Бесконтактному платежу можно верить
Информационная безопасность Информационная безопасность

Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

Главная>Информационная безопасность>Бесконтактному платежу можно верить
Информационная безопасность Тренд

Бесконтактному платежу можно верить

Дата публикации:
29.01.2016
Посетителей:
92
Просмотров:
81
Время просмотра:
2.3

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Сегодняшние СМИ привлекли внимание читателей к новому типу мошенничества, нацеленного на банковские карты, работающие по технологии PayPass (бесконтактной передачи данных, не требующей ввода PIN или подписи на чеке при совершении покупки).

 

Основной «рабочий» инструмент злоумышленников в этом случае – специальные RFID-ридеры. Более того, уже подсчитаны «прибыль» мошенников – 2 млн рублей за 2015 год, тогда как в 2014, по данным наших коллег по рынку ИБ, таким способом с карт россиян не ушло ни рубля. Что это? Новая «дверь» для мошенников, грозящая многомиллионными потерями? И можно ли уже сейчас спрогнозировать размеры потенциального урона?

 

Начнем с того, что технология бесконтактных платежей с успехом используется различными платежными системами – Mastercard (PayPass), Visa (PayWave), American Express (ExpressPay) и др. И сама технология для банковских карт далеко не нова, это лишь вариант взаимодействия «чиповой» карты с терминальным устройством. Причем, протоколы ИБ и пр. в этом случае практически не отличаются то контактного способа взаимодействия. Разница в удобстве использования (в частности, повышение скорости проведения расчетных операций) и строгих ограничениях на сумму покупки (из-за того, что такие типы операций не подтверждается PIN или подписью на чеке). Поэтому если уж говорить об уязвимостях, то им подвержены все карты, работающие бесконтактно. Есть, конечно, некоторые нюансы и уязвимости, которые характерны только для PayPass, к примеру, или только для PayWave, или др., но это все же частные случаи. Поэтому правильнее говорить о надежности или уязвимости самой технологии бесконтактного платежа.

Как оценить, насколько этот вид кибермошенничества опасен для банков и самих граждан? Да, бесконтактный способ передачи данных для чиповых карт отличается более низким уровнем защищенности (все то же отсутствие ввода PIN и личной подписи), но эти риски компенсированы специальными настройками ограничений по таким операциям и правилами оспаривания (диспута) по таким списаниям. По большому счету попытка проведения мошеннических операций по такой схеме имеет относительно невысокие риски для самого владельца карты просто потому, что есть жесткое ограничение на размер суммы операции. ИБ-эксперты также отмечают, что мошенники могут бесконтактно получить номер карты и дату окончания срока ее обслуживания, чего достаточно для проведения трансакций и т.д. Конечно, обладая такими данными, возможно провести платеж в интернете через подставную площадку, но только в том случае, если операция не требует ввода CVV2/CVC2. И это даже может привести к списанию средств. Однако диспутный цикл по таким операциям в международных платежных системах таков, что денежные средства в конечном итоге будут возмещены банком-эсквайром, то есть и сам владелец карты получит нелегитимно выведенные средства назад.

 

Да и считать карту обычным ридером незаметно не просто: расстояние между картой и терминалом должно быть в среднем несколько сантиметров. Хотя, справедливости ради, стоит отметить, что сконструировать более мощный по дистанции охвата считыватель вполне возможно. Плюс считать данные с PayPass можно гораздо более простым способом, используя обычный смартфон, оснащенный функционалом NFC. И в этом случае троянская программа может оказаться той самой технологией передачи данных о карте, которая находится рядом с зараженным смартфоном. Однако корректная операция по такой карте может быть проведена только с терминала, в который загружены криптографические ключи, выпущенные банком-эквайером. Это значит, что для реализации мошеннической схемы необходимы ключи, которые должны быть либо добыты через сотрудников банка, либо скомпрометированы (а последнее весьма сложно).

 

Конечно же, сама массовость использования таких карт может привлечь повышенное внимание злоумышленников, но поскольку терминал в конечном счете должен совершать операции через банк-эквайер, то последний, в ходе мониторинга таких операций, может оперативно выявлять неправомерность той или иной операции. И сколько-нибудь существенного (в размерах всей отечественной банковской отрасли) объема такой вид мошенничества в ближайшее время не достигнет. Будет ли эта схема этапом создания более изощрённой схемы? Покажет время, но вероятность не велика.

Уведомления об обновлении тем – в вашей почте

Математика на службе у антифрода

Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы

Аудит функции Fraud Management & Revenue Assurance

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA).

«Системный интегратор внутри ритейлера нам не нужен»

Отвечает по ходу нашей беседы Сергей Кондарев, директор Департамента по информационным технологиям Группы компаний ...

Как изменится ритейл в 2020 году

Какие тренды характерны для отечественного ритейла, и как мировые гиганты справляются с вызовами рынка

Антифрод-команда и мошенники разыгрывают классический «киношный» сюжет

В остросюжетном кино популярна ситуация, когда преступная группировка и служба безопасности крупного предприятия или банка одновременно продумывают, каждая со своей стороны, способы ограбления и защиты материально-финансовых ресурсов этой организации. И это соревнование идет на всем протяжении фильма.

Информационная безопасность 2021 глазами участников Positive Hack Days

Какие отрасли бизнеса сегодня подвергаются атакам чаще всего? Почему злоумышленники предпочитают шантаж, а не классические киберограбления? Чем фреймворк «Аэропорт» эффективнее традиционного подхода к ИБ? Что ждет сферу ИБ в ближайшие годы?

В России проведено первое сравнение вендоров Wi-Fi 6. Что выяснили специалисты тестовой лаборатории «Инфосистемы Джет»?

В чем преимущества Wi-Fi 6? Особенности решений от Huawei, Cisco, Aruba и Ruijie? Результаты тестирования технологии в нашей лаборатории?

«Все случилось резко, будто сорвали пластырь»

Почему инноваторам важно уметь «переобуваться на лету»? Как в «Магните» научились быстро договариваться с партнерами и стартапами? Зачем компания занимается деперсонализацией больших данных?

«Мы не думали, что многие АЗС до сих пор измеряют уровень топлива «палкой»: Как создать уникальный ИТ-продукт для топливного рынка

Как за 2 года сеть АЗС «ОПТИ» стала самой большой сетью независимых автозаправочных станций в России? Почему сейчас топливный ритейлер инвестирует в системы рекомендации?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня