Газета «Известия», со ссылкой на компанию Zecurion, сообщает, что в России зафиксированы случаи нового вида мошенничества. Злоумышленники удаленно похищают деньги с банковских карт, оснащенных RFID чипами, используя самодельные бесконтактные ридеры. Специалисты Zecurion заявляют, что в 2015 году хакеры сумели похитить у россиян порядка 2 млн рублей.
Лишь около двух миллионов граждан РФ используют карты с RFID чипами. Две наиболее распространенные технологии бесконтактной оплаты товаров были разработаны компаниями Visa и Mastercard. Карты с технологией PayPass (Mastercard) выпускают 43 крупных российских банка, карты c PayWave (Visa) — 16. При расчетах такой картой в большинстве случаев не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки не превышает определенного лимита. В странах еврозоны такие операции ограничиваются 25 евро, в США 15 долларами, в Великобритании 20 фунтами стерлингов (с сентября 2015 года - 30), 50 злотыми в Польше, а в России — 1000 рублей.
Безопасность таких карт давно вызывает вопросы у специалистов. Дело в том, что аутентификация посредством PIN-кода требуется далеко не всегда, плюс RFID чип теоретически можно частично клонировать, притом дистанционно. Хотя PayPass и PayWave предотвращают прямое считывание содержимого с чипа (в том числе ключей шифрования), с него все же можно достать такие данные, как номер карты и срок ее действия.
В России бесконтактные системы оплаты широкого распространения до сих пор не получили. PayPass и PayWave применяются в нашей стране с 2008 года, но лишь небольшим количеством банков. Проблема в сложности и дороговизне этой технологии, карты с RFID чипами стоят дороже обычных на 50–100% (в зависимости от дизайна и типа карты). В России насчитывается порядка 30 000 точек приема PayPass.
Специалисты Zecurion рассказали «Известиям», что средства с карт PayPass и PayWave списываются мошенниками с помощью самодельных ридеров, способных сканировать такие банковские карты. По сути, хакеры создали самодельные аналоги легальных бесконтактных PoS-терминалов. Стоимость настоящего терминала для работы с технологиями бесконтактной оплаты составляет порядка 20 000 рублей. Между тем, если собирать ридер самостоятельно, понадобится около $100 — именно в такую сумму обошлось мошенникам создание устройств.
«Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов. — Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана».
5-20 сантиметров расстояние, казалось бы, небольшое, вряд ли хакер сумеет подобраться так близко. Но в толпе или в общественном транспорте провернуть подобный трюк вполне возможно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций.
Невзирая на защиту технологий PayPass и PayWave, с таких карт можно извлечь номер карты и дату окончания срока ее обслуживания – одного этого порой бывает достаточно для проведения транзакций и изготовления клона с магнитной полосой. Кроме того, хакерам доступна история операций по карте, в том числе точные суммы и даты списаний. Исходя из этих данных, можно весьма точно спрогнозировать остаток на счете.
Все же недаром на рынке в последние годы появились кошельки и чехлы для карт с защитой от несанкционированного считывания RFID. Также усложнить жизнь мошенникам можно просто положив две бесконтактные карты рядом – это тоже затруднит получение данных.
Фото: pixabay.com
