В России активно распространяется новый вид мошенничества — кража с карт, оснащенных технологиями бесконтактной оплаты Visa PayWave и MasterCard PayPass (карта прикладывается к POS-терминалу, сумма покупки списывается с «пластика»). За январь–апрель 2016 года мошенники похитили у россиян с таких карт 1 млн рублей. В переполненном транспорте, на рынке, в магазине списать деньги по воздуху нетрудно. Человек может даже не заметить, как против него совершается киберпреступление.
За весь 2015 год злоумышленники увели с карт с возможностью бесконтактной оплаты 2 млн рублей, а за январь–апрель 2016-го — уже 1 млн рублей. Это следует из расчетов, которые специально для «Известий» подготовила компания Zecurion, специализирующаяся на вопросах безопасности дистанционного банковского обслуживания.
Мошенники воруют деньги с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы). Кроме того, преступники используют для кражи денег «по воздуху» смартфоны, оснащенные чипами NFC (NFC — разновидность RFID).
Бесконтактное кибермошенничество пришло в Россию из Европы. Суть хакерской схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью: злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана. Мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания. С помощью этого минимума уже можно проводить операции через подставные интернет-площадки или изготовить дубликат магнитной полосы, достаточной для списания средств клиентов.
Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт). Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету. У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.
Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. По оценкам, в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.
По словам замдиректора департамента аудита защищенности Digital Security Глеба Чербова, объем хищений «по воздуху» растет пропорционально распространению технологии бесконтактной оплаты.
— Также увеличению такого вида хищений способствует совершенствование злоумышленниками техник считывания данных с карт и схем списания и вывода средств, — поясняет Чербов. — Основной стратегией защиты клиентов должно стать информирование пользователей о возможных рисках, связанных с наличием бесконтактного интерфейса в платежной карте. Значительная часть обладателей может даже не догадываться о возможностях новой карты и о возможностях потенциальных злоумышленников соответственно.
По прогнозам компании Zecurion, за 2016 год объемы хищений с бесконтактных карт граждан достигнут 2,5 млн рублей. А по итогам 2017 года — 5 млн рублей.
Руководитель разработки карточных продуктов группы Бинбанка Никита Игнатенко указывает, что бесконтактная технология не уступает контактным способам оплаты с точки зрения безопасности.
— Данные «обычной» карты могут считать с помощью скимминг-устройства, а при бесконтактной оплате это практически невозможно, — поясняет Никита Игнатенко. — Для мошеннических операций с помощью RFID-ридеров необходимо, чтобы карта располагалась очень близко к считывателю, что минимизирует риски. Но даже если мошенники смогут соорудить супермощный считыватель, максимум, что может потерять человек, — это 1 тыс. рублей, для проведения операции на более крупные суммы всегда требуется введение PIN-кода.
По словам директора департамента платежных систем СМП Банка Елены Биндусовой, для защиты от несанкционированного списывания средств с помощью специальных сканирующих устройств вендоры предлагают защитный «пластик» размером с банковскую карту.
— Данная технология достаточно давно и активно используется для защиты карт с возможностью бесконтактной оплаты в Европе, — поясняет Елена Биндусова. — Разработчики гарантируют, что при использовании защитного пластика сигнал до карты не доходит, а значит, считать данные невозможно. В России технология пока не получила широкого распространения. По мере увеличения количества карт, поддерживающих технологию PayWave/PayPass, предложение по защите данных будет расширяться.
В MasterCard и Visa отметили, что пользоваться бесконтактной технологией так же безопасно, как и другими решениями платежных систем для безналичной оплаты.