Тонкости хранения неприкосновенного запаса

В России продолжается активное развитие системы бесконтактных платежей. По сведениям, которыми располагает компания Visa, за год (с сентября 2015 по сентябрь 2016) общее количество транзакций по картам Visa РayWave продемонстрировало рост в 4,5 раза. По словам представителя пресс-службы MasterCard, свыше 60% россиян уже знают о технологии бесконтактной оплаты и работают с ней.

По словам представителей топ-10 банков и банковских групп, в их портфелях идет постепенное наращивание объема бесконтактных карт, хотя отдельная статистика по бесконтактным картам не ведется. Так, по данным пресс-службы Альфа-банка, за 2-летний период произошло почти двукратное увеличение объема бесконтактных карт. По словам пресс-службы ЮниКредит Банка, на бесконтактные карты в его общем портфеле приходится порядка 80%, тогда как в прошлом году это значение составляло около 70%.

По словам заместителя руководителя департамента розничных продуктов ВТБ Юлии Деменюк, львиная доля новых карт, выпускаемых ВТБ, бесконтактные. Сегодня это свыше 30% от портфеля карт банка, а год назад на них приходилось около 15%, и продолжается активный рост этого показателя.

В сентябре Сбербанк уведомил о том, что к концу текущего года все выпущенные им новые карты, за исключением карт, выдаваемых моментально и электронных (Visa Electron, Maestro, Maestro Социальная), будут бесконтактными. Сегодня доля бесконтактных карт Visa и MasterCard в портфеле Сбербанка составляет 11%. А всего Сбербанк выпустил 131 млн карт, и в ближайшие несколько лет, по мере того, как будет обновляться портфель, только Сбербанк выпустит на рынок миллионы бесконтактных карт.

По словам экспертов, действие технологии бесконтактной передачи данных основано на отправке информации на малом (не более 5 см) расстоянии между картой и считывающим устройством через магнитное поле. Помещенные в карту чип и антенна откликаются на запрос, посылаемый платежным терминалом. Для транзакций на сумму до 1 тыс. руб. вводить пин-код не нужно. Так сделали для экономии времени клиента, покупающего недорогие товары. А вот операции на крупные суммы уже требуют дополнительного подтверждения пин-кодом. Клиент банка сам не может изменить этот лимит.

Появление в России бесконтактной карточной технологии от Visa РayWave пришлось на осень 2011 года, а PayPass от MasterCard — на 2008 год.

Вместе с ростом популярности бесконтактных платежей растет и количество слухов о том, как уязвима эта технология. Но действительно ли эти карты так уязвимы по сравнению с обычными пластиковыми и как их держателям защититься от мошенничеств?

О реальных и мнимых опасностях

По наблюдениям банкиров, получив новую карту, клиенты нередко задаются вопросом о ее надежности. Как сказал директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев, эти вопросы спровоцировали относительная новизна технологии и отсутствие информации, а также надуманный и необоснованный негатив, часто транслируемый в Сети.

Например, страх многих клиентов связан с тем, что будто бы с бесконтактной карты в людном месте можно мгновенно снять определенную сумму, а владелец даже не заметит этого. По словам руководителя группы исследования и анализа мошенничества Kaspersky Fraud Prevention «Лаборатории Касперского» Дениса Горчакова, люди переоценивают реальный размер угрозы.

По словам старшего специалиста отдела исследования безопасности банковских систем Positive Technologies Ярослава Бабина, проведение транзакции и списание денег с карты требуют работающего платежного терминала для проведения платежа банком-эквайером. Но, по словам менеджера по развитию кибербезопасности в финансовых и торговых организациях департамента ИБ ГК Softline Дмитрия Тирского, выдача POS-терминалов осуществляется только юрлицам и ИП, которые заключили соответствующий договор. Установка неправомерного использования оборудования легка, а все данные о совершенных транзакциях сохраняются в логах того банка, который обслуживает терминал.

Если клиент получил уведомление об операции, которой он не совершал, то он может уведомить об этом свой банк, а банк, в свою очередь, должен определить, терминал какого банка был использован для совершения платежа. После чего, по словам начальника отдела развития Фридом Финанс Банка Мурада Шихмагомедова, банк, который выдал терминал оплаты, должен вернуть клиенту утраченные средства. А в дальнейшем банк-эквайер вправе взыскать эту сумму с владельца терминала оплаты и наложить на него штраф.

Другая угроза, активно тиражируемая в Сети, связана с тем, что с помощью самодельного считывающего устройства мошенники могут «увести» с пластика не деньги, а информацию (например, имя держателя, история транзакций, остаток на счете).

В Сети есть описание этой схемы: мошенники, имея самодельное считывающее устройство, считывают с карт информацию, чтобы в дальнейшем использовать ее для создания карты-клона с магнитной полосой и совершения с ее помощью покупок в интернете. По словам экспертов, этот вариант мошенничества не самый популярный, но реализуемый. Так, в 2015 году, по данным компании Zecurion, именно таким способом с бесконтактных карт россиян было похищено 2 млн руб., статистика за более поздний период компания не предоставила.

Как сказал Дмитрий Тирский, мошенники могут узнать очень ограниченную информацию - о номере и сроке действия карты, истории транзакций - для оценки активности использования карты. При этом не представляется возможным скопировать код CVV (3-значный код на оборотке карты), который вводится для подтверждения платежа. По словам Голенищева (Альфа-банк), несколько лет назад ряд онлайн-продавцов игнорировали требование подтверждения транзакций через CVV и такого рода махинации преступники реализовывали. Также иногда мошенники использовали пробелы в настройках системы безопасности банков. Имели место единичные случаи, когда мошенникам удавалось узнать о некорректной работе системы авторизации в каком-то банке, и они вбивали произвольный цифры, а не запрашиваемый CVV. Но банки продолжают совершенствование своей системы безопасности. Сейчас все банки — эмитирующие карты в России обязательно осуществляют проверку CVV/CVC.

По словам экспертов, самая очевидная опасность для клиентов — утрата бесконтактной карты. Если она окажется в руках злоумышленника, тот беспрепятственно совершит покупки на небольшие суммы, пока карту не заблокируют.

Но, по словам руководителя направления информбезопасности компании КРОК Андрея Заикина, при совершении нескольких платежей на мелкие суммы подряд сработают защитные системы банка и эти операции будут заблокированы как подозрительные. Транзакции заморозят до тех пор, пока не будет подтверждена их легитимность. В банках уверяют, что системой безопасности такие транзакции отслеживаются и, как правило, операцию блокируют после совершения трех подряд операций на сумму, не требующую ввода пин-кода.

Люди, которые все-таки боятся неправомерных списаний денежных средств с их карт «по воздуху», могут отыскать в интернете пару-тройку нехитрых приспособлений, защищающих от мошеннических угроз. К примеру, в онлайн-магазинах продают алюминиевые экранирующие футляры, стоящие от 50 руб. (цена кардхолдера на одну карту) до 500 руб. (кожаные футляры на несколько карт). Более высока (от 700–900 руб.) стоимость полноценных кошельков с подкладкой, ткань которых металлизирована. Можно также встретить сумки и портфели, имеющие специальные изолированные отделения, не пропускающие сигнал.

По мнению экспертов, что эти способы довольно действенны. Считывание данных карт невозможно, но для совершения покупки пластик нужно всякий раз вынимать из «футляра».

По словам начальника аналитического управления Бинбанка Александра Свиридова, если в кошельке вы храните от двух и более бесконтактных карт (в т.ч. транспортные), то это задача считывания для злоумышленников будет усложнена. Радиоволны от нескольких карт попросту «запутают» терминал.