Мошенники имеют в своем арсенале несколько способов атаки на карты, поддерживающие бесконтактную оплату, — через нелегальный мобильный POS-терминал или специальный считыватель данных карты, рассказал агентству «Прайм» руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин.
«Для карты, поддерживающей бесконтактную оплату, возможны несколько способов атак. Первый — это кража средств через мошеннический мобильный POS-терминал или специальное устройство, которое создаст фейковую покупку и «заставит» карту жертвы ее оплатить», — рассказал эксперт.
Однако этот способ имеет большие ограничения: злоумышленнику нужно иметь счет в банке, оформленный на юрлицо, и платежный терминал, зарегистрированный в налоговой инспекции. При этом из-за жалоб клиентов счет, скорее всего, заблокируют, и злоумышленники не успеют вывести с него деньги, пояснил эксперт.
«Второй способ — считывание данных карты, ее номера и срока действия специальным NFC-скиммером (устройство для считывания данных с бесконтактных карт) для дальнейшей попытки мошенничества с операциями без присутствия карты (card not present transaction, CNP), например для оплаты в онлайн-магазинах», — рассказал Бабин.
Однако, по его словам, злоумышленникам все же проще и эффективнее атаковать смартфоны с подключенным мобильным банкингом. «Так, например, по результатам анализа защищенности приложений мы пришли к выводу, что в каждом втором мобильном банке возможны проведение мошеннических операций и кража денежных средств», — предупредил эксперт.
По статистике Positive Technologies за 2019 год, в серверной части мобильных приложений российских банков было обнаружено в среднем 23 уязвимости.
Комментарии
1. С каких пор платежные терминалы регистрируются в налоговой инспекции???
2. Каким образом NFC-скиммер считает CVC2/CVV2, необходимый для проведения CNP-покупки? Это невозможно.
3, Вывод про каждый второй смартфон - ни о чем не основанное предположение. Почему не каждый 1-й или каждый 10-й?
Гнать таких "экспертов" подальше надо.
С каких это пор он стал необходимым?! Это лишь опция.
Вы найдите магазин, где покупку без CVC2/CVV2 примут. Много таких? Пару ссылок в студию
Вы не владеете вопросом.
А вы?
Amazon
Victoria Secret
CVV2/CVC2 — это дополнительная мера защиты при CNP-транзакциях. Просто эту дополнительную меру используют 99%, поэтому и кажется, что необходимо.
Какая разница клиенту? Это оспаривается на раз-два. Кроме того, данного вида фрода (о котором пишет эксперт) нет. Все в соц. инженерии сейчас.
А PAN + ex. date - эти данных по чужим картам ув любом ПЦ как грязи, но только что-то мошенничества нет по таким операциям )