Не телесные силы и не деньги делают людей счастливыми, но правота и многосторонняя мудрость
Демокрит Абдерский, 370 г. до нашей эры






InfoBank.by – Все банки Беларуси  >  Все статьи по финансам и банкам  >  Эксперты об оплате через мобильные терминалы

Эксперты об оплате через мобильные терминалы

Размер шрифта:    Уменьшить шрифт  Восстановить исходный рзмер  Увеличить шрифт 
3423

В последнее время то и дело объявляется в выпуске  мобильных картридеров. Это такие небольшие терминалы, которые вставляются в гнездо наушников смартфона, и с помощью специального приложения можно принимать оплату банковскими карточками. 
 

Это, конечно, очень удобно как для продавцов – не нужно возиться с банками и покупать громоздкие терминалы, так и для покупателей – расширяется круг мест, где можно оплатить товар или услугу карточкой. Например, в такси, за цветы, при покупках в интернет магазинах с доставкой и т.д.
 
Но темные силы не дремлют :) и вот обнаружена уязвимость в мобильных картридерах Square: мошенники могут получить данные о кредитной карте, которая проходит через устройство.

 
 
Попросту говоря, терминал начинает не только принимать оплату, но еще и сообщает данные карточки хакеру. 

В нашей стране активно распространяются мобильные картридеры «Гандлярок». Разумеется,  мы решили уточнить, есть ли у них аналогичные проблемы.

Представитель компании Транзакционные решения (торговая марка Гандлярок) Валерий Бойко так прокомментировал наш вопрос:

На рисунке представлена общая схема взаимодействия между считывателем /телефоном/сервером .
 
Так как данные карточки в телефон попадают уже в зашифрованном виде, то их кража/перехват не представляет опасности.

Кроме того, в новых считывателях Vi218 (Гандлярок перешел на них с апреля 2015 года) происходит не только чтение карточки, но и ввод ПИН-кода. Они полностью соответствуют всем стандартам безопасности, применяемым к ПОС-терминалам. Новые считыватели имеют соответствующие сертификаты международных платежных систем.

В частности, сертификаты PCI PTS, EMVCo Level 1 и 2:
 
PCI PTS                      Approval Number:      4-10178
EMVCo Level 1          Approval Number:      12908 0713 400 21 BCT
EMVCo Level 2          Approval Number(s): 2-02594-1-1C-BCT-0913-4.3.b
2-02594-1-2C-BCT-0913-4.3.b
2-02594-1-3C-BCT-0913-4.3.b
2-02594-1-1OS-BCT-0913-4.3.b
 
С аналогичным вопросом мы обратились к экспертам в антивирусную Лабораторию Касперского, нам любезно ответил Виктор Чебышев.

- Насколько реальна угроза взлома мобильных картридеров?

- Сломать мобильный картридер не составляет сложности по одной простой причине: он подключается в гнездо наушников и микрофона, а это гнездо является общим для всей системы и приложений.

То есть любое приложение (при наличии прав) может в любой момент времени прочитать или записать туда данные. Это означает, что можно послать последовательность данных, которая может привести к некорректной работе картридера, и как следствие, приложению станет доступна информации о карте в незашифрованном виде.
 
- Какие самые распространенные вирусы для смартфонов похищают банковскую информацию у клиентов?

Речь идёт про банковских троянцев: самые распространённые работают по следующему принципу
  1. Проникают на устройство жертвы по различным мошенническим каналам (спам, фальшивый контент)
  2. Проверяют наличие банковских приложений
  3. В случае если банковское приложение запущено, перекрывают его интерфейс точно таким же, но фальшивым
  4. Данные от входа в приложение (логин и пароль) уходят злоумышленникам
  5. Либо же сразу запрашиваются полные данные кредитной карты (номер, ФИО владельца)
Также в число популярных банковских троянцев входят образцы, манипулирующие банковским счетом жертвы через SMS-банкинг.
 

- Что нужно делать (не делать) чтобы не стать жертвой хакеров и защитить смартфон от вирусов?

В первую очередь, нужно убедиться, что устройство, на котором будут проводиться банковские транзакции, заблокировано паролем. То есть третьи лица, получив к нему доступ, не смогут туда ничего установить.

Далее нужно убедиться, что у сим-карты, которая используется в устройстве, не были подключены услуги SMS, голосовые вызовы. Таким образом, устройство защищено от спама и, как следствие, от скачиваний зловредов, а так же такое устройство менее интересно коллегам – с него нельзя позвонить.

Далее нужно убедиться, что на устройстве не стоит галочка «доверять сторонним источникам приложений» -  таким образом, даже скачав зловреда на устройство, его нельзя будет установить.

Разумеется, стоит установить защитное решение не ниже уровня Internet Security, способное защищать от атак на всех подступах к системе.

Мы же со своей стороны можем только посоветовать – ставьте на свои карточки смс-оповещение и необходимые лимиты на снятие  и перевод денег. Владельцам карточек уже легче, так как с 5 августа работает принцип нулевой ответственности, и  теперь в случае мошенничества  искать деньги будет банк, но все равно, лучше подстраховаться от таких неприятных ситуаций.


Источник: www.infobank.by

Понравилось? Отправь друзьям!


Оставить комментарий
  
Комментариев нет