньги с «пластика», мошенник должен знать как минимум номер карты, срок действия и СVV-код с обратной стороны. Какие еще данные нельзя сообщать посторонним лицам и что делать, если украли карточку, рассказывает наш эксперт — директор компании электронных платежей Аssіst Bеlаrus Вячеслав Сенин.​

Карточки бывают разные

По сведениям Национального банка, на территории страны действует более 14 млн карточек: сюда входят и все зарплатные карточки, и студенческие, и детские, и пенсионные, и другие. Около 70-80% всего рынка — те самые зарплатные.

Бывают и кредитные карточки. К этому виду пластика следует относить любые действующие на территории страны карточки рассрочки, а их, кстати, немало. Например, «Халва», «Карта покупок», «Smаrt-карта». Функционал в любой из таких карточек прост — безналичные расчеты. Безусловно, белорусские банки стремятся дополнить любые карточки разными «плюшками» вроде кэшбэка, повышенной процентной ставкой на остаток средств на банковском карт-счете и так далее. Бывает, что карточку наполняют такими преимуществами, и она становится или переходит в статус премиальной.

Сегодня наиболее распространены премиальные карточные продукты — называемые золотые (Gоld, «Голд») и платиновые карточки (Рlаtіnum). В целом, любой белорус при желании может оформить себе такую карточку — вопрос в большинстве случаев будет только в цене, которая довольно сильно отличается в разных банках. Но существуют и еще более престижные карточные продукты, которые обычно недоступны простому обывателю. Например, Vіsа Іnfіnіtе, МаstеrСаrd Wоrld Blасk Еdіtіоn, MаstеrСаrd Wоrld Еlіtе …

Система паролей 3D-Sесurе​

Надо понимать, что карточку в принципе не следует передавать в руки третьим лицам и сообщать им любые сведения о ней. Платежные системы и банки постоянно работают над тем, чтобы повысить безопасность расчетов карточкой.

Например, одним из дополнительных способов защиты является 3D-Sесurе или сервис дополнительной аутентификации. Этот сервис является еще одной защитой карточки перед оплатой. В БелКарт уже запущен и активно используется дополнительный способ защиты карточек в сети — интернет-пароль БелКарт. Такие способы защиты используются при интернет-расчетах, в том числе и на иностранных сайтах.

Например, вы хотите что-то купить через интернет. При оплате в специальной форме вводите данные карточки и заполняете еще дополнительные графы для защиты. После этого приходит на номер мобильного телефона специальный код, который нужно ввести, чтобы прошла оплата. Даже если так получилось, что ваши персональные данные карточки оказались у злоумышленников, то мобильный телефон у вас, и только туда приходит sms со специальным секретным кодом для оплаты.

Завести отдельный карт-счет в банке​

Очень важно помнить, что безопасность средств на карт-счете — это, в первую очередь, персональная ответственность, и если вы ведете себя беспечно, то, какие бы способы защиты в карточки ни были, все равно вы можете попасть в неприятную ситуацию. А чтобы этого не произошло, нужно обязательно соблюдать несколько правил безопасности при расчетах.

Первое, ни в коем случае с зарплатной карточкой нельзя ездить за границу и покупать что-то в зарубежных интернет-магазинах. Для этой цели обязательно заведите отдельный карт-счет в банке и карточку к нему. В этом случае важно понимать принципиальную разницу.

Иногда к зарплатным счетам банк выдает две карточки. Карточка — это ключ к счету в банке. И если у вас один счет, но два ключа, то это то же самое, что один ключ. Если данные карточки по неосторожности попадают мошенникам, то вторая карточка вас не спасет. Любой из ключей (карточек) дает доступ к деньгам на карт-счете. Две карточки к счету удобно, но в случаях, когда вдруг одна карточка потерялась или вышла «из строя», тогда вторая выполняет функцию запасной. А безопасность — это отдельный карт-счет и карточка к нему.

Лимиты требуют дисциплины

Бывает, что клиенты обладают очень высокими знаниями в вопросах финансовой грамотности и хорошо разбираются в лимитах при расчете карточкой. Но и у них возникают вопросы.

Например, вы устанавливаете себе лимит по карточке, что свыше энного количества денег (скажем, 30 у.е.), вы рассчитаться не сможете или ставите запрет на расчеты по карточке в «опасных» странах. И тогда, даже если карточки каким-то образом окажутся у мошенников, то сверх этой суммы лимита снять с карт-счета они не смогут. Такой способ защиты используют те граждане, у которых одна карточка (в том числе и зарплатная) на все случаи жизни.

Важно понимать, что лимиты по карточкам требуют еще большей дисциплины. Потому что даже у самых продвинутых пользователей карточек могут быть нюансы. Пример из жизни. Вы знаете, что зарплатной карточкой будете рассчитываться везде, кроме, например, Польши, Индии и Тайланда. И ставите запрет на любые расчеты в этих странах. Сделать эти вещи сейчас легко самостоятельно с помощью интернет-банкинга или мобильного банкинга. А если вы все еще не освоили этот инструмент дистанционного банковского обслуживания (ДБО), то это можно сделать с помощью банковского специалиста, например, при посещении отделения банка лично.

Так вот, поставили запрет и забыли. Прошло полгода, вы решили что-то купить в интернете, а сайт, на котором хотите совершить покупку, оказался польским. А у вас запрет на расчеты в этой стране, и поставили вы этот запрет полгода назад.

Пытаетесь оплатить, а оплата не проходит. Нервничаете, звоните в банк, задаете вопросы, просите снять лимиты. Потом заходите в интернет-банкинг и снимаете упомянутый запрет, и только после этого покупаете то, что хотели. А если банк тот запрет снимет не сразу, а только, скажем, в течение трех часов или больше? Тогда надо ждать. А если вы в другой стране, то позвонить в банк — то есть, оплатить роуминг. Недешевое удовольствие.

Вот и получается, что вроде бы лимиты, запреты — это удобно, но требуют высокой дисциплины. Проще завести отдельный карт-счет, с помощью того же интернет-банкинга, или мобильного банка, или сервиса переводов осуществлять перевод на такую карточку. Надо вам что-то купить на сайте на сумму пять долларов? Вы ровно эту сумму на свою специальную карточку для расчетов в интернете и кладете. Совершили платеж, и карточка пуста. Даже если данные такой карточки получили воры, то денег там нет.

Всегда sms-оповещение

Вторым главным правилом безопасного использования карточки является подключение услуги sms-оповещения по движению денежных средств на карт-счете в банке. Пришла зарплата, пенсия, стипендия — получили sms с сообщением, что определенная сумма зачислена. Сходили в магазин, купили продукты, рассчитались карточкой — пришла на сотовый smsка. Это удобно. Вы всегда знаете, сколько денег у вас есть, потому что после каждой оплаты автоматика «скажет» остаток средств.

А еще безопасность. Потому что если потеряли карточку или ее украли, а злоумышленники сняли с нее деньги или что-то купили в магазине, то вам придет sms с оповещением. И сразу поймете, что ваши деньги воруют.

В этом случае нужно срочно блокировать карточку. Есть несколько способов: позвонить в банк, выдавший карточку, заблокировать карточку с помощью интернет-банкинга или мобильного банкинга или специального sms-запроса в банк о блокировке. Конечно, наиболее удобный способ — мобильный или интернет-банкинг.

Тут главное — уметь пользоваться этим сервисом и наличие интернета, потому что если использовать способ звонка в банк, то можно долго ждать ответа оператора, особенно в выходные дни. Здесь все индивидуально и зависит от конкретного банка, потому что саll-центры у всех разные.

Для безопасного снятия наличных денег в банкомате нужно помнить, что, во-первых, всегда делайте это в хорошо просматриваемых местах, например в холле отеля. Во-вторых, всегда читайте, что появляется на экране банкомата, так как там могут быть указаны различные банковские комиссии при снятии наличных.

Справка «Звязды»

Вячеслав Сенин — директор Аssіst Bеlаrus. В банковской сфере Вячеслав проработал более восьми лет, с 2013 года — в белорусском интернет-эквайринге. Под его руководством Аssіst Bеlаrus запустил сотрудничество со многими компаниями-лидерами в различных сферах бизнеса Беларуси (гостиничные услуги, железнодорожные перевозки, билетные операторы, интернет-магазины, сервисы по доставке еды, телеком-операторы, цветочные магазины и прочее), а также начал подключать бизнес к онлайн-платежам через систему АИС «Расчет».

Сергей КУРКАЧ

«С вас 732 рубля», — говорит кассир в супермаркете. Я привычно шлепаю закрытым кошельком по карточному терминалу. Секунда, короткий писк, и все — оплата прошла.

Бесконтактная банковская карта действительно удобная штука. Не нужно ничего никуда засовывать, вспоминать PIN-код, корябать чеки плохо пишущей ручкой, не говоря уже о том, чтобы отсчитывать купюры и копаться по карманам в поисках мелочи. Приложил — и готово, свободен.

Продавцам бесконтактные платежи тоже только в радость, поскольку позволяют ускорить процесс оплаты и увеличить таким образом пропускную способность кассы — самого узкого места во всем торговом хозяйстве.

Только вот простота совершения покупки заставляет задуматься: а что, украсть деньги с карты так же просто? Провел ридером по карману — и привет, средства, нажитые непосильным трудом?

Чтобы разобраться в этом вопросе, я проштудировал немало докладов с хакерских конференций и пообщался с представителями банка. Ответ получился скорее обнадеживающим, хотя и не без нюансов.

Расстояние

Бесконтактные банковские карты используют для передачи данных технологию NFC, разновидность RFID. На карте размещены чип и антенна, которые «откликаются» на запрос платежного терминала на радиочастоте 13,56 МГц. Разные платежные системы используют собственные стандарты: Visa payWave, MasterCard PayPass, American Express ExpressPay и так далее. Но устроены они похожим образом.

Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты — физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.

Зато можно сделать нестандартный ридер, который работает на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного сканера.

Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и тому подобных местах скопления людей. Благо в некоторых странах подходящие карты лежат в бумажнике уже у каждого второго гражданина.

Впрочем, можно пойти еще дальше и обойтись вовсе без сканера и личного присутствия. Еще одно оригинальное решение проблемы расстояния предложили испанские хакеры Рикардо Родригес и Хосе Вилла, представившие доклад на недавней конференции Hack In The Box.

Большинство современных Android-смартфонов оснащены модулем NFC. При этом смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке. Родригес и Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала.

Как только зараженный телефон оказывается возле бесконтактной карты, он отправляет через Интернет злоумышленникам сигнал о доступности транзакции. Мошенники активируют обычный платежный терминал, подносят к нему свой NFC-смартфон. Таким образом создается «мост» через Интернет между NFC-карточкой и NFC-терминалом, удаленными друг от друга на любое расстояние.

Троянец может распространяться стандартным способом, например в комплекте со «взломанным» платным приложением. Все, что требуется, — это версия Android 4.4 и выше. Root-доступ необязателен, хотя и желателен для того, чтобы троянец мог работать и после блокировки экрана.

Криптография

Разумеется, подобраться к карточке — это только полдела. Дальше нужно преодолеть более серьезную защиту, основанную на криптографии.

Бесконтактные транзакции защищены тем же стандартом EMV, что и чиповые карты. В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.

Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было.

#Деньги из воздуха: безопасны ли #бесконтактные #платежи?

Tweet

Есть, правда, одна деталь. В стандартной реализации защита чиповых карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала.

«Сделать терминал, который будет считывать данные карты «из кармана» клиента, теоретически возможно. Но этот терминал должен иметь «на борту» криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Таким образом, мошенничество будет легко обнаружить и расследовать», — рассказал нам руководитель управления поддержки приложений Райффайзенбанка Александр Тараторин.

Сумма покупки

Есть еще один уровень защиты — ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем. В России максимальный порог платежа составляет 1000 рублей, в США — $25, в Великобритании — 20 фунтов (скоро будет повышен до 30) и так далее.

Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка — эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты.

Квантовый пластик: какими будут кредитки будущего? https://t.co/zSYNadHivW pic.twitter.com/HbUCxDUhyN

— Евгений Касперский (@e_kaspersky_ru) February 5, 2015

Но и здесь есть нюансы. Другая команда британских исследователей из Университета Ньюкасла почти год назад сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.

Представители платежной системы Visa опровергли практическую осуществимость подобной атаки, заявив, что транзакция будет отклонена банковскими системами безопасности.

По словам Тараторина из Райффайзенбанка, терминал контролирует максимальный размер платежа независимо от того, в какой валюте он осуществляется.

Мы пойдем другим путем

Так что же, получается, что мошенническая NFC-транзакция неизбежно будет задержана банком или платежной системой? Скорее всего, да, если в этой схеме не задействованы недобросовестные работники на стороне банка.

Но есть и еще одна неприятная возможность. Через NFC можно украсть не «саму транзакцию», а информацию о банковской карте.

Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение (например, Banking card reader NFC — можете сами поэкспериментировать со своими картами).

До сих пор считалось, что эта открытая информация не ставит под угрозу безопасность карты. Однако авторитетное британское издание для потребителей «Which?» выступило с неожиданным опровержением этого тезиса.

— Which? (@WhichUK) July 22, 2015

Эксперты «Which?» протестировали десяток разных бесконтактных карт, выпущенных британскими банками. С помощью доступного NFC-ридера и бесплатного ПО им удалось декодировать номер и дату истечения срока действия для всех десяти карт.

Казалось бы, беспокоиться рано. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты.

К сожалению, многие интернет-магазины в реальности не требуют его для покупки. Что и продемонстрировали эксперты «Which?», успешно заказавшие телевизор за 3 тыс. фунтов в одном из крупных онлайн-ритейлеров.

Мораль

Хотя сама технология бесконтактных платежей действительно закрыта хорошей многофакторной защитой, это совсем не значит, что с ней ваши деньги находятся в безопасности. Слишком многое в банковских картах связано с давно устаревшими технологиями (магнитная полоса, онлайновый платеж без дополнительной аутентификации и так далее).

Еще больше зависит от добросовестности настроек конкретных финансовых учреждений и магазинов. Причем последние в погоне за высокой скоростью покупок и низким процентом «брошенных корзин» нередко очень сильно пренебрегают безопасностью платежа.

Как устроен криминальный бизнес на банкоматах и как не стать целью преступников — Часть 2: http://t.co/pQGSjrXh1C pic.twitter.com/bW6GgRlpJr

— Kaspersky Lab (@Kaspersky_ru) January 30, 2015

Посему стандартные советы по обеспечению безопасности сохраняют свою актуальность и в этом случае. Берегите карту и PIN-код от чужих глаз, не «светите» ее где попало, смотрите, что устанавливаете на смартфон, обзаведитесь антивирусом, включите SMS-уведомления об операциях, а при первом подозрении обращайтесь в банк.

Ну а для полной уверенности в том, что никто и никаким образом не сможет считать вашу бесконтактную карту без вашего ведома, можно купить специальный экранированный кошелек. Уж физику точно не обманешь.