Кибер-карманники — можно ли украсть деньги с бесконтактных банковских карт

Новый способ мошенничества пришёл в Россию вместе с новыми технологиями бесконтактных платежей — киберпреступники научились считывать сигналы таких карт и похищать с них деньги. Впрочем, эксперты в области микроэлектроники и информационной безопасности, опрошенные Zelenograd.ru, полагают, что защита есть и в России этот способ киберворовства не приживется.

Эксперимент Zelenograd.ru — с помощью смартфона и общедоступного приложения можно получить данные о карте и транзакциях, в том числе номер карты и срок действия 

2 миллиона рублей похищено за 2015 год в России с карт, оснащенных бесконтактными технологиями PayPass/ PayWave, приводят «Известия» данные компании Zecurion, крупного российского разработчика систем защиты данных от утечек. Вооружившись самодельным ридером, хакеры считывают данные в переполненном транспорте, на рынках, в магазинах, а затем уводят деньги с карты. 

По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 миллион россиян. У карт Visa используется технология PayWave, у Mastercard — PayPass, American Express — функциональность ExpressPay. Многие крупные банки, работающие с населением, выпускают бесконтактные карты. 

При расчетах бесконтактной карточкой достаточно близко поднести её или прикоснуться к платёжному терминалу, при этом не нужно вводить PIN-код, а также ставить подпись на чеке — если сумма покупки до 1 тысячи рублей. В странах еврозоны лимит на такие операции ограничен 25 евро, в США 15 долларами. 

Бесконтактное воровство
Данные с карт перехватывают способом, похожим на перехват сигналов электрозамков угонщиками автомобилей. В Zecurion рассказывают, что мошенники используют самодельные считыватели банковских карт с чипами RFID (радиочастотной идентификации) — по сути, аналоги легальных бесконтактных PoS-терминалов, RFID-ридеров, посылающих электромагнитные сигналы. 

«Злоумышленнику достаточно приблизить на 5-20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана», — рассказал руководитель аналитического центра Zecurion Владимир Ульянов. Это можно сделать незаметно для владельца карты в любом людном месте. Полученные данные мошенники записывают на карты-клоны, с помощью которых уже похищают деньги с банковских счетов. 

Чтобы провести транзакции через подставные интернет-площадки, либо изготовить дубликат магнитной полосы карты, либо списать средства с карты, мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания, утверждает замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов. 

Мошенники есть, проблемы нет
Проблема явно преувеличена, считает эксперт по микроэлектронике Роман Арилин. За 2015 год сумма хищений в интернет-банкинге составила более 2,6 миллиардов рублей, из них 1,9 миллиардов похищено непосредственно у клиентов, 638 миллионов — у банков (данные Group-IB с июня 2014 года по июнь 2015 года). А 2 миллиона рублей, украденных с карт PayPass/ PayWave — это менее 0,1% от этой суммы, пояснил эксперт Zelenograd.ru 

Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При этом мошенники могут перехватить только сервисную информацию, которую можно использовать для изготовления карты с магнитной полосой, рассказал Zelenograd.ru директор по корпоративным коммуникациям «НИИМЭ и завод Микрон» Алексей Дианов, где также выпускают банковские карты с чипами PayPass. 

«Если фальшивую карту затем попытаться использовать в терминале, который допускает использование и магнитной полосы, и чипа, то ничего не выйдет: в таких терминалах приоритет отдается чипу, — объясняет Дианов. — В России практически не осталось аппаратов, которые принимают карты только по магнитной полосе, поэтому для России это не будет большой проблемой». 

Проблема воровства с бесконтактных карт более актуальна для американцев, поскольку в США большинство терминалов считывает только по магнитной полосе карты, продолжает Алексей Дианов. А в России более совершенная система безопасности банковских операций — везде требуется чип и введение PIN-кода, такую карту не удастся обмануть. 

Нужна криптография
Любые бесконтактные устройства априори атаковать легче, чем их контактные аналоги, поскольку к ним не нужно подключаться физически — достаточно подобраться на определенное расстояние и атаковать «по воздуху». Поэтому бесконтактные средства оплаты выглядят «лакомым кусочком» и не удивительно, что они активно атакуются мошенниками, заявили в разговоре с Zelenograd.ru эксперты зеленоградской компании «Анкад», одного из ведущих разработчиков на российском рынке защиты информации. 

«В качестве противодействия должна использоваться сильная криптография, которую вполне реально реализовать на современных пассивных RFID-устройствах, — говорит Сергей Панасенко, замдиректора по науке и системной интеграции фирмы „Анкад“. — Посредством такой криптографии любой терминал должен сперва доказать карте, что он имеет право снимать с нее деньги». 

Подсмотреть приложением Android
Об уязвимости бесконтактных банковских карт PayPass/PayWave уже заявлялось в 2014 году. Тогда эксперты выяснили, что мошенники могут просматривать список совершенных покупок по карте — для этого потребуется смартфон на Android c поддержкой NFC и приложение EMV NFC pay card reader из Google Play. 

При поднесении к смартфону банковской карты на экране отобразится её номер, а также даты и суммы совершенных платежей — так называемый transaction log. Уязвимость характерна только для карт российских банков и предположительно связана с изъянами в настройках безопасности банковских систем. 

Эксперты успокаивают: обладая информацией о номере карты и покупках с неё, невозможно похитить деньги — эти данные для преступников совершенно бесполезны. Кроме того, позаимствовать их можно, только поднеся ридер очень близко к карте, что тоже работает против вора. Если в кошельке его жертвы две и более бесконтактных карты, задача еще больше усложняется.