avatar

Мои финансы – с защитой танцы

Опубликовал в блог Новости IT технологий
0
Вам встречались люди с торчащим кусочком фольги из кошелька? Нет? Совсем скоро вы их увидите во всех городах страны! Кто эти люди? Самые обычные граждане, которые волнуются за свои финансы. Причина их беспокойства — бесконтактные платежные технологии PayWave и PayPass.

Бесконтактные банковские карты – это уже знакомые и привычные для нас кусочки пластика, с той лишь разницей, что в них есть антенна для передачи информации по радиоканалу. Самыми распространёнными их видами являются VISA PayWave и MasterCard PayPass. Отличить такие карты можно по соответствующему символу в виде волны в углу и названию бесконтактной технологии рядом с логотипом платежной системы. Для оплаты покупки всего лишь надо поднести такую карту к платёжному терминалу, оснащенному специальным радиоприемником. И всё — платеж осуществлен. Никаких вводов паролей и оставления «автографов». Скорость увеличивается – очереди сокращаются.

Но как во всем прекрасном, так и в бесконтактных платежах есть свои спорные моменты. Увидев, как работают карты данного типа, возникает вопрос: если продавец может получить с карты данные, необходимые для проведения транзакции, что мешает злоумышленнику просканировать карту и снять с нее деньги? Безопасно или нет носить в кармане бесконтактную банковскую карту?

Немного истории
Впервые вопрос о безопасности банковских карт возник вначале 70-ых годов ХХ века, когда банки столкнулись с острой нехваткой рабочих рук. Операционисты не успевали обрабатывать вал бумаг, которыми сопровождались запросы на кредиты и их одобрение.

Эта ситуация побудила банки организовать самообслуживание клиентов при помощи банкоматов. Для обеспечения доверия новому оборудованию инженерам нужно было предложить способ, с помощью которого пользователи могли бы просто, быстро и безопасно себя идентифицировать. Так появились карты с магнитной полосой.

Однако в таких картах с магнитными носителями существовала и существует серьезная проблема, которая называется скимминг. В случае проведения «пластика» через скиммер, специальное считывающее устройство, маскируемое под штатные элементы банкомата, злоумышленники могут сделать копию магнитной полосы, а затем перенести полученную информацию на чистую карту.

В ответ на это в 80-х годах появились смарт-карты. По своему внешнему виду они весьма похожи на своих прародителей. Наряду с магнитной полосой, которая используется там, где недоступны считывающие устройства для смарт-карт, в пластик корпуса такой карты встраивается еще микропроцессорный чип – фактически полноценный компьютер. В контексте банковских приложений его еще часто называют EMV-чипом.

EMV – это стандарт, созданный совместными усилиями компаний Europay, MasterCard и Visa с целью повышения уровня безопасности банковских платежей. Вскоре после его создания Europay и MasterCard слились в одну компанию, но название документа уже менять не стали.
Итак, за счет чего повысился уровень безопасности?

Во-первых, сложность подделки. Две минуты поиска на просторах Интернета и Вам будет предложена самая подробная инструкция по клонированию карт с магнитной полосой, а так же несколько десятков вариантов приобретения оборудования, необходимого для этого. Подделка карты с чипом на данный момент считается невозможной.

Второй фактор безопасности — использование динамических данных. Для каждой банковской транзакции EMV-чип генерирует индивидуальный код подтверждения. В связи с этим, перехват данных, передаваемых при платеже, становится бессмысленным.

В-третьих, появление предметной верификации держателя. При использовании магнитной карты для подтверждения платежа Вам необходимо поставить свою подпись, которую в большинстве случаев никто не сличает с оригиналом. А о том, что необходимо так же сверить имя владельца «пластика» с удостоверением личности его держателя, и говорить не стоит. При использовании чиповой карты подтверждение каждого платежа происходит путем введения PIN-кода.

Хоть EMV-чип стал серьезной альтернативой магнитной полосе, тем не менее, и у него есть ряд недостатков. Самый главный из них – это необходимость обеспечивать совместимость с гигантской инфраструктурой магнитной полосы. Для решения данной проблемы банки выпускают гибридные карты, предоставляющие оба варианта доступа к платежу. Но при обслуживании такой комбинированной карты по магнитной полосе, вновь встает вопрос безопасности. Снова появляется угроза скимминга.

Стоит отметить, что копирование данных все-таки возможно и с чипа. Со смарт-карт, выпущенных до 2008 года (MasterCard) и до 2009 года (Visa), можно считать информацию достаточную для изготовления соответствующей магнитной полосы, а именно: номер, срок действия, служебный код, информация о банке. Для карт, выпущенных позднее указанных дат, такой проблемы уже не существует.

Получится ли у мошенника воспользоваться такой копией или нет – вопрос. Как и карты, так и терминалы бывают различных типов. Если мошенник с «клоном» обратится в терминал, оборудованный только считывателем магнитной полосы, то проблем с использованием не возникнет. Гибридный терминал при распознавании кода, полученного с карты, способен установить, что помимо магнитной полосы она должна содержать еще и чип. В таком случае транзакция осуществлена не будет.

Вторая серьезная проблема EMV-чипа – это низкая скорость работы контактного интерфейса. Время необходимое для доступа к чипу, авторизации и выполнения необходимых процедур существенно больше, чем время транзакции по карте с магнитной полосой. В случае систем массового обслуживания данный факт может быть куда более критичным, чем риски мошенничества.

Все это обусловило необходимость создания платежных технологий, которые сочетали бы в себе лучшие стороны как магнитных, так и чиповых карт и при этом имели минимум недостатков. На эту роль как раз и претендуют бесконтактные банковские карты NFC.

О бесконтактных технологиях
В качестве физической основы механизма бесконтактных банковских платежей используется технология NFC. NFC (Near Field Communication — «коммуникация ближнего поля») — это беспроводная высокочастотная связь малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 10 сантиметров. По сути, это простое расширение стандарта бесконтактных карт (ISO 14443) RFID, объединение интерфейса смарт-карты и считывателя в единое устройство. Технология NFC в области банковских приложений позволяет заменить устаревшую, но привычную магнитную полосу на более современное решение, не ограничиваясь при этом банковскими картами. Оплата может производиться и иными платежными инструментами, будь то сотовый телефон или RFID-стикер, наклеенный на любой удобный предмет.

В бесконтактных картах информация, необходимая для проведения транзакций, хранится на чипе карты. Существует два типа таких карт.

Для первого варианта исполнения характерно наличие только бесконтактного интерфейса, размещенного на карте c магнитной полосой. Данный вид предназначен, в основном, для США. Фактически бесконтактный модуль является статическим и дублирует информацию, хранящуюся на магнитной полосе.

Второй вариант является более защищенным, чем первый. В такой карте обязательно наличие двух интерфейсов, взаимодействующих с чипом: контактного (впаянного элемента, напоминающего SIM-карту) и бесконтактного (RFID-метка). Карты данного типа соответствуют стандарту EMV. Они не только сохранили преимущества своих «чипованных собратьев», но и стали более удобными:

— Бесконтактная карта всегда остается при своем владельце. Её не надо передавать продавцу для проведения через считывающее устройство или вставлять в терминал. Особенно приятно прекращение практики, при которой вы, оплачивая обед, должны смириться с тем, что официант взял карту и ушёл оплачивать Ваш заказ, обслуживать других посетителей, пить чай и т.д.

— По бесконтактным картам, с целью увеличения скорости обслуживания, разрешены платежи без дополнительной аутентификации. Для России эта сумма составляет 1 000 рублей, для Украины – 200 гривен, а, например, для Таиланда – 700 тайских бат. Это не значит, что нельзя совершить бесконтактную оплату покупки, чья стоимость превышает данную сумму, просто в этом случае Вам придётся пройти процедуру аутентификации.

Совершение платежей на небольшие суммы без авторизации стало возможным благодаря тому, что международные платежные системы взяли курс на повышение скорости оплаты. Так Visa установила максимально допустимое время для проведения транзакций равным 30 секундам. С этой же целью Visa запустила программу Visa Easy Payment Service, по которой все точки продаж не должны требовать удостоверения личности у клиентов при покупке на сумму менее 1 000 руб.

Новая технология оплаты становится незаменима в точках массового обслуживания, где критична именно скорость, например, в транспорте. Секунды, сэкономленные при использовании бесконтактных карт, существенно сокращают очереди и время ожидания клиентов.

А как же безопасность?
В картах PayPass и PayWave используется RFID чип, работающий на частоте 13,56 МГц. Именно благодаря ему происходит данными между картой и терминалом. Однако, злоумышленник может легко перехватить эти сведенья с помощью альтернативного RFID-сканера.

Производители бесконтактных карт решением проблемы называют тот факт, что радиус действия RFID-меток составляет 3-5 см. Но данный аргумент является весьма спорным, т.к. уже существуют дальнобойные считыватели с радиусом действия более 30 см. Пока они имеют в своем составе достаточно большие антенны, что не умаляет факта их существования.

Таким образом, имея RFID-сканер можно сформировать запрос на транзакцию и провести атаку на карту. Безусловно, этих данных недостаточно для создания клона, но ряд фишинговых атак может оказаться вполне успешным.

Между тем, и законодатели, и платежные системы в этом вопросе поддерживают держателя денежных средств. Сумма платежей до 1 000 рублей, оспариваемая владельцем карты возвращается без дополнительного расследования и в кратчайшие сроки. Во многом это связанно с заинтересованностью в развитии микроплатежей и постоянном увеличении денежных оборотов. На это явно указывает и один из самых обсуждаемых принятых законов – 161-ФЗ «О национальной платежной системе». Если ранее при махинациях с банковскими картами свою невиновность приходилось доказывать владельцу скомпрометированной карты, что в российских судах чаще всего ничем хорошим не заканчивалось, то с 1 января 2014г. ситуация кардинально меняется. В соответствие со статьей 9 упомянутого закона банк обязан возместить клиенту сумму операции, совершенной без его согласия, после получения уведомления о несанкционированном переводе денежных средств. И уже только после этого приступать к расследованию инцидента. Современные системы фрод мониторинга тем не менее не дадут злоупотреблять клиентам банков правом постоянно оспаривать операции. Желающих нажиться на ложных обращениях, можно оперативно выявить.

Так стоит ли пользоваться бесконтактными банковскими картами или нет? Скорее всего, стоит. Это не только удобно, это практически безопасно. Но если сомнения в безопасности передачи данных вашей карты по радиочастотному каналу всё-таки остаются, то экранирование карты конвертом из фольги решит этот вопрос. И нам все чаще будут встречаться люди с торчащим уголком фольги из кошелька.

Источник: habrahabr.ru,
получено с помощью rss-farm.ru


0 комментариев RSS
Нет комментариев
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.