Уважаемое британское издание Which? сообщило в среду об обнаружении уязвимости в защите бесконтактных банковских карт. По итогам эксперимента, авторам Which? удалось сделать в крупном британском интернет-магазине пару неавторизованных покупок, в том числе дорогого телевизора стоимостью в 3 тысячи фунтов.
Какое отношение эта история имеет к нашей жизни, спросите вы? Самое прямое. Посмотрите на ваши банковские карточки. Нет ли на них логотипа функции бесконтактной оплаты (четыре расширяющиеся дуги)?
У разных платежных систем эта опция называется по-разному — Visa payWave, MasterCard PayPass — но устроена схожим образом. Такие карты в последнее время выпускают практически все крупные российские банки, да и не только российские. В той же Великобритании бесконтактных карт эмитировано чуть меньше численности населения страны.
Бесконтактные карты используют стандарт NFC — это радиосвязь, работающая на расстоянии в несколько сантиметров. На том же семействе стандартов основаны бесконтактные проездные в транспорте и пропуска во многих офисных зданиях.
Платить бесконтактной картой очень удобно. На секунду подносишь карту к терминалу — и все, никаких PIN-кодов и подписей. Совместимых терминалов, по крайней, мере в Москве, очень много — я уже забыл, когда расплачивался в супермаркетах по-другому.
Конечно же, простота бесконтактной оплаты потребовала и хорошей многоуровневой защиты.
Первый ее слой — физический. Карту нужно поднести к терминалу оплаты вплотную, иначе она не сработает.
Второй слой — ограничение суммы транзакции. Бесконтактно без дополнительной верификации можно оплатить только небольшую покупку. Пороговую сумму определяет банк, в России это стандартно одна тысяча рублей. При превышении порога или попытке сделать несколько последовательных покупок сработает система защиты — вас попросят ввести PIN-код или расписаться на чеке.
Третий слой обороны — самый серьезный, криптографический. Бесконтактные карты защищены тем же стандартом EMV, что и обычные чиповые карты. Для подтверждения легитимности транзакции микросхема на карте каждый раз генерирует одноразовый код. Перехватить его можно, но бессмысленно — для следующей покупки он уже не подойдет.
В считывающем терминале записан криптоключ, который можно получить только в банке по договору на юридическое лицо. Таким образом, абы кто платежным терминалом не завладеет. А даже если завладеет, найти концы будет несложно.
Таким образом, получается, защита у бесконтактных транзакций очень серьезная.
Хорошо, а как же тогда Which? удалось купить телевизор?
Банально просто. На чипе бесконтактной карты в незашифрованном виде может храниться кое-какая информация. Часто это номер карты, срок ее действия и список последних операций.
Считать эти данные очень просто — никакие специальные банковские ридеры для этого не нужны. Достаточно обычного смартфона с поддержкой NFC — а таких на рынке сейчас каждый второй. На смартфон устанавливается бесплатная и вполне легальная программа, например, Banking card reader NFC (подходит для Android-устройств, можно скачать в сервисе Google Play).
То есть подносим смартфон к чужому кошельку и видим номер карты и срок ее действия. Теоретически этих данных должно быть недостаточно, чтобы украсть деньги через интернет — нужен еще трехзначный CVV2/CVC2-код (тот, что написан на обратной стороне карты), имя владельца и адрес. А нередко еще и потребуется дополнительный код двухфакторной аутентификации, который банк присылает на ваш телефон по SMS.
На практике, увы, многие интернет-магазины довольствуются только номером карты и сроком действия. Что собственно и продемонстрировали эксперты Which? своей покупкой телевизора. Имя и адрес клиента они ввели придуманные — прошло без проблем.
В принципе, не на всех бесконтактных картах номер и срок действия хранится в открытом доступе. Это решает банк-эмитент и платежная система. Авторы Which? протестировали десять карточек, и на всех данные удалось прочитать.
Но может это чисто британская проблема? И у наших российских карточек все в порядке? Увы, нет.
У меня в кошельке две бесконтактные карты — одна Visa и одна MasterCard. Разных банков, из первой двадцатки в национальных рейтингах. Обе прочитались без проблем.
Самое же интересное, что описанная Which? проблема совсем не нова. Эту проблему уже поднимали российские СМИ, почти год назад. И ничего с тех пор не изменилось: как хранилась информация на картах в открытом виде, так и хранится.
Получается, что формально в системе защиты бесконтактных карт уязвимости нет. А на практике — деньги украсть можно. Пусть для этого и придется хитрым образом извернуться.
Стоит ли бить тревогу? До сих пор ведь как-то жили с этим и вроде ничего.
Стоит. Если до сих пор подобных мошеннические схемы широко не использовались, это не значит, что так будет и впредь. Число преступлений с хищением данных банковских карт быстро растет, а их техника становится все более изощренной.
Так что не удивляйтесь, если завтра, после поездки в толкучке московской подземки, у вас с карты спишут деньги где-нибудь в Мексике. Конечно, такой платеж можно попытаться оспорить. И, возможно, после разбирательства банк вернет деньги. Но вам оно нужно?
Что же делать?
Проверить "читаемость" своей карты и требовать от банка перевыпуска с "закрытием" номера. Следить за сохранностью своего счета (подписка на SMS-уведомления). При первом подозрении писать заявление в банк. Или прятать карту куда-то поглубже, где ее не прочитать "случайно" прислоненным телефоном. Не фольгой же обматывать, в самом деле?