Как защитить бесконтактную карту от фальшивых покупок?

26.06.2016 20:00 34 7 789 просмотров
Короткий ответ: надеть на неё шапочку из фольги. Или не заниматься глупостями.

Длинный ответ.

Банковские карты, позволяющие оплачивать покупки бесконтактно, сейчас едва ли не популярнее «обычных». Во-первых, это действительно удобно и экономит несколько секунд в магазине на кассе, во-вторых, деваться почти некуда - банки активно внедряют и навязывают клиентам эту технологию.

Одна из особенностей бесконтактных карт - возможность проведения небольших платежей без какого-либо подтверждения: за пару чашек кофе можно заплатить, просто проведя картой рядом со считывающим устройством.

Такая особенность породила множество подозрений: очевидно, что если не карту принести к терминалу, а терминал к карте, эффект будет тем же. Появилась и городская легенда о мошенниках, которые ходят в толпе (например, в метро) и автоматически снимают по 500-600 рублей с карточек ничего не подозревающих людей.

На самом деле, такая ситуация хоть теоретически и возможна, но крайне маловероятна. Чтобы провести платёж, мошенник должен не просто находиться рядом с вами, но держать терминал близко к карте - на расстоянии считанных сантиметров. Радиосигнал (по технологии NFC), через который карта общается с терминалом, очень слабый. Если карта лежит в кошельке, а кошелёк в сумке, то злоумышленник должен более-менее точно приложить терминал к конкретному месту на сумке. Да и то, обычно в сумке и кошельке достаточно экранирующих и искажающих сигнал вещей - ключи, монеты и другие карты с чипами и прочие металлические предметы. В общем, вору должно очень повезти, чтобы снять деньги с вашего счёта. Ситуация «прошёл по вагону метро и на выходе получил несколько тысяч рублей» - ненаучная фантастика.

Кроме того, терминал на каждом углу не продаётся, чтобы получить к нему доступ. надо быть торговой организацией и иметь счёт в банке, на который и будут приходить деньги. А открыть счёт на подставное лицо сложно и опасно, ради того, чтобы тырить мелочь по карманам, вряд ли кто-то будет этим заниматься.

Тем не менее, если вы всё же опасаетесь несанкционированного доступа к вашим деньгам на карточном счёте, то для самоуспокоения предпримите несколько простых шагов:

- убедитесь, что у вас работает смс-информирование о совершённых операциях. Если кто-то снимет деньги с карты, вы тут же получите сообщение и сможете позвонить в банк, чтобы опротестовать снятие и начать разбирательства и поиск виновных;
- в кармашек кошелька, в котором вы носите карту, положите слой фольги, она достаточно надёжно экранирует сигнал;
- если вы носите карту отдельно, носите её в чехле с такой же вкладкой из фольги;
- если вы используете другой предмет для бесконтактной оплаты - наклейку на кошельке или другой доступной вещи, часы, браслет и т.п., подумайте: возможно, не стоит этого делать. Хотя, опять же, наткнуться на вора с терминалом вам вряд ли «повезёт», это совет, скорее, для «немного параноиков»;
- для бесконтактной оплаты используйте не карту, а смартфон с соответствующим приложением.

PS Если у вас есть вопросы по личным финансам, инвестициям и банковской деятельности, задавайте в комментариях. Постараюсь на них ответить максимально подробно и понятно.

Комментарии 34

Ростислав Беляев  (elve)
#
Терминал можно легко вмонтировать в одежду =). И с одного человека это копейки, а с тысячи уже нормально. Сейчас вряд ли кто будет заморачиваться, а когда все карты будут бесконтактные, то появляение таких жуликов будет экономически оправдано. Как раз все успокоятся, приквыкнут.... smile:D

Основной косяк тут будет с банком. Но в нашем не совсем правовом государстве этот вопрос скорей всего тоже можно решить. То что я не знаю как не значит что это невозможно =). К примеру попрошаек, которые бегают по проезжей части, полицейские не задерживают, а значит кто-то смог договориться.
Олег Ковалев  (okovalev)
#
"в кармашек кошелька, в котором вы носите карту, положите слой фольги, она достаточно надёжно экранирует сигнал" smile:D

не понимаю какие такие "преимущества", у карты которую нужно носить в фольге,
ситуация когда в давке в метро кто-то незаметно поднесет сканер к сумке вполне себе не фантастика, пойди потом докажи, опротестуй, по судам глотай пыль за 500 руб и. т.д.
Вирджиния Вульф  (Kumber)
#
в силу маленькой суммы не подтверждаемого кардхолдером платежа такое списание вряд-ли будет: а) замечено в массе других платежей; б) не будет оспариваться по причине малой суммы, а для жуликов с тысячной выборкой в день и 5% успехе списания не значительныех 300руб выхлоп 15 000руб в день, в месяц= 500 000 руб!
Lynette Scavo  (Lynette)
#
Автор забыл еще кое-что. Чтобы эмитент списал деньги, а эквайер их принял, должен быть еще один участник, прикладывающий ручки к денежкам, - платежная система. Процесс обмена данными между участниками транзакции - это вам не на пол плюнуть, должно быть основание, то есть чек (и речь не о бумажке, а о сформированном id транзакции). В отсутствие нормально оформленной транзакции ПС пресечет все эти игры не то что в первые дни - в первые часы. В противном случае мошеннику придется для каждой операции забивать данные о сумме. Даже если такое останется незамеченным, то уж точно займет больше времени. Проще уж фишинговыми сайтами играться или шелдер-серфингом заниматься. Не говоря уже о чарджбеках и том факте, что подключить эквайринг не так уж просто - банки у нас ведь любители пособирать бумаженции.
Lynette Scavo  (Lynette)
#
Цитата
Олег Ковалев пишет:
"в кармашек кошелька, в котором вы носите карту, положите слой фольги, она достаточно надёжно экранирует сигнал" smile:D

не понимаю какие такие "преимущества", у карты которую нужно носить в фольге,
ситуация когда в давке в метро кто-то незаметно поднесет сканер к сумке вполне себе не фантастика, пойди потом докажи, опротестуй, по судам глотай пыль за 500 руб и. т.д.


Фантастика - сам факт получения такого сканера, а также того факта, что мошенник угадал, что у вас есть карта с бесконтактом. Вероятность получения прибыли невероятна мала, а возможность попасться несопоставимо велика.
Дмитрий Апарцев  (vucsht)
#
Автор, ну хоть бы историю вопроса посмотрели. Неоднократно уже исследовалась возможность краж с бесконтактных карт с помощью самодельных считывателей с повышенной мощностью сигнала. И реальные случаи краж бывали. Лучше бы написали, какие преимущества дает бесконтактный пластик в плане безопасности.

И кстати, самый правильный способ защиты не "шапочка из фольги", а заявление в банк на установку индивидуального лимита операций без подтверждения ПИН-кодом.
Lynette Scavo  (Lynette)
#
Цитата
Дмитрий Апарцев пишет:
Автор, ну хоть бы историю вопроса посмотрели. Неоднократно уже исследовалась возможность краж с бесконтактных карт с помощью самодельных считывателей с повышенной мощностью сигнала. И реальные случаи краж бывали. Лучше бы написали, какие преимущества дает бесконтактный пластик в плане безопасности.


А можно ссылки на эти неоднократные исследования?
lazutov  (lazutov)
#
Ну мошенник поднёс терминал к карте, ну провёл транзакцию, что дальше то?
Эквайер тоже не пальцем делан:
-- увеличенный холд для бесконтактных операций
-- аномальное количество бесконтактных операций вызовыет вопросы
-- за период увеличенного холда уж кто-то, да протест напишет и не один

Мы когда у себя ставили терминал, в договоре указан просто космический холд по пей-пасу. А для оффлайн авторизаций космический вообще говоря дважды.
Настолько космический, что сначала мы его даже выключили, когда показали эквайеру нормальный оборот, онный настройки ослабил, холд в т.ч. по PP уменьшил до адекватных значений.
Мы включили PP и протестировали 5 транзакциями на 5 рублей. СБ эквайера позвонила через час.
Anton  (SideX)
#
Цитата
Lynette Scavo пишет:
Автор забыл еще кое-что. Чтобы эмитент списал деньги, а эквайер их принял, должен быть еще один участник, прикладывающий ручки к денежкам, - платежная система. Процесс обмена данными между участниками транзакции - это вам не на пол плюнуть, должно быть основание, то есть чек (и речь не о бумажке, а о сформированном id транзакции). В отсутствие нормально оформленной транзакции ПС пресечет все эти игры не то что в первые дни - в первые часы. В противном случае мошеннику придется для каждой операции забивать данные о сумме. Даже если такое останется незамеченным, то уж точно займет больше времени. Проще уж фишинговыми сайтами играться или шелдер-серфингом заниматься. Не говоря уже о чарджбеках и том факте, что подключить эквайринг не так уж просто - банки у нас ведь любители пособирать бумаженции.


Оформить ИП на бомжа -- Бесценно.
Для всего остального есть MasterCard.

Кроме шуток -- такие девайсы уже существуют. И с ними разъезжают в московском метро.
Есть реальные фото. И подпольного магазина с китайскими девайсами, и кардеров из подземки.

Мелочь по карманам, это, к примеру, 1000 рэ. с одной карты в понимании банка Авангард.

Я так полагаю, в других банках не далеко ушли от $15 в одно касание.

З.Ы. Да и кто сказал, что пресловутое ИП будет оформлено именно на россиянский банк?!
Anton  (SideX)
#
Цитата
Дмитрий Апарцев пишет:
Автор, ну хоть бы историю вопроса посмотрели. Неоднократно уже исследовалась возможность краж с бесконтактных карт с помощью самодельных считывателей с повышенной мощностью сигнала. И реальные случаи краж бывали. Лучше бы написали, какие преимущества дает бесконтактный пластик в плане безопасности.

И кстати, самый правильный способ защиты не "шапочка из фольги", а заявление в банк на установку индивидуального лимита операций без подтверждения ПИН-кодом.


Именно. Одна из систем, не помню, то ли Виза, то ли Мастер, косвенно признали косяк. Заявлять об этом широко было бы глупо. Паника и падение акций компаний никому не нужно. К тому же сразу встанет вопрос, как переделать систему. Но переделать её в принципе не возможно.

Довыпендривались "с удобствами".

Идеальный лимит был бы 0, но какой банк на это пойдет. Ему - косвенно - тоже не выгодно.
Anton  (SideX)
#
Прошу прощения за неточность.

ИП и банк-эквайер в метро не нужен.

Это устройство с мощным датчиком собирает данные с чипов бесконтактных карт.

Затем делаются клоны по полученной информации и бабки сливаются в укромном месте оптом и в розницу. Вот тут подробности не помню -- или через ИП, или напрямую через банкомат. Поскольку чип содержит ту же информацию о карте, что и на магнитной полосе.

Вот именно этот косяк и признала то ли Виза, то ли Мастер.

Линки:

http://news.softpedia.com/news/new-device-sold-on-the-dark-web-can-clone-up-to-15-contactless-cards-per-second-505200.shtml

https://xakep.ru/2016/06/14/contactless-infusion-x5/

https://xakep.ru/2016/01/23/rfid-card-readers/

https://xakep.ru/2014/12/18/jeans-rfid/
Артём Ейсков  (Артём Ейсков)
#
Цитата
Lynette Scavo пишет:
Цитата
Дмитрий Апарцев пишет:
Автор, ну хоть бы историю вопроса посмотрели. Неоднократно уже исследовалась возможность краж с бесконтактных карт с помощью самодельных считывателей с повышенной мощностью сигнала. И реальные случаи краж бывали. Лучше бы написали, какие преимущества дает бесконтактный пластик в плане безопасности.


А можно ссылки на эти неоднократные исследования?


Я знаю об одном таком исследовании учёных из University of Surrey. У них с помощью специального оборудования получилось считывать информацию на расстоянии 45 см. Это было в 2013 году, с тех пор ни одного серьёзного сообщения на эту тему не нашлось (возможно, плохо искал). Причём публикация была не научная, а в виде пресс-релиза. Без подробностей о том, какую информацию получили и можно ли ею воспользоваться, без описания самого процесса и т.д. Т.е. буквально "удалось подслушать сигнал" и всё.

Ещё есть две почти совпадающие явно рекламные статьи в Известиях, где некая фирма даёт свои оценки объёма воровства в России описанным способом (типа 1 млн руб. за 1 квартал 2016). Как они это считали, кто им сообщал о фактах, кого они ловили и т.п. - ничего в статье нет, зато несколько раз упоминается название фирмы.

Ни одного подтверждённого сообщения из надёжного источника о реальном использовании NFC для мошеннического снятия денег с карт "на ходу" я не видел. Из чего могу сделать вывод, что даже если кто-то этим делом и занимается, то вероятность напороться на такого мошенника крайне мала.
Артём Ейсков  (Артём Ейсков)
#
Цитата
Anton пишет:
Прошу прощения за неточность.

ИП и банк-эквайер в метро не нужен.

Это устройство с мощным датчиком собирает данные с чипов бесконтактных карт.

Затем делаются клоны по полученной информации и бабки сливаются в укромном месте оптом и в розницу. Вот тут подробности не помню -- или через ИП, или напрямую через банкомат. Поскольку чип содержит ту же информацию о карте, что и на магнитной полосе.

Вот именно этот косяк и признала то ли Виза, то ли Мастер.

Ссылку на материал сейчас искать лень. Но было не более месяца назад.


В открытом виде (и то не всегда) чип передаёт терминалу номер карты и срок действия. Этими данными на магнитную полосу можно хоть обзаписываться, толку всё равно нет.

А ещё в московском метро живут гигантские крысы и жрут рабочих. Точно-точно, я сам слышал. И иголки со СПИДом в сиденьях. Это все знают.
Anton  (SideX)
#
Цитата

В открытом виде (и то не всегда) чип передаёт терминалу номер карты и срок действия. Этими данные на магнитную полосу можно хоть обзаписываться, толку всё равно нет.

А ещё в московском метро живут гигантские крысы и жрут рабочих. Точно-точно, я сам слышал. И иголки со СПИДом в сиденьях. Это все знают.


Я дал ссылки.
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.
Страницы:

Популярные сообщения

Новости по итогам отчетности за апрель 2017 г.
Нарушители нормативов ЦБ в апреле (тех, кто находится на санации, тех, у кого уже отозвана лицензия и тех, где введена временная администрация, не обсуждаем
2
Международный день музеев
А между тем сегодня Международный день музеев! Поздравляю все причастных к празднику! И, по традиции, карты к нему: продолжаю радовать вас картами
0
2956
Результаты стресс-тестирования на основе отчетности по РСБУ и МСФО Как мы видим по данным РСБУ: — отток средств юрлиц из данного банка составил 3.2
0
ApplePay и безопасность. Как она есть.
Давайте сегодня немного поговорим о безопасности? Безопасности ваших денег с точки зрения «у меня есть ойфон и я плачу им». Почему вообще возник этот
5
Рынок нефти 18 мая
Нефть консолидируется в районе отметки $52 Brent. Новостной фон для рынка сдержанно-позитивный. Все большее количество стран и ключевых игроков рынка
0

Новые сообщения

  • Рынок нефти 25 мая
    Цена на нефть Brent на утро - $54.46. Ценовая динамика рынка нефти остается относительно стабильной. Это объясняется ожиданием участников рынка решений
  • ApplePay и безопасность. Как она есть.
    Давайте сегодня немного поговорим о безопасности? Безопасности ваших денег с точки зрения «у меня есть ойфон и я плачу им». Почему вообще возник этот
  • Рынок нефти 24 мая
    Цена на нефть Brent на утро - $54.30. Рынок, достигнув цены в $54 днем ранее, перешел в ожидание предстоящего заседания стран ОПЕК по поводу дальнейшей
  • Рынок нефти 23 мая
    Нефтяные цены сдержанно отступают после 4 дней роста. Возможной причиной некоторой растраты оптимизма выступают новости, поступающие от сторон сделки.
  • Рынок нефти 22 мая
    Цена на нефть Brent на утро - $54.03. Очередной рост цен на нефть произошел на фоне растущего оптимизма по поводу предстоящего решения стран ОПЕК+ о