Думаете, что ограничение в £30 (в России — 1000 рублей) на бесконтактные платежи защитит вас от крупных краж? Подумайте еще.
Эксперты британской компании Positive Technologies, занимающейся вопросами кибербезопасности, нашли способ обойти ограничение на картах Visa. Этот способ позволяет злоумышленникам снимать средства со счета одним движением руки. Вдобавок ко всему для этого даже не нужна сама карта.
Мошенники могут, к примеру, считать платеж с карты собственным мобильным терминалом, когда владелец отвернулся. Хуже того — считать платеж можно даже мобильным телефоном, переслать данные на другое устройство и провести платеж уже с него без каких-либо ограничений. Чтобы схема сработала, злоумышленникам нужно просто находиться рядом с жертвой.
Для того, чтобы воспроизвести мошенническую схему, исследователи из Positive Technologies использовали аппарат для перехвата и замены сообщений в канале связи между картой и считывающим устройством. Например, они смогли «убедить» карту в том, что PIN-код не нужен, хотя сумма транзакции превышала £30, а затем сообщили терминалу, что верификация уже проведена другим способом.
При мошенничестве с двумя мобильными телефонами один телефон использовался для сбора данных карты, второй — ненадолго «клонировал» карту. Первое устройство собирает с карты так называемую криптограмму платежа, которая фактически является подписью, гарантирующей действительность будущих платежей. Криптограмма отправляется на второй телефон, который затем симулирует карту и сам процесс оплаты. Потом злоумышленники могут повторять операцию бесконечно, воспроизводя атаку с перехватом, как описано ранее.
Сотрудники Positive Technologies Ли-Энн Галлоуэй и Тим Юнусов попробовали воспроизвести трюк на личной карте Visa корреспондента Forbes. Они провели три платежа по £31. На своих собственных картах они сделали бесконтактные платежи на сумму £101. Галлоуэй отмечает, что мошенники могут украсть намного больше, доходя до сотен и тысяч.
Специалисты пока выясняют, работает ли эта схема где-то еще, но Галлоуэй утверждает, что одной Великобританией дело не ограничивается. Лимиты, конечно, везде разные. Например, в США ограничение составляет $100.
Обновлять свои системы для пресечения махинаций Visa не планирует. По мнению финансового гиганта, трюк вряд ли можно проделывать в реальной жизни, ведь злоумышленникам необходимо иметь карту на руках, а такое происходит нечасто. Галлоуэй не согласна с тем, что карту обязательно красть. Как было показано в ходе испытания, злоумышленнику нужно лишь ненадолго близко подобраться к карте жертвы и считать платеж.
Представитель Visa заверяет, что с 2017 по 2018 год доля мошеннических операций с бесконтактными платежами во всем мире сократилась на 33%, а в Европе — на 40%. Однако данные банковской ассоциации UK Finance говорят о том, что в 2018 году убытки клиентов от махинаций с бесконтактными платежами составили £19,5 млн, а в 2017-м было украдено £14 млн. UK Finance отмечает, что это довольно немного, учитывая, что общий объем бесконтактных платежей в Великобритании составил £69 млрд в 2018 году.
Стивен Риджвей, сооснователь и технический директор стартапа th4ts3cur1ty.company, занимающегося разработками в сфере кибербезопасности, заявляет, что пресечь атаки, описанные Positive Technologies, на техническом уровне крайне проблематично: «Быстрого решения в данной ситуации может и не быть, даже если поставщик платежных услуг делает проверку операций на сумму свыше £30 обязательной».
Что касается клиентов, то крайне важно держать свою карту в безопасном месте. Для тех, кто боится, что их карту смогут считать сквозь кошелек, в продаже есть специальные непроницаемые подложки. Как недорогое решение Риджвей также упомянул чехлы для телефонов, потому что они тоже имеют подобную защиту. А еще полезно просматривать ленту операций, чтобы выявлять подозрительные транзакции, не дожидаясь сообщений от банка.
Улучшить положение дел может совершенствование финансовой безопасности и новые правила работы банков. По словам Риджвея, как только бесконтактные платежи станут повсеместными, вполне вероятно, что поставщики платежных услуг быстро найдут способ распознавать подозрительные операции и блокировать их. Спасением могут стать и грядущие изменения в европейском законодательстве. С сентября 2019 года европейские банки должны будут обязаны требовать PIN-код после того, что как общая сумма бесконтактных платежей за последние пять бесконтактных транзакций в один день превысит £130
Источник www.forbes.ru