Карта в смартфоне. Можно ли доверить деньги гаджету?

22 июня 2017 Деньги  Нет комментариев

Популярность бесконтактных платежей в России стремительно набирает обороты. Согласно исследованию Visa, практически все держатели карт, которые поддерживают функцию NFC, уже активно используют оплату в одно касание. Вслед за проникновением бесконтактных платежей как таковых, развиваются и новые сервисы — возможность бесконтактной оплаты покупок с помощью телефонов. Сегодня в России привязать банковскую карту можно практически к любому современному смартфону. С осени 2016 года в стране работают платформы Samsung Pay и Apple Pay, а в мае и Google запустил Android Pay. Чтобы оплатить покупку, хозяину устройства нужно всего лишь поднести его к терминалу оплаты и ввести пароль или оставить отпечаток пальца на гаджете.

Благодаря простоте и удобству, сервисы стремительно набирают популярность во всем мире: только по Apple Pay число транзакций за первый квартал 2017 года выросло на 450% по сравнению с аналогичным периодом прошлого года. Ни Samsung Pay, ни Apple Pay не раскрывают количества пользователей своих мобильных систем, однако, судить о быстром росте можно по данным отдельных банков. Так, только в «ВТБ24» около 20 тысяч клиентов ВТБ24 «привязали» свои карты к Samsung Pay, 45 тысяч человек — к Apple Pay (данные за февраль). Объем платежей, осуществляемых через данные сервисы, превысил 800 млн рублей.

Некоторые эксперты придерживаются мнения о том, что эти платежные сервисы вскоре вовсе вытеснят с рынка пластиковые карты.

Так, по прогнозу Райффайзенбанка, в ближайшие годы количество транзакций через сервисы мобильных платежей в общем количестве операций будет стабильно расти, а доля клиентов, использующих гаджеты для оплаты, достигнет 30-40%.

По прогнозу замначальника управления финансами клиентов банка ВТБ24 Марии Саенко, к концу 2017 года оборот по картам банка через эти сервисы достигнет 10 млрд руб., а количество подключенных пользователей составит 200 000 человек.

Впрочем, все опрошенные нами эксперты отмечают, что развитие Apple Pay, Samsung Pay и Android Pay будет быстрым только при высокой степени доверия населения к этим сервисам, если безопасность платежей будет гарантирована.

Мы спросили у банкира и антивирусного эксперта, с какими рисками сталкивается клиент при использовании бесконтактных платежей.

Карта в телефоне — как это работает?
В основе защиты денежных средств в Apple Pay, Samsung Pay и Android Pay лежат токенизированные системы оплаты. При подключении карты к смартфону, ее данные не сохраняются на мобильном устройстве и не передаются магазину. Вместо этого формируется специальный токен — уникальный код, привязанный к карте и конкретному устройству. Он хранится на отдельном чипе и используется в качестве платежной информации при совершении покупки.

Это удобно и безопасно: ни магазин, ни мошенники, теоретически способные перехватить транзакцию, не получают доступ к реальным данным банковской карты — они могут узнать только уникальный токен, объясняет Денис Горчаков, руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention.Теоретически, этот код не может быть использован в отрыве от определенного устройства, и даже если мобильный телефон будет украден, мошенники не смогут инициировать оплату без подтверждения отпечатком пальца или пин-кодом.

Стоит отметить, что платформу Samsung Pay отличает то, что она может использовать не только технологию NFC (бесконтактной оплаты), но и MST — Magnetic Secure Transmission (магнитная безопасная передача). Она дает пользователю возможность платить в любых терминалах, которые работают с магнитной полосой карты. Надежность при этом обеспечивается несколькими факторами: для хранения данных используется аппаратный чип (Secure Element), активация платежного режима запускается по пин-коду или отпечатку пальца, на устройствах установлено встроенное решение безопасности KNOX и базовый антивирус. К тому же платежная функциональность доступна только на новых и поддерживаемых обновлениями безопасности устройствах, на которых оперативно закрываются все уязвимости.

В чем опасность?
Если все работает так, как описывают создатели платформ Apple Pay, Samsung Pay и Android Pay, то каковы же риски?

Риск №1. Кража телефона

Основная опасность кроется в утере или краже телефона. Если злоумышленнику удастся получить доступ к системе, вред, который может быть нанесен пользователю, будет сравним с кражей бумажника с картами и с запиской с пин-кодами внутри него: деньги могут быть украдены с помощью перевода на чужой счет, например, или потрачены в ближайшем магазине. Но получить доступ к мобильной банковской карте, привязанной к смартфону, не так-то просто. Это возможно в двух случаях:

Чтобы избежать второго варианта, единственная рекомендация для владельцев: стараться не вводить пароль у всех на виду (как и при стандартной оплате банковской картой) и, естественно, не записывать его в доступных местах (на бумажке в бумажнике и т.п.).

Получается, что физический взлом систем Samsung Pay, Apple Pay и Android Pay почти невозможен, особенно, если в качестве защиты вы выбрали ввод отпечатка пальца. Но не стоит забывать и о других опасностях.

Риск №2. Комбинация традиционного мошенничества и новых технологий

Технологии Apple Pay, Samsung Pay и Android Pay фактически делают телефон картой оплаты, поэтому пользователи могут столкнуться с традиционными видами мошенничества в этой сфере. Например, карту могут украсть физически или с помощью программ-зловредов, собирающих данные, а использовать ее злоумышленники будут, привязав к своему телефону.

«Бесконтактные платежи в онлайн-торговле и в обычных магазинах значительно облегчили работу кардеров. Привязав данные украденной карты к телефону премиум-класса, они могут приобретать товары в магазинах, вызывая намного меньше подозрений», — рассказывает Денис Горчаков.

Кроме того, плохую службу может сослужить и история операций, которая может стать доступной карточным ворам.

Знание остатка по счету грозит тем, что злоумышленники могут предельно точно определить сумму мошеннической операции. Это знание важно, когда карту крадут физически и пытаются ей оплатить какую-то покупку. Например, воришка, решил купить по чужой карте товаров на 5 000 рублей, а остаток на карте всего 4900. Это может спасти владельца карты: он получает смс об отказе в операции и сможет оперативно заблокировать карту.

Риск №3. Хакерская атака

При хакерской атаке злоумышленникам не нужны ни ваша карта, ни телефон. По словам экспертов в области предотвращения киберпреступлений, технологии бесконтактных платежей с помощью смартфонов пристально изучаются экспертами по информационной безопасности с момента их публичного анонса. Еще летом 2016 года на конференции BlackHat в США были выделены возможные угрозы.

Пока это скорее потенциальные, чем реально существующие риски. Однако злоумышленники тоже не дремлют и активно исследуют новые технологии. Как рассказали нам в «Лаборатории Касперского», сейчас уже есть способы обхода защиты Samsung Knox, позволяющие разблокировать права суперпользователя и при этом спокойно совершать платежи. Это открывает потенциальную возможность для эксплуатации существующих атак на беспроводные платежи со смартфонов типа NFC Relay и аналогичных.

Чтобы обезопасить себя, эксперты советуют не привязывать все карты к смартфону.

По мнению банкиров, именно опасения клиентов мешают системам бесконтактных платежей расширить свое влияние на рынке. Однако большинство угроз пока остаются лишь потенциальными, а «все крупные банки очень много сил и средств тратят на современные средства защиты информации, сведя вероятность мошеннических операций к минимуму», заключает Виталий Милованов.

Читайте также