© 1995-2021 Компания «Инфосистемы Джет»
Бесконтактному платежу можно верить
Информационная безопасность

Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

Информационная безопасность Тренд

Бесконтактному платежу можно верить

29.01.2016

Посетителей: 52

Просмотров: 48

Время просмотра: 0.4 мин.

Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

 

Основной «рабочий» инструмент злоумышленников в этом случае – специальные RFID-ридеры. Более того, уже подсчитаны «прибыль» мошенников – 2 млн рублей за 2015 год, тогда как в 2014, по данным наших коллег по рынку ИБ, таким способом с карт россиян не ушло ни рубля. Что это? Новая «дверь» для мошенников, грозящая многомиллионными потерями? И можно ли уже сейчас спрогнозировать размеры потенциального урона?

 

Начнем с того, что технология бесконтактных платежей с успехом используется различными платежными системами – Mastercard (PayPass), Visa (PayWave), American Express (ExpressPay) и др. И сама технология для банковских карт далеко не нова, это лишь вариант взаимодействия «чиповой» карты с терминальным устройством. Причем, протоколы ИБ и пр. в этом случае практически не отличаются то контактного способа взаимодействия. Разница в удобстве использования (в частности, повышение скорости проведения расчетных операций) и строгих ограничениях на сумму покупки (из-за того, что такие типы операций не подтверждается PIN или подписью на чеке). Поэтому если уж говорить об уязвимостях, то им подвержены все карты, работающие бесконтактно. Есть, конечно, некоторые нюансы и уязвимости, которые характерны только для PayPass, к примеру, или только для PayWave, или др., но это все же частные случаи. Поэтому правильнее говорить о надежности или уязвимости самой технологии бесконтактного платежа.

Как оценить, насколько этот вид кибермошенничества опасен для банков и самих граждан? Да, бесконтактный способ передачи данных для чиповых карт отличается более низким уровнем защищенности (все то же отсутствие ввода PIN и личной подписи), но эти риски компенсированы специальными настройками ограничений по таким операциям и правилами оспаривания (диспута) по таким списаниям. По большому счету попытка проведения мошеннических операций по такой схеме имеет относительно невысокие риски для самого владельца карты просто потому, что есть жесткое ограничение на размер суммы операции. ИБ-эксперты также отмечают, что мошенники могут бесконтактно получить номер карты и дату окончания срока ее обслуживания, чего достаточно для проведения трансакций и т.д. Конечно, обладая такими данными, возможно провести платеж в интернете через подставную площадку, но только в том случае, если операция не требует ввода CVV2/CVC2. И это даже может привести к списанию средств. Однако диспутный цикл по таким операциям в международных платежных системах таков, что денежные средства в конечном итоге будут возмещены банком-эсквайром, то есть и сам владелец карты получит нелегитимно выведенные средства назад.

 

Да и считать карту обычным ридером незаметно не просто: расстояние между картой и терминалом должно быть в среднем несколько сантиметров. Хотя, справедливости ради, стоит отметить, что сконструировать более мощный по дистанции охвата считыватель вполне возможно. Плюс считать данные с PayPass можно гораздо более простым способом, используя обычный смартфон, оснащенный функционалом NFC. И в этом случае троянская программа может оказаться той самой технологией передачи данных о карте, которая находится рядом с зараженным смартфоном. Однако корректная операция по такой карте может быть проведена только с терминала, в который загружены криптографические ключи, выпущенные банком-эквайером. Это значит, что для реализации мошеннической схемы необходимы ключи, которые должны быть либо добыты через сотрудников банка, либо скомпрометированы (а последнее весьма сложно).

 

Конечно же, сама массовость использования таких карт может привлечь повышенное внимание злоумышленников, но поскольку терминал в конечном счете должен совершать операции через банк-эквайер, то последний, в ходе мониторинга таких операций, может оперативно выявлять неправомерность той или иной операции. И сколько-нибудь существенного (в размерах всей отечественной банковской отрасли) объема такой вид мошенничества в ближайшее время не достигнет. Будет ли эта схема этапом создания более изощрённой схемы? Покажет время, но вероятность не велика.

Уведомления об обновлении тем – в вашей почте

Особенности инфраструктурных решений для интернет-магазинов

Все большие объемы продаж ритейлеров идут через средства электронной коммерции, и основной канал – это, конечно, интернет-магазины. При таком росте увеличивается и критичность предоставления сервисов, а значит, усложняется структура подобных комплексов.

Системы Business Assurance как средство борьбы с фродом

Как известно, аббревиатура АСУ ТП расшифровывается как «Автоматизированная система управления технологическими процессами». Нужно подчеркнуть, что автоматизированная не означает автоматическая.

Оленеводы в пределах Садового кольца

Стремительное развитие российского ритейла характеризуется автоматизацией кас-совых операций, операций ценообразования и логистики, развитием области кредитования и функций платежных агентов

Просканировать потребительскую корзину

Путешествие Джети подходило к концу, пора было возвращаться в родной город

Как реализовать омниканальную аналитику

Сегодня взаимоотношения ритейлеров с клиентами имеют несколько ключевых характеристик. Во-первых, последовательность действий каждого представителя целевой аудитории при ознакомлении с товаром/брендом носит не линейный, а циклический характер.

Самые значимые ИТ- и ИБ-проекты 2016 года

Банковское обозрение отметило три проекта, реализованных в финансовой сфере компанией «Инфосистемой Джет» в 2016 году

Антифрод-команда и мошенники разыгрывают классический «киношный» сюжет

В остросюжетном кино популярна ситуация, когда преступная группировка и служба безопасности крупного предприятия или банка одновременно продумывают, каждая со своей стороны, способы ограбления и защиты материально-финансовых ресурсов этой организации. И это соревнование идет на всем протяжении фильма.

«Ритейл — очень “физическая” отрасль, поэтому некоторые процессы сложно представить в цифре»

Как е-commerce и retail tech стали для розницы обыденностью и нормой гигиены? В чем разница между цифровым и инновационным ритейлером? Ключевые особенности работы с инновациями в эпоху пандемии?

Личные кабинеты уже не личные? О предотвращении угона данных, баллов и денег

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня