Приложите деньги. Как платить смартфоном и не потерять всё?

Популярность бесконтактных платежей в России продолжает расти. Их доля в супермаркетах, такси, ресторанах и аптеках увеличилась почти вдвое, говорится в исследовании "Мультикарты". Почти все услуги можно оплатить смартфоном, и пользователи не упускают этой возможности.

Тем не менее среди россиян находятся люди, игнорирующие актуальную технологию. Одна из причин — боязнь за сохранность денег и данных карты. Мы разобрались, как работают бесконтактные платёжные системы и каков шанс стать жертвой хакеров. Разберём технологию на примере самого узнаваемого приложения — Apple Pay. Samsung Pay, Google Pay и недавно объявившийся Huawei Pay работают по тому же принципу.

Важно помнить, что расстояние, на котором терминал распознаёт смартфон, — около 10 сантиметров. Так, чтобы снять деньги, надо поднести его почти вплотную. А для осуществления транзакции необходимо подтвердить её с помощью сканера, отпечатка или лица; если вы не сделали это — ваш счёт в полной безопасности.

В Сети есть истории о том, как инженеры увеличивают радиус действия терминала с NFC, а разработчики взламывают приложение на Android-смартфоне и затем снимают деньги с карты. Важно, что у бесконтактных переводов нет ограничений по сумме, как у дебетовых карт, где без пароля можно перевести до 1 тысячи рублей, что не утешает.

Но создать подобный аппарат технически очень сложно и бессмысленно. Помимо этого, приложения для бесконтактных платежей проводят транзакции по протоколам Visa PayWave, MasterCard PayPass, American Express и ExpressDay. С ними банку выявить личность злоумышленника не составит труда.

— Этот терминал должен иметь "на борту" криптографические ключи, полученные у банка-эквайера и платёжной системы, — рассказывал "Лаборатории Касперского" руководитель управления поддержки приложений Райффайзенбанка Александр Тараторин. — Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Таким образом, мошенничество будет легко обнаружить и расследовать.

Единственный способ украсть деньги через Apple Pay — установить завышенную сумму, будучи продавцом. В этом случае пользователю нужно просто быть предусмотрительнее: перед оплатой на терминале показывается взимаемая сумма, для надёжности лучше посмотреть на неё до оплаты и убедиться в честности продавца.

Банковская карта синхронизируется с iTunes, после этого вы можете оплачивать покупки смартфоном через NFC-терминал и в Интернете, если онлайн-магазин или приложение поддерживают Apple Pay.

В Купертино не получают данных о вашем пластике и не имеют контроля над платежами. Компания лишь предоставляет инструмент, с помощью которого можно совершать покупки.

Apple сохраняет данные о карте на сервере и в iCloud в зашифрованном, а не исходном виде. Даже если вы добавляете карту путём сканирования, а не ввода номера вручную, её данные шифруются. Так, даже в случае взлома сервера или облака, злоумышленник не доберётся до вашего банковского счёта.

Информация о переводах вами денег через терминал доступна исключительно банку. Для Apple и получателя вы сохраняете анонимность, о чём говорится в аннотации на сайте компании. Так выявить личность пользователя оказывается невозможно.

При транзакции номер карты заменяется другим, случайным номером, который видит получатель. После выполнения платежа он удаляется. Это и есть шифрование. Даже если токен будет перехвачен, хакер не получит ценной информации.

С оплатами в Сети ситуация ещё сложнее. В этом случае Apple применяет двойное шифрование — зашифрованный номер карты и номер перевода доступны исключительно вам и интернет-ресурсу. При покупке онлайн суть та же: сайт, на котором вы совершаете транзакцию, получит, опять же, зашифрованный номер карты, а не подлинный.

Сами сайты, на которых установлен Apple Pay, также контролируются разработчиком. Если ресурс предлагает бесконтактный способ оплаты, он каждый раз проходит проверку домена, отмечается всё в той же аннотации Apple.

Сторонний человек сможет воспользоваться бесконтактным платежом, только если он знает ПИН-код, введённый вами. Частично это обезопасит девайс от взлома. Но для большей безопасности рекомендуется принять и другие меры:

— Пользователям экосистемы Apple легко заблокировать потерянный смартфон через другое устройство. В режиме пропажи или блокировки смартфон будет принимать только входящие звонки с FaceTime, не будет отображать уведомления и заблокирует Apple Pay. У Samsung есть приложение-аналог — "Найти телефон", в котором можно выполнить те же действия.

— Альтернативное решение — блокировка мобильного банка и карты, подключенных к сервису бесконтактных платежей. У каждого банка свой горячий номер. Позвоните по нему, сообщите контрольную информацию и паспортные данные, после чего карты будут заблокированы.