Эволюция карманника

Выложив фото, Олег Горобец предположил, что подозрительный мужчина снимал деньги у пассажиров с помощью беспроводного терминала, прислоняя его к одежде и сумкам. Сотрудник «Лаборатории Касперского» задался вопросом, как можно обезопасить себя от подобных мошенников.

Речь идет о технологии бесконтактных платежей, основанной на RFID (радиочастотной идентификации). Специалисты именуют ее Near field communication или NFC («коммуникация ближнего поля», «ближняя бесконтактная связь»). В России эту технологию принято называть PayPass, хотя с таким наименованием она используется только на банковских картах системы MasterCard. У Visa это, например, payWave. Это значит, что на карте размещены специальные чип и антенна, которые откликаются на запрос терминала, находясь от него на расстоянии, обычно не превышающем 10 см.

Изначально технология бесконтактных платежей создавалась для упрощения и ускорения процесса покупок в магазинах. При расчете в магазине достаточно просто прислонить карту к специальному терминалу, и деньги автоматически снимутся со счета. При этом можно даже не доставать карту из кошелька, кармана, сумки и другого места ее хранения.

Такая технология может применяться на любых картах, в том числе и с магнитной полосой. При таком способе оплаты в случае приобретения товара на небольшую сумму (в России – до 1000 рублей, а, например, в США – до 25 долларов) не нужно ставить подпись на чеке или вводить ПИН-код. Сегодня технология бесконтактных платежей используется во многих странах мира. В России она внедряется с 2010 года.

Есть у бесконтактной технологии и свои минусы. В частности, через NFC можно украсть информацию о банковской карте – часть информации обычно хранится на чипе в незашифрованном виде. Правда, узнать удается только номер карты, срок окончания ее действия, имя владельца. Считается, что эти данные не позволяют мошенникам украсть ваши деньги, так как для покупки в Интернете обычно требуют еще и CVV-код карты (трехзначное число на оборотной стороне). Тем не менее некоторые онлайн-магазины не требуют CVV-кода.

Многих интернет-пользователей напугала гипотетическая ситуация, когда мошенник в толпе (например, в общественном транспорте) с помощью устройства с технологией NFC списывает с карт людей небольшие суммы. Теоретически для этого достаточно приложить терминал к сумке или карману человека. А имея некоторые технические навыки, мошенник может самостоятельно сделать сканер, позволяющий списывать деньги с расстояния до 50 см.

В прошлом году на хакерской конференции Hack In The Box в Амстердаме испанские хакеры Рикардо Родригес и Хосе Вилла представили способ кражи денег с карты с помощью обычного Android-смартфона. Сейчас многие смартфоны оснащаются технологией NFC – то есть их можно прикладывать к магазинному терминалу вместо карты. Если кроме соответствующего приложения на телефоне жертвы окажется установлена еще и специальная вредоносная программа, мошенники смогут «запеленговать» жертву, получить с ее телефона данные карточки и совершить любую транзакцию. Испанские хакеры заявили, что использовать свое изобретение в преступных целях не планируют. Но это не исключает возможности, что такая же идея придет в голову кому-нибудь другому.

Тем не менее эксперты указывают – при краже средств с помощью технологии бесконтактных платежей надо соблюсти столько нюансов, что мошенники вряд ли начнут массово ее использовать. «Во-первых, карту нужно прикладывать достаточно близко к считывающему устройству. Те девайсы, которые продаются в открытом доступе, способны обеспечить расстояние не более 30 см. Кроме того, должно пройти какое-то время для контакта, пусть и пара секунд», – объясняет «НИ» заместитель гендиректора компании по защите информации от утечек Zecurion Александр Ковалев. Второй момент, по его словам, касается необходимости для мошенника обязательно иметь счет в банке для таких операций. «Юридически должен быть оформлен магазин, к нему уже надо привязывать ридер (устройство для считывания оплаты. – «НИ»), заключать договор с банком. Деньги ведь должны куда-то приходить. Если у мошенника нет счета в банке, то терминал будет работать в никуда. Все же эти юридические операции, как и открытие счетов, обычно оформляются по паспорту. При наличии определенного количества вызывающих вопросы операций вас сразу вычислят», – объясняет г-н Ковалев. Если же вор обеспечит себе поддельные документы и его не найдут – возможность перевода денег на этот счет все равно заблокируют. Кроме того, некоторые банки не позволяют совершить транзакцию без знания терминалом криптографического ключа, который выдается владельцу устройства только после заключения договора. Ну и не стоит забывать об смс-оповещениях банков, которые сразу же приходят владельцу карты при любых изменениях баланса. Человек, у которого такая услуга подключена, тут же начнет выяснять, почему пропали деньги.

Единственную опасность, с точки зрения Александра Ковалева, представляет возможность создания копии карточки по данным, считанным с чипа. «С этой копией можно пойти в магазин. Но, опять же, возможна покупка только до 1000 рублей, так как пин-код таким способом не узнать. Кроме того, в магазинах стоят камеры, вас найдут», – рассказывает «НИ» эксперт.

Сейчас на рынке продают различные чехлы для кредитных карт, предотвращающие данные риски, но г-н Ковалев считает их ненужной тратой денег. «Я бы никогда не хранил в таком чехле свою карту. Это неудобно, да и на сам чехол я могу потратить больше, чем когда-либо потеряю. На практике случаев подобного мошенничества слишком мало. Риски большие, а выгода минимальная. Проще деньги из кошелька украсть, чем снимать по 1000 рублей с такими рисками», – объяснил эксперт.

«Технически украсть деньги с карты возможно, но это очень неудобно для мошенников. Оформленный счет в банке позволит их быстро вычислить, а если проблема станет массовой, банки сразу же найдут способ, как ее решить, и введут дополнительную защиту», – прокомментировал ситуацию «НИ» вице-президент Ассоциации региональных банков России Ян Арт.