Как Крадут Деньги с Бесконтактных Карт

Правда или миф: можно ли украсть деньги с карты при помощи NFC?

Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?

Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?

Незаметное считывание

Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии.

Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны.

Считыватель, спрятанный в кармане куртки, тут не поможет…

Преступники научились похищать деньги с карт при помощи смартфонов с поддержкой NFC или самодельных терминалов: https://t.co/mniTlYdWu6

— Kaspersky Lab (@Kaspersky_ru) January 26, 2016

…При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см.

В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.

Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит.

При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции.

Очень хлопотный и неудобный способ, но вроде как реалистичный.

Пока Apple Pay воюет за место под ритейловым солнцем, в Чили взломали платежную систему на базе NFC: http://t.co/RypZavxCnD

— Kaspersky Lab (@Kaspersky_ru) October 31, 2014

Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.

Данные…

Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях.

Маловато для чего-то серьезного? В целом скорее да.

Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.

Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.

— Kaspersky Lab (@Kaspersky_ru) August 18, 2015

Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.

…или деньги?

Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.

Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.

Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.

Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
Тут, однако, начинается серая зона.

Что, если…

• Хозяин карты недостаточно внимательно читал пункт договора, в котором написано, что те самые мини-транзакции «до 1000 руб.» опротестованию не подлежат? (Ни разу сам не видел, но, говорят, бывает.)
• Время опротестования мини-транзакций заметно меньше, чем у более крупных платежей, а клиент вовремя не заметил SMS от банка?
• Терминал зарегистрирован на поддельную фирму, записанную на чужие данные? Кража паспортов — не такое уж редкое явление, особенно с учетом того, что биометрические документы пока еще распространены отнюдь не повсеместно.

Отличная статья на РБК про то, как вернуть украденные с банковской карты деньги: http://t.co/kdbGGC9txg pic..com/xV5oUUVBfd

— Kaspersky Lab (@Kaspersky_ru) June 10, 2015

При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.

Что касается фирм, зарегистрированных на чужое имя, то, мне кажется, подобного рода мошенничество организуется ради гораздо более серьезных операций, нежели попытка увести с чужих карт несколько десятков тысяч рублей, которые попросту не окупят криминальные вложения.

Пять уроков, которые стоит извлечь из взлома кредитной карты: http://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется «пластиком».

— Kaspersky Lab (@Kaspersky_ru) November 12, 2014

Ах да, есть еще вариант с незадачливым курьером, потерявшим терминал. Но он не для преступников: вывести деньги со счета фирмы, на которую зарегистрирован терминал, можно только, например, взломав электронный банк. И зачем тогда, спрашивается, вообще красть терминал?

Что делать-то?

Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.

Вот что я решил для себя:

• хранить бесконтактные карточки в контролируемой зоне в одежде на груди. Не рядом с телефоном;
• несмотря на отсутствие прямой и непосредственной угрозы, рассмотреть вопрос об экранированном хранилище;
• сохранять чеки при пользовании картой. При опротестовании жульнической транзакции наличие чеков по платежам за период, в который все и произошло, может, по крайней мере по словам банковских сотрудников поддержки, помочь в расследовании и снизить шансы на то, что деньги пропадут безвозвратно;
• регулярно убеждаться, что с защитными решениями на всех моих устройствах все в порядке и они регулярно обновляются. Их наличие даже не обсуждается. Я выбрал Kaspersky Total Security для всех устройств — в нем есть специальный компонент для защиты электронных платежей, им можно управлять из облака, а в случае кражи моего телефона с NFC можно этот самый телефон заблокировать. Кроме того, среди мобильных троянцев есть куда более неприятные экземпляры, особенно для тех, кто, как я, активно пользуется электронным банкингом, и Kaspersky Internet Security их успешно ловит.

Источник: https://www.kaspersky.ru/blog/nfc-cards-security/11061/

Кража денег с PayPass-карт: миф или реальность

Российские банки в течение последних двух-трех лет активно выпускают карты с поддержкой бесконтактной оплаты PayPass и Paywave — именно так называются эти системы у Mastercard и Visa соответственно. Более 30 тысяч торговых точек в России поддерживают их прием — приложив карту, можно и проезд в метро оплатить, и кольцо с бриллиантом.

Основное применение, конечно, — это микроплатежи, поскольку при суммах до 1000 рублей не требуется ни ввода пин-кода, ни подписи владельца — приложил и пошел, хотя и для более крупных покупок бесконтактная карта дает дополнительную безопасность, ведь вы не выпускаете ее из рук: если же она окажется у продавца, кассира или официанта, то он может как минимум быстро и незаметно получить ее реквизиты, а затем продать их кардерам.

Специальный валидатор, который поддерживает технологию PayPass, уже установлен в автобусах Москвы и Санкт-Петербурга. С ним проезд можно оплачивать самостоятельно с помощью банковской карты. petersburg.ru

Где тут уязвимость?

Тем не менее, можно прочитать данные вашей бесконтактной карты, причем для этого не нужен даже терминал, а достаточно смартфона с поддержкой NFC. В частности, никак не защищен от считывания номер карты и срок ее действия, а также список и суммы последних транзакций.

Этой информации недостаточно для создания полноценного клона, однако в ряде случаев достаточно для CNP-транзакции (Card Not Present) — то есть, операции без присутствия карты, или, попросту говоря, осуществления платежа через интернет или по телефону (например, в России так можно через колл-центр купить билеты «Аэрофлота») — без ввода имени/фамилии и CVC/CVV-кода.

В США за 4 года группа мошенников «обчистила» более миллиона банковских карт, списав с каждой всего по 9 долларов. Из-за незначительности суммы заметили и оспорили пропажу всего 10% пострадавших.

Нужно ли бояться человека с терминалом?

В начале этого года рунет взбудоражила история IT-специалиста, который сфотографировал в метро человека с беспроводным банковским терминалом и предположил, что с его помощью пассажир крал деньги с бесконтактных карт пассажиров.

Ведь какая разница, карту приложить к терминалу или терминал к карте? Доказательств, конечно, никаких представлено не было, но история активно обсуждалась в СМИ, которые собрали неплохой трафик на заголовках про «Новый способ мошенничества» и «Как страшно жить».

В итоге появилась еще одна городская легенда, которой ловко воспользовались производители бумажников, предложившие изделия с экранированными отделениями для банковских карт. Выкинь свой старый кошелек и купи новый! Дорого! Гарантия! Иначе лишишься всего! Либо, как дурак, заматывай карточки в фольгу. Нет, серьезно, именно такие советы пишут авторы статей об этой «уязвимости».

На самом деле эта городская легенда — что-то вроде историй про крыс-мутантов, которые живут в канализации, внезапно выныривают из унитаза и откусывают ноги ничего не подозревающим обывателям. То есть, считать бесконтактную карту, лежащую в кошельке хозяина, теоретически можно. Но практически…

Во-первых, вы не знаете, у кого из пассажиров есть карта с PayPass, а у кого нет. У большинства нет. Во-вторых, вы не знаете, где эта карта лежит, а считать NFC-карту терминалом можно только в непосредственной близости, не больше пары сантиметров. То есть, нужно, получается, подходить ко всем подряд и тщательно водить терминалом вдоль сумок и карманов жертвы.

Информацию с карты с PayPass можно считать только на расстоянии нескольких сантиметров. Daily Mail

Американскими экспертами по IT-безопасности, конечно, был сделан экспериментальный считыватель, позволяющий «снимать» данные чуть ли не с нескольких метров, но возить его пришлось аж в тележке из супермаркета.

И есть «троян» для Android-смартфонов, который, если носить телефон вместе с картами, может их тихонько прочитать и отправить данные злоумышленнику, однако тут вероятность совпадения нескольких условий успеха тоже невелика.

Но, допустим, считать данные удалось.

Куда уйдут эти деньги? Каждый терминал зарегистрирован в банке, а каждый его владелец имеет специальный счет продавца, на который эти деньги поступают.

То есть, никакой анонимности здесь нет, и вывести средства, полученные преступным путем, очень сложно; вернее, даже невозможно это сделать, оставаясь анонимным.

IT-специалист Сергей Вильянов считает, что бесконтактные транзакции защищены не хуже, чем платежи по чипованным картам (тем более, что карты, поддерживающие бесконтактные платежи, всегда чипом оснащены).

Стандарт EMV, по которому защищены беспроводные платежи, исключает саму возможность клонирования карты по информации, передаваемой во время транзакции. Это даже сложнее, чем клонировать человека по капле слюны. Ну, и если бы у кого-то появилась такая возможность, вряд ли бы он торговал ею по цене айфона, потому что Visa и MasterCard купили бы описание уязвимости гораздо дороже.

В общем, не уязвимость, а один сплошной анекдот. Так что никаких специальных кошельков и шапочек из фольги вам не нужно: платить за него вдвое больше просто потому, что внутри металлизированная сетка? Сомнительное решение.

Есть, впрочем, одно исключение: это кошельки, в которых экранируются все карты, кроме одной.

Это позволит использовать бесконтактную оплату, не извлекая карту из бумажника: в обычном же портмоне PayPass-карты будут конфликтовать не только друг с другом, но и с проездными на общественный транспорт, ключ-картами от офисов и т.п. И обязательно проверьте, подключено ли у вас 3-D Secure. 

Как защититься?

Основной способ защиты от подобного мошенничества — это технология 3-D Secure, которую поддерживает большинство банков; часто владелец карты может сам выбрать, включать или нет ее для своей карты, однако в солидных банках без подключенного 3DS просто не будут работать платежи через интернет.

Суть технологии предельно проста: при проведении платежа браузер перенаправляется на страницу банка, где предлагается ввести одноразовый пароль, полученный по SMS на привязанный к карте номер.

Безусловно, эти SMS злоумышленник тоже может перехватить, однако одновременно и считать ваши данные карты, и перехватить сообщения практически нереально, уж проще тогда просто отобрать у вас сумку с телефоном и кошельком.

Тем не менее, 3D-Secure — не панацея. Некоторые банки разрешают операции по карте и там, где технология не поддерживается. В этом случае нужно уточнить, нельзя ли установить лимиты по таким незащищенным операциям, и тогда риск внезапного опустошения счета будет минимальным.

Источник: https://hi-tech.mail.ru/review/paypass-stealing/

5 основных афер с банковскими картами: как не стать жертвой мошенников

Кражи денег с платежных карт за последний год сократились, но стали изощреннее. Первый заместитель начальника ГУ Банка России по Центральному федеральному округу Ильшат Янгиров раскрыл пять основных способов, при помощи которых мошенники опустошают карты граждан, и рассказал, как избежать потерь.

По данным Банка России, доля несанкционированных снятий средств с «пластиковых» счетов в общем объеме операций, совершенных с использованием платежных карт, в 2017 году составила 0,0016 процента. Цифра кажется мизерной лишь на первый взгляд.

В абсолютном значении это почти миллиард — 961,3 миллиона рублей. Отрадно, что объем потерь на 10,6 процента меньше, чем годом ранее.

Это результат действий Банка России, правоохранительных органов и, конечно, самих операторов по переводу денежных средств.

Пассажиры смогут оплачивать проезд одной картой в любом городе РФ

Однако количество мошеннических операций в 2017 году составило 317 178, и это выше, хотя и ненамного, уровня 2016 года. Ситуация осложняется тем, что 40 процентов от количества и 44 процента от их объема совершается за пределами России. И это существенно затрудняет поиск злоумышленников и привлечение их к ответственности.

По-прежнему лучшая защита платежных карт — это внимательность и осторожность их владельцев. Существует несколько наиболее распространенных способов мошенничества с банковскими картами.

Лукавый расчет

Деньги с банковской карты могут похитить даже там, где вы никак этого не ожидаете.

Кассир, официант, заправщик, работник банка или любой другой сотрудник, которому гражданин передал платежную карту для расчета, может сфотографировать, переписать ее данные или просто запомнить их, чтобы потом изготовить дубликат карты. Сделать это можно незаметно.

Заранее включается записывающее устройство (это может быть и обычная камера видеонаблюдения), на записи с которого карта видна с обеих сторон. В этом случае мошенникам остается лишь отмотать запись на нужное время и переписать данные карты.

Чтобы этого не случилось, не стоит передавать карту посторонним, рассчитываясь за покупку или предоставление услуг. Обратите внимание на поведение сотрудника, совершающего операцию.

Если он фотографирует вашу карту на мобильный телефон под видом набора номера или смс, следует прервать операцию, потребовать возврата карты.

И лучше всего обратиться в банк, выдавший карту, с заявлением о ее перевыпуске: ведь вы не знаете, какие данные успел заснять мошенник.

Кто платит дважды

Представьте, что вы оплачиваете покупку в супермаркете. Передаете карту оператору, тот проводит ее через считывающее устройство.

Вы, если нужно, вводите ПИН-код. И тут кассир сообщает, что произошла ошибка, и оплата не прошла. Все повторяется сначала, и транзакция выполняется успешно. А спустя какое-то время вы обнаруживаете, что деньги за покупку были списаны дважды.

Россияне все реже стали откладывать на «черный день»

Удивительно, но даже те, у кого подключена услуга смс-информирования о совершенных операциях, не всегда сразу замечают исчезновение денег, думая, что вторая смс о списании средств — ошибка или дубль, так как суммы совпадают. Такие транзакции легко опротестовать и вернуть свои деньги. Но виновных сложно привлечь к ответственности, так как все можно списать на сбой в системе или ошибку оператора.

Подключите опцию смс-оповещений по операциям карты. Если первая транзакция совершена успешно, владелец карты тут же получит соответствующее смс-сообщение и сможет обосновать свой отказ от повторной транзакции, продемонстрировав его кассиру.

Если вам поступило два сообщения о списании одной и той же суммы, позвоните в банк и проверьте, действительно ли произошло двойное снятие средств со счета.

Бесконтактный грабеж

Многие платежные системы разработали технологии бесконтактной оплаты для ускорения и упрощения безналичной оплаты покупок. Например, PayWave (система Visa), PayPass (MasterCard), «МИР-бесконтакт» (система «МИР»).

Терминалами бесконтактных платежей чаще всего бывают оснащены торговые автоматы, платные автодороги, турникеты, автозаправки, супермаркеты и кафе. При расчетах такой картой не нужно вводить ПИН-код, а также ставить подпись на чеке, если сумма не превышает 1000 рублей.

Специальный POS-терминал на расстоянии считывает информацию с карточки и звуковым либо визуальным сигналом дает понять, что необходимая сумма с нее списана.

Когда выгоднее купить доллары и евро на фоне падения рубля

В Россию эта технология пришла в 2008 году, и мошенники довольно быстро научились с ней работать. Злоумышленнику достаточно приблизить считыватель к карте на расстояние 5-20 сантиметров, чтобы списать деньги.

В переполненном общественном транспорте, на рынке, в магазине злоумышленник прислоняет бесконтактный считыватель к карманам одежды, стенкам сумок и крадет деньги с карт у ничего не подозревающих владельцев.

Полученную информацию мошенники могут записывать на карты-клоны для хищения средств с настоящих банковских карт.

Если вы пользуетесь бесконтактной системой оплаты, помните, что в качестве подтверждения списания суммы более 1000 рублей запрашивается PIN-код, а не подпись чека. Если вы не планируете оплачивать бесконтактным способом покупки на сумму более 1000 рублей, лучше всего установить индивидуальный расходный лимит по карте и ограничить количество возможных транзакций.

Близнецы-«симки»

Один из самых опасных способов кражи денег со счета — изготовление дубликата сим-карты. Он наименее очевиден для владельца карточки. С помощью дубликата мошенники могут получить полный контроль над счетами жертвы, так как счета банковской карты, как правило, привязаны к номеру телефона и могут управляться дистанционно с его помощью.

Этот способ используется, когда злоумышленникам уже удалось завладеть данными карты и им необходимо при помощи кода из смс подтвердить транзакцию перевода денег на нужный счет. Номер телефона владельца карты злоумышленники могут узнать из социальных сетей, от знакомых, при выполнении своих служебных обязанностей и т.д.

Названа самая красивая купюра 2017 года в мире

Вот как это происходит. На мобильный телефон поступают звонки и смс-сообщения с просьбой перезвонить. В качестве отправителей указывают «Центробанк России», CentroBank, «Служба безопасности Банка России», Visa, MasterCard, «МИР». Все эти названия ассоциируются с Центральным банком или платежными системами.

На практике работники офисов не всегда скрупулезны, а паспорт мошенники могут предъявить поддельный.

Выдача дубликата сим-карты должна быть оплачена, поэтому на телефон ее владельца может поступить сообщение о пополнении счета или списании средств, после чего номер вскоре будет заблокирован.

Затем мошенники переводят деньги с карты жертвы на свои карты или рассчитываются за товар в Интернете, подтвердив операции с помощью кода, полученного в смс.

Для потерпевшего ситуация осложняется тем, что исчезновение денег он часто обнаруживает только через несколько дней после происшествия: ведь смс-сообщение о списании средств он получать уже не может, а о привязке мобильного номера карты к банковскому счету может сразу и не вспомнить.

40 процентов мошеннических операций совершается за пределами России, это серьезно затрудняет поиск аферистов

Как минимизировать возможный ущерб? Получив внезапное оповещение об изменении состояния счета после звонков с неизвестных номеров, необходимо немедленно блокировать все свои платежные карты, «привязанные» к этому телефонному номеру.

Для этого нужно позвонить на «горячие линии» банков, номера которых указаны на самих картах. Затем обратитесь к мобильному оператору для разблокировки своей сим-карты и одновременной блокировки дубликата, полученного мошенниками.

Подайте заявление в правоохранительные органы, даже если мошенники не успели списать средства с ваших карт.

Сам себе взломщик

на сайтах бесплатных объявлений или в социальных сетях.

Общее у таких «покупателей» одно: они находятся где-то далеко, но для того, чтобы вожделенный товар не приобрел кто-то другой, они готовы перевести часть стоимости или даже полную стоимость немедленно на банковскую карту продавца.

«Покупатель» просит продавца сообщить ему данные карты (код CVV2/CVC2, срок действия, ФИО владельца), чтобы зачислить на нее деньги.

Если доверчивый продавец сообщает эту информацию, с его карты начинают списываться деньги за оплату товаров и услуг, осуществляться переводы на другие счета и пр. В некоторых случаях злоумышленник пытается узнать код из смс, который приходит на мобильный телефон.

Это значит, что мошенники уже сумели узнать данные карты и не хватает только кода подтверждения транзакции. Получив его, преступники похищают денежные средства.

В этом случае защитить владельца карты может простая осторожность. Не сообщайте данные карты, персональные данные и коды, присланные в смс, посторонним лицам. Не давайте никому доступ к вашей карте через онлайн-банкинг. В любых подозрительных ситуациях нужно звонить в банк, выдавший карту, по номеру, указанному на ее оборотной стороне.

Инфографика «РГ»: Михаил Шипов/Елена Березина

Источник: https://rg.ru/2018/04/17/5-osnovnyh-afer-s-bankovskimi-kartami-kak-ne-stat-zhertvoj-moshennikov.html

«Заройте ваши денежки»: Как избежать кражи денег с вашей карты — простые советы

С развитием интернет-технологий и интеграции платежных систем в мобильные приложения, растет и число методов, ухищрений и уловок, с помощью которых кибермошенники могут похитить ваши деньги. Так портал IZ.ru приводит в своей статье следующую статистику:

• Целых 29% пользователей попадаются на уловки преступников благодаря своей неосведомленности.
• Потеря мобильных устройств также является частой причиной хищения данных и денег — 27%.
• Банальная кража гаджета приводит к хищениям средств со счета в 11% случаев.

ТАСС / Сергей Савостьянов

Далеко не Россия является лидером по краже информации и денег с банковских карт.

Сбербанк предостерег своих клиентов от снятия наличных через сторонние банкоматы в таких странах как Индия, Индонезия, Великобритания, США и Канада.

В этих государствах существует повышенный риск стать жертвой скимминга — снятия ПИН-кода с клавиатуры банкомата или считывания информации с магнитной полосы для изготовления ее копии, сообщает РИА Новости.

Еще относительно недавно для россиян такой вид хищения денег был чем-то диковинным. Но вот уже в 2018 году в Петербурге по 15 лет лишения свободы получили лидеры целой ОПГ, специализировавшийся на считывании карт скиммерами. Денежные средства похищали из банкоматов «Сбербанка» и «ВТБ 24», а общая сумма нанесенного ущерба составила 12,8 миллионов рублей за год.

Так что, не лишним будет вспомнить, что прогресс традиционно несет в себе не только благо, но и новые угрозы. А чтобы себя обезопасить, нужно знать и понимать, чего именно остерегаться. Предупрежден, значит вооружен.

Кража номера телефона

Существует и такой вид мошенничества, как перевыпуск SIM-карты. Мошенник отправляется в салон сотовой связи и от вашего имени просит восстановить номер телефона, мол, потерял SIM-карту.

Сделать это не так просто, ведь сотрудник салона должен попросить у заявителя паспорт.

Были случаи, когда преступники внедряли своего человека в отделения сотовых операторов для получения чужих номеров. Имея доступ не только к информации с карты, но и номеру телефона, мошенник получает возможность совершать покупки онлайн и обходить подтверждение через СМС.

Чем опасна бесконтактная оплата картой?

Оплата покупок стала намного удобнее и быстрее с появлением технологии PayPass — на картах MasterCard и PayWave — на картах Visa. Это системы бесконтактной оплаты. Если сумма вашей покупки составляет меньше 1000 рублей, то деньги списываются без ПИН-кода.

Казалось бы, придуман безопасный способ: карта не вставляется в терминал, а кассир не берет ее в руки. Но и в этом случае кибермошенники придумали способ кражи денежных средств. Переносные скиммеры — это аппараты, которые способны красть данные через радиомаяки PayPass и PayWave.

Стать жертвой скимминг-кражи можно не только оплачивая покупку в магазине, но и снимая деньги в банкомате.

• Поэтому перед использованием терминала внимательно посмотрите на прорезь картоприемника — не прикреплены ли к ней инородные устройства.

Кроме того, так как скиммер — устройство компактное и мобильное, злоумышленник может просто прислонить его к вашей сумке или карману с бумажником. Например, в толчее общественного транспорта или магазинной очереди. Считывание данных занимает лишь пару секунд.

• Как метод противодействия, сотрудники банков рекомендуют держать пластиковые карты в специальных кошельках или холдерах из армированного материала. Народный лайфхак — обернуть карты фольгой.

ТАСС / Дмитрий Серебряков

Бесконтактный платеж можно совершить и через мобильный телефон. Системы Apple Pay и Android Pay являются более безопасными, заверил научный сотрудник лаборатории проблем компьютерной безопасности Андрей Чечулин.

«С телефона нельзя считать данные карты, потому что он отвечает на запрос транзакции только в том случае, если вы это подтвердили отпечатком пальца или лицом, как на новых Айфонах, паролем каким-то. Требуется некое ваше действие для этого» — пояснил эксперт.

У злоумышленника практически отсутствует возможность списать деньги или информацию без вашего подтверждения. Технология распознавания лиц и отпечатков пальцев постоянно совершенствуется.

Самые современные устройства уже научились отличать живое лицо от фотографической маски, а отпечаток пальца бодрствующего человека от спящего с помощью считывания ритма пульса, типичного для конкретного пользователя.

Звонок от «банка»

Чуть ли не каждому пользователю хоть раз в жизни поступали липовые звонки от банков. Мошенники пытаются либо навязать кредит, либо вытребовать у вас данные карты.

Реальный сотрудник банка не может требовать назвать пароль доступа к счету, если сам вам звонит, так как вся необходимая информация хранится в системе организации. Кодовое слово у вас запрашивают только в том случае, когда вы сами обращаетесь в банк за какой-либо услугой.

Но иногда бывают случаи, когда телефонный звонок поступает с реального номера банка. Преступники пользуются специальными сервисами, через которые можно совершать звонок с любого номера.

ТАСС / DPA

В этом случае для начала нужно проверить номер телефона, с которого поступил звонок. Настоящий номер банка указан на самой банковской карте. Не стоит сообщать свои данные, даже под давлением, этим приемом злоумышленники пользуются очень часто, специально торопят собеседника, постоянно его одергивают, используют директивные интонации и повелительные формулировки.

• Ни в коем случае не нужно поддаваться панике или истерике. Сошлитесь на то, что не можете говорить и сами позвоните в банк. Если звонок действительно поступил оттуда, то об этом будет знать любой оператор единого колл-центра.

Резюмирующий ликбез по кибербезопасности

Чтобы избежать подобных проблем, следует серьезно относиться к сохранности своих персональных данных и помнить, что наши финансы уже давно вышли за пределы физического кошелька.

• Не доверять свои банковские и паспортные данные посторонним людям — самый банальный, но и самый важный совет.
• Держать кредитные и дебетовые карты вместе. Не разбрасывать их по сумке. Так скиммерам будет практически невозможно считать с них информацию.
• Установить антивирус на личный компьютер во избежание кражи информации во время онлайн-покупок и посещений социальных сетей.
• Не доверять звонкам от «сотрудников» банка. Всегда перезванивать по номеру, представленному на вашей банковской карте и перепроверять звонок.
• Не сообщать во время подозрительных звонков свой пароль, номер, срок действия и код безопасности карты.
• Не совершать онлайн-покупки на подозрительных и малоизвестных сайтах.

Яна Вахрушева

Источник: https://www.5-tv.ru/news/257131/zarojte-vasi-denezki-kak-izbezat-krazi-deneg-svasej-karty-prostye-sovety/

Могут ли через NFC украсть деньги?

Модули Near Field Communication используют для совершения оплаты в магазинах, обмена информацией между гаджетами. С момента своего появления они успели укрепиться в повседневности. Терминалы для оплаты гаджетами появились в магазинах по всему миру: от крупных городских гипермаркетов до небольших семейных прилавков в деревнях.

Даже в автобусах можно рассчитаться смартфоном, если в нем есть чип NFC. Проездные выпускаются уже с этим модулем. Например, в карте «Тройка» установлены микросхемы от компании Micron. Билет больше не нужно вставлять в терминал: достаточно приложить его к специальной зоне.

Оплата занимает значительно меньше времени, чем при использовании банковских карт с чипом или наличного расчета.

Как работает NFC

Передача данных между смартфонами происходит, когда пользователи активируют функцию бесконтактного поля. Для этого устройства должны находиться как можно ближе друг к другу.

Поймать связь не получится, если между ними будет расстояние больше десяти сантиметров. Соединение устанавливается на частоте тринадцать мегагерц.

Этот диапазон принадлежит стандарту беспроводных подключений ISO 14443, который устанавливается во всех современных гаджетах и кредитных картах.

Функции NFC можно использовать для:

1. оплаты покупок через терминалы стандарта EMV;
2. быстрого подключения аксессуаров;
3. передачи данных на гаджеты;
4. считывания информации с меток.

Чипы NFC в смартфонах, кредитных картах и проездных внешне различаются, но от этого не меняется система их работы.

По металлическим контактам передается запрос, микросхема обрабатывает его и в обратном направлении отправляет данные о платеже. По такому же принципу работают пластиковые карты с чипами.

Бесконтактный перевод данных осуществляется с помощью антенны, которая передает радиосигнал терминалу.

Безопасность бесконтактной оплаты смартфоном

Функция давно используется в пластиковых картах, они воспринимаются как более защищенный способ расчета в магазинах.

На самом деле, смартфоны с чипом NFC сами по себе не несут угрозы. Установив соединение с терминалом, гаджет проходит идентификацию — передает информацию о счете, с которого списываются средства. Приложения для оплаты используют для этих целей уникальный номер устройства, обеспечивая дополнительную защиту.

При этом, взломать терминалы нельзя: они проходят специальную сертификацию безопасности PCI SSC (Payment Card Industry Data Security Standard). Единственный способ, которым злоумышленники могут получить данные со смартфона: использовать считыватели для NFC.

Дополнительно придется обойти защиту используемого приложения.

Гаджет начнет работать как терминал и станет передавать информацию о платеже на стороннее устройство. Такой способ взлома разработали Рикардо Родригес и Хосе Вилла — испанские хакеры, презентовавшие свою разработку на конференции для профессиональных взломщиков, которая называется «Hack In The Box».

Мишенью для таких махинаций становятся люди, которые предпочитают чехлы на телефоны с отделениями для кредиток.

Чтобы не стать жертвой мошенничества, рекомендуется держать смартфон и пластиковые карты раздельно.

Так устройство не сможет считать данные и сделать перевод на чужой счет без участия владельца. Если это правило соблюдается, а гаджет систематически сканируется антивирусом, риск взлома минимален.

Защита данных при оплате через NFC

Для безопасности терминалы используют стандарт EMV (Europay + MasterCard + VISA). Он встроен во все аппараты, где предусмотрен расчет картой с чипом.

Когда пользователь прикладывает смартфон или smart-часы к считывателю, в системе генерируется одноразовый ключ. Терминал перенаправляет запрос в банк. Если код совпал, оплата проходит.

Так получить доступ к финансам могут только аппараты, зарегистрированные в системе банка.

Перехват ключа мошенниками не несет угрозы для пользователей. Код запрашивается для одной транзакции и будет действителен только для ее оплаты.

Например, если пользователь совершил оплату через NFC, а затем чек был отменен, для повторной покупки терминал запросит новый ключ. Из-за таких сложностей мошенники не могут перехватить данные и остаться незамеченными.

Им придется взломать банковскую систему, чтобы получить код, сгенерированный гаджетом.

Денежный лимит на оплату

Транзакции с помощью NFC происходят значительно быстрее, ведь соединение устанавливается за секунду. На данный момент, при покупках до тысячи рублей терминалы в России не требуют подтверждения в виде PIN-кода.

Если к гаджету привязана карта Visa, то без пароля можно оплачивать суммы до трех тысяч рублей. Изменения вступили в силу 13 апреля 2019 года.

Для остальных платежных систем повышение аутентификационного порога пока не планируется.

Обязательное наличие операционной системы

В 2018 году были презентованы два браслета с NFC чипом: Mi Band 3 и Honor Band 4. В них производители добавили долгожданную бесконтактную оплату. Разочарованию покупателей не было предела: функция оказалась рабочей только в Китае.

В остальных странах мира использовать чип можно только для связи со смартфоном и быстрой синхронизации. Бренды не дают обещания выпустить прошивку, которая решила бы проблему: они не смогли бы сделать это, даже при большом желании.

Пользователям остается ждать новых браслетов, которые будут отвечать требованиям безопасности для бесконтактной оплаты.

Кроме наличия NFC модуля, браслетам нужны операционные системы Android или IOS. Они гарантируют безопасность при оплате через сертифицированные терминалы.

В сами аксессуары система EMV не встроена, поэтому для обработки транзакции им пришлось бы отправлять запрос на смартфон.

Из-за этого браслеты могут выполнить только роль посредника, что влияет на безопасность данных.

Такие характеристики не отвечают требованиям международных платежных систем, поэтому браслеты без операционных систем Android или IOS не могут использоваться для оплаты.

Эта функция работает в Mi Band 3 и Honor Band 4 только со стандартами приложения Mi Pay, которые используют на территории Китая.

Итог

Технология NFC считается одним из самых безопасных способов передачи данных. Это относится и к функции бесконтактной оплаты. До сих пор не было зарегистрировано случаев, когда хакерам бы удалось взломать стандарт защиты EMV.

Единственным слабым местом в системе остается возможность подхватить вирус. Чтобы не попасть в число «счастливчиков», поймавших трояна, достаточно проверять устройство на вирусы и не скачивать файлы от неизвестных отправителей.

Жмите палец вверх, подписывайтесь, всем удачи!

Источник: https://zen.yandex.ru/media/id/5d29bd3cdfdd2500aeab6a11/mogut-li-cherez-nfc-ukrast-dengi-5d9ec362e3062c00b1fb79b8

Как воруют деньги с бесконтактной карты оплаты? Visa PayWave и MasterCard PayPass под прицелом мошенников!

Кража денег с карт всегда было распространенным видом мошенничества. Но с появлением карт бесконтактной оплаты преступникам стало еще проще украсть средства других людей. Если владелец бесконтактных карт Visa PayWave или MasterCard PayPass, то вы попадаете в зону риска, когда у вас могут очень быстро и незаметно для вас снять со счета ваши деньги.

Бесконтактные карты: удобство платежей и повышенные риски

Банки предложили своим клиентам новые карты, оснащенные технологией бесконтактной оплаты — Visa PayWave и MasterCard PayPass. Цель их выпуска – облегчение проведения платежей и уменьшение затрат времен на финансовые операции. Эти карты отличаются тем, что нет необходимости проводить их через терминал.

Достаточно лишь поднести их к считывающему устройству, и деньги будут списаны. Нет необходимости даже доставать карточку из кошелька. При оплате товара или услуги стоимостью до 1000 рублей не требуется вводить пин-код. Достаточно просто поднести карту к считывающему устройству.

Платить с ними стало быстро и удобно.

Но именно то, что деньги можно списать с карты на расстоянии с помощью специального устройства и при этом не надо вводить пин-код или ставить подпись, сделало их легкой добычей для мошенников. Компанией Zecurion подсчитано, что только за первый квартал 2016 года было украдено с таких карт около 1 млн рублей.

Понравилось ?! Подпишитесь на наш канал!

Как происходит кража

Чтобы снять деньги с карты бесконтактной оплаты, мошеннику достаточно приобрести или изготовить самостоятельно специальное считывающее устройство и приблизиться с ним к жертве на расстояние до 20 см. Уже даже на таком расстоянии прибор считает данные с карты.

На бесконтактные карты установлены специальные чипы RFID, и устройства, которые позволяют получить с них информацию, называются RFID-ридеры. Мошеннику лишь необходимо поднести его как можно ближе к карте.

Чтобы жертва ничего не заметила, кражи обычно происходят в местах большого скопления людей – общественный транспорт, рынок, толпа зрителей на концерте и т.д. Преступник лишь подносит устройство к карманам человека или его сумке незаметно для него.

Нет необходимости даже подносить слишком близко — 10-20 см вполне достаточно. Несколько секунд, и все данные у него на руках.

Однако для владельцев бесконтактной карты действует ограничение – сумма операции не должна превышать 1000 рублей, только в таком случае нет требуется вводить защитные данные.

Но на количество операций ограничения не накладываются, поэтому мошенник может провести их несколько, пока не воспользуется всеми доступными средствами на карте жертвы.

Также некоторые преступники изготавливают «белые карты» на которые наносится магнитная полоса с данными карты жертвы. После с них снимают деньги в банкомате.

Немного статистики

Согласно заявлениям компании Zecurion, занимающейся информационной безопасностью, за 2015 год с бесконтактных карт граждан России было украдено более 2 млн рублей.

По мере роста количества пользователей таких карт, кражи денег будут, соответственно, расти.

Специалисты Zecurion прогнозируют, что за 2016 год будет украдено не менее 2,5 млн рублей, к 2017 году эта цифра может достигнуть 5 млн рублей.

Как защититься

Защититься от мошенника владельцу карты бесконтактной оплаты практически невозможно, так как в толпе, в которой орудует преступник, заметить его очень сложно, особенно если учесть тот факт, что пользуется считывающим устройством тот скрытно. Поэтому узнать о краже денег можно уже только после того, как они были списаны с карты. Но есть способы, которые помогают снизить риски хищения средств:

1. Максимальная сумма, которая может быть списана с карты без необходимости ввести пин-код – 1000 рублей. Однако есть возможность написать заявление в банк, чтобы ее уменьшить. Это позволит лишиться меньшей суммы денег в случае, если вор все-таки смог украсть данные вашей карты.
2. Рекомендуется обязательно подключить SMS-информирование о любых операциях, которые произведены с карты. Это позволит вовремя обнаружить кражу и заблокировать карту. Несмотря на то, что установлен лимит в 1000 рублей на проведение операции с бесконтактной карты, мошенник может совершить несколько оплат. Подключив SMS-информирование , вы сможете узнать о краже средств уже после первой операции и не позволить списать все деньги с карты.
3. Быть осторожным и внимательным в транспорте.

Также на рынке предлагаются кошельки и чехлы, которые якобы обеспечивают защиту карты от считывания, однако никакие исследования на то, действительно ли они способны предотвратить кражу или нет, не проводились. Поэтому не стоит торопиться их покупать.

Источник: https://loxotrona.net/kak-voruyut-den-gi-s-beskontaktnoj-karty-oplaty-visa-paywave-i-mastercard-paypass-pod-pritselom-moshennikov/