Осторожно! Бесконтактные платежи | ITSec.Ru

Современные риски бесконтактных платежей с использованием rfid-технологий



УДК 343.851.3

СОВРЕМЕННЫЕ РИСКИ БЕСКОНТАКТНЫХ ПЛАТЕЖЕЙ С ИСПОЛЬЗОВАНИЕМ RFID-ТЕХНОЛОГИЙ

MODERN RISKS OF CONTACTLESS PAYMENTS USING RFID TECHNOLOGY

© Гурьянов Константин Валентинович

Konstantin V. Guryanov кандидат технических наук, доцент, Почётный сотрудник МВД России, преподаватель, Саратовская государственная юридическая академия, юридический колледж (г. Саратов).

PhD (Technical), Associate Professor, Honored worker of the Russian Interior Ministry, lecturer, Saratov State Law Academy, Law College (Saratov).

И gur_57@mail.ru

Аннотация. В статье рассматриваются возможные риски, связанные с осуществлением бесконтактных платежей с помощью RFID-технологий, а также вопросы информационной безопасности при осуществлении бесконтактных платежей с банковских карт, оснащённых RFID-метками.

Ключевые слова: электронная платёжная система, бесконтактные платежи, RFID-технологии, информационные риски, информационная безопасность.

Глобальная информатизация общества, как в России, так и за рубежом сопровождается активной компьютеризацией и автоматизацией внутренних и внешних информационных процессов.

Важнейшей проблемой информатизации является обеспечение точности и безопасности информации при её передаче и хранении. К основным задачам в этой области, требующим эффективного решения, относятся проблемы электронной бесконтактной идентификации объектов, аутентификации, управления доступом и защиты каналов передачи информации.

Средства идентификации на основе электронных устройств являются качественно новым видом продукции и услуг, влияющим на все сферы жизнедеятельности человека, в том числе на систему безналичных расчётов с помощью банковских карт.

В настоящее время для электронной идентификации получила широкое распространение RFID-технология [8, с. 31]. Аббревиатура RFID происходит от английского Radio Frequency

Abstract: consider the public relationsdiscusses the public relations associated with making contactless payments using RFID-technology; short stages of development of RFID technology; information security issues when making contactless payments from bank cards equipped with RFID tags.

Key words: electronic payment system, contactless payments, RFID technologies, information risks, information security.

ГОеПйсайоп – радиочастотная идентификация -метод автоматической идентификации объектов, в котором считываются и/или записываются данные (хранящиеся в так называемых RFID-метках – микропроцессорных устройствах с радио-интерфейсом) посредством радиосигналов.

Общая схема RFГО-системы (рис. 1) состоит из следующих элементов:

– транспондер (RFID-метка, RFID-тег);

– антенна;

– считывающее устройство (считыватель, ридер, интеррогатор);

– компьютер.

Рис. 1. Общая схема RFID-системы

RFID-метка – это микрочип, активирующийся при поступлении радиосигнала извне. При контакте RFID-метки со считывателем она получает необходимое для работы питание: запускается операционная система и установленное приложение, которое, передаёт информацию обратно в зашифрованном виде на считыватель. Эта технология беспроводной высокочастотной связи малого радиуса действия является расширением стандарта бесконтактных карт ISO 14443 и объединяет в одно устройство смарт-карту и считыватель.

На протяжении длительного времени основными платёжными системами в России являются VISA и MasterCard. Карты международной системы Mastercard оснащены чипами PayPass, а карты платёжной системы Visa – чипами с названием PayWave (табл. 1), защита банковских карт обеспечивается технологией EMV1 (международный стандарт для операций по банковским картам с чипом) каждая тран-сакция2, осуществляемая при помощи чипа, уникальна за счёт использования криптографических преобразований. Использование злоумышленниками полученной информации для создания копии платёжной карты возможно, но затруднительно.

Таблица 1

Логотипы на картах, поддерживающих бесконтактную технологию оплаты

Общий вид логотипа на бесконтактных картах Платёжная система

ев ^ypass Логотип на картах MasterCard

Visa,,, payWave ”/ Логотип на картах VisaPayWave

0 Универсальный логотип для карт

Причём, и Mastercard, и Visa позволяют использовать свои бесконтактные технологии как на старых картах с магнитной полосой, так и на более новых – с RFID-чипом [7, с. 37].

1 Стандарт EMV – международный стандарт для операций по банковским картам с чипом, разработанный совместными усилиями компаний Europay, MasterCard и Visa для повышения уровня безопасности финансовых операций. Основное отличие для пользователя карты стандарта EMV – преимущественное требование ввода ПИН-кода при проведении любого платежа через терминал.

2 В своей работе придерживаемся такого написания данного слова исходя из следующего: трансакция – банковская операция, состоящая в переводе денежных средств с одно -го счёта на другой. Транзакция – термин, используемый в информатике, – это группа последовательных операций, которая представляет собой логическую единицу работы в базе данных.

Целью нашей работы является проведение теоретического анализа возможных преступных проявлений, основанных на использовании и применении RFID-технологий в отношении бесконтактных банковских карт.

Впервые риски, связанные с применением RFID-технологий в бесконтактных способах оплаты с помощью банковских карт, начали серьёзно рассматривать на научном уровне в начале XXI века.

Так, в 2003 году, практически одновременно, в разных точках планеты прошли два независимых друг от друга мероприятия, тесно связанные единым предметом обсуждения. 15 ноября в Массачусетском технологическом институте (США) прошёл научный семинар «RFID и приватность». Подобный семинар был организован впервые, однако его актуальность сразу стала очевидна практически для всех: сколь серьёзную угрозу тайне личной жизни представляют новейшие технологии бесконтактной идентификации.

Через несколько дней, 20-21 ноября в парижском отеле «Шарль де Голль» состоялся большой международный конгресс «ID World 2003» под девизом «Революция идентификации в реальном и цифровом мирах». Участники конгресса обсуждали достижения и перспективы технологий RFID, биометрии, смарт-карт, сбор информации на основе этих технологий и связанные с RFID-технологиями риски.

С тех пор научные семинары, конгрессы, круглые столы, посвящённые достижениям и перспективам технологий RFID, биометрии, смарт-карт, сбору информации на основе этих технологий и связанных с RFID-технологиями рискам, проводятся регулярно.

29 мая 2022 г. в Москве, в Центральном банке Российской Федерации состоялся круглый стол по теме: «Наличные деньги и электронные средства платежа: проблемы, тенденции», проведённый под эгидой Банка России. Обсуждались такие актуальные вопросы, как: роль наличных и безналичных денежных средств в экономике Российской Федерации; преимущества и недостатки наличных денег и электронных средств платежа; основные риски, связанные с наличными и безналичными расчётами.

По словам А. В. Юрова, директора Департамента наличного денежного обращения Банка России: «.. .По оценке международных экспертов, оборот мирового рынка киберпреступлений превышает 200 млрд руб. На российский сегмент преступного рынка приходится свыше 60 млрд руб.» [10, с. 9].

Заместитель министра финансов Российской Федерации А. Л. Саватюгин констатировал: «… мы занимаем лидирующие позиции не только по количеству банкоматов, но и по «карточным» мошенничествам, которые становятся самым распространённым видом киберпреступности…» [10, с. 5].

■^mi

SISK^’

Несколько позже наличие рисков, связанных с бесконтактной идентификацией при использовании банковских карт подтвердил официальный сайт ЦБ РФ и его структурное подразделение главного управления безопасности и защиты информации Банка России (ГУБиЗИ) – ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT)): «… ФинЦЕРТ Банка России зафиксировал единичные случаи использования устройств, способных считывать информацию с чипов платёжных карт» [14].

Через некоторое время ФинЦЕРТ опубликовал отчёт Центра за период с 01.06.2022 по 01.09.2022 года, в котором на основе анализа логических и физических атак сообщалось следующее:

«… Несмотря на отсутствие подтверждённых сведений о фактах успешного создания в России дубликатов платёжных карт, существует техническая возможность хищения бесконтактным методом таких данных, как:

– тип используемого платёжного приложения;

– срок действия карты;

– имя держателя карты;

– PAN (Primary Account Number) карты;

– история операций;

– количество оставшихся попыток ввода PIN-кода;

– другие данные, в том числе возможно отдельное хищение Track 2 магнитной полосы платёжной карты.»1.

Возможность хищения бесконтактным методом персональных данных с банковских карт ФинЦЕРТ подтвердил аналитическими и статистическими данными: «… Уровень грамотности россиян в сфере информационной безопасности позволяет мошенникам из года в год успешно использовать информационные технологии и средства связи <…> для хищения средств с их личных счетов или счетов их работодателей. Так, в 2022 г. мошенники похитили у физлиц более 1 млрд рублей»2.

Аналитический обзор «Прогнозы RFID, игроки и возможности на 20222028 гг. Полный анализ мировой индустрии RFID», опубликованный в 2022 году компанией IDTechEx, проводящей

1 Отчёт Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России 1.09.2022-31.08.2022 // М. : Центральный банк Российской Федерации, 2022. 43 с.

2 Там же.

подробные аналитические исследования новейших технологий, содержал анализ значительного роста рынка RFID (метки, считыватели, программное обеспечение, услуги для меток RFID, карт и др.). В то же время, в этом аналитическом обзоре предупреждается, что RFID-технологии не только открывают безграничные возможности, но и таят в себе большие риски и опасности.

Отметим, что существующие тенденции на рынке электроники свидетельствуют о значительном интересе к технологии радиочастотной идентификации со стороны компаний-производителей, компаний-потребителей, рядовых пользователей. В то же время, все опубликованные научные, аналитические и статистические материалы неуклонно свидетельствуют, что несомненный и всё более активный интерес к бесконтактной идентификации, RFID-технологиям проявляют и преступные элементы.

Безусловное удобство пользования RFID-технологии, которое состоит в том, что для рядового пользователя бесконтактных карт значительно упрощается и ускоряется процесс осуществления платежей: при совершении оплаты нет необходимости расписываться на кассовом чеке и вводить в PoS-терминал3 свой ПИН-код.

Эта особенность бесконтактных карт вызвала множество обоснованных и необоснованных подозрений: ведь вполне очевидно, что если не карту поднести к терминалу, а терминал к карте, то, вполне ожидаемо, что эффект будет тем же – произойдёт взаимодействие бесконтактной карты со считывающим устройством. В печатных публикациях и в интернете регулярно появляются сообщения о мошенниках, которые ходят в транспорте, торговых центрах, на рынках или других местах плотного пассажиропотока или скопления большого количества людей. Мошенник, затерявшись в толпе, используя небольшой PoS-терминал или специально подготовленный смартфон, проводит в непосредственной близости от тех мест на одежде людей, где может лежать бесконтактная карта или по сумке в которой лежит кошелёк, автоматически снимает некоторое ограниченное количество денег с карт ничего не подозревающих людей.

Полагаем, что такая ситуация в реальности теоретически возможна. В принципе, если говорить о банковских картах, то они всегда были в центре внимания злоумышленников: опубликованные статистические данные свидетельствуют о том, что огромные суммы денег ежегодно списываются со счетов владельцев банковских карт без ведома их владельцев. Благодаря же бесконтактной RFID-технологии

3 PoS-терминал (от англ. Point Of Sale – точка продажи и от англ. Terminal – окончание) – электронное программ-но-техн ическое устройство для приёма к оплате платёжных карт; может принимать к оплате карты с чипом, магнитной полосой, бесконтактные карты и другие устройства, имеющие бесконтактное сопряжение.

появилась ещё одна, дополнительная брешь в информационной безопасности, ещё один фактор риска.

Во-первых, старый – самый простейший случай, – потеря или кража бесконтактной карты и пользователь-владелец этого не заметил. В этом случае злоумышленник или мошенник может ходить с этой картой по магазинам или кафе и совершать покупки до определённой суммы, пока счёт на карте не опустеет.

Во-вторых, новый фактор риска – сигналы с таких банковских карт, оснащённых технологиями PayWave и PayPass, преступники могут перехватывать с помощью кустарно сделанных считывателей буквально «по воздуху».

Возникает всё же вопрос: возможно ли это? и почему это возможно? Всё очень просто -пластиковые карты с установленными в них бесконтактными RFID-чипами можно использовать «не прокатывая» и не вставляя в PoS-терминал, а лишь прикладывая их к банковскому терминалу.

Кроме этого, появились методы «увода» денег с банковских карт используя последние модели смартфонов, в которых присутствует модификация разновидности технологии RFID

– устройство NFC1.

Технология NFC в области банковских приложений позволяет заменить магнитную полосу на более современное решение (сотовый телефон или RFID-метку).

Главное отличие NFC-технологии для использования в бесконтактных трансакциях -минимальное время установления соединения между картой и считывателем (менее одной секунды).

Особенностью этой технологии является возможность осуществлять бесконтактные платежи без аутентификации держателем карты (без ввода PIN-кода) до определённой суммы. В Российской Федерации эти операции ограничены суммой до 1000 рублей, в странах Евросоюза до 25 евро, в США до 50 долларов, в Великобритании до 30 фунтов стерлингов, в Казахстане до 4000 тенге, в Беларуси до 22 белорусских рублей, в Польше до 50 злотых, в Австралии до 100 австралийских долларов, в Швейцарии до 50 швейцарских франков, в Канаде до 100 канадских долларов, на Укрaине до 500 гривен, в Узбекистане до 25 долларов США и так далее.

Без всякого сомнения, ограничение максимальной суммы бесконтактной трансакции

– важный уровень защиты. Это ограничение в настройках терминального оборудования задаёт банк-эквайер, который, в свою очередь,

1 NFC – Near field communication («коммуникация ближне -го поля», «ближняя бесконтактная связь») – технология беспроводной передачи данных малого радиуса действия, анонсированная в 2004 г.; позволяет осуществлять обмен данными между устройствами, находящимися на рассто -янии около 10 сантиметров; NFC нацелена прежде всего на использование в цифровых мобильных устройствах.

руководствуется в этом рекомендациями платёжных систем.

Тем не менее, команда британских исследователей уязвимости банковских бесконтактных карт из Университета Ньюкасла (Newcastle University, UK) сообщила, что они обнаружили такую уязвимость в защите бесконтактных трансакций: в том случае, если запросить платёж в иностранной валюте, то пороговое ограничение не срабатывает, а если платёжный терминал не подключён к Интернету, то максимальная сумма мошеннической трансакции может превысить установленные ограничения бесконтактных трансакций.

Однако представители платёжных систем опровергают такую возможность подобной уязвимости и утверждают, что такая трансакция будет отклонена банковскими системами безопасности, поскольку терминал контролирует максимальный размер платежа независимо от того, в какой валюте он осуществляется.

Ещё одной из уязвимостей специалисты так же называют шифрование не всех данных, то есть встроенная в карту RFID-метка содержит основные сведения о карте, её номер и дату срока действия, которые и передаются считывателю в открытом, незашифрованном виде. Утечка же номера и срока действия карты являются нежелательными, поскольку после перехвата этих данных ими могут воспользоваться злоумышленники для выполнения мошеннических трансакций.

Смысл мошеннических методов весьма прост – перехват NFC-сигналов, используя либо троянские программы, либо незаконные устройства-считыватели. Так, нередко пользователи хранят свои банковские карты в бумажнике поблизости от смартфона, чем и могут воспользоваться злоумышленники. Например, в смартфоне, оснащённом NFC-модулем, при использовании троянской программы гаджет превращается в NFC-ретранслятор. Незаконные устройства-считыватели работают на больших расстояниях, чем утверждённые в стандарте -менее 10 сантиметров. В настоящее время вполне достаточно подтверждённых данных о том, что используя небольшой сканер, существует возможность считывания сигнала с RFID-метки с помощью NFC-данных на расстоянии до 80 и более сантиметров.

Подобное устройство в руках мошенника может незаметно обращаться к бесконтактным картам в метро, общественном транспорте, торговых центрах, вокзалах, аэропортах и других общественных местах. Суть мошеннической операции заключается в том, что первый мошенник, проходит мимо людей и проводит мобильным RFID-сканером в непосредственной близости от владельцев банковских карт; этот сканер запрашивает с попавших в зону действия карт данные и получает их вместе с очередным динамическим CVV-кодом. Сообщник первого мошенника, получив считанные данные, с по-

мощью специального устройства записывает их на карту-клон, что позволяет в дальнейшем не только совершить покупки стоимостью менее тысячи рублей каждая, но возможно и обналичить все денежные средства. Разумеется, что при совершении покупки один динамический СУУ-код можно использовать для одной трансакции. Если же попытаться совершить повторную покупку с помощью карты-клона, система обнаружит повторное использование СУ^кода и заблокирует карты.

Тем не менее, не будем оставлять без внимания вышеописанную суть мошеннической операции: первый мошенник, проходя мимо людей и проводя мобильным RFID-сканером запрашивает с попавших в зону действия карт данные, а сообщник первого мошенника, получив считанные данные, записывает их на карту-клон, с помощью которой можно совершить покупки стоимостью менее тысячи рублей каждая, но возможно обналичить и все денежные средства, находившиеся на карте «жертвы».

По своему техническому смыслу RFID-перехватчики – это усовершенствованные аналоги обычных бесконтактных стандартных карточных PoS-терминалов с увеличенной функциональностью, заключающейся в том, что улавливают и обрабатывают электромагнитные волны. RFID-перехватчики, как правило, обычно оборудуются антенной, специальным контроллером, разъёмами для извлечения со считывателя информации и компьютерного программного обеспечения. Естественно, что официальное программное обеспечение, необходимое для работы с RFID-метками, проходит необходимую проверку, лицензируется и сертифицируется. Но обратим внимание на слова Д. Сучкова, технического директора российской компании SafenSoft, занимающейся разработкой программного оборудования для обеспечения безопасности компьютеров и сетей: «… Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В процессе жизненного цикла программы выпускаются обновления, исправляющие ошибки, однако далеко не редки случаи, когда исправление, закрывающее одни недостатки, привносит в программу другие. Данный процесс цикличен, и даже программы, для которых выпу-

щено множество обновлений, всё равно остаются уязвимыми <…> Время, которое может потратить даже начинающий мошенник на изучение незащищённой программы, может исчисляться часами и даже минутами…» [5].

Для несанкционированного считывания платёжных данных мошеннику достаточно будет поднести альтернативный RFID-сканер (RFID-перехватчик) к карточке жертвы на расстояние, на котором в настоящее время технология беспроводной передачи обеспечивает обмен данными между устройствами. В метро или наземном транспорте сделать это в час пик можно легко и незаметно. Полученная несанкционированная информация о банковской карте жертвы затем может передаваться другим участникам, которые могут и не знать рядового исполнителя, работающего в транспорте. Затем изготавливаются клоны-дубликаты банковских карт, которые впоследствии и используются для обналичивания денег с банковских карт.

Себестоимость нелегального RFID-пере-хватчика для атаки на карточки с PayWave и PayPass составляет всего лишь около ста долларов, при этом «изобретатели» могут делать их из легальных комплектующих, которые легко можно заказать на eBay или AliExpress.

Полагается, что в случае несанкционированного доступа на бесконтактные карты помогает СМС-информирование о списании, то есть у владельца карты появляется возможность позвонить оперативно в банк и уведомить оператора о неправомерном списании денежных средств со счёта. Здесь может возникнуть некая сложность, например, когда владелец карты находится в метро и уровень сигнала сети мобильного оператора недостаточен чтобы своевременно получить СМС-информирование, или, когда находясь в транспорте, также сложно услышать сигнал СМС из-за высокого уровня шума. Для мошенника же, доступ к Wi-Fi в транспорте добавил больше возможностей совершить несанкционированное списание денежных средств с бесконтактной карты, поскольку для проведения операции трансакции нужен интернет-канал для связи с банком. Кроме этого, можно и просто не заметить несанкционированного списания со своего счёта, так как они или незначительны, или не всегда можно вспомнить, какие трансакции в этот день совершались с конкретной карты, тем более, если редко используются наличные для оплаты покупок. Заметим, что по подобным противоправным действиям трудно найти и составить официальную статистику, так как обращений в правоохранительные органы по данным инцидентам не так много, что вызвано нежеланием владельца карты тратить время из-за незначительного размера украденных средств.

Официальные открытые данные МВД России по такому способу мошеннических данных найти действительно трудно, хотя по отдельным регионам подобные данные существуют.

Например, по Саратовской области количество преступлений, совершённых в финансовой сфере через интернет, а также совершённых с использованием компьютерных и телекоммуникационных технологий, ежегодно увеличивается. Конечно, объясняется это не только и не столько тем, что растёт сама по себе преступность, а, в основном, тем, что банки предоставляют гражданам всё более широкие возможности для удалённого доступа к своим банковским счетам, в том числе и через бесконтактные банковские карты. Так, по сообщениям пресс-службы Саратовской областной прокуратуры в 2022 году в регионе зарегистрировали 2750 преступлений данной категории (в том числе более 1,6 тысячи мошенничеств и более 560 краж через интернет), что составило десятую часть всех преступлений, в это же время в Приволжском федеральном округе было зарегистрировано 40 тысяч таких преступлений, а по Российской Федерации -171 тысяча. Способы совершения таких преступлений были рассчитаны на многократный обход систем защиты. В Саратовской области из числа всех совершённых преступлений до суда дошло только 550 дел [4].

Поэтому будем оперировать опубликованными открытыми данными компаний, занимающимися вопросами информационной безопасности и данными Банка России. Итак, по сведениям компании Zecurion1 «…в 2022 г. мошенники украли до 2 млн руб. с банковских карт россиян при помощи новой технологии, которая позволяет «вытягивать» деньги с карточек, оснащённых системой бесконтактной оплаты товаров.» [1].

По последним опубликованным данным Банка России (опубликованы в конце 2022 года и включает сведения на начало 2022 года) об операциях, совершённых на территории Российской Федерации и за её пределами с использованием платёжных карт, эмитированных на территории Российской Федерации, количество и объём таких операций неизменно увеличиваются из года в год. Рост показателей за 2022 г. составил около 25% относительно аналогичных значений за 2022 год (по 2022 году сведения на момент подготовки статьи не опубликованы).

Обзор несанкционированных переводов денежных средств, подготовленный ФинЦЕРТ Банка России Главного управления безопасности и защиты информации Банка России, опубликованный в 2022 году показывает, что количество всех несанкционированных операций, совершённых с использованием платёжных карт, эмитированных на территории Российской Федерации, в 2022 г. составил 317 178 ед., что пре-

1 Zecurion (www.zecurion.ru) – крупнейший российский разработчи к DLP-систем (Data Leak Prevention – технологи и предотвращения утечек конфиденциальной информации из информационной системы) для защиты от утечек инфор -мации. Компания Zecurion профессионально занимается вопросами информационной безопасности с 2001 года.

вышает показатель предыдущих лет – 2022 год – 296 698 ед. и 2022 год – 260 922 ед.

ФинЦЕРТ Банка России также констатирует, что за анализируемый период (2022-2022 гг.) объёмы несанкционированных операций, осуществлённых в организациях торговли и банкоматах, снижаются, в то же время как объём несанкционированных операций без предъявления карты растёт. Подобный характер тренда объясняется смещением интересов пользователей и провайдеров услуг в сторону сети Интернет, а вследствие этого и вектор интересов злоумышленников смещается от банкоматов и организаций торговли в сторону СОТ-трансакций (табл. 2).

Таблица 2 Объём несанкционированных операций с использованием банковских карт

по местам их совершения [11, с. 8]

Период В организациях торговли и услуг, млн. руб. Посредством банкоматов и платёжных терминалов, млн. руб. Посредством сети Интернет и устройств мобильной связи, млн. руб.

Год Квартал

2022 I 66,2 90,2 155,9

II 52,0 85,6 133,5

III 81,9 76,7 140,5

IV 60,0 59,0 139,9

2022 I 70,9 48,9 133,3

II 32,0 46,1 162,6

III 35,1 44,8 212,1

IV 36,6 36,0 206,9

2022 I 37,3 25,9 180,9

II 25,4 36,1 167,9

III 23,9 28,4 173,4

IV 19,4 36,3 204,2

В соответствии с Указанием Банка России от 09 июня 2022 г. № 2831-У «Об отчётности.» [13] при составлении отчётности по обеспечению защиты информации при осуществлении переводов денежных средств операторами платёжных систем, операторами услуг платёжной инфраструктуры, операторами по переводу денежных средств предусмотрены следующие возможные причины несанкционированных операций:

– использование электронных средств платежа (ЭСП) без согласия владельца;

– нарушение владельцем ЭСП порядка их использования;

– побуждение владельца ЭСП к совершению операции путём обмана или злоупотребления доверием;

– воздействие вредоносного кода, приводящее к осуществлению переводов денежных

средств с использованием искаженной информации и так далее.

В качестве причины возникновения большей части несанкционированных операций (более 90%) операторы платежных систем указывают использование ЭСП без согласия клиента вследствие противоправных действий или потери/нарушения конфиденциальности аутентификационной информации (на основании данных, указанных клиентами в заявлениях).

Производители бесконтактных карт утверждают, что получать несанкционированную информацию с банковской карты с помощью нелегального RFID-перехватчика, передавать ее другим участникам, изготавливать клоны-дубликаты банковских карт, которые впоследствии будут использовать для обналичивания денег, то есть осуществить подобные мошеннические действия практически невозможно, поскольку дальность передачи данных через NFC составляет несколько сантиметров.

Но данное заявление является весьма спорным, так В. Бирюков ссылается на ученых из британского университета Суррей, расположенного в английском городе Гилфорд графства Суррей. Они в своих публикациях «Исследование бесконтактных платежных карт выдвигает на первый план проблемы безопасности» (2022) и «Считывание возле поля бесконтактных платежей: количественный анализ» (2022) показали возможность считывания с помощью компактного сканера по NFC бесконтактных данных на расстоянии до 80 см [2].

Такой компактный сканер, носимый мошенником, незаметно для окружающих людей «опрашивает» их бес-

контактные карты, лежащие в бумажнике, кошельке, сумке или кармане, в общественном транспорте и торговых центрах, аэропортах и вокзалах, барах и ресторанах.

Возможна и иная ситуация, когда можно обойтись вовсе без сканера и личного присутствия. Такой вариант развития событий описывается в нескольких опубликованных в разные годы работах.

Так, например, одно весьма оригинальное решение проблемы независимости от расстояния для считывания данных с бесконтактных карт представили испанские исследователи безопасности Рикардо Дж. Родригес и Хосе Вила. В работе «Новая атака. Android NFC может украсть деньги с кредитных карт в любое время, когда ваш телефон рядом» [15] описывается реальная атака, которой могут быть подвержены все Android-телефоны с поддержкой NFC. Эта атака, осуществляемая через заражённые вирусом приложения, использует функцию NFC, позволяющую хакерам снимать деньги с кредитных карт жертв в любое время, когда карты находятся рядом с телефоном жертв.

Суть такой атаки на бесконтактные банковские карты жертв состоит в следующем. Практически все современные Android-смарт-фоны оснащены модулем NFC, а хранятся (лежат) почти всегда в одном портфеле/сумке/ кармане, то есть физически рядом с бумажником. Основываясь на таком предположении, Рикардо Дж. Родригес и Хосе Вила высказали инновационную идею и разработали программный продукт, демонстрирующий эту идею -Android-троянца, который без труда превращает смартфон жертвы в ретранслятор NFC-сигнала.

Исследователи представили схематично два сценария угроз на бесконтактные банковские карты (рис. 2).

На схеме (а) представлен Сценарий 1, в котором есть сеть устройств, заражённых программой Android-троянец (то есть ботне-ты – bot), которые обмениваются считанными данными с мастером ботов (BOTMASTER)

Рис. 2. Сценарии угрозы атак NFC пассивной ретрансляции вредоносным ПО Android:

(a) Сценарий 1: Распределенное мошенничество с мафией;

(b) Сценарий 2. Сокрытие мест мошенничества

при обнаружении бесконтактных платёжных карт. Мастер-бот сможет использовать любую смарт-карту для проведения незаконных трансакций с помощью полученного верификатора или даже нескольких трансакций одновременно с нескольких бесконтактных карт. Атаку по такому сценарию назвали «распределённым мошенничеством с мафией.

На схеме (b) представлен практически тот же Сценарий, что и на схеме (а), но с тем отличием, что создаётся несколько мастеров-ботов, совершающими мошенничество одновременно с целью скрыть своё реальное местоположение. Здесь следует обратить внимание на то, что бесконтактные платёжные карты реализуют такой механизм безопасности, как запрос PIN-кода после нескольких использований и проверки нетипичных мест оплаты. Этот механизм бесконтактных карт минимизирует возможность развития событий по второму сценарию, констатируют авторы, назвав этот сценарий «сокрытие мест мошенничества».

В завершении своего исследования Рикардо Дж. Родригес и Хосе Вила предупреждают, что подобная созданной ими программа-троянец сможет распространяться стандартным способом, например, в комплекте со «взломанным» платным приложением. Всё, что требуется – версия Android 4.4 и выше, причём троянская программа будет работать и после блокировки экрана смартфона.

Подобную идею реализовали и опубликовали в своей работе «Практическая эстафетная атака на бесконтактные трансакции с помощью мобильных телефонов NFC» исследователи Группы информационной безопасности Центра смарт-карт Королевского лондонского университета Великобритании (рис. 3) [16].

Если пройти с заражённым троянской программой телефоном мимо человека с бесконтактной картой, телефон отправит через Интернет злоумышленникам сигнал о доступности трансакции. После получения такого сигнала, мошенники активируют обычный платёжный терминал и подносят к нему свой NFC-смартфон. В результате такого действия создаётся некий «релейный канал» через Интернет между NFC-карточкой и NFC-терминалом, удалёнными друг от друга на любое расстояние.

Исследователи провели также два эксперимента по возможности считывания элек-

тронных данных, записанных на бесконтактных картах и в электронных паспортах. На практике было показано, что считать данные с бесконтактной карты с использованием канала Bluetooth в зоне непрямой видимости возможно на расстоянии до 15 метров, в комнате открытого плана с небольшими препятствиями «эстафета» с использованием только мобильных телефонов работала на дальности до 35 метров.

Эксперимент по считыванию персональных данных с электронного паспорта доказал, что абсолютно все персональные данные, записанные в чипе электронного паспорта (включая фотографию владельца паспорта в формате JPEG), считываются, передаются и прочитываются на компьютере.

Несмотря на тот факт, что открытых официальных данных МВД России о зарегистрированных случаях получения несанкционированной информации о банковской карте с помощью нелегального RFID-перехватчика и её дальнейшего использования для обналичивания денег нет, а производители бесконтактных карт говорят, что осуществить подобные действия практически невозможно, на сайтах региональных отделов Управлений МВД России появляются предупреждения. Например: «… Использование платёжной карточки с технологией бесконтактной оплаты PayPass разрешает производить оплату на сумму не более 1000 рублей без ввода пин-кода. Преступники пользуются этой возможностью, потому что для осуществления операции нужно лишь приложить переносной терминал к сумке или одежде, где находится кредитка. Осуществить такую махинацию не составляет труда, особенно в местах с большим скоплением народа. <…> Для владельцев кредиток с бесконтактным способом оплаты рекомендуется <…> минимизировать риски, поместив карту в радиоэкранирован-ный кошелёк (для этого нужно лишь положить внутрь его фольгу), металлическую коробочку или фольгированный пакет.» [3].

А официальный орган Министерства внутренних дел России газета «Щит и меч» сообщает:

«.Известная всем ситуация: вы передаёте свою платёжную карточку официанту в ресторане для оплаты счёта. На пути к «официальному» PоS-терминалу ресторана официант-мошенник проводит вашей карточкой сквозь портативный,

Рис. 3. Практическая настройка «эстафеты» с использованием только мобильных телефонов NFC

надеваемый на одежду, считыватель. Затем он производит официальную оплату счёта и выдаёт вам чек из PоS-терминала, усыпляя тем самым вашу бдительность. Но к тому моменту, когда вы будете выходить из ресторана, цифровой дубликат вашей карточки уже будет загружен в подпольный «про-цессинговый центр», где у хакеров есть обширный выбор дальнейших действий. К примеру, можно отпечатать дубликат «пластика», неотличимый от настоящего, перепродать ваши личные данные или потратить средства на всевозможные онлайн-платежи, отследить которые крайне затруднительно». И далее автор рекомендует: «… Никогда не позволяйте, чтобы карточкой проводили через PоS-терминал вне вашего поля зрения <.> Подумайте о приобретении экранированного чехла для платёжных карт, который предотвращает любое бесконтактное считывание. Да, это дополнительные затраты и дополнительное неудобство, но оно может однажды спасти ваши сбережения.» [14].

Журнал Совета Министров внутренних дел СНГ «Содружество» так же публикует аналогичный материал и иллюстрацию (рис. 4).

«… Недавно российское интернет-сообщество взбудоражил снимок молодого человека с подозрительным

Рис. 4. Иллюстрация из статьи «Предупреждён – значит вооружён» журнала Совета Министров внутренних дел СНГ «Содружество» (подпись к фотографии «Та самая фотография пассажира метро с включённым мобильным терминалом, наделавшая много шума»)

устройством в руках. При детальном рассмотрении этим устройством оказался мобильный терминал для снятия средств с банковской карты. <…> С этим прибором мужчина был замечен в вагоне московского метро, а само устройство оказалось включённым. <…> Специалисты поспешили успокоить. Формально снять деньги с карты в бесконтактном режиме возможно, но вывести их со счёта и уж тем более обналичить, вряд ли удастся. «Платёжные терминалы переводят деньги на банковский счёт, зарегистрированный на юридическое лицо. Соответственно, после выявленного факта мошенничества счёт будет заблокирован и арестован», – объяснили эксперты…» [9].

В конце 2022 года Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России опубликовал отчёт о компьютерных атаках в кредитно-финансовой сфере России за период с 01.09.2022 по 31.08.2022 года. В отчёте, в частности, утверждается, что к середине 2022 года будет окончательно автоматизирован сбор информации об инцидентах и введена в действие система «Фид-АнтиФрод» – база данных об операциях по переводу денежных средств без согласия клиента. А в заключении к этому отчёту, одним из выводов обозначено: «.Можно предположить, что в обозримом будущем крупные группы злоумышленников, пострадавшие от операций правоохранительных органов, реструктуризируются и продолжат свою деятельность, используя, вероятно, новые инструменты проникновения, которые на сегодняшний день только разрабатываются».

Исходя из этого утверждения, отметим, что наличие в настоящее время уязвимостей бесконтактных банковских карт вызвало необходимость защиты персональных данных пользователей от возникающих рисков, обеспечения информационной безопасности и обусловливают развитие и внедрение способов и средств защиты информации.

Считается, что для предотвращения несанкционированного доступа к денежным средствам на карточном счёте, вполне достаточно убедиться в том, что у пользователя работает СМС-информирование о совершённых платёжных операциях. То есть, если кто-то несанкционированно снимет деньги с бесконтактной карты, вы тут же получите СМС-сообщение о проведённой трансакции, сможете позвонить в банк, чтобы опротестовать незаконное снятие и начать разбирательства и поиск виновных.

Заметим, что это вполне оправданный способ предотвращения несанкционированного списания денег со счёта карты – СМС-оповещение обязательно должно быть подключено (хотя многие им не пользуются до сих пор), но это не является панацеей от попадания данных пользователя к мошенникам. А сбои, при оплате

а)

О

KAjPtft{lf [

б)

в)

Рис. 5. Защитные экранированные чехлы для бесконтактных карт, предлагаемые:

а) AliExpress;

б) Лабораторией Касперского;

в) российским производителем чехлов для пластиковых карт Компанией «Cardcover.ru»

бесконтактным способом в транспорте говорят о том, что СМС-оповещение не всегда и работает.

Каким же образом можно обезопасить бесконтактные банковские карты от несанкционированного бесконтактного доступа? Не следует здесь пренебрегать элементарными простыми и очевидными способами обезопасить свои деньги от злоумышленников. Во-первых, не следует носить банковские карты в карманах пиджаков, брюк, джинсов и курток, всё-таки лучше хранить их в средних отделениях бумажника/сумки/ портфеля, т. е. подальше от стенок последних. Во-вторых, обязательно должно быть подключено СМС-информирование, которое может помочь своевременно среагировать на несанкционированную трансакцию. В-третьих, если позволяют настройки банка, можно ограничить сумму ежедневных снятий по банковской карте.

Кроме таких простых способов обезопасить бесконтактную банковскую карту, существуют и предлагаются специальные средства защиты банковских карт. Среди таких способов защиты рассматриваются несколько:

– экранирование места хранения карты с использованием фольги;

– использование специальных экранированных кейсов, портмоне и бумажников для защиты банковских карт.

– применение специальных карт для защиты банковских карт;

– использование виртуальных банковских

карт.

Рассмотрим эти способы защиты банковских карт последовательно.

Экранирование места хранения карты с использованием фольги

Необходимо сразу оговориться, что этот способ не обеспечивает защиту банковской карты при её использовании по прямому назначению в банкомате. На сайтах в интернете, в блогах можно встретить простую рекомендацию: всего лишь необходимо в кармашек кошелька/бумажника/портмоне/сумки, в которых хранится карта, положить слой фольги, которая вполне надёжно экранирует сигнал.

На наш взгляд, это весьма сомнительный способ из-за того, что, во-первых, фольгой можно повредить бесконтактную карту, во-вторых, современная фольга не имеет в своём составе свинца (в прошлом – в техническую фольгу добавляли свинец), который использовался для экранирования.

В лучшем случае, если карта носится отдельно, рекомендуется приобрести чехол с такой вкладкой из фольги. Всевозможные фирмы, компании, онлайн-магазины предлагают такие чехлы по весьма умеренным ценам (рис. 5).

Использование специальных экранированных кейсов, портмоне и бумажников для защиты банковских карт

К специальным средствам защиты, предлагаемых в онлайн-магазинах и антивирусными компаниями, можно отнести экранированные кошельки, портмоне, кейсы и держатели банковских карт.

В настоящее время, когда преступники изобретают всё новые способы завладеть чужими деньгами, кибер-кража является самым распространённым из них.

Интернет-магазины отмечают случаи использования беспроводных сканеров, которые на расстоянии до нескольких метров могут считывать чужие данные и похищать средства с карт. Отмечается, что карты содержат чипы, которые в постоянном режиме транслируют личные данные владельца. Подобные инциденты уже были зафиксированы.

Для того, чтобы этого не происходило, предлагаются кошельки с RFID-защитой. Такой кошелёк содержит в себе слой из специального покрытия, который защищает карты от бесконтактного считывания и блокирует сигнал бесконтактного сканера. Таким образом, до тех пор, пока бесконтактные карты находятся в кошельке, на них невозможно инфракрасное или какое-либо другое воздействие.

Активное внедрение подобных кошельков и портмоне началось в 2022 году – компания Visconti представила широкую линейку аксессуаров с RFID-защитой. Аналогичные кошельки/ портмоне и эксклюзивные тревел-кейсы для со-

Рис. 6. Тревел-кейсы с защитой от сканирования RFID производства Германии

§

а) б)

Рис. 7. Бумажники и кошельки с защитой от сканирования RFID

а) бумажник компании Visconti;

б) бумажник Лаборатории Касперского, вмещает до 8 карт

хранения паспортов и прочих документов в настоящее время выпускают многие известные компании (рис. 6, 7).

Применение специальных карт для защиты банковских карт

К специальным средствам защиты можно отнести и специальные карты для защиты бесконтактных банковских карт. Такие специальные карты предназначены для защиты личной информации, хранящейся как на кредитных и дебетовых картах, так и на смарт-картах и водительских правах, имеющих RFID-метки.

Специальная карта, как правило, содержит в себе сплав различных металлов, которые нарушают сигналы RFID-сканера. Она позволяет защитить одновременно все банковские карты, расположенные в кошельке/ бумажнике/портмоне путём изменения сигнала, идущего от платёжной карты, и не позволяет мошенникам произвести считывание любых данных с карты с целью последующего хищения с неё средств или персональных данных.

Различные производители предлагают различное количество специальных карт для гарантированной защиты банковских карт, хранящихся в ко-

шельке/бумажнике/портмоне. Одни полагают, что вполне достаточно одной-двух карт, между которыми помещаются обычные банковские карты, другие предлагают специальные карты вставлять между каждой пятой банковской картой. Всё зависит от количества имеющихся банковских карт и количества слотов в кошельке/ бумажнике/портмоне для хранения карт.

Технологически специальные карты изготавливаются тоньше стандартной банковской карты для того, чтобы она незначительно увеличивала размер кошелька/бумажника/ портмоне. При изготовлении специальных карт используются все стандартные технологии, применяемые при производстве банковских карт, кроме тиснения и персонализации, то есть внешний вид карты ограничен только фантазией изготовителя (рис. 8).

. ! j N А L. G U А Я D

Рис. 8. Общий вид специальных карт для защиты банковских карт от КРГО-сканирования

Использование виртуальных банковских карт

Для безопасной и простой оплаты совершения покупок в интернете различные банки предлагают специальные виртуальные карты. Такие карты существуют и используются только в режиме онлайн и благодаря своим особенностям являются хорошим платёжным инструментом для интернета.

Виртуальная карта имеет такие же реквизиты, как обычная пластиковая – номер, срок действия и трёхзначный код безопасности.

Некоторые банки, выпускающие виртуальные карты, предлагают пластиковый носитель для виртуальной карты. Но у такой карты нет ни чипа, ни магнитной полосы, следовательно, её нельзя использовать в банкоматах и терминалах безналичной оплаты, то есть она нужна лишь для того, чтобы удобным способом сохранить данные карточки.

Во многих ситуациях пользоваться виртуальными картами гораздо удобнее, чем обычными пластиковыми картами или электронными кошельками.

Виртуальные карты выпускают и предлагают как банки, так и системы электронных платежей и кошельков. Такие карты доступны любому человеку, вне зависимости от того, есть у него электронный кошелёк или обычная карта или нет. Выбрать предпочтительную карту весьма просто, учтя все преимущества и недостатки существующих виртуальных карт и просмотрев опубликованные в интернете рейтинги.

Виртуальную карту можно создать для одной операции и после успешной оплаты – закрыть. Можно создать несколько виртуальных карт для совершения нескольких покупок, а по мере необходимости – пополнять или закрывать эти карты – таким образом пользователь не рискует реквизитами своей основной карты.

Виртуальная карта может быть использована для оплаты в интернет-магазинах, не принимающих электронные кошельки, для покупок на сайтах, работающих за границей (eBay, AliExpress, Amazon).

Несмотря на все преимущества виртуальных карт, тем не менее, при их использовании необходимо соблюдать все правила и меры безопасности, действующие в области информационных технологий:

– проверять достоверность и надёжность сайта, на котором совершается покупка, перед оплатой;

– не оставлять реквизиты в легкодоступных местах;

– не сообщать никому код безопасности и пароли для подтверждения операций;

– после совершения покупок и снятия остатка денег, закрыть карту.

Если соблюдать все основные правила информационной безопасности, виртуальная карта станет самым удобным способом оплаты покупок в интернете.

Проведя краткий теоретический анализ возможных преступных проявлений, основанных на использовании и применении RFID-технологий в отношении бесконтактных банковских карт и подводя итог нашего исследования, полагаем возможным утверждать следующее.

Первое. Определённые риски при применении RFID-технологий в сфере использования бесконтактных банковских карт действительно существуют и об этом свидетельствуют:

– научные публикации известных в сфере информационной безопасности учёных;

– открытые аналитические отчёты компаний, работающих в области высоких информационных технологий и защиты информации;

– статистические данные ведущих мировых банков, анализирующих риски работы с бесконтактными банковскими картами.

Второе. В целях предупреждения несанкционированного доступа к бесконтактным банковским картам представляется целесообразным:

– хранить бесконтактные банковские карты в контролируемой зоне: в одежде на груди (не рядом с телефоном), или в средних отделениях сумки/портфеля (дальше от стенок);

– невзирая на отсутствие прямой и непосредственной угрозы, рассмотреть вопрос об экранированном хранилище для бесконтактных банковских карт и не отключать СМС-информирование при нахождении в местах большого скопления людей для возможности своевременного реагирования на несанкционированный доступ к бесконтактной банковской карте;

– сохранять СМС-информирование и чеки при пользовании бесконтактной банковской картой. При опротестовании несанкционированной трансакции наличие СМС-информации и чеков по платежам за период, в который произошло несанкционированное списание денежных средств, может помочь в проведении расследования специалистами банка и компетентными правоохранительными органами, повысить шансы на то, что деньги могут быть возвращены;

– регулярно убеждаться, что защитные решения (антивирусные программы/приложения) на всех устройствах в обязательном порядке имеются и постоянно обновляются;

– использовать специальные средства защиты бесконтактных банковских карт (защитные чехлы, бумажники, виртуальные или специальные карты).

Разумеется, у России нет какого-то отдельного пути в современном информационном обществе и цифровом мире, как нет его ни у одной отдельно взятой страны. В вопросе информационной безопасности безналичных банковских расчётов необходимо соблюдать необходимый баланс интересов. Но самое важное – необходимо гарантировать защиту информации, как в масштабах государства, так и применительно к любому человеку, который пользуется современными устройствами, компьютерными

и телекоммуникационными технологиями. Поэтому, основной задачей в настоящее время должно стать: «… создание устойчивой и безопасной информационно-телекоммуникационной инфраструктуры <…>, доступной для всех; <…> … обеспечение информационной безопасности на основе отечественных разработок при передаче, обработке и хранении данных, гарантирующей защиту интересов личности, бизнеса и государства.» [12]. То есть,

в современных условиях цифровой реальности важно обеспечить безопасность общества, бизнеса и граждан, предпринять необходимые законодательные, технические и правоохранительные меры для того, чтобы построение открытой, надёжной и безопасной интернет-среды, применение компьютерных и телекоммуникационных технологий развивалось при чётком соблюдении гарантий защиты личных данных и частной жизни в цифровом пространстве.

Материалы поступили в редакцию 30.01.2022 г.

Библиографический список (References)

1. Белов, А. Кражи с банковских карт с помощью RFID и виртуальные карты [Электронный ресурс] / А. Белов, Е. Аликина // Sneg5.com : общественно-образовательный портал. URL: http://sneg5.com/obshchestvo/dengi/ krazhi-s-kart-s-pomoshchyu-rfid.html (дата обращения: 04.01.2022).

2. Бирюков, В. Деньги из воздуха: безопасны ли бесконтактные платежи? [Электронный ресурс] / В. Бирюков // Блог Евгения Касперского : сайт. URL: https://www.kaspersky.ru/blog/ contactless-payments-security/86o8/ (дата обращения: 20.12.2022).

3. Виды мошенничества с банковскими картами [Электронный ресурс] // Отдел МВД России по Ибресинскому району. Раздел «Новости» : сайт. URL: http://gov.cap.ru/Info. aspx?type=news&id=3786605&gov_ id=792 (дата обращения: 21.01.2022).

4. В регионе растёт количество кибер-преступлений [Электронныйресурс] // Общественное мнение : официальный сайт. URL: https://om-saratov. ru/social/30-january-2022-i69938-v-regione-rastet-kolichestv (дата обращения: 30.01.2022).

5. Высокотехнологичные сервисы // Финансовая аналитика: проблемы и решения. 2022. № 15 (105). С. 51-58. ISSN

2073-4484.

6. Городников, Р. Защита бесконтактных банковских карт MasterCard PayPass и Visa payWave от кражи денег «по воздуху» [Электронный ресурс] / Р. Городников // iBlog : персональный блог. URL: https://iblog.ws/security/24-zaschita-beskontaktnyh-bankovskih-kart-mastercard-paypass-i-visa-paywave-ot-krazhi-deneg-po-vozduhu.html (дата обращения: 10.01.2022).

7. Гурьянов, В. К. Электронная платёжная система России / В. К. Гурьянов // Базис. 2022. № 1. С. 37-44. ISSN 25878042.

1. Belov, A., Alikina, E. (2022). Krazhi s bankovskih kart s pomoshh’ju RFID i virtual’nye karty [Theft from Bank cards using RFID and virtual maps]. URL: http://sneg5.com/obshchestvo/dengi/ krazhi-s-kart-s-pomoshchyu-rfid.html (accessed 04 January, 2022).

2. Birjukov, V. (2022). Den’gi iz vozduha: bezopasny li beskontaktnye platezhi? [Money out of thin air: how safe are contactless payments?]. URL: https://www.kaspersky.ru/blog/contactless-payments-security/8608/ (accessed 20 December, 2022).

3. (2022). Vidy moshennichestva s bankov-skimi kartami [Types of fraud with Bank cards]. URL: http://gov.cap.ru/Info. aspx?type=news&id=3786605&gov_id=792 (accessed 21 January, 2022).

4. (2022). V regione rastjot kolichestvo kiber-prestuplenij [Cybercrime is on the rise in the region]. URL: https://om-saratov.ru/social/30-january-2022-i69938-v-regione-rastet-kolichestv (accessed 30 January, 2022).

5. (2022). Vysokotehnologichnye servisy [Hightech services]. Finansovaja analitika:problemy i reshenija. No 15 (105). P. 51-58. ISSN 2073-4484.

6. Gorodnikov, R. (2022). Zashhita beskontaktnyh bankovskih kart MasterCard PayPass i Visa payWave ot krazhi deneg «po vozduhu» [Protection of contactless Bank cards MasterCard PayPass and Visa payWave from theft of money «by air»]. URL: https://iblog.ws/security/24-zaschita-beskontaktnyh-bankovskih-kart-mastercard-paypass-i-visa-paywave-ot-krazhi-deneg-po-vozduhu.html (accessed 10 January, 2022).

7. Gur’janov, V. K. (2022). Jelektronnaja platjozhnaja sistema Rossii [Electronic payment system of Russia]. Bazis. No 1. P. 37-44. ISSN

2587-8042.

8. Гурьянов, К. В. Развитие электронных платёжных систем и правовых основ противодействия легализации доходов, полученных преступным путём, и финансированию терроризма / К. В. Гурьянов, Я. С. Шатило // Базис. 2022. № 1. С. 23-37. ISSN 2587-8042.

9. Каплун, Е. Предупреждён – значит вооружён [Электронный ресурс] / Е. Каплун // Содружество : журнал Совета Министров внутренних дел СНГ. Опубликовано 10.04.2022. URL: http://ormvd.ru/pubs/ 103/forewarned-is-forearmed/?sphrase_id=20223 (дата обращения: 21.01.2022).

10. Наличные деньги и электронные средства платежа: проблемы, тенденции // Деньги и кредит. 2022. № 7. С. 3-23. ISSN 0130-3090.

11. Обзор несанкционированных переводов денежных средств за 2022 год. М. : Центральный банк Российской Федерации, 2022. 28 с.

12. О национальных целях и стратегических задачах развития Российской Федерации на период до 2024 года [Электронный ресурс] : указ Президента Российской Федерации В. В. Путина от 07.05.2022 г. № 204 // Kremlin.ru : официальный сайт Президента Российской Федерации. Раздел «Банк документов». URL: http://kremlin. ru/acts/bank/43027 (дата обращения: 28.01.2022).

13. Об отчётности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платёжных систем, операторов услуг платёжной инфраструктуры, операторов по переводу денежных средств [Электронный ресурс] : указание Банка России от 09 июня 2022 г. № 2831-У // ГАРАНТ.РУ. URL: http://www.garant.ru/products/ipo/prime/ doc/70091904/#ixzz5dFOAWHpg (дата обращения: 21.01.2022).

14. Юсина, С. Бесконтактный отъём [Электронный ресурс] / С. Юсина / / Газета МВД России «Щит и меч» : сайт. URL: http:// 0rmvd.ru/pubs/i00/i5840/?sphrase_id=20223 (дата обращения: 21.01.2022).

15. Harbison, Cammy. New Android NFC Attack Could Steal Money From Credit Cards Anytime Your Phone Is Near [Электронный ресурс] Player.One. URL: https://www.player.one/new-android-nfc-attack-could-steal-money-credit-cards-anytime-your-phone-near-445497 (дата обращения: 20.10.2022).

16. Lishoy, Francis, Gerhard, Hancke, Keith, Mayes, Konstantinos, Markantonakis.

Practical Relay Attack on Contactless Transactions by Using NFC Mobile Phones [Электронный ресурс] Cryptology ePrint Archive. URL: https:// eprint.iacr.org/2022/618.pdf (дата обращения: 11.01.2022).

8. Gur’janov, K. V., Shatilo, Ya. S. (2022).

Razvittie jelektronnyh platjozhnyh sistem i pravovyh osnov protivodejstvija legalizacii dohodov, poluchennyh prestupnym putjom, ifinansirovaniju terrorizma [The Development of electronic payment systems and legal frameworks of combating the legalization of income obtained by criminal means and financing of terrorism]. Bazis. No 1. P. 23-37. ISSN 2587-8042.

9. Kaplun, E. (2022). Preduprezhdjon -znachit vooruzhjon [Forewarned is forearmed]. Sodruzhestvo : zhurnal Soveta Ministrov vnutrennih del SNG. URL: http://ormvd.ru/ pubs/i03/forewarned-is-forearmed/?sphrase_ id=20223 (accessed 21 January, 2022).

10. (2022). Nalichnye den’gi ijelektronnye sredstva platezha: problemy, tendencii [Cash and electronic means of payment: problems, trends]. Den’gi i kredit. No 7. P. 3-23. ISSN 0130-3090.

11. (2022). Obzor nesankcionirovannyh perevodov denezhnyh sredstv za 2022 god [Review of unauthorized money transfers for 2022]. Moscow. 28 p.

12. (2022). O nacional’nyh celjah i strategicheskih zadachah razvitija Rossijskoj Federacii na period do 2024 goda. UkazPrezidenta Rossijskoj Federacii V. V. Putina ot 07.05.2022 g. № 204 [Of national goals and strategic objectives development of the Russian Federation for the period up to 2024]. URL: http://kremlin.ru/acts/bank/43027 (accessed 28 January, 2022).

13. (2022). Ob otchjotnosti po obespecheniju zashhity informacii pri osushhestvlenii perevodov denezhnyh sredstv operatorov platjozhnyh sistem, operatorov uslug platjozhnoj infrastruktury, operatorov po perevodu denezhnyh sredstv [About the reporting on ensuring information security at implementation of money transfers of operators of payment systems, operators of services of payment infrastructure, operators on money transfer. URL: http://www.garant.ru/products/ipo/prime/ doc/70091904/#ixzz5dFOAWHpg (accessed 21 January, 2022).

14. Yusina, S. (2022). Beskontaktnyj ot#jom [Contactless weaning]. URL: http://ormvd.ru/ pubs/100/15840/?sphrase_id=20223 (accessed 21 January, 2022).

15. Harbison, Cammy. New Android NFC Attack Could Steal Money From Credit Cards Anytime Your Phone Is Near. Player.One. URL: https:// www.player.one/new-android-nfc-attack-could-steal-money-credit-cards-anytime-your-phone-near-445497 (accessed 20 October, 2022).

16. Lishoy, Francis, Gerhard, Hancke, Keith, Mayes, Konstantinos, Markantonakis.(2022).

Practical Relay Attack on Contactless Transactions by Using NFC Mobile Phones Cryptology ePrint Archive. URL: https://eprint.iacr.org/2022/618. pdf (accessed 11 January, 2022).

Эксперты: сообщения об уязвимости карт paypass и paywave – раздутая сенсация

Специалисты по безопасности, опрошенные nfcexpert.ru, считают большим преувеличением данные о том, что в российских бесконтактных банковских картах найдена серьезная уязвимость. Всё, что удается получить найденным энтузиастами способом, это лог операций, содержащий минимум информации.

Ранее в пятницу СМИ сообщили, что в карточках российских банков с технологией бесконтактной оплаты MasterCard PayPass и Visa PayWave обнаружена уязвимость, которая позволяет просматривать список совершенных покупок.

Чтобы воспользоваться «уязвимостью», требуется смартфон на Android c поддержкой NFC, приложение EMV NFC pay card reader из Google Play, банковская карта с поддержкой PayWave или PayPass. К смартфону, снабженному NFC-считывателем, необходимо поднести банковскую NFC-карту. На экране отобразится номер карточки, а также даты и суммы совершенных платежей.

«Это так называемый Transaction Log — список операций, которые вы провели с этой карты с помощью бесконтактной оплаты с использованием технологий PayWave или PayPass», — говорит заместитель руководителя лаборатории компьютерной криминалистики компании Group-IB Сергей Никитин. По его словам, используя эти данные, невозможно похитить денежные средства с карты. Также нет никакой угрозы, что информация может попасть к третьим лицам.

«Во-первых, отображаются только операции, совершенные бесконтактно, — как правило, на небольшие суммы. Во-вторых, указаны даты и суммы платежа — без описания назначения. Таким образом, эти данные практически бесполезны», — сказал Никитин nfcexpert.ru. Помимо этого, расстояние считывания данных крайне небольшое, чтобы добраться до них удаленно, необходимо «серьезное устройство» с хорошей антенной. «Назвать штатную возможность считывания Transaction Log уязвимостью – очень большое преувеличение», — заключил Никитин.

С тем, что это раздутая сенсация, соглашаются и специалисты из компаний Positive Technologies и Zecurion.

«Информация, о которой идет речь, не является критической», — сказал руководитель аналитического центра Zecurion Владимир Ульянов.

Сегодняшнюю историю он связал с общей уязвимостью бесконтактных карт. По его мнению, карты PayPass и PayWave ненадежны с точки зрения безопасности, и деньги с них могут быть украдены мошенниками даже в толпе. Хотя речь идет и о небольших суммах, Ульянов считает, что риски использования таких карт не оправданны. Он даже посоветовал владельцам PayPass/PayWave-карт обертывать их фольгой, хотя об удобствах в таком случае речи быть не может.

Представитель банковской сферы также не увидел в сегодняшней «сенсации» ничего нового. «Считыватель на смартфон установить можно. Также возможно прочесть информацию с карты, в том числе и лог операций, если он прописан. Но там, как правило, минимальное количество информации. Данные, которые в нем отображаются, настраиваются банком», — прокомментировал начальник управления пластиковых карт ВТБ24 Александр Бородкин.

§

§

В число победителей II Всероссийского конкурса проектов региональной и муниципальной информатизации «ПРОФ-IT» вошло 37 работ. Среди них проекты: Санкт-Петербурга, Архангельской области, Свердловской области, Белгородской области, Республики Бурятия, Астраханской области, Чувашской Республики, Рязанской области, Краснодарского края, Нижегородской области, Кировской области, Республики Коми, Хабаровского края, Новосибирской области, Красноярского края, Пензенской области, Республики Татарстан, Иркутской области, Республики Башкортостан, Алтайского края, Калининградской области, Пермского края, Ханты-Мансийского автономного округа-Югры. В этом году в число победителей конкурса вошли также города Комсомольск-на-Амуре (Хабаровский край), Новосибирск, Саянск (Иркутская область) и Череповец (Вологодская область).

Напомним, что финал II Всероссийского конкурса проектов региональной информатизации «ПРОФ-IT» состоялся 29-30 мая 2022 года в Рязани. В конкурсе приняли участие 143 проекта. Более 300 региональных экспертов отбирали работы для соревнования в финале конкурса по 10 номинациям: обеспечение связи государства и общества, предоставление государственных и муниципальных услуг, ЖКХ, образование, здравоохранение, безопасность жизнедеятельности, социальная поддержка населения, системы для внутренней автоматизации, открытых данные, популяризация и продвижение сервисов электронного правительства. Конкурс проходил при поддержке Администрации Президента Российской Федерации, Совета Федерации, Минздрава России, Минтруда России, Минэкономразвития России, Росреестра, Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики, научных и экспертных организаций.

Конкурс организуется и проводится Экспертным центром электронного государства и направлен на повышение качества проектов региональной и муниципальной информатизации, реализуемых в субъектах Российской Федерации.

По результатам конкурсом ежегодно выпускаются печатные сборники лучших проектов, содержащие интервью и дополнительную информацию.

Сборник лучших практик информатизации приоритетных сфер государственного управления «ПРОФ-IT:2022».

Сборник лучших практик информатизации приоритетных сфер государственного управления «ПРОФ-IT:2022»

prof-it-2022Скачать сборник 2022

Перечень проектов-финалистов II Всероссийского конкурса проектов региональной и муниципальной информатизации «ПРОФ-IT», вошедшие в Сборник 2022

Номинация «IT в социальной поддержке»

Номинация «IT в ЖКХ»

Номинация «IT в образовании»

Дистанционное обучение детей-инвалидов. Портал «Средней общеобразовательной школы — Центра дистанционного образования» (Рязанская область)

Программный комплекс для обеспечения оказания электронных услуг в сфере дошкольного образования Республики Татарстан (Республика Татарстан)

Создание информационного ресурса «Единая республиканская очередь в дошкольные образовательные учреждения в электронном виде» (Республика Башкортостан)

Номинация «IT в здравоохранении»

Мобильный диагностический комплекс «Доступная медицина» (Республика Татарстан)

Создание регионального сегмента единой государственной информационной системы в сфере здравоохранения (Калининградская область)

Обеспечение эффективной информационной поддержки процесса оказания медицинской помощи (Кировская область)

Номинация «Системы для внутренней автоматизации

Системы сбора, анализа и предоставления данных

Единая автоматизированная информационно-аналитическая система обеспечения деятельности органов власти Республики Коми (Республика Коми)

Территориальная информационная система Ханты-Мансийского автономного округа – Югры (ТИС Югры) (Ханты-Мансийский автономный округ – Югра)

Система мониторинга достижения показателей «майских» указов (Архангельская область)

Номинация «Системы для внутренней автоматизации»

Системы автоматизации внутренних бизнес-процессов

Автоматизированная информационная система «Проектное управление» (Белгородская область)

Внедрение Системы электронного документооборота исполнительных органов государственной власти Республики Бурятия (Республика Бурятия)

КИС ФЕНИКС (Алтайский край)

Номинация «IT в предоставлении государственных и муниципальных услуг»

Комплексная система автоматизации предоставления услуг региона (Пензенская область)

Программный комплекс согласования документов и действий органов власти и иных организаций в процессе предоставления государственных и муниципальных услуг (ПК «Кабинет согласований») (Санкт-Петербург)

Автоматизированная информационная система взаимодействия муниципальных служащих города Комсомольска-на-Амуре (АИС ВМС) (г. Комсомольск-на-Амуре, Хабаровский край)

Номинации «IT в обеспечении связи государства и общества»

Системы по автоматизации процессов предоставления информации

Инвестиционный портал Рязанской области (Рязанская область)

Информационно-аналитический портал Новосибирской области (Новосибирская область)

Электронный архив Новосибирской области (Новосибирская область)

Номинации «IT в обеспечении связи государства и общества»

Системы по автоматизации процессов сбора общественного мнения, обработки обращений, оценки качества работы органов власти и предоставления услуг

Государственная информационная система Республики Татарстан «Народный контроль» (Республика Татарстан)

Аналитическая система оценки качества предоставления услуг населению (Ханты-Мансийский автономный округ – Югра)

Информационная система сбора общественного мнения о деятельности органов государственной власти и подведомственных им учреждений (Астраханская область)

Номинация «IT в безопасности жизнедеятельности»

Информационно-аналитическая система прогнозирования, мониторинга лесопожарной обстановки и ликвидации лесных пожаров в Республике Коми. (ИАС «Лесные пожары РК») (Республика Коми)

АПК «Безопасный город» (г. Череповец, Вологодская область)

Региональная IT – система оповещения населения о прогнозе и статусе чрезвычайных ситуаций средствами сотовой связи и сети информационных терминалов (Красноярский край)

Номинация «IT для открытых данных»

Публикация исполнения показателей «майских указов» Президента Российской Федерации (http://opendata.permkrai.ru) (Пермский край)

Интернет-проект Мой Новосибирск  (г. Новосибирск)

Система 6D моделирования (Архангельская область)

Государственная информационная система «Портал открытых данных Вологодской области» (Вологодская область)

Номинация «Популяризация и продвижение сервисов электронного правительства»

Информационно-обучающий буклет «Гид по электронным муниципальным и региональным услугам Архангельской области» (Архангельская область)

Интернет-конкурс «Тимуровцы электронного правительства Красноярского края» (Красноярский край)

Комплексная система мониторинга качества предоставления муниципальных услуг в муниципальном образовании «город Саянск» (г. Саянск, Иркутская область)

Альманах лучших практик региональной информатизации «ПРОФ-IT»-2022 см. здесь >>>

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *