За последние пять лет бесконтактные платежи быстро вошли в мейнстрим. Они позволяют нам покупать вещи без необходимости смахивать и подписывать или вводить наши ПИН-коды в торговые автоматы. Они являются воплощением цифровой лени, что, возможно, объясняет, почему их популярность возросла.
Но они в безопасности? Какие угрозы окружают это новое финансовое увлечение? Что еще более важно, вы должны зарегистрироваться?
Как работают бесконтактные платежи
Прежде чем мы перейдем к различным угрозам, связанным с бесконтактными платежами, мы могли бы также объяснить, как они работают, в общих чертах. Краеугольным камнем технологий бесконтактных платежей является NFC (Near Field Communication). и RFID (радиочастотная идентификация) Это радиосигналы ближнего радиуса действия, которые потребляют мало энергии. Терминал торговой точки будет считывать данные с чипа и получать доступ к определенной информации, которая позволяет ему обрабатывать тягу. Этот чип можно найти на карте или, чаще всего, на мобильном устройстве.
Вещи немного отличаются между реализациями, хотя. Многие кредитные и дебетовые карты Visa, MasterCard и American Express поставляются со встроенными чипами RFID и позволяют владельцу совершать ограниченное количество небольших транзакций без ввода PIN-кода.
Тогда есть другие основанные на смартфоне платежные системы. Например, Apple Pay позволяет вам совершать платежи с помощью волны вашего iPhone или Apple Watch. В отличие от бесконтактных кредитных карт, транзакции обеспечиваются самим устройством смартфона. Чтобы что-то купить, вы должны сначала пройти аутентификацию по отпечатку пальца.
Аналогичным образом, покупки, совершаемые с помощью Android Pay (который уже некоторое время доступен в Соединенных Штатах и постепенно входит в Европу), защищены отслеживаемыми узорами и пин-кодами.
Третий основной способ оплаты смартфонов — Samsung Pay. Транзакции, использующие это, защищаются с помощью токенизации (номера кредитных карт для конкретных устройств, а не реальных), чтобы защитить данные кредитной карты владельца.
Джастин Деннис написал более общий обзор рынка платежных систем для смартфонов. конце прошлого года, который абсолютно стоит прочитать.
Угрозы бесконтактным платежам
Естественно, многочисленные проблемы безопасности связаны с бесконтактными платежами. Они проявляются тремя различными способами: украденные карты, клонированные карты и утечка данных карт.
Украденные карты
Украденные карты не представляют большой проблемы для различных платежных систем на базе смартфонов. Потому что, хотя кто-то может довольно легко украсть ваш телефон, намного сложнее украсть ваш отпечаток пальца или PIN-код.
То же самое нельзя сказать о бесконтактных кредитных и дебетовых картах. В случае кражи у кого-то появляется возможность покупать вещи со счета жертвы без пароля, так как для них не требуется ПИН-код.
Несмотря на это, уровень мошенничества на бесконтактных картах довольно низок, в основном из-за того, что у большинства эмитентов есть ограничения на то, что можно потратить на их использование.
В первые месяцы 2015 года в Великобритании им могли быть приписаны только 516 500 фунтов стерлингов (около 800 000 долларов США) . Хотя это звучит как много, на самом деле это не так. Это эквивалентно 0,02 фунта стерлингов за каждые 100 фунтов стерлингов, потраченных с использованием карт.
Клонированные карты
По своей конструкции очень сложно клонировать бесконтактные кредитные и дебетовые карты. Трудно, но, конечно, не невозможно, как доказал один австралийский исследователь.
Питер Филмор смог создать приложение для Android, которое работало на устройстве и смог клонировать данные, хранящиеся на бесконтактных картах Visa и MasterCard. Затем он использовал эту информацию, чтобы совершать реальные покупки в Woolworths, где он покупал пиво и сникерс-бары.
Этот эксплойт зависел от двух вещей: ограниченный объем данных карты, предоставляемых во время бесконтактной транзакции, и легкость, с которой можно прогнозировать числа CVV (значение проверки карты). Блогер безопасности Forbes Томас Фокс-Брюстер объяснил, как атака работала более подробно в начале прошлого года.
Утечка и снятие данных
Существует также риск того, что кто-то «скимитирует» бесконтактные кредитные карты. Когда вы покупаете что-то, используя их, вы передаете ограниченное количество информации, находящейся на лицевой стороне вашей карты. А именно, срок годности и номер карты. Номер CVV не указан, но, как мы упоминали ранее, можно алгоритмически определить, что это такое.
Эта информация звучит не так уж и много, но чемпионы Великобритании по потребительским товарам Какие? были в состоянии использовать эту информацию, чтобы пойти по магазинам онлайн, где они купили телевизор за 3 000 £ (4 270 $), используя поддельное имя и адрес, среди прочего.
Стоит добавить, что Samsung Pay неуязвим для этой атаки, поскольку он генерирует новый номер кредитной карты для каждой транзакции. Как и Apple Pay, которая не передает данные кредитной карты клиента, а заменяет их «динамическим кодом безопасности». Любые данные, которые перехватываются и декодируются, в конечном итоге бесполезны для злоумышленника.
Какие существуют защиты?
В этот момент вы можете быть прощены за то, что считаете, что бесконтактные платежи являются настоящим бесплатным для всех мошенниками по кредитным картам кредитными картами , но это просто неправда. Существует ряд надежных средств защиты от большинства атак.
Во-первых, бесконтактные платежи ограничены по стоимости. В Великобритании максимальная сумма, которую вы можете заплатить бесконтактным способом, составляет 30 фунтов. В Соединенных Штатах это 25 долларов. В Австралии он немного выше и составляет 100 австралийских долларов, и для совершения покупок после этой отметки пользователь должен ввести свой пин-код.
Они также ограничены по частоте. Ваш эмитент ограничит вас таким количеством бесконтактных платежей, прежде чем запрашивать ваш ПИН-код. Это, по сути, делает невозможным для кого-то, кто украл карту, покупать дорогостоящие вещи или совершать покупки.
Кроме того, в большинстве стран (особенно в Великобритании) эмитенты карт освобождают держателей от убытков, вызванных мошенничеством, если они не доказали свою безответственность со своими картами.
Это не альтруизм. Было доказано, что бесконтактные платежи увеличивают расходы примерно на 25%, что, в свою очередь, приносит им выгоду за счет комиссионных сборов, а также связанных комиссий и процентов. Они абсолютно заинтересованы в том, чтобы заставить своих клиентов доверять системе.
Наконец, если вы обеспокоены тем, что ваши карты будут сняты и затем использованы для покупок, вы можете приобрести специальные RFID-защищенные кошельки. Также было доказано, что оборачивание ваших карточек в фольгу также может защитить их от чтения, хотя некоторые могут найти это немного большим экстримом.
Не сдерживайся
Бесконтактные платежи являются передовой технологией. В результате вы можете почти гарантировать, что любой недостаток безопасности станет главной новостью. Но не дайте себя одурачить, по большей части они надежно защищены.
Вы бесконечный фил или бесконтактный фоб? Скажите мне, почему в комментариях ниже.
Фото Кредиты: Женщина, использующая мобильный телефон для оплаты leungchopan через Shutterstock, Мужчина, оплачивающий с помощью технологии NFC с помощью кредитной карты (LDProd) , Кредитная бесконтактная карта с защищенным чипом (SergeBertasiusPhotography) , Женщина, оплачивающая кредитной картой в кафе (Monkey Business Images)