Чи можуть вкрасти гроші з вашої карти у вагоні метро думки експертів
Олег Горобець, співробітник "Лабораторії Касперського", за повідомленням на Facebook, зустрів у московському метро підозрілого чоловіка із терміналом оплати в руці
Як припустив представник антивірусної компанії, людина могла знімати у пасажирів гроші з безконтактних банківських карток прямо у вагоні, просто "потерявшись" пристроєм про кишеню або сумку. "Щойно зустрів мужика, озброєного ось цим у поїзді метро. Ага, без палева так. Був схвильований. Ще один сенс зберігати карти PayPass в безпечному місці, краще екранованому", йдеться в повідомленні.
Ця публікація викликала безліч відгуків користувачів мережі. Хтось припустив, що це кур'єр, що їде до замовника, інші впевнені, що подібна крадіжка є реальною. Експерти, опитані Metro, пояснюють ситуацію.
Сергій Нікітін, заступник керівника Лабораторії комп'ютерної криміналістики Group-IB
– Крадіжка грошей за допомогою технологій бездротової оплати PayPass та PayWave давно розбурхує різні конференції, присвячені інформаційній безпеці. Однак при цьому чомусь відсутні шокуючі новини у ЗМІ: "У пасажирів одного вагона метрополітену вкрали гроші з банківських карток". Адже це дуже привабливо - зробити потужний підсилювач сигналу і їздити в годину пік по кільцевій гілці. А вся річ у самій технології безконтактної оплати через платіжну систему. Проблема полягає в тому, що такі платежі безготівкові, а отримати якісь реальні гроші просто не можна. Так, за допомогою терміналу або певної радіовудки можна здійснити оплату від імені власника картки. Для кожної покупки треба буде підносити апарат до карти ще раз, тобто зробити копію карти за допомогою радіо - не можна. Ітут вийде проблема. Якщо ми намагаємося вкрасти гроші, просто "подовживши" радіотракт (як автовикрадачі), то нам треба знаходитися поряд із власником картки та справжнім терміналом, у якому ми хочемо щось купити. А це дуже рідкісна ситуація. Хакер і жертва повинні перебувати поряд на сусідніх касах, при цьому жертва побачить два смс-повідомлення і одразу почне розбиратися, що до чого. Якщо ж говорити просто про оплату, то для отримання терміналу треба пройти безліч перевірок від банку, і якщо на цей термінал буде багато "фрода" (повідомлень про шахрайські дії), власнику терміналу доведеться давати безліч пояснень як банку та платіжній системі, так і поліції. .
- Таким чином, вкрасти гроші звичайно можна, а якщо точніше, купити від вашого імені щось на невелику суму (зазвичай не більше 5000 рублів), проте сенсу в цьому немає. Перевести в готівку гроші без розкриття терміналу не вийде, а купувати щось на справжньому терміналі через "вудку" занадто складно і небезпечно для злочинця. Саме тому незважаючи на потенційну можливість розкрадання, жодних реальних повідомлень про них не надходить. Артем Баранов, провідний вірусний аналітик ESET Russia
– Загалом схема не виглядає правдоподібною. Якщо зловмисник справді намагається знімати гроші з чужих карток за допомогою цього терміналу, навряд чи він може розраховувати на великі суми. По-перше, для транзакції відстань між пристроєм і карткою не повинна перевищувати 2 см. Якщо банківська карта лежить у гаманці або задній кишені, пристрій не зможе до неї підключитися. По-друге, більшість банків встановлює ліміти на зняття коштів за допомогою безконтактних платежів, допустима до списання сума порівняно невелика. По-третє, у великих банках передбачено системуантифродингової безпеки, що дозволяє швидко виявити нелегітимну транзакцію.
– Існує хибна думка про те, що банківські картки з активною функцією безконтактної оплати менше захищені від зловмисників, ніж аналоги з контактною функцією оплати. Насправді, це не зовсім так. При безконтактній оплаті вам не доводиться вставляти картку в банкомат або POS-термінал, що є ще одним фактором ризику. Банкомати можуть бути оснащені спеціальними пристроями – скіммерами та накладними клавіатурами, призначеними для крадіжки даних картки, а POS-термінали можуть бути заражені шкідливими програмами, деякі з яких набули вже великого поширення. Навпаки, для безконтактної карти така ситуація виключена, оскільки власнику не потрібно вставляти її в будь-який пристрій зчитування, вона знаходиться в руках. Крім цього, чіп карти, що забезпечує безконтактну оплату, не зберігає ім'я власника картки, її номера або секретного коду, тобто зловмисник не зможе отримати ці дані. Безконтактні транзакції, що проводяться, піддаються шифруванню, що забезпечує захист від крадіжки даних.