За останні п'ять років безконтактні платежі швидко увійшли в мейнстрім. Вони дозволяють нам купувати речі без необхідності скидатися і підписувати або вводити наші ПІН-коди в торгові автомати. Вони є втіленням цифрової ліні, що, можливо, пояснює, чому їх популярність зросла.
Але вони в безпеці? Які загрози оточують це нове фінансове захоплення? Що ще більш важливо, ви повинні зареєструватися?
Як працюють безконтактні платежі
Перш ніж ми перейдемо до різних загроз, пов'язаних з безконтактними платежами, ми могли б також пояснити, як вони працюють, в загальних рисах. Наріжним каменем технологій безконтактних платежів є NFC (Near Field Communication). і RFID (радіочастотна ідентифікація) Це радіосигнали ближнього радіусу дії, які споживають мало енергії. Термінал торгової точки буде зчитувати дані з чіпа і отримувати доступ до певної інформації, яка дозволяє йому обробляти тягу. Цей чіп можна знайти на карті або, найчастіше, на мобільному пристрої.
Речі трохи відрізняються між реалізаціями, хоча. Багато кредитних і дебетових карт Visa, MasterCard і American Express поставляються з вбудованими чіпами RFID і дозволяють власнику здійснювати обмежену кількість невеликих транзакцій без введення PIN-коду.
Тоді є інші засновані на смартфоні платіжні системи. Наприклад, Apple Pay дозволяє вам здійснювати платежі за допомогою хвилі вашого iPhone або Apple Watch. На відміну від безконтактних кредитних карт, транзакції забезпечуються самим пристроєм смартфона. Щоб щось купити, ви повинні спочатку пройти автентифікацію за відбитком пальця.
Аналогічним чином, покупки, що здійснюються за допомогою Android Pay (який вже деякий час доступний в Сполучених Штатах і також поступово входить в Європу), захищені відстежуваними візерунками і пін-кодами.
Третій основний спосіб оплати смартфонів - Samsung Pay. Транзакції, що використовують це, захищаються за допомогою токенізації (номера кредитних карток для конкретних пристроїв, а не реальних), щоб захистити дані кредитної картки власника.
Джастін Денніс написав більш загальний огляд ринку платіжних систем для смартфонів. кінці минулого року, який абсолютно варто прочитати.
Загрози безконтактним платежам
Природно, численні проблеми безпеки пов'язані з безконтактними платежами. Вони проявляються трьома різними способами: вкрадені карти, клоновані карти і витік даних карт.
Вкрадені карти
Вкрадені картки не становлять великої проблеми для різних платіжних систем на базі смартфонів. Тому що, хоча хтось може досить легко вкрасти ваш телефон, набагато складніше вкрасти ваш відбиток пальця або PIN-код.
Те ж саме не можна сказати про безконтактні кредитні та дебетові картки. У разі крадіжки у когось з'являється можливість купувати речі з рахунку жертви без пароля, оскільки для них не потрібен ПІН-код.
Незважаючи на це, рівень шахрайства на безконтактних картах досить низький, в основному через те, що у більшості емітентів є обмеження на те, що можна витратити на їх використання.
У перші місяці 2015 року у Великобританії їм могли бути приписані тільки 516 500 фунтів стерлінгів (близько 800 000 доларів США). Хоча це звучить як багато, насправді це не так. Це еквівалентно 0,02 фунта стерлінгів за кожні 100 фунтів стерлінгів, витрачених з використанням карт.
Клоновані карти
За своєю конструкцією дуже складно клонувати безконтактні кредитні та дебетові картки. Важко, але, звичайно, не неможливо, як довів один австралійський дослідник.
Пітер Філмор зміг створити додаток для Android, який працював на пристрої і зміг клонувати дані, що зберігаються на безконтактних картах Visa і MasterCard. Потім він використовував цю інформацію, щоб здійснювати реальні покупки в Woolworths, де він купував пиво і снікерс-бари.
Цей експлойт залежав від двох речей: обмежений обсяг даних картки, що надаються під час безконтактної транзакції, і легкість, з якою можна прогнозувати числа CVV (значення перевірки картки). Блогер безпеки Forbes Томас Фокс-Брюстер пояснив, як атака працювала більш детально на початку минулого року.
Витік і зняття даних
Існує також ризик того, що хтось «скімітує» безконтактні кредитні картки. Коли ви купуєте щось, використовуючи їх, ви передаєте обмежену кількість інформації, що знаходиться на лицьовому боці вашої картки. А саме, термін придатності і номер карти. Номер CVV не вказаний, але, як ми згадували раніше, можна алгоритмічно визначити, що це таке.
Ця інформація звучить не так вже й багато, але чемпіони Великобританії зі споживчих товарів Які? були в змозі використовувати цю інформацію, щоб піти по магазинах онлайн, де вони купили телевізор за 3 000 ст.1( 4 270 $), використовуючи підроблене ім'я і адресу, серед іншого.
Варто додати, що Samsung Pay невразливий для цієї атаки, оскільки він генерує новий номер кредитної картки для кожної транзакції. Як і Apple Pay, яка не передає дані кредитної картки клієнта, а замінює їх «динамічним кодом безпеки». Будь-які дані, які перехоплюються і декодуються, зрештою марні для зловмисника.
Які існують захисти?
У цей момент ви можете бути прощені за те, що вважаєте, що безконтактні платежі є справжнім безкоштовним для всіх шахраями за кредитними картками кредитними картками, але це просто неправда. Існує ряд надійних засобів захисту від більшості атак.
По-перше, безконтактні платежі обмежені за вартістю. У Великобританії максимальна сума, яку ви можете заплатити безконтактним способом, становить 30 фунтів. У Сполучених Штатах Америки це 25 доларів. В Австралії він трохи вищий і становить 100 австралійських доларів, і для здійснення покупок після цієї позначки користувач повинен ввести свій пін-код.
Вони також обмежені за частотою. Ваш емітент обмежить вас такою кількістю безконтактних платежів, перш ніж запитувати ваш ПІН-код. Це, по суті, унеможливлює для когось, хто вкрав карту, купувати дорогі речі або здійснювати покупки.
Крім того, в більшості країн (особливо у Великобританії) емітенти карт звільняють власників від збитків, викликаних шахрайством, якщо вони не довели свою безвідповідальність зі своїми картами.
Це не альтруїзм. Було доведено, що безконтактні платежі збільшують витрати приблизно на 25%, що, в свою чергу, приносить їм вигоду за рахунок комісійних зборів, а також пов'язаних комісій і відсотків. Вони абсолютно зацікавлені в тому, щоб змусити своїх клієнтів довіряти системі.
Нарешті, якщо ви стурбовані тим, що ваші карти будуть зняті і потім використані для покупок, ви можете придбати спеціальні RFID-захищені гаманці. Також було доведено, що обертання ваших карток у фольгу також може захистити їх від читання, хоча деякі можуть знайти це трохи великим екстримом.
Не стримуйся
Безконтактні платежі є передовою технологією. У результаті ви можете майже гарантувати, що будь-який недолік безпеки стане головною новиною. Але не дайте себе обдурити, здебільшого вони надійно захищені.