Можно ли украсть деньги с чужой карты с помощью беспроводного терминала

Человек с терминалом, или Снова про бесконтактные платежи

Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?

Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?

Незаметное считывание

Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…

Преступники научились похищать деньги с карт при помощи смартфонов с поддержкой NFC или самодельных терминалов: https://t.co/mniTlYdWu6

— Kaspersky Lab (@Kaspersky_ru) January 26, 2016

…При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см. Набор, правда, включал в себя рюкзак и тележку из супермаркета, в котором, собственно, и проводился опыт. В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.

Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит. При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции. Очень хлопотный и неудобный способ, но вроде как реалистичный.

Пока Apple Pay воюет за место под ритейловым солнцем, в Чили взломали платежную систему на базе NFC: https://t.co/RypZavxCnD

— Kaspersky Lab (@Kaspersky_ru) October 31, 2014

Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.

Данные…

Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях. Маловато для чего-то серьезного? В целом скорее да. Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.

Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.

Безопасны ли бесконтактные платежи и можно ли украсть деньги с соответствующих карточек: https://t.co/7o4giKbQle pic..com/wVJdxpqD00

— Kaspersky Lab (@Kaspersky_ru) August 18, 2015

Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.

…или деньги?

Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.

Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.

Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.

Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.

Тут, однако, начинается серая зона.

Что, если…

  • Хозяин карты недостаточно внимательно читал пункт договора, в котором написано, что те самые мини-транзакции «до 1000 руб.» опротестованию не подлежат? (Ни разу сам не видел, но, говорят, бывает.)
  • Время опротестования мини-транзакций заметно меньше, чем у более крупных платежей, а клиент вовремя не заметил SMS от банка?
  • Терминал зарегистрирован на поддельную фирму, записанную на чужие данные? Кража паспортов — не такое уж редкое явление, особенно с учетом того, что биометрические документы пока еще распространены отнюдь не повсеместно.

Отличная статья на РБК про то, как вернуть украденные с банковской карты деньги: https://t.co/kdbGGC9txg pic..com/xV5oUUVBfd

— Kaspersky Lab (@Kaspersky_ru) June 10, 2015

При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.

Читайте также:  Можно ли снять весь лимит с кредитной карты

Что касается фирм, зарегистрированных на чужое имя, то, мне кажется, подобного рода мошенничество организуется ради гораздо более серьезных операций, нежели попытка увести с чужих карт несколько десятков тысяч рублей, которые попросту не окупят криминальные вложения.

Пять уроков, которые стоит извлечь из взлома кредитной карты: https://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется «пластиком».

— Kaspersky Lab (@Kaspersky_ru) November 12, 2014

Ах да, есть еще вариант с незадачливым курьером, потерявшим терминал. Но он не для преступников: вывести деньги со счета фирмы, на которую зарегистрирован терминал, можно только, например, взломав электронный банк. И зачем тогда, спрашивается, вообще красть терминал?

Что делать-то?

Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.

Вот что я решил для себя:

  • хранить бесконтактные карточки в контролируемой зоне в одежде на груди. Не рядом с телефоном;
  • несмотря на отсутствие прямой и непосредственной угрозы, рассмотреть вопрос об экранированном хранилище;
  • сохранять чеки при пользовании картой. При опротестовании жульнической транзакции наличие чеков по платежам за период, в который все и произошло, может, по крайней мере по словам банковских сотрудников поддержки, помочь в расследовании и снизить шансы на то, что деньги пропадут безвозвратно;
  • регулярно убеждаться, что с защитными решениями на всех моих устройствах все в порядке и они регулярно обновляются. Их наличие даже не обсуждается. Я выбрал Kaspersky Total Security для всех устройств — в нем есть специальный компонент для защиты электронных платежей, им можно управлять из облака, а в случае кражи моего телефона с NFC можно этот самый телефон заблокировать. Кроме того, среди мобильных троянцев есть куда более неприятные экземпляры, особенно для тех, кто, как я, активно пользуется электронным банкингом, и Kaspersky Internet Security их успешно ловит.

Источник

Можно ли украсть деньги с чужой карты с помощью беспроводного терминала

Статьи редакции

8 февраля сотрудник «Лаборатории Касперского» Олег Горобец рассказал на Фейсбуке, что встретил в метро подозрительного мужчину. По мнению Горобца, злоумышленник снимал деньги у пассажиров с помощью беспроводного терминала через одежду и стенки сумок.

Только что встретил мужика, вооружённого вот этим в поезде метро. Ага, без палева так. Был взволнован. Ещё один резон хранить карты PayPass в безопасном месте, лучше экранированном.

Олег Горобец, глава отдела позиционирования технологий «Лаборатории Касперского»

Фото Олега Горобца

В комментариях к записи другие пользователи отметили, что Горобец мог встретить курьера, едущего на вызов. Однако не все согласились с этой версией, подчеркнув, что на снимке устройство явно находится «в боевой готовности».

Сам Горобец пояснил, что с помощью технологии PayPass с пластиковой карточки можно снять до 1000 рублей без пин-кода, просто «потеревшись о её владельца в метро».

В качестве решения проблемы комментаторы предложили носить карты в экранированных футлярах из металла или хотя бы в грудном кармане — так, чтобы потенциальный мошенник не смог провернуть операцию незаметно.

В разговоре с TJ сотрудник крупного российского банка усомнился в действенности этой схемы.

Снять деньги так можно, это несложно. Гораздо сложнее их вывести. Платёжные терминалы переводят деньги на банковский счёт, обычно оформленный на юридическое лицо. Соответственно, после выявленного факта мошенничества счёт будет заблокирован и арестован.

Открыть счёт можно только по оригинальному паспорту. Скан и копии не подойдут. Это как грабить людей на улице и каждой жертве показывать свои документы.

Павел Сукач, сотрудник банка

Сотрудник платёжной системы Wooppay пояснил, что с возвратом украденных средств в таком случае могут возникнуть сложности.

Считать [данные карты таким образом] возможно, есть много примеров, когда через RFID [радиочастотная идентификация — TJ] воровали деньги. В банк надо обязательно заявить о факте мошенничества, так как можно ещё и магнитную ленту украсть. Нужно срочно поменять карту.

А насчёт возврата вопрос сложный, так как обычно, те, кто берёт в банке карты с возможностью беспроводной оплаты через RFID, ставят подпись под тем, что все транзакции без ввода PIN идут под их ответственность. Договор надо смотреть и банк заявить.

сотрудник платёжной системы Wooppay

{ «_name»: «Вадим Елистратов», «_type»: «self», «»: [], «s»: 90, «likes»: 139, «favorites»: 12, «is_advertisement»: false, «subsite_label»: «flood», «id»: 22625, «is_wide»: false, «is_ugc»: true, «»: «Mon, 08 Feb 2016 16:31:06 +0300», «is_special»: false }

Еженедельная рассылка

Одно письмо с лучшим за неделю

Проверьте почту

Отправили письмо для подтверждения

Источник

Как мошенники могут украсть деньги с банковской карты, пользуюсь мобильными терминалами бесконтактной оплаты. Проверил лично.

Сейчас подавляющее большинство пластиковых банковских карт снабжены функцией бесконтактной оплаты NFC. И с помощью такой карты можно производить платежи до 3000 рублей(ранее только до 1000) без подтверждения пин-кодом. При этом, саму карту не обязательно вставлять в гнездо терминала оплаты, если терминал тоже снабжён функцией NFC, а достаточно поднести карту к терминалу на близкое расстояние (примерно 3 сантиметра).

Наверное, многие из вас слышали, что иметь банковскую карту с системой бесконтактной оплаты, в виду этого, не совсем безопасно. Что есть такой вид мошенников, которые в людных местах, а особенно в метро в час пик, похищают небольшие суммы денег с банковских карт, снабженных функцией бесконтактной оплаты. Мошенники делают это при помощи мобильного терминала приема платежей, незаметно его прикладывая к местам, где обычно граждане носят карты(сумки, задние карманы, рюкзаки и тд). Граждане у которых произошло списание денег с карты в суете и толчее даже не замечают этого, тем более если отключено СМС информирование о платежах. А если в последствии и обнаружат списание небольшой суммы, то не придают этому значения, или ленятся обращаться в банк за разъяснением.

Читайте также:  Можно ли поменять пин код на сбербанковской карте

Конечно купить терминал оплаты можно без особых проблем(стоимость нового терминала около 30.000 рублей), но чтобы начать им пользоваться его надо зарегистрировать и подключить в банке, а для этого надо быть как минимум ИП -Индивидуальным предпринимателем или ООО, простым физическим лицам регистрация терминала недоступна.

Гос пошлина за регистрацию ИП сейчас 800 рублей. Многие крупные банки предоставляют услугу мобильного эквайринга-(возможность для торгового предприятия принимать безналичную оплату за товары и услуги) и дают терминал оплаты в аренду для ИП абсолютно бесплатно, банки только берут себе комиссию с платежа, проведенного через терминал — около 3%. Так что стать обладателем мобильного терминала оплаты можно всего за 800 рублей. Для того, что бы не вызвать подозрение в банке, можно зарегистрировать ИП с видом деятельности, как выездная торговля.Так как такие терминалы не привязаны к определенному месту, то воспользоваться им можно всюду, где есть интернет и мобильная связь, так что на станциях метро терминалы будут работать без каких либо проблем.

Теперь проведем полевые испытания.

Для тех, кто никогда не платил за товары при помощи бесконтактной банковской карты и мобильного терминала приема платежей, кратко опишу принцип работы. Кассир набирает на терминале необходимую сумму и нажимает зеленую клавишу «Еnter» покупатель просто подносит или прикладывает карту к монитору терминала на время не более 1-2х секунд. все! оплата пошла! От покупателя ни требуется больше никаких действий!

Так как я сам ИП и имею в наличии такой терминал, провести испытания будет несложно. Только буду я их проводить у себя дома — в 4 километрах от места моей работы, на своих карманах и сумочке жены. Даже и рассматривать не буду проведение такого эксперимента на незнакомых людях, так как он попадает под реально уголовное преступление.

Я буду списывать суммы по 10 рублей, поочередно поднося терминал к экспериментальным местам с картой.

Эксперимент №1 Карта в заднем кармане джинсов.

Эксперимент №2 Карта в бумажнике в заднем кармане.

Эксперимент №3 Карта в сумочке в верхнем кармане.

Эксперимент №4 Карта глубоко в сумочке.

Во всех 4 случаях расстояние от карты до терминала будет не более 4 сантиметров, на более дальних расстояниях мой терминал не считывает карту.

Итог экспериментов:

Терминал находясь в 4 километрах от места первоначальность установки без проблем установил коннект с банком.

Все 4 эксперимента дали положительный результат!!! во всех случаях деньги были списаны с карты!И по итогом эксперимента становится понятно, что воспользоваться терминалом оплаты для мошеннических действий не составляет особых проблем и может оказаться суровой реальностью!

И не исключено то, что мошенники могут модифицировать электронную схему терминала для усиления сигнала, таким образом, что максимальное расстояние, необходим для считывания с карты, значительно увеличивается, к пример с 4 сантиметров до 8, что практически даст неограниченный доступ мошенникам к картам в людных местах!

В любом случае, лично для себя, я всё таки решил отключить функцию бесконтактной оплаты NFC механическим путем.

Как это можно сделать, читайте в этой статье Отключить бесконтактную оплату пластиковой карты можно!

Жмите палец вверх ???? если вы хотите, чтобы эту статью прочитали и другие читатели!

Источник

Мошенники с банковскими терминалами могут украсть деньги с моей карты?

Расскажите, как защищаться от мошенников, которые могут бесконтактно провести операцию через пэйпасс, просто приложив терминал к моему кошельку? Боюсь носить с собой карту.

Заранее благодарю за ответ.

С уважением,

Екатерина

Несмотря на то что такая кража теоретически возможна, я еще ни разу не слышал об уголовном деле, возбужденном по такому факту.

Дмитрий Сергеев

специалист по безопасности

Действительно, в сети часто появляются фотографии людей в метро с терминалами бесконтактной оплаты в руках. Но вот сообщений граждан, у которых таким образом сняли деньги, я не встречал.

Что за кражи вообще

Вероятно, единичные случаи подобных преступных посягательств действительно случались. В 2017 году об этом писали на сайте Центрального банка.

Из сообщения Центробанка можно сделать следующие выводы:

  1. Украсть деньги преступникам не удалось.
  2. Устройство, которое они использовали, попало к специалистам для исследования.
  3. Данные с карты считались, но автоматически деньги не списали.
  4. Копирование карты также не произошло. Это в принципе невозможно.

Точной информации о том, какое именно устройство использовалось и каким способом, в сообщении ЦБ нет. Это обычная практика: службы безопасности не разглашают информацию, которая может помочь преступникам.

Мы не можем утверждать, что речь идет именно о снятии денег с карты посредством платежного терминала в метро. Возможно, мошенники использовали скиммер — устройство для копирования магнитной полосы на карте — либо накладную клавиатуру для банкомата, чтобы считать пин клиента.

Также мне не удалось найти в ГАС «Правосудие» информацию о приговорах по ст. 158 ч. 3 п. «г» УК РФ — именно под ее действие попадает кража денежных средств с банковской карточки. Это не означает, что таких приговоров не существует: уголовное дело может находиться на стадии расследования, рассмотрения в суде либо информацию о приговоре на момент написания статьи просто не успели внести в систему.

Читайте также:  Можно ли через интернет узнать сколько на карте

Почему кража через пэйпасс маловероятна

На практике преступник столкнется с рядом проблем.

Основным препятствием для него станет необходимость показать свои данные банку, через который будет проводиться платеж.

Допустим, карманник в метро вытаскивает у гражданина из кармана наличность. Посредников между ними нет, отследить платежи по похищенным купюрам технически невозможно.

С карточкой все не так просто. Между жертвой и преступником появляется даже не один банк, а два. Один оформил карточку потерпевшему, а второй предоставляет услуги эквайринга для приема платежей через карты.

Ни один банк не предоставляет услуги эквайринга анонимам. С получателем денег всегда подписывают договор, в котором указаны его полные данные. После этого теряется смысл преступления: получатель известен всегда. Стоит потерпевшему обратиться в правоохранительные органы — банк получит право заблокировать доступ преступника к счету. Преступники могут оформить фирму на подставное лицо или приобрести терминал, оформленный на подставную фирму, но не факт, что они успеют вывести деньги раньше, чем заблокируют счет.

Если носить только наличные, это защитит меня?

Нет, не защитит. Карманники существуют не одну сотню лет и кошельки с поясов горожан начали срезать как раз в то время, когда появились первые монеты. Абсолютных гарантий безопасности не сможет дать никто.

Чаще всего деньги с карты уходят в руки преступников только по одной причине: владелец карты сам передает в руки преступников CVV-код и коды из смс, необходимые для перевода денег.

Даже при наличии в карте чипа, допускающего бесконтактную оплату, деньги на банковском счете защищены лучше, чем наличность в кошельке.

Зачем тогда банки отменили ввод пина при платежах до тысячи рублей? Банки заодно с ворами?

Банку нужно, чтобы деньги клиентов были в безопасности. Иначе клиенты просто не будут их там хранить и банк не сможет на них зарабатывать. Мошенники, как правило, деньги на счетах не хранят, а переводят в наличность.

Государству это тоже невыгодно: украденные деньги в экономику не вложат.

В любом случае деньги на карте защищены лучше, чем наличность в кошельке. Если кошелек вытащат из кармана — преступники смогут потратить все, что там есть, а отследить траты и поймать преступников будет очень сложно.

При любой операции по карточке можно отследить платеж и даже попытаться оспорить его — хотя гарантий возврата денег банк не дает, это зависит от многих факторов.

Как защищаться и что делать?

В некоторых статьях в интернете рекомендуют заворачивать карточку в пищевую фольгу. Не знаю, чем руководствуются авторы солидных изданий, советующие читателям подобный бред. Я лично опробовал этот способ и могу сказать: карта терминалами не считывается, но от регулярного разворачивания фольга быстро разрушается, а рассыпавшаяся фольга оставит карту без защиты. Так делать не нужно.

Вас защитит не фольга, а разумная осторожность и ФЗ «О национальной платежной системе». В нем сказано, что в случае совершения несанкционированной операции по переводу денег нужно как можно скорее заблокировать карту и написать заявление в банк о несогласии с проведенной операцией.

Банк обязан рассмотреть это заявление в течение 30 дней.

Если снятие произошло без ведома держателя карты — банку придется вернуть деньги.

А если клиент нарушил правила использования карточки — например, передал пин или CVV-код третьим лицам, хранил записку с пином в кошельке, написал код на самой карточке или на соседском заборе, — банк не обязан ничего возвращать. Но только если докажет, что клиент сам виноват.

Вот пример: апелляционное определение Верховного суда Республики Саха (Якутия). В 2013 году женщина пыталась воспользоваться банкоматом, но не смогла, а средства с ее счета списали без ведома хозяйки. В ходе разбирательства было установлено, что списание произошло в результате действий третьих лиц, получивших доступ к данным кредитной карты, но эти лица так и не были найдены. Так написано в тексте определения. То есть это не банковский сбой, не ошибка оборудования и не «съевший» деньги банкомат. Это сделали люди, и никто этот факт не оспаривал — ни банк, ни потерпевшая, ни суд.

Хозяйка карты потребовала от банка вернуть списанные деньги и оплатить моральный ущерб. Банк не смог доказать, что женщина нарушила правила использования карточки, — и по решению суда вернул ей деньги.

Но не нужно думать, что так будет со всеми и всегда. В России нет прецедентного права, каждый случай рассматривается индивидуально — сначала банком, а впоследствии, возможно, и судом. И решение всегда будет индивидуальным, в зависимости от конкретной ситуации.

Мои рекомендации:

  1. Заворачивать карточку в фольгу не нужно.
  2. Никому и никогда не говорите CVV-код, пин и коды, которые приходят к вам по смс.
  3. Носите кошелек с карточкой в нагрудном кармане одежды: так вы можете контролировать тех, кто подходит к вам с терминалом оплаты.
  4. Постарайтесь разместить карточку в глубине сумки. Терминал бесконтактной оплаты сработает на расстоянии не более двух сантиметров — размеров средней женской сумочки может оказаться достаточно для защиты от несанкционированного снятия денег.
  5. Если есть возможность, пользуйтесь для оплаты смартфоном или смарт-часами.
  6. Обеспечить сохранность реквизитов карточного счета — обязанность владельца счета, а не банка.
  7. Закон на вашей стороне: он позволяет оспорить операцию по карте, если есть достаточно доказательств.
  8. На возврат денег можно рассчитывать только в том случае, если вы соблюдаете все требования безопасности.

Если у вас есть вопрос о личных финансах, правах и законах, здоровье или образовании, пишите. На самые интересные вопросы ответят эксперты журнала.

Источник