Обновление 1.04.2022
Бесконтактные банковские NFC карты позволяют расплачиваться за осуществленную покупку без контакта платежной карточки с терминалом: не нужно ничего никуда засовывать, вспоминать PIN-код, подписывать чеки плохо пишущей ручкой, не нужно отсчитывать купюры и копаться по карманам в поисках мелочи.
Продавцам NFC карты тоже нравятся, поскольку позволяют ускорить процесс оплаты и увеличить таким образом пропускную способность кассы.
Бесконтактные банковские карты используют для передачи данных технологию NFC: на карте размещены чип и антенна, которые «откликаются» на запрос платежного терминала на радиочастоте 13,56 МГц.
Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было... Или я таких не нашёл.
Но есть одна деталь. В стандартной реализации защита чиповых банковских карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала.
Сделать терминал, который будет считывать данные карты «из кармана» клиента возможно. Но этот терминал должен иметь криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Что тоже получить не просто.
Бесконтактные банковские NFC карты позволяют расплачиваться за осуществленную покупку без контакта платежной карточки с терминалом: не нужно ничего никуда засовывать, вспоминать PIN-код, подписывать чеки плохо пишущей ручкой, не нужно отсчитывать купюры и копаться по карманам в поисках мелочи.
Продавцам NFC карты тоже нравятся, поскольку позволяют ускорить процесс оплаты и увеличить таким образом пропускную способность кассы.
Расстояние, на котором срабатывают бесконтактные банковские NFC карты
Бесконтактные банковские карты используют для передачи данных технологию NFC: на карте размещены чип и антенна, которые «откликаются» на запрос платежного терминала на радиочастоте 13,56 МГц.
Разные платежные системы используют собственные стандарты: Visa payWave, MasterCard PayPass, American Express ExpressPay и так далее. Но устроены они похожим образом.
Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты - физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.
Зато можно сделать нестандартный ридер, который работает на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного сканера. Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и тому подобных местах скопления людей.
Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты - физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.
Можно обойтись и без ридера. На конференции Hack In The Box испанские хакеры Рикардо Родригес и Хосе Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала.
Как только зараженный телефон оказывается возле бесконтактной карты (смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке), он отправляет через Интернет злоумышленникам сигнал о доступности транзакции. Мошенники активируют обычный платежный терминал, подносят к нему свой NFC-смартфон. Таким образом создается «мост» через Интернет между NFC-карточкой и NFC-терминалом, удаленными друг от друга на любое расстояние.
Троянец может распространяться стандартным способом, например в комплекте со «взломанным» платным приложением.
Криптографическая защита бесконтактные банковские NFC карты
Бесконтактные транзакции защищены стандартом EMV (тем же что и банковские карты с чипом). В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было... Или я таких не нашёл.
Сделать терминал, который будет считывать данные карты «из кармана» клиента возможно. Но этот терминал должен иметь криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Что тоже получить не просто.
Ограничение максимальной суммы бесконтактной транзакции бесконтактных банковских NFC карт
Есть еще один уровень защиты - ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем (т.е. любой банк может сделать свой лимит для бесконтактной оплаты).В России рекомендации платежных систем ограничивает максимальный порог платежа:
- для платёжной системы Visa - 3000 рублей.
- для платёжной системы Mastercard - 5000 рублей
- для платёжной системы Мир - 3000 рублей.
Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка-эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты.
Но команда британских исследователей из Университета Ньюкасла, в 2014 что ли году, сообщала, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.
Как с этим сейчас - не знаю.
Данные с бесконтактных банковских NFC карт
Через NFC можно узнать информацию о банковской карте: стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение... А потом оплатить покупки.
К примеру, британское издание для потребителей «Which?» с помощью доступного NFC-ридера и бесплатного ПО декодировали номер и дату истечения срока действия для всех тестируемых десяти карт. И сделали заказ в магазине по этой карте. Возможность такого заказа связано с тем, что не все магазины требуют CVV-код карты.
В общем мое мнение такое. Использование бесконтактных банковских NFC карт более-менее безопасно (как и обычных карт). Самое плохой вариант - если у вас украдут данную карту. Тогда ничего не помешает снимать деньги... Даже если это будут не мошенники/воры а друг, жена/муж, ребенок... В общем, если речь не идет о злом умысле, как в случае ребенка... (хоть за картами нужен постоянный присмотр, но чего в жизни не бывает)
Немного про защиту NFC карт напишу ниже.
Защита бесконтактных банковских NFC карт
Мне в голову приходят следующие варианты защиты бесконтактных карт от несанкционированного списания:- экранирующий чехол/кейс/кошелек... Говорят что даже можно сделать самому из фольги.
- две бесконтактных карты рядом в кошельке или бумажнике
Попадалась информация, что в этом случае карты могут звенеть на рамках в супермаркетах, как будто метки на товаре. Кончено не всегда. В этом случае помогает положить карточку другой стороной.
- суточный лимит
- подключение СМС уведомления об снятии средств (что бы вы успели заблокировать карту при списании)
Как предотвратить мошенничество с банковской картой (дебетовой и кредитной) написано отдельно.
Обновление 20.04.2019
ОтветитьУдалитьПродублирую сюда. "С 13 апреля 2019 Visa увеличила такие платежи до 3000 рублей". Говорят, что переход будет постепенный.
Про другие платёжные системы сейчас у меня нет информации. Если поделитесь - буду рад.