Подписаться
Читать в телеграм
Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).
Основной «рабочий» инструмент злоумышленников в этом случае – специальные RFID-ридеры. Более того, уже подсчитаны «прибыль» мошенников – 2 млн рублей за 2015 год, тогда как в 2014, по данным наших коллег по рынку ИБ, таким способом с карт россиян не ушло ни рубля. Что это? Новая «дверь» для мошенников, грозящая многомиллионными потерями? И можно ли уже сейчас спрогнозировать размеры потенциального урона?
Начнем с того, что технология бесконтактных платежей с успехом используется различными платежными системами – Mastercard (PayPass), Visa (PayWave), American Express (ExpressPay) и др. И сама технология для банковских карт далеко не нова, это лишь вариант взаимодействия «чиповой» карты с терминальным устройством. Причем, протоколы ИБ и пр. в этом случае практически не отличаются то контактного способа взаимодействия. Разница в удобстве использования (в частности, повышение скорости проведения расчетных операций) и строгих ограничениях на сумму покупки (из-за того, что такие типы операций не подтверждается PIN или подписью на чеке). Поэтому если уж говорить об уязвимостях, то им подвержены все карты, работающие бесконтактно. Есть, конечно, некоторые нюансы и уязвимости, которые характерны только для PayPass, к примеру, или только для PayWave, или др., но это все же частные случаи. Поэтому правильнее говорить о надежности или уязвимости самой технологии бесконтактного платежа.
Авторы
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Статьи по теме
Поделиться
- ВКонтакте
- Telegram
Как оценить, насколько этот вид кибермошенничества опасен для банков и самих граждан? Да, бесконтактный способ передачи данных для чиповых карт отличается более низким уровнем защищенности (все то же отсутствие ввода PIN и личной подписи), но эти риски компенсированы специальными настройками ограничений по таким операциям и правилами оспаривания (диспута) по таким списаниям. По большому счету попытка проведения мошеннических операций по такой схеме имеет относительно невысокие риски для самого владельца карты просто потому, что есть жесткое ограничение на размер суммы операции. ИБ-эксперты также отмечают, что мошенники могут бесконтактно получить номер карты и дату окончания срока ее обслуживания, чего достаточно для проведения трансакций и т.д. Конечно, обладая такими данными, возможно провести платеж в интернете через подставную площадку, но только в том случае, если операция не требует ввода CVV2/CVC2. И это даже может привести к списанию средств. Однако диспутный цикл по таким операциям в международных платежных системах таков, что денежные средства в конечном итоге будут возмещены банком-эсквайром, то есть и сам владелец карты получит нелегитимно выведенные средства назад.
Да и считать карту обычным ридером незаметно не просто: расстояние между картой и терминалом должно быть в среднем несколько сантиметров. Хотя, справедливости ради, стоит отметить, что сконструировать более мощный по дистанции охвата считыватель вполне возможно. Плюс считать данные с PayPass можно гораздо более простым способом, используя обычный смартфон, оснащенный функционалом NFC. И в этом случае троянская программа может оказаться той самой технологией передачи данных о карте, которая находится рядом с зараженным смартфоном. Однако корректная операция по такой карте может быть проведена только с терминала, в который загружены криптографические ключи, выпущенные банком-эквайером. Это значит, что для реализации мошеннической схемы необходимы ключи, которые должны быть либо добыты через сотрудников банка, либо скомпрометированы (а последнее весьма сложно).
Конечно же, сама массовость использования таких карт может привлечь повышенное внимание злоумышленников, но поскольку терминал в конечном счете должен совершать операции через банк-эквайер, то последний, в ходе мониторинга таких операций, может оперативно выявлять неправомерность той или иной операции. И сколько-нибудь существенного (в размерах всей отечественной банковской отрасли) объема такой вид мошенничества в ближайшее время не достигнет. Будет ли эта схема этапом создания более изощрённой схемы? Покажет время, но вероятность не велика.
