Как расплачиваться телефоном в магазине? Инструкция, приложения

Популярные мифы об apple pay

  • Карта копируется в телефон
    Это не так, в микропроцессорной карте содержится защищенная область памяти с криптографической информацией, которая после выпуска карты не может быть извлечена. Из-за этого чипованную карту нельзя скопировать, никак, вообще. Справедливости ради нужно сказать, что подобные атаки возможны, но стоимость их превышает суммарное количество денег, которые потратят за всю жизнь большинство читателей этой статьи.
  • Телефон каждый раз подключается к интернету во время оплаты
    Google Pay/Apple Pay не подключаются к интернету во время оплаты через POS-терминал. Вся нужная информация хранится локально в телефоне.
  • На каждую оплату генерируется новый номер карты (PAN)
    Так может показаться, если читать пресс-релизы Apple о технологии Apple Pay. Но это ошибочное трактование понятия токена. На самом деле, реквизиты виртуальной карты остаются неизменными достаточно долго, вы можете это проверить по последним цифрам номера карты в слипе (банковском чеке) при оплате покупок.
  • При оплате через Apple Pay/Google Pay взымается дополнительная комиссия
    Это не так, вы заплатите ровно столько, сколько указано на ценнике, и согласно условиям вашего договора с банком-эмитентом, чью карту вы привязали.
  • Деньги могут списаться два раза
    Этот миф касается не только Google Pay/Apple Pay, но и обычных банковских карт. Полагаю, что он появился из-за систем оплаты общественного транспорта, в которых терминал списывает деньги с проездного билета каждый раз при поднесении, так что можно списать средства два или более раз, если неаккуратно поднести карту. В случае с POS-терминалами этого риска не существует, так как терминал прекращает обмен с картой, как только получил нужные данные.


Связывание физической карты с «токеном» в телефоне

Системы, подобные Apple Pay, работают на основе EMV Payment Tokenisation Specification. Процедура связывания физической карты и телефона с Apple Pay не описана публично, поэтому разберем процесс на основе известных данных:

  1. Поставщик (Google, Apple, Samsung) получает информацию о карте;
  2. Через МПС поставщик запрашивает, поддерживает ли данная карта (данный банк-эмитент) работу с EMV Tokenisation;
  3. На стороне МПС генерируется виртуальная карта (токен), который загружается в защищенное хранилище в телефоне. Мне неизвестно, где именно генерируется приватный ключ от виртуальной карты, передается ли он по интернету или генерируется локально на телефоне, в данном случае это не имеет значения.
  4. В телефоне появляется сгенерированная виртуальная карта-токен, операции по которой банк-эмитент интерпретирует как операции по первой физической карте. В случае блокировки физической карты, токен тоже блокируется.

Apple Pay позволяет считать реквизиты виртуальной карты. PAN номер и expire date отличаются от привязанной карты российского Альфа-Банка. По BIN виртуальной карты (480099) определяется MBNA AMERICA BANK.

При оплате телефоном, POS-терминал видит обычную карту VISA или MasterCard, и общается с ней точно так же, как и с физической картой. Виртуальная карта-токен содержит все атрибуты обычной карты: PAN-номер, срок действия и прочее. При этом номер виртуальной карты и срок действия отличаются от привязанной оригинальной карты.

Читайте ещё про NFC:  Как перевести деньги с МТС на МТС

Стоит ли бояться бесконтактных платежей? самая очевидная опасность —…

Банки наращивают долю бесконтактных карт. Насколько безопасны такие карты и какие способы могут использовать мошенники, чтобы уводить деньги с пластика?

В России активно развивается система бесконтактных платежей. По данным компании Visa, с сентября 2020 по сентябрь 2020 года количество транзакций по картам Visa РayWave увеличилось в 4,5 раза. В пресс-службе платежной системы MasterCard, ссылаясь на исследование MasterIndex по итогам 2020 года, отметили, что более 60% россиян знакомы с технологией бесконтактной оплаты. Этот показатель вдвое превышает результаты 2020 года.

Опрошенные РБК топ-10 банков и банковских групп из рэнкинга «Интерфакс-100» отмечают, что постепенно наращивают объем бесконтактных карт в своем портфеле, хотя они не ведут отдельную статистику по бесконтактным картам, и приводят оценочные цифры. По данным пресс-службы Альфа-банка, за два года объем бесконтактных карт увеличился примерно в два раза. В пресс-службе ЮниКредит Банка говорят, что на долю бесконтактных карт в общем портфеле организации приходится почти 80%, а год назад этот показатель составлял около 70%.

«Большинство новых карт, выпускаемых ВТБ, являются бесконтактными. В настоящий момент их доля составляет более 30% от карточного портфеля банка, год назад она составляла примерно 15%, и данный показатель продолжает активно расти», — говорит заместитель руководителя департамента розничных продуктов ВТБ Юлия Деменюк. Остальные опрошенные банки не предоставили статистику относительно выпуска бесконтактных карт.

В конце сентября Сбербанк сообщил, что к концу 2020 года все выпущенные банком новые карты, кроме карт моментальной выдачи и электронных (Visa Electron, Maestro, Maestro Социальная), станут бесконтактными. На долю бесконтактных карт Visa и MasterCard в портфеле Сбербанка сейчас приходится 11%. Всего же у Сбербанка 131 млн действующих пластиковых карт, таким образом, в ближайшие годы по мере обновления портфеля только от Сбербанка на рынок поступят десятки миллионов бесконтактных карт.

В основе действия технологии бесконтактной передачи данных лежит отправка сведений на малом расстоянии (не более 5 см) между картой и считывателем через магнитное поле, говорят эксперты. Чип и антенна, размещенные в карте, откликаются на запрос платежного терминала. Транзакции на сумму до 1 тыс. руб. не требуют введения пин-кода. Сделано это, для того чтобы недорогие покупки не занимали у покупателя много времени. Более крупные операции уже нуждаются в дополнительном подтверждении пин-кодом. Изменить этот лимит самостоятельно клиент банка не может.

В России бесконтактная карточная технология от Visa РayWave​ появилась осенью 2020 года. PayPass от MasterCard — в 2008 году.

Читайте ещё про NFC:  Samsung pay поддержка карт visa

С популярностью бесконтактных платежей увеличивается и количество слухов об уязвимости этой технологии. РБК разбирался, действительно ли бесконтактные карты более уязвимы по сравнению с обычным «пластиком» и как держатели таких карт могут защититься от мошенников.

Опасности реальные и мнимые

Получая на руки новую карту, клиенты часто задают вопрос о ее надежности, отмечают банкиры. По словам директора по мониторингу электронного бизнеса Альфа-банка Алексея Голенищева, подобные вопросы вызваны относительной новизной технологии и отсутствием популярной информации, а также надуманным и необоснованным негативом, порой транслируемым в интернете.

В частности, некоторые клиенты боятся, что с бесконтактной карты можно в людных местах мгновенно без ведома владельца снять небольшую сумму. «Якобы в общественном транспорте ходят мошенники с бесконтактными терминалами и списывают незаметно с бесконтактных карт клиентов суммы до 1000 руб. Это очень гипотетический вариант, практически малоосуществимый», — говорит Голенищев. «Размер угрозы крайне переоценен», — согласен руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention «Лаборатории Касперского» Денис Горчаков.

Как поясняет старший специалист отдела исследования безопасности банковских систем Positive Technologies Ярослав Бабин, для проведения транзакции и списания денег с карты необходим работающий платежный терминал, чтобы банк-эквайер мог провести платеж. POS-терминал выдается только юридическим лицам и индивидуальным предпринимателям при заключении соответствующего договора, поясняет менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента ИБ ГК Softline Дмитрий Тирский. «Поэтому неправомерное использование оборудования легко установить, а вся информация о совершенных транзакциях сохраняется в логах банка, обслуживающего терминал», — говорит он.

Если клиенту придет уведомление об операции, которую он не совершал, то он может сообщить об этом в свой банк, который определит, через терминал какого банка был совершен платеж. «После этого банк, выдавший терминал оплаты, будет вынужден вернуть средства клиенту. В дальнейшем банк-эквайер может взыскать возвращенные денежные средства и оштрафовать владельца терминала оплаты», — поясняет начальник отдела развития Фридом Финанс Банка Мурад Шихмагомедов.

Еще одна угроза, информация о которой активно тиражируется в интернете, связана с возможностью с помощью самодельного считывающего устройства «уводить» с пластика не деньги, а данные (от имени держателя до истории транзакций и остатке на счете).

В Сети эта схема описана следующим образом: с помощью самодельного считывающего устройства злоумышленники считывают с карт данные, чтобы потом, используя их, создать карту-клон с магнитной полосой и совершать с ее помощью покупки в интернете. Этот вариант мошенничества эксперты называют не самым популярным, но реализуемым. В 2020 году, по данным компании Zecurion, таким образом с бесконтактных карт россиян увели 2 млн руб., статистику за более поздний период компания не предоставляет, ссылаясь на договоренности с банками.

Читайте ещё про NFC:  Сбербанк paypass приложение

По словам Дмитрия Тирского, информация, которую могут узнать мошенники, очень ограничена. Это номер карты, срок действия, история транзакций, чтобы оценить активность пользования картой и активность ее использования. При этом код CVV (трехзначный код, расположенный на обратной стороне карты), который необходимо вводить для подтверждения платежа, скопировать невозможно. Алексей Голенищев из Альфа-банка говорит, что несколько лет назад некоторые онлайн-продавцы игнорировали требование подтверждать транзакции с помощью CVV и подобные махинации были возможны. Также, по его словам, иногда мошенники пользовались пробелами настройки системы безопасности банков. «Были единичные случаи, когда мошенники выясняли, что у какого-то банка некорректно работает система авторизации, и вместо запрашиваемого CVV вбивали произвольные цифры. Но банки совершенствуют свою систему безопасности. Сейчас все банки — эмитенты карт в России в обязательном порядке проверяют CVV/CVC», — говорит он.

Эксперты говорят, что самая очевидная опасность для клиента — потеря бесконтактной карты. Если она попадет в руки злоумышленника, тот сможет беспрепятственно совершать мелкие покупки, пока владелец не заблокирует «пластик». Даже специальное оборудование ему для этого не понадобится.

Однако руководитель направления информационной безопасности компании КРОК Андрей Заикин отмечает, что несколько платежей на мелкую сумму подряд заставят сработать защитные системы банка и банк заблокирует такие операции как подозрительные. Транзакции будут заморожены до подтверждения их легитимности. В банках подтвердили, что система безопасности отслеживает подобные транзакции, отметив, что, как правило, операция блокируется после трех совершенных подряд операций на сумму, не требующую пин-кода.

На всякий случай

Те, кто все-таки боятся неправомерного списания средств с карты «по воздуху», могут найти в интернете нехитрые приспособления, которые защитят от мошенников. Например, в онлайн-магазинах можно найти экранирующие футляры из алюминия. Их цена варьируется от 50 руб. (за кардхолдер на одну карту) до 500 руб. (за футляры из кожи на несколько карт). Дороже (от 700–900 руб.) будут стоить полноценные кошельки с подкладкой из металлизированной ткани. Встречаются даже сумки и портфели со специальными изолированными отделениями, которые не пропустят сигнал.

Эксперты подтверждают, что эти способы действенные. Считать данные карты будет невозможно, но, чтобы совершить покупку, пластик придется каждый раз вынимать из «упаковки».

Начальник аналитического управления​ Бинбанка Александр Свиридов добавляет, что если в кошельке есть две и более бесконтактных карты (включая транспортные), то это усложняет задачу считывания для злоумышленника. Терминал просто «запутается» в радиоволнах от нескольких карт.

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector