Тас для банковских карт

Как воруют деньги с бесконтактных карт RFID и NFC

Совсем недавно обнаружен принципиально усовершенствованный вариант воровства средств новый способ хищения денег с карт, оснащенных технологиями PayWave и PayPass — сигналы с таких банковских карт преступники «по воздуху» перехватывают с помощью с помощью кустарно сделанных считывателей.

Пластиковые карты с бесконтактными чипами RFID можно использовать всего лишь прикладывая их к банковскому терминалу PoS. При этом такие карты в PoS терминале «не прокатываются» и не вставляются.

В прошлом году злоумышленники уже успели украсть около двух миллионов рублей с помощью таких хакерских приспособлений. К тому же появились методы увода с кредитных карточек денег используя последние модели смартфонов, в которых присутствует модификация разновидность технологии RFID — устройство NFC. Хакерам для вывода средств с карты необходимо лишь узнать ее полный номер карты и месяц/год окончания обслуживания.

Чипами PayPass оснащены карты международной системы Mastercard, а чипами с названием PayWave карты платежной системы Visa. При этом обе компании позволяют использовать свои бесконтактные технологии как на карточках с магнитной полосой, так и на более новых карточках с квадратным чипом.

Удобство пользования системами Mastercard-PayPass и Visa-PayWave заключается в упрощении и ускорения платежей в магазинах. При совершении оплаты до тысячи рублей картами с RFID-чипами нет необходимости расписываться на кассовом чеке и вводить в PoS терминал свой ПИН-код.

Смысл мошеннических схем состоит в перехвате NFC-сигналов используя незаконные устройства-считыватели. По своей технической начинке RFID-перехватчики это сильно продвинутые аналоги обычных бесконтактных карточных терминалов ПОС с увеличенной функциональностью, которые улавливают и обрабатывают электромагнитные волны. Такой прибор обычно оборудован антенной, специальным контроллером, разъемами для извлечения со считывателя информации и пиратского компьютерного ПО.

Для считывания платежных данных мошеннику вполне будет достаточно поднести считыватель примерно на десять сантиметров к карточке жертвы.

То есть в метро или наземном транспорте в час пик это будет сделать очень легко и незаметно. Сворованная информация в дальнейшем передается другим участникам, которых исполнителя зачастую даже и не знают. А те уже изготовляют клоны-дубликаты банковских карт, которые используются для обналичивания черного нала.

Себестоимость нелегального RFID-считывателя для атаки на карточки с PayWave и PayPass около ста долларов, при этом «кулибины» могут делать их из комплектующих, которые можно заказать на eBae или Алиэкспресс.

Так как можно защитить свои деньги от хакерской атаки на бесконтактную карту?

Самый простой и действенный способ защиты карты от бесконтактного ридера — носить ее вместе с другими неплатежными бесконтактными картами, например, с транспортной карточкой «Стрелка» или «Тройка». При попытке считывания данных аппарат мошенников не сможет правильно скопировать информацию, так как входящий сигнал будет направляться одновременно с нескольких карт и он обработается некорректно.

Можно приобрести специальное портмоне blocking RFID wallet с защитой от считывания. Или еще существуют карточки, которые необходимо поместить в бумажник рядом со своими кредитками. Также рекомендуется подключить информирование изменения остатка счета с использованием СМС-сообщений или PUSH-уведомлений. Как вариант можно еще уменьшить размер суммы, которую можно использовать при оплате картой без указания PIN-кода.

Также существенным недостатком NFC-считывателей является то обстоятельство, что этот прибор мошеннику необходимо расположить чуть ли не вплотную к оригинальной банковской карте, что уже позволяет обеспечить достаточную защиту от считывания. Ну а если в вашем портмоне несколько штук бесконтактных карточек, то это обстоятельство также усложнит преступный замысел.

Не надо касаться: бесконтактные карты от Сбербанка

Недавно оплачивать товары и услуги картой было чем-то необычным, а сейчас произвести бесконтактную оплату картой Сбербанка – обыденное дело. Развитие технологий позволяет людям по всему миру проще расплачиваться за покупки.

Карты Сбербанка с бесконтактной технологией оплаты существуют на протяжении десяти лет, но среди россиян такой сервис стал популярным относительно недавно. Также можно производить бесконтактную оплату картой Сбербанка с помощью смартфона (Айфона). Процесс занимает несколько секунд, а передавать платёжные данные карты нет необходимости.

Бесконтактная карта Сбербанка – что значит

Внешне карты с технологией бесконтактной оплаты от Сбербанка не имеют различий с обычными пластиковыми, кроме одного – специального значка в виде волн. В остальном функционал бесконтактных карт такой же, как у классических: на них можно хранить деньги, оплачивать покупки в магазинах и интернете, обналичивать средства и т.д.

Оплата без касания осуществляется при помощи специального встроенного чипа с радиоантенной (RFID), передающего платёжные данные на терминал, поэтому вводить ПИН-код не требуется.

ВАЖНО!

Бесконтактная оплата осуществляется не на всех терминалах. Принимать платёжные данные посредством радиосигнала могут только POS-терминалы.

Сбербанк — оплата в одно касание: инструкция

Как пользоваться бесконтактной картой Сбербанка? Для начала нужно убедиться, что на платёжном терминале присутствует значок в виде волн. Терминалы, принимающие бесконтактную оплату, оснащены логотипами MasterCard PayPass и Visa PayWave. Соответственно, карты выпускаются в платёжных системах MasterCard и Visa. Недавно бесконтактную оплату стало возможно производить картой Мир от Сбербанка.

Как это работает → Пошаговая инструкция оплаты на кассе:

  • Сначала нужно проверить сумму покупок. Возможность бесконтактной оплаты актуальна только для чека на сумму менее 1 тысячи рублей. Если это значение превышено, оплатить картой можно, но классическим способом с вводом ПИН-кода.
  • Поднести карту к терминалу. Причём не нужно касаться считывающего устройства – достаточно расстояния в 3-5 сантиметров.
  • Спустя пару-тройку секунд терминал издаст характерный звук (в случае успешной оплаты), а деньги будут списаны с карты мгновенно.

Благодаря нововведениям Сбербанка, в личном кабинете на официальном сайте можно узнать, как была произведена оплата – с вводом ПИН-кода, или платёж был бесконтактным.

Так же как картой, можно платить с помощью смартфона. Для этого нужно скачать приложение Android Pay в Google Play, и привязать к нему карту Сбербанка. В приложении Сбербанк Онлайн также можно подключиться к Android Pay.

СПРАВКА!

Преимущества и недостатки бесконтактной оплаты

В данном банковском продукте можно выделить как плюсы, так и минусы. Стоит подробнее рассмотреть каждый из них, так как это может повлиять на будущий выбор типа карты.

К преимуществам относятся:

  • Быстрая оплата без ввода ПИН-кода, что помогает увеличить скорость обслуживания клиентов, сокращая время пребывания в очереди.
  • Возможность расплатиться за проезд в метро и другом общественном транспорте, приложив карту к считывающему устройству.
  • Камеры не могут заснять процесс ввода ПИН-кода, что обеспечивает дополнительную защиту от злоумышленников.
  • Бесконтактная карта прослужит дольше, так как не нужно каждый раз вставлять её в терминал.
  • Оплатить такой картой можно, не доставая её из чехла или кошелька (при таком подходе отсутствует опасность компрометации персональных данных).

Недостатки заключаются в следующем:

  • Считывающее оборудование дорого стоит, поэтому присутствует не во всех магазинах.
  • Если карта попадёт в руки злоумышленников, они могут совершать покупки небольшими суммами до 1000 рублей, так как не нужно знать ПИН-код.
  • Мошенники пользуются RFID-ридерами, при близком контакте карты с которыми произойдёт мгновенное списание денежных средств. Чтобы обезопасить себя, лучше пользоваться защитным кошельком, который не пропускает радиоволны.

Со временем карты с бесконтактной оплатой становятся всё популярнее, особенно среди молодёжи. Несмотря на некоторые недостатки, данный банковский продукт – удобный и безопасный инструмент оплаты покупок. Со временем технология оплаты в одно касание будет распространяться все больше. Лимит сумм на бесконтактную оплату без ввода пин-кода будет также повышаться, поэтому приобретать такую карту однозначно выгодно.

NFC-платежи с помощью смартфона

NFC (Near Field Communication) — это технология передачи данных на малых расстояниях, и главная ее особенность в том, что она базируется и полностью совместима со стандартом ISO 14443, объединяющим большинство современных бесконтактных смарт-карт: банковские карты MasterCard PayPass и VISA PayWave, транспортные карты «Тройка» и «Подорожник», пропуска в офис и на парковку, и многие другие. Грубо говоря, все это уже давно работает по технологии NFC.

Как устроены пластиковые карты

Платежная карта (или смарт-карта) представляет собой микропроцессор, помещенный в металлический корпус, который в свою очередь, установлен в пластиковый прямоугольник определенного размера. В микропроцессоре установлена своя операционная система, куда записывается платежное приложение конкретного поставщика услуги, которое затем «совмещается» с платежными данными конкретного клиента. Процесс этого «совмещения» называется персонализацией и осуществляется он в так называемых персобюро, которые могут быть как подразделениями поставщиков услуг, так и отдельными компаниями на рынке.

Данные на карте зашифровываются и закрываются специальными ключами, так что изменить их позднее невозможно. Помимо этого, можно различить состояние карты до и после персонализации, а это означает, что полностью исключается возможность подделывания каких-либо данных после того, как карта выпущена.

Контактируя со считывателем, карта получает необходимое для работы питание, запускает операционную систему и установленное в ней приложение, которое в свою очередь «общается» со считывателем. Бесконтактные карты работают точно так же, только питание получают от электромагнитного поля считывателя на кассе или турникете.

Для пластиковой карты была важна определенная стандартизированная форма, чтобы карта могла быть считана в любом терминале, но с переходом к бесконтактным картам форма перестала иметь значение, что дает возможность использовать в качестве «носителя» карты (микропроцессора с платежным приложением) практически любой объект, будь то браслет, часы, брелок, пластиковую карту или телефон.

Платежная функция телефона

Для того чтобы воспользоваться мобильным телефоном в качестве носителя платежных карт, в него необходимо установить похожий микропроцессор, куда можно будет записывать платежные приложения. Такой микропроцессор в телефоне называется Secure Element, а NFC-модуль выполняет функции контроллера.

Secure Element может быть либо встроенным в материнскую плату телефона, либо находиться на отделяемом модуле: SIM-карте или SD-карте.

В новой версии OS Android 4.4. KitKat появилась возможность выполнения «карточных» приложений без использования Secure Element благодаря Host Card Emulation (HCE). Таким образом сама операционная система позволяет эмулировать карты, данные которых, в свою очередь, могут храниться либо в ней же (допустимо для карт лояльности и скидочных карт, не требующих высокой степени безопасности), либо все в том же Secure Element (для банковских и транспортных карт, требующих надежного хранилища), либо даже на сервере в интернете (однако в таком случае для совершения платежа потребуется быстрый и стабильный интернет).

Запись платежной карты в телефон

Если в телефоне находится такой же микропроцессор, как и в пластиковых картах, то в телефон можно записывать такие же платежные приложения и осуществлять бесконтактные платежи, поднесением телефона к считывателю.

Первыми в РФ попытались перенести карту в телефон сотовые операторы, например, «МТС» и банк «Русский Стандарт», «Мегафон» и транспортная карта в г. Екатеринбург, «Билайн» и транспортная карта в г. Казань и т.п. Чтобы сделать это, им понадобилось закупить специальные SIM-карты с Secure Element, договориться с транспортной компанией или банком о записи на эти карты платежного приложения, осуществить процесс «контактной персонализации», а затем обменивать старые SIM-карты абонентов на новые.

Потребителям пришлось посещать центры обслуживания операторов для замены SIM-карт, а в итоге они получили только одну определенную карту в телефоне, после истечения срока действия которой всю операцию придется повторить. Однако если клиентам будут нужны несколько разных карт и в разных регионах, то SIM-карте придется долго путешествовать, перед попаданием в руки пользователей.

Удаленная загрузка карт

К счастью, телефон является интерактивным устройством, которое всегда на связи. Следовательно, в него можно удаленно записывать платежные карты и именно тех поставщиков услуг, которые нужны конкретным пользователям. Для осуществления этой функции была сформулирована роль TSM (Trusted Service Manager), который объединяет с одной стороны поставщиков услуг (Service Provider TSM), а с другой стороны чипы Secure Element в любых форма-факторах (Secure Element Issuer TSM). Такая платформа TSM и была разработана нами в компании i-Free и сертифицирована на соответствие всем необходимым мировым стандартам.

TSM позволяет владельцам Secure Element не интегрироваться с каждым поставщиком услуг и не отвозить к ним всем «носители карт» для контактной персонализации, а поставщикам услуг не подключаться ко всем операторам и производителям телефонов. Сотовым операторам, производителям телефонов и поставщикам услуг достаточно подключиться к TSM по стандартному протоколу и они одновременно интегрируются с множеством партнеров. Для конечных потребителей это также возможность не зависеть от модели телефона или оператора, в случае необходимости услуги конкретного банка или транспортной компании.

Взаимодействие смартфона и платформы TSM

Платформа TSM удаленно управляет чипами Secure Element в телефонах пользователей через безопасный канал связи, используя сам телефон в качестве модема. Ключи от Secure Element хранятся на специальных серверах HSM (Hardware Security Module), являющихся неотъемлемой частью TSM, и без участия последнего получить доступ к чипу невозможно.

На основании распоряжения поставщика услуги TSM записывает (или удаляет, например, в случае утери смартфона) данные карты в Secure Element, а также позволяет проводить удаленный аудит выпущенных карт или, например, просматривать актуальный баланс по картам оплаты проезда или картам лояльности для отображения на экране телефона.

Для какой именно выпущенной карты активировать режим оплаты выбирает пользователь, через пользовательское приложение «Кошелёк», которое отображает выпущенные и доступные для выпуска карты, а также принимает заявки на выпуск новых. Поставщик услуги, получая заявку на выпуск карты, передает эти данные Secure Element телефона через платформу TSM.

Оплата банковской картой в телефоне

На сегодняшний день выпущенной в «Кошельке» банковской картой можно оплачивать покупки в магазинах, принимающих карты MasterCard PayPass по всему миру, и доступ в интернет в телефоне для этого не требуется. Банковские терминалы в таких точках продаж обозначаются логотипом бесконтактной оплаты (овальный логотип с волнами вправо), который размещается именно в том месте, где находится антенна в считывателе, и прикладывать телефон (местом где в его корпусе расположена антенна) необходимо к этому логотипу, даже если он находится на экране терминала.

Местонахождение антенны различается в зависимости от модели телефона. Например, в смартфонах Philips Xenium W336 и Philips Xenium W5888 антенна находится чуть ниже центра задней панели, а вот в HTC One она расположена выше — за задней камерой, так как корпус телефона металлический, радио сигнал проходит через узкие пластиковые участки в форме буквы «Т».

На банковских терминалах, оборудованных бесконтактными считывателями, имеется 4 цветовых индикатора. Первый означает готовность к работе, второй — считывание, третий — считывание завершено и можно убирать карту, а четвертый — результат считывания.

При оплате банковской картой в телефоне, как и при оплате обычной пластиковой картой, вас могут попросить ввести PIN-код (который можно получить по звонку в банк) или поставить подпись на чеке. Для покупок на сумму менее 1000 рублей ни PIN-код, ни подпись не потребуются.

Приложение «Кошелёк»

Приложение «Кошелёк» не является электронным кошельком или платежной системой, как скажем, многим известный Visa QIWI Wallet и аналоги. «Кошелёк» — это в первую очередь универсальный интерфейс к приложениям (картам) в Secure Element. Благодаря такому подходу, телефон становится «универсальной интерактивной пластиковой картой».

Основная роль приложения заключается в отображении выпущенных или доступных к выпуску карт и обеспечении канала связи между Secure Element и TSM. Также «Кошелёк» дает пользователю возможность интерактивно управлять картами, загруженными в Secure Element.

Приложение предустанавливается на совместимые телефоны на производстве или добавляется с обновлением программного обеспечения таких телефонов (на момент написания текста это HTC One, Philips W8555 и Philips Xenium W336, а в ближайшее время добавятся HTC One Dual SIM, HTC One Max, HTC One SV, HTC Desire 500 и HTC Desire 600). Другие модели и производители появятся позже.

Первая карта, которая доступна в «Кошельке» уже сегодня — предоплаченная банковская карта «ТКС Банка». «Предоплаченная» означает, что карта выпускается без заключения письменного договора с банком, не связана с вашими другими картами в банке, а также в соответствии с законодательством РФ имеет ограничения на одну операцию (не более 15 000 рублей) и общую сумму операций за месяц (не более 40 000 рублей). При выполнении заявки пользователя на выпуск, карта доставляется в телефон в среденем в течение 10 минут.

Банковская карта, загруженная в «Кошелёк», не является виртуальной, как бы нам не хотелось использовать этот термин для нематериальной карты. После персонализации и активации карта действитльно существует «физически» именно в телефоне и взаимодействует с терминалом на кассе в магазине также, как ее пластиковый прародитель, а банковский термин «виртуальная» используется для карт, предназначенных исключительно для платежей в интернете, и не подразумевает взаимодействия с физической инфраструктурой и множества прочих функций карточных продуктов.

Любая карта в любом телефоне

Платежные карты в телефон не переносятся, не привязываются и не дублируются, а именно выпускаются. Для выпуска карты поставщик услуги должен подключиться к TSM, а TSM должен иметь доступ к Secure Element. Поэтому на сегодня пока еще невозможно выпустить любую карту в любой телефон, но движение идет именно в этом направлении. Заинтересованность наблюдается у всех участников процесса: и производители телефонов, которым нужна новая интересная функциональность, и сотовые операторы, и поставщики услуг, которым нужна новая аудитория, и, главное, пользователи, уставшие от тяжести пластиковых карт в бумажнике. Выпускать карты в телефон скоро станет таким же привычным делом, как делать фотографии или браузить интернет.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: