Мобильные платежи с помощью NFC небезопасны: злоумышленники могут получить личную информацию со смартфона через взломанный терминал.
Технология Near-Field Communication, сокращенно NFC, появилась несколько лет назад, но уже получила широкое распространение в больших городах. Еще бы: мало кто любит носить с собой кучу карточек, гораздо удобнее приложить к терминалу телефон. Одновременно с появлением новой технологии появились сомнения в ее безопасности.
Принцип работы NFC основан на работе в ближнем магнитном поле двух индукционных катушек. Чтобы сработать, бесконтактный терминал и карточка должны находится на расстоянии не более 5 см друг от друга. Но это еще не все.
Смартфоны с NFC-устройством оснащены дополнительными системами безопасности. Приложения Samsung Pay, Android Pay, Apple Pay заменяют реальный номер карты на Device Account Number – аналог, данные которого остаются у продавца при покупке вместо реальных данных вашей банковской карты. С этими данными ни продавец, ни злоумышленники ничего не смогут сделать.
Получается, все данные моих карт остаются у производителя телефона?
Нет. После того, как вы авторизуете карту в системе, компания получает у банка Device Account Number и привязывает его к карте и телефону, а данные самой банковской карты не сохраняет. В результате, компания-разработчик получает только статистику. А данные карты остаются у платежной системы (Visa или Mastercard), банка и у вас.
Cегодня платежи со смартфона безопаснее платежа напрямую с карты. На это есть несколько причин:
- Не нужно вводить пин-код,
- Вы не светите карту нигде,
- Службы мобильных платежей для авторизации требуют отпечаток пальца владельца,
- У служб мобильных платежей нет доступа к банковскому счету,
- Забытый пароль службы платежа нельзя восстановить — только зарегистрироваться повторно, предварительно сбросив все настройки.
Попытки взломать платежные NFC-системы предпринимались с самого начала распространения технологии. Часто хакеры тренируются на взломе транспортных карт для их бесплатного пополнения: подобные инциденты случались как в России, так и за рубежом. Тем не менее, убедительных свидетельств взлома пока не случалось.
С терминалами еще сложнее: чтобы работать и проводить платежи, каждый кассовый аппарат должен быть зарегистрирован, плюс составляется договор с банком-эквайром, в котором указаны паспортные данные продавца и реквизиты предприятия. Любую транзакцию можно отследить и отменить.
Но мошенники не дремлют, и уже научились воровать деньги напрямую с карточки с помощью самодельных ридеров: они прикладываются на расстоянии 5-15 см к считывателю карты и снимают деньги везде – на рынках, в магазинах, в общественном транспорте.
Обратите внимание: Общение с представителями «службы безопасности банка». В каком случае оно вообще законно?.
Правда вряд ли кто-то спокойно отреагирует, если посторонний будет сканировать его карман или карточку в руке – поэтому и защититься от такого воровства легко, если не «светить» своими карточками подолгу в общественных местах. Для этого даже продаются специальные защитные кошельки — RFID blocking wallet. Ну или можно обернуть их в фольгу – это правда работает. Шапочка из фольги может уберечь вашу карточку!Если держать телефон у терминала слишком долго, то деньги снимут несколько раз!
К сожалению, двойная транзакция – действительно распространенный вид мошенничества. Кроме того, двойное списание денег со счета часто обусловлено неисправным терминалом или техническим сбоем в банке. В таких случаях продавец сам отменяет платеж и деньги возвращаются на счет покупателя. Если же вина за банком, то обращаться нужно туда напрямую – по закону, если в незаконном списании виноват он, то банк обязан вернуть эту сумму с процентами.
Во всех случаях телефон ни при чем, так же как и его расстояние до терминала оплаты. Сигнал получен – деньги списаны – терминал печатает чек. Если устройство исправно и подключено правильно, то повторно деньги не спишутся.
Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета.
Банки часто присылают одноразовый пароль безопасности по смс для подтверждения интернет-платежа со зловещим предупреждением НЕ ПОКАЗЫВАЙТЕ ПАРОЛЬ НИКОМУ.
Поскольку пароль недолговечен – его действие всего несколько минут, то считается, что злоумышленник просто не успеет перехватить код.
Злоумышленникам удалось украсть крупные суммы с банковских карточек пользователей в Германии, используя уязвимости SS7.
Сотни домашних компьютеров были заражены троянцами, которые воровали привязанные номера телефонов, логины и пароли доступа в онлайн-банк, после чего злоумышленники переводили деньги к себе на счет. Оператор связи, находящийся за пределами Германии, предоставлял им доступ к протоколу, воры переадресовывали SMS с банковским паролем на свой номер, подтверждая платеж.
Немецкий мобильный оператор O2 позже подтвердил, что неопознанный телефонный оператор заблокирован, а пострадавшие клиенты проинформированы. Но неизвестно, удалось ли им вернуть деньги. Примечательно, что во время хищений система безопасности банков не скомпрометировала ни один платеж.
В 2016 году Американский Национальный институт стандартов и технологий предложил отказаться от текстовых сообщений для двухфакторной аутентификации и заменить их криптографическими ключами безопасности, которые будут храниться на защищенных устройствах. Но пока ничего не изменилось.
Что делать?
К сожалению, пока что банки не поддерживают альтернативные способы аутентификации. Единственное, что остается – следить за безопасностью мобильных устройств и компьютеров, с которых вы оплачиваете покупки:
- регулярно проверяйте устройства на наличие вредоносного ПО,
- не вводите данные карты на чужих компьютерах и смартфонах,
- пользуйтесь магазинами, которые используют защищенное HTTPS-соединение,
- Для оплаты интернет-покупок лучше пользоваться не своей основной картой, а завести виртуальную карточку.
Читайте Самые полезные и интересные материалы про Безопасность на Канале! 😎
#безопасность и мир #безопасность #интернет #банковская карточка #мобильный платеж #взлом и защита #деньги
Больше интересных статей здесь: Банки.
Источник статьи: Мифы безопасности мобильных платежей!.