Сегодня поговорим про бесконтактную оплату в целом, NFC в частности, про то, насколько безопасна подобная технология и как себя обезопасить.
Штука удобная, популярная, часто используется в современных реалиях всеми, кому не лень для оплаты покупок в магазинах и кафе. Но вот насколько безопасной является бесконтактная оплата – другой вопрос.
Вообще, вся эта тема с бесконтактными картами началась еще в середине нулевых. Технологию NFC анонсировали в 2004 году как расширение для стандарта на бесконтактные карты на интегральных схемах. Сами же бесконтактные карты вообще появились в начале восьмидесятых, но первое время использовались не в финансовых организациях, а в военной сфере. И, надо сказать, с момента создания и по сегодняшний день общие позиции не особенно поменялись. Кому интересны подробности – посмотрите в сети. Общий стандарт на бесконтактные карты называется ISO/IEC 14443, а стандарт NFC, которому соответствуют все без исключения бесконтактные банковские карты – ISO/IEC 18092.
Сама по себе система бесконтактной оплаты, кстати, не очень сильно защищена. Когда технологию пускали в массы, разработчики сделали высокую ставку на малую дистанцию, с которой работает бесконтактная карта – до 10 сантиметров. Подразумевалось, что пользователь – не совсем дурак и как-то сможет увидеть, что в 10-сантиметровое расстояние между его карточкой и POS-терминалом (в миру – терминалы оплаты) попало что-то постороннее.
Кроме того, ввиду особенностей стандарта NFC, которому подчиняются бесконтактные карты, вышло так, что занести поддержку нормального шифрования не вышло – скорость соединения и максимальный объем данных NFC-чипа (меньше килобайта) не позволяет засунуть в него серьезные алгоритмы. Конечно, совсем без криптографии систему обмена данными не оставили, но получился, прямо скажем, “замок от порядочных людей”. Почему так? Потому что при оплате большую часть работы с защитой данных возьмет на себя именно терминал – он и зашифрует, и передаст защищенным каналом связи, а дальше уже за работу возьмется защита банков, через которые пойдет ваша транзакция. По крайней мере, так планировалось.
В принципе, для того, чтобы увести данные бесконтактной карты, особого секретного колдунства не нужно – достаточно заказать портативный RFID-считыватель и настроить его особенным образом. Штука совершенно легальная, продается, как и энкодер для карт с магнитной лентой, в открытую. Стоит в районе 20 баксов. Да, кстати… Еще существует великое множество софта для чтения RFID-меток на андроид. Да, в гугл-плее тоже есть, если кулхацкер в достаточной степени дурак, чтобы скачивать приложение для грязной работы из гугл-плея – третьей системе в мире по количеству слитых персональных данных (после эппл-стор и фейсбука).
Так вот… После покупки считыватель подключается к телефону или ноутбуку и настраивается автоматический запрос снятия небольшой суммы (скажем, 500 рублей, что примерно равно 220 гривен). Почему именно небольшой суммы? Ответ прост – при снятии суммы до определенного порога не требуется вводить пин-код. В разных странах этот лимит разный, но, например, в Украине по картам Mastercard без пин-кода можно снять до 500 гривен (примерно 1200 рублей) за транзакцию, а с карт VISA – до 1500 гривен (4000 рублей).
Описанная выше “машинка” кладется в карман куртки или джинсов (штука небольшая, примерно как средний телефон по размерам)- и все. Можно идти обрабатывать людей. Как это делается? Разумеется, некоторые предпочитают принцип “хочешь делать хорошо – делай сам”, но разумное большинство киберпреступников запустят на это дело очередного дропа.
Как бы там ни было, человека с подобным аппаратом (телефон+RFID-читалка) запускают на прогулку по местам с огромной концентрацией людей на квадратный метр. В метро, в переполненный автобус, в торговый центр на момент распродажи, на улицу с большой концентрацией офисов, а значит – и потоком людей. И все. Дропу даже делать ничего не надо – в плотной толпе жертвы сами окажутся рядом со считывателем. Жертва подошла впритык- считыватель снял данные карточки в кармане жертвы – программулина на телефоне запросила перевод небольшой суммы – пин-код платежная система не запрашивает – сумма улетает на указанный счет. Алгоритм простой. Если хватает наглости и отсутствует чувство самосохранения – повторять пока не выберется весь дневной лимит карты или не кончатся люди вокруг.
Да, с одной транзакции так много не получить, но за день дроп, прокатившись по линии метро туда-обратно раз эдак тридцать, может наснимать весомую сумму. И, поскольку у больше чем половины людей отключено информирование о транзакциях по СМС, заметят пропажу денег очень и очень нескоро. А даже если и заметят вот прям на месте – доказать причастность дропа очень трудно. В конце концов, RFID-читалка маленькая и в глаза не бросается, особенно если лежит в куртке.
Как защититься от этого?
Правило 1. Не кладите бесконтактную карту просто в карман или сумку. Озаботьтесь если не экранирующим чехлом, то, хотя бы, плотным кошельком. Поскольку расстояние работы протокола оплаты маленькое, даже один лишний сантиметр между картой и преступником решает ситуацию в вашу пользу.
Правило 2. Всегда отключайте режим NFC на телефоне, если не надо оплачивать вот прямо сейчас. Если в случае с картой вы рискуете только не очень крупной суммой, то в случае с техникой можно не только скачать часть данных, но и забросить на устройство небольшие файлы и затем увести у вас важную инфу.
Правило 3. Поставить информирование по транзакциям. Серьезно, сделайте это, если еще не сделали. Чем оперативнее вы отреагировали и набрали банк по поводу кражи – тем выше шанс, что транзакция еще не ушла за пределы процессингового центра банка и что ее отменят, вернув ваши кровные.