Перейти к основному контенту
Финансы ,  
0 

Деньги из воздуха: стоит ли бояться бесконтактных платежей

Банки наращивают долю бесконтактных карт. Насколько безопасны такие карты и какие способы могут использовать мошенники, чтобы уводить деньги с пластика?
Фото: Тим Яржомбек для РБК
Фото: Тим Яржомбек для РБК

В России активно развивается система бесконтактных платежей. По данным компании Visa, с сентября 2015 по сентябрь 2016 года количество транзакций по картам Visa РayWave увеличилось в 4,5 раза. В пресс-службе платежной системы MasterCard, ссылаясь на исследование MasterIndex по итогам 2016 года, отметили, что более 60% россиян знакомы с технологией бесконтактной оплаты. Этот показатель вдвое превышает результаты 2015 года.

Опрошенные РБК топ-10 банков и банковских групп из рэнкинга «Интерфакс-100» отмечают, что постепенно наращивают объем бесконтактных карт в своем портфеле, хотя они не ведут отдельную статистику по бесконтактным картам, и приводят оценочные цифры. По данным пресс-службы Альфа-банка, за два года объем бесконтактных карт увеличился примерно в два раза. В пресс-службе ЮниКредит Банка говорят, что на долю бесконтактных карт в общем портфеле организации приходится почти 80%, а год назад этот показатель составлял около 70%.

«Большинство новых карт, выпускаемых ВТБ, являются бесконтактными. В настоящий момент их доля составляет более 30% от карточного портфеля банка, год назад она составляла примерно 15%, и данный показатель продолжает активно расти», — говорит заместитель руководителя департамента розничных продуктов ВТБ Юлия Деменюк. Остальные опрошенные банки не предоставили статистику относительно выпуска бесконтактных карт.

В конце сентября Сбербанк сообщил, что к концу 2017 года все выпущенные банком новые карты, кроме карт моментальной выдачи и электронных (Visa Electron, Maestro, Maestro Социальная), станут бесконтактными. На долю бесконтактных карт Visa и MasterCard в портфеле Сбербанка сейчас приходится 11%. Всего же у Сбербанка 131 млн действующих пластиковых карт, таким образом, в ближайшие годы по мере обновления портфеля только от Сбербанка на рынок поступят десятки миллионов бесконтактных карт.

В основе действия технологии бесконтактной передачи данных лежит отправка сведений на малом расстоянии (не более 5 см) между картой и считывателем через магнитное поле, говорят эксперты. Чип и антенна, размещенные в карте, откликаются на запрос платежного терминала. Транзакции на сумму до 1 тыс. руб. не требуют введения пин-кода. Сделано это, для того чтобы недорогие покупки не занимали у покупателя много времени. Более крупные операции уже нуждаются в дополнительном подтверждении пин-кодом. Изменить этот лимит самостоятельно клиент банка не может.

В России бесконтактная карточная технология от Visa РayWave​ появилась осенью 2011 года. PayPass от MasterCard — в 2008 году.

С популярностью бесконтактных платежей увеличивается и количество слухов об уязвимости этой технологии. РБК разбирался, действительно ли бесконтактные карты более уязвимы по сравнению с обычным «пластиком» и как держатели таких карт могут защититься от мошенников.

Опасности реальные и мнимые

Получая на руки новую карту, клиенты часто задают вопрос о ее надежности, отмечают банкиры. По словам директора по мониторингу электронного бизнеса Альфа-банка Алексея Голенищева, подобные вопросы вызваны относительной новизной технологии и отсутствием популярной информации, а также надуманным и необоснованным негативом, порой транслируемым в интернете.

В частности, некоторые клиенты боятся, что с бесконтактной карты можно в людных местах мгновенно без ведома владельца снять небольшую сумму. «Якобы в общественном транспорте ходят мошенники с бесконтактными терминалами и списывают незаметно с бесконтактных карт клиентов суммы до 1000 руб. Это очень гипотетический вариант, практически малоосуществимый», — говорит Голенищев. «Размер угрозы крайне переоценен», — согласен руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention «Лаборатории Касперского» Денис Горчаков.

Как поясняет старший специалист отдела исследования безопасности банковских систем Positive Technologies Ярослав Бабин, для проведения транзакции и списания денег с карты необходим работающий платежный терминал, чтобы банк-эквайер мог провести платеж. POS-терминал выдается только юридическим лицам и индивидуальным предпринимателям при заключении соответствующего договора, поясняет менеджер по развитию кибербезопасности в финансовых и торговых организациях департамента ИБ ГК Softline Дмитрий Тирский. «Поэтому неправомерное использование оборудования легко установить, а вся информация о совершенных транзакциях сохраняется в логах банка, обслуживающего терминал», — говорит он.

Если клиенту придет уведомление об операции, которую он не совершал, то он может сообщить об этом в свой банк, который определит, через терминал какого банка был совершен платеж. «После этого банк, выдавший терминал оплаты, будет вынужден вернуть средства клиенту. В дальнейшем банк-эквайер может взыскать возвращенные денежные средства и оштрафовать владельца терминала оплаты», — поясняет начальник отдела развития Фридом Финанс Банка Мурад Шихмагомедов.

Еще одна угроза, информация о которой активно тиражируется в интернете, связана с возможностью с помощью самодельного считывающего устройства «уводить» с пластика не деньги, а данные (от имени держателя до истории транзакций и остатке на счете).

В Сети эта схема описана следующим образом: с помощью самодельного считывающего устройства злоумышленники считывают с карт данные, чтобы потом, используя их, создать карту-клон с магнитной полосой и совершать с ее помощью покупки в интернете. Этот вариант мошенничества эксперты называют не самым популярным, но реализуемым. В 2015 году, по данным компании Zecurion, таким образом с бесконтактных карт россиян увели 2 млн руб., статистику за более поздний период компания не предоставляет, ссылаясь на договоренности с банками.

По словам Дмитрия Тирского, информация, которую могут узнать мошенники, очень ограничена. Это номер карты, срок действия, история транзакций, чтобы оценить активность пользования картой и активность ее использования. При этом код CVV (трехзначный код, расположенный на обратной стороне карты), который необходимо вводить для подтверждения платежа, скопировать невозможно. Алексей Голенищев из Альфа-банка говорит, что несколько лет назад некоторые онлайн-продавцы игнорировали требование подтверждать транзакции с помощью CVV и подобные махинации были возможны. Также, по его словам, иногда мошенники пользовались пробелами настройки системы безопасности банков. «Были единичные случаи, когда мошенники выясняли, что у какого-то банка некорректно работает система авторизации, и вместо запрашиваемого CVV вбивали произвольные цифры. Но банки совершенствуют свою систему безопасности. Сейчас все банки — эмитенты карт в России в обязательном порядке проверяют CVV/CVC», — говорит он.

Эксперты говорят, что самая очевидная опасность для клиента — потеря бесконтактной карты. Если она попадет в руки злоумышленника, тот сможет беспрепятственно совершать мелкие покупки, пока владелец не заблокирует «пластик». Даже специальное оборудование ему для этого не понадобится.

Однако руководитель направления информационной безопасности компании КРОК Андрей Заикин отмечает, что несколько платежей на мелкую сумму подряд заставят сработать защитные системы банка и банк заблокирует такие операции как подозрительные. Транзакции будут заморожены до подтверждения их легитимности. В банках подтвердили, что система безопасности отслеживает подобные транзакции, отметив, что, как правило, операция блокируется после трех совершенных подряд операций на сумму, не требующую пин-кода.

На всякий случай

Те, кто все-таки боятся неправомерного списания средств с карты «по воздуху», могут найти в интернете нехитрые приспособления, которые защитят от мошенников. Например, в онлайн-магазинах можно найти экранирующие футляры из алюминия. Их цена варьируется от 50 руб. (за кардхолдер на одну карту) до 500 руб. (за футляры из кожи на несколько карт). Дороже (от 700–900 руб.) будут стоить полноценные кошельки с подкладкой из металлизированной ткани. Встречаются даже сумки и портфели со специальными изолированными отделениями, которые не пропустят сигнал.

Эксперты подтверждают, что эти способы действенные. Считать данные карты будет невозможно, но, чтобы совершить покупку, пластик придется каждый раз вынимать из «упаковки».

Начальник аналитического управления​ Бинбанка Александр Свиридов добавляет, что если в кошельке есть две и более бесконтактных карты (включая транспортные), то это усложняет задачу считывания для злоумышленника. Терминал просто «запутается» в радиоволнах от нескольких карт.

Авторы
Теги
Магазин исследований Аналитика по теме "Безопасность"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 28 ноября
EUR ЦБ: 113,09 (+2,6)
Инвестиции, 27 ноя, 18:05
Курс доллара на 28 ноября
USD ЦБ: 108,01 (+2,95)
Инвестиции, 27 ноя, 18:05
Вице-мэр Ефимов рассказал о реорганизации 275 га на севере МосквыГород, 10:08
Как спасти сбережения от инфляции и сформировать подушку безопасностиРБК и ПСБ, 10:06
Школы протестировали учеников-мигрантов на знание русского языкаОбщество, 10:02
Президент АЦОД — об итогах Adipec-24 и стратегии развития ЦОДовРБК Компании, 10:00
Лавров оценил идею о превентивных ударах НАТО словами «пороха не нюхали»Политика, 09:58
Минпросвещения назвало распространение видео с квадроберами пропагандойПолитика, 09:51
Bloomberg подсчитал, насколько Украина зависит от американского оружияПолитика, 09:50
Скидки на подписку до 60%
Максимальная выгода до 2 декабря
Купить со скидкой
Появилось видео с моментом падения дрона в Краснодарском краеПолитика, 09:44
Мост в Краснодарском крае выстоял после атаки дронов ВСУПолитика, 09:38
Экс-замглавы МЧС Гуровича освободили из колонии условно-досрочноПолитика, 09:35
Как принять на работу иностранца и избежать штрафа на 1 млн рублейPro, 09:27
Веснина высказалась о словах Позднякова про «команду иноагентов»Спорт, 09:23
Трамп поужинал с Цукербергом, которому обещал «остаток жизни в тюрьме»Политика, 09:15
В какой стране более 88% населения мигрантыРБК и РЭЦ, 09:15