1. Правда чи міф: можна чи вкрасти гроші з карти за допомогою NFC? Тема безпеки безконтактних платежів,...
2. Дані ...
3. ... або гроші?
4. Що якщо…
5. Що робити-то?
6. Правда чи міф: можна чи вкрасти гроші з карти за допомогою NFC?
7. непомітне зчитування
8. Дані ...
9. ... або гроші?
10. Що якщо…
11. Що робити-то?
12. Правда чи міф: можна чи вкрасти гроші з карти за допомогою NFC?
13. непомітне зчитування
14. Дані ...
15. ... або гроші?
16. Що якщо…
17. Що робити-то?

Правда чи міф: можна чи вкрасти гроші з карти за допомогою NFC?

Тема безпеки безконтактних платежів, заснованих на технології NFC, продовжує розбурхувати громадськість. Дослідники у всьому світі намагаються цю технологію «на міцність», перевіряючи, чи не занадто ми всі безтурботні, тягаючи картки в кишенях рюкзаків і сумочок. Що можна втратити - тільки дані картки або, можливо, і гроші теж, незважаючи на всі заходи безпеки?

Тема-то потенційно серйозна. Мої колеги по роботі вже писали про це не так давно. Чи змінилося щось за півроку?

непомітне зчитування

Досліди показали, що стандартні прилади для безконтактної оплати: телефони, PoS-термінали тощо - дійсно працюють тільки на ДУЖЕ невеликій відстані. Виходить, що зловмисники, звичайно, можуть отримати якісь дані вашої карти, але шанс маленький. До того ж потрібні досить недвозначні дії, які можна помітити з боку. Зчитувач, захований в кишені куртки, тут не допоможе ...

... За умови, що він стандартний. З не надто дорогого набору деталей дослідникам вдалося зібрати комплект, що дозволяв «підслуховувати» транзакції і зчитувати дані карти на відстані до 45 см. Набір, правда, включав в себе рюкзак і візок із супермаркету, в якому, власне, і проводився досвід. Загалом, з нестандартним зчитувачем шанс отримати дані карти сильно зростає, але потрібно великогабаритне обладнання.

Кілька цікавіше виглядало зараження троянцем Android-телефону з NFC-модулем. У варіанті «зберігаю телефон і гроші у серця» картина вимальовувалася не дуже приємна: рахувати карти в такому випадку набагато легше, а головне - ніхто і не помітить. При бажанні зловмисники могли б встановити зв'язок з іншим телефоном через стільниковий канал зв'язку і, користуючись таким своєрідним «подовжувачем», навіть купити щось на суму менше тисячі рублів - в межах обмеження «беспіновой» міні-транзакції. Дуже клопіткий і незручний спосіб, але ніби як реалістичний.

Однак за минулий з моменту публікації дослідження час мені так і не вдалося виявити жодного підтвердженого випадку успішного «віддаленого» замаху на NFC-карти.

Дані ...

Численні дослідження показали, що хакеру з його суперпотужним зчитувачем найпростіше частково отримати дані карти: номер і дату закінчення терміну дії плюс деяку інформацію про декілька останніх транзакцій. Малувато для чогось серйозного? В цілому скоріше так. Однак дослідники з Which? , Наприклад, змогли виявити магазин, де отриманих даних вистачило, щоб зробити покупку, помітно перевищує ліміт «міні-транзакції», що не вимагає PIN.

Кілька більш складний шлях дані карти можуть виконати, потрапивши в базу даних торговців-кардерів, щоб потім, в не цілком доступному для огляду майбутньому, можливо, стати частиною якоїсь тіньової операції. З вищезазначеним набором даних ймовірність неприємностей за цією схемою дещо менше, але нічого хорошого цей сценарій точно не обіцяє.

Найпростіший варіант - вам телефонує якась дівчина «з банку» і з метою перевірки / розслідування інциденту / за іншою дуже переконливою причини просить вас назвати додаткові дані карти, добудовуючи існуючий набір до більш повного. Зрозуміло, що насправді панянка не з банку, тому що справжні представники банків ніколи так не роблять.

... або гроші?

Звичайних людей найбільше лякає те, що з їх карти можуть в теорії зняти гроші, використовуючи функцію «міні-транзакції», коли для списання грошей не потрібно вводити PIN-код. Вважати, звичайно, можна - були б термінал, здатний проводити безконтактні транзакції, і можливість підібратися з ним ближче до карти.

Але тут ми впритул підходимо до тих заходів безпеки, які навіть старше портативних терміналів. Кожен касовий апарат з давніх часів реєструвався - як мінімум в податковій інспекції. З появою системи електронних платежів кожен термінал (якщо це незалежний термінал, а не PoS-система) реєструється при укладенні договору з банком-еквайром.

Паспорт та інші підтвердження суті / особистості фірми / продавця - обов'язкові. Без цього фінансові взаємовідносини між покупцем і продавцем (по суті, еквівалентні безготівковим обміну між банком торговця, банком-еквайром та банком, який видав карту покупцеві) просто неможливі.

Будь-яка шахрайська транзакція, будучи опротестованої, може бути відстежено до терміналу, з якого вона була ініційована, і його власника. Відповідно, опротестована транзакція скасовується, гроші повертаються, а власником терміналу починають щільно цікавитися компетентні органи.
Тут, однак, починається сіра зона.

Що якщо…

• Господар карти недостатньо уважно читав пункт договору, в якому написано, що ті самі міні-транзакції «до 1000 руб.» Опротестування не підлягають? (Жодного разу сам не бачив, але, кажуть, буває.)
• Час опротестування міні-транзакцій помітно менше, ніж у більших платежів, а клієнт вчасно не помітив SMS від банку?
• Термінал зареєстрований на підроблену фірму, записану на чужі дані? Крадіжка паспортів - не таке вже рідкісне явище, особливо з урахуванням того, що біометричні документи поки що поширені аж ніяк не повсюдно.

При бажанні можна придумати ще обставини, частіше за все пов'язані з тим, що хтось недостатньо ретельно виконує свою частину дій, що забезпечують безпеку платежу. Будьте уважні до того, з ким саме ви маєте справу, і завжди досконально з'ясовуйте, які умови, на які ви підписуєтеся.

Що стосується фірм, зареєстрованих на чуже ім'я, то, мені здається, подібного роду шахрайство організовується заради набагато більш серйозних операцій, ніж спроба відвести з чужих карт кілька десятків тисяч рублів, які просто не окуплять кримінальні вкладення.

Ах так, є ще варіант з невдалим кур'єром, які втратили термінал. Але він не для злочинців: вивести гроші з рахунку фірми, на яку зареєстрований термінал, можна тільки, наприклад, зламавши електронний банк. І навіщо тоді, питається, взагалі красти термінал?

Що робити-то?

Та й чи треба взагалі щось робити? Кожен вирішує сам. Просто пам'ятайте, що експеримент, що вимагає рюкзака і візки із супермаркету, завтра може стати реальністю.

Ось що я вирішив для себе:

• зберігати безконтактні картки в контрольованій зоні в одязі на грудях. Чи не поруч з телефоном;
• незважаючи на відсутність прямої і безпосередньої загрози, розглянути питання про екранованому сховище;
• зберігати чеки при користуванні карткою. При опротестування шахрайської транзакції наявність чеків по платежах за період, в який все і сталося, може, принаймні за словами банківських співробітників підтримки, допомогти в розслідуванні і знизити шанси на те, що гроші пропадуть безповоротно;
• регулярно переконуватися, що з захисними рішеннями на всіх моїх пристроях все в порядку і вони регулярно оновлюються. Їх наявність навіть не обговорюється. Я обрав Kaspersky Total Security для всіх пристроїв - в ньому є спеціальний компонент для захисту електронних платежів, їм можна управляти з хмари, а в разі крадіжки мого телефону з NFC можна цей самий телефон заблокувати. Крім того, серед мобільних троянців є куди більш неприємні екземпляри, особливо для тих, хто, як я, активно користується електронним банкінгом, і Kaspersky Internet Security їх успішно ловить.

Правда чи міф: можна чи вкрасти гроші з карти за допомогою NFC?

Тема безпеки безконтактних платежів, заснованих на технології NFC, продовжує розбурхувати громадськість. Дослідники у всьому світі намагаються цю технологію «на міцність», перевіряючи, чи не занадто ми всі безтурботні, тягаючи картки в кишенях рюкзаків і сумочок. Що можна втратити - тільки дані картки або, можливо, і гроші теж, незважаючи на всі заходи безпеки?

Тема-то потенційно серйозна. Мої колеги по роботі вже писали про це не так давно. Чи змінилося щось за півроку?

непомітне зчитування

Досліди показали, що стандартні прилади для безконтактної оплати: телефони, PoS-термінали тощо - дійсно працюють тільки на ДУЖЕ невеликій відстані. Виходить, що зловмисники, звичайно, можуть отримати якісь дані вашої карти, але шанс маленький. До того ж потрібні досить недвозначні дії, які можна помітити з боку. Зчитувач, захований в кишені куртки, тут не допоможе ...

... За умови, що він стандартний. З не надто дорогого набору деталей дослідникам вдалося зібрати комплект, що дозволяв «підслуховувати» транзакції і зчитувати дані карти на відстані до 45 см. Набір, правда, включав в себе рюкзак і візок із супермаркету, в якому, власне, і проводився досвід. Загалом, з нестандартним зчитувачем шанс отримати дані карти сильно зростає, але потрібно великогабаритне обладнання.

Кілька цікавіше виглядало зараження троянцем Android-телефону з NFC-модулем. У варіанті «зберігаю телефон і гроші у серця» картина вимальовувалася не дуже приємна: рахувати карти в такому випадку набагато легше, а головне - ніхто і не помітить. При бажанні зловмисники могли б встановити зв'язок з іншим телефоном через стільниковий канал зв'язку і, користуючись таким своєрідним «подовжувачем», навіть купити щось на суму менше тисячі рублів - в межах обмеження «беспіновой» міні-транзакції. Дуже клопіткий і незручний спосіб, але ніби як реалістичний.

Однак за минулий з моменту публікації дослідження час мені так і не вдалося виявити жодного підтвердженого випадку успішного «віддаленого» замаху на NFC-карти.

Дані ...

Численні дослідження показали, що хакеру з його суперпотужним зчитувачем найпростіше частково отримати дані карти: номер і дату закінчення терміну дії плюс деяку інформацію про декілька останніх транзакцій. Малувато для чогось серйозного? В цілому скоріше так. Однак дослідники з Which? , Наприклад, змогли виявити магазин, де отриманих даних вистачило, щоб зробити покупку, помітно перевищує ліміт «міні-транзакції», що не вимагає PIN.

Кілька більш складний шлях дані карти можуть виконати, потрапивши в базу даних торговців-кардерів, щоб потім, в не цілком доступному для огляду майбутньому, можливо, стати частиною якоїсь тіньової операції. З вищезазначеним набором даних ймовірність неприємностей за цією схемою дещо менше, але нічого хорошого цей сценарій точно не обіцяє.

Найпростіший варіант - вам телефонує якась дівчина «з банку» і з метою перевірки / розслідування інциденту / за іншою дуже переконливою причини просить вас назвати додаткові дані карти, добудовуючи існуючий набір до більш повного. Зрозуміло, що насправді панянка не з банку, тому що справжні представники банків ніколи так не роблять.

... або гроші?

Звичайних людей найбільше лякає те, що з їх карти можуть в теорії зняти гроші, використовуючи функцію «міні-транзакції», коли для списання грошей не потрібно вводити PIN-код. Вважати, звичайно, можна - були б термінал, здатний проводити безконтактні транзакції, і можливість підібратися з ним ближче до карти.

Але тут ми впритул підходимо до тих заходів безпеки, які навіть старше портативних терміналів. Кожен касовий апарат з давніх часів реєструвався - як мінімум в податковій інспекції. З появою системи електронних платежів кожен термінал (якщо це незалежний термінал, а не PoS-система) реєструється при укладенні договору з банком-еквайром.

Паспорт та інші підтвердження суті / особистості фірми / продавця - обов'язкові. Без цього фінансові взаємовідносини між покупцем і продавцем (по суті, еквівалентні безготівковим обміну між банком торговця, банком-еквайром та банком, який видав карту покупцеві) просто неможливі.

Будь-яка шахрайська транзакція, будучи опротестованої, може бути відстежено до терміналу, з якого вона була ініційована, і його власника. Відповідно, опротестована транзакція скасовується, гроші повертаються, а власником терміналу починають щільно цікавитися компетентні органи.
Тут, однак, починається сіра зона.

Що якщо…

• Господар карти недостатньо уважно читав пункт договору, в якому написано, що ті самі міні-транзакції «до 1000 руб.» Опротестування не підлягають? (Жодного разу сам не бачив, але, кажуть, буває.)
• Час опротестування міні-транзакцій помітно менше, ніж у більших платежів, а клієнт вчасно не помітив SMS від банку?
• Термінал зареєстрований на підроблену фірму, записану на чужі дані? Крадіжка паспортів - не таке вже рідкісне явище, особливо з урахуванням того, що біометричні документи поки що поширені аж ніяк не повсюдно.

При бажанні можна придумати ще обставини, частіше за все пов'язані з тим, що хтось недостатньо ретельно виконує свою частину дій, що забезпечують безпеку платежу. Будьте уважні до того, з ким саме ви маєте справу, і завжди досконально з'ясовуйте, які умови, на які ви підписуєтеся.

Що стосується фірм, зареєстрованих на чуже ім'я, то, мені здається, подібного роду шахрайство організовується заради набагато більш серйозних операцій, ніж спроба відвести з чужих карт кілька десятків тисяч рублів, які просто не окуплять кримінальні вкладення.

Ах так, є ще варіант з невдалим кур'єром, які втратили термінал. Але він не для злочинців: вивести гроші з рахунку фірми, на яку зареєстрований термінал, можна тільки, наприклад, зламавши електронний банк. І навіщо тоді, питається, взагалі красти термінал?

Що робити-то?

Та й чи треба взагалі щось робити? Кожен вирішує сам. Просто пам'ятайте, що експеримент, що вимагає рюкзака і візки із супермаркету, завтра може стати реальністю.

Ось що я вирішив для себе:

• зберігати безконтактні картки в контрольованій зоні в одязі на грудях. Чи не поруч з телефоном;
• незважаючи на відсутність прямої і безпосередньої загрози, розглянути питання про екранованому сховище;
• зберігати чеки при користуванні карткою. При опротестування шахрайської транзакції наявність чеків по платежах за період, в який все і сталося, може, принаймні за словами банківських співробітників підтримки, допомогти в розслідуванні і знизити шанси на те, що гроші пропадуть безповоротно;
• регулярно переконуватися, що з захисними рішеннями на всіх моїх пристроях все в порядку і вони регулярно оновлюються. Їх наявність навіть не обговорюється. Я обрав Kaspersky Total Security для всіх пристроїв - в ньому є спеціальний компонент для захисту електронних платежів, їм можна управляти з хмари, а в разі крадіжки мого телефону з NFC можна цей самий телефон заблокувати. Крім того, серед мобільних троянців є куди більш неприємні екземпляри, особливо для тих, хто, як я, активно користується електронним банкінгом, і Kaspersky Internet Security їх успішно ловить.

Правда чи міф: можна чи вкрасти гроші з карти за допомогою NFC?

Тема безпеки безконтактних платежів, заснованих на технології NFC, продовжує розбурхувати громадськість. Дослідники у всьому світі намагаються цю технологію «на міцність», перевіряючи, чи не занадто ми всі безтурботні, тягаючи картки в кишенях рюкзаків і сумочок. Що можна втратити - тільки дані картки або, можливо, і гроші теж, незважаючи на всі заходи безпеки?

Тема-то потенційно серйозна. Мої колеги по роботі вже писали про це не так давно. Чи змінилося щось за півроку?

непомітне зчитування

Досліди показали, що стандартні прилади для безконтактної оплати: телефони, PoS-термінали тощо - дійсно працюють тільки на ДУЖЕ невеликій відстані. Виходить, що зловмисники, звичайно, можуть отримати якісь дані вашої карти, але шанс маленький. До того ж потрібні досить недвозначні дії, які можна помітити з боку. Зчитувач, захований в кишені куртки, тут не допоможе ...

... За умови, що він стандартний. З не надто дорогого набору деталей дослідникам вдалося зібрати комплект, що дозволяв «підслуховувати» транзакції і зчитувати дані карти на відстані до 45 см. Набір, правда, включав в себе рюкзак і візок із супермаркету, в якому, власне, і проводився досвід. Загалом, з нестандартним зчитувачем шанс отримати дані карти сильно зростає, але потрібно великогабаритне обладнання.

Кілька цікавіше виглядало зараження троянцем Android-телефону з NFC-модулем. У варіанті «зберігаю телефон і гроші у серця» картина вимальовувалася не дуже приємна: рахувати карти в такому випадку набагато легше, а головне - ніхто і не помітить. При бажанні зловмисники могли б встановити зв'язок з іншим телефоном через стільниковий канал зв'язку і, користуючись таким своєрідним «подовжувачем», навіть купити щось на суму менше тисячі рублів - в межах обмеження «беспіновой» міні-транзакції. Дуже клопіткий і незручний спосіб, але ніби як реалістичний.

Однак за минулий з моменту публікації дослідження час мені так і не вдалося виявити жодного підтвердженого випадку успішного «віддаленого» замаху на NFC-карти.

Дані ...

Численні дослідження показали, що хакеру з його суперпотужним зчитувачем найпростіше частково отримати дані карти: номер і дату закінчення терміну дії плюс деяку інформацію про декілька останніх транзакцій. Малувато для чогось серйозного? В цілому скоріше так. Однак дослідники з Which? , Наприклад, змогли виявити магазин, де отриманих даних вистачило, щоб зробити покупку, помітно перевищує ліміт «міні-транзакції», що не вимагає PIN.

Кілька більш складний шлях дані карти можуть виконати, потрапивши в базу даних торговців-кардерів, щоб потім, в не цілком доступному для огляду майбутньому, можливо, стати частиною якоїсь тіньової операції. З вищезазначеним набором даних ймовірність неприємностей за цією схемою дещо менше, але нічого хорошого цей сценарій точно не обіцяє.

Найпростіший варіант - вам телефонує якась дівчина «з банку» і з метою перевірки / розслідування інциденту / за іншою дуже переконливою причини просить вас назвати додаткові дані карти, добудовуючи існуючий набір до більш повного. Зрозуміло, що насправді панянка не з банку, тому що справжні представники банків ніколи так не роблять.

... або гроші?

Звичайних людей найбільше лякає те, що з їх карти можуть в теорії зняти гроші, використовуючи функцію «міні-транзакції», коли для списання грошей не потрібно вводити PIN-код. Вважати, звичайно, можна - були б термінал, здатний проводити безконтактні транзакції, і можливість підібратися з ним ближче до карти.

Але тут ми впритул підходимо до тих заходів безпеки, які навіть старше портативних терміналів. Кожен касовий апарат з давніх часів реєструвався - як мінімум в податковій інспекції. З появою системи електронних платежів кожен термінал (якщо це незалежний термінал, а не PoS-система) реєструється при укладенні договору з банком-еквайром.

Паспорт та інші підтвердження суті / особистості фірми / продавця - обов'язкові. Без цього фінансові взаємовідносини між покупцем і продавцем (по суті, еквівалентні безготівковим обміну між банком торговця, банком-еквайром та банком, який видав карту покупцеві) просто неможливі.

Будь-яка шахрайська транзакція, будучи опротестованої, може бути відстежено до терміналу, з якого вона була ініційована, і його власника. Відповідно, опротестована транзакція скасовується, гроші повертаються, а власником терміналу починають щільно цікавитися компетентні органи.
Тут, однак, починається сіра зона.

Що якщо…

• Господар карти недостатньо уважно читав пункт договору, в якому написано, що ті самі міні-транзакції «до 1000 руб.» Опротестування не підлягають? (Жодного разу сам не бачив, але, кажуть, буває.)
• Час опротестування міні-транзакцій помітно менше, ніж у більших платежів, а клієнт вчасно не помітив SMS від банку?
• Термінал зареєстрований на підроблену фірму, записану на чужі дані? Крадіжка паспортів - не таке вже рідкісне явище, особливо з урахуванням того, що біометричні документи поки що поширені аж ніяк не повсюдно.

При бажанні можна придумати ще обставини, частіше за все пов'язані з тим, що хтось недостатньо ретельно виконує свою частину дій, що забезпечують безпеку платежу. Будьте уважні до того, з ким саме ви маєте справу, і завжди досконально з'ясовуйте, які умови, на які ви підписуєтеся.

Що стосується фірм, зареєстрованих на чуже ім'я, то, мені здається, подібного роду шахрайство організовується заради набагато більш серйозних операцій, ніж спроба відвести з чужих карт кілька десятків тисяч рублів, які просто не окуплять кримінальні вкладення.

Ах так, є ще варіант з невдалим кур'єром, які втратили термінал. Але він не для злочинців: вивести гроші з рахунку фірми, на яку зареєстрований термінал, можна тільки, наприклад, зламавши електронний банк. І навіщо тоді, питається, взагалі красти термінал?

Що робити-то?

Та й чи треба взагалі щось робити? Кожен вирішує сам. Просто пам'ятайте, що експеримент, що вимагає рюкзака і візки із супермаркету, завтра може стати реальністю.

Ось що я вирішив для себе:

• зберігати безконтактні картки в контрольованій зоні в одязі на грудях. Чи не поруч з телефоном;
• незважаючи на відсутність прямої і безпосередньої загрози, розглянути питання про екранованому сховище;
• зберігати чеки при користуванні карткою. При опротестування шахрайської транзакції наявність чеків по платежах за період, в який все і сталося, може, принаймні за словами банківських співробітників підтримки, допомогти в розслідуванні і знизити шанси на те, що гроші пропадуть безповоротно;
• регулярно переконуватися, що з захисними рішеннями на всіх моїх пристроях все в порядку і вони регулярно оновлюються. Їх наявність навіть не обговорюється. Я обрав Kaspersky Total Security для всіх пристроїв - в ньому є спеціальний компонент для захисту електронних платежів, їм можна управляти з хмари, а в разі крадіжки мого телефону з NFC можна цей самий телефон заблокувати. Крім того, серед мобільних троянців є куди більш неприємні екземпляри, особливо для тих, хто, як я, активно користується електронним банкінгом, і Kaspersky Internet Security їх успішно ловить.