© 1995-2022 Компания «Инфосистемы Джет»
Бесконтактному платежу можно верить
Информационная безопасность Информационная безопасность

Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

Главная>Информационная безопасность>Бесконтактному платежу можно верить
Информационная безопасность Тренд

Бесконтактному платежу можно верить

29.01.2016

Посетителей: 72

Просмотров: 63

Время просмотра: 1.2 мин.

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

 

Основной «рабочий» инструмент злоумышленников в этом случае – специальные RFID-ридеры. Более того, уже подсчитаны «прибыль» мошенников – 2 млн рублей за 2015 год, тогда как в 2014, по данным наших коллег по рынку ИБ, таким способом с карт россиян не ушло ни рубля. Что это? Новая «дверь» для мошенников, грозящая многомиллионными потерями? И можно ли уже сейчас спрогнозировать размеры потенциального урона?

 

Начнем с того, что технология бесконтактных платежей с успехом используется различными платежными системами – Mastercard (PayPass), Visa (PayWave), American Express (ExpressPay) и др. И сама технология для банковских карт далеко не нова, это лишь вариант взаимодействия «чиповой» карты с терминальным устройством. Причем, протоколы ИБ и пр. в этом случае практически не отличаются то контактного способа взаимодействия. Разница в удобстве использования (в частности, повышение скорости проведения расчетных операций) и строгих ограничениях на сумму покупки (из-за того, что такие типы операций не подтверждается PIN или подписью на чеке). Поэтому если уж говорить об уязвимостях, то им подвержены все карты, работающие бесконтактно. Есть, конечно, некоторые нюансы и уязвимости, которые характерны только для PayPass, к примеру, или только для PayWave, или др., но это все же частные случаи. Поэтому правильнее говорить о надежности или уязвимости самой технологии бесконтактного платежа.

Как оценить, насколько этот вид кибермошенничества опасен для банков и самих граждан? Да, бесконтактный способ передачи данных для чиповых карт отличается более низким уровнем защищенности (все то же отсутствие ввода PIN и личной подписи), но эти риски компенсированы специальными настройками ограничений по таким операциям и правилами оспаривания (диспута) по таким списаниям. По большому счету попытка проведения мошеннических операций по такой схеме имеет относительно невысокие риски для самого владельца карты просто потому, что есть жесткое ограничение на размер суммы операции. ИБ-эксперты также отмечают, что мошенники могут бесконтактно получить номер карты и дату окончания срока ее обслуживания, чего достаточно для проведения трансакций и т.д. Конечно, обладая такими данными, возможно провести платеж в интернете через подставную площадку, но только в том случае, если операция не требует ввода CVV2/CVC2. И это даже может привести к списанию средств. Однако диспутный цикл по таким операциям в международных платежных системах таков, что денежные средства в конечном итоге будут возмещены банком-эсквайром, то есть и сам владелец карты получит нелегитимно выведенные средства назад.

 

Да и считать карту обычным ридером незаметно не просто: расстояние между картой и терминалом должно быть в среднем несколько сантиметров. Хотя, справедливости ради, стоит отметить, что сконструировать более мощный по дистанции охвата считыватель вполне возможно. Плюс считать данные с PayPass можно гораздо более простым способом, используя обычный смартфон, оснащенный функционалом NFC. И в этом случае троянская программа может оказаться той самой технологией передачи данных о карте, которая находится рядом с зараженным смартфоном. Однако корректная операция по такой карте может быть проведена только с терминала, в который загружены криптографические ключи, выпущенные банком-эквайером. Это значит, что для реализации мошеннической схемы необходимы ключи, которые должны быть либо добыты через сотрудников банка, либо скомпрометированы (а последнее весьма сложно).

 

Конечно же, сама массовость использования таких карт может привлечь повышенное внимание злоумышленников, но поскольку терминал в конечном счете должен совершать операции через банк-эквайер, то последний, в ходе мониторинга таких операций, может оперативно выявлять неправомерность той или иной операции. И сколько-нибудь существенного (в размерах всей отечественной банковской отрасли) объема такой вид мошенничества в ближайшее время не достигнет. Будет ли эта схема этапом создания более изощрённой схемы? Покажет время, но вероятность не велика.

Уведомления об обновлении тем – в вашей почте

Особенности инфраструктурных решений для интернет-магазинов

Все большие объемы продаж ритейлеров идут через средства электронной коммерции, и основной канал – это, конечно, интернет-магазины. При таком росте увеличивается и критичность предоставления сервисов, а значит, усложняется структура подобных комплексов.

Защита систем дистанционного банковского обслуживания на базе решения Oracle Adaptive Access Manager

Информатизация практически всех банковских услуг и консолидация управления счетами в одном бизнес-приложении, доступ к которому осуществляется через интернет, определили рост объемов операций, совершаемых через сервисы удаленного обслуживания. При этом критичным фактором защищенности операций ДБО стал показатель безопасности среды выполнения платежных транзакций.

Одинаково разное мошенничество

Мошенничество многолико – оно принимает различные формы в зависимости от компании, в которой имеет место

Рабочая лошадка современного антифрода

Банк, 2016 год. Облачные технологии стали популярны 5 лет назад, распределенные вычисления – 7, а облачный антифрод, стартовавший на тех же временных рубежах, только сейчас выходит на уровень реально работающих решений для защиты ресурсов и технологий от атак третьих лиц.

«Пятилетние стратегии меняются на “не провалиться здесь и сейчас”»

Как работать с инновациями во время пандемии? Почему многие компании отказались от пятилетней стратегии развития? Как меняется культура потребления?

Анонимная лояльность: как оптимизировать затраты на программу лояльности, увеличив ее эффективность

Как работает анонимная лояльность? Почему у первопроходцев возникнут проблемы? Как заказчики оценили прототип нашего решения?

Внедрение антифрод-решения – взгляд менеджера проекта

Любой проект сопряжен с рисками, с этим вряд ли кто-то поспорит. И так же мало разногласий возникнет относительно того, что с рисками надо работать для минимизации их влияния на ход и результат проекта.

Мобильная коммерция

Все, к чему сегодня притрагиваются миллениалы, имеет большой потенциал стать золотой жилой – начиная с технологий и заканчивая популярной музыкой. Это особенно актуально, если мы говорим об омниканальном ритейле.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня