Одного касания достаточно
По большей части карт, имеющих бесконтактный интерфейс, можно совершать платежи «в одно касание», то есть не подтверждая личность владельца. При этом сумму транзакции ограничивает максимальный размер среднестатистической покупки. сделанной человеком "по ходу", когда время, которое он затрачивает на операцию является приоритетным. Но, по сути, для этого и создавалась данная технология, разработанная в качестве альтернативы расчетам наличными деньгами.
В российских банках, как правило, это планка определена 1 тыс. рублей. Если оценивать с позиции рисков, то сумма не столь значительна, но вряд ли и с ней кто-то готов с легкостью расстаться по собственной неосторожности. «Плохие парни», прячущие терминалы в карманах брюк, должны потратить много усилий, чтобы их задумки стали реальностью.
Мошенники проявляют повышенный интерес к сценарию, предполагающем совершение онлайн-транзакции по карте без ведома держателя карты. и, конечно, многие мошенники предпочли бы обычную задачу на POS-терминале определенной суммы и находиться ближе к не подозревающему подвоха владельцу карты. В этом случае деньги бы просто "упали" с одного счета на другой, что. собственно, и демонстрируется в нашумевших в последние дни телевизионных сюжетах. Но в действительности все не так просто, и сегодняшним продвинутым мошенникам нужно потратить немало сил, чтобы у них получилось все задуманное. Разумеется, если для них главное - в прибыли, а не в спецэффектах.
Ведь чтобы реализовать подобную мошенническую схему, нужно подключить терминал к платежной системе через банк-эквайер, зарегистрировать организацию как мерчант - всё это связано с множеством процедур бюрократического толка. С учетом всего этого, становится понятно, что на мошенничество могли бы очень быстро обратить внимание, в итоге все закончилось бы исключением неблагонадежного элемента из платежной цепочки в очень короткие сроки. Нелишне сказать также, что карты с технологией PayPass пока не получили широкого распространения, а потенциальные риски по ним уже весьма высоки, и все же надо быть распоследним романтиком, чтобы рассчитывать на получение большого куша.
Но все-таки владельцам карт с PayPass не рекомендуется терять бдительность, ведь находчивые мошенники не поленятся разобрать новую технологию буквально на атомы, чтобы достичь успеха в поисках легкой и быстрой наживы. Не менее важно помнить о некоторых особенностях работы бесконтактных платежных карт, потенциально их могут использовать третьи лица, чтобы извлечь выгоду. Сегодня процесс считывания информации на расстоянии как никогда прост: установка мобильного приложения требует нескольких касаний экрана.
Хватит быстро посмотреть на спецификацию протокола MasterCard PayPass, чтобы отметить, что еще при инициализации транзакции терминал получает от карты сведения, которые понадобятся для совершения остальных операций, в данном случае речь о PAN (номере) и дате, когда закончится срок обслуживания карты. Если учесть, что основа технологии - популярный стандарт ISO/IEC 14443, используемый повсеместно, в т.ч. и для платежных систем, технически отсутствуют какие-либо препятствия, чтобы извлечь эту информацию, имея любой совместимый считыватель, которым может стать, допустим, смартфон с интерфейсом NFC (Near Field Communication — расширение ISO/IEC 14443). Как уже было сказано выше, сегодня считать нужную информацию на расстоянии несложно: достаточно несколько раз прикоснуться к экрану для установки нужного мобильного приложения, и у вас в руках появится устройство, которое поможет получить заветные данные. А уж как использоваться — решает обладатель. С учетом конфигурации и в отсутствие аутентификации, карта может предоставить историю транзакций вместе с данными о дате, сумме и валюте, в которой они были проведены. Имея эти данные, составление примерного профиля владельца и предположение текущего остатка по счету не составит труда. А информации о PAN и expiration date (с учетом некоторых допущений или ошибок конфигураций конкретных реализаций платежных систем), может хватить, чтобы успешно провести транзакцию типа Card Not Present через интернет, где лимиты значительно превышают стоимость заправки одной машины.
По словам некоторых экспертов, информация, извлеченная с применением разных устройств с карт, которые поддерживают бесконтактную оплату, может быть использована даже для того, чтобы создать карты-клоны, имеющих магнитную полосу. И несмотря на то, что в наши дни такой поворот событий многие воспримут как нечто фантастическое, будущее может изменить очень многое в жизни. Впрочем, уже сегодня компании, производящие аксессуары радостно предсказывают рост спроса на кардхолдеры и кошельки, в качестве защиты имеющие специальное покрытие, предотвращающее возможность считывания конфиденциальной информации с карт, работающих по технологии PayPass.
