Бесконтактная оплата с банковской карты — что это такое, как пользоваться?

Безопасность и уязвимость карт с бесконтактной (nfc) оплатой.

В последнее время на форуме nfcexpert.ru регулярно появляются темы и отдельные сообщения о якобы случаях (возможного) воровства с банковских карт бесконтактным способом, обычно в связи с анонсом о выпуске очередным банком приложения-терминала для смартфонов.

Каждый раз я пытался на форуме объяснить все моменты связанные с возможной уязвимостью бесконтактных карт, а также просил привести хотя бы единичные известные случаи о воровстве – но безрезультатно. Долгое время я собирался написать статью, описав возможные теоретические уязвимости бесконтактных карт и доказав их практическую неосуществимость, со ссылками на реальные документы описывающие технологии NFC-платежей, однако, как говорится – «все руки не доходили»…

Написать наконец такую статью меня сподвигла одна из последних новостей на портале nfcexpert.ru:

https://www.nfcexpert.ru/news/lenta/?id=10926835
“Эксперт раскрыл способы мошенников по взлому бесконтактных платежей в России“

Источник: https://1prime.ru/banks/20200612/831615716.html

В целом эксперт совершенно прав, однако интересно было бы разобрать оба варианта немного поподробнее.
Первый — это кража средств через мошеннический мобильный POS-терминал или специальное устройство, которое создаст фейковую покупку и «заставит» карту жертвы ее оплатить», — рассказал эксперт.

Однако этот способ имеет большие ограничения: злоумышленнику нужно иметь счет в банке, оформленный на юрлицо, и платежный терминал, зарегистрированный в налоговой инспекции. При этом из-за жалоб клиентов счет, скорее всего, заблокируют, и злоумышленники не успеют вывести с него деньги, пояснил эксперт.

Это типичный ожидаемый многими случай – когда «человек ходит в транспорте, прислоняет к сумкам/карманам мобильный терминал и списывает деньги». В одной теме приводили даже фото человека в метро с якобы таким терминалом в процессе «охоты», правда потом выяснилось что это обычный торчавший из кармана ТСД-терминал которым пользуются кладовщики. Почему в транспорте – очевидно, это идеальное место для того чтобы в толпе незаметно прислонить терминал к сумке/кошельку/карману где у жертвы может находиться банковская карта с бесконтактной оплатой.

У этого варианта есть несколько серьезных недостатков:

[*] сумма не более 1000р, хотя VISA и разрешила покупку без подтверждения до 3000 (а МС совсем недавно до 5000, правда на усмотрение банка эмитента) вор заранее не знает какая карта ему попадется, а при превышении лимита будет запрошен пин и терминал временно выпадет из процесса

[*] после каждой удачной «операции» на терминале придется вводить новую сумму – вор должен покинуть транспорт (автобус, вагон метро) и найти укромное место чтобы не привлечь к себе внимание

[*] POS-терминал сразу после оплаты печатает чек, а также выдает звуковой сигнал, но этот функционал при определенной сноровке можно отключить, или пользоваться терминалом на смартфоне

[*] в зависимости от «глубины укрытия» кошелька/карты в сумочке или кармане жертвы вору может потребоваться некоторое время держать неподвижно терминал в непосредственной близости, что далеко не всегда допустимо. Просто пронести устройство рядом и совершить операцию «на лету» практически невозможно, что было проверено опытным путем (об этом ниже)

[*] наверное, наиболее серьезный момент – у многих владельцев карт подключены push/sms-уведомления, представьте каково будет удивление жертвы, когда ей придет сообщение о только что совершенной покупке когда он(а) едет в транспорте – куда деваться вору который только что стоял рядом? Вероятность (даже небольшая) поимки на месте преступления с орудиями совершения кражи, что практически не оставляет шансов избежать реального срока, делает весьма рискованным такой способ.

[*] и финальный момент – как совершенно верно заметил эксперт – на сегодня совершенно не реально успеть вывести украденные таким способом деньги не оставив при этом следов. При совершении покупки через POS-терминал деньги аккумулируются на счету банка предоставившего эквайринг (услугу по приему оплаты картой) и лишь через 1-3 дня переводятся на счет владельца. Подключить услугу эквайринга может юрлицо или ИП предоставив целый набор необходимых документов. Можно конечно купить «готовую фирму» однако лично у меня есть большие сомнения что в таком случае получится быстро подключить эту услугу. Кроме того, украденные средства необходимо вывести со счета владельца, однако очевидно, что уже на 2-3й день в банки-эмитенты начнут поступать заявления от клиентов о покупках которые они не совершали, сразу виден будет один для всех продавец – клиент определенного банка, а мы хорошо знаем как лихо наши банки блокируют счета по 115-ФЗ лишь при подозрении на отмывание, в данном же случае не составит труда заблокировать всю цепочку счетов (какой длины бы она не была) поскольку инициатива будет исходить от банка предоставившего эквайринг вору, а не от клиента у которого со счета якобы похитили средства мошенники.. И абсолютно не подлежит сомнению что всем участникам цепочки будут предъявлены обвинения по целому ряду статей – уж сами для себя банки не поленятся собрать неопровержимые доказательства.

Читайте ещё про NFC:  Тинькофф Мобайл запустил в приложении сервис подключения к Wi-Fi в метро без рекламы | Тинькофф Инвестиции

В заключение хочу отметить – что лично я до сих пор не слышал о выявлении подобной схемы воровства. Что не удивительно, мошенники тоже умеют думать и анализировать – и наверное не очень хотят влезать в такие авантюрные для себя эксперименты.

Предупреждая вопрос о том, почему я всерьез рассматриваю POS-терминалы наравне со смартфонами, которые также можно использовать в качестве терминала, установив соответствующее приложение. Во-первых, не каждый банк предлагает такую возможность в рамках своей услуги эквайринга, и можно предположить что при ее наличии контроль будет значительно жестче. Во-вторых, цель данной статьи не только рассказать о текущих уязвимостях бесконтактной оплаты, но и дать понять что даже 1-2-3 года назад вероятность их реального применения была практически нулевой.

Рассмотрим второй вариант.
«Второй способ — считывание данных карты, ее номера и срока действия специальным NFC-скиммером (устройство для считывания данных с бесконтактных карт) для дальнейшей попытки мошенничества с операциями без присутствия карты (card not present transaction, CNP), например для оплаты в онлайн-магазинах», — рассказал Бабин.

Для начала надо отметить, что чип карты представляет собой по сути микрокомпьютер, со своим процессором, памятью и операционной системой. Поэтому, метод применявшийся ранее для копирования карт с магнитной полосой – здесь совершенно невозможен.

Напомню, устройство называемое «скиммер» прикрепляли на щель для карт на банкомате, затем при вставлении карты оно считывало проходящую сквозь него магнитную полосу и сохраняло в своей памяти, а злоумышленник впоследствии мог эти данные записать на любую карту с чистой магнитной полосой (т.н. белый пластик) и использовать для покупок в магазинах, или же, если смог выяснить и пин-код для этой карты – также снимать с нее деньги в банкомате. Теперь, с карты невозможно просто «прочитать чип», можно лишь осуществить с ним некоторый обмен командами и данными, подробно описанный в спецификации EMV. Тем не менее, протокол обмена данными с картой по NFC-технологии открыт и возможно прочитать целый набор различной информации при помощи специального устройства, или даже смартфона с приложением-считывателем. Подробно о структуре данных хранящихся на карте написано в одной очень хорошей статье на Хабре: https://habr.com/ru/post/281438/
«Данные EMV-приложения размещаются в записях (рекордах или треках). Их список можно получить в ответ на команду «Get Processing Options». Конкретную запись можно прочитать с помощью команды «Read Record». Внутри могут находиться: сертификаты ключей, номер карты (PAN – Primary Account Number), списки методов проверки карты (CVM list– Card Verification Methods list) и множество другой информации. Чтение этих записей очень похоже на чтение треков с магнитной полосы. Данные технических настроек карты, счетчики и лимиты можно получить командой «Get Data», указав требуемый тип.

Интересно, что практически все данные о счете держателя карты и настройках приложения можно вычитать из карты без каких-либо трудностей. Единственное до чего не добраться – это ключи приложения и значение пин-кода.«

Получить любые данные из чипа карты не составляет труда, например, точно также в транспорте приложив считыватель (смартфон) к некоторым сумочкам/карманам и проанализировав результат на выходе. Хотя, как выяснилось опытным путем, такая операция может потребовать держать считывающее устройство некоторое время неподвижно в непосредственной близости от карты (кошелька, сумочки) жертвы. Однако, что можно сделать с полученными данными в дальнейшем?

Во-первых, как отметил эксперт – попробовать использовать их для покупок в интернете. Пока еще остаются продавцы, как правило иностранные, которые позволяют совершать на своих сайтах покупки без использования функции 3d-secure (подтверждение онлайн-операции путем введения кода высылаемого в смс на телефон клиента) однако при этом продавец должен еще и не требовать код cvc/cvv который прочитать с чипа карты не представляется возможным. Тем не менее, даже при совершении такой покупки, реальный владелец карты может написать в своем банке заявление об ее оспаривании – при этом средства будут ему возвращены в срок до нескольких недель, а карта естественно заблокирована и перевыпущена, т.к. согласно правилам МПС все риски по таким операциям несет банк предоставивший эквайринг (который в свою очередь спишет эту сумму с продавца – своего клиента, да еще и оштрафует его) На данный момент, таким способом, в основном, можно оплатить контекстную рекламу или пополнить игровые аккаунты

«Использовать клонированную бесконтактную карту для выполнения CNP-транзакции возможно только в интернет-магазинах, где значения CVC2/CVV2 не запрашиваются при выполнении транзакции. Таких онлайновых магазинов в России осталось совсем немного. Поэтому совершить операцию в онлайновом магазине на основе данных, украденных в результате перехвата диалога бесконтактной карты и терминала, по меньшей мере сложно. А вероятность угадывания значения CVV2/CVC2 равна «всего-навсего» 1/1000. Не говоря уже о том, что в магазинах, поддерживающих протокол 3D Secure, шансы на клонирование карты, зарегистрированной в этой программе эмитентом, для совершения CNP-транзакций совсем призрачны (разумеется, при правильном внедрении и использовании этого протокола на стороне эмитента карты).«
https://plusworld.ru/journal/section_1168/section_162589/art162560/

Во-вторых, одно время считалось что на основе полученных данных можно создать карту-клон без чипа, но с магнитной полосой – на которую эти данные и записать, после чего ее можно якобы использовать для оплаты или в банкомате. Однако, никакой информации о практической реализации такой возможности мне лично найти не удалось.

Читайте ещё про NFC:  Что такое NFC и как научится им пользоваться?

«Очевидно, клонировать карту по чипу невозможно, поскольку для этого необходимо знать ключи карты, которые атакующим неизвестны. Клонировать карту по магнитной полосе также получится с очень невысокой вероятностью, поскольку мошенникам из перехваченных данных известны только номер карты и срок ее действия. Значения CVC/CVV через бесконтактный интерфейс не передаются, да и они по правилам МПС больше не совпадают с данными CVV/CVC на магнитной полосе. Поэтому эти значения атакующим неизвестны, а вероятность их угадывания невелика (равна 1/1000). Напомним читателю, что по правилам платежных систем все операции по магнитной полосе микропроцессорной карты должны быть обработаны в режиме онлайновой авторизации, так что без знания значений CVC/CVV для магнитной полосы мошенникам не обойтись!«
https://plusworld.ru/journal/section_1168/section_162589/art162560/

Можно ли скопировать данные EMV-приложения на магнитную полосу?

Из данных EMV-приложения можно составить треки для карты с магнитной полосой, за исключением одного небольшого параметра – кода обслуживания (Service Code). В качестве данных для EMV-приложения, код обслуживания указывает терминалу, что транзакция должна быть проведена с использованием приложения карты. Если взять этот код «как есть» и скопировать на магнитную дорожку – терминал будет пытаться выполнить транзакцию с помощью приложения. Казалось бы, можно отредактировать код обслуживания, но целостность данных защищена кодом CVV/CVC кодом. Он является ближайшим аналогом цифровой подписи.

Создается ощущение, что EMV-карта защищена от копирования со всех сторон. Хотя все-таки известна одна тривиальная возможность. Для режима совместимости производители выпускают EMV-карты комбинированного типа – то есть с микропроцессором и магнитной полосой. Существует возможность скопировать данные магнитной полосы на другую комбинированную карту с нерабочим чипом (чистым или сожженным) и попытаться провести так называемый fallback (при невозможности считать чип, терминал проводит операцию по магнитной полосе). В данный момент такие операции не приветствуется платежными системами, а риск по этим операциям ложится на эквайра или эмитента.
https://habr.com/ru/post/281438/

Единственное неудобство для клиентов может представлять тот факт, что с карты можно прочитать информацию о последних проведенных по ней операциях (обычно до 10) и хотя практической сиюминутной выгоды эти данные не принесут, их можно использовать в дальнейшем для выяснения подробной информации о жертве, если ведется ее целенаправленная обработка, или собирается целый массив информации в каких либо других целях. С другой стороны, регулярный утечки баз данных из банков и прочих финансовых структур представляют гораздо большую опасность.

«Среди других личных данных клиента, которые могут храниться на карте, некоторый интерес для мошенников может представлять лог-файл последних транзакций, выполненных по карте. И хотя среди данных транзакции в лог-файле присутствуют только сумма, валюта и дата транзакции (нет типа покупки и названия магазина, правда, название магазина и его местоположение встречается в логе транзакции в последних версиях платежных приложений, например, в M/Chip Advance), а записи лог-файла перезаписываются после накопления в нем некоторого количества (обычно 10) записей, третья сторона может выяснить и каким-то образом использовать, например, те же данные по объему совершенных по карте операций.«
https://plusworld.ru/journal/section_1168/section_162589/art162560/

Получить наглядное представление о том, что можно, а что нельзя прочитать с ваших карт, и каким образом это происходит – позволит например вот это бесплатное приложение:

https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard
Сразу замечу, что для чтения каждой карты мне требуется несколько секунд держать ее неподвижно прислонив к смартфону (Sony Xperia) таким образом возможность прочитать данные с карты «одним касанием» в транспорте уже представляется весьма маловероятной. Лог-транзакций мне удалось прочитать только с одной своей карты – старой кредитки БИН-банка, в новых картах (МКБ, Тинькоф, Открытие) эта информация закрыта.

Третий вариант воровства.

Для полноты картины следует отметить, что эксперт не упомянул про третий, самый технологичный и соответственно сложно-реализуемый, но тем не менее вполне реальный способ воровства с бесконтактных карт. Речь о так называемой «Relay-атаке» которая внешне похожа на первый способ – воровство через терминал, но на самом деле, при использовании поддельной карты и специального устройства-шлюза позволяет совершать реальные покупки с чужой карты.

«В общем случае в реализации relay-атаки участвуют два мошенника. Один находится рядом с жертвой, хранящей в своем портмоне бесконтактную карту (Person 1), а другой – рядом с кассой магазина, в котором совершается покупка (Person 2).

У мошенника Person 2 имеется специальная микропроцессорная карта, поддерживающая, с одной стороны, стандартный интерфейс (контактный или бесконтактный) для работы с реальным терминалом в магазине, а с другой – радиоинтерфейс, функционирующий в соответствии с одним из коммуникационных протоколов, обеспечивающих связь на расстоянии от нескольких десятков сантиметров до нескольких метров (например, ISO 15693, ISO 18000). С помощью такого радиоинтерфейса карта может обмениваться данными со специальным оборудованием мошенника Person 2, которое, помимо поддержки связи с картой, обеспечивает организацию удаленного радиоканала (например, в соответствии с протоколом Wi-Max (IEEE 802.16) с контролируемым мошенником Person 1 бесконтактным терминалом.

Читайте ещё про NFC:  Бесконтактные банковские карты в Балашихе | Сравнение дебетовых карт с бесконтактной оплатой

Дальше мошенники действуют следующим образом. Мошенник Person 2 передает кассиру для оплаты свою поддельную карту (возможно, самостоятельно касается ридера бесконтактной картой). Далее все команды терминала, установленного в реальном магазине, через карту мошенника Person 2, его специальное оборудование и мошеннический терминал Person 1 транслируются реальной бесконтактной карте ничего не подозревающей жертвы. При этом ответы карты жертвы на команды реального терминала по тому же маршруту, но в обратном направлении возвращаются реальному терминалу.«
https://plusworld.ru/journal/section_1168/section_162589/art162560/

Очевидно, что при осуществлении такой атаки действует такое-же ограничение на сумму покупки в 1000 р, однако она лишена всех остальных недостатков и самое главное, реальных мошенников практически невозможно определить. Вместе с тем, необходимость наличия достаточно сложного и дорого оборудования, возможность ошибок из-за рассогласования связи, и относительно небольшая сумма наживы делают ее очень мало привлекательной для реального применения. Конечно, сегодня в качестве обоих устройств (карты и трансивера) могут выступать два смартфона, однако трудоемкость написания соответствующих приложений, а также необходимость их тестирования на реальном торговом оборудовании нисколько не повышает возможность практической реализации данного метода.

В заключении можно сделать вывод, что хотя бесконтактные карты и обладают некоторыми уязвимостями, применение их на практике либо несоизмеримо с возможно получаемой прибылью относительно затрат на оборудование (relay-атака) либо очень рискованно в связи с невозможностью получения добычи и неизбежностью разоблачения. Кроме того, возможность любого из этих способов мошенничества пресекается в корне, если в кошельке (сумочке, кармане) жертвы хранится рядом более одной бесконтактной карты. Собственно, это и подтверждает тот факт, что все последние новости о хищениях с карт связаны в основном только с методами «социальной инженерии» и суммы ущерба измеряются десятками (иногда сотнями) тысяч рублей за один раз.

Также хочу повторить, на данный момент лично мне неизвестны достоверные случаи осуществления какого-либо из вариантов воровства с бесконтактных, перечисленные в статье. Кроме того, не вызывает сомнений тот факт, что ведущие МПС вряд ли стали бы внедрять технологию бесконтактной оплаты, не проведя всестороннего обследования и убедившись в полной практической безопасности.

И напоследок можно отметить, что все перечисленные методы в принципе не применимы если потенциальная жертва использует для оплаты не карту, а смартфон (карту конечно не носит с собой) по одной простой причине – приложение оплаты (ApplePay, GooglePay, SamsungPay и т.д.) включает прием по NFC только после активации устройства. Это значит, что в спящем режиме смартфон просто не отзовется на сигнал NFC-ридера или терминала оплаты.

Использованы материалы из статей: https://plusworld.ru/journal/section_1168/section_162589/art162560/
«Бесконтактные карты: мнимая уязвимость»

Игорь Голдовский, генеральный директор компании «Платежные Технологии», член Платежного комитета MasterCard Europe (Еuroреаn Payments Advisory Committee) от России

https://habr.com/ru/post/281438/
«Платежная EMV-карта. Механизмы обеспечения безопасности платежа»

Карты с технологией бесконтактной оплаты

Карты с технологией бесконтактной оплатыкарты, которые оснащены встроенными чипом и антенной, передающими по радиоканалу на бесконтактный терминал информацию о платеже.

У платежной системы Mastercard такая технология бесконтактных платежей называется PayPass, у VisapayWave, у China UnionPay — QuickPass, а у национальной платежной системы (карты «Мир») — «Бесконтакт».

Важным преимуществом бесконтактных карт считается то, что при совершении операции в торговой точке владельцы не выпускают их из рук и благодаря этому значительно снижаются риски мошенничества. Кроме того, такие карты упрощают процесс оплаты, позволяют быстрее обслуживать клиентов в торгово-сервисных предприятиях.

И если в 2020 году, когда в России только появилась эта технология, практически не было инфраструктуры для осуществления бесконтактных платежей, то сейчас пластик с возможностью бесконтактной оплатой становится все более популярным, т. к. принимается к оплате практически повсеместно. Еще одним преимуществом бесконтактной оплаты является то, что при сумме покупок до 1 тыс. рублей держателю пластика не нужно подтверждать операцию ПИН-кодом.

Карты с технологиями PayPass / payWave сегодня предлагают Сбербанк России, Райффайзенбанк, Альфа-Банк, ВТБ, «Русский Стандарт» и многие другие. «Бесконтакт», например, есть у Россельхозбанка, Московского Индустриального Банка, Тинькофф Банка.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector