09/10/2013

Бесконтактные карты

Буквально каждый день очередной банк объявляет о выпуске новых карт,стикеров MasterCardPayPass и VisapayWave либо иных средств платежа на основе бесконтактных технологий. Портал «Banki.ru» решил выяснить насколько защищены пользователи данных карт от рук мошенников.

Прежде всего стоит отметить преимущества данных платежных средств, которые очевидны. По замыслу разработчиков PayPass, для оплаты какой-либо покупки с помощью бесконтактной карты не нужно выпускать ее из рук, не нужно даже показывать ее кассиру. Таким образом, обеспечивается удобство использования самой карты, а также  защита данных от попадания не в те руки.

Помимо этого при осуществления оплаты в пределах небольшой суммы (1 тыс. рублей в России, 25 евро в Европе) от держателя не требуется  ввода ПИН-кода.

Принцип работы бесконтактных средств платежа основанына технологии RFID, подразумевающей использование микрочипа с антенной — так называемой RFID-метки. Большинство таких меток пассивные, то есть собственного питания не имеют. При попытке считывания метки чип активируется от изучения считывателя и выдает записанную на нем информацию. Стандарт подразумевает срабатывание RFID-метки в 3—5 см от считывателя, но уже существуют достаточно компактные устройства, способные работать с меткой на дистанции до 30 см.

Встроенная в карту RFID-метка содержит базовые сведения о карте, в частности ее номер и дату срока действия. Эти данные передаются считывателю в открытом и незашифрованном виде. Именно этот момент может поспособствовать злоумышленнику в осуществления мошенической транзакции. Вариантом обеспечения безопасности, предусмотренным разработчиками в таком случае, является динамический CVV-код, то есть код, меняющийся при выполнении каждой трансакции. При этом данных об обычном CVV, позволяющем совершать покупки через Интернет, в RFID-метке не хранится.

Мошенниками уже, конечно же, разработана схема снятия денег с таких платежных средств. Для этого необходимо наличие простейшего мобильного  RFID-сканера. Злоумышленник помещает данный сканер в чехол для телефона или небольшую сумку, отправляется в торговый центр, заполненный посетителями, или на станцию метро в час пик, затем находчмь а толрн людей, не привликая общего внимания, он проводит сканером в непосредственной близости от сумок и внутренних карманов курток и пиджаков ничего не подозревающих граждан. Со всех попавших в зону действия карт сканер запрашивает данные и получает их вместе с очередным динамическим CVV. Сообщник злоумышленника, получив данные, с помощью специального устройства записывает их на белый пластик (карту-клон) и отправляется совершать покупки стоимостью менее 1 тыс. рублей каждая (один динамический CVV-код можно использовать только для одной трансакции, а следующего CVV белый пластик не знает). Когда впоследствии держатели таких отсканированных бесконтактных карт попытаются совершить покупку с помощью пластика, система обнаружит повторное использование того же самого CVV и заблокирует карты.

Помимо этого в связи с бесконтактными картами вызывает опасения практика многих банков рассылать свои карты по почте. Недобросовестный сотрудник почтовой службы, вооружившись RFID-сканером, может получить номер и дату срока действия карты, кроме того, он будет знать имя и почтовый адрес ее владельца, чего вполне достаточно для осуществления покупок онлайн.

Несмотря на отсутсвия негативной статистики и того, что многи банкиры считают опасность при использовании контактных карт преувеличенной на рынке существуют уже средства защиты от сканирования бесконтактных карт.  Одним из методов защиты являются, так называемые «свинцовые кошельки», кошельки и кардхолдеры, представляющие собой компактную версию клетки Фарадея.

 

 

 

 

Автор: Жук И. / Zaimo.ru Фото: Хегевальд  Т. / Pixelio.de

 

Оцените нас
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 4.00 out of 5)
Loading...
Получить деньги