Бизнес
Бесконтактные платежи с помощью смартфона, используя такие системы, как Apple Pay или Google Pay , абсолютно безопасны, однако с банковскими картами ситуация иная. Возможность оплачивать покупки простым прикладыванием карты сегодня уже не считается полностью безопасной, поскольку такие платежи не требуют дополнительного подтверждения, чем могут воспользоваться злоумышленники. Об этом в программе Latvijas Radio Digitālās brokastis рассказали советник Ассоциации финансовой отрасли Элеонора Бушмане-Звайгзне и эксперты по кибербезопасности Кирилл Соловьев и Элвис Страздиньш, сообщает LSM.lv .
"В сфере платежей мы в Латвии являемся очень цифровизированным обществом. По сути, три из четырех операций мы совершаем безналичным способом. Это и обычные переводы со счета на счет, и карточные платежи", — отметила Бушмане-Звайгзне.
Карточные платежи составляют 60% всех безналичных операций в Латвии.
"Ежедневно как общество мы совершаем 2,6 миллиона транзакций", — рассказала специалист.
Значительная часть из них — бесконтактные платежи. Эту технологию мы используем почти каждый день, но редко задумываемся, что происходит в те несколько секунд, когда прикладываем телефон или банковскую карту к терминалу.
"Девять из десяти платежей мы совершаем бесконтактным способом, и столь же часто расплачиваемся уже не самой пластиковой картой, а каким-либо устройством. Чаще всего это телефон", — отметила Бушмане-Звайгзне.
Apple Pay был внедрен в 2014 году, а уже в 2017 году бесконтактные платежи со смартфона впервые стали доступны и в Латвии. С тех пор расчеты с помощью умных устройств стали частью повседневной жизни.
Как работают бесконтактные платежи?
Мы привыкли, что платеж проходит мгновенно, однако в этом, казалось бы, простом действии задействовано множество сторон — клиент с картой, эмитент карты, поставщик платежных услуг, принимающая сторона, продавец, а также карточные системы, наиболее известными из которых являются Visa и Mastercard.
"Сначала связь устанавливается между картой и терминалом. Параллельно терминал отправляет сообщение в банк, который подтверждает, достаточно ли средств на счете, привязанном к карте. В этом процессе участвуют и карточные системы, обеспечивающие передачу информации", — объяснила специалист.
Карточные системы играют важную роль, поскольку обеспечивают подключение всех операций к единой системе и единому потоку данных, независимо от банка или платежного сервиса. Благодаря этому мы можем расплачиваться картой в любой точке мира, пользуясь услугами любого банка, причем в соответствии с международными стандартами безопасности. За это отвечают две технологии — NFC и EMV.
"NFC — это канал связи. В принципе, это небольшая антенна, встроенная в каждую карту. Используя эту антенну, терминал обращается к карте и спрашивает, готова ли она выполнить операцию. EMV — это технологический стандарт безопасности, который обеспечивает генерацию уникального кода для каждой операции и ее однократное выполнение", — пояснила Бушмане-Звайгзне.
Используя канал NFC, терминал получает информацию от карты, а затем через карточные системы отправляет ее в банк, чтобы выяснить, можно ли продолжать транзакцию.
Если вместо карты используется телефон, схема становится еще сложнее, поскольку в ней задействуются дополнительные системы.
"Этот NFC-чип можно встроить практически в любое устройство — умные часы, кольцо и так далее. Что добавляется при оплате смартфоном — это шифрование, или токенизация номера карты. В вашем телефоне — в используемом кошельке — хранятся не данные карты, а зашифрованные номера, которые умеет распознавать только ваш банк", — отметила специалист.
Что безопаснее — прикладывать карту или телефон?
Независимо от того, платим мы картой или умным устройством, обмен информацией происходит с использованием безопасного стандарта EMV. Однако телефон обеспечивает дополнительную защиту, поскольку платеж необходимо подтвердить с помощью распознавания лица, отпечатка пальца или специального кода. При использовании банковской карты повторного подтверждения не требуется.
"Одним из самых популярных способов оплаты, особенно среди молодежи, являются платежи с помощью мобильных устройств, например Apple Pay. Надо сказать, что этот способ достаточно безопасен — определенно безопаснее, чем старые добрые платежи с проведением карты, которые до сих пор используются в некоторых странах Азии и США", — отметил эксперт по кибербезопасности Кирилл Соловьев.
Он также согласился, что платежи смартфоном столь же безопасны, что и карточные, а возможно, даже чуть безопаснее — поскольку сначала требуют подтверждения биометрическими данными.
Кроме того, если банк, обрабатывающий платеж, не допустил серьезных ошибок в архитектуре безопасности, транзакцию невозможно повторить без ведома пользователя. То есть списать большую сумму, чем было предусмотрено, нельзя.
"Совсем другая история — это карты и так называемое "прикладывание" карт. Надо сказать, что это довольно небезопасно. Хотя технология сравнительно современная, я бы поставил ее примерно на тот же уровень безопасности, что и карты с магнитной полосой, поскольку в этом случае достаточно просто приложить карту", — пояснил эксперт.
Исследователи в области кибербезопасности обнаружили множество способов, которыми злоумышленники потенциально могут воспользоваться этой технологией, и риск довольно высок.
"Нам даже не обязательно находиться в магазине. Были случаи за рубежом, когда злоумышленники с беспроводным терминалом, которым обычно оплачивают, например, кофе, просто перемещались по общественному транспорту и прикладывали его к картам людей, находящимся в карманах", — рассказал Соловьев.
Пока такие случаи фиксировались редко и только за границей, однако нельзя исключать, что в будущем подобное может произойти и у нас.
Защититься помогает установка лимита на бесконтактные платежи физической картой. В таком случае мошенники смогут списать лишь небольшую сумму. То же касается и других устройств, с помощью которых можно совершать бесконтактные платежи без обязательного подтверждения каждой операции.
Проверьте настройки Apple Pay
Сказанное подтвердил и Элвис Страздиньш, добавив, что еще один недостаток ношения банковской карты заключается в том, что она "выдает" свои данные.
"Это означает, что я могу подойти, например, с устройством Flipper Zero, способным считывать данные карт. Если карта находится у вас в кармане, я могу считать номер карты и дополнительные данные. Я провел эксперимент — таким образом считал данные карты своей жены, ввел их на Amazon и купил очень дорогую технику, и никто ничего у меня не спросил".
Эксперт отметил, что защитить карты можно с помощью кошельков, блокирующих электромагнитные волны, однако и это не всегда спасает: "В целом я бы не рекомендовал носить с собой карты, а советовал бы пользоваться такими сервисами, как Apple Pay или Google Pay".
Говоря об Apple Pay, Страздиньш подчеркнул, что у этого сервиса есть один недостаток, который может устранить любой пользователь.
Для этого нужно открыть настройки смартфона, выбрать раздел Wallet & Apple Pay и убедиться, что в пункте Express Travel Card установлено значение None, то есть ни одна карта не выбрана в качестве транспортной.
В противном случае платежи могут проходить без подтверждения.
"Недавно была продемонстрирована ситуация, когда человеку, не разблокируя телефон и не получая никакого разрешения, с помощью терминала удалось списать с карты в телефоне 10 тысяч долларов. Конечно, риск минимален, поскольку для этого кому-то пришлось бы украсть работающий терминал и модифицировать его, и вряд ли такое будет массово происходить на улицах Риги. Но я все же рекомендую отключить эту функцию", — пояснил Страздиньш.
Читайте Delfi в Facebook , Instagram и Telegram !
