Опасность мобильных платежей
Современные технологии - не надежная защита для мобильных платежей.
У пользователей последних моделей смартфонов карманы облегчаются в прямом и переносном значении – их стоимость немаленькая и, похоже, они постепенно становятся для своих владельцев кошельками. Многие пользуются мобильным банком в смартфонах - это давно никого не удивляет, а вот возможность оплачивать покупки посредством прикосновения гаджета к терминалу (технологии Apple Pay и Samsung Pay) только постигается пользователями.
Обращение к цифровому миру чревато обманчивой уверенностью, что умная техника сама себя защитит. Но верно, но только отчасти – в первую очередь, по мнению экспертов, безопасность зависит от того, как ведет себя сам пользователь. Поэтому, какие бы финансовые приложения для смартфонов не были вами востребованы, сначала нужно четко знать правила техники безопасности при проведении мобильных платежей.
Стык сентября и октября совпал с появлением в стране технологий мобильных платежей Samsung Pay и Apple Pay, и за прошедшие месяцы они еще не дополнили собой трофеи кибермошенников. Во всяком случае, представители некоторых банков и представитель Samsung к этому времени не в курсе заметок и статей о хищениях в этой сфере. Как уверены эксперты, для этого киберпреступники должны проделать непростую работу.
Принцип работы обеих технологий схож: к предустановленному на смартфоне приложению «кошелек», привязывают банковскую карту (ее данные сканирует камера или их вводят вручную). При добавлении карты необходимо ввести одноразовый пароль, который владелец карты получает на телефон в виде смс или через ответы на вопросы, которые задает сотрудник колл-центра банка.
В период со II квартала 2015 г. по I квартал 2016 г. добычей хакеров стало 348,6 млн руб., похищенных у россиян, владеющих Android, эта сумма на 471% выше суммы похищенного за такой же предыдущий период. Хакеры становятся более искушены в хищениях денег, автоматизируя их.
В магазинах процесс оплаты покупки сводится к поднесению телефона к платежному терминалу, а транзакция подтверждается отпечатком пальца его владельца (Samsung Pay требует и 4-значный код).
На сайте Apple говорится о том, как происходит обработка банковской карты клиента. При вводе пользователем данных карты, устройство вместо запоминания, их шифрует, отправляя потом в Apple. Позже к ним добавляют другую зашифрованную информацию об устройстве (в т.ч. номер телефона, название и модель) для последующей отправки в банк. Как только карта подтверждается, банком или платежной системой создается уникальный номер учетной записи устройства, который, предварительно зашифрованный, возвращается в Apple для того, чтобы быть записанным в защищенном чипе на устройстве.
Комиссия с клиентов за платежи при помощи телефона банками и платежными системами не взимаются. Но Apple, в отличие от Samsung, взимает небольшую сумму с банка за транзакции.
Как считают эксперты, обе технологии, если говорить о безопасности, можно назвать равноценными.
По словам руководителя отдела безопасности мобильных приложений компании Positive Technologies Артема Чайкина, в отличие от привычных бесконтактных технологий (Visa PayWave или Mastercard PayPass) ApplePay и Samsung Pay не присущи два их серьезных недостатка. В PayWave и PayPass не требуется подтверждать PIN-кодом операции на сумму до 1 тыс. руб., а с Apple и Samsung подтвержденя должна быть любая транзакция. К тому же, активность NFC-чипа пластиковой карты - процесс непрерывный. При поднесении к ней устройства, имитирующего работу POS-терминала, можно ознакомиться с последними транзакциями по карте, а иногда доступно и совершение несанкционированной транзакции. А если телефон заблокирован, NFC-модуль не работает и считать какую-либо информацию невозможно.
По мнению директора по мониторингу электронного бизнеса Альфа-банка Алексея Голенищева, пластиковым картам с PayPass/PayWave присуща большая уязвимость, нежели Apple Pay и Samsung Pay: с бесконтактного чипа легко копируется номер карты вместе со сроком ее действия и специальным кодом. С таким набором воспроизведение полноценной магнитной или чиповой карты недоступно, но, имея его, можно совершать оплату на малозащищенных интернет-ресурсах и при операциях, где не задействована технология 3D-Secure. Но все эти операции можно легко оспорить. Тогда как, по словам представителя Samsung, в Samsung Pay копирование этих данных не представляется возможным.
По словам представителя «Тинькофф банка» Дарьи Ермолиной, так как Apple Pay не хранит данные о банковской карте на смартфоне или сервере, если смартфон украдут, никто не восстановит данных карты и не сделает ее дубликат. Но если владелец посеял свой телефон в воде, потребуется еще одно подключение карты на новый смартфон. А чтобы совсем не переживать, можно удаленно произвести блокировку привязанных к утонувшему устройству карт.
При транзакции недоступно снятие большей суммы, нежели той, которая была одобрена клиентом.
И все же теоретически опасность для пользователей Apple Pay и Samsung Pay всегда есть. Её могут нести злоумышленники, знающие методы социальной инженерии. За один только прошедший год эти методы стали весьма популярными: используя данные, содержащиеся в открытых источниках (соцсети, объявления о продажах товаров, сайты знакомств), мошенники узнают у пользователей сведения о доступе к удаленным банковским сервисам. Заполучив информацию, они начинают действовать, прикрываясь именем клиента.
Впрочем, пока мошенники не часто пользуются сложными способами хищения денег, а для совершения бесконтактных платежей необходим физический доступ к устройству – значит, повышаются риски для мошенников. Поэтому сегодня весьма популярен способ кражи денег - это мобильные троянские программы вместе с атаками на мобильные банки. На пользовательский смартфон преступники устанавливают вредоносный софт, читающий sms и получающий доступ к личному кабинету на сайте банка.
Как считает Голенищев, крайне низкий уровень технической грамотности пользователей всегда на руку киберпреступникам. Пользователи не прибегают к установке антивирусов на свои гаджеты, ими востребованы бесплатные точки WiFi, переходы по не прошедшим проверку интернет-ссылкам и открытие вложений в письмах, направленных неизвестно кем, в которых может содержаться зловред.
По словам Виктора Чебышева («Лаборатория Касперского»), в среде киберпреступников весьма популярны хищения денег со смартфонов – когда предпринимаются попытки осуществить денежный перевод через sms-банкинг. Карту, как правило, привязывают к телефону, а управление деньгами происходит через sms. Поэтому мошенникам нужно просто заразить смартфон жертвы, направить и перехватить пару sms-сообщений. Иногда кибермошенники вынуждают пользователя, чтобы он перевел им деньги, пугая его тем, что они испортят файлы на смартфоне.
По словам заместителя руководителя лаборатории компьютерной криминалистики компании Сергея Никитина, во всех хищениях, обнаруженных Group-IB (см. врез), пользователями устанавливались софты из недостоверных источников. Android-cмартфонам необходимо запретить так делать. А Apple в iOS пока не имеет такую штатную возможность. Схожих вирусов и хищений для Apple iOS Group-IB пока также не обнаружено.
По словам представителя Сбербанка, важно уберечься от jailbreak (процедура, снимающая ограничения Apple на установку и работу приложений) смартфона. iOS построена так, что выполнение любой программы осуществляется в границах строго отведенного для нее участка памяти, а полномочия ограничены. Тогда как jailbreak наделяет приложение полным административным доступом к системе файлов и ресурсам устройства, благодаря чему становится возможна установка в обход AppStore какого угодно приложения – в том числе и такого, за которым скрывается код-зловред.
