Карманники ХХI века. Хакеры воруют деньги с карт в общественном транспорте
Visa анонсировала новые правила бесконтактной оплаты. Сейчас без PIN-кода картой с NFC можно оплатить покупку до 1000 рублей. Но уже с середины апреля лимит увеличится до солидных 3000 рублей. Бесконтактные платежи — это всегда удобно. Но не всегда безопасно. Лайф рассказывает об уязвимостях бесконтактной оплаты, а также как защититься от хакеров.
Украсть деньги с карты могут даже в метро, но воры предпочитают так не делать
Мысленно многие отдают дань уважения технологическому прогрессу, поднося банковскую карту к терминалу оплаты, например, в "Пятёрочке". Никаких неудобств с наличкой или вводом PIN-кода. Однако стоит только подумать, что посредством беспроводного терминала кто угодно может снять с вашей карты 3000 рублей, только коснувшись сумочки в метро, как сразу появляется недоверие к современным технологиям. Однако стоит ли переживать по этому поводу?
Вообще, эксперты по кибербезопасности давно сошлись во мнении, что в целом у PayPass и его аналогов есть серьёзные недостатки. Некоторые и вовсе не списывают со счетов описанный сценарий в метро. Несколько лет назад сотрудник Лаборатории Касперского Олег Горобец сфотографировал в московской подземке подозрительного человека с включённым POS-терминалом в руке. В "Фейсбуке" Горобец толсто намекнул, что парень воровал у людей деньги с NFC-карт, прислоняя терминал к карманам и сумкам. Реакция общественности была бурной, однако волна негодования стихла быстро, поскольку к рациональности обсуждаемого метода возникло много вопросов.
Первыми выступили банкиры. Они объяснили, что украденные таким образом деньги уходят не в чёрную дыру, а на конкретный банковский счёт, зарегистрированный на конкретное юридическое лицо. По их мнению, обчищать людей с терминалом — недальновидное решение. Дескать, это всё равно что оставить на месте преступления свой паспорт.
Побороть страх перед таким видом мошенничества помогли специалисты, знакомые с технической стороной вопроса. Они говорили, даже если злоумышленник не боится раскрыть свою личность, своровать посредством терминала пару сотен или тысяч рублей в толпе неимоверно сложно. Уж слишком много факторов должно совпасть. Как минимум карта, на которую нацелился вор, должна находиться в ёмкости без других NFC-меток. То есть даже если платёжный "пластик" будет лежать в одном кармане, например, с "Тройкой", высока вероятность, что у вора ничего не получится. Два разных датчика просто помешают друг другу корректно сработать.
Фото: © Shutterstock
— Вероятность использования терминалов в толпе существует. Но её опасность преувеличена. Во-первых, терминал должен быть зарегистрирован. После нескольких незаконных списаний такое устройство будет заблокировано, что потребует замены аппарата на новый, а это непросто и дорого. Во-вторых, у злоумышленников есть более простые и прибыльные способы кражи денег с карт, — говорит специалист по информационной безопасности Алексей Лукацкий. В качестве примера более прибыльного мошенничества Лукацкий назвал скимминг — старый, как и сами кредитные карты, приём с использованием накладок на клавиатуру или картридер банкоматов.
Воры охотятся не за деньгами, а за личными данными
Однако это не значит, что можно расслабиться и выдохнуть. Дело в том, что для навара злоумышленнику совсем не обязательно украсть именно деньги — иногда достаточно только данных карты: номера и срока действия. И вот как раз с захватом этой информации хакеры справляются лучше.
Поскольку легальные и нормальные POS-терминалы стоят относительно дорого — тысячи и даже десятки тысяч рублей, — хакеры нередко используют кастомные ридеры за копейки. Такие аппараты состоят как минимум из антенны, платы-контроллера и интерфейса для подключения к ПК. Внешне они похожи на легальные устройства, но могут быть в разы меньше. А это, в свою очередь, позволяет вору оставаться незамеченным в толпе дольше и провести больше попыток захвата информации. Совсем бюджетный способ получить ридер — настроить с помощью специального ПО собственный смартфон с NFC. И в таком случае расходы минимальные.
Пример кастомного устройства
Многие спросят, чем хакеру смогут помочь сворованные номер карты и срок действия. Оказывается, в Интернете есть ряд торговых площадок, где для проведения транзакции достаточно и такой информации. Даже трёхзначного CVV и эсэмэски с кодом подтверждения им не требуется. Причём это не какие-нибудь магазины с наркотой и оружием в Даркнете, а вполне легальные Amazon, eBay или AliExpress.
Самый простой способ предотвратить виртуальный угон средств — позвонить в банк и попросить, чтобы у вас запрашивали подтверждение вообще всех платежей без физического присутствия карты. У популярных платёжных систем — Visa и MasterCard — такая опция называется 3D-Secure. В общем, как и в большинстве случаев, не стоит недооценивать уязвимости настроек по умолчанию.
По воздуху воруют мало, но с каждым годом заработок мошенников растёт
В Великобритании, по данным аналитиков Financial Fraud Action UK, в 2015 году мошенники увели "по воздуху" 2,8 млн фунтов стерлингов, а в 2016-м сумма приблизилась к 7 млн. Ерунда по сравнению с общим оборотом бесконтактных платежей (25,5 млрд фунтов стерлингов в 2016 году), тем не менее очевидно, что преступники всё больше интересуются уязвимостью PayPass и его аналогов. По России, к слову, кое-какая статистика тоже есть: в 2015 году, по данным компании Zecurion, посредством самодельных терминалов у россиян украли примерно 2 млн рублей.
Фото: © Pixabay
Защититься просто, но придётся немного потратиться
Изменение настроек в банке — дело полезное. Однако важнее физически защититься от воровства ещё на первом этапе.
— Можно использовать специальные — экранированные — чехлы для карт. Отдельные банки их даже дарят клиентам в праздничные дни. Также нелишним будет приобрести бумажник с защищёнными отделениями для кредиток, — говорит Алексей Лукацкий. К слову, производителей особенных портмоне сегодня хватает. Можно найти как очень бюджетные варианты — за несколько сотен рублей, так и роскошные аксессуары за десятки тысяч рублей.
Однако, если старый бумажник вам очень дорог и вы не хотите с ним расставаться, можно приобрести специальный гаджет в виде обычной кредитки, блокирующий излучения NFC-маячков. Они стоят, как правило, недорого — до 1000 рублей.
Руководитель группы исследований безопасности банковских систем Positive Technologies Ярослав Бабин в разговоре с Лайфом отметил, что в принципах работы бесконтактных платежей уже заложены ограничения для манёвров злоумышленников. Например, некоторые терминалы способны считать информацию только с одной карты, которая к нему прислоняется.
— В большинстве случаев пользователь носит банковскую карту в бумажнике или специальном держателе, в котором обычно хранятся другие банковские карты. Молниеносно списывать средства в таких ситуациях довольно проблематично, — отметил Бабин.