1. відстань
2. криптографія
3. сума покупки
4. Ми підемо іншим шляхом
5. мораль

«З вас 732 рубля», - каже касир в супермаркеті. Я звично тьопаю закритим гаманцем по картковому терміналу. Секунда, короткий писк, і все - оплата пройшла.

Безконтактна банківська карта дійсно зручна штука. Не потрібно нічого нікуди засовувати, згадувати PIN-код, корябать чеки погано друкарській ручкою, не кажучи вже про те, щоб відраховувати купюри і копатися по кишенях у пошуках дрібниці. Доклав - і готово, вільний.

Продавцям безконтактні платежі теж тільки в радість, оскільки дозволяють прискорити процес оплати і збільшити таким чином пропускну здатність каси - самого вузького місця у всьому торговому господарстві.

Тільки ось простота здійснення покупки змушує задуматися: а що, вкрасти гроші з карти так само просто? Провів рідером по кишені - і привіт, кошти, нажиті непосильною працею?

Щоб розібратися в цьому питанні, я простудіював чимало доповідей з хакерських конференцій та поспілкувався з представниками банку. Відповідь вийшла швидше обнадійливим, хоча і не без нюансів.

відстань

Безконтактні банківські карти використовують для передачі даних технологію NFC, різновид RFID. На карті розміщені чіп і антена, які «відгукуються» на запит платіжного терміналу на радіочастоті 13,56 МГц. Різні платіжні системи використовують власні стандарти: Visa payWave, MasterCard PayPass, American Express ExpressPay і так далі. Але влаштовані вони схожим чином.

Дальність передачі даних через NFC становить кілька сантиметрів. Тому перший бар'єр захисту - фізичний. Зчитувач, по суті, необхідно докласти впритул до карти, що досить складно зробити непомітно.

Зате можна зробити нестандартний рідер, який працює на більшій дистанції. Наприклад, дослідники з британського Університету Суррей продемонстрували можливість зчитування по NFC даних на відстані до 80 см за допомогою компактного сканера.

Такий пристрій цілком може непомітно «опитувати» безконтактні карти в громадському транспорті, торговельних центрах, аеропортах і тому подібних місцях скупчення людей. Благо в деяких країнах відповідні карти лежать в гаманці вже у кожного другого громадянина.

Втім, можна піти ще далі і обійтися зовсім без сканера і особистої присутності. Ще одне оригінальне рішення проблеми відстані запропонували іспанські хакери Рікардо Родрігес і Хосе Вілла , Які представили доповідь на недавній конференції Hack In The Box.

Більшість сучасних Android-смартфонів оснащені модулем NFC. При цьому смартфони нерідко виявляються фізично поруч з гаманцем - наприклад, в одній сумці. Родрігес і Вілла створили концепт Android-троянця , Який перетворює смартфон жертви в щось на зразок ретранслятора NFC-сигналу.

Як тільки заражений телефон виявляється біля безконтактної карти, він відправляє через Інтернет зловмисникам сигнал про доступність транзакції. Шахраї активують звичайний платіжний термінал, підносять до нього свій NFC-смартфон. Таким чином створюється «міст» через Інтернет між NFC-карткою і NFC-терміналом, віддаленими одна від одної на будь-яку відстань.

Троянець може поширюватися стандартним способом, наприклад в комплекті з «зламаним» платним додатком. Все, що потрібно, - це версія Android 4.4 і вище. Root-доступ необов'язковий, хоча і бажаний для того, щоб троянець міг працювати і після блокування екрану.

криптографія

Зрозуміло, підібратися до картки - це тільки півсправи. Далі потрібно подолати більш серйозний захист, засновану на криптографії.

Безконтактні транзакції захищені тим же стандартом EMV, що і чіпові карти. На відміну від магнітної доріжки, яку можна просто скопіювати, з чіпом цей фокус не проходить. За запитом терміналу мікросхема кожен раз генерує одноразовий ключ. Цей ключ можна перехопити, але він уже не підійде для наступної транзакції.

Дослідники безпеки неодноразово ставили під сумнів захищеність EMV, але до сих пір реально працюючих на практиці сценаріїв злому оприлюднено не було.

Є, правда, одна деталь. У стандартній реалізації захист чіпових карт будується на комбінації кріптоключа і введення користувачем PIN-коду. При безконтактних транзакціях PIN-код зазвичай не вимагається, так що залишаються тільки кріптоключа чіпа карти і терміналу.

«Зробити термінал, який буде зчитувати дані карти« з кишені »клієнта, теоретично можливо. Але цей термінал повинен мати «на борту» криптографічні ключі, отримані у банку-еквайра і платіжної системи. Ключі видаються за договором з юридичною особою, тобто з банком-еквайром. Таким чином, шахрайство буде легко виявити і розслідувати », - розповів нам керівник управління підтримки додатків Райффайзенбанку Олександр Тараторін.

сума покупки

Є ще один рівень захисту - обмеження максимальної суми безконтактної транзакції. Ця межа в налаштуваннях термінального обладнання задає банк-еквайєр, керуючись рекомендаціями платіжних систем. У Росії максимальний поріг платежу становить 1000 рублів, в США - $ 25, у Великій Британії - 20 фунтів (скоро буде підвищено до 30) і так далі.

Платіж на велику суму буде відхилений або зажадає додаткового підтвердження (підпис, PIN) в залежності від налаштувань банку - емітента картки. При спробі послідовно зняти кілька сум нижче порога також повинна спрацьовувати система додаткового захисту.

Але і тут є нюанси. Інша команда британських дослідників з Університету Ньюкасла майже рік тому повідомила, що виявила пролом у захисті безконтактних транзакцій платіжної системи Visa. Якщо запитати платіж не в фунтах стерлінгів, а в іноземній валюті, то граничне обмеження не спрацьовує. А якщо платіжний термінал не підключений до Інтернету, то максимальна сума шахрайської транзакції може скласти до мільйона євро.

Представники платіжної системи Visa спростували практичну здійсненність подібної атаки, заявивши, що транзакція буде відхилена банківськими системами безпеки.

За словами Тараторіна з Райффайзенбанку, термінал контролює максимальний розмір платежу незалежно від того, в якій валюті він здійснюється.

Ми підемо іншим шляхом

Так що ж, виходить, що шахрайська NFC-транзакція неминуче буде затримана банком або платіжною системою? Швидше за все, так, якщо в цій схемі не задіяні недобросовісні працівники на стороні банку.

Але є і ще одна неприємна можливість. Через NFC можна вкрасти не "саму транзакцію», а інформацію про банківську карту.

Стандарт EMV допускає зберігання певних даних в незашифрованому вигляді в пам'яті чіпа карти. До таких даних можуть ставитися номер карти, кілька останніх здійснених операцій і так далі (яка саме інформація і як зберігається в чіпі, визначають банк-емітент і платіжна система). Ці дані можна вважати за допомогою NFC-смартфона, встановивши на нього цілком легальне додаток (наприклад, Banking card reader NFC - можете самі поекспериментувати зі своїми картами).

До цих пір вважалося, що ця відкрита інформація не ставить під загрозу безпеку карти . Однак авторитетне британське видання для споживачів «Which?» виступило з несподіваним спростуванням цієї тези .

Експерти «Which?» Протестували десяток різних безконтактних карт, випущених британськими банками. За допомогою доступного NFC-рідера і безкоштовного ПО їм вдалося декодувати номер і дату закінчення терміну дії для всіх десяти карт.

Здавалося б, турбуватися рано. Адже для онлайнової транзакції зазвичай потрібно ще CVV-код карти.

На жаль, багато інтернет-магазини в реальності не вимагають його для покупки. Що і продемонстрували експерти «Which?», Успішно замовили телевізор за 3 тис. Фунтів в одному з великих онлайн-ритейлерів.

мораль

Хоча сама технологія безконтактних платежів дійсно закрита хорошою багатофакторної захистом, це зовсім не означає, що з нею ваші гроші знаходяться в безпеці. Занадто багато в банківських картах пов'язано з давно застарілими технологіями (магнітна смуга, онлайновий платіж без додаткової аутентифікації і так далі).

Ще більше залежить від сумлінності налаштувань конкретних фінансових установ та магазинів. Причому останні в гонитві за високою швидкістю покупок і низьким відсотком «кинутих кошиків» нерідко дуже сильно нехтують безпекою платежу.

Тому стандартні поради щодо забезпечення безпеки зберігають свою актуальність і в цьому випадку . Бережіть карту і PIN-код від чужих очей, не "світите» її де попало, дивіться, що встановлюєте на смартфон, обзаведіться антивірусом, включите SMS-повідомлення про операції, а при першій підозрі звертайтеся в банк.

Ну а для повної впевненості в тому, що ніхто і ніяким чином не зможе вважати вашу безконтактну картку без вашого відома, можна купити спеціальний екранований гаманець. Вже фізику точно не обдуриш.