Содержание

Бесконтактные карты. Безопасно или нет?

Как свидетельствуют отзывы, бесконтактные карты для оплаты товаров и услуг с каждым днем становятся все популярнее, конкурируя с классическими пластиковыми банковскими карточками. И это неудивительно, ведь они предлагают не менее обширный функционал, включая возможность хранить и переводить денежные средства, а также дистанционно управлять счетами, используя онлайновые платежные системы типа LiqPay, мобильный банкинг и интернет-банкинг, включая Приват 24, Пумб Online, Raiffeisen Online, My Alfa-bank /Альфа клик. С помощью платежных устройств, которые работают на интегральных схемах по бесконтактному принципу, сегодня совершаются покупки и оплачивается проезд в метро (например, в метрополитене в Харькове), их используют для оплаты доступа в развлекательные заведения.

Примерами смарт-карт, в основе которых лежит микросхема и плоская обмотка-антенна, также могут служить:

  • электронные пропуска;
  • клубные карты;
  • биометрические паспорта.

Популярность смарт-карт в современном мире — особенно это касается стандарта ISO 14443 (Proximity Card) и Vicinity Card — обусловлена их исключительной простотой в использовании и относительно невысокой ценой. Судите сами: чтобы воспользоваться бесконтактной картой, достаточно просто поднести ее поближе к терминалу. Дальность действия устройства зачастую позволяет не доставать при считывании карточку из кредитницы или бумажника. Несмотря на простоту и удобство бесконтактных карт, умы общественности все еще продолжает будоражить тема их безопасности, что и порождает множество мифов. Попробуем разобраться с основными из них.

Миф 1: Платежи с помощью стандартных банковских карт безопаснее, чем бесконтактные

На самом деле, бесконтактная оплата картой отличается от платежа пластиком классического банковского формата Visa или MasterCard лишь технологически. Более того, оплата «по воздуху» даже безопаснее, поскольку такие транзакции защищены тем же стандартом EMV, что и карты с чипом, а он априори надежнее магнитной дорожки простейших карт Виза/Мастер/Американ экспресс, которую можно просто скопировать. При бесконтактной процедуре для каждого платежа генерируются одноразовые платежные данные.

Миф 2. Вооружившись самодельным считывателем, злоумышленники могут в людном месте незаметно снять деньги с бесконтактной карты

Как показывают опыты, для работы считыватель не должен находиться на слишком дальнем расстоянии от бесконтактной карточки. Мошеннику будет крайне непросто незаметно приблизиться настолько, чтобы извлечь деньги или данные с карты. Вероятно, со взломом могли бы справиться считыватели бесконтактных карт более мощного действия, но, по оценке специалистов, такое оборудование должно быть крупногабаритным — не меньше тележки из супермаркета.

Миф 3. С бесконтактной карты могут украсть деньги, воспользовавшись функцией мини-транзакции, не требующей ввода пин-кода

Совершить кражу денег и что-то купить за ваш счет с помощью бесконтактной карты не так уж привлекательно, ведь каждый независимый терминал электронных платежей регистрируется, заключая договор с банком-эквайером. А для этого продавцу требуется предъявить соответствующие идентифицирующие документы, что позволяет, при необходимости, легко его вычислить.

Миф 4. При потере карты владельцем мошенники могут без проблем использовать ее для оплаты покупок

Подобная ситуация может случиться и с обычной банковской картой «Виза», поэтому мифом в данном случае является, скорее, фраза «без проблем». О каждом списании средств с потерянной карты владелец будет получать уведомления. Но, обнаружив, что бесконтактная пластиковая карта пропала, не стоит ожидать таких сообщений, а следует сразу же уведомить банк, чтобы ее заблокировали. Подытожив вышесказанное, можно сделать вывод: решив заказать бесконтактную карту, вы действительно получите надежный и удобный платежный инструмент с многофакторной защитой. Но не стоит пренебрегать стандартными советами по обеспечению безопасности денег: следите за картой и держите в тайне PIN-код, а, если хотите защитить карту от стороннего считывателя, обзаведитесь специальным экранизированным кошельком.

6 мифов о бесконтактных платежах

Бесконтактные платежи так же безопасны, как и защищенные PIN-кодом. Но в обществе на этот счет по-прежнему много предубеждений. Как все обстоит на самом деле? Mastercard в сотрудничестве с банковскими специалистами  развенчали мифы о бесконтактных картах.

Миф Nr. 1. Вор может потратить все мои деньги

Это неправда. На самом деле для бесконтактных платежей без ввода PIN-кода установлен лимит в размере 50 евро; в целях безопасности время от времени какую-то из покупок, вне зависимости от суммы, необходимо подтверждать PIN-кодом, чтобы убедиться, что картой пользуется ее настоящий владелец. Бесконтактный платеж безопасен и его можно проследить. В случае потери карты необходимо сразу связаться со своим банком и заблокировать ее. Банк тщательно оценивает каждый случай осуществления ненадежного и неавторизированного платежа — у покупателей в таких ситуациях есть право на возврат денег.

Миф Nr. 2. Вор может считать карту на расстоянии

Это неправда. На самом деле карту необходимо поднести к устройству для считывания карт на расстояние не более 4 сантиментров.

Миф Nr. 3. Вор может украсть деньги, воспользовавшись поддельным устройством для считывания карт

Это неправда. На самом деле все устройства для считывания карт должны быть зарегистрированы в одном из действующих в Латвии банков. Бесконтактный платеж не осуществляется только между картой и терминалом, в процессе участвует и банк. Таким образом, каждую бесконтактную сделку можно отследить.

Миф Nr. 4. Вор может украсть данные карты и совершить покупки в интернете

Это неправда. На самом деле имя, фамилия, адрес и номер CVV2 пользователя карты никогда не пересылаются. На бесконтактной карте не внедрена технология, с помощью которой можно было бы получить доступ к банковскому счету. При осуществлении покупок в интернете банк предлагает безопасность 3D — система включает в себя проверку пользователя карты паролем, который выбирает сам владелец карты и без которого сделка не может быть произведена.

Миф Nr. 5. За одну покупку можно случайно заплатить два раза

Это неправда. На самом деле у каждого бесконтактного платежа есть свой уникальный, одноразовый номер, поэтому платеж невозможно совершить дважды — случайно или специально.

Если в вашем кошельке больше одной бесконтактной карты, то желательно при покупке достать из кошелька ту карту, которой вы хотите расплатиться. Если приблизить к устройству для считывания карт кошелек с несколькими картами, деньги будут сняты только с одной карты, а именно — с той, которая первой отреагирует на запрос терминала для приема карт.

Миф Nr. 6. Вор может скопировать карту и совершать платежи

Это неправда. На самом деле устройство для считывания карт проверяет аутентичность карты. Mastercard использует систему выявления мошенничества и искусственный интеллект.

Информационная кампания «Пик и готово»
С целью разъяснить преимущества покупателей и торговцев при расчетах бесконтакными картами, с января по март 2019 года Mastercard в сотрудничестве с Ассоциацией финансовой отрасли проводит информационную кампанию «Пик и готово». Первыми присоединились к ней и начали информировать своих клиентов о преимуществах бесконтактных платежей торговые сети Maxima, Narvesen и Rimi.

Статья подготовлена в сотрудничестве с Ассоциацией финансовой отрасли

В комплекте выгоднее

Карта, счет и перечисления – все необходимое для повседневных финансов за одну, меньшую плату.

 


  • Платежные карты - 20.09.2016

    Покупки до 50 евро – без PIN-кода

    Бесконтактные платежные карты от традиционных отличает возможность расплачиваться за небольшие покупки, не вставляя карту в терминал и не вводя PIN-код. Прогнозируется, что до 2020 года большая часть карт будет иметь функцию бесконтактной оплаты.

    Подробнее

  • Платежные карты - 29.01.2020

    Кредитная карта как подушка безопасности

    Надежды на рост доходов в будущем повлияли на то, что в течение последнего года увеличились лимиты кредитных карт жителей. Кредитная карта, которая обычно используется, например, для путешествий, может стать также подспорьем в непредвиденных ситуациях.

    Подробнее

Близкие контакты. Атакуем бесконтактные карты — «Хакер»

Бес­контак­тные бан­ков­ские кар­ты очень удоб­ны: при­ложил кар­точку к тер­миналу, и через пару секунд в кар­мане звяк­нул телефон — покуп­ка опла­чена. Но это удобс­тво име­ет и обратную сто­рону: зло­умыш­ленни­ки могут украсть день­ги у дер­жателей такого «плас­тика». Давай погово­рим о спо­собах взло­ма бан­ков­ских карт, исполь­зующих тех­нологию NFC.

Читай также

О прин­ципах, на которых стро­ится безопас­ность бан­ков­ских пла­теж­ных сис­тем, ты можешь узнать из пре­дыду­щих моих ста­тей:

Все они теперь дос­тупны для чте­ния без под­писки.

Тех­нологи­чес­ки пла­тежи NFC явля­ются про­дол­жени­ем стан­дарта EMV, поэто­му все про­исхо­див­шие «в дикой при­роде» ата­ки уже были извес­тны иссле­дова­телям. Ког­да я занял­ся темой бес­контак­тных пла­тежей, мне все же уда­лось най­ти нес­коль­ко новых инте­рес­ных слу­чаев, но подоб­ные ата­ки все так же фокуси­руют­ся на обратной сов­мести­мос­ти и дру­гих недос­татках основных механиз­мов EMV — авто­риза­ции, аутен­тифика­ции, верифи­кации.

Про­ведя тес­ты с десят­ками карт, я был поражен мас­шта­бом проб­лем в бан­ках. С начала 2000-х они никуда не делись, и с при­ходом бес­контак­тных пла­тежей таких проб­лем прос­то ста­ло боль­ше. Одна из осо­бен­ностей мошен­ничес­тва имен­но с бес­контак­тны­ми кар­тами зак­люча­ется в том, что его труд­но под­твер­дить, так как зло­умыш­ленни­ку нет необ­ходимос­ти получать физичес­кий дос­туп к тво­им кар­там. Поэто­му бан­ки неред­ко опро­тес­товыва­ют подоб­ные жалобы кли­ентов.

 

Легаси

Пер­вым, кто еще в 2014 году обра­тил вни­мание на небезо­пас­ность режимов легаси при бес­контак­тном методе опла­ты, был ис­сле­дова­тель Питер Фил­лмор (Peter Fillmore).

Что такое бес­контак­тные легаси‑режимы и зачем они соз­давались в 2013 году? Легаси‑режимы — спе­циаль­ные режимы для тер­миналов, которые не уме­ли работать с крип­тогра­фией, в основном аме­рикан­ских. Так­же из‑за обратной сов­мести­мос­ти кар­ты и тер­миналы, все‑таки уме­ющие в сов­ремен­ную крип­тогра­фию, мож­но исполь­зовать в легаси‑режимах. Пред­ставь себе, что по тво­ей чиповой кар­те мож­но совер­шать пла­тежи с маг­нитной полосой, — при­мер­но о таком уров­не безот­ветс­твен­ности идет речь.

Кар­ты Visa в режиме легаси MSD (Magnetic Stripe Data) поп­росту переда­ют Track2 Equivalent с динами­чес­ким полем CVV, меня­ющим­ся «вре­мя от вре­мени». То есть один и тот же CVV мож­но исполь­зовать боль­ше одно­го раза. Одна­ко этот режим так­же обла­дает недос­татком, поз­воля­ющим исполь­зовать некор­рек­тное зна­чение поля CVV2, о чем уже говори­лось в пре­дыду­щей статье. То есть дан­ные, счи­тан­ные с маг­нитной полосы, с чипа или бес­контак­тно­го чипа кар­ты, могут быть записа­ны и вос­про­изве­дены спе­циаль­ным при­ложе­нием по про­токо­лу NFC и банк будет счи­тать это бес­контак­тной тран­закци­ей. Рус­ский прог­раммист Дмит­рий Холодов даже раз­местил в Google Play при­ложе­ние, поз­воля­ющее счи­тывать и сох­ранять эти дан­ные на телефо­не с Android.

Кар­ты MasterCard пош­ли чуть даль­ше: в их режиме легаси, называ­ющем­ся PayPass M-Stripe, кар­та при­нима­ет от тер­минала слу­чай­ное чис­ло UN, исполь­зует счет­чик ATC и генери­рует поле авто­риза­ции CVC3 на осно­ве этих дан­ных. Далее тер­минал сам соз­дает из перечис­ленных зна­чений динами­чес­кий Track2 Equivalent и посыла­ет бан­ку для авто­риза­ции пла­тежа.

Ре­жим обла­дает глав­ным недос­татком — низ­кой энтро­пией поля UN и отсутс­тви­ем дру­гих полей для энтро­пии, таких как сум­ма пла­тежа, дата тран­закции. UN может занимать от 3 до 5 байт, каж­дый байт сос­тоит толь­ко из цифр. Зна­чит, на вход кар­те может пос­тупить 999, 9999 или 99 999 раз­личных зна­чений UN. В пер­вых двух слу­чаях, под­неся к кар­точке сотовый телефон с ус­танов­ленным при­ложе­нием, зло­умыш­ленник может быс­тро кло­ниро­вать все тран­закции с кар­ты.

Да­лее зло­умыш­ленник совер­шает пла­теж на тер­минале, который под­держи­вает режим M-STRIPE, исполь­зуя телефон с кло­ниро­ван­ными тран­закци­ями. Тер­минал генери­рует слу­чай­ное поле UN, телефон ищет в сво­ей базе тран­закций кор­рек­тную пару ATC/CVC3, отно­сящу­юся к это­му UN, и отда­ет тер­миналу.

Тут сто­ит напом­нить, что пла­теж­ные сис­темы рекомен­дуют сле­дить за поряд­ком зна­чений счет­чика и не при­нимать тран­закции со зна­читель­ными прыж­ками этих самых зна­чений ATC. Если сис­темы антифро­да нас­тро­ены кор­рек­тно, зло­умыш­ленни­кам не удас­тся совер­шить более одно­го пла­тежа, потому что для сле­дующе­го пла­тежа зна­чение слу­чай­ного поля UN при­ведет к появ­лению такого же слу­чай­ного зна­чения поля ATC, гораз­до выше или ниже пре­дыду­щего. Если же сис­темы антифро­да запуга­ны «озлоблен­ными покупа­теля­ми», у зло­умыш­ленни­ка в руках будет пол­ноцен­ный клон кар­ты, который он смо­жет исполь­зовать мно­жес­тво раз.

Дру­гой обна­ружен­ный иссле­дова­теля­ми спо­соб мошен­ничес­тва — зас­тавить тер­минал поверить, что энтро­пия UN = 0. Тог­да он вер­нет толь­ко одно воз­можное зна­чение UN = 00000, и ему соот­ветс­тву­ет толь­ко одна пара ATC/CVC3. В этом слу­чае кло­ниро­вать кар­ту ста­новит­ся неверо­ятно лег­ко. Нам даже уда­лось най­ти один рос­сий­ский банк, который был под­вержен такой ата­ке.

Од­но из хороших опи­саний недос­татков режимов легаси на рус­ском язы­ке вы­ходи­ло в 2018 году. Одна­ко я спе­шу не сог­ласить­ся с авто­ром в том, что проб­лема в целом решена: за пос­ледний год я нашел две работа­ющих в режиме Legacy рос­сий­ских кар­ты MasterCard, а так­же одну кар­ту и один кар­точный эквай­ринг в Рос­сии, которые под­держи­вают уж сов­сем небезо­пас­ный режим Visa MSD.

Под­ход к реали­зации режимов легаси инте­ресен еще и с точ­ки зре­ния при­мени­мос­ти атак на них в реаль­ном мире. Ата­ки на кар­ты Visa до сих пор чрез­вычай­но популяр­ны и име­ют пов­семес­тное рас­простра­нение. Ведь для того, что­бы совер­шать бес­контак­тные пла­тежи по кар­там Visa, мож­но исполь­зовать информа­цию, дос­тупную для про­дажи на спе­циаль­ных форумах, — Track2 или Track2 Equivalent.

Ата­ки на кар­ты Visa до сих пор рас­простра­нены

Ле­гаси‑режим карт MasterCard тоже обла­дает уяз­вимос­тями, поз­воля­ющи­ми их ата­ковать. Одна­ко эти ата­ки гораз­до слож­нее при­менить в реаль­ных усло­виях, пос­коль­ку для них нужен физичес­кий дос­туп к кар­те жер­твы, хотя бы на минуту. Вот почему подоб­ные ата­ки прак­тичес­ки не встре­чают­ся в «дикой при­роде».

Ата­ки на MasterCard тре­буют физичес­кого кон­такта с кар­той

Сто­ит отме­тить, что боль­шинс­тво мобиль­ных кошель­ков — GPay, SamsungPay, кас­томные HCE (Host-Card Emulation, при­ложе­ние на Android, которое эму­лиру­ет кар­ты) — так­же под­держи­вают режимы M-Stripe и MSD. Но об этом мы погово­рим в раз­деле, пос­вящен­ном мобиль­ным кошель­кам и дру­гим нес­тандар­тным пла­теж­ным устрой­ствам.

 

Клонирование карт и транзакций

Кло­ниро­вать бес­контак­тные кар­ты EMV, что­бы их тран­закции мог­ли про­ходить авто­риза­цию в реаль­ном вре­мени, невоз­можно. Зло­умыш­ленни­ки или иссле­дова­тели пока что не научи­лись извле­кать крип­тогра­фичес­кие клю­чи для соз­дания пла­теж­ных крип­тограмм. Одна­ко это не единс­твен­ный спо­соб изго­товить фун­кци­ональ­ный клон кар­ты:

  • зна­чение Track2 Equivalent мож­но записать на маг­нитную полосу и совер­шать пла­тежи за пре­дела­ми Рос­сии, как это было опи­сано в статье, пос­вящен­ной ата­кам на EMV;
  • для кло­ниро­вания тран­закций так­же исполь­зует­ся дру­гая тех­ника, опи­сан­ная ранее, — Cryptogram Replay;
  • на­конец, пол­нофун­кци­ональ­ный клон кар­ты или огра­ничен­ного чис­ла тран­закций мож­но соз­дать, исполь­зуя уяз­вимос­ти режимов легаси, о которых я рас­ска­зал выше.

Банковская карта без пластика: инновационность, безопасность, экологичность - Общество

Улучшение качества жизни, появление более доступных средств связи и технологический прогресс привели к тому, что в России в последние годы резко вырос уровень проникновения бесконтактной оплаты при помощи электронных кошельков - pays. Сейчас страна занимает первое место в мире по этому показателю. 

Обусловлено это прежде всего тем, что число россиян со смартфонами, поддерживающими возможность такой оплаты, постоянно растет - как и количество мест, где принимают бесконтактные платежи. Это рестораны, магазины, общественные пространства, транспорт и многое другое. 

Сбербанк как крупнейший игрок на рынке уже на протяжении нескольких лет развивает бесконтактную оплату. Так, компания первой в России предоставила в 2016 году возможность оплачивать покупки через Apple Pay и Samsung Pay, а в 2017 году - через Google Pay.

В июле 2020 года СберБанк представил собственную разработку - SberPay, которая имеет несколько преимуществ, недоступных в других электронных кошельках в России. В частности, на экране смартфона отображается сумма покупки и баланс карты в момент оплаты, а клиент получает подсказки в случае, если на карте недостаточно средств или валюта карты не совпадает с валютой проведения операции. Кроме того, в SberPay есть возможность сменить карту в момент оплаты. Эти опции выгодно выделяют решение СберБанка от аналогичных на рынке.

По данным компании, аудитория пользователей pays динамично растет. На данный момент MAU (месячная аудитория) составляет более 16,5 млн клиентов при ежегодном росте в 40% год к году. Оборот по pays также показывает отличную динамику: в 2020 году каждый пятый платеж клиенты Сбера провели при помощи смартфона. В компании считают, что это очень высокий показатель и в будущем использовать технологию будут только чаще.

Новые решения - от Цифровой карты к картам без пластика

С ростом рынка смартфонов стало очевидно, что они используются не просто как средство связи или мини-компьютер в кармане, но и как инструмент для покупок и онлайн-банкинга. Следуя этому тренду, СберБанк разработал Цифровую карту. Карта, которая "живет" в телефоне, стала доступна в 2018 году, за последние три года было выпущено более 5 млн таких карт.

Кроме того, СберБанк провел исследование, по результатам которого увидел интерес к сервису среди людей пенсионного возраста. При опросе социологи выделили группу 55–65 лет, в которой нашлись люди, предпочитавшие платить смартфоном. 

Карта с возможностью активации

В октябре 2019 года СберБанк предоставил возможность активации карты в мобильном приложении "СберБанк Онлайн" до получения пластика. Это было очень своевременно: менее чем через полгода началась пандемия COVID-19. Хотя пластиковая карта все еще выпускалась, забирать ее из офиса было необязательно. Во время пандемии количество активаций выросло в три раза по сравнению с доковидным периодом. Когда клиенты не могли сходить в офис банка, сервис помогал не остаться без карты тем, у кого в это время истекал срок действия ранее выпущенной: пользователям направлялись СМС со ссылкой на сервис.

Пластик как опция

Несмотря на то что, оформив карту, клиенты могут получить ее пластиковую версию в офисе банка, анализ клиентского поведения показал, что есть те, кто выпускает карту в приложении, но пластик так и не забирает. Поэтому СберБанк разработал сервис, который позволяет клиенту сразу отказаться от пластика при выпуске банковской карты, то есть ограничиться только картой в телефоне.

Карта без пластика действительно аналогична обычной: имеет такую же функциональность и позволяет проводить платежи и онлайн-переводы, копить бонусы, снимать наличные и даже обладает уникальными преимуществами: например, ее не нужно активировать, картой можно пользоваться сразу.

Что касается безопасности, то карта без пластикового носителя предлагает абсолютно ту же степень защиты информации, но без риска потерять пластик, отмечают в компании. Таким образом, карта без пластика - еще более безопасное решение, поскольку ее образ находится в защищенном мобильном приложении банка или электронном кошельке.

Причем в электронных кошельках карты токенизируются, то есть вся информация электронно видоизменяется (шифруется), а обратно ее преобразовать невозможно. Если человеку необходимо увидеть реквизиты карты, он может просто посмотреть их в приложении "СберБанк Онлайн". 

Помимо этого, при оплате покупок электронные кошельки запрашивают подтверждение транзакции. Без этого оплата не пройдет. Например, в SberPay оплата подтверждается отпечатком пальца или кодом разблокировки экрана. 

Сервис заказа карты без пластика доступен по флагманскому продукту СберБанка - дебетовой СберКарте. Карту без пластикового носителя можно заказать в мобильном приложении "СберБанк Онлайн" - платить такой картой можно как в интернете, так и устройствами, поддерживающими бесконтактную оплату с помощью NFC, например смартфонами или часами.

С начала запуска в СберБанке наблюдают высокий органический рост использования сервиса: каждая четвертая карта выпускается без пластика. При этом, если вдруг пластик понадобится, то клиент в любой момент может заказать его в мобильном приложении "СберБанк Онлайн" и выбрать удобное отделение для получения карты. Вместе с тем в компании не видят высокого спроса на дозаказ пластиковых носителей: таких случаев было всего 6%. 

Во втором квартале 2021 года ПАО "СберБанк" расширил возможности курьерской доставки карт: дозаказанный пластиковый носитель можно получить курьером в 51 городе России.

Очевидно, что карты, которые выпущены на пластиковом носителе, нужны не всем. Если клиенты не пришли за пластиковой картой в отделение в течение трех месяцев, ее отправляют на переработку - в месяц это суммарно более тонны пластика.

Цифровое банковское будущее

Поскольку за последние три года число транзакций без пластика показывает стабильный рост, в Сбере рассчитывают увидеть в два раза больше проведенных таким образом транзакций к концу 2021 года по сравнению с 2019 годом. Речь идет о миллионах транзакций.

К концу 2023 года в компании прогнозируют, что 50% карт будут выпускаться без пластика. Кроме того, в Сбере продолжают работать над SberPay, улучшая пользовательский опыт и добавляя новые функции для контроля оплаты.

С точки зрения заботы об окружающей среде это еще один шаг к уменьшению потребления пластика, уверены в Сбере. Теперь на первый план выходят опции и сценарии, которые сделают использование продуктов банка в смартфоне еще более удобным, персонализированным и эмоциональным.

Эксперты развеяли популярные мифы о бесконтактной оплате

МОСКВА, 20 июл — ПРАЙМ. Бесконтактные технологии набирают у россиян все большую популярность, однако у некоторых банковских клиентов они до сих пор вызывают подозрение – считается, что карта, которая находится в кошельке, более надежна, чем ее цифровой аналог, рассказали РИА Новости эксперты Россельхозбанка.

Россиян предупредили об уловках магазинов при оплате картой

На самом деле, бесконтактные платежи не уступают обычной карте в безопасности – главное не сообщать никому данные своей карты и не переходить по подозрительным ссылкам, совершая покупки в интернете, рекомендуют эксперты.

"Доля бесконтактных платежей составит к концу 2021 года более 70% от всех банковских транзакций. Дальнейшему распространению цифровых видов оплаты мешают существующие мифы о недостаточной защищенности таких операций", — уверены в кредитной организации.

ПОЧЕМУ "БЕСКОНТАКТ" БЕЗОПАСЕН

Многим людям до сих пор на подсознательном уровне кажется, что владение банковской картой на физическом носителе, то есть, возможность ее потрогать, спрятать, убрать поглубже в кошелек, гарантирует им большую безопасность, чем оформление цифровой карты, не имеющей пластикового носителя. Считается, что отсутствие пластикового носителя на интуитивном уровне ассоциируется с ограничениями по функционалу. На самом деле, цифровая карта является полным аналогом пластиковой карты, включающий тот же функционал и те же средства защиты от мошенничества. Она защищена от мошеннических операций стандартным набором автоматизированных средств.

Центробанк Индии запретил Mastercard выпускать в стране новые карты

Кроме того, некоторые опасаются платить с помощью смартфона: существует миф, что в момент оплаты с применением технологии беспроводной передачи данных (NFC) с устройства могут быть украдены как платежные реквизиты человека, так и его личные данные. Появление таких гаджетов, как платежные часы, брелоки, кольца, только усилило эти опасения. Тем не менее, пользоваться смартфоном абсолютно безопасно, рассказывает директор департамента информационной безопасности Россельхозбанка Андрей Соколов, потому что такие платежи защищены криптографией.

Еще один миф связан с оплатой товаров в интернете. Зачастую при онлайн-оплате заказа пользовали сталкиваются с тем, что ресурс перенаправляет их на специальную страницу оплат, где требуется ввести номер карты, срок действия и CVV-код. Такие действия многим кажутся небезопасными: если мошенники получат эти данные, то смогут совершать покупки без ведома владельца карты. Как пояснили эксперты, официальные сайты используют SSL-сертификат безопасности: название сайта начинается с "https://" (также у таких сайтов есть значок закрытого замка). Если сайт начинается с "http://", то это повод усомниться в оригинальности страницы и не рекомендуется вводить там персональные данные, а также реквизиты платежных карт.

КАК ЗАЩИТИТЬСЯ ОТ МОШЕННИКОВ

"Практика показывает, что чаще всего кража денег со счетов клиентов банков происходит не с помощью высокотехнологичных разработок, а из-за невнимательности клиента, несоблюдения правил кибергигиены и воздействия на человека методами социальной инженерии", — рассуждает Соколов.

Владельцы карт вводят свои данные в подозрительные окна браузера, диктуют конфиденциальную информацию мошенникам по телефону, переходят по небезопасным ссылкам.

Поэтому для совершения операций в интернете рекомендуется открыть отдельный счёт и привязать к нему карту, на которой нужно хранить ограниченное количество денежных средств необходимых для совершения покупки. Даже если вы попадётесь на уловки мошенников, то использование отдельной карты позволит свести к минимуму возможные потери.

Для повышения безопасности стоит также задуматься над использованием приложения мобильного банка на телефонном устройстве, отличном от устройства, на которое приходят SMS-уведомления, добавил эксперт. Кроме того, не рекомендуется переводить свои сбережения на бонусные счета по просьбе третьих лиц. Если вам звонят и предлагают перевести денежные средства на бонусный счет – это мошенники, следует завершить вызов.

O безопасности бесконтактных платежах | Swedbank blogs

До момента, когда все устройства для приема банковских карт в Латвии будут оснащены функцией бесконтактных платежей, осталось всего девять месяцев.

Требования международных организаций платежных систем VISA и Mastercard устанавливают, что с 2020 года все устройства для приема платежных карт должны принимать бесконтактные карты. К настоящему моменту в Латвии выдано уже свыше 900 000 бесконтактных карт, причем бесконтактные платежи поддерживают две трети всех мест торговли, принимающих оплату картами, - свидетельствуют данные Ассоциации финансовой отрасли за 2018 год. За последний год количество бесконтактных карт выросло на 91%.

А поскольку бесконтактные платежи уже стали новой нормой, вместе с ними начали появляться и городские легенды или мифы. Какие вопросы волнуют людей в эпоху бесконтактных платежей и являются ли бесконтактные карты мишенью чьих-либо преступных посягательств, в беседе с членом подкомитета платежных карт Ассоциации финансовой отрасли и руководителем Отдела дебетовых карт Swedbank Latvija Лиеней Гасиней, директором по продуктам компании Verifone Baltic Каспарсом Жвигулисом и начальником Отдела по борьбе с киберпреступностью Государственной полиции Дмитрием Хоменко обсудил блогер Кристапс Скутелис.

Лимиты и алгоритмы безопасности

В странах Балтии лимит платежа с помощью бесконтактной карты без ввода PIN-кода составляет 25 евро. Однако PIN-код по-прежнему нужно держать в памяти, так как, во-первых, он необходим при оплате покупок на сумму более 25 евро, а, во-вторых, POS-терминал время от времени будет запрашивать ввести PIN-код, чтобы убедиться, что картой пользуется ее владелец, а не кто-то другой.

Еще более безопасными бесконтактные платежи делают разработанные платежными системами алгоритмы, которые предусматривают, что по достижении определенного числа или суммы покупок POS-терминал требует вести PIN-код (в зависимости от алгоритма). Поэтому платить бесконтактным способом, пока на карте не закончатся деньги, не получиться.

Нужно также иметь в виду, что в разных странах лимиты бесконтактных платежей могут отличаться. Если ваша карта выдана одним из латвийских банков, то максимальный лимит платежа за рубежом составит 25 евро. В свою очередь в случае, если в стране, в которую вы приехали, действует меньший лимит, то и ваш лимит будет таким же. Просто следите за уведомлениями на терминале.

За каждым терминалом для приема карт стоит банковский счет

Истории о том, что мошенники с помощью купленного в интернет-магазине терминала могут украсть деньги с бесконтактной карты, например, во время поездки в общественном транспорте, не соответствуют действительности. Представитель Ассоциации финансовой отрасли и Swedbank Лиене Гасиня подчеркивает:  «Купить терминал, конечно, можно, но это так же бесполезно, как приобрести мобильный телефон и не подключить его к оператору – нет номера, нет подключения и с ним ничего нельзя сделать».

Все устройства для приема карт регистрируются в банках или других финансовых учреждениях. Терминал, который зарегистрирован за рубежом, может принимать платежи в Латвии, если к нему привязан соответствующий договор. Устройство должно иметь операционную систему, договор и лицензию, оно не может быть анонимным, соответственно, его можно легко отследить.     

«В момент оплаты деньги «не попадают» в терминал, а переводятся на привязанный к терминалу счет финансового учреждения. Если предположить, что злоумышленники захотят незаконно использовать эту функцию для получения денежных средств, они сначала должны будут открыть легитимный банковский счет, т.е. раскрыть себя. Для организованной преступности это огромное препятствие, так как анонимно украсть денежные средства невозможно», - отмечает начальник Отдела по борьбе с киберпреступностью Государственной полиции Дмитрий Хоменко.

Кроме того, терминалы оснащены различными функциями безопасности. Например, при попытке подключения к терминалу неавторизованного устройства память терминала автоматически стирается. «Это означает, что терминал становится непригодным для использования, причем установить другое программное обеспечение в этом случае тоже будет невозможно. Устанавливать программное обеспечение на терминалы может только надежный и проверенный источник, к тому он контролируется с помощью специальных ключей. Неавторизованное подключение невозможно», - добавляет директор по продуктам компании Verifone Baltic Каспарс Жвигулис.

Могу ли я случайно оплатить покупку дважды?

Популярность бесконтактных платежей стремительно растет, поэтому в вашем кошельке вполне могут оказаться несколько бесконтактных платежных карт. Даже если вы поднесете к терминалу кошелек, в котором находятся несколько бесконтактных карт, можете быть уверены, что деньги будут сняты только один раз.

«Если в такой ситуации устройство «поймает» только одну карту, платеж будет авторизован и все будет в порядке. Если же в поле зрения устройства попадут сразу несколько карт, на его экране появится сообщение с просьбой поднести только одну карту, так как в радиусе приема констатировано несколько радиоволн. Чтобы оплатить покупку, к терминалу должна быть поднесена только одна платежная карта, рассчитаться одновременно двумя картами невозможно», - поясняет Каспарс Жвигулис.

Расстояние, на которое должна быть поднесена карта, составляет в среднем 4 см. Оно зависит не только от вида и модели терминала, но и от встроенной в карту антенны.

Карта всегда должна оставаться в руках покупателя

«Современные технологии приходят в нашу жизнь, и в обществе все больше укореняется представление о том, что карты, бесконтактные расчеты – это некий ключ к деньгам, которые хранятся на счете. Нередко люди к карте относятся гораздо беспечнее, чем к кошельку или наличным. Некоторые носят карты во внешнем кармане, куда они точно не положили бы наличные. К карте нужно относиться с ответственностью и вниманием, этому нужно учить также детей и внуков», - подчеркивает начальник Отдела по борьбе с киберпреступностью Государственной полиции Дмитрий Хоменко.

Карте является собственностью банка, и передача карты третьим лицам является нарушением договора. Лиене Гасиня говорит: «Карту ни в коем случае нельзя выпускать из рук, независимо от того, имеет ли она бесконтактную функцию или нет. Если карту нужно поместить в терминал и это делает продавец, все должно происходить на глазах у покупателя. Карта является личным платежным средством и каждый из нас несет ответственность за ее передачу третьим лицам». Кстати, в случае если у продавца возникают подозрения в том, что карту использует не ее авторизированный владелец, он имеет право потребовать у покупателя предъявить удостоверение личности.

В момент совершения оплаты бесконтактной картой данные карты, например, имя, фамилия владельца или трехзначный номер карты, нанесенный на обратной стороне пластика, никуда не отправляются. «Ни имя владельца, ни номер его банковского счета, ни информация об остатке счета никуда не посылаются. Можете быть в этом уверены», - подчеркивает Лиене Гасиня.

Что делать, если карта была утеряна или украдена?

«В первую очередь карту нужно сражу же заблокировать удобным для вас способом – в мобильном приложении, интернет-банке или по справочному телефону банка», - отмечает Лиене Гасиня.

Использование электронных платежей представляет собой договорные отношения между банком и авторизированным пользователем карты. Во избежание каких-либо технических ошибок или недоразумений, после блокировки карты пользователь должен вместе с банком разобраться, что же на самом деле произошло, и были ли украдены денежные средства. В случае если будет установлено, что произошла кража, необходимо обратиться в полицию. Вместе с заявлением в полицию следует подать также распечатки с банковского счета, а также предоставить всю информацию о произошедшем. Украденные средства будут возвращены, если удастся доказать, что карточная операция была совершена неавторизированным лицом.

Количество преступлений, связанных с использованием электронных платежных средств, сокращается

«Как показывает статистика последних лет, в целом число преступлений, связанных с противоправным использованием данных электронных платежных средств, в стране сократилось. По сравнению с 2017 годом, количество таких преступлений уменьшилось на 24–25 %. В этом есть и заслуга банков, которые ведут активную просветительскую работу среди населения, в том числе информируя об ответственном отношении к карточным данным. Проанализировав статистику по бесконтактным картам, мы видим, что случаев краж с использованием карт этого вида стало меньше на 2%. Мы не считаем, что данный вид преступности имеет тенденцию к росту. Мы проанализировали систему и считаем, что она является адекватно безопасной и не интересна участникам организованных преступных сообществ», - отмечает Дмитрий Хоменко.

Любое противоправное использование финансового инструмента или платежного средства, в том числе противоправное использование бесконтактной карты, является гораздо более тяжким преступным деянием, чем кража в небольшом размере. Минимальное наказание за совершение подобного преступления составляет до трех лет лишения свободы. В зависимости от обстоятельств и размеров содеянного, может быть назначено лишение свободы вплоть до 10 лет.

«Я хочу предупредить всех, особенно молодых людей, что рассчитываться чужой картой, пусть даже на один евро, противозаконно. Подобное деяние будет квалифицировано как более тяжкое преступление с соответствующим максимальным сроком лишения свободы, чем кража наличных в том же объеме», - отмечает Дмитрий Хоменко.

Чего ждать в будущем?

Оборот наличных денег в Латвии постепенно сокращается. Это будет нашим общим решением, когда мы откажемся и откажемся ли мы вообще от наличных расчетов.    

«Путь к безналичному обществу зависит и от того, как мы выплачиваем зарплаты, и от того, как рассчитывается за покупки. Еще пять лет назад оборот наличных денег был больше, чем безналичных, сегодня же наблюдается обратная тенденция. Безналичные расчеты – это эффективнее, быстрее и прозрачнее», - подчеркивает Лиене Гасиня.

Доля бесконтактных платежей в Латвии растет с каждым днем. Покупатели оценили преимущества новой технологии – удобные, быстрые и безопасные платежи за повседневные покупки.

Безопасность

Безопасность

Банк «РОССИЯ» считает важнейшей задачей обеспечить безопасность своих клиентов, используя самые современные технологии и эффективные методы для противодействия мошенничеству, принимая возможные меры для повышения уровня информированности клиентов.

Карты стандарта EMV

Банк выпускает карты по международному стандарту EMV. Основным преимуществом карт с встроенным микрочипом является их повышенный уровень безопасности.

Применение чипов должно помочь более эффективно бороться с мошенничеством, например, со скиммингом (установкой на банкомат устройств, считывающих данные карт).

Лимиты безопасности

Банком устанавливаются лимиты на проведение операций с использованием пластиковых карт. Цель установки ограничения на максимальную сумму проводимых операций – снижение риска списания денежных средств без вашего согласия.

Даже если ваша банковская карта или ее реквизиты становятся доступны мошенникам, лимиты безопасности не позволят им совершить операции на всю сумму, находящуюся на счете. А благодаря услуге «SMS-сервис» вы сможете оперативно отреагировать на попытку проведения операции, заблокировав банковскую карту.

Проверка подозрительных операций

Мониторинг подозрительных операций – распространенная практика, которая уже доказала свою эффективность в борьбе с мошенничеством.

В отдельных случаях, при подозрении на то, что по карте клиента проводится мошенническая транзакция, Банк может приостановить ее действие, чтобы предотвратить несанкционированное списание средств.

В этом случае с адреса ABR вам сразу же поступит SMS-сообщение от АО «АБ «РОССИЯ», о том, что действие карты приостановлено. С вами свяжется сотрудник Единой службы поддержки держателей карт для уточнения информации и, после процедуры идентификации и подтверждения транзакции, карта будет активирована. Кроме этого, вы можете самостоятельно обратиться в Банк (номер телефона указан на обротной стороне карты, а также будет указан в SMS-сообщении) и инициировать разблокировку карты.

Правила безопасности использования

Соблюдение правил безопасности, содержащихся в данной памятке, существенно снизит риски совершения мошеннических операций с использованием банковской карты.

7 основных правил:

  • При получении новой карты сразу распишитесь на полосе для подписи на оборотной стороне карты.
  • Храните номер карты и ПИН (персональный идентификационный номер) втайне от других. Никогда не сообщайте ПИН третьим лицам, в том числе родственникам, знакомым, сотрудникам кредитной организации, кассирам и лицам, помогающим Вам в использовании карты. ПИН нельзя записывать на карте или хранить рядом с картой. При наборе ПИН прикрывайте клавиатуру рукой. В целях предотвращения финансовых потерь при наборе неверного ПИН-кода три раза подряд действие карты блокируется. Разблокировать карту возможно по номеру телефона Единой службы поддержки держателей карт либо обратившись в подразделение Банка.
  • Никогда ни при каких обстоятельствах не передавайте банковскую карту для использования третьим лицам, в том числе родственникам. Если на карте нанесены фамилия и имя физического лица, то только это физическое лицо имеет право использовать карту.
  • Проверяйте выписки по счету. В случае обнаружения подозрительных или неизвестных операций немедленно сообщите об этом в Банк.
  • Будьте внимательны к условиям хранения и использования карты. Не подвергайте карту механическим, температурным и электромагнитным воздействиям, а также избегайте попадания на нее влаги. Карту нельзя хранить рядом с мобильным телефоном, бытовой и офисной техникой.
  • С целью предотвращения неправомерных действий по снятию всей суммы денежных средств с банковского счета целесообразно подключить электронную услугу оповещения о проведенных операциях посредством SMS-сообщений "SMS-сервис".
  • В случае кражи или утери карты, обнаружения несанкционированных операций с использованием карты, предположения о раскрытии ПИН, персональных данных, позволяющих совершить неправомерные действия с Вашим банковским счетом, немедленно сообщите об этом в Банк по круглосуточному телефону Единой службы поддержки держателей карт, указанному на оборотной стороне Вашей карты, и заблокируйте карту. Номер телефона Единой службы поддержки должен быть записан в удобном и доступном месте на случай срочной необходимости связаться с Банком.

Мы также рекомендуем Вам ознакомиться со следующей информацией по данному вопросу:

Защита личной и финансовой информации

  • Не отвечайте на электронные письма, в которых от имени Банка предлагается предоставить персональные данные. Не следуйте по ссылкам, указанным в подобных письмах (включая ссылки на сайт кредитной организации), т.к. они могут вести на сайты-двойники.
  • В целях информационного взаимодействия с Банком рекомендуется использовать только реквизиты средств связи (мобильных и стационарных телефонов, факсов, интерактивных интернет-сайтов/порталов, обычной и электронной почты и пр.), которые указаны в документах, полученных непосредственно в Банке.
  • Не сообщайте персональные данные или информацию о карте (банковском счете) через сеть Интернет, например, ПИН, пароли доступа к ресурсам Банка, срок действия банковской карты, кредитные лимиты, историю операций.

Рекомендации при совершении операций с банковской картой в банкомате

  • Обращайте внимание на месторасположение банкоматов. Избегайте использования банкоматов в плохо освещенных и безлюдных местах.
  • Не используйте устройства, которые требуют ввода ПИН для доступа в помещение, где расположен банкомат.
  • Обращайте внимание на внешний вид банкомата. Увидев любые внешние признаки неисправности банкомата или обнаружив рядом с ним или на нем посторонние устройства, накладные панели, инородные предметы (прозрачный пластик, скотч, висящие провода и т.п.), например, в/на картоприемнике, клавиатуре банкомата, отверстии для выдачи наличных, сообщите об этом в банк по телефону, указанному на банкомате, и воспользуйтесь другим банкоматом.
  • Не допускайте присутствие сторонних наблюдателей при проведении операции. Убедитесь в том, что люди, стоящие рядом с Вами, не имеют возможности подсмотреть ПИН или сумму снимаемых наличных. Мошенники могут попытаться завладеть ПИН разными способами (подглядывание со стороны, расспросы о Вас и о карте). Убедитесь, что никто не видит ПИН, когда Вы вводите его на клавиатуре банкомата. При наборе ПИН прикрывайте клавиатуру рукой.
  • Не прислушивайтесь к советам третьих лиц, а также не принимайте их помощь при проведении операций с картой.
  • В случае возникновения каких-либо проблем при совершении операции (например, банкомат не возвращает карту) следует незамедлительно обратиться в Банк по круглосуточному телефону Единой службы поддержки держателей карт, объяснить обстоятельства произошедшего и следовать инструкциям сотрудника Банка.
  • По окончании операции не забудьте забрать карту.
  • Сохраняйте распечатанные банкоматом квитанции для последующей сверки указанных в них сумм с выпиской по банковскому счету.

Рекомендации при использовании банковской карты для безналичной оплаты товаров и услуг

  • Не используйте карту в организациях торговли и услуг, не вызывающих доверия.
  • Требуйте проведения операций с картой только в Вашем присутствии. Это необходимо в целях снижения риска неправомерного получения Ваших персональных данных, указанных на карте.
  • При использовании карты для оплаты товаров и услуг кассир может потребовать от владельца карты подписать чек или ввести ПИН, предъявить документ, удостоверяющий личность. При наборе ПИН прикрывайте клавиатуру рукой. Перед тем как подписать чек, в обязательном порядке проверьте сумму, указанную на чеке.
  • В случае если при попытке оплаты картой имела место "неуспешная" операция, сохраните выданный терминалом чек, свидетельствующий о неуспешном завершении операции, для последующей проверки отсутствия указанной операции в выписке по счету.

Рекомендации при совершении операций с банковской картой через сеть Интернет

  • Следует пользоваться Интернет сайтами только известных и проверенных организаций торговли и услуг.

  • Обязательно убедитесь в правильности адреса Интернет сайта, к которому подключаетесь и на котором собираетесь совершить покупки, т.к. похожие адреса могут использоваться для осуществления неправомерных действий.

  • Рекомендуется совершать покупки только со своего компьютера в целях сохранения конфиденциальности персональных данных, информации о карте и банковском счете. В случае совершения покупки с использованием чужого компьютера не сохраняйте на нем персональные данные и другую информацию, а после завершения всех операций убедитесь, что персональные данные и другая информация не сохранились, загрузив вновь в браузере web-страницу продавца, на которой совершались покупки.

  • Установите на свой компьютер антивирусное программное обеспечение и регулярно производите его обновление и обновление других используемых Вами программных продуктов (операционной системы и прикладных программ), это может защитить Вас от проникновения вредоносного программного обеспечения.

  • Для совершения покупок через Интернет пользуйтесь защищенной версией протокола HTTP Вашего браузера. Буква "s" после "http" в строке интернет-адреса означает, что ваш браузер работает в безопасном режиме, при этом используется протокол SSL, что предотвращает перехват информации, переданной Вами по каналам Интернета.

  • Перед совершением покупки узнайте больше информации об Интернет магазине:

    • Прочитайте опубликованные на сайте правила работы с информацией личного характера. Обратите внимание на меры обеспечения Интернет магазином информационной безопасности.

    • Убедитесь в том, что Интернет магазин использует подтверждённый сертификат для обеспечения информационной безопасности. Желательно подтверждение сертификата подлинности одним из всемирных доверенных сертификационных агентств, например, http://www.verisign.com/ или http://www.globalsign.com/
    • Поинтересуйтесь наличием у Интернет магазина фактического адреса и зарегистрированного юридического лица. Эти данные должны быть указаны на сайте.

    • Ознакомьтесь с условиями поставки товара и правилами его возврата. Обычно полные правила и условия публикуются на Интернет сайте магазина. Если они отсутствуют, то, возможно, Вам не стоит делать покупку в этом магазине.

    • Также будет полезным проверить, есть ли на сайте Интернет магазина форум, где посетители оставляют отзывы о своем опыте работы с этим продавцом.

  • Защитите данные Вашей карты. Передавайте информацию о своей карте только для оплаты покупки. Никогда не пересылайте данные с карты по электронной почте, так как передаваемая по электронной почте информация не защищена от перехвата и использования посторонними лицами.

  • Сохраняйте конфиденциальность Вашего пароля. Некоторые Интернет магазины требуют от покупателей регистрации на сайте. Перед тем как сделать покупку, посетитель сайта вводит своё пользовательское имя и пароль. Никому и никогда не сообщайте своих паролей. Также избегайте просто вычисляемых паролей (например, дата Вашего рождения, номера Вашего телефона). Не используйте одинаковый пароль для Интернет магазинов, своей почты и других систем. Периодически меняйте свои пароли.

  • С целью минимизации рисков, связанных с предотвращением неправомерных действий по снятию денежных средств с банковского счета, рекомендуется для оплаты покупок в сети Интернет использовать карту, осуществляющую доступ к банковскому счету, открытому Вами только для осуществления покупок в сети Интернет.

Нажать или окунуться? Бесконтактные карты безопаснее чиповых?

В последние годы платежная индустрия подтолкнула клиентов и предприятия к переходу от технологии магнитной полосы в пользу:

Оба более безопасны, чем их устаревшие аналоги с магнитной полосой, но какой из них обеспечивает максимальную защиту от мошенничества с платежами?

Подробнее о кредитных картах EMV

Кредитные карты

EMV поставляются со встроенными микросхемами безопасности, которые сложно клонировать. Таким образом, оригинальная карта должна присутствовать при совершении покупок в магазине.Вместо того, чтобы «протирать» пластик у кассы, клиенты могут «окунуть» свои EMV-карты в считыватель чипов.

В большинстве стран для авторизации покупки требуется персональный идентификационный номер (PIN), который знает только пользователь. Эта технология с чипом и PIN-кодом существует в США, но некоторые эмитенты также распространяют карты с чипом и подписью.

Несмотря на то, что компании-эмитенты кредитных карт больше не требуют подписей в качестве шага авторизации, многие продавцы (и потребители) все еще ожидают этого.Это означает, что, если преступник получит в свои руки физическую кредитную карту EMV с возможностью чипа и подписи, преступник может технически санкционировать мошеннические покупки с помощью поддельной подписи.

Более подробно о бесконтактных кредитных картах

Бесконтактные кредитные карты используют технологию беспроводной связи ближнего радиуса действия (NFC) для установления беспроводного соединения со считывателем кредитных карт кассира. Транзакция инициируется, когда клиент касается или машет своей бесконтактной картой над считывателем, но для установления соединения:

  • Кассир должен сначала объявить о продаже
  • Символ бесконтактной связи должен быть отображен на лицевой стороне карты
  • Карта должна находиться в нескольких дюймах от терминала

Передача безопасна, и поскольку бесконтактные карты также обычно Карты EMV используют одну и ту же технологию шифрования, что затрудняет создание поддельной карты для вора.

Хотя, поскольку бесконтактные карты не требуют от пользователя ввода ПИН-кода, вор может технически совершить покупку, если карта попадет в чужие руки.

Какой вариант безопаснее: бесконтактные карты или карты с чипом EMV?

Оба способа оплаты безопаснее пластика с магнитной полосой, но оба имеют ограничения безопасности:

  • Карты, на которых требуется подпись, легко нарушить, если они попадут в чужие руки.В конце концов, любой может подделать чужую подпись.
  • При совершении покупок в Интернете не имеет значения, какой тип карты вы используете. Все кредитные карты используют трех- или четырехзначное значение проверки карты (CVV) или идентификационный номер карты (CID), иначе известный как код на обратной стороне карты (или на лицевой стороне American Express).

Кроме того, если у вашей карты все еще есть магнитная полоса на обратной стороне, ее все равно можно использовать для покупок с помощью старых считывателей. Теоретически вор мог:

  • Украсть кредитную карту с чипом EMV
  • Сообщите кассиру, что его или ее «чип» сломан.
  • Просите, чтобы ему или ей было разрешено «провести» вместо этого

Если кассир не обучен правильно идентифицировать потенциальная угроза мошенничества, транзакция состоится.То же самое могло бы произойти, если бы этот вор начал с украденной бесконтактной кредитной карты.

Тем не менее, технология бесконтактных платежей имеет одно важное преимущество перед кредитными картами EMV.

Бесконтактная технология означает, что карту можно оставить дома

Можно безопасно «привязать» кредитные карты к смартфонам или носимым устройствам - при условии, что они также имеют возможности NFC. Это значительно усложняет кражу платежной информации пользователя, так как:

  • Смартфон или устройство необходимо сначала разблокировать
  • Должно быть открыто правильное приложение для мобильных платежей
  • Включена двухфакторная аутентификация
  • Телефон или устройство должны быть очень близко к терминалу

Платежи через мобильные кошельки, например Apple Pay® и Google Pay ™, на смартфонах или носимых устройствах можно получить максимальную защиту от мошенничества.Поскольку устаревшие, бесконтактные и кредитные карты EMV могут быть связаны с устройствами с поддержкой NFC, это может быть самой безопасной стратегией.

Предлагайте своим клиентам безопасные способы оплаты

В то время как бесконтактные платежи становятся все более популярными, особенно после пандемии, некоторые из ваших клиентов могут по-прежнему предпочесть использование физических кредитных и дебетовых карт, большинство из которых теперь имеют встроенный чип EMV.

Умные предприятия принимают меры предосторожности, чтобы снизить риски мошенничества в своей платежной среде.Помимо выбора совместимого с PCI платежного процессора и обновления до платежных терминалов, способных принимать платежи EMV и NFC, важно изучить такие функции безопасности, как:

Чтобы узнать больше, запланируйте бесплатную консультацию с нашей командой по обслуживанию торговцев сегодня.

Вышеуказанное предоставлено только для информации и не может использоваться для других целей.

* «Если малый бизнес требует подписи при получении», Business News Daily , 4 декабря 2020 г.

Получите лучшую информацию о Clover, еженедельно отправляемую на ваш почтовый ящик.

Насколько они безопасны? (Безопасность EMV)

Бесконтактные карты и городская легенда

Готовы ли вы развенчать три мифа о бесконтактных картах ?

Итак, приступим.

# 1 Может ли кто-нибудь прочитать мою карту на расстоянии?

Миф говорит:

Мошенники будут использовать RFID-считыватели дальнего действия для извлечения данных с бесконтактных карт с расстояния и использовать данные этих карт для доступа к счетам держателей карт и кражи денег.

Реальность?

Нет, использование считывателей RFID дальнего действия для извлечения данных с бесконтактных карт невозможно.

Технология беспроводной связи ближнего радиуса действия (NFC, соответствующая стандарту ISO / IEC 14443) в бесконтактных картах использует радиочастотную технологию 13,56 МГц, которая передает только цифровые данные в кратком диапазоне.

Как правило, оптимальное расстояние составляет 4 сантиметра или меньше - дальше сигнал быстро уменьшается и никогда не может превышать 10 сантиметров.

Вот почему вам не нужен защитный кожух для бесконтактных карт по соображениям безопасности.

Но оставайся с нами. Есть больше.

# 2 А что насчет скимминга на короткие дистанции?

Миф говорит:

Мошенник, оснащенный считывателем NFC, сможет получить доступ к бесконтактным картам в чьем-то кармане или сумке в людных общественных местах, например в метро. Таким образом они извлекут достаточно конфиденциальных данных для изготовления поддельной карты или совершения покупок в Интернете.

Реальность?

Невозможно клонировать бесконтактную карту благодаря данным, собранным скрытым считывателем, таким как смартфон или любой другой считыватель NFC.

Также невозможно собрать с карты достаточно данных для совершения онлайн-покупки. Только подлинный POS-терминал, предоставленный банком-эквайером, может взаимодействовать с картой - и мошенник, использующий подлинный POS-терминал, будет пойман банком-эквайером и процессинговой сетью.

# 3 Повторные покупки, если моя карта украдена?

Миф говорит:

Поскольку бесконтактные транзакции на небольшие суммы могут выполняться без запроса ПИН-кода, вор может потратить большие суммы денег на множество повторяющихся мелких покупок.

Нет, даже с утерянной или украденной картой общая сумма возможного мошенничества будет небольшой.

Во многих странах, где разрешены небольшие объемы бесконтактных транзакций, количество бесконтактных транзакций , которые могут быть выполнены подряд с помощью бесконтактной карты EMV , ограничено .

После определенного количества транзакций, требуется сброс с помощью чипа и ПИН-кода в контактном режиме, или карта автоматически перестанет работать в бесконтактном режиме.

Есть еще кое-что.

В случае сообщения о утере или краже бесконтактной карты банк-эмитент возмещает небольшие суммы.

Знаете ли вы, что все наши бесконтактные чип-карты являются картами EMV?

Обнаружена бесконтактная безопасность

В отличие от банковских карт с магнитными полосами предыдущих поколений, в картах EMV используется интеллектуальный микропроцессорный чип, который:

  • защищает учетные данные держателя карты
  • выполняет криптографические вычисления для защиты своей связи с кассовым терминалом (POS) и сетью обработки.

Поскольку микросхемы практически невозможно подделать или клонировать, карты EMV намного менее уязвимы для подделки и мошенничества , чем карты с магнитной полосой.

Стандарт EMV постоянно развивается и включает новые механизмы защиты, такие как Dynamic Data Authentication (DDA).

Он основан на криптографии с открытым ключом, обычно RSA криптографии . Каждая смарт-карта EMV содержит уникальную пару открытого и закрытого ключей, которая используется во время аутентификации.

По запросу терминала карта использует один ключ для генерации действительного криптографического кода, отправляемого обратно на терминал.

Этот код уникален для данной транзакции и подтверждает подлинность карты. Терминал использует второй ключ для проверки кода, возвращаемого картой.

Микропроцессорный чип карты получает питание по беспроводной сети благодаря близости к POS (до 4 см).

Только подлинный POS-терминал с подлинным банковским счетом эквайера может выполнять транзакцию EMV.

Почему невозможна бесконтактная кража

Пугающие истории почти всегда следуют новым технологиям, и бесконтактные сообщения - не исключение.

Убедите себя и своих клиентов, ознакомившись с распространенными мифами о бесконтактных технологиях и принципах работы этой технологии.

Дополнительные ресурсы по безопасности бесконтактных платежей

Как Visa защищает бесконтактные платежи

Бесконтактные платежи уже широко распространены в Канаде, Австралии и Великобритании.Фактически, более 40% транзакций Visa в магазинах за пределами США совершаются с помощью крана. И теперь они готовы к повсеместному распространению в США, где в 2019 году ожидается выпуск 100 миллионов новых бесконтактных карт Visa. Помимо того, что они являются быстрым и простым способом оплаты, бесконтактные карты и мобильные устройства обеспечивают надежную защиту от мошенничества без прикасаться к платежному терминалу. Вот несколько фактов о бесконтактной безопасности.

Бесконтактные карты

используют ту же технологию защиты, что и чип EMV

.
  • Каждая бесконтактная транзакция включает одноразовый криптографический код, предотвращающий подделку.

Бесконтактные карты - один из самых низких показателей мошенничества среди всех видов платежей

  • С 2017 по 2018 год мировой уровень бесконтактного мошенничества снизился на 33 процента.

Возможности мошенников ограничены

  • Если бы мошенники подошли достаточно близко, чтобы прочитать бесконтактную карту, они не получили бы доступа к имени держателя карты или трехзначному коду безопасности, что помогло бы предотвратить подделку и мошенничество в электронной торговле.

Бесконтактные платежи защищены теми же технологиями, что и другие транзакции Visa

  • Каждый платежный продукт Visa защищен системой безопасности на уровне карты, терминала и сети.Держатели карт Visa получают выгоду от нескольких уровней безопасности, которые негласно работают с каждой транзакцией, чтобы предотвратить мошенничество с платежами еще до того, как оно может произойти.
  • Протоколы безопасности, искусственный интеллект, аналитика в реальном времени, криптографические алгоритмы и многие другие уровни работают вместе для предотвращения мошенничества.
  • Сочетание встроенной безопасности в наших платежных продуктах и ​​многоуровневой безопасности каждой транзакции - вот почему Visa смогла поддерживать стабильный глобальный уровень мошенничества и близкий к историческому минимуму менее одной десятой процента.
  • В редких случаях мошенничества держатели карт Visa защищены нулевой ответственностью.

Развитие платежных решений Visa

  • В партнерстве с более широкой отраслью, включая финансовые учреждения, технологов, ученых и других, Visa постоянно адаптирует, улучшает и развивает свои платежные решения для выявления и устранения новых рисков. При необходимости мы вносим изменения в технологии и инфраструктуру для снижения рисков.
  • Благодаря такому сотрудничеству в отрасли бесконтактные карты стали безопасным способом оплаты, и потребители могут уверенно ими пользоваться.

По мере того, как потребители во всем мире продолжают принимать бесконтактные платежи, Visa стремится обеспечить наилучшее обслуживание клиентов с повышенной безопасностью.

Все, что вам нужно знать о бесконтактных кредитных картах - Советник Forbes

От редакции. Советник Forbes может получать комиссию за продажи по партнерским ссылкам на этой странице, но это не влияет на мнения или оценки наших редакторов.

Технология, которая использовалась в течение многих лет за границей, наконец, становится все более распространенной здесь, в США.С .: бесконтактные кредитные карты. Однако вам может быть интересно, как работают эти карты, безопасна ли технология и какие банки выпускают бесконтактные карты. Итак, давайте рассмотрим все, что вам нужно знать о бесконтактных кредитных картах.

Как работают бесконтактные карты

Бесконтактные кредитные карты имеют небольшой встроенный чип, излучающий радиоволны ближнего действия. Когда вы помещаете свою карту в пределах нескольких дюймов от терминала бесконтактных платежей, ваша платежная информация передается.

Хотя это часто называют «оплата нажатием кнопки», на самом деле в нем нет необходимости. Вместо этого вам обычно нужно поместить свою карту в нескольких дюймах от платежного терминала, чтобы инициировать платеж.

Завершение транзакции может занять секунду или две, поэтому не забирайте карту слишком быстро. Чтобы указать, что транзакция завершена, платежный терминал может издавать звуковой сигнал, отображать зеленую галочку или мигать зеленым светом.

Чтобы использовать функцию бесконтактных платежей, продавцу потребуется терминал с поддержкой бесконтактных платежей.Эти платежные терминалы быстро становятся повсеместными в США, как и в Канаде, Европе и Австралии. Вы можете использовать подобные инструменты, чтобы найти ближайших к вам продавцов, которые принимают бесконтактные карты MasterCard.

Если у вас несколько бесконтактных кредитных карт, вы не захотите использовать свой кошелек или кошелек на терминале для карт. В противном случае транзакция может быть отправлена ​​на карту, отличную от той, которую вы планировали.

Безопасность бесконтактных платежей

После изучения того, как они работают, возможно, бесконтактные кредитные карты кажутся слишком легкими, чтобы их обезопасить.К счастью, вам не нужно беспокоиться о безопасности технологии.

Одноразовый код

Подобно чипам наших кредитных карт, чип бесконтактных карт создает одноразовый код для каждой отдельной транзакции, который сопровождает вашу платежную информацию. Этот код передается вместе с номером вашего счета, когда вы «нажимаете» для оплаты. Ваше имя, платежный адрес и код подтверждения карты не передаются.

Даже если бы кто-то смог обманным путем получить вашу платежную информацию, было бы почти невозможно выполнить бесконтактный платеж.Чтобы сгенерировать одноразовый код, вор должен взломать сложный алгоритм, который банк использует для его генерации.

Этот одноразовый код делает использование бесконтактных кредитных карт более безопасным, чем использование магнитной полосы. Когда вы проводите по магнитной полосе, ваши платежные и личные данные могут быть захвачены скимминг-устройством. Затем хакеры могут использовать эту информацию для создания дубликата магнитной полосы для мошеннических транзакций.

Физическая охрана

Напротив, самая большая проблема безопасности с бесконтактными кредитными картами связана с физическим владением картой.При использовании бесконтактной оплаты PIN-код или подпись обычно не требуются. Таким образом, если ваша карта потеряна или украдена, ее может использовать кто-то другой без легкого обнаружения.

Однако это не повод оставлять дома бесконтактные карты. Если ваша карта украдена, защита от мошенничества компании-эмитента кредитной карты должна покрыть любые мошеннические расходы.

По этой причине некоторые эмитенты карт имеют ограничение на сумму, которая может быть выплачена посредством бесконтактной оплаты. Например, у American Express обычно есть лимит в 30 или 30 евро за транзакцию.Однако многие из этих ограничений повышаются или отменяются из-за COVID-19.

Преимущества бесконтактных кредитных карт

Помимо преимуществ безопасности, есть много других причин для получения и использования бесконтактной кредитной карты.

Скорость

К настоящему времени все мы знакомы со скоростью - или ее отсутствием - оплаты путем «погружения» чипа кредитной карты. Между вставкой карты и получением подтверждения проходит достаточно много времени, и большинство платежных терминалов будут гудеть или звенеть, чтобы предупредить вас, когда вы, наконец, сможете извлечь карту.

Для сравнения, «нажатие» для оплаты с помощью бесконтактного чипа может занять всего несколько секунд. Таким образом, бесконтактные платежи выполняются намного быстрее, чем оплата кредитной картой или наличными. Между тем, это безопаснее и ненамного медленнее, чем использование кредитной карты.

Снижение контакта с общественными поверхностями

С начала пандемии COVID-19 мы все гораздо больше осознаем общественные поверхности, которых мы касаемся. Использование бесконтактных кредитных карт помогает избежать большего количества точек соприкосновения в течение дня.

Меньше износа

Магнитные полосы и чипы EMV могут изнашиваться от многократного контакта с платежными терминалами. Бесконтактные чипы - по самой своей природе - не страдают этой проблемой.

Чип бесконтактной карты должен служить годами. Однако иногда проблема может помешать ему продолжить работу. Если ваша карта перестает работать, вы легко сможете связаться с эмитентом карты, чтобы получить замену.

Лучше для зарубежных поездок

Хотя многие из нас сейчас не могут путешествовать за границу, еще одно преимущество бесконтактных карт станет очевидным после возобновления международных поездок.Технология чипов и PIN стала настолько повсеместной за границей, особенно в Европе и Австралии, что эта технология уже считается предполагаемой.

Для многих автоматов по продаже билетов требуется карта с чипом и PIN-кодом или бесконтактная оплата. Если у вас нет карты с чипом и PIN-кодом, использование бесконтактной кредитной карты может быть единственным способом оплаты.

Банки, выпускающие бесконтактные кредитные карты

Хотя вы, возможно, только начинаете об этом узнавать, бесконтактные кредитные карты быстро становятся нормой в США.S. В настоящее время в обращении находится более 190 миллионов бесконтактных кредитных карт Visa, и Visa ожидает, что к концу года это число достигнет 300 миллионов. В настоящее время большинство крупных американских эмитентов кредитных карт по умолчанию рассылают бесконтактные карты.

American Express

American Express сообщает, что «большинство продуктов American Express имеют бесконтактную технологию», и рекомендует держателям карт «искать символ бесконтактности на оборотной или лицевой стороне карты». Если у вас еще нет бесконтактной карты, эта функция будет доступна для вашей следующей карты продления или новой карты.Однако не все продукты Amex будут оснащены бесконтактным чипом.

Банк Америки

Bank of America начал выпуск бесконтактных кредитных карт в середине 2019 года, но только для держателей карт в Нью-Йорке, Бостоне и Сан-Франциско. Теперь все недавно выпущенные кредитные карты Bank of America поддерживают бесконтактную связь.

Capital One

Многие кредитные карты Capital One, выпущенные в США, поставляются с чипами для бесконтактных карт. Сюда входят популярные карты, такие как кредитная карта Capital One Venture Rewards, кредитная карта Savor® Rewards от Capital One® *, кредитная карта Capital One SavorOne Cash Rewards, кредитная карта Capital One Quicksilver Cash Rewards и кредитная карта Capital One QuicksilverOne Cash Rewards.

Чейз

В настоящее время портфель

Chase включает более 20 кредитных карт, выпущенных с использованием бесконтактных чипов. Сюда входят некоторые из наших любимых кредитных карт, такие как Chase Sapphire Reserve®, Chase Sapphire Preferred® Card, Chase Freedom Unlimited® и Ink Business Preferred® Credit Card.

Citi

Citi не указывает, какие кредитные карты имеют бесконтактные чипы, отмечая только, что эта функция «включена в карты Select Citi®». Однако Citi указывает, является ли карта бесконтактной или нет, на странице сведений о карте.

Например, Citi Prestige® Card *, Citi Premier® Card и Citi® Double Cash Card, Citi Rewards + ® Card в настоящее время выпускаются как бесконтактные карты.

Итог

Еще до пандемии COVID-19 бесконтактные кредитные карты были готовы пустить корни в США. Способ оплаты быстрее, чем погружение чипа кредитной карты, и более безопасный, чем считывание полосы кредитной карты. Но это может быть «бесконтактный» аспект, который в конечном итоге продает нас при принятии способа оплаты.

Теперь, когда вы знаете, как работают бесконтактные кредитные карты, присмотритесь к своим картам, чтобы определить, какие из них являются бесконтактными. Сейчас было бы отличное время обратиться в свой банк с просьбой предоставить бесконтактную карту, если у вас ее еще нет.

Разрушение мифов: правда о безопасности бесконтактных платежей

Для многих оплата картой по-прежнему ассоциируется с «смахиванием» или «провалом»; однако владельцы более 370 миллионов бесконтактных карт, принимаемых в более чем 9 миллионах точек в 114 странах, платят одним касанием.Mastercard впервые представила бесконтактные карты еще в 2003 году, чтобы предоставить потребителям безопасный и простой способ оплаты, который помогает им быстрее пройти через кассу. И та же самая основополагающая технология (и многие из тех же стандартов) также влияют на нашу способность платить с помощью телефона.

Бесконтактная технология была разработана Mastercard, чтобы никогда не жертвовать безопасностью ради удобства. Карты и устройства содержат встроенный чип и радиочастотную (RFID) антенну, которые обеспечивают беспроводную связь с бесконтактным считывателем.Когда карта или устройство касаются считывающего устройства, информация передается с высокой степенью защиты за доли секунды.

Но поскольку информация о бесконтактных платежах передается по беспроводной сети, некоторые люди сомневаются, действительно ли это безопасно. Ответ простой: да.

  • Во-первых, для бесконтактных платежей требуется информация, отличная от данных, совершаемых по телефону или в Интернете. Имя держателя карты, трехзначный защитный код на обратной стороне карты и платежная информация, например почтовый индекс, никогда не передаются.Вместо этого, вместе с информацией об учетной записи, одноразовый код отправляется с карты или устройства считывателю, чтобы идентифицировать эту транзакцию.
  • Во-вторых, работая с эмитентами, розничными торговцами и поставщиками платежных услуг, Mastercard использует надежные системы обнаружения мошенничества и искусственный интеллект для выявления подозрительной активности и пресечения мошенничества.
  • Наконец, держатели карт могут быть уверены, что в случае взлома их карты они защищены глобальным обещанием нулевой ответственности и не будут нести ответственности за несанкционированные платежи.

Несмотря на эти меры безопасности, существуют неправильные представления об этой технологии. Давайте посмотрим на мифы и реальность бесконтактных платежей:

МИФЫ РЕАЛИИ
Вор может легко украсть вашу бесконтактную карту / устройство электронным способом.

Хотя приложения для смартфонов, которые позволяют телефону считывать некоторые данные с бесконтактной карты или устройства, существуют, они могут считывать только номер учетной записи и дату истечения срока действия.Кроме того, чтобы получить эту информацию, вор должен физически находиться рядом с картой.
Если вор действительно перехватит вашу бесконтактную информацию, он может создать поддельную карту для использования в магазине. Когда происходит бесконтактная транзакция, карта или устройство предоставляет считывающему устройству динамический одноразовый номер, который однозначно и надежно идентифицирует каждую конкретную транзакцию.

Мошеннику будет чрезвычайно сложно скопировать передовую технологию шифрования, которая используется для генерации этого динамического числа, и создать действующую поддельную версию бесконтактной карты.

Даже если вор не может подделать вашу карту, он может делать покупки в Интернете или по телефону. Для аутентификации и авторизации покупки по телефону или через Интернет обычно необходимо предоставить несколько частей информации, в том числе трехзначный код на обратной стороне карты, а также имя и платежный адрес держателя карты.

Поскольку карта или устройство не отправляет код, адрес выставления счета, информацию о почтовом индексе или имя через бесконтактный интерфейс, у вора не будет информации, обычно необходимой для проведения платежных транзакций, ни лично, ни по телефону, ни по телефону. онлайн.

Вы несете ответственность за покупки, сделанные ворами, если они украли данные вашей карты Mastercard защищает потребителей от мошенничества с помощью глобальной политики нулевой ответственности . Это означает, что вы не несете ответственности за несанкционированные мошеннические транзакции.
Помимо кражи данных вашей карты, воры также могут украсть вашу личность. Существует четкое различие между кражей личных данных, когда личность потребителя используется другим лицом в преступных целях, и мошенничеством с платежными картами, когда данные карты потребителя скомпрометированы и используются для совершения несанкционированных покупок.Бесконтактные карты и устройства

Mastercard не передают информацию о держателе карты, такую ​​как имя или адрес, поэтому риск фактического кражи личных данных очень мал.

Но, зная, что кража личных данных является проблемой для многих, некоторые банки предлагают услуги по предупреждению о краже личных данных держателям потребительских кредитных и дебетовых карт по всему миру. За дополнительной информацией обращайтесь к своему банку-эмитенту.

Надеюсь, знание всех фактов поможет вам облегчить ум, если у вас есть бесконтактная карта.

Touch and Go: контроль безопасности бесконтактных платежей опровергнут исследователями

Рекомендуемый ЕС контроль «совокупного лимита», обманутый уловками джедаев

Средства контроля безопасности, предназначенные для ограничения подверженности розничных торговцев мошенничеству с помощью бесконтактных платежей, могут быть обойдены, предупреждают исследователи в области безопасности.

Бесконтактные платежи или платежи по технологии ближнего поля (NFC) предлагают большее удобство и простоту использования, чем предыдущие методы проверки с помощью чипа и PIN-кода.

В прошлом году почти 48% личных транзакций Visa были бесконтактными, и эта цифра, скорее всего, вырастет как косвенный результат пандемии коронавируса.

Банки и эмитенты кредитных карт утверждают, что бесконтактные платежи так же безопасны, как и предыдущие способы оплаты с помощью карт.
Однако исследование Ли-Энн Гэллоуэй, руководителя отдела коммерческих исследований Cyber ​​R&D Lab, и Тима Юнусова, руководителя исследования наступательной безопасности в Cyber ​​R&D Lab и материнской компании Positive Technologies, поставило под сомнение такие утверждения.

Простое мошенничество

В прошлом году дуэт исследователей безопасности платежей показал, как обойти британский лимит в 30 фунтов стерлингов (39 долларов США) для бесконтактных платежей, совершаемых с использованием физических карт, среди прочего.

В последующем исследовании, представленном на прошлой неделе на Black Hat Asia, Галлоуэй и Юнусов показали, как можно обойти средства многофакторной аутентификации, предназначенные для защиты от мошенничества с бесконтактными кредитными и дебетовыми картами.

Исследователи разработали различные уловки, чтобы обойти совокупные ограничения - максимальную сумму денег, которую владелец карты может потратить с помощью бесконтактных платежей, прежде чем его заставят использовать запасной метод с чипом и PIN-кодом.

INSIGHT Black Hat Asia: необходимость перспектив глобальной безопасности подчеркнута на виртуальном мероприятии


Текущее соглашение между банками ЕС / Великобритании разрешает пять транзакций в соответствии с Директивой о платежных услугах версии 2.0 (PSD2) и правилами, принятыми Европейский Союз в январе 2018 года.

Это означает, что потребители должны вводить свой PIN-код при совершении более пяти последовательных бесконтактных транзакций, каждая из которых не может превышать 45 фунтов стерлингов (текущий лимит в Великобритании).

Галлоуэй и Юнусов находят способы обойти обязательные проверки многофакторной аутентификации для карт MasterCard и Visa.

Модели угроз

В ходе тестов исследователи взяли шесть платежных карт (две Visa и четыре MasterCard) из пяти банков, которые использовали для своих карт строгую аутентификацию клиентов (SCA).

Целью теста было использование «украденной, разблокированной карты» для совершения более пяти платежей на общую сумму более 225 фунтов стерлингов (290 долларов США).

Были рассмотрены две модели угроз.В одном сценарии у злоумышленников есть собственный POS-терминал, который они могут настроить. В другом случае атаки проводятся на необслуживаемые терминалы, такие как киоски самообслуживания в ресторанах сети быстрого питания или заправочные станции.

Прочтите последние новости безопасности розничной торговли


Исследователи использовали POS-терминал с известной уязвимостью удаленного выполнения кода (RCE), что дало им возможность перехватывать данные и отслеживать поля управления рисками.

Это, в свою очередь, позволило им провести многоэтапную атаку, которая в конечном итоге позволила сбросить счетчик количества бесконтактных транзакций, выполненных по карте MasterCard, путем отправки фальсифицированного «PIN-кода [введен] ОК »ответ от терминала, управляемого злоумышленником.

Продемонстрированные атаки на карты Visa также проходят в четыре этапа. Злоумышленник с украденной картой, не знающий ПИН-кода, может использовать так называемое «клиновое устройство» как часть атаки «манипулятор посередине» и любой автоматический платежный терминал.

Варианты этих атак также были продемонстрированы и описаны в недавнем официальном документе (PDF) Юнусова.

PSD2 +

Галлоуэй и Юнусов утверждают, что, хотя меры контроля, ограничивающие бесконтактные платежи, имеют недостатки, они не лишены полезности.

«Принятие мер PSD2 и SCA значительно снижает возможности мошенничества, и тем не менее, злоумышленники все еще могут совершать мошенничество», - заключают они.

«Банкам и финансовым учреждениям необходимо принимать упреждающие меры в дополнение к тем, которые требуются нормативными актами, чтобы уменьшить вероятность мошенничества и повысить входные барьеры для громкого мошенничества».

Потенциальные меры противодействия атаке могут включать в себя «автономный PIN-код, правильно проверенный на карте, или онлайн-PIN-код, правильно проверенный на HSM [аппаратном модуле безопасности]» в качестве «единственной причины для сброса совокупных лимитов», среди других методов, исследователи предполагают.

Наблюдение за мошенничеством

Согласно сообщениям в прессе, на которые ссылаются исследователи, только в Великобритании в 2018 году бесконтактное мошенничество достигло 1,18 миллиона фунтов стерлингов (1,5 миллиона долларов США) по сравнению с 711 000 фунтов стерлингов (920 000 долларов США) годом ранее.

На вопрос, ухудшается или улучшается с его точки зрения безопасность бесконтактных карт и мобильных платежей, Юнусов сказал The Daily Swig: «Чем больше вы видите, тем хуже это выглядит».

«Последняя статистика UK Finance показывает, что количество потерянных и украденных мошенников практически не изменилось с 2018 по 2019 год», - сказал Юнусов.«И атаки, о которых мы говорим, в основном связаны с утерянными или украденными картами».

Гэллоуэй добавил, что бесконтактная технология была разработана, чтобы предложить потребителям «более быстрый способ оплаты» и лучший пользовательский интерфейс, но это не должно происходить в ущерб безопасности.

В заявлении для Daily Swig представитель Mastercard сказал, что бесконтактное мошенничество уже было низким и неуклонно сокращалось с течением времени:

Не все бесконтактные транзакции равны: уникальная технология Mastercard и многоуровневый подход к безопасности выше и за его пределами, используя такие технологии, как комбинированная проверка подлинности данных (CDA), для защиты держателей карт.За первые шесть месяцев 2020 года количество случаев мошенничества с бесконтактными картами в Великобритании снизилось на 20 процентов до 8,2 миллиона фунтов стерлингов, что является первым сокращением в годовом исчислении с момента начала сбора этих данных в 2013 году. Стоимость бесконтактных расходов за второе полугодие 2020 года составила 41 миллиард фунтов стерлингов.

Юнусов ответил: «В абсолютном выражении я сомневаюсь, что бесконтактное мошенничество сокращается - оно либо медленно растет, либо стабильно».

Исследователь, однако, похвалил использование MasterCard CDA - схемы аутентификации автономных данных, которая защищает некоторые поля управления рисками, передаваемые с карты, такие как список CVM [методов проверки держателей карт].Это реализовано для противодействия атаке с использованием автономного PIN-кода («PIN OK»).

Visa, которая заявила, что не знакома с последними исследованиями Галлоуэя и Юнусова, повторила Mastercard, заявив, что бесконтактная связь безопасна и подвержена лишь небольшому уровню мошенничества:

Visa серьезно относится ко всем угрозам безопасности платежей, и мы ценим промышленность и академические усилия по усилению безопасности платежей. Потребители должны продолжать использовать свои карты Visa с уверенностью. Варианты схем инсценированного мошенничества изучаются уже почти 10 лет.На тот момент сообщений о подобном мошенничестве не поступало. Исследовательские тесты могут быть разумными для моделирования, но эти типы схем оказались непрактичными для мошенников для использования в реальном мире. Многоуровневый подход Visa к безопасности привел к тому, что уровень мошенничества остается стабильным, близким к исторически низким - менее одной десятой процента. Бесконтактные карты очень безопасны. Благодаря использованию той же технологии безопасности, что и EMV Chip, бесконтактные карты чрезвычайно эффективны в предотвращении мошенничества с подделками за счет использования одноразового кода, который предотвращает повторное использование скомпрометированных данных для мошенничества.

Связанное недавнее исследование Galloway показывает, как данные карты с чипа EMV и бесконтактных интерфейсов могут быть перехвачены и использованы для создания новой карты с магнитной полосой.

«Это возможно благодаря общности между магнитной полосой, пятидесятилетней технологией и стандартами EMV для вставленных чипов и бесконтактных транзакций», - поясняет она в официальном документе.

ПОДРОБНЕЕ Взлом, снимающий ограничения на бесконтактные платежи по картам, дебютирует на Black Hat Europe 2019

Рисков безопасности бесконтактных платежей

Бесконтактные платежи впервые появились в 1990-х годах, и сейчас их время наступает.И компании, и потребители ищут способы ведения бизнеса с минимальным физическим взаимодействием во время личных транзакций.

Мы строили до сих пор, если задуматься. Организации неуклонно полагаются на цифровые возможности и вводят новые правила для всех видов взаимодействия. Например, организаторы мероприятий просят посетителей не приносить сумки или кошельки и опорожнять карманы у металлоискателей, чтобы упорядочить поток транспорта у ворот и билетных касс.

Потребители минимизируют то, что они носят с собой, что означает меньше наличных денег. Чем больше они смогут вести дела со своим телефоном, тем лучше с точки зрения удобства и эффективности. Но с учетом этого перехода к использованию наших телефонов для оплаты, достаточно ли делают организации для обеспечения безопасности мобильных устройств?

Рост популярности бесконтактных платежей

Потребители стремятся к бесконтактным платежам, и компании, выпускающие кредитные карты, сообщают о двузначном росте их использования в первом квартале 2020 года.Потребители, как сказал Forbes генеральный директор Mastercard Аджай Банга, «ищут быстрый способ входить и выходить из магазинов, не обменивая наличные, не касаясь терминалов или чего-либо еще».

Бесконтактные формы оплаты используются в основном корпорациями. Переход к цифровым платежам был медленным для малых и средних предприятий (SMB), которые часто отстают от предприятий, когда дело доходит до цифровой трансформации и улучшения кибербезопасности. Ожидайте, что это изменится, поскольку все больше клиентов будут считать, что использование телефона и бесконтактных мобильных платежей - самый безопасный способ обмена денег.

Кроме того, не ожидайте, что компании, выпускающие кредитные карты, будут единственными участниками этого бесконтактного обмена. Потребители чаще предпочитают такие приложения, как Venmo, Zelle и PayPal, а также способы оплаты, принадлежащие компании. Даже правительство США разрешило гражданам получать чеки на оказание помощи посредством прямого депозита через приложение.

С удобством приходит риск

Бесконтактные платежи удобны, но, как и любая другая технология, они сопряжены с рисками как мобильной безопасности, так и конфиденциальности данных.Поскольку вам не нужен PIN-код, утерянная кредитная карта или украденное устройство потенциально дает преступнику легкий доступ к вашей учетной записи. Телефон без надлежащих функций безопасности позволяет любому легко совершать покупки без обнаружения. Поскольку многие из этих транзакций происходят без квитанции, владельцу трудно доказать, что платежи были мошенническими.

Бесконтактные кредитные карты используют радиочастотную идентификацию (RFID) для передачи данных, и хакерам удалось создать поддельные сканеры или использовать скиммеры для карт, предназначенные для кражи данных, передаваемых через RFID.Если хакер получает информацию с карты или кошелька, он может создавать клонированные карты. С другой стороны, мобильные кошельки полагаются на связь ближнего поля (NFC), которая передает данные на очень близком расстоянии. Это остается одним из самых безопасных способов проведения финансовых транзакций.

Поскольку бесконтактные платежи могут снизить уровень мошенничества за счет более безопасных методов передачи и блокировки мобильных устройств, более серьезной угрозой может быть конфиденциальность данных. Бесконтактные системы собирают огромное количество данных от пользователей и могут использовать эту информацию для их отслеживания.И, конечно же, каждый раз, когда вы загружаете приложение на свой смартфон, существует риск вредоносных программ или атак типа «человек посередине» (MitM), которые могут получить доступ к информации, хранящейся на устройстве, - номерам банковских счетов, личной информации или конфиденциальной работе. файлы, чтобы назвать несколько типов, а также методы социальной инженерии и фишинга, предназначенные для кражи конфиденциальных данных.

Добавление мобильной безопасности для снижения риска

Хотя потребители должны знать о рисках, связанных с бесконтактными мобильными платежами, организациям также необходимо снизить потенциальные риски на своей стороне, особенно если мобильные устройства внутри корпорации используются как в личных, так и в деловых целях.И хотя NFC так же безопасен, как использование вашей кредитной карты в надежной среде, есть способы повысить уровень безопасности для транзакций клиентов. В их числе:

  • Добавление к транзакции многофакторной аутентификации (MFA). Да, мобильные платежи должны быть быстрыми и легкими для всех, но для обеспечения безопасности требуется пара дополнительных секунд, требуя пароля, цифровой подписи или какой-либо формы физической или биометрической идентификации.
  • Убедитесь, что все транзакции зашифрованы.
  • Использование аппаратно-ориентированной криптографии, которая проверяет, что информация поступает с одного устройства и не может быть передана другому. Таким образом, хакеры не смогут украсть информацию и использовать ее на своих телефонах, что снижает вероятность мошенничества.
  • Обеспечение того, чтобы ваша компания продолжала следовать всем рекомендациям Совета по стандартам безопасности индустрии платежных карт (PCI) для транзакций по кредитным картам и всем правилам конфиденциальности данных для использования и хранения любой собранной информации.

Бесконтактные платежи - один из самых безопасных и безопасных методов финансовых транзакций, и по мере того, как все больше компаний добавляют эту технологию, а все больше потребителей хотят максимально сократить физический контакт, использование мобильных кошельков будет только расти в ближайшие месяцы.




Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *