Эксперты рассказали о новом способе мошенничества с бесконтактными платежами с карт Visa

При мошенничестве с двумя мобильными телефонами один телефон использовался для сбора данных карты, второй — ненадолго «клонировал» карту. Первое устройство собирает с карты так называемую криптограмму платежа, которая фактически является подписью, гарантирующей действительность будущих платежей. Криптограмма отправляется на второй телефон, который затем симулирует карту и сам процесс оплаты. Потом злоумышленники могут повторять операцию бесконечно, воспроизводя атаку с перехватом, как описано ранее.

Сотрудники Positive Technologies Ли-Энн Галлоуэй и Тим Юнусов попробовали воспроизвести трюк на личной карте Visa корреспондента Forbes. Они провели три платежа по £31. На своих собственных картах они сделали бесконтактные платежи на сумму £101. Галлоуэй отмечает, что мошенники могут украсть намного больше, доходя до сотен и тысяч.

Специалисты пока выясняют, работает ли эта схема где-то еще, но Галлоуэй утверждает, что одной Великобританией дело не ограничивается. Лимиты, конечно, везде разные. Например, в США ограничение составляет $100.

Обновлять свои системы для пресечения махинаций Visa не планирует. По мнению финансового гиганта, трюк вряд ли можно проделывать в реальной жизни, ведь злоумышленникам необходимо иметь карту на руках, а такое происходит нечасто. Галлоуэй не согласна с тем, что карту обязательно красть. Как было показано в ходе испытания, злоумышленнику нужно лишь ненадолго близко подобраться к карте жертвы и считать платеж.

Представитель Visa заверяет, что с 2017 по 2018 год доля мошеннических операций с бесконтактными платежами во всем мире сократилась на 33%, а в Европе — на 40%. Однако данные банковской ассоциации UK Finance говорят о том, что в 2018 году убытки клиентов от махинаций с бесконтактными платежами составили £19,5 млн, а в 2017-м было украдено £14 млн. UK Finance отмечает, что это довольно немного, учитывая, что общий объем бесконтактных платежей в Великобритании составил £69 млрд в 2018 году.

Стивен Риджвей, сооснователь и технический директор стартапа th4ts3cur1ty.company, занимающегося разработками в сфере кибербезопасности, заявляет, что пресечь атаки, описанные Positive Technologies, на техническом уровне крайне проблематично: «Быстрого решения в данной ситуации может и не быть, даже если поставщик платежных услуг делает проверку операций на сумму свыше £30 обязательной».

Что касается клиентов, то крайне важно держать свою карту в безопасном месте. Для тех, кто боится, что их карту смогут считать сквозь кошелек, в продаже есть специальные непроницаемые подложки. Как недорогое решение Риджвей также упомянул чехлы для телефонов, потому что они тоже имеют подобную защиту. А еще полезно просматривать ленту операций, чтобы выявлять подозрительные транзакции, не дожидаясь сообщений от банка.

Улучшить положение дел может совершенствование финансовой безопасности и новые правила работы банков. По словам Риджвея, как только бесконтактные платежи станут повсеместными, вполне вероятно, что поставщики платежных услуг быстро найдут способ распознавать подозрительные операции и блокировать их. Спасением могут стать и грядущие изменения в европейском законодательстве. С сентября 2019 года европейские банки должны будут обязаны требовать PIN-код после того, что как общая сумма бесконтактных платежей за последние пять бесконтактных транзакций в один день превысит £130.

Перевод Антона Бундина