Можно ли украсть деньги с карты с чипом

Правда или миф: можно ли украсть деньги с карты при помощи NFC?

Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?

Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?

Незаметное считывание

Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…

Преступники научились похищать деньги с карт при помощи смартфонов с поддержкой NFC или самодельных терминалов: https://t.co/mniTlYdWu6

— Kaspersky Lab (@Kaspersky_ru) January 26, 2016

…При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см. Набор, правда, включал в себя рюкзак и тележку из супермаркета, в котором, собственно, и проводился опыт. В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.

Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит. При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции. Очень хлопотный и неудобный способ, но вроде как реалистичный.

Пока Apple Pay воюет за место под ритейловым солнцем, в Чили взломали платежную систему на базе NFC: https://t.co/RypZavxCnD

— Kaspersky Lab (@Kaspersky_ru) October 31, 2014

Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.

Данные…

Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях. Маловато для чего-то серьезного? В целом скорее да. Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.

Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.

Безопасны ли бесконтактные платежи и можно ли украсть деньги с соответствующих карточек: https://t.co/7o4giKbQle pic.twitter.com/wVJdxpqD00

— Kaspersky Lab (@Kaspersky_ru) August 18, 2015

Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.

…или деньги?

Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.

Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.

Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.

Читайте также:  Можно ли на ночь гадать на картах

Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
Тут, однако, начинается серая зона.

Что, если…

  • Хозяин карты недостаточно внимательно читал пункт договора, в котором написано, что те самые мини-транзакции «до 1000 руб.» опротестованию не подлежат? (Ни разу сам не видел, но, говорят, бывает.)
  • Время опротестования мини-транзакций заметно меньше, чем у более крупных платежей, а клиент вовремя не заметил SMS от банка?
  • Терминал зарегистрирован на поддельную фирму, записанную на чужие данные? Кража паспортов — не такое уж редкое явление, особенно с учетом того, что биометрические документы пока еще распространены отнюдь не повсеместно.

Отличная статья на РБК про то, как вернуть украденные с банковской карты деньги: https://t.co/kdbGGC9txg pic.twitter.com/xV5oUUVBfd

— Kaspersky Lab (@Kaspersky_ru) June 10, 2015

При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.

Что касается фирм, зарегистрированных на чужое имя, то, мне кажется, подобного рода мошенничество организуется ради гораздо более серьезных операций, нежели попытка увести с чужих карт несколько десятков тысяч рублей, которые попросту не окупят криминальные вложения.

Пять уроков, которые стоит извлечь из взлома кредитной карты: https://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется «пластиком».

— Kaspersky Lab (@Kaspersky_ru) November 12, 2014

Ах да, есть еще вариант с незадачливым курьером, потерявшим терминал. Но он не для преступников: вывести деньги со счета фирмы, на которую зарегистрирован терминал, можно только, например, взломав электронный банк. И зачем тогда, спрашивается, вообще красть терминал?

Что делать-то?

Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.

Вот что я решил для себя:

  • хранить бесконтактные карточки в контролируемой зоне в одежде на груди. Не рядом с телефоном;
  • несмотря на отсутствие прямой и непосредственной угрозы, рассмотреть вопрос об экранированном хранилище;
  • сохранять чеки при пользовании картой. При опротестовании жульнической транзакции наличие чеков по платежам за период, в который все и произошло, может, по крайней мере по словам банковских сотрудников поддержки, помочь в расследовании и снизить шансы на то, что деньги пропадут безвозвратно;
  • регулярно убеждаться, что с защитными решениями на всех моих устройствах все в порядке и они регулярно обновляются. Их наличие даже не обсуждается. Я выбрал Kaspersky Total Security для всех устройств — в нем есть специальный компонент для защиты электронных платежей, им можно управлять из облака, а в случае кражи моего телефона с NFC можно этот самый телефон заблокировать. Кроме того, среди мобильных троянцев есть куда более неприятные экземпляры, особенно для тех, кто, как я, активно пользуется электронным банкингом, и Kaspersky Internet Security их успешно ловит.

Источник

Могут ли через NFC украсть деньги?

Модули Near Field Communication используют для совершения оплаты в магазинах, обмена информацией между гаджетами. С момента своего появления они успели укрепиться в повседневности. Терминалы для оплаты гаджетами появились в магазинах по всему миру: от крупных городских гипермаркетов до небольших семейных прилавков в деревнях. Даже в автобусах можно рассчитаться смартфоном, если в нем есть чип NFC. Проездные выпускаются уже с этим модулем. Например, в карте «Тройка» установлены микросхемы от компании Micron. Билет больше не нужно вставлять в терминал: достаточно приложить его к специальной зоне. Оплата занимает значительно меньше времени, чем при использовании банковских карт с чипом или наличного расчета.

Как работает NFC

Передача данных между смартфонами происходит, когда пользователи активируют функцию бесконтактного поля. Для этого устройства должны находиться как можно ближе друг к другу. Поймать связь не получится, если между ними будет расстояние больше десяти сантиметров. Соединение устанавливается на частоте тринадцать мегагерц. Этот диапазон принадлежит стандарту беспроводных подключений ISO 14443, который устанавливается во всех современных гаджетах и кредитных картах.

Функции NFC можно использовать для:

  1. оплаты покупок через терминалы стандарта EMV;
  2. быстрого подключения аксессуаров;
  3. передачи данных на гаджеты;
  4. считывания информации с меток.

Чипы NFC в смартфонах, кредитных картах и проездных внешне различаются, но от этого не меняется система их работы. По металлическим контактам передается запрос, микросхема обрабатывает его и в обратном направлении отправляет данные о платеже. По такому же принципу работают пластиковые карты с чипами. Бесконтактный перевод данных осуществляется с помощью антенны, которая передает радиосигнал терминалу.

Читайте также:  Промсвязьбанк можно ли снять деньги с заблокированной карты

Безопасность бесконтактной оплаты смартфоном

Функция давно используется в пластиковых картах, они воспринимаются как более защищенный способ расчета в магазинах.

На самом деле, смартфоны с чипом NFC сами по себе не несут угрозы. Установив соединение с терминалом, гаджет проходит идентификацию — передает информацию о счете, с которого списываются средства. Приложения для оплаты используют для этих целей уникальный номер устройства, обеспечивая дополнительную защиту. При этом, взломать терминалы нельзя: они проходят специальную сертификацию безопасности PCI SSC (Payment Card Industry Data Security Standard). Единственный способ, которым злоумышленники могут получить данные со смартфона: использовать считыватели для NFC. Дополнительно придется обойти защиту используемого приложения.

Второй сложностью в попытке взлома будет расстояние. Для оплаты не требуется контакт, но списать средства с телефона, стоя за метр от жертвы, у мошенника не получится. Единственным способом украсть деньги остается взлом самого устройства. Хакеры могут отправить на смартфон специальный вирус, чтобы попасть в систему и перенаправить радиосигнал. Гаджет начнет работать как терминал и станет передавать информацию о платеже на стороннее устройство. Такой способ взлома разработали Рикардо Родригес и Хосе Вилла — испанские хакеры, презентовавшие свою разработку на конференции для профессиональных взломщиков, которая называется «Hack In The Box». Мишенью для таких махинаций становятся люди, которые предпочитают чехлы на телефоны с отделениями для кредиток.

Чтобы не стать жертвой мошенничества, рекомендуется держать смартфон и пластиковые карты раздельно.

Так устройство не сможет считать данные и сделать перевод на чужой счет без участия владельца. Если это правило соблюдается, а гаджет систематически сканируется антивирусом, риск взлома минимален.

Защита данных при оплате через NFC

Для безопасности терминалы используют стандарт EMV (Europay + MasterCard + VISA). Он встроен во все аппараты, где предусмотрен расчет картой с чипом. Когда пользователь прикладывает смартфон или smart-часы к считывателю, в системе генерируется одноразовый ключ. Терминал перенаправляет запрос в банк. Если код совпал, оплата проходит. Так получить доступ к финансам могут только аппараты, зарегистрированные в системе банка.

Перехват ключа мошенниками не несет угрозы для пользователей. Код запрашивается для одной транзакции и будет действителен только для ее оплаты. Например, если пользователь совершил оплату через NFC, а затем чек был отменен, для повторной покупки терминал запросит новый ключ. Из-за таких сложностей мошенники не могут перехватить данные и остаться незамеченными. Им придется взломать банковскую систему, чтобы получить код, сгенерированный гаджетом.

Денежный лимит на оплату

Транзакции с помощью NFC происходят значительно быстрее, ведь соединение устанавливается за секунду. На данный момент, при покупках до тысячи рублей терминалы в России не требуют подтверждения в виде PIN-кода. Если к гаджету привязана карта Visa, то без пароля можно оплачивать суммы до трех тысяч рублей. Изменения вступили в силу 13 апреля 2019 года. Для остальных платежных систем повышение аутентификационного порога пока не планируется.

Обязательное наличие операционной системы

В 2018 году были презентованы два браслета с NFC чипом: Mi Band 3 и Honor Band 4. В них производители добавили долгожданную бесконтактную оплату. Разочарованию покупателей не было предела: функция оказалась рабочей только в Китае. В остальных странах мира использовать чип можно только для связи со смартфоном и быстрой синхронизации. Бренды не дают обещания выпустить прошивку, которая решила бы проблему: они не смогли бы сделать это, даже при большом желании. Пользователям остается ждать новых браслетов, которые будут отвечать требованиям безопасности для бесконтактной оплаты.

Для бесконтактной оплаты устройства используют системы Apple, Samsung и Google Pay. Чтобы она работала, гаджет должен отвечать определенным условиям. Кроме наличия NFC модуля, браслетам нужны операционные системы Android или IOS. Они гарантируют безопасность при оплате через сертифицированные терминалы. В сами аксессуары система EMV не встроена, поэтому для обработки транзакции им пришлось бы отправлять запрос на смартфон.

Из-за этого браслеты могут выполнить только роль посредника, что влияет на безопасность данных. Такие характеристики не отвечают требованиям международных платежных систем, поэтому браслеты без операционных систем Android или IOS не могут использоваться для оплаты. Эта функция работает в Mi Band 3 и Honor Band 4 только со стандартами приложения Mi Pay, которые используют на территории Китая.

Итог

Технология NFC считается одним из самых безопасных способов передачи данных. Это относится и к функции бесконтактной оплаты. До сих пор не было зарегистрировано случаев, когда хакерам бы удалось взломать стандарт защиты EMV. Единственным слабым местом в системе остается возможность подхватить вирус. Чтобы не попасть в число «счастливчиков», поймавших трояна, достаточно проверять устройство на вирусы и не скачивать файлы от неизвестных отправителей.

Читайте также:  Можно ли снять деньги с карты кукуруза на украине

Жмите палец вверх, подписывайтесь, всем удачи!

Источник

Как мошенники могут украсть деньги с банковской карты, пользуюсь мобильными терминалами бесконтактной оплаты. Проверил лично.

Сейчас подавляющее большинство пластиковых банковских карт снабжены функцией бесконтактной оплаты NFC. И с помощью такой карты можно производить платежи до 3000 рублей(ранее только до 1000) без подтверждения пин-кодом. При этом, саму карту не обязательно вставлять в гнездо терминала оплаты, если терминал тоже снабжён функцией NFC, а достаточно поднести карту к терминалу на близкое расстояние (примерно 3 сантиметра).

Наверное, многие из вас слышали, что иметь банковскую карту с системой бесконтактной оплаты, в виду этого, не совсем безопасно. Что есть такой вид мошенников, которые в людных местах, а особенно в метро в час пик, похищают небольшие суммы денег с банковских карт, снабженных функцией бесконтактной оплаты. Мошенники делают это при помощи мобильного терминала приема платежей, незаметно его прикладывая к местам, где обычно граждане носят карты(сумки, задние карманы, рюкзаки и тд). Граждане у которых произошло списание денег с карты в суете и толчее даже не замечают этого, тем более если отключено СМС информирование о платежах. А если в последствии и обнаружат списание небольшой суммы, то не придают этому значения, или ленятся обращаться в банк за разъяснением.

Конечно купить терминал оплаты можно без особых проблем(стоимость нового терминала около 30.000 рублей), но чтобы начать им пользоваться его надо зарегистрировать и подключить в банке, а для этого надо быть как минимум ИП -Индивидуальным предпринимателем или ООО, простым физическим лицам регистрация терминала недоступна.
Гос пошлина за регистрацию ИП сейчас 800 рублей. Многие крупные банки предоставляют услугу мобильного эквайринга-(возможность для торгового предприятия принимать безналичную оплату за товары и услуги)  и дают терминал оплаты в аренду для ИП абсолютно бесплатно, банки только берут себе комиссию с платежа, проведенного через терминал — около 3%. Так что стать обладателем мобильного терминала оплаты можно всего за 800 рублей. Для того, что бы не вызвать подозрение в банке, можно зарегистрировать ИП с видом деятельности, как выездная торговля.Так как такие терминалы не привязаны к определенному месту, то воспользоваться им можно всюду, где есть интернет и мобильная связь, так что на станциях метро терминалы будут работать без каких либо проблем.

Теперь проведем полевые испытания.

Для тех, кто никогда не платил за товары при помощи бесконтактной банковской карты и мобильного терминала приема платежей, кратко опишу принцип работы. Кассир набирает на терминале необходимую сумму и нажимает зеленую клавишу «Еnter» покупатель просто подносит или прикладывает карту к монитору терминала на время не более 1-2х секунд. все! оплата пошла! От покупателя ни требуется больше никаких действий!

Так как я сам ИП и имею в наличии такой терминал, провести испытания будет несложно. Только буду я их проводить у себя дома — в 4 километрах от места моей работы, на своих карманах и сумочке жены. Даже и рассматривать не буду проведение такого эксперимента на незнакомых людях, так как он попадает под реально уголовное преступление.

Я буду списывать суммы по 10 рублей, поочередно поднося терминал к экспериментальным местам с картой.

Эксперимент №1 Карта в заднем кармане джинсов.
Эксперимент №2 Карта в бумажнике в заднем кармане.
Эксперимент №3 Карта в сумочке в верхнем кармане.
Эксперимент №4 Карта глубоко в сумочке.

Во всех 4 случаях расстояние от карты до терминала будет не более 4 сантиметров, на более дальних расстояниях мой терминал не считывает карту.

Итог экспериментов:
Терминал находясь в 4 километрах от места первоначальность установки без проблем установил коннект с банком.

Все 4 эксперимента дали положительный результат!!! во всех случаях деньги были списаны с карты!И по итогом эксперимента становится понятно, что воспользоваться терминалом оплаты для мошеннических действий не составляет особых проблем и может оказаться суровой реальностью!

И не исключено то, что мошенники могут модифицировать электронную схему терминала для усиления сигнала, таким образом, что максимальное расстояние, необходим для считывания с карты, значительно увеличивается, к пример с 4 сантиметров до 8, что практически даст неограниченный доступ мошенникам к картам в людных местах!

В любом случае, лично для себя, я всё таки решил отключить функцию бесконтактной оплаты NFC механическим путем.

Как это можно сделать, читайте в этой статье Отключить бесконтактную оплату пластиковой карты можно!

Жмите палец вверх ???? если вы хотите, чтобы эту статью прочитали и другие читатели!

Источник