Как воруют деньги с бесконтактной карты оплаты? Visa PayWave и MasterCard PayPass под прицелом мошенников!
Кража денег с карт всегда было распространенным видом мошенничества. Но с появлением карт бесконтактной оплаты преступникам стало еще проще украсть средства других людей. Если владелец бесконтактных карт Visa PayWave или MasterCard PayPass, то вы попадаете в зону риска, когда у вас могут очень быстро и незаметно для вас снять со счета ваши деньги.
Бесконтактные карты: удобство платежей и повышенные риски
Банки предложили своим клиентам новые карты, оснащенные технологией бесконтактной оплаты — Visa PayWave и MasterCard PayPass. Цель их выпуска – облегчение проведения платежей и уменьшение затрат времен на финансовые операции. Эти карты отличаются тем, что нет необходимости проводить их через терминал. Достаточно лишь поднести их к считывающему устройству, и деньги будут списаны. Нет необходимости даже доставать карточку из кошелька. При оплате товара или услуги стоимостью до 1000 рублей не требуется вводить пин-код. Достаточно просто поднести карту к считывающему устройству. Платить с ними стало быстро и удобно.
Но именно то, что деньги можно списать с карты на расстоянии с помощью специального устройства и при этом не надо вводить пин-код или ставить подпись, сделало их легкой добычей для мошенников. Компанией Zecurion подсчитано, что только за первый квартал 2016 года было украдено с таких карт около 1 млн рублей.
Понравилось Видео?! Подпишитесь на наш канал!
Как происходит кража
Чтобы снять деньги с карты бесконтактной оплаты, мошеннику достаточно приобрести или изготовить самостоятельно специальное считывающее устройство и приблизиться с ним к жертве на расстояние до 20 см. Уже даже на таком расстоянии прибор считает данные с карты.
На бесконтактные карты установлены специальные чипы RFID, и устройства, которые позволяют получить с них информацию, называются RFID-ридеры. Мошеннику лишь необходимо поднести его как можно ближе к карте. Чтобы жертва ничего не заметила, кражи обычно происходят в местах большого скопления людей – общественный транспорт, рынок, толпа зрителей на концерте и т.д. Преступник лишь подносит устройство к карманам человека или его сумке незаметно для него. Нет необходимости даже подносить слишком близко — 10-20 см вполне достаточно. Несколько секунд, и все данные у него на руках.
Преступник либо использует их для проведения оплаты через интернет-магазины, которые не требуют введения пароля или CVV-кода. Однако для владельцев бесконтактной карты действует ограничение – сумма операции не должна превышать 1000 рублей, только в таком случае нет требуется вводить защитные данные. Но на количество операций ограничения не накладываются, поэтому мошенник может провести их несколько, пока не воспользуется всеми доступными средствами на карте жертвы.
Также некоторые преступники изготавливают «белые карты» на которые наносится магнитная полоса с данными карты жертвы. После с них снимают деньги в банкомате.
Немного статистики
Согласно заявлениям компании Zecurion, занимающейся информационной безопасностью, за 2015 год с бесконтактных карт граждан России было украдено более 2 млн рублей. По мере роста количества пользователей таких карт, кражи денег будут, соответственно, расти. Специалисты Zecurion прогнозируют, что за 2016 год будет украдено не менее 2,5 млн рублей, к 2017 году эта цифра может достигнуть 5 млн рублей.
Как защититься
Защититься от мошенника владельцу карты бесконтактной оплаты практически невозможно, так как в толпе, в которой орудует преступник, заметить его очень сложно, особенно если учесть тот факт, что пользуется считывающим устройством тот скрытно. Поэтому узнать о краже денег можно уже только после того, как они были списаны с карты. Но есть способы, которые помогают снизить риски хищения средств:
Максимальная сумма, которая может быть списана с карты без необходимости ввести пин-код – 1000 рублей. Однако есть возможность написать заявление в банк, чтобы ее уменьшить. Это позволит лишиться меньшей суммы денег в случае, если вор все-таки смог украсть данные вашей карты.
Рекомендуется обязательно подключить SMS-информирование о любых операциях, которые произведены с карты. Это позволит вовремя обнаружить кражу и заблокировать карту. Несмотря на то, что установлен лимит в 1000 рублей на проведение операции с бесконтактной карты, мошенник может совершить несколько оплат. Подключив SMS-информирование , вы сможете узнать о краже средств уже после первой операции и не позволить списать все деньги с карты.
Быть осторожным и внимательным в транспорте.
Также на рынке предлагаются кошельки и чехлы, которые якобы обеспечивают защиту карты от считывания, однако никакие исследования на то, действительно ли они способны предотвратить кражу или нет, не проводились. Поэтому не стоит торопиться их покупать.
Сделай репост – выиграй ноутбук!
Каждого 1 и 15 числа iBook.pro разыгрывает подарки.
LENOVO IdeaPad Intel Core i5, 8ГБ DDR4, SSD, Windows 10
С пластиковых карт начали угонять деньги «по воздуху»
В России появился новый вид мошенничества — кража денег с карт россиян, оснащенных технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»). По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году. Опрошенные компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC — разновидность RFID).
Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускает 43 крупных российских банка, карты c PayWave — 16. Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. Заявлено, что в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.
Visa и Mastercard на своих сайтах, посвященных PayPass и PayWave, предусмотрели правила безопасности, но они не отличаются от тех, что выработаны для классических банковских карт (PIN-код должен быть неочевидным; его не следует писать на обратной стороне «пластика»; карта всегда должна быть в поле зрения, а телефоны для связи с банком — под рукой). PayPass и PayWave начали распространять в России в 2008 году, но до сих пор широкого распространения не получили: небольшое количество банков, эмитирующих такие карты, объясняется сложностью и дороговизной этой технологии, да и сама карта стоит дороже обычных на 50–100% (в зависимости от дизайна и типа карты).
Суть схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Как сообщили в Zecurion, средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (см. фото). По большому счету это аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы.
— Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана.
В переполненном транспорте, на рынке, в магазине сделать это нетрудно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт).
Стоимость легального считывателя для PayPass и и PayWave — от 20 тыс. рублей. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать. Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет $100, — их хакеры изготавливают самостоятельно. Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру и программного обеспечения на самом компьютере.
Как указывает замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов, мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания.
— Этих данных уже достаточно для проведения транзакций через подставные интернет-площадки или изготовления дубликата магнитной полосы карты, также достаточного для списания средств, — поясняет Чербов. — Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету. У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.
Но Чербов успокаивает, что защититься от мошеннической атаки не так сложно.
— Существуют кошельки, которые защищают карту от считывания (RFID blocking wallet), появились карты, которые кладутся в кошельки рядом с собственными — по цене около 500 рублей, — говорит Чербов. — Также пользователям новых карт можно посоветовать придерживаться давно известных рекомендаций относительно того, чтобы быть внимательными с SMS-информированием и соблюдать другие известные правила при проведении трансакций.
По словам замруководителя блока операционного и IT-сопровождения Бинбанка Игоря Новожилова, бесконтактное мошенничество пришло из Европы.
— Сложно предсказать потенциальный объем хищений, но с ним однозначно можно бороться, — уверен Новожилов. — Считывающее устройство должно быть поднесено практически вплотную к карте. Эта особенность уже обеспечивает определенный уровень защиты. Сложно представить, как кто-то допустит, чтобы по его карманам водили сканером. А если в кошельке две и более бесконтактных карты, то это только усложняет задачу считывания. Также можно менять порог суммы оплаты для ввода PIN-кода. Сама технология разрабатывалась для быстрых покупок на маленькие суммы, например оплата городского транспорта, прессы в ларьке и т.п.
Мошенничество с банковскими картами
Несмотря на то, что банки уверяют своих клиентов в надёжности и безопасности использования пластиковых карт, мошенники находят новые способы незаконного списания средств. По данным ЦБ РФ за 2018 год злоумышленники вывели с карточных счетов 1,3 миллиарда рублей, что в 1,5 раза превышает аналогичный показатель за предыдущий период. В данной публикации собраны распространённые схемы мошенничества с банковскими картами, зная которые, можно предотвратить хищение средств со своего счёта.
Виды мошенничества с банковскими картами
Обмануть или взломать банковскую систему безопасности достаточно сложно, поэтому преступники стараются любыми способами выманить информацию о карте у самого держателя. Для достижения своей цели они используют все доступные ресурсы — телефон, интернет-сайты, онлайн-банк, мобильный банк и прочие каналы.
По телефону
Данный вид мошенничества имеет множество вариаций, которые объединяет то, что владельцу карты звонят с незнакомого номера и под любым предлогом просят сообщить её реквизиты. В большинстве случаев злоумышленники используют следующие схемы:
Выигрыш в лотерею. Преступник представляется менеджером известной компании и сообщает, что клиент стал победителем розыгрыша. Для получения вознаграждения необходимо срочно выслать реквизиты своей банковской карты.
Звонок из службы безопасности банка. Фальшивый «сотрудник» извещает клиента о том, что его карту пытались взломать и просит уточнить данные для исправления ситуации.
Телефонные мошенники всегда говорят уверенно, имеют хорошо поставленный голос, а на любой вопрос клиента имеют заранее подготовленный ответ.
Через СМС
Эта схема имеет много общего с предыдущим способом. Разница заключается в том, что ложная информация приходит в тексте СМС-сообщения. Рассылка осуществляется с незнакомого номера, но мошенники подписываются известной компанией.
Распространённый пример подобных фейковых сообщений: «Ваша карта заблокирована. Перезвоните по номеру +7926ХХХХХХХ. Ваш Сбербанк.» Если клиент не реагирует, то преступники могут прислать повторное СМС с угрозой взыскания штрафа или комиссии. Перезвонившего просят сообщить данные карты, провести манипуляции в банкомате или интернет-банке.
Через мобильный банк
Услуга «Мобильный банк» позволяет совершать операции с помощью СМС-команд. Чтобы перевести средства другому клиенту, достаточно отправить сообщение на короткий номер банка с того телефона, который привязан к карте. Мошенники используют данную опцию в следующих случаях:
Телефон был утерян владельцем. До момента блокировки SIM-карты любой человек может списать деньги с карточки с помощью СМС-команд, перечень которых размещён на сайте любого банка.
Клиент отказался от услуг конкретного сотового оператора и не отключил мобильный банк. В этом случае номер телефона попадёт в руки нового абонента, который может оказаться мошенником и списывать деньги посредством СМС-команд.
Благодаря использованию мобильного банка злоумышленник также легко вычислит, в какой организации владелец телефона открыл карту.
Мошенничество с переводом денег на карту
Преступники не всегда преследуют цель узнать реквизиты карты. Самый простой способ незаконного обогащения — это убедить клиента в том, что он должен перевести деньги самостоятельно. Злоумышленники предлагают приобрести товары по выгодной цене и требуют перечисления аванса или всей суммы.
Некоторые мошенники выступают в роли фиктивных компаний, которые предлагают удалённую работу в интернете с хорошим заработком. Соискателю необходимо лишь подтвердить серьёзность своих намерений и перевести определённую сумму на счёт или карту работодателя.
Распространённой схемой аферистов также является «помощь родным». Данный способ чаще всего применяется в отношении пожилых людей, которым звонят и сообщают о том, что их близкие попали в беду. Мошенники представляются сотрудниками правоохранительных органов или медицинскими работниками. Они настоятельно требуют перевести деньги, угрожая необратимыми последствиями для жизни и здоровья близких.
Через банкомат
В этом случае для хищения средств преступники используют такие способы, как:
Скимминг. На банкомат устанавливается специальное оборудование, которое представляет собой накладку на клавиатуру и скиммер (вставляется в картоприёмник и позволяет считать данные магнитной полосы). С помощью полученных сведений мошенники изготавливают дубликат карточки и снимают с неё все средства.
Траппинг. Относительно новый вид мошенничества с банковскими картами, который заключается в том, что преступники вставляют в картридер кусок пластика с прорезью в центре. Клиент вводит карточку в банкомат, она попадает в прорезь и остаётся в устройстве. После этого подходит злоумышленник, якобы тоже побывавший в такой ситуации, и советует ввести ПИН-код. Когда это не помогает, клиент уходит, а преступник извлекает карточку с помощью заранее подготовленных инструментов.
Мошенники, объединённые в организованные преступные группы, действуют более масштабно и создают целые поддельные банкоматы.
Мошенничество на Авито
Данная процедура проводится следующим образом:
Мошенник звонит автору объявления о продаже чего-либо и представляется заинтересованным покупателем.
Продавец сообщает злоумышленнику номер своей карты для перевода средств в счёт оплаты товара.
Фиктивный покупатель входит в интернет-банк по номеру карточки и списывает деньги со всех счетов. Для доступа требуется одноразовый СМС-пароль, который мошенник с помощью различных уловок выманивает у продавца.
Последний этап может отличаться в зависимости от цели преступника. Некоторые хотят узнать конфиденциальные реквизиты карты, другие — просят провести определённые манипуляции через банкомат якобы для подтверждения платежа. В банкомате клиент под руководством мошенника подключает к своей карте посторонний номер телефона, после чего злоумышленник получает доступ к личному кабинету и мобильному банку.
Махинации с банковскими картами через интернет
Такой вид мошенничества называется фишинг. Аферисты создают поддельный сайт популярного интернет-магазина или онлайн-банка, который внешне похож на оригинал, а его URL-адрес отличается от подлинного одним символом. Для оплаты покупки или входа в систему пользователь вводит на фиктивной странице конфиденциальные данные, которые попадают в руки злоумышленников.
Ссылки на фишинговый сайт под видом акций и спецпредложений мошенники отправляют клиентам на электронную почту, в онлайн-мессенджеры или социальные сети.
Кража банковской карты
Некоторые преступники не хотят использовать изощрённые способы мошенничества, а предпочитают просто украсть карточку. Одни злоумышленники делают это открыто, угрожая жизни и здоровью владельца, другие — дежурят возле банкоматов и забирают потерянные карты.
В большинстве случаев устройство возвращает пластик с задержкой. Клиент не дожидается и уходит или, получив наличные, вовсе забывает о карте. После этого мошенник может беспрепятственно её забрать и использовать в своих целях.
Другие способы
Помимо описанного выше, третьи лица воруют деньги с карт при помощи вирусного программного обеспечения. Вредоносная программа под видом полезного приложения устанавливается на компьютер, планшет или смартфон клиента. Её основное предназначение — украсть данные карты или перенаправить пользователя на фишинговый сайт.
Другой популярный вид мошенничества — сговор с сотрудниками банка или предприятий торговли. Кассир может зафиксировать данные карты (например, провести её через скиммер) и передать их посторонним лицам.
Как мошенники снимают деньги с банковской карты?
Способ незаконного вывода средств с карты зависит от того, какой информацией завладел злоумышленник. Основные варианты получения выгоды следующие:
Если карта считана через скиммер, то жулики изготавливают её дубликат. ПИН-код вычисляется благодаря использованию накладки на банкомат или скрытой камеры на устройстве.
Зная только номер карточки, преступники проводят процедуру регистрации в онлайн-банке. Остаётся только обманным путём узнать у владельца одноразовый пароль. После входа в систему аферисты переводят на свои счета средства не только с карт, но и со всех вкладов клиента.
Если мошенник знает реквизиты карты (номер, срок действия и код безопасности), то её можно использовать для оплаты в интернет-магазинах, которые не требуют СМС-подтверждения (например, AliExpress — о том, безопасно ли производить оплату на этой торговой площадке, можно узнать в соответствующем материале).
Одним из способов списания средств также выступает опция «Мобильный банк».
Самые распространённые схемы мошенничества в 2022 году
В связи с развитием новых технологий меняются и виды краж с банковских карт. В 2022 году с фактами мошенничества всё чаще сталкиваются владельцы пластика с опцией бесконтактных платежей.
Для проведения оплаты по такой карте достаточно приложить её к терминалу. Ввод ПИН-кода не требуется если сумма не превышает 1 000 рублей. При этом количество расходных транзакций не ограничено.
Чтобы получить деньги, мошеннику даже не понадобится воровать карту у клиента. Если в общественном транспорте поднести устройство к сумке или карману владельца, то средства спишутся. Для этих целей мошенники изготавливают самодельные переносные считыватели или используют банковские терминалы, оформленные по фиктивным документам.
Также в текущем году злоумышленники продолжают активно использовать фишинг в социальных сетях и онлайн-мессенджерах. Наибольшую выгоду мошенникам приносят махинации через Авито, с помощью которых они получают доступ в онлайн-банк.
Куда обращаться в случае хищения средств?
После выявления факта незаконного списания денег с карты необходимо срочно её заблокировать и обратиться в ближайшее отделение банка-эмитента. Дальнейшая процедура включает следующие этапы:
Клиент пишет заявление о несогласии с конкретной расходной операцией.
Банк проводит служебное расследование по факту хищения средств.
В установленные сроки (до 30 дней) владелец карточки уведомляется о решении.
Банк может вернуть деньги только в том случае, если пользователь не нарушал правила безопасности, то есть добровольно не сообщал конфиденциальную информацию третьим лицам.
Независимо от решения эмитента, владелец карточки имеет право обратиться в правоохранительные органы и написать заявление о краже денег.
Советы специалистов по защите своей карты
Чтобы обезопасить себя от действий мошенников, необходимо придерживаться следующих рекомендаций:
не сообщать конфиденциальные данные карты третьим лицам (срок, CVV-код и ПИН-код);
подключить услугу СМС-уведомлений для контроля за счётом;
ПИН-код хранить отдельно от карточки и прикрывать рукой клавиатуру банкомата или терминала в момент его ввода;
установить расходные лимиты в интернет-банке или мобильном приложении;
никогда никому не сообщать код из СМС для подтверждения операции, которую клиент не совершал (сотрудники банка не вправе запрашивать данную информацию);
немедленно блокировать карту в случае утраты, кражи или захвата её банкоматом, а также при утере телефона с привязанным номером.
Ежедневно злоумышленники изобретают новые способы хищения средств с банковских карт, поэтому невозможно предугадать все сценарии развития событий. Однако при соблюдении указанных элементарных мер безопасности любой пользователь сможет предотвратить нанесение ущерба от действий мошенников.
Миф о краже денег с бесконтактных карт: чего не стоит бояться
Действительность, как обычно в таких случаях, оказывается совсем иной. При этом внешние эксперты «ПЛАСа» выявили в данном видеосюжете ряд фактических ошибок, если не подтасовок. Напомним: ведущий телепередачи «Решала» Влад Чижов с помощью мобильного терминала, спрятанного в пакете, списывает у «случайной прохожей» 500 рублей с карты, хранящейся в сумке, просто поднеся устройство к сумке, но при этом не на расстояние, которое авторы клипа пытаются представить в качестве возможного для такого рода «транзакции».
Эксперты, опрошенные порталом PLUSworld.ru, рассказали, почему не стоит бояться данного вида мошенничества, почему видеосюжет постановочный, и к чему может привести распространение подобной ложной информации.
Алексей Голенищев , директор Дирекции электронного бизнеса Альфа-Банка: Видео постановочное на 99,9%! Как правило, все подобные сюжеты, как и многое тому подобное на ТВ, заранее режиссируется по написанному сценарию. Якобы пострадавшая тоже подготовлена, хоть и «взята из толпы»… Это любой психолог скажет после просмотра. И карту она «случайно» зажимает таким образом, чтобы не было видно логотипа Сбербанка. Кстати, похоже в видеосюжете присутствует еще один видеоляп – карта Visa Сбербанка с таким дизайном, скорее всего, «контактная».
Теперь по существу… Даже если мошенник замыслил такой вид воровства, то терминал должен быть официально зарегистрирован в банке под конкретным юрлицом с договором на эквайринг, с открытием счета, с соответствующей проверкой Службой безопасности Банка и т. д., и т. п. Т. е. просто взять такой терминал, что действительно не столь трудно, и пойти с ним на промысел – нельзя.
Далее списанные деньги должны быть зачислены на счет зарегистрированного торгово-сервисного предприятия. И каким образом этот мошенник планирует получить их с данного счета – вопрос, который, как и весь фейковый сюжет, лучше оставить на совести авторов клипа.
Кроме того, терминал в режиме ожидания карты может находится как правило не более 2-х минут, после чего он сбрасывает платежную сессию. Поэтому надо через каждые 2 минуты его заново активировать на оплату. Сложно представить такую логистику мошенника на улице или в общественном транспорте. На видео терминал спрятан в пакете, поэтому не видно, успешный ли был контакт с картой или нет, а это необходимо, так как мошенник не знает, где точно находится карта, а учитывая расстояние, плотность материала сумки и кошелька, контакт должен быть максимально точным и близким!
Теперь о влиянии на ситуацию на рынке – за такие фейки надо привлекать ТВ каналы к ответственности – всем понятно, что лживое запугивание людей ведет к дискредитации доверия к банкам и платежным системам.
В настоящее время уже отмечаются случаи, в том числе благодаря и таким ТВ-фейкам, когда клиент при заказе в банке карты (с бесконтактным чипом) просит отключить бесконтактное приложение, т. е. оставить только физический контакт чипа.
Национальная система платежных карт: Бесконтактные операции достаточно сильно защищены, об этом позаботились и производители терминалов, платежных карт и платежные системы. По факту уровень мошенничества по бесконтактным картам очень низкий, так как это очень неудобный способ мошенничества.
Во-первых, мошеннику с терминалом нужно найти на улице человека, у которого в кошельке бесконтактная карта и расстояние между картой и терминалом должно быть не более 4 см! Это довольно трудозатратно, а потенциальная сумма, которой они могут поживиться, сильно ограничена (не более 1000 рублей).
Во-вторых, чтобы операция была успешной, терминал должен иметь сертификаты, выданные установленным образом и быть оформлен на реальное предприятие торговли. Если за таким терминалом нет реального ТСП, мошенничество не состоится.
Самое главное, у банков и платежных систем существуют методы и способы определения точек, через которые происходила компрометация карт. Поэтому мошенника (в данном случае магазин, к которому привязан терминал) быстро вычислят.
Лайфхак от главного архитектора национальной системы платежных карт И.М. Голдовского : «Если у держателя карты все же остались опасения – лучше всего носить в портмоне рядом 2 бесконтактные карты (это могут быть платежные банковские карты или банковская карта и проездной на метро, например). В этом случае у мошенника не будет ни единого шанса провести операцию! Предлагаемый футляр для карты — тоже решение (клетка Фарадея), но менее удобное».
Евгений Покровский , глава представительства Verifone Russia: Модель используемого на видео мобильного терминала полностью сертифицирована на прием бесконтактных карт, но списать с его помощью деньги со счета таким образом, как это показано в видеосюжете, практически невозможно.
Во-первых, согласно требованиям платежных систем, расстояние, на котором происходит считывание данных карт, обычно не превышает 5 см.
Во-вторых, чтобы деньги пришли на счет владельца терминала, он должен иметь зарегистрированное торгово-сервисное предприятие и работать с банком-эквайером. При этом деньги вначале попадут в банк и потом, через некоторое время, будут переведены на счет торговой точки, которой принадлежит терминал. Принимая во внимание, что в России распространено онлайн уведомление клиентов о проводимых операциях, банк-эквайер очень быстро вычислит такого мошенника, заблокирует средства на его счету, ну а дальше с ним будут разбираться соответствующие компетентные органы.
В-третьих, чисто теоретически списать деньги подобным образом можно, но карточка должна лежать в плотную ко внешней стенке сумки, терминал должен быть ОПРЕДЛЕННЫМ ОБРАЗОМ поднесен к ней вплотную, поскольку бесконтактный считыватель тоже располагается в терминале в определенном месте. Это будет выглядеть так, будто бы к вам подходит человек и начинает водить около вашей сумки достаточно объемным предметом, завернутым в пакет – вы сразу же отшатнетесь от подозрительного прохожего, на видео все выглядит совершенно иначе.
Курочкин Сергей, заместитель директора департамента — начальник Отдела защиты информации Департамента безопасности Связь-Банка: POS-терминал для его практического применения должен быть определенным образом настроен. Данные настройки осуществляются банком и только для торгово-сервисных предприятий, с кем заключен соответствующий договор. Потенциальные клиенты перед заключением договора тщательно проверяются. Деятельность торгово-сервисных предприятий в процессе обслуживания постоянно контролируется. В этой связи есть основания полагать, что попытки организации криминального бизнеса, показанного в телесюжете, не имеют смысла.
От редакции: Понятно, что сама история, которая раскручивается сейчас на ТВ и Youtube, уже с бородой. Несколько лет назад на такого рода фейковых историях в ряде стран, в том числе в Австралии, поднялось производство и продажи различных чехлов для бесконтактных карт, которые были предназначены для предотвращения попыток хищения финансовых средств клиентов «дистанционными мошенниками».
Также нельзя забывать, что службы безопасности существуют и постоянно работают повсеместно, в банках-эквайерах, банках-эмитентах, платежных системах и т. д., и т. п. Хорошо или очень хорошо, но подразделения, нацеленные на борьбу с киберпреступностью, продолжают набирать обороты и в полицейских ведомствах. Так что желающий имеет право испытать весь их профессионализм на себе.
Удобство или риск: вся правда о бесконтактных платежах
В первую очередь — для удобства плательщика и реализации мобильных платежей. Высокая скорость обмена данными карты и терминала через радиоинтерфейс, а также отсутствие необходимости вставлять карту в ридер терминала позволяют реализовать удобный для держателя карты режим «дотронулся и пошел» (tap & go). Также платежи размером ниже определенного лимита не требуют проведения верификации держателя карты (например, ввода ПИН-кода), что тоже удобно и ускоряет выполнение операции. Ну и возможно, самое главное: без бесконтактных платежей не реализовать мобильные платежи — телефон ведь в ридер терминала не вставишь.
Напомним, лимит на сумму покупки без верификации держателя карты (например, ввода ПИНа) зависит от правил платежной системы, на базе которой выпущена карта. Например, по картам «Мир» он составляет до 1 тыс. рублей, по Visa — до 3 тыс. Поскольку карта и терминал взаимодействуют бесконтактным способом, минимизирована возможность физического повреждения карты. Поэтому такие карты можно выпускать с увеличенным сроком действия.
«Когда мы прикладываем карту к терминалу на расстояние до четырех сантиметров, карта попадает в переменное магнитное поле терминала, и в ней, по закону Фарадея, возникает индукционный ток. Меняя напряженность магнитного поля терминала, можно передавать сигналы, кодирующие команды, направляемые карте. Наоборот, используя нагрузочную модуляцию на стороне карты, можно менять напряженность поля на терминале. В результате меняется напряжение на антенне ридера. Таким способом с карты передаются ответы на команды терминала. Кроме того, энергия магнитного поля терминала накапливается в конденсаторе колебательного контура карты и используется чипом карты для реализации логики платежного приложения карты», — рассказывает директор департамента инноваций и главный архитектор НСПК (оператора платежной системы «Мир») Игорь Голдовский.
В чипе бесконтактной карты установлено платежное приложение, которое может работать как по контактному, так и по бесконтактному интерфейсу. Карта и терминал до начала выполнения трансакции уже «понимают», через какой интерфейс они будут взаимодействовать. В зависимости от используемого интерфейса трансакция обслуживается по правилам, отвечающим этому интерфейсу. Терминал выбирает соответствующее программное обеспечение на своей стороне, а платежное приложение карты — соответствующий профиль выполнения бесконтактной операции: отдельные лимиты на использование карты, параметры управления рисками, списки верификации держателя карты и тому подобное. Различие между бесконтактной и контактной модами платежного приложения всегда присутствует. Например, в бесконтактных платежах вообще не используется проверка ПИН-офлайн, не читается параметр «имя держателя карты» и так далее.
В разных СМИ время от времени всплывают истории об опасности того, что мошенники с фальшивыми терминалами могут бесконтактным способом похищать у людей деньги с карт. Игорь Голдовский уверен, что мошенникам мало интересен такой способ.
«С расстояния 40—50 сантиметров при определенной модернизации терминала возможно инициировать операцию по бесконтактной карте без авторизации ее держателя. Но важно понимать, что сам терминал, с помощью которого мошенники собираются похищать средства, должен быть зарегистрирован в банке — участнике платежной системы, а сам магазин, к которому приписан терминал, должен иметь счет в банке, — объясняет он. — Без наличия счета мошенники не смогут получить средства, которые якобы заплатили магазину-мошеннику держатели тех бесконтактных карт. Как уже выше отмечалось, размер бесконтактной трансакции без верификации держателя карты ограничен лимитом (в Visa в России он недавно был увеличен до 3 тыс. рублей, во всех остальных системах составляет 1 тыс. рублей. — Прим. ред.). У нас в стране подавляющее большинство трансакций выполняется в онлайновом режиме с авторизацией у банка-эмитента. Поэтому сразу срабатывают процедуры управления рисками на стороне банка — эмитента карты.
Кроме того, даже если бы списание средств произошло таким образом, у мошенника все равно не будет даже возможности получить деньги, ведь терминал, с помощью которого могут совершаться такие попытки мошенничества, как рассказывают в некоторых СМИ, должен быть зарегистрирован за конкретным магазином, который обслуживает конкретный банк».
«Сегодня у мошенников существуют более эффективные с точки зрения их рисков и затрат средства кражи денежных средств, чем бесконтактные карты, — указывает Игорь Голдовский. — Мне лично не известны случаи кражи денег через бесконтактные карты с использованием терминала магазина. Спрашивал у коллег из банков и других платежных систем — никто из них на практике с такой проблемой не сталкивался. Если говорить о фроде, косвенно связанном с бесконтактными картами, то речь в первую очередь может идти о потерянных или украденных картах. Мошенник, в руках которого оказалась такая карта, может ею пользоваться при выполнении операций на суммы, меньшие установленного лимита, до тех пор, пока эмитент не заблокирует такую карту. Поэтому еще раз хочу напомнить о необходимости внимательно относиться к хранению своих банковских карт — контактных и бесконтактных».
Повторимся, кража средств через бесконтактный интерфейс мало интересна мошенникам. Но для личного спокойствия можно приобрести специальный чехол для бесконтактных карт, экранирующий внешнее электромагнитное поле. Есть еще более простой способ — хранить все свои бесконтактные карты в обычном портмоне рядом друг с другом. Тогда гипотетический мошеннический терминал, «увидев» в своем магнитном поле больше одной карты, выдаст отказ в проведении операции. Можно, конечно, предположить, что мошенник так поменяет приложение в терминале, что оно обязательно выберет из нескольких карт какую-то одну и будет с ней работать. Но это тоже маловероятно, ведь написать терминальное бесконтактное ядро трудоемко и накладно для злоумышленников.
Все работает похожим образом, через платежное приложение платежной системы. Просто приложение устанавливается на разных носителях. В случае карты носителем является чип карты, в случае с любым из Pay — специальный кошелек, с которым интегрируются и через который работают платежные приложения различных платежных систем. Кошелек — это некоторое сервисное приложение, обеспечивающее удобный пользовательский интерфейс, выбор платежного приложения для проведения текущей операции, безопасное хранение данных, контроль целостности среды исполнения приложений, работу приложения через различные телекоммуникационные интерфейсы и с операционной средой телефона в целом.
Платежные приложения для мобильного кошелька и карты разные. У мобильного кошелька есть своя специфика, связанная с его реализацией. Если, например, кошелек реализован на основе встроенного в телефон элемента безопасности, платежное приложение очень напоминает приложение карты. Его использует кошелек Apple Pay. В Samsung многие модели смартфонов поддерживают «Доверительную среду исполнения» (Trusted Execution Environment), что позволяет кошельку Samsung Pay обеспечивать безопасную среду для работающих через него платежных приложений.
«В самом общем случае смартфона, работающего на Android, кошелек пользуется только средствами этой операционной системы (например, Android Key Storage, Host Card Emulation). Их не так много, поэтому платежное приложение должно само обеспечивать свою безопасность, — указывает Игорь Голдовский. — Для этого используется удаленная аттестация телефона на предмет его рутованности и наличия вредоносного ПО, хранение приложения в затрудняющем анализ виде, хранение в приложении ограниченного набора конфиденциальных данных, изменение которых требует реализации специальных процедур с центрального сервера системы, использование специальной реализации криптографических алгоритмов (White Box Cryptography) и т. п. Пример такого мобильного кошелька — Google Pay».
Одним словом, сколько есть Pay, столько платежных приложений платежная система должна иметь.
Все зависит от модели телефона и платежной системы (платежное приложение платежной системы может быть разработано не для всех мобильных кошельков). Если у вас iPhone, то выбора нет: однозначно может использоваться только кошелек Apple Pay. При этом в нем могут использоваться только карты тех платежных систем, для которых в Apple Pay реализовано их платежное приложение. Если модель смартфона Samsung, то можно выбрать между Samsung Pay, Mir Pay или Google Pay. Если это другой смартфон, работающий на операционной системе Android, — то Google Pay или Mir Pay. В Google Pay и Mir Pay платежные приложения запускаются прямо в процессоре телефона. Поэтому поставщики решений для этих кошельков (соответственно Google и НСПК) делают все необходимое для обеспечения безопасности данных, которые загружаются, обрабатываются и хранятся в платежных приложениях кошелька.
Все рассмотренные варианты бесконтактных платежей примерно одинаково безопасны: расходы мошенников на реализацию атак несоизмеримы с ожидаемыми от них результатами. Сегодня пользователи для выполнения платежей отдают предпочтение телефону. Можно уверенно говорить о том, что необходимый баланс между безопасностью операции и удобством ее выполнения для мобильных платежей был найден.
Многие эксперты платежного рынка считают, что у носимых устройств (wearables) — колец, браслетов, часов, брелоков, активных наклеек / стикеров и т. д. — хорошее будущее. В первую очередь они безопасны потому, что в основе их архитектуры лежит элемент безопасности, операционная среда носимого устройства поддерживает ограниченный набор приложений, и вредоносное ПО на них поместить непросто. Устройства взаимодействуют с внешним миром через ограниченный набор интерфейсов (как правило, лишь NFC, к которому иногда добавляется BLE), и, наконец, некоторые устройства имеют биометрический сенсор для захвата отпечатка пальца, позволяющий верифицировать пользователя.
С точки зрения пользовательского опыта носимые устройства считаются самыми удобными средствами платежа. В отличие от телефона, носимым устройством легче платить: не нужно доставать телефон, активировать его и открывать в нем платежное приложение. Например, человек дотронулся такими «умными» часами до ридера — и трансакция произошла. После чтения периодически появляющейся в СМИ информации о вредоносном ПО на телефонах пользователю справедливо кажется, что носимые устройства безопаснее. Наконец, носимые устройства могут быть востребованными у молодежи и многофункциональными, причем платежная функция в них второстепенна. Сначала ты покупаешь просто браслет для фитнеса, а возможность еще им и платить — хорошее дополнение к основной функциональности.
Чем больше знаешь о бесконтактных платежах, тем меньше веришь негативным слухам, которые периодически возникают. Тем, кто хочет основательно вникнуть в тему, стоит прочитать главу 7 книги Игоря Голдовского «Банковские микропроцессорные карты». Книга есть в свободном доступе по этой ссылке .
Мошенники могут списывать деньги бесконтактно: 5 способов защитить свою карту
Недавно у моей хорошей знакомой украли деньги с банковской карты прямо в общественном транспорте. Сумма, конечно, была небольшая, но эта новость заставила меня задуматься о безопасности своих средств. Ведь все больше расчетов переходит в безналичную форму, и хранить деньги на пластиковых картах становится предпочтительней.
Жулики тоже не сидят сложа руки, времена банальных карманников подходят к концу. Да и какой смысл вытаскивать у жертвы кошелек, если там практически вся наличность хранится на пластике, код доступа к которому подобрать совсем непросто?
Вот и приходится мошенникам садиться за изучение специальных устройств и новых методов кражи наших средств. Я, кстати, сделала то же самое, а сейчас выдам вам много полезной информации.
До чего техника дошла!
Выпускаемые в последнее время пластиковые карты поддерживают технологию бесконтактных платежей. Большинство банков разрешает выполнять операции по списанию средств до 1000 рублей без ввода пин-кода. Да, спору нет, в повседневной жизни это очень удобно, ведь времени на совершение покупки тратится меньше.
Но с другой стороны, здесь и кроется возможность для мошенников. Используя новые технические разработки в сфере эквайринга, жулики могут сформировать поддельный платеж, на который отреагирует карта в автоматическом режиме. Как это происходит? Давайте разбираться.
Методы кражи с банковских карт
Давайте воспроизведем процесс покупки по карте в любом магазине или супермаркете:
Кассир формирует чек, отправляет через компьютер на терминал.
Мы подносим карту на 10-15 сантиметров, и через пару секунд платеж проходит.
Смартфоны, как правило, не всегда находятся у нас в руках. Уведомления приходят с небольшой задержкой, если место шумное, их можно сразу и не услышать. То есть, платеж прошел, а увидеть информацию о нем на экране телефона получается не сразу. У всех ведь такое было? Было!
Вот тут и кроется главный замысел мошенников, которые подпольными путями приобретают терминал, регистрируют его, производят настройки и привязывают к левому счету.
Далее, активируют устройство в режим приема платежа и убирают в непрозрачный черный пакет. Подходят в пиковое время к остановке и начинают ходить возле людей. Особенно часто попадаются на крючок женщины и девушки: не каждая обратит внимание на то, что подошел человек, встал рядом, переминается с ноги на ногу и случайно подносит пакет близко к ее сумочке.
А в этот момент карта попадает в зону действия терминала. Секунда – и операция совершена. Денежку списали. Жулики особо не жадничают, ставят рублей 200-250. Пропажу такой суммы не все и увидят сразу, а шум поднимать еще меньше народа будет. А им что, 20-30 человек за день обезжирили – жить можно безбедно. Кстати, именно таким образом со счета моей знакомой и были списаны 500 рублей.
Еще один из новых способов кражи денег с банковских карт – скимминг. Что это такое? Установка специального оборудования на банкомат для считывания информации с карты. После этого мошенники могут сделать дубликат вашей карты с пин-кодом. Но подобные ситуации крайне редки, поскольку практически все банкоматы находятся под круглосуточным видеонаблюдением.
Рассмотрим еще один новый вид мошенничества. Схема работает очень просто: жулик занимает очередь к банкомату и начинает выполнять на нем операцию по пополнению счета мобильного телефона, вводит свой номер и сумму.
Из предложенных вариантов он выбирает оплату картой и отходит. Стоящий за ним в очереди клиент подходит к устройству и видит надпись «вставьте карту».
Ничего не подозревая, человек вставляет карту, если возможна бесконтактная оплата, то просто подносит пластик. Банкомат продолжает выполнение предыдущей операции, для устройства-то она была не закончена. Вот так просто вы оплатили предыдущую операцию, инициированную мошенником.
Как обезопасить себя?
Чтобы обезопасить себя от краж с бесконтактных пластиковых карт, соблюдайте простые меры предосторожности:
Купите специальный экранированный чехол для кредиток. Производители предлагают самые разные модели подобных изделий, некоторые изготовлены в виде кошельков. Вроде и простая вещь, но действует с гарантией. С карты, находящейся внутри экранированного пространства, без ведома хозяина снять деньги практически нереально.
В своем личном кабинете включите функцию подтверждения звонком всех переводов более 200-300 рублей. В этом случае платеж выполняется, но он остается замороженным до тех пор, пока оператор банка не свяжется с вами по телефону. После голосового подтверждения платеж переходит в исполнение. Может, это несколько неудобно будет на первых порах, зато реально поможет сберечь деньги.
Перед тем как вставить карту в банкомат внимательно читайте информацию на экране. Если вас что-то смущает, нажмите кнопку отмена, чтобы выйти в главное меню системы. Если есть возможность позвать консультанта, то воспользуйтесь ею. Банк очень сложно заставить платить за вашу невнимательность.
Также хочу вас предупредить: не скачивайте со сторонних ресурсов на свой смартфон программное обеспечение. Можно вместе с программой установить вирус-шпион, который передаст мошенником все ваши банковские реквизиты и пароли.
Пользоваться лучше всего теми банкоматами, которые расположены в людных местах. Так можно обезопасить себя от скимминга.
Если вы заходите в мобильный банк через телефон или ПК, внимательно проверьте адрес сайта в строке браузера. Если он не совпадает хоть на один символ с привычным адресом, не выполняйте никаких действий и сообщите о произошедшем в банк.
Не попадемся в лапы мошенников
Как не попасться на уловки мошенников? Очень просто – нужно быть всегда предельно внимательным. При поступлении телефонных звонков, даже с номера банка, нужно вести себя очень осторожно.
Если собеседник начинает спрашивать срок действия карты, секретный код на обратной стороне пластика или пароль из смс, которая пришла на пару минут раньше, не сообщайте эти сведения. Немедленно отключитесь и позвоните в свой банк. Там нужно подробно рассказать о поступившем звонке. Это важно! Вы можете помочь другим людям сберечь свои деньги!
Обязательно храните листик с пин-кодом отдельно от карты, не записывайте его в телефоне, не пользуйтесь автоматическим сохранением пароля в браузере.
Помните – сохранность наших средств зависит от наших действий, поэтому, если у вас возникают даже малейшие сомнения в репутации интернет-магазина – не оплачивайте там товары и услуги кредиткой, для этих целей заведите электронный кошелек.
У меня вроде все, может, что-то забыла? Делитесь своим мнением и опытом!
Ирина Петрова — практикующий юрист, специализирующаяся на семейном и наследственном праве. Она сопровождает клиентов в сложных правовых вопросах и делится опытом через статьи и разборы ситуаций.
Алексей Голенищев , директор Дирекции электронного бизнеса Альфа-Банка: Видео постановочное на 99,9%! Как правило, все подобные сюжеты, как и многое тому подобное на ТВ, заранее режиссируется по написанному сценарию. Якобы пострадавшая тоже подготовлена, хоть и «взята из толпы»… Это любой психолог скажет после просмотра. И карту она «случайно» зажимает таким образом, чтобы не было видно логотипа Сбербанка. Кстати, похоже в видеосюжете присутствует еще один видеоляп – карта Visa Сбербанка с таким дизайном, скорее всего, «контактная».
Национальная система платежных карт: Бесконтактные операции достаточно сильно защищены, об этом позаботились и производители терминалов, платежных карт и платежные системы. По факту уровень мошенничества по бесконтактным картам очень низкий, так как это очень неудобный способ мошенничества.
Лайфхак от главного архитектора национальной системы платежных карт И.М. Голдовского : «Если у держателя карты все же остались опасения – лучше всего носить в портмоне рядом 2 бесконтактные карты (это могут быть платежные банковские карты или банковская карта и проездной на метро, например). В этом случае у мошенника не будет ни единого шанса провести операцию! Предлагаемый футляр для карты — тоже решение (клетка Фарадея), но менее удобное».
Евгений Покровский , глава представительства Verifone Russia: Модель используемого на видео мобильного терминала полностью сертифицирована на прием бесконтактных карт, но списать с его помощью деньги со счета таким образом, как это показано в видеосюжете, практически невозможно.
Курочкин Сергей, заместитель директора департамента — начальник Отдела защиты информации Департамента безопасности Связь-Банка: POS-терминал для его практического применения должен быть определенным образом настроен. Данные настройки осуществляются банком и только для торгово-сервисных предприятий, с кем заключен соответствующий договор. Потенциальные клиенты перед заключением договора тщательно проверяются. Деятельность торгово-сервисных предприятий в процессе обслуживания постоянно контролируется. В этой связи есть основания полагать, что попытки организации криминального бизнеса, показанного в телесюжете, не имеют смысла.
