2019/12/29 11:10:56

Безопасность бесконтактных платежей

.

Содержание

Основная статья: Бесконтактные NFC-платежи

2019: Обнаружен новый способ кражи денег с бесконтактных карт Visa

Эксперты по кибербезопасности из компании Positive Technologies рассказали в июле 2019 года об уязвимости, эксплуатация которой позволяет злоумышленникам обойти ограничение на списание крупных сумм бесконтактным способом с карт Visa.

Обычно бесконтактные карты не позволяют провести оплату большой суммы без PIN-кода. Например, пользователям в Великобритании необходимо вводить PIN-код при покупке от £30 (примерно 2300 рублей). Если преступники украдут карту и попытаются провести несколько транзакций на большие суммы, то банк заблокирует карту.

По словам экспертов из Positive Technologies, существует два способа обойти это ограничение. В первом случае они воспользовались аппаратом для перехвата и замены сообщений в канале связи между картой и считывающим устройством. С его помощью на карту посылался ложный сигнал о списании суммы менее £30, а на терминал — сообщение о верификации, проведенной другим способом. Данная уязвимость затрагивает только карты Visa, поскольку в других платежных системах большие транзакции подтверждаются только PIN-кодом.Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг

Во втором варианте исследователи использовали два мобильных телефона. Один телефон собирал с карты так называемую криптограмму платежа, гарантирующую подлинность будущих транзакций. Второй — принимал криптограмму и имитировал карту.

Компания Visa не планирует принимать меры по пресечению данных видов мошенничества. По мнению компании, для осуществления махинации злоумышленникам необходимо иметь карту на руках, а такое редко случается. Однако исследователи не согласны с тем, что карту нужно обязательно красть. Как показали результаты эксперимента, злоумышленнику достаточно ненадолго подобраться близко к карте жертвы и считать платеж.

2017: В ЦБ рассказали о бесконтактных кражах с платежных карт

Эксперты Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ рассказали в сентябре 2017 года о данных карт, которые интересуют злоумышленников при бесконтактных кражах. Об этом в четверг, 28 сентября, сообщает Rambler News Service со ссылкой на материалы ФинЦЕРТ.

Подтвержденных сведений об успешном создании в России дубликатов платежных карт пока нет, отмечают в центре. Целями краж становятся данные о типе используемого платежного приложения, срок действия карты, имя держателя карты, PAN (Primary Account Number, основной номер карты), история операций, количество оставшихся попыток ввода PIN-кода.

Кроме того, возможно отдельное хищение Track 2 магнитной полосы платежной карты.

Наиболее популярными способами краж остаются скимминг, при котором информация о банковской карте крадется с помощью специального устройства, разновидность скимминга — шимминг и Black Box (взлом и установка в банкоматы вредоносного программного обеспечения).

2015: Защищенные модули SE и HCE

Безопасность такого рода операций осуществляется при помощи защищенного модуля (SE) – устойчивого к взлому чипa, который обеспечивает защищенное хранилище, совершение платежных операций и хранение конфиденциальных данных. Такой чип сохраняет информацию, управляет защитой и обеспечивает экран (Firewall) между приложениями NFC и другими модулями телефона[1].

При использовании технологии Host Card Emulation (HCE), позволяющей эмулировать банковскую карту на телефоне или планшете, защищенный модуль является виртуальным и находится в облаке.

HCE имеет открытую архитектуру, что позволяет эмулировать не только банковские карты, но и карты программ лояльности, транспортные карты, пропуска и т. д. Технология позволяет заметно ускорить процесс внедрения платежных NFC-сервисов, так как отпадает необходимость в координации и согласовании действий с производителями телефонов, кроме того, решаются многие проблемы совместимости.

Технологии SE и HCE значительно различаются, при этом каждая обладает как преимуществами, так и недостатками. HCE позволяет не только совершать платежи на физических POS-терминалах, как SE, но и осуществлять интернет-транзакции на сайтах и в приложениях, однако она более уязвима к вредоносному ПО и критична к наличию интернет-соединения.

Таким образом, защищенный модуль может быть встроен в следующие элементы:

  • карта SD – карта памяти, которая может быть вставлена в некоторые телефоны, как дополнение к уже имеющимся функциям SE/NFC;
  • внешнее устройство – в этом случае наклейка или подключаемое к телефону устройство дает возможность использовать SE/NFC;
  • встроенное устройство – в некоторые телефоны уже встроен модуль SE/NFC;
  • SIM – добавление функции NFC в идентификационный модуль абонента;
  • облако – программный подход, который отвязывает защищенный элемент от устройства.

2012: Технология NFC – новая эра угроз безопасности

28 июня 2012 года корпорация Symantec сообщила о новом виде потенциальных угроз. Появление новой технологии NFC, которая обеспечивает беспроводный обмен данными, положило началу появлению новых мобильных приложений на ее базе, которые могут быть потенциально опасны. Приложение Android.Ecardgrabber способно считать номер пластиковой карты, срок ее действия, а также номер банковского счета пользователя.

Немецкий исследователь в области безопасности выпустил на сервисе Google Play приложение Android, способное считывать данные ограниченного количества бесконтактных пластиковых карт по радиоинтерфейсу. Бесконтактные пластиковые карты обычно используются для транзакций на суммы менее 10 евро без ввода пин-кода – необходимо просто поднести карту к точке на терминале продаж.

Приложение Android, зарегистрированное компанией Symantec под именем Android.Ecardgrabber, производит попытку считывания данных с помощью протокола связи NFC (англ. Near Field Communication, стандарт ближней связи) — технологии, реализованной на новейших моделях смартфонов. Приложение было размещено на сервисе Google Play 13 июня 2012 года. До удаления его успело скачать от 100 до 500 пользователей.

Платежные системы и сервисы



Примечания