Фейк-news. Сказки о том, как украсть деньги с бесконтактной карты. Мнимая угроза 2
Схема описывалась следующая: преступник подходит к пассажиру, незаметно прислоняет имеющийся у него POS-терминал к карману жертвы, и в одно касание списывает с лежащей там бесконтактной карты деньги. Порталу PLUSworld.ru неоднократно приходилось опровергать подобные «разоблачения». Но раз авторы «сенсации» проявляют редкое упорство, второй год подряд обращаясь к подобной выдумке, проявим упорство и мы. Внешние эксперты портала PLUSworld.ru вновь собрались вместе на виртуальном круглом столе, чтобы опровергнуть фейковые слухи, а также объяснить, почему пользователям не стоит опасаться данного вида мошенничества. А так же обсудили, к чему в итоге может привести распространение подобной заведомо ложной информации. Игорь Голдовский, Член Правления, директор Департамента инноваций / Главный архитектор «НСПК»:
«Для того, чтобы мошенник с бесконтактным POS-терминалом реального торгового предприятия мог несанкционированно списать средства по чужой бесконтактной карте, ему нужно поднести этот терминал к карте на расстояние не более 4 сантиметров и выполнить операцию на сумму до 1000 рублей. Операции на суммы более 1000 рублей не могут быть совершены без участия держателя бесконтактной карты. При этом ТСП должно быть мошенническим (ведь деньги за POS-терминальную операцию переводятся на счет магазина). Все эти обстоятельства делают обсуждаемую гипотетическую атаку малопривлекательной для мошенников в экономическом плане. Кроме того, банки и платежные системы имеют возможность достаточно оперативно определить торговую точку, в которой были проведены мошеннические операции, и передать информацию в правоохранительные органы. Кстати, если у человека в бумажнике находятся сразу две бесконтактные банковские карты, то списать средства с них при помощи терминала не получится даже на близком расстоянии».
Эвелина Нечипоренко, Директор департамента управления рисками Visa в России:
«Сейчас можно увидеть различные видео, где демонстрируется снятие средств с бесконтактной карты пользователя без ведома законного держателя. На практике мы не получали сообщений о случаях мошенничества такого рода. Представленные в подобных роликах сценарии крайне маловероятны и экономически не выгодны для мошенников по ряду причин. Во-первых, мошеннику необходимо точно знать, где хранится бесконтактная карта – в кошельке, сумке, кармане и т.д. Во-вторых, банк-эмитент, как правило, отклоняет многочисленные бесконтактные платежи с одного терминала по одной карте без PIN-кода в течение небольшого промежутка времени, или просит ввести PIN-код. В-третьих, платежный терминал может одновременно взаимодействовать только с одной картой, значит считывание данных сразу с нескольких бесконтактных карт невозможно. Если речь идет об использовании так называемого NFC-сканера, то в случае успеха с его помощью можно получить только номер карты и дату истечения срока ее действия. Эту информацию можно использовать только для совершения платежей на небезопасных интернет-сайтах, на которых у держателя карты для подтверждения платежа не запрашивается CVV2 код, напечатанный на обратной стороне карты, и пароль 3-D Secure, который банк присылает пользователю на мобильный телефон. В этом случае обеспечение финансовых обязательств по транзакции ложится на банк-эквайрер, а банк, выпустивший карту, будет иметь все основания для отклонения такой транзакции, или для оспаривания платежа в случае его одобрения. Кроме того, банк направляет держателю карты SMS-оповещения о транзакциях по счету, а размер платежа по бесконтактной карте без PIN-кода ограничен суммой в 1 тысячу рублей. Такие суммы не покроют затраты мошенников на всю схему (покупку POS-терминалов, открытие счета в банке, «зарплата» исполнителям с POS-терминалами)».
Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банк:
«Такие вопросы частично связаны с относительной новизной технологии и отсутствием популярной информации, а также надуманным и необоснованным негативом, порой транслируемым в TV и интернете. Якобы в общественном транспорте ходят мошенники с бесконтактными терминалами и списывают незаметно с бесконтактных карт клиентов суммы до 1000 руб. Это очень гипотетический вариант. Технологически возможный, но практически мало осуществимый. Для того чтобы таким образом "списать" с клиента деньги, терминал должен быть официально, с заключением соответствующего договора, зарегистрирован в банке, где открыт счет «Компании». Учитывая, что бесконтактная карта лежит в кошельке (сумке /кармане), контакт с терминалом должен быть максимально близким и определенной длительности, мошеннику, который не знает точно, где лежит карта, осуществить незаметно такой контакт практически невозможно. Тем более что результат успешного контакта и обмена данными терминала с картой нужно видеть на экране терминала, что тоже трудно представить, как это будет «незаметно» делать мошенник в людном месте. Также, перед каждой попыткой «списания» терминал нужно переводить вручную в режим оплаты, а после 2-х минут неуспешного «ожидания» он автоматически переходит в неактивный режим. Практических случаев взлома бесконтактных чипов (да и контактных) нет».
Николай Пятиизбянцев, независимый эксперт:
«Теоретически такая атака возможна. Можно рассмотреть два сценария. Мошенник заключает договор с банком на эквайринговое обслуживание, берет терминал, поддерживающий бесконтактные карты и катается с ним в метро. Однако, как только поступят жалобы от держателей карт, банк-эквайрер быстро установит мошенника. При этом одна операция по карте должна быть менее 1 тысячи рублей, чтобы не вводить PIN-код. Второй сценарий подразумевает использование технологии радиоудлинения (relay атака). Изготавливается фальшивый считыватель карты (дальность считывания увеличивается до 50 см), вся информация с которого передается в реальном времени на фальшивую карту. Она в свою очередь подносится к настоящему считывателю (т.е. торговое предприятие не состоит в сговоре с преступником). Если мошенник при этом подсмотрел PIN-код, то сумма операции может быть больше 1 тысячи рублей. То есть мошенничество будет либо достаточно сложным, либо быстро выявляемым с установлением подозреваемого. При этом защита от несанкционированного считывания карты очень простая – даже размещение вместе двух бесконтактных карт может помешать атаке. В настоящий момент такие способы мошенничества можно рассматривать лишь чисто теоретически, поскольку настоящими мошенниками они не используются. А люди в метро с терминалами – это, скорее всего, курьеры, которые осуществляют доставку товара и принимают оплату по банковским картам».
Максим Кургаев, директор по маркетингу Ingenico LLC:
«Основная слабость данных «баек» в том, что наше население в основной своей массе неграмотно и думает, что деньги кладутся на карту «физически» и терминал их может украсть тоже физически куда-то к себе внутрь. А такие тонкости, что терминал должен быть привязан к банку-эквайреру, и, если мошенник все-таки решил таким образом украсть деньги, можно быстро выяснить, куда они ушли – простому телезрителю мало интересны. То есть, такое мошенничество возможно до первой претензии, потом терминал заблокируют с сервера банка».
Александр Вураско, специалист Dr WEB:
«В жизни подобная схема крайне маловероятна. Во-первых, купить POS-терминал недостаточно. Сам по себе он является бесполезным устройством, если не подключен к банку-эквайреру. То есть потенциальным злоумышленникам требуется зарегистрировать юрлицо, причем сделать это придется через подставных лиц, иначе использование такого POS-терминала будет равносильно потере паспорта прямо на месте преступления. Во-вторых, злоумышленнику необходимо поднести POS-терминал на максимально близкое расстояние к банковской карте потенциальной жертвы. Но, ее точное местонахождение мошеннику неизвестно. Кроме того, карта может лежать в кошельке вместе с другими бесконтактными картами, что делает невозможным ее считывание. В-третьих, в России лимит на транзакцию без ввода PIN-кода по умолчанию равен 1000 рублей, причем злоумышленнику не удастся провести операцию несколько раз подряд, потому что как минимум это вызовет необходимость подтверждения транзакции PIN-кодом, а как максимум – срабатывание антифрод-системы банка. Поэтому сценарий, в ходе которого злоумышленник, сидя в трамвае, методично опустошает банковский счет рядом стоящего пассажира, видится совершенно фантастическим. Себестоимость подобного хищения крайне высока, как, впрочем, и риски, в то время как доходность – весьма сомнительна. Преступный мир также подчиняется законам рыночной экономики, а это означает, что никто не будет заниматься дорогим, опасным и низкодоходным делом, когда вокруг имеется масса других вариантов».
Елена Воробьева, ВТБ:
««Городская легенда» о мошенниках, которые перемещаются общественным транспортом с терминалами и бесконтактным образом воруют средства с кошельков граждан, всего лишь миф и не более того. Платежный терминал это не просто устройство, способное списать средства с карты клиента. За ним стоит торгово-сервисное предприятие, заключившее договор с финансовой организацией, и реальные расчеты, которые осуществляются на основании договорных отношений между участниками – ТСП (держателем терминала) и банком (обеспечивающим работу устройства и последующие расчеты). Безусловно, такая конструкция не позволяет проводить взаиморасчеты без соответствующей идентификации ТСП перед началом его обслуживания. Если предположить, что сегодня такое ТСП-злоумышленник появится, то уже завтра его счета будут заблокированы, а средства возвращены пострадавшим клиентам. Между банками выстроен процесс оперативного взаимодействия, поэтому факт попытки хищения средств с карты клиента может быть известен еще до того, как деньги дойдут до счета злоумышленника. При этом, все же есть одна распространенная мошенническая схема, при которой злоумышленник получает доступ к платежной карте владельца и осуществляет последующие списания с использованием бесконтактных технологий. Происходит это когда мошенник любым доступным ему способом «выпытывает у жертвы» сведения о платежной карте и одноразовых паролях (например, представившись по телефону сотрудником безопасности банка), что позволяет ему «привязать» карту к своему мобильному телефону (выпустить токен), после чего он может беспрепятственно проводить операции в торгово-сервисных предприятиях. В данном случае остаётся лишь в очередной раз порекомендовать законному держателю карты соблюдать элементарные меры предосторожности – не разглашать информацию об одноразовых паролях, CVC/CVV кодах никому и ни при каких обстоятельствах, а при появлении любых сомнений позвонить самому в банк по телефону, указанному на карте и проконсультироваться у специалиста».
Бесконтактная кража с бесконтактной карты? Доброе утро. Фрагмент выпуска от 13.09.2018
По материалам PLUSworld.ru