Осторожно! Бесконтактные платежи

В настоящее время существует ряд приложений для безналичной и быстрой оплаты с использованием банковской карты и/или любого из устройств, поддерживающего технологию NFC (смартфоны, браслеты, часы и др.). Модуль NFC может встраиваться в устройство несколькими способами: на стадии производства, в салоне сотового оператора (цепляется отдельно к SIM-карте) или самостоятельно.

Сейчас рядом крупных банков выпускаются карты с уже встроенным NFC-модулем, в этом случае для совершения бесконтактного платежа необходим только POS-терминал, поддерживающий функцию приема NFC-платежей. Для оплаты мобильным телефоном с функцией NFC необходимо эмулировать в него свою банковскую карту при помощи определенного приложения. Ниже приведен ряд подобных приложений, существующих на сегодняшний день:

• Apple Pay – платежная система, интегрированная в устройства Apple и представленная 9 сентября 2014 г. Владельцы Apple-девайсов могут использовать кредитные и дебетовые карты MasterCard напрямую через Apple Pay.
• Samsung Pay. Держатели карт MasterCard могут использовать свои смартфоны в качестве мобильного платежного устройства. Безопасность и удобство платежей обеспечиваются механизмом токенизации, использованием платформы MDES, а также криптографическим алгоритмом EMV.
• Android Pay – реализована связка Android Pay и MasterCard-PayPass, основанная на все том же механизме токенизации. Настоящий номер карты пользователя не передается, поэтому потребителю обеспечивается дополнительный уровень безопасности.
• "Кошелек". В России развивается проект, связанный с технологией MasterCard и мобильными платежами. В 2014 г. MasterCard и CardsMobile представили новые возможности мобильного приложения "Кошелек". Оно доступно для скачивания на более чем 100 моделях телефонов за счет облачной NFC-технологии.

Благодаря технологии бесконтактных платежей расплатиться за ланч стало намного проще. Можно забыть дома кошелек и расплатиться при помощи своего смартфона с функцией NFC (при условии, что в него эмулирована банковская карта) или любого другого устройства, просто проведя им над POS-терминалом. Не нужно больше вводить PIN-код, который мы часто забываем, и не придется подписывать чеки. Но следует помнить, что существует некий лимит на снятие денежных средств за одну транзакцию в зависимости от используемой вами валюты – 1000 руб. или эквивалент 25 EUR в местной валюте. В случае превышения лимита придется провести оплату уже обычным контактным способом при помощи банковской карты.

Опасность использования технологии бесконтактных платежей

В случае утери вашего мобильного телефона злоумышленник может использовать ваш электронный кошелек (при условии, что он не заблокирован и не требует ввода пароля) и проводить различные транзакции, пока SIM-карта не будет заблокирована. Хотя при необходимости среднестатистический пароль можно подобрать за пару часов при помощи брутфорса.

Отсутствие необходимости в вводе PIN-кода и подписании чека – это, конечно, хорошо, но что делать, если кто-то списал деньги с карты или электронного кошелька без вашего ведома? В Великобритании были жалобы жителей, которые пользуются картами с бесконтактной системой оплаты, о списании денежных средств без их ведома. Хотя производители терминалов с технологией NFC и установили расстояние до 30 см на реакцию считывателя, но злоумышленник в Великобритании создал свой считыватель, который позволял проводить транзакции бесконтактным способом на расстоянии до 80 см. В связи с чем деньги списывались со счетов посетителей одного из магазинов без их ведома, а некоторые замечали SMS-сообщения о совершении незаконной транзакции только по прошествии нескольких часов. Или недавно в Москве был случай, когда в метро ходил молодой человек с POS-терминалом и, "случайно" толкнув, списывал с карты некую сумму денег. Учитывая, что данный терминал не так сложно приобрести и зарегистрировать, открыв обычное ИП, то риски использования подобных новшеств в области информационных технологий и финансов увеличиваются.

Следует помнить, что сейчас существует очень много различных вирусов, в том числе на мобильных телефонах семейства Android. Недавно была опубликована статья о трояне, который выдавал себя за Flash Рlayer и проникал на устройства наивных пользователей. В случае заражения вирус собирает любую информацию, с которой работает пользователь на устройстве, в том числе и данные приложений онлайн-банков, электронного кошелька и др., и отправляет ее на командный сервер.

Еще одним из недостатков использования банковских карт с NFC является малочисленность торговых точек их использования. POS-терминалы для проведения бесконтактных операций стоят дорого, а в условиях нынешней экономики их покупка, установка и настройка нецелесообразны. Поэтому выезжая куда-нибудь за пределы крупных городов, не стоит надеяться, что вы сможете оплатить свою покупку без помощи карты.

Как же обезопасить себя от мошенников при использовании NFC?

Обезопасить себя на 100% не получится никогда и ни в чем, всегда существует доля вероятности наступления негативных последствий. Но мы постараемся сократить ее до минимума.

Каждый раз при проведении оплаты мобильным устройством блокируйте его, а не просто убирайте в карман. Иначе есть риск, что злоумышленник спишет еще одну сумму с вашего счета, пока вы собираете свои покупки или открываете машину. Также следует устанавливать более надежные пароли в мобильное приложение для электронного кошелька, чтобы в случае утери мобильного телефона злоумышленнику пришлось бы долго подбирать пароли, а вы в это время успели бы заблокировать SIM-карту и сам электронный кошелек. Не передавайте свою карту с возможностью бесконтактной оплаты третьим лицам (даже сотрудникам торговой точки). Храните карту в труднодоступном месте и не афишируйте в людном месте, сколько на ней денег. Используйте антивирусные программы на ваших мобильных устройствах, вовремя обновляйте ПО и не доставайте свой телефон лишний раз, чтобы не привлекать внимания воров. Подключите SMS-уведомления от вашего банка, чтобы всегда быть в курсе всех совершенных транзакций с использованием вашей банковской карты. Также сейчас появились специальные кошельки, которые защищают карту от считывания (RFID Blocking Wallet) и карты, которые кладутся в кошельки рядом с вашими для их защиты от злоумышленников.

Немного о методе проведения банковских транзакций

Согласно ГОСТ Р ИСО/МЭК 14443-1-2013 требования к проведению бесконтактных транзакций имеют очень жесткие рамки для ее обработки – 500 млсек. Ровно столько времени есть у терминала и карты, чтобы познакомиться, обсудить свои вопросы и принять верное решение. И столько же времени есть у мошенника, чтобы списать определенную сумму с вашей карты.

Основные фазы обслуживания бесконтактной транзакции приведены на рисунке. Рассмотрим более подробно каждую фазу.

Фаза 1

В этот момент терминал уже знает сумму к оплате и может определить возможность проведения транзакции по бесконтактному интерфейсу с учетом разрешенных банком-эквайером лимитов. Терминал заполняет запись TTQ (Terminal Transaction Qualifier), которую он позже отдаст карте для принятия решения.

Если проведение бесконтактной транзакции возможно, то терминал активирует бесконтактный считыватель.

Фаза 2.1

Клиент подносит бесконтактную карту или телефон с функцией NFC к считывателю (POS-терминалу). Считыватель запрашивает у карты список приложений, которые поддерживают бесконтактную оплату – PPSE (Proximity Payment Systems Environment). Если приложение найдено, то оно автоматически выбирается для оплаты по идентификатору AID (Application ID). Если приложение не найдено, то транзакция завершается.

Фаза 2.2

Терминал передает карте самую главную команду – Get Processing Option. На основании анализа записи TTQ, суммы и валюты транзакции данных карта принимает решение о способе аутентификации клиента с учетом правил управления рисками, заданных эмитентом карты.

Для бесконтактной оплаты реализован механизм ускоренной аутентификации FDDA (Fast Dynamic Data Authentication). Перед ответом на команду Get Processing Option карта подписывает с помощью сертификата ключа эмитента случайное число (Unpredictable Number), а также параметры переданной терминалом транзакции – сумму и код валюты. В отличие от стандартного EMV-процессинга для сокращения времени вместо отдельного цикла обмена криптограмма транзакции (TC) передается сразу в ответе на команду Get Processing Option.

Фаза 3

На основании информации, полученной от карты, терминал проводит аутентификацию держателя карты. Варианты могут быть следующие:

• Без аутентификации.
• По подписи.
• PIN-код.
• CDCVM (Consumer Device CVM).

Специальный способ, придуманный для устройств клиента, таких как телефон. В этом случае клиент вводит отдельный код доступа к платежному приложению. Признак проведения такой аутентификации будет передан в терминал.

Фаза 4

При необходимости терминал формирует запрос авторизации и направляет его эмитенту. В запросе передаются стандартные поля EMV-транзакции, криптограмма транзакции, выбранное приложение и признак обслуживания карты по бесконтактному интерфейсу.

С точки зрения платежной системы взаимодействие участников не отличается от обычной оплаты по карте. POS-терминал подключен к хосту процессинговой системы банка-эквайера и формирует запросы на авторизацию транзакций оплаты. Процессинговая система банка-эквайера направляет запросы на авторизацию, например в платежную систему Visa, которая маршрутизирует запросы на процессинговую систему банка-эмитента. Полученный ответ по цепочке возвращается на терминал.

Взаимодействие банка-эмитента со смартфоном построено более интересно, поэтому рассмотрим его более подробно далее.

Пользователь ставит на свой смартфон программу для проведения бесконтактных транзакций.

При первом запуске программа привязывается к смартфону с помощью сеансового пароля, отправляемого пользователю по SMS.

Далее пользователь должен создать пароль для доступа к платежному приложению. Этот пароль проверяется онлайн на сервере банка-эмитента, поэтому нужен доступ в сеть Интернет.

Канал между смартфоном и сервером банка-эмитента защищен. В системе используется технология SSL-pinning. Это означает, что SSL-сертификат, используемый на сервере, внедрен непосредственно в приложение. Стандартное хранилище сертификатов Android не используется, поэтому риск подмены сертификата существенно снижается. Кроме того данные, передаваемые в приложение, шифруются ключом, загружаемым с сервера.

По защищенному каналу связи между процессинговой системой банка-эмитента и телефоном в приложение загружаются детали банковской карты Visa. Если в телефоне есть чип NFC и режим HCE (Host Card Emulation) поддерживается, то дополнительно в приложение загружается ключ, которым будет подписана криптограмма транзакции. Принятый ключ, так же как и детали карты, хранится в защищенном хранилище в памяти смартфона. В целях безопасности ключ периодически меняется.

Для оплаты товара доступ в Интернет не требуется, надо только разблокировать экран. Далее будет проведена транзакция описанным ранее способом. В случае превышения суммы покупки приложение может запросить дополнительное подтверждение от клиента с помощью пароля доступа. Здесь потребуется выход в Интернет.

Взаимодействие с терминалом производится согласно описанной выше схеме qVSDC. В отличие от аппаратной реализации на чипе все вычисления, а также генерация криптограммы TC выполняются программно.

Однако, несмотря на описанную выше защиту электронного кошелька, злоумышленники научились обходить ее довольно просто. Достаточно вписать в считывающее устройство POS-терминала функцию, которая будет списывать с вашей карты не рубли, а доллары, например, и увеличить эту сумму, допустим, до $2000. Также в марте 2016 г. был представлен RFID-вирус, который может проникать в терминалы. Пока это пассивный вирус, но в нем есть возможность внедрить промежуточное ПО, которое можно использовать впоследствии как угодно.

Считывающее устройство мошенников обычно очень похоже на легальное, и вы вряд ли сможете отличить их, но первое отличается от последнего более продвинутой функциональностью. Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID или мобильному устройству/карте с функцией NFC, как вся необходимая информация будет считана, а деньги – переведены.

В переполненном вагоне метро, на рынке, в магазине провести данную операцию нетрудно. Человек может даже не заметить воровства. Полученные данные мошенники записывают/передают на другие карты-клоны для дальнейших операций (влекут хищения средств с подлинных банковских карт) либо сразу при помощи своих POS-терминалов совершают транзакции.

Стоимость легального считывателя для систем PayPass и PayWave начинается от 20 тыс. руб. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать. Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет около $120 – их хакеры изготавливают самостоятельно. Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру, а также ПО на самом компьютере. Учитывая сегодняшний курс доллара, это все равно значительно ниже, чем покупка официальных считывателей, отвечающих всем требованиям. На глаз не всегда можно различить, какой считыватель легальный, а какой нет.

Также у мошенников есть и более дешевые способы кражи данных с бесконтактных карт – обычный смартфон с поддержкой NFC. Сейчас подобный телефон можно купить в районе 8 тыс. руб. В дополнение к телефону нужно купить специальный считыватель.

Если вы еще не пользуетесь данной технологией оплаты своих покупок и решили ее попробовать, то старайтесь соблюдать те меры безопасности, о которых говорилось выше, и не забывайте, что прежде всего вы защищаете себя и свой бюджет от мошенников, а не от кого-то другого.