Безопасны ли бесконтактные карты
Насколько опасны бесконтактные банковские карты?
Российские банки перейдут на карты с технологией бесконтактной оплаты (NFC) по требованию международных платежных систем Visa и MasterCard. Visa прекратит выпуск старых карт с 13 апреля 2019 года, MasterCard — с 12 апреля 2021 года. Ряд пользователей таких карт опасаются. Возможно, не зря. Даже Центробанк РФ предупреждает россиян: бесконтактный «пластик» не безопасен. «Город 812» выяснял, как сохранить свои карты и деньги.
Карта в фольге – что может быть надежней!
Несмотря на то, что MasterCard, Visa и крупнейший банк России — Сбербанк уверяют, что пользоваться бесконтактными картами (PayWave/PayPass) не опаснее, чем другими технологиями для безналичной оплаты, пластик с NFC оказался довольно уязвимым. Центробанк РФ предупреждает:
«В местах большого скопления людей (переполненном общественном транспорте, на рынках, в магазинах) злоумышленник прислоняет бесконтактный считыватель или POS-терминал к карманам одежды, стенкам сумок и крадет деньги с карт у ничего не подозревающих жертв. Злоумышленнику достаточно приблизить считыватель к карте на расстояние 5–20 сантиметров, чтобы произвести списание. Полученную информацию мошенники могут также записывать на карты-клоны для дальнейшего хищения средств с настоящих банковских карт», – это информация с сайта по финансовой грамотности Банка России.
Там же есть рецепты, как защищаться.
«Использовать специальные экранированные бумажники (карта кладется в отсек, экранированный фольгой). Убедиться, что в качестве подтверждения списания суммы более 1000 рублей (с апреля у Visa бесконтактно будет списываться сумма до 3000 руб.) стоит запрос PIN-кода, а не подпись чека. В случае если вы не планируете оплачивать бесконтактным способом покупки на сумму более 1000 рублей, рекомендуется (при наличии такой возможности у банка-эмитента) установить индивидуальный расходный лимит по карте и ограничить размер возможных транзакций», – рекомендует Центробанк.
Украдут и не заметишь?
Эксперты Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ РФ (ФинЦЕРТ), рассказали, что наиболее популярным способом краж в РФ по-прежнему остается скимминг, при котором информация о банковской карте крадется с помощью специального устройства. Еще два года назад ФинЦЕРТ фиксировал «единичные случаи использования устройств, способных считывать информацию с чипов платежных карт». В настоящее время проводится техническое исследование этих устройств.
Мошенники научились воровать деньги и со смартфонов, использующихся для бесконтактной оплаты. Хакерские считыватели способны перехватывать информацию с телефона на расстоянии до 10 метров.
По данным ФинЦЕРТ , в 2018 году с банковских карт россиян было украдено 1,3 миллиарда рублей, что на 44% больше, чем в прошлом году.
Кстати, по данным финэкспертов, сумма чека при оплате по карте, в среднем, выше на 30% по сравнению с оплатой наличными. По мнению психологов, чем быстрее и удобнее человеку расплачиваться за покупки, тем легче он расстается с деньгами. Бесконтактные карты дают больше таких возможностей.
«Анонимных счетов в России не бывает»
На вопросы о безопасности бесконтактных карт «Города 812» ответили в пресс-службе Северо-Западного банка ПАО Сбербанк.
– Безопасны ли платежи с помощью карт, имеющих PayWave/PayPass? Что делать, чтобы защитить такую карту от злоумышленников?
– Сама по себе возможность бесконтактной оплаты не дает никаких преимуществ мошенникам: они не могут списать деньги без вашего ведома. Просто необходимо соблюдать основные правила безопасности, и рекомендуем обязательно подключить услугу Мобильный банк.
– Могут ли мошенники списать деньги считывающим устройством, незаметно прижав его к моему карману, – например, в транспорте, в магазинной очереди или в уличной толпе?
– POS-терминал «как в магазине» не может купить человек с улицы. Все подобные устройства регистрируются торговыми точками, деньги через терминалы переводятся на счета, у которых всегда есть владельцы – с паспортными данными, ИНН и т.п. Если какой-то предприниматель пойдет со своим терминалом в транспорт совершать фальшивые продажи, его сразу вычислят после первого же заявления пострадавшего
Терминал активируется для оплаты всего на несколько секунд. За это время очень сложно понять, где находится кошелек, и приблизиться к нему на расстояние не больше 4 см (именно таков радиус действия волн терминала).
Если бы мошенник сделал POS-терминал своими руками и научился бы мгновенно находить подходящие кошельки в толпе, ему надо было бы принимать безналичную оплату на какой-то счет. Анонимных счетов в России не бывает, а это значит, что мошенник не смог бы получить деньги, не «засветив» чье-то имя.
– Если коснуться терминала дважды, оба раза спишутся деньги?
– Нет. Терминал активируется, когда кассир вводит сумму. Это действует только на одну оплату, причем всего несколько секунд. Как правило, мы слышим при этом звуковой сигнал и видим на терминале значок бесконтактной оплаты. Если вы второй раз коснетесь терминала, а кассир при этом не вводил сумму новой покупки, терминал не «пикнет» и операция не пройдет.
– Если карту украли, могут ли воры потратить все деньги?
– Да. Они не смогут получить наличные с вашей карты и им будут доступны лишь мелкие покупки. Чтобы отследить попытку оплатить что-либо вашей картой, обязательно подключите услугу Мобильный банк, с которой вы будете получать СМС-уведомления обо всех операциях. Если вы увидели, что с карты списана сумма, которую вы не тратили, сразу позвоните в контактный центр Сбербанка по номеру 900 и заблокируйте карту.
– Не спишутся ли деньги с моей карты за чужую покупку, если человек платит в магазине, а я стою в очереди очень близко, вплотную за ним?
– Нет. Для проведения операции карта должна быть прямо у терминала, на расстоянии не больше 4 см. Вряд ли человек в очереди перед вами будет стоять так близко к вам.
– С какой карты спишутся деньги, если касаться терминала кошельком, а в нем лежат кредитная и дебетовая карты и обе – бесконтактные?
– Если в зоне действия терминала окажется больше одной бесконтактной карты, оплата не пройдет, а на терминале высветится надпись «Приложите одну карту». С какой карты платить, выбираете только вы сами, терминал не сделает это за вас.
Бесконтактные платежи: безопасность или ненужный риск
Содержание
Система бесконтактных платежей набрала популярность моментально. Банки стали активно предлагать карточки с новой технологией всего 4-5 лет назад, но сейчас ими пользуются повсеместно. Удобство использования и скорость обслуживания – главные преимущества бесконтактной оплаты. Но безопасно ли пользоваться такими картами? Есть ли риск стать жертвой мошенников?
Как работают бесконтактные платежи
Бесконтактная технология оплаты работает при соблюдении важного условия: и терминал, и пластиковая карта должны быть оснащены функцией дистанционного взаимодействия друг с другом. Для карточек это наличие специального чипа, который может обмениваться данными с терминалами. Аналогичным образом работает технология NFC на смартфонах.
Специальной функцией должны быть оснащены и терминалы для бесконтактных карт. Они связываются с карточкой через радиоинтерфейс с помощью магнитного поля, которое создает терминал. Это позволяет считывать всю необходимую информацию без дополнительного запроса ПИН-кода. Исключение составляют случаи, когда стоимость покупки составляет более 1 000 рублей для MasterCard и «МИР», более 3 000 рублей – для Visa.
Почему так популярна технология
Возможность оплачивать покупки без ввода карты в терминал заметно экономит время. Это касается и покупателей, и продавцов. Режим Tap&Go («оплати и иди») помогает оплачивать покупки за пару секунд, не задерживая очередь и не вводя лишний раз ПИН-код.
Быстрое обслуживание
Кредитные организации считают, что оплата в одно касание помогает в первую очередь покупателям. Действительно, платить на кассе теперь можно в разы быстрее. Но выгода есть и для магазинов: чем быстрее проходит оплата, тем меньше будет очередь. Скорость обслуживания становится выше, благодаря чему каждая касса может ежедневно обслуживать на 10-15 клиентов в день больше.
Удобство оплаты
Вставлять пластик в терминал, вводить ПИН-код и ждать его считывания… По сравнению с бесконтактной оплатой такая процедура кажется ужасно неудобной. С Tap&Go покупателям не приходится выполнять лишние действия: терминал считывает всю необходимую информацию сам, достаточно приложить карту.
Многие прикладывают карточку вплотную к терминалу. На самом деле достаточно поднести пластик на расстояние до 4 см, чтобы оплата успешно прошла. Но со временем и терминалы, и чипы карточек постепенно размагничиваются, поэтому в некоторых случаях для платежа нужно плотно приложить пластик к экрану терминала.
Удобство технологии заключается в вариативности. К смартфонам, планшетам, браслетам и часам, оснащенным функцией NFC, можно привязывать пластик и проводить оплату без банковской карты. С такой возможностью переживать, что забыл бумажник или кошелек дома, не стоит: деньги всегда будут под рукой.
Безопасны ли бесконтактные платежи
У бесконтактной оплаты есть и свои критики. Они связывают недоверие к технологии с угрозами безопасности использования такого пластика. С одной стороны, потенциальный риск при работе с Tap&Go есть. Но фактически вопрос безопасности упирается во внимательность владельца карты.
Возможные риски
Главным страхом критиков технологии являются мошенники. С каждым годом их действия становятся все более продуманными, и некоторые СМИ активно распространяют сведения о том, что появляются случаи списания денежных средств по бесконтактным картам без участия владельца. Кроме того, потеряв такой пластик, его держатель сразу же обрекает себя на кражу денег. Но так ли все плохо?
Мошенничество в общественных местах
Сторонники карт без бесконтактной оплаты считают, что мошенники могут использовать мобильные терминалы для списания денег в общественных местах. Например, в час-пик в метро или автобусе, когда плотность пассажиров высока, и заметить какие-либо подозрительные действия непросто. На самом деле такой вид мошенничества невыгоден в первую очередь самим мошенникам.
Банковские терминалы работают только при наличии привязки к расчетному счету в кредитной организации. Это позволяет государству и банку контролировать, когда и где проводилось списание, а также проверять, за какие товары или услуги поступила оплата. Для мошенников такой способ создает слишком большой риск: вычислить подобную схему получится в считанные дни. Именно поэтому до сих пор даже нет зарегистрированных случаев мошенничества с мобильными терминалами.
Утеря карточки
Реальный риск создает утеря или кража пластика. Попав в руки недобропорядочного гражданина, он становится фактически его собственной карточкой. Учитывая, что оплачивать без ПИН-кода можно от 1 до 3 тысяч рублей в зависимости от типа платежной системы, умные мошенники могут таким образом тратить всю сумму со счета за несколько небольших покупок. В таком случае выход только один: после утери немедленно закрыть карточку и перевести деньги на другой счет. Если же деньги уже пропали, нужно незамедлительно сообщить об этом в банк и полицию.
Способы защиты
Можно предположить, что однажды мошенники решатся использовать столь невыгодный способ кражи денег. В такой ситуации предупредить мошенничество очень просто. Нужно лишь следовать парочке простых советов: следить за своими карточками и по возможности пользоваться бесконтактной оплатой через телефон.
Внимательное хранение
Следить за хранением пластика нужно всегда вне зависимости от его типа. Лучше всего держать его в бумажнике или кошельке во внутреннем кармане: так всегда получится чувствовать, что все на месте. Прятать карточки в сумки с обычными ручками небезопасно: при потере сумки с деньгами на карте, скорее всего, тоже придется попрощаться. Предпочтение стоит отдать сумкам с лямкой через плечо или шею: потерять ее будет довольно сложно.
Хранить пластик в карманах джинсов крайне не рекомендуется. Именно карманники чаще всего пользуются халатностью граждан и воруют карты в общественном транспорте, торговых центрах и даже на улицах.
Экранирующие чехлы
Надежным методом защиты от мошенников в общественных местах является использование экранирующих чехлов для карт. Они состоят из двух специальных слоев: металлического и пластикового. Это помогает защищать карточку от проникновения радиосигнала, препятствуя считыванию информации. Чтобы воспользоваться пластиком для оплаты, нужно полностью достать его из чехла. Стоят они недорого: на AliExpress чехлы можно приобрести по цене от 35 до 70 рублей.
Использование ApplePay и GooglePay
Самый надежным способом предупредить риски – это не брать карточки с собой. В качестве альтернативы рекомендуется использовать смартфоны с технологией NFC, позволяющей работать с ApplePay и GooglePay. Сервисы помогают проводить платежи без карты: достаточно просто привязать ее к нужному приложению.
Оплата через смартфон имеет дополнительную защиту. Перед проведением платежа владелец гаджета подтверждает действие вводом пароля безопасности или отпечатком пальца. Только после этого NFC позволяет оплатить товар или услугу.
Заключение
Бесконтактные карточки выпускаются повсеместно. Практически не осталось кредитных организаций, которые бы продолжали оформлять классические карты. По уровню безопасности различий между ними практически нет. Единственным риском является утеря пластика: в таком случае злоумышленники смогут тратить деньги без ввода ПИН-кода с помощью мелких покупок. Тем, кто переживает за безопасность работы с бесконтактной технологией, лучше всего пользоваться функциями ApplePay и GooglePay. Системы позволяют оплачивать покупки в одно касания без карты, создавая при этом дополнительный уровень защиты.
Курс доллара и евро
сейчас и на завтра
Деньги из воздуха: стоит ли бояться бесконтактных платежей? Самая очевидная опасность — потеря бесконтактной карты. Если она попадет в руки злоумышленника, тот сможет беспрепятственно совершать мелкие покупки, пока владелец не заблокирует “пластик”.
Банки наращивают долю бесконтактных карт. Насколько безопасны такие карты и какие способы могут использовать мошенники, чтобы уводить деньги с пластика?
В России активно развивается система бесконтактных платежей. По данным компании Visa, с сентября 2015 по сентябрь 2016 года количество транзакций по картам Visa РayWave увеличилось в 4,5 раза. В пресс-службе платежной системы MasterCard, ссылаясь на исследование MasterIndex по итогам 2016 года, отметили, что более 60% россиян знакомы с технологией бесконтактной оплаты. Этот показатель вдвое превышает результаты 2015 года.
Опрошенные РБК топ-10 банков и банковских групп из рэнкинга «Интерфакс-100» отмечают, что постепенно наращивают объем бесконтактных карт в своем портфеле, хотя они не ведут отдельную статистику по бесконтактным картам, и приводят оценочные цифры. По данным пресс-службы Альфа-банка, за два года объем бесконтактных карт увеличился примерно в два раза. В пресс-службе ЮниКредит Банка говорят, что на долю бесконтактных карт в общем портфеле организации приходится почти 80%, а год назад этот показатель составлял около 70%.
«Большинство новых карт, выпускаемых ВТБ, являются бесконтактными. В настоящий момент их доля составляет более 30% от карточного портфеля банка, год назад она составляла примерно 15%, и данный показатель продолжает активно расти», — говорит заместитель руководителя департамента розничных продуктов ВТБ Юлия Деменюк. Остальные опрошенные банки не предоставили статистику относительно выпуска бесконтактных карт.
В конце сентября Сбербанк сообщил, что к концу 2017 года все выпущенные банком новые карты, кроме карт моментальной выдачи и электронных (Visa Electron, Maestro, Maestro Социальная), станут бесконтактными. На долю бесконтактных карт Visa и MasterCard в портфеле Сбербанка сейчас приходится 11%. Всего же у Сбербанка 131 млн действующих пластиковых карт, таким образом, в ближайшие годы по мере обновления портфеля только от Сбербанка на рынок поступят десятки миллионов бесконтактных карт.
В основе действия технологии бесконтактной передачи данных лежит отправка сведений на малом расстоянии (не более 5 см) между картой и считывателем через магнитное поле, говорят эксперты. Чип и антенна, размещенные в карте, откликаются на запрос платежного терминала. Транзакции на сумму до 1 тыс. руб. не требуют введения пин-кода. Сделано это, для того чтобы недорогие покупки не занимали у покупателя много времени. Более крупные операции уже нуждаются в дополнительном подтверждении пин-кодом. Изменить этот лимит самостоятельно клиент банка не может.
В России бесконтактная карточная технология от Visa РayWave появилась осенью 2011 года. PayPass от MasterCard — в 2008 году.
С популярностью бесконтактных платежей увеличивается и количество слухов об уязвимости этой технологии. РБК разбирался, действительно ли бесконтактные карты более уязвимы по сравнению с обычным «пластиком» и как держатели таких карт могут защититься от мошенников.
Опасности реальные и мнимые
Получая на руки новую карту, клиенты часто задают вопрос о ее надежности, отмечают банкиры. По словам директора по мониторингу электронного бизнеса Альфа-банка Алексея Голенищева, подобные вопросы вызваны относительной новизной технологии и отсутствием популярной информации, а также надуманным и необоснованным негативом, порой транслируемым в интернете.
В частности, некоторые клиенты боятся, что с бесконтактной карты можно в людных местах мгновенно без ведома владельца снять небольшую сумму. «Якобы в общественном транспорте ходят мошенники с бесконтактными терминалами и списывают незаметно с бесконтактных карт клиентов суммы до 1000 руб. Это очень гипотетический вариант, практически малоосуществимый», — говорит Голенищев. «Размер угрозы крайне переоценен», — согласен руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention «Лаборатории Касперского» Денис Горчаков.
Как поясняет старший специалист отдела исследования безопасности банковских систем Positive Technologies Ярослав Бабин, для проведения транзакции и списания денег с карты необходим работающий платежный терминал, чтобы банк-эквайер мог провести платеж. POS-терминал выдается только юридическим лицам и индивидуальным предпринимателям при заключении соответствующего договора, поясняет менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента ИБ ГК Softline Дмитрий Тирский. «Поэтому неправомерное использование оборудования легко установить, а вся информация о совершенных транзакциях сохраняется в логах банка, обслуживающего терминал», — говорит он.
Если клиенту придет уведомление об операции, которую он не совершал, то он может сообщить об этом в свой банк, который определит, через терминал какого банка был совершен платеж. «После этого банк, выдавший терминал оплаты, будет вынужден вернуть средства клиенту. В дальнейшем банк-эквайер может взыскать возвращенные денежные средства и оштрафовать владельца терминала оплаты», — поясняет начальник отдела развития Фридом Финанс Банка Мурад Шихмагомедов.
Еще одна угроза, информация о которой активно тиражируется в интернете, связана с возможностью с помощью самодельного считывающего устройства «уводить» с пластика не деньги, а данные (от имени держателя до истории транзакций и остатке на счете).
В Сети эта схема описана следующим образом: с помощью самодельного считывающего устройства злоумышленники считывают с карт данные, чтобы потом, используя их, создать карту-клон с магнитной полосой и совершать с ее помощью покупки в интернете. Этот вариант мошенничества эксперты называют не самым популярным, но реализуемым. В 2015 году, по данным компании Zecurion, таким образом с бесконтактных карт россиян увели 2 млн руб., статистику за более поздний период компания не предоставляет, ссылаясь на договоренности с банками.
По словам Дмитрия Тирского, информация, которую могут узнать мошенники, очень ограничена. Это номер карты, срок действия, история транзакций, чтобы оценить активность пользования картой и активность ее использования. При этом код CVV (трехзначный код, расположенный на обратной стороне карты), который необходимо вводить для подтверждения платежа, скопировать невозможно. Алексей Голенищев из Альфа-банка говорит, что несколько лет назад некоторые онлайн-продавцы игнорировали требование подтверждать транзакции с помощью CVV и подобные махинации были возможны. Также, по его словам, иногда мошенники пользовались пробелами настройки системы безопасности банков. «Были единичные случаи, когда мошенники выясняли, что у какого-то банка некорректно работает система авторизации, и вместо запрашиваемого CVV вбивали произвольные цифры. Но банки совершенствуют свою систему безопасности. Сейчас все банки — эмитенты карт в России в обязательном порядке проверяют CVV/CVC», — говорит он.
Эксперты говорят, что самая очевидная опасность для клиента — потеря бесконтактной карты. Если она попадет в руки злоумышленника, тот сможет беспрепятственно совершать мелкие покупки, пока владелец не заблокирует «пластик». Даже специальное оборудование ему для этого не понадобится.
Однако руководитель направления информационной безопасности компании КРОК Андрей Заикин отмечает, что несколько платежей на мелкую сумму подряд заставят сработать защитные системы банка и банк заблокирует такие операции как подозрительные. Транзакции будут заморожены до подтверждения их легитимности. В банках подтвердили, что система безопасности отслеживает подобные транзакции, отметив, что, как правило, операция блокируется после трех совершенных подряд операций на сумму, не требующую пин-кода.
На всякий случай
Те, кто все-таки боятся неправомерного списания средств с карты «по воздуху», могут найти в интернете нехитрые приспособления, которые защитят от мошенников. Например, в онлайн-магазинах можно найти экранирующие футляры из алюминия. Их цена варьируется от 50 руб. (за кардхолдер на одну карту) до 500 руб. (за футляры из кожи на несколько карт). Дороже (от 700–900 руб.) будут стоить полноценные кошельки с подкладкой из металлизированной ткани. Встречаются даже сумки и портфели со специальными изолированными отделениями, которые не пропустят сигнал.
Эксперты подтверждают, что эти способы действенные. Считать данные карты будет невозможно, но, чтобы совершить покупку, пластик придется каждый раз вынимать из «упаковки».
Начальник аналитического управления Бинбанка Александр Свиридов добавляет, что если в кошельке есть две и более бесконтактных карты (включая транспортные), то это усложняет задачу считывания для злоумышленника. Терминал просто «запутается» в радиоволнах от нескольких карт.
Источники:
http://gorod-812.ru/perehod-na-beskontaktnyie-bankovskie-kartyi-kak-ne-ostatsya-bez-deneg/
http://bolshedeneg.net/savings/beskontaktnye-platezhi-bezopasnost/
http://www.sberometer.ru/rvn/35388/stoit-li-boyatsya-beskontaktnyh-platezhey-samaya-ochevidnaya-opasnost-poterya-beskontaktnoy-karty
