446
Хищение средств с бесконтактных карт – очередной фейк или...? Мнение эксперта
В качестве целей таких атак были почем-то названы карты Visa payWave (можно подумать, что мошенники, которые захотят последовать лабораторным опытам Positive Technologies, испытывают стойкое отвращение к картам иных платежных систем). Портал PLUSworld.ru счел необходимым вновь выступить с разоблачением очередной фейк-ньюс.
По информации Forbes, эксперты компании тестовым путем установили, что злоумышленники могут осуществить несанкционированный перевод с карты с помощью собственного бесконтактного POS-терминала. Все что для этого нужно, по их словам – это находиться рядом с жертвой.
Нетрудно догадаться, что мы имеем дело с еще одним «около лабораторным» экспериментом с целым набором тщательно подобранных заранее необходимых для «успешного» результата условий, которые в реальности трудно найти – комментирует порталу PLUSworld.ru Алексей Голенищев, директор по мониторингу операций и диспутам Альфа-Банка. К тому же даже идеальные условия не дают гарантии, что описанная схема сработает.
По мнению А. Голенищева, совершенно безосновательным является утверждение Forbes, что описанная схема возможна только с картами Visa: «Форматы и протоколы работы бесконтактных карт разных международных систем принципиально не различаются». Однако гипотетически возможности для совершения мошеннических операций по бесконтактным картам все же имеют место быть, считает эксперт.
«При использовании каких-либо очень старых версий бесконтактных чипов и терминалов с описанными в статье Forbes алгоритмами работы условия для мошеннических операций гипотетически могут возникнуть. Также много зависит от настроек хоста банка-эквайрера в плане корректной отработки получаемых от терминала данных совершаемой операции. Более того, очевидно, что в данном «эксперименте» участвовали карты с SDA (Static Data Authentication) чипом, эмиссия которых в настоящее время запрещена международными платежными системами», – уточнил А. Голенищев.«В настоящий момент на рынке присутствует огромное множество платежных терминалов разных производителей, разных моделей и разных функционалов – они могут по-разному отрабатывать одни и те же сценарии», – подчеркнул эксперт. – Также есть и разные версии чипов и приложений, варианты их функциональной персонализации, настройки, поддержки различных методов аутентификации операций и прочих операционно-технологических нюансов»
Кроме того, необходимо учитывать еще один момент, который почему-то забывается при раздутии очередной волны хайпа вокруг «неожиданно обнаруженных уязвимостей бесконтактных карт». Данная публикация перекликается с ранее обсуждаемой на наших страницах темой с возможностью совершения мошеннических операций по бесконтактным картам на долимитные суммы, для которых не нужен ввод ПИН-кода. Якобы мошенники «трутся» с бесконтактными терминалами в общественном транспорте возле сумок и кошельков с картами и таким образом похищают средства. Даже при идеальных «условиях» в обоих случаях платежный терминал должен быть легально зарегистрирован и оформлен в банке-эквайрере с соответствующими проверками, договором и т. д., что делает возможность «обналичивания» похищенных средств не такой простой задачей. А найти в торгово-сервисной сети терминал, идеально подходящий для воспроизведения описанной Forbes модели хищения и совершения мошеннической покупки чего бы то ни было – без инсайда практически нереально, да и SD-карт становится все меньше за счет вывода их из оборота.
По материалам PLUSworld.ru
