Насколько безопасна оплата бесконтактной картой?

Насколько безопасна оплата бесконтактной картой?
​Марина Нифонтова, 13 ноября 13 ноября

Россияне стали чаще оплачивать покупки бесконтактными картами. Многие банки выпускают все свои карты с этой функцией и ставят банкоматы с поддержкой бесконтактных платежей. Это удобно для покупателя: не нужно вставлять карту в считыватель и вводить пин-код. Может ли злоумышленник так же просто воспользоваться деньгами? В городские легенды вошли истории о ворах, которые ездят в общественном транспорте с терминалом. Предприимчивые люди зарабатывают на этом — продают кошельки с кармашками из фольги. Разбираюсь, стоит ли опасаться бесконтактных карт.

Как работают бесконтактные платежи картой?

Чтобы покупка по карте состоялась, нужно, чтобы карта покупателя и терминал продавца были подключены к банковской системе. Когда покупатель подносит бесконтактную карту к терминалу, банк продавца отправляет запрос банку покупателя через платёжную систему (VISA, MasterCard, МИР). Банк покупателя одобряет транзакцию или отказывает в ней. Если все нормально, происходит оплата.

Бесконтактная оплата картой
Бесконтактная оплата картой. Иллюстратор — Марина Нифонтова

Бесконтактные платежи работают по технологии ближней бесконтактной связи NFC (Near Field Communication). NFC основана на радиочастотной идентификации. Данные передаются с одного устройства на другое с помощью электромагнитной индукции.

Как это происходит? Бесконтактная карта имеет маленькую антенну. Терминал излучает магнитное поле, которое возбуждает в карте электрический ток. Ток питает микросхему карты и «включает» её. Когда карта и терминал готовы к взаимодействию, они начинают взаимно обмениваться информацией с помощью радиоволн:

  1. Терминал отправляет карте запрос на транзакцию.
  2. Карта генерирует ключ. Он является одноразовым и подходит только для операции, которая совершается сейчас.
  3. Создаётся запись, в которой указаны подробности операции, включая дату и номер карты. Этот документ привязан к ключу и зашифрован.
  4. Затем сделка завершается. Деньги списываются со счёта покупателя и зачисляются продавцу.

Могут ли в магазине два раза списать деньги за одну покупку?

Перед тем, как проводить платёж, продавец вводит в терминал сумму покупки. После этого покупатель прикладывает карту и происходит продажа — все те действия, о которых мы говорили выше. Когда терминал занят обработкой текущего запроса, повторное списание денег недоступно. Также деньги не спишутся, если терминал не готов к работе — когда не введена сумма покупки.

Может ли кто-то незаметно списать деньги с бесконтактной карты?

Технология бесконтактной оплаты действует на расстоянии до 10 сантиметров, а в среднем — 2-4 сантиметра. Преступнику будет сложно незаметно использовать терминал. Нужно угадать, где именно жертва хранит карту, и незаметно приблизить считыватель. Кроме того, если две бесконтактные карты находятся рядом, большинство терминалов не смогут списать деньги ни с одной из них.

Многие люди пользуются СМС-информированием от банка. Это дополнительный риск для мошенника. Жертва может сразу заметить кражу. Но даже если злоумышленнику удастся незаметно украсть деньги, ими будет сложно воспользоваться. Чтобы бесконтактный терминал полноценно работал, его нужно подключить к банковской системе. Преступнику нужно заключить договор с банком и открыть счёт.

Можно купить готовую подставную фирму с расчетным счетом. Такие стоят от 20 тыс рублей, а чаще — около 200 тыс рублей. Оправдаются ли затраты? C одного человека за раз можно получить не более тысячи рублей. Это ограничение установлено в России по рекомендациям VISA и MasterCard. Конечно, мошенник может попытаться списать деньги несколько раз. Но вероятность успеха мала. Каждая операция по карте проверяется антифрод-системой. Антифрод — это автоматическая система безопасности, которую используют банки. Сложный алгоритм анализирует вероятность мошеннической сделки. Подозрительная операция не состоится, или система запросит дополнительное подтверждение от владельца карты.

Кража денег с бесконтактной карты при помощи терминала маловероятна. Это слишком рискованно: трудно незаметно снять деньги, а в случае успеха — не попасться.

Можно ли украсть информацию о карте и создать её копию?

Существуют устройства, которые могут перехватить данные с карты. Их сложно использовать незаметно. Так, хакерский прибор HydraNFC нужно разместить между картой и терминалом. В случае успеха преступник получит номер карты и срок её действия. Этого не достаточно для оплаты покупок в большинстве интернет-магазинов — обычно для таких сделок требуется также CVV-код и одноразовый СМС-пароль. Однако некоторые сайты не требуют этой информации.
В отличии от физических карт, бесконтактные платежи Apple Pay или Google Pay защищены от такой угрозы лучше. Даже если данные удастся перехватить, их нельзя будет использовать для оплаты ни в одном интернет-магазине.

Что, если злоумышленник украдёт карту и воспользуется ей?

К сожалению, в случае потери или кражи карты посторонний человек сможет ей пользоваться. В российских банках устанавливают лимит на бесконтактные платежи в 1 000 рублей за операцию. Но злоумышленник может успеть сделать несколько покупок в пределах лимита. В случае потери или кражи бесконтактных карт действует стандартная рекомендация: срочно заблокировать карту и подать заявление в полицию. 

Безопасно ли платить телефоном?

Еще один вариант защиты — привязать карту к Google Pay или Apple Pay. Эти технологии безопаснее в сравнении с бесконтактными картами, так как для проведения любых платежей нужна авторизация владельца — как правило, отпечаток пальца или сканирование сетчатки глаза.

Марина Нифонтова
А вы пользуетесь бесконтактными картами? Оплачиваете покупки смартфоном или часами?
  • Александр Громов

    Карты в Apple Pay добавлены. Несколько раз выручало, когда забывал кошелек в офисе или дома. Плюс удобно оплачивать билеты в кино из приложений (в «Афише», например, поддержка Apple Pay реализована). В нашем городе одна из доставок пиццы реализовала поддержку Apple Pay на сайте. Не нужно тратить время на заполнение данных карт при оплате заказа.

    • http://vk.com/id21092959 Марина Нифонтова

      Кажется, догадываюсь, о ком речь. И мечтаю, чтобы они заключили договор и с Гуглем. Потому что Apple Pay у меня нет, а за оплату через него дают мою любимую пиццу пепперони.

  • Наталья Кузнецова

    Удобная штука однако — бесконтактные карточки. Правда, есть один огромный минус: для такой карты нужно специальное устройство. Моя «балалайка» ее не потянет. Жаль.

    • Александр Громов

      Наталья, вы смешиваете бесконтактные карты и бесконтактные платежи смартфоном (Google Pay, Apple Pay). Для бесконтактной карты никаких устройств не нужно, просто подносите карту к терминалу, и все. А для оплаты смартфоном действительно нужно подключить карту в приложении. Насколько мне известно, они входят в стандартный набор предустановленных приложений во всех смартфонах как на Андроиде, так и на iOS.