Уже около 60% покупок в Москве и других крупных городах России производится с помощью бесконтактных платежей. Лайф разбирался, насколько они защищены от мошенников.
Популярность бесконтактных платежей в России продолжает расти. Их доля в супермаркетах, такси, ресторанах и аптеках увеличилась почти вдвое, говорится в исследовании "Мультикарты". Почти все услуги можно оплатить смартфоном, и пользователи не упускают этой возможности.
Тем не менее среди россиян находятся люди, игнорирующие актуальную технологию. Одна из причин — боязнь за сохранность денег и данных карты. Мы разобрались, как работают бесконтактные платёжные системы и каков шанс стать жертвой хакеров. Разберём технологию на примере самого узнаваемого приложения — Apple Pay. Samsung Pay, Google Pay и недавно объявившийся Huawei Pay работают по тому же принципу.
Можно ли украсть деньги через сервисы бесконтактных платежей?
Важно помнить, что расстояние, на котором терминал распознаёт смартфон, — около 10 сантиметров. Так, чтобы снять деньги, надо поднести его почти вплотную. А для осуществления транзакции необходимо подтвердить её с помощью сканера, отпечатка или лица; если вы не сделали это — ваш счёт в полной безопасности.
В Сети есть истории о том, как инженеры увеличивают радиус действия терминала с NFC, а разработчики взламывают приложение на Android-смартфоне и затем снимают деньги с карты. Важно, что у бесконтактных переводов нет ограничений по сумме, как у дебетовых карт, где без пароля можно перевести до 1 тысячи рублей, что не утешает.
Но создать подобный аппарат технически очень сложно и бессмысленно. Помимо этого, приложения для бесконтактных платежей проводят транзакции по протоколам Visa PayWave, MasterCard PayPass, American Express и ExpressDay. С ними банку выявить личность злоумышленника не составит труда.
— Этот терминал должен иметь "на борту" криптографические ключи, полученные у банка-эквайера и платёжной системы, — рассказывал "Лаборатории Касперского" руководитель управления поддержки приложений Райффайзенбанка Александр Тараторин. — Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Таким образом, мошенничество будет легко обнаружить и расследовать.
Единственный способ украсть деньги через Apple Pay — установить завышенную сумму, будучи продавцом. В этом случае пользователю нужно просто быть предусмотрительнее: перед оплатой на терминале показывается взимаемая сумма, для надёжности лучше посмотреть на неё до оплаты и убедиться в честности продавца.
Что происходит с вашими деньгами, когда вы добавляете карту?
Банковская карта синхронизируется с iTunes, после этого вы можете оплачивать покупки смартфоном через NFC-терминал и в Интернете, если онлайн-магазин или приложение поддерживают Apple Pay.
В Купертино не получают данных о вашем пластике и не имеют контроля над платежами. Компания лишь предоставляет инструмент, с помощью которого можно совершать покупки.
Apple сохраняет данные о карте на сервере и в iCloud в зашифрованном, а не исходном виде. Даже если вы добавляете карту путём сканирования, а не ввода номера вручную, её данные шифруются. Так, даже в случае взлома сервера или облака, злоумышленник не доберётся до вашего банковского счёта.
Что случается с данными при оплате через терминал или на интернет-ресурсе?
Информация о переводах вами денег через терминал доступна исключительно банку. Для Apple и получателя вы сохраняете анонимность, о чём говорится в аннотации на сайте компании. Так выявить личность пользователя оказывается невозможно.
При транзакции номер карты заменяется другим, случайным номером, который видит получатель. После выполнения платежа он удаляется. Это и есть шифрование. Даже если токен будет перехвачен, хакер не получит ценной информации.
С оплатами в Сети ситуация ещё сложнее. В этом случае Apple применяет двойное шифрование — зашифрованный номер карты и номер перевода доступны исключительно вам и интернет-ресурсу. При покупке онлайн суть та же: сайт, на котором вы совершаете транзакцию, получит, опять же, зашифрованный номер карты, а не подлинный.
Сами сайты, на которых установлен Apple Pay, также контролируются разработчиком. Если ресурс предлагает бесконтактный способ оплаты, он каждый раз проходит проверку домена, отмечается всё в той же аннотации Apple.
А что, если смартфон с банковскими данными утерян?
Сторонний человек сможет воспользоваться бесконтактным платежом, только если он знает ПИН-код, введённый вами. Частично это обезопасит девайс от взлома. Но для большей безопасности рекомендуется принять и другие меры:
— Пользователям экосистемы Apple легко заблокировать потерянный смартфон через другое устройство. В режиме пропажи или блокировки смартфон будет принимать только входящие звонки с FaceTime, не будет отображать уведомления и заблокирует Apple Pay. У Samsung есть приложение-аналог — "Найти телефон", в котором можно выполнить те же действия.
— Альтернативное решение — блокировка мобильного банка и карты, подключенных к сервису бесконтактных платежей. У каждого банка свой горячий номер. Позвоните по нему, сообщите контрольную информацию и паспортные данные, после чего карты будут заблокированы.
Автор:
Денис Марков
Источник: