Бесконтактному платежу можно верить
Информационная безопасность Информационная безопасность

Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

Главная>Информационная безопасность>Бесконтактному платежу можно верить
Информационная безопасность Тренд

Бесконтактному платежу можно верить

Дата публикации:
29.01.2016
Посетителей:
92
Просмотров:
81
Время просмотра:
2.3

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

 

Основной «рабочий» инструмент злоумышленников в этом случае – специальные RFID-ридеры. Более того, уже подсчитаны «прибыль» мошенников – 2 млн рублей за 2015 год, тогда как в 2014, по данным наших коллег по рынку ИБ, таким способом с карт россиян не ушло ни рубля. Что это? Новая «дверь» для мошенников, грозящая многомиллионными потерями? И можно ли уже сейчас спрогнозировать размеры потенциального урона?

 

Начнем с того, что технология бесконтактных платежей с успехом используется различными платежными системами – Mastercard (PayPass), Visa (PayWave), American Express (ExpressPay) и др. И сама технология для банковских карт далеко не нова, это лишь вариант взаимодействия «чиповой» карты с терминальным устройством. Причем, протоколы ИБ и пр. в этом случае практически не отличаются то контактного способа взаимодействия. Разница в удобстве использования (в частности, повышение скорости проведения расчетных операций) и строгих ограничениях на сумму покупки (из-за того, что такие типы операций не подтверждается PIN или подписью на чеке). Поэтому если уж говорить об уязвимостях, то им подвержены все карты, работающие бесконтактно. Есть, конечно, некоторые нюансы и уязвимости, которые характерны только для PayPass, к примеру, или только для PayWave, или др., но это все же частные случаи. Поэтому правильнее говорить о надежности или уязвимости самой технологии бесконтактного платежа.

Авторы

Как оценить, насколько этот вид кибермошенничества опасен для банков и самих граждан? Да, бесконтактный способ передачи данных для чиповых карт отличается более низким уровнем защищенности (все то же отсутствие ввода PIN и личной подписи), но эти риски компенсированы специальными настройками ограничений по таким операциям и правилами оспаривания (диспута) по таким списаниям. По большому счету попытка проведения мошеннических операций по такой схеме имеет относительно невысокие риски для самого владельца карты просто потому, что есть жесткое ограничение на размер суммы операции. ИБ-эксперты также отмечают, что мошенники могут бесконтактно получить номер карты и дату окончания срока ее обслуживания, чего достаточно для проведения трансакций и т.д. Конечно, обладая такими данными, возможно провести платеж в интернете через подставную площадку, но только в том случае, если операция не требует ввода CVV2/CVC2. И это даже может привести к списанию средств. Однако диспутный цикл по таким операциям в международных платежных системах таков, что денежные средства в конечном итоге будут возмещены банком-эсквайром, то есть и сам владелец карты получит нелегитимно выведенные средства назад.

 

Да и считать карту обычным ридером незаметно не просто: расстояние между картой и терминалом должно быть в среднем несколько сантиметров. Хотя, справедливости ради, стоит отметить, что сконструировать более мощный по дистанции охвата считыватель вполне возможно. Плюс считать данные с PayPass можно гораздо более простым способом, используя обычный смартфон, оснащенный функционалом NFC. И в этом случае троянская программа может оказаться той самой технологией передачи данных о карте, которая находится рядом с зараженным смартфоном. Однако корректная операция по такой карте может быть проведена только с терминала, в который загружены криптографические ключи, выпущенные банком-эквайером. Это значит, что для реализации мошеннической схемы необходимы ключи, которые должны быть либо добыты через сотрудников банка, либо скомпрометированы (а последнее весьма сложно).

 

Конечно же, сама массовость использования таких карт может привлечь повышенное внимание злоумышленников, но поскольку терминал в конечном счете должен совершать операции через банк-эквайер, то последний, в ходе мониторинга таких операций, может оперативно выявлять неправомерность той или иной операции. И сколько-нибудь существенного (в размерах всей отечественной банковской отрасли) объема такой вид мошенничества в ближайшее время не достигнет. Будет ли эта схема этапом создания более изощрённой схемы? Покажет время, но вероятность не велика.

Уведомления об обновлении тем – в вашей почте

Что будет после коронавируса?

Как пандемия COVID-19 повлияла на цифровизацию бизнеса? Почему могут исчезнуть офисные здания? Каким ИТ-направлениям нужно уделять особое внимание в ближайшие годы?

Мониторинг бизнес-приложений: экономим 50 млн рублей в час

Сколько стоит час простоя бизнес-приложений? Что умеют и чего не умеют АРМ-решения? Как пилот может сократить стоимость внедрения?

Воровство SIM-карт ради мошенничества?

Не так давно эксперты стали отмечать участившиеся случаи мошенничества, основанного на замене злоумышленниками sim-карт реальных абонентов по поддельным документам для получения доступа к интернет-банкингу.

Особенности внедрения и использования антифрод-систем в ритейле

Для борьбы с потерями большинство ритейл-компаний применяют исторически хорошо зарекомендовавшие себя традиционные методы: инвентаризации, видеонаблюдение, контрольные закупки/поставки, выборочные сверки отчетности, выборочный аудит транзакций и т.п.

«Пятилетние стратегии меняются на “не провалиться здесь и сейчас”»

Как работать с инновациями во время пандемии? Почему многие компании отказались от пятилетней стратегии развития? Как меняется культура потребления?

Внутреннее мошенничество и каналы ДБО созданы друг для друга?

Мошенничество в каналах дистанционного банковского обслуживания (ДБО) как юридических, так и физических лиц актуально последние 6–7 лет

Обзор. Тренды систем лояльности

Ретроспектива российских программ лояльности. Новые механики и модели поощрения клиента. Последний писк моды на лояльность. Зарубежное или российское ПО? Каким путем идут ритейлеры?

Куда движется российский ритейл

В начале июня прошла Неделя Российского Ритейла. Для нас она стала хорошим поводом сверить свое видение развития этого рынка с мнением коллег и заказчиков. Решая огромный объем операционных задач, ритейлеры одновременно пристально следят за инновациями – именно они первыми внедряют технологические новинки.

Retail loyalty – как быть в тренде

Ритейлерам сегодня нужно обеспечивать дифференцированный уровень обслуживания для разных клиентских сегментов, разрабатывать программы лояльности (в том числе коалиционные), ориентированные на ту или иную целевую аудиторию, при этом полномасштабно присутствовать в онлайне.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал






    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему



      Выберите тему





      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал








        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости








          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору









            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня