При всьому при цьому у розсудливих людей бовтається десь думка, що все це - саме безпричинна фобія, параноя (карти на ринку вже півтора десятиліття, а кінець світу так і не настав). Але щоб підозра підтвердити, треба заглибитися в технічні питання, на що часу завжди не вистачає. Так давайте зробимо це разом.
Безконтактні картки бувають різними, аж ніяк не тільки банківськими: для посвідчення особи, проїзду в громадському транспорті і т.п. Однак те, що лежить в гаманцях більшості (в тому числі росіян) - це кредитні або дебетові банківські картки, вироблені з опорою на стандарт ISO / IEC 14443. Стандарт цей передбачає використання в якості каналу зв'язку протоколу NFC (цифровий радіообмін на частоті 13.56 МГц) . Приймач позбавлений джерела живлення і працює за рахунок енергії, що наводиться в антені, захованої всередині карти же. Цього вистачає, щоб прийняти і передати деякий невеликий обсяг інформації. NFC - повільний протокол (десятки кілобайт в секунду), але в даному випадку багато і не потрібно. Карти VISA payWave, MasterCard PayPass і вітчизняна «Мир» працюють саме так.
А головна проблема безконтактного «пластика» не в технологіях, а в поверхневому розумінні принципу їх роботи. Намагаючись максимально полегшити обивателям адаптацію до нового продукту, маркетологи втовкмачили їм, що провести пластиковою карткою з магнітною смугою по зчитувального пристрою і зробити безконтактний «клік» по NFC-терміналу - це одне і те ж. Так що люди, особливо в країнах, де культура користування «пластиком» налічує не одне десятиліття (магнітний стрип - дітище 70-х), не бачать функціональної різниці між тим і іншим. І міркують приблизно так: раніше карту потрібно було дістати з гаманця, тепер же злодій може просто пройти поруч зі мною і, навіть не торкаючись, вкрасти з моєї кредитки всю інформацію!
У відкритому вигляді з використанням безконтактної технології банківські карти зберігають лише номер, дату експірації, рідше ім'я користувача і історію транзакцій. Формально цього вже достатньо, щоб скористатися вашою карткою без вашого відома, наприклад, для покупки чогось через інтернет: в повному обсязі інтернет-магазини вимагають CVV-код, розміщений на звороті картки (але не записується у пам'ять). Так що - так, це привід для тривоги.
Але ось «клонувати» карту повноцінно (записати інформацію на чисту карту-болванку і використовувати її в звичайних магазинах без обмежень), що обіцяють продавці пристроїв на зразок згадуваного нелегального високошвидкісного карт-рідера (всього-то за $ 800!), Таким чином не вдасться. Чому? Тому що будь-яка офлайнова транзакція передбачає спілкування між, грубо кажучи, касовим апаратом і чіпом карти, причому на кожен такий сеанс чіп генерує одноразовий ключ з використанням стійкого крипто. Щоб клонувати вашу карту, необхідно витягнути з неї кріптоключа - а зробити це через NFC неможливо.
Реальних способів експлуатувати безконтактну картку всього два. По-перше, злодій може обзавестися власним PoS-терміналом з підтримкою безконтактних карт. Сховавши такої в сумці, він і правда може ходити по людних місцях і ініціювати покупки, коли поруч опиняється чиясь карта. Однак обчислити ім'я шахрая в такому випадку не важко (всі термінали реєструються в органах), та й розмір безконтактної транзакції, що не вимагає пін-коду, обмежений певною невеликою сумою (в Росії це близько однієї тисячі рублів).
До речі: мобільні гаманці (Apple Pay, Android Pay, Samsung Pay) проблеми безконтактних крадіжок не схильні до - з тієї простої причини, що віртуальна карта відповідає на запити, що зчитує тільки коли це потрібно користувачеві, а в решту часу мовчить.
Що в підсумку? Клонувати безконтактну картку неможливо. Вкрасти з неї, перебуваючи поруч, можна лише незначну суму. Так що історії про нещасних, «втратили тисячі доларів в один момент, не витягуючи карту з кишені», або вигадки, або помилки (ймовірно, карта була скомпрометована інакше).
Пройшовся так по громадському транспорту і тисяч 20-30 поцупив)
Насправді можна (і потрібно) робити платежі значно менше максимального, наприклад 99 р. Хто піде в банк повертати ці гроші або в поліцію шукати злодія?
Але такий варіант вигідний лише при масовому розповсюдженні безконтактних карт.
Який відсоток людей, які підуть розбиратися за це знялося 99р. на рахунок ІП «Пупкін Ай-Ті консалтинг» з поміткою за «консультацію в сфері мобільної безпеки»? Приклад безглуздий, потрібно розмивати повідомлення ще сильніше.
Знайшовши баланс в малому обсязі платежу (щоб у пострадавщего була відверта лінь возитися заради маленькою сумою) і обсягом зчитування напевно можна домогтися значних розмірів фейкових надання послуг.
Тссс, а то надихнете кого)
З звичайної карти вкрасти дані навіть простіше. Касири в магазині крутять її як хочуть можна запам'ятати можна сфотографувати.
Особисто я як це не смішно користуюся старої доброї синьою з стрічкою і заклеюють їй CVV коди (вчу їх напам'ять відразу з пін кодом). Все ставляться нормально. Ще б за бажанням Ф.О. не завдавали на карту.
В банкомат не зжовує ізоляційну стрічку?
Чи не те що не анулюють, так cvc код написаний на поле на якому він стирається легко, і іноді банки просять його стерти для підвищення надійності.
Зате у них є інші проблеми. І, найголовніше, типове угоду користувача типового мобільного банку включає приблизно такий пункт:
«Власник погоджується на передачу розпоряджень / доручень і / або інформації з каналів передачі повідомлень, усвідомлюючи, що такі канали передачі інформації не є безпечними, І БАЖАЄ НЕСТИ ВСЕ РИЗИКИ, пов'язані з можливим порушенням конфіденційності, що виникають внаслідок використання таких каналів передачі інформації.»
Так напишіть.
Мені здається, що там завдання буде сильно складніша, ніж просто потоки переправити.
в розвинених країнах банк зобов'язаний скасувати таку транзакцію на першу вимогу, а суму відшкодувати. У Росії закон поки цього не вимагає
По-моєму, у нас банк теж зобов'язаний скасувати таку транзакцію. І суму йому відшкодовувати не буде потрібно, тому що Усі ті дні, поки транзакцію ще не пізно скасувати, банк не переводить гроші на інший рахунок, а тільки резервує їх. І схема ця, наскільки я пам'ятаю, не приватна ініціатива банку і не нав'язана федеральними законами, а правило, встановлене системами Visa / Master Card. Тобто якщо у вас карта Visa, то право опротестувати будь-яку транзакцію протягом якогось часу у вас є. До речі, всякі PayPal при здійсненні платежів на всяких eBay діють за тією ж схемою.
«У розвинених країнах» відкат транзакції відбувається через Visa / Master Card, і робиться це досить просто. У РФ і багатьох інших країнах, через самі банки, а вони як і годиться глитаям роблять це неохоче і всіляко тяганини.
Мені чоловік, який з цим нібито сам стикався, стверджував, що досить пообіцяти написати на них скаргу в Visa про порушення банком їх правил, і відразу вся тяганина сама собою зникає.
Треба пошукати, але навіть мені здається склочний ЖЖ-блогер pyerrtto писав про проблеми з відкотом транзакцій в пострадянських і східноєвропейських країнах.
право опротестувати будь-яку транзакцію протягом якогось часу у вас є.
Право оскаржити-то є. Тільки в договорі з російськими банками є пунктик, за яким за це банком стягується певна сума, за старою звичкою щось в районі 100 доларів США.
Не пам'ятаю точно, але по-моєму цей пункт про відкат транзакції, досконалої клієнтом помилково, тобто це штраф за виявлену клієнтом недбалість. У разі ж, якщо мова йде про несанкціонований переказ грошей, відкат ніяких комісій не тягне.
Цікаво! Завжди думав, що з точки зору банку різниці між тим і іншим немає.
Я б запропонував законодавчо зобов'язати банки відсилати СМС-повідомлення про всі транзакції по картці. Зараз ця послуга є, але вона опциональная і платна, не всі її підключають.
А так бац - прийшла СМСочка: «знято в Вашої картки 999р. спасибі за покупку », і відразу можна кричати прямо в натовпі:« Громадяни-товариші, лови іліхтроннаго кишенькового злодія! Тільки що гад пройшов. »
Тобто тепер шифрований навіть номер карти?
/ Мені нема на чому перевірити. NFC-функціонал на своїй єдиній безконтактної кредитці якимось чином пожёг. Підозрюю, катаючись на моноколесе ...
До речі, питання до знаючих людей: мені чомусь пригадується, що кілька років тому в Росії був прийнятий закон, що зобов'язує банки надавати послугу SMS-інформування про стан рахунку БЕЗКОШТОВНО. Мені наснилося або правда таке було?
Не зовсім. Закон про те, що клієнта повинні інформувати, і його інформують - по електронній пошті. І там зобов'язані уточнювати дані для зв'язку, щоб завжди були актуальні. Мені щоранку приходять транзакції. А ось за realtime беруть гроші, закон не зобов'язував realtime.
да, трохи вона стоїть. мобільний банк називається.
30 руб / міс.
есессно, підключив, по СМС все йде.
а як втратив карту, так відразу це побачив: «спроба зняття грошей з карти ХХХ ... - пароль невірний»
так що підключайте і буде щастя!
якщо у тебе десяток карт - то вже 300 в місяць.
Олсо не у всіх 30, у кого-то і 60 (у альфи, здається)
Швидше і простіше.
Дозвольте, інріаллайфную історію розповім - здається, мінімальне відношення до статті, все ж, має.
Вчора, перебуваючи в деякому «подиві» після затяжної прогулянки з легкими надмірностями, з велосипедами і подругою, прийшовши додому, здається, забув вийняти ключі з дверей - велосипеди, сумки заносив ... На наступний день - хвать, а нема! Але до зв'язки ключів ще й флешка прив'язана була, і, якщо відновити «залізні» справи, типу замка-другого-третього обійшлося в 15 хвилин поїздок по ближнім магаз і вмілого орудованія викруткою, то втрата флешки привела мало не до кошмару (зараз трохи відпустило) - був чи зашифрований 7-zip-івський архів чи ні? Якщо так, то чи вистачить ключа з 4-х цифрах (точно пам'ятаю, який, якщо був) для втрати інтересу до особистих фото та скан доків? Адже ось, блін - душевну рівновагу від 4-х значного числа залежить, а пізніше з'ясується, що східна двірничка все знайшла і післязавтра занесе, або зв'язка лежить в шафці зі шкарпетками ...
Найслабша ланка - людський фактор, навіть якщо цей фактор - я сам. Часто і багато тягаючи з собою по роботах ноутбук я стежу за тим, щоб він залишався порожнім. Файліки відкриваються тільки з домашнього сервака, до якого налаштований VPN. На самому ноут нічого немає, це чисто термінал для доступу.
Я не закликаю до такої жорсткої дисципліни, просто ділюся.
Все-то я розумію, - від душі сподіваюся, що контейнер все-таки зашифрований був і щасливий власник флешку вже форматнул і заповнив своїм хабаром :)