InfoBank.by – Все банки Беларуси  >  Все статьи по финансам и банкам  >  Похлопали ниже поясницы: домогательство или кража?

Похлопали ниже поясницы: домогательство или кража?

Размер шрифта:    Уменьшить шрифт  Восстановить исходный рзмер  Увеличить шрифт 
1803

Одна российская компания решила на практике выяснить, как мошенники крадут деньги из ваших карманов, а точнее — с бесконтактных банковских карт. Сегодня мы  расскажем вам об этом уникальном эксперименте и выводах, к которым пришли исследователи.
 
Начнём с того, что мы рассматриваем не только бесконтактные карты:
  • с  PayPass от Mastercard
  • с payWave от Visa 
— но и технологии бесконтактных платежей: Apple Pay, Samsung Pay и Google Pay, позволяющие расплачиваться банковской картой с помощью смартфона или умных часов.
 
Как происходят бесконтактные платежи?
 
Сначала нужно разобраться, как в принципе работает бесконтактная оплата. В ней, как ни странно, нет ничего сложного.
Когда мы подносим бесконтактную карту к POS-терминалу, информация об оплате в первую очередь передается в банк, который обслуживает продавца (банк-эквайер).
 
Затем платёж «переходит» к той международной платёжной системе, которая обслуживает вашу карту: Visa или Mastercard.
 
Оттуда данные об операции передаются в банк, который выпустил вашу карточку — банк-эмитент. Ваш банк либо одобряет операцию, либо отклоняет, например, если у вас недостаточно средств.
 
 
В случае если вы расплачиваетесь с помощью мобильного телефона и технологии бесконтактных платежей, важно помнить, что представляет собой «привязка» карты к мобильному телефону.
 
«Привязка» карты к системам, подобным Apple Pay, подробно не расписывается из соображений безопасности, но суть процесса тоже проста.
 
Когда система мобильных платежей получает информацию о подключенной карточке, она запрашивает международную платёжную систему, поддерживает ли ваша карта специальную спецификацию EMV Tokenisation?   И если ваш банк позволяет «привязывать» карты к телефону, то платёжной системой создаётся виртуальная карточка, которая загружается в ваш смартфон.
 
 
Как следствие, если вы расплачиваетесь с помощью мобильного телефона, схема оплаты не отличается от бесконтактных оплат с помощью карты: платежи ваш банк определяет как операции по вашей банковской карточке.
 
Кстати, если вы заблокируете свою физическую карточку, то виртуальна карта в телефоне тоже будет заблокирована, поэтому беспокоиться не стоит!
 
 
Мифы о бесконтактной оплате
 
В настоящее время существует несколько распространённых мифов о бесконтактных платежах.  
  • Миф 1. Для бесконтактной оплаты нужен Интернет 
Действительность. Обычная банковская карта не нуждается в подключении к Интернету, и виртуальной карте в телефоне он не нужен. Google Pay / Apple Pay не требуют подключения к глобальной паутине во время платежей в терминале, если «виркарта» уже сохранена в смартфоне
 
  • Миф 2. Для каждой операции создаётся новый номер карточки 
Действительность. Это ошибочное мнение, которое породили пресс-релизы Apple Pay. Данные виркарты не меняются достаточно долго — это можно с лёгкостью проверить, просто взглянув на банковский чек.
 
  • Миф 3. За платежи с помощью мобильного телефона взимается комиссия 
Действительность. Такой комиссии просто не существует.
 
  • Миф 4. Сумма может списаться дважды 
Действительность. Нет. Кстати, этот миф «преследует» не только сервисы для бесконтактной оплаты с помощью телефона, но и привычный нам физический пластик. Проблемы с двойным списанием средств могут возникнуть при оплате в интернет-магазине. А POS-терминал, как только получит все нужные данные для оплаты,  тут же остановит обмен данными.
 
Подготовка к грабежу
 
Первое, что мы представляем, говоря о воровстве денег с карты — это когда к нам в толпе, в метро или в магазине прижимается мошенник с POS - терминалом.
 
 
Но где взять такой терминал, тем более уже подключённый к банку-эквайеру?
 
Как ни странно, но в Интернете найти такие устройства можно. Поэтому, как настоящие мошенники, исследователи загуглили: «Купить ИП» и «Купить ООО». Нужен был не просто терминал (потому что, куда он спишет деньги с карты) а подставное юридическое лицо со своим расчётным счётом и подключённым эквайрингом.
 
 
В России цена на черном рынке за такой терминал со своим счётом варьируется от 20 до 300 RUB.

Теперь у «мошенника» есть обычный бесконтактный POS-терминал Ingenico iWL250 с GPRS модемом, который работает на батарейках, а как следствие — очень мобилен.
 
Вместе с терминалом в пакет услуг на чёрном рынке входит кэш-карточка, которая привязана к счёту подставной фирмы, по которой потом и можно обналичить «награбленное». Другими словами, все украденные деньги зачислятся на счет мошенника, по всем правилам банковских систем.
 
 

Что в  итоге?  Мошеннику придётся неплохо потратиться, прежде чем приступить к своей работе.
 
На POS-терминал, подставную фирму с эквайрингом и со своим расчётным счётом надо потратить около 100 000 RUB (или — около 1,5 тыс долларов). Хотя, как показывает практика, потратить придётся значительно больше, но не будем усложнять эксперимент.
 
Идём воровать
 
Теперь самое интересное. Мошенник отправляется в людное место с терминалом и прижимается к посетителям, чтобы украсть деньги с бесконтактных карточек.
 
Первая проблема для мошенника — он не знает, где хранятся карты, в сумочке или, например, в заднем кармане джинсов. Поэтому испытуемым пришлось предварительно рассказать, где они держат бесконтактную карточку.
 
Конечно, все «жертвы» знали об эксперименте, и кража осуществлялась с их согласия.
 
  
 
Если деньги удавалось украсть, то операция отменялась через терминал, а сумма возвращалась обратно на счёт «жертвы».
 
Подопытных было 20 человек. Из них списать деньги удалось лишь у троих, а это всего лишь 15 % успешных попыток!
 
С какими проблемами столкнулся вор с POS-терминалом?

Лимит

На всём «воровском пути» мошенника преследовали неудачи. Начнём с того, что на оплату без ПИН-кода есть ограничения по сумме. Лимит в России — 1000 RUB. В Беларуси, чуть больше 20 BYN.
 
Однако тут стоит вспомнить, что по карте может быть установлен другой тип подтверждения — по подписи. Тогда уж оплата на любую сумму с лёгкостью пройдет без ввода ПИН-кода!

 
Но вор-экспериментатор решил не рисковать и списывать по 999,99 RUB с каждой «жертвы». Несколько раз списать деньги с одной и той же карточки — не вариант. Всё потому, что последующие попытки снять суммы меньше лимита с большой вероятностью потребуют ввода ПИН-кода.
 
Банки такие операции чаще всего блокируют. Многократные попытки списать 999.99 RUB за небольшой промежуток времени приведут к срабатыванию так называемой антифрод-системы — системы защиты от мошенничества, которая срабатывает на стороне банка, выпустившего вашу карточку.
 
Получается, что реальному мошеннику понадобится выбирать различные суммы для списания, таким образом, снижая свой доход!
 
Слишком много карт
 
Вторая проблема неудачливого вора — наличие в кармане «жертвы» нескольких карточек.

Это очень важный момент, потому что мало кто из нас носит с собой в кошельке лишь одну карту, причём бесконтактными могут быть не только банковские карты, но и проездной и даже скидочная карта гипермаркета!
 
 
Терминал, с помощью которого обворовывает жертв гипотетический мошенник, если «видит» в зоне действия больше одной бесконтактной карточки выдаёт ошибку: «Предъявите одну карту».
 
  
 
Хотя так работают не все POS-терминалы. Одни выбирают случайную карту из нескольких, другие просто не срабатывают, даже не отображая ошибку. Если рассмотреть ситуацию с технической стороны, то выбор одной карточки из нескольких достаточно сложная и неоднозначная задача для современного POS-терминала.
 
Грубо говоря, из нескольких карт система вбирает ту, которая больше всего похожа на банковскую карточку. Поэтому при обнаружении нескольких бесконтактных карт терминал может лишь «предположить», какая из них банковская?   
 
В эксперименте, несмотря на наличие такого протокола, терминалу крайне редко удавалось считать нужную карточку, особенно учитывая, что воришке приходится работать на бегу.
 
Наличие Интернета
 
Частенько можно услышать истории, как мошенники в час-пик проходит по вагону метро и, прикладывая терминал к карманам и сумкам пассажиров, собирает себе круглую сумму на ужин в ресторане.
 
Возникает вопрос, есть ли мобильный интернет в вагоне метро, который нужен для работы терминала?
 
Во-первых, современные терминалы могут работать не только при наличии сим-карт, но и с помощью Wi-Fi, наличие которого в метро многих городов мира уже никого не удивишь.
 
Во-вторых, терминал может поддерживать офлайн - транзакции, когда списание происходит без мгновенного подтверждения со стороны банка, который выпустил карту. Другими словами, все операции будут направлены в банк, когда появится Интернет.
 
Вору-исследователю не удалось найти офлайн - терминал, поэтому атаку без доступа к Интернету не проводили, хотя в случае подобного мошенничества все остальные минусы: лимиты и многочисленные карты — все равно будут препятствовать нормальной работе вора!
 
Закон «больших чисел»
 
Кстати, когда вор будет списывать деньги в толпе, его могут выдать такие тривиальные вещи, как звуки терминала и печати чеков — терминал придётся модернизировать, чтобы он не издавал ни звука. Плюс, вводить каждый раз сумму платежа — долгий процесс, его также нужно автоматизировать.
 
Кроме того, в толпе у большинства держателей карт будет подключена услуга СМС-оповещения. Вряд ли жертвы такого массового грабежа не обратят внимание на звуки приходящих СМС!

 Итак, окупятся ли затраты мошенника?
 
Стоимость подготовки российского мошенника составила 100 000 RUB, или 1,5 тыс долларов. Чтобы затраты окупились, ему надо 100 раз списать по 1 000 RUB. Если представить, что воришка попался очень удачливый, и, бегая весь день по городу и прижимаясь к людям, ему удалось сделать 120 успешных краж, то как обналичить незаконную прибыль?
 
Деньги на счёт главного «героя» зачислятся только через несколько дней, поэтому ему только остаётся надеяться, что никто из 120 человек не заметит пропажу и не обратится в банк!
 
В реальности вероятнее всего счет вора будет заблокирован еще до зачисления на него украденных средств.
 
Из 20 потенциальных жертв, получилось обокрасть лишь троих — всего 15% успеха. И то, это были исключения, когда в кармане лежала лишь одна карточка, ведь в случае сумок и кошельков с несколькими картами терминал выдавал ошибку.
 
На деле такая афера оказалась бы крайне невыгодной и трудновыполнимой, учитывая все трудности.
 
Чтобы совершить 120 удачных краж, прижаться придется минимум к 1,2 тыс человек за 1 день!!!  
 
Куда более вероятна кража данных карты в магазине
 
Есть и еще одна теоретическая возможность мошенничества — это кража данных карты. И она более вероятна в том случае, если вор работает в магазине с POS-терминалом. Тогда у него есть возможность украсть данные карточек покупателей с помощью NFC-сниффера.
 
 
Сниффер — это переносное устройство для перехвата данных карты. Антенна устройства должна размещаться между терминалом и платёжной карточкой.
 
  
 
Из перехваченных данных можно узнать номер карты и срок ее действия. CVV-код таким образом извлечь не получится, но в некоторых интернет - магазинах он и не требуется.
 
Поэтому, еще один вывод
 
Оплата бесконтактной банковской карточкой и телефоном практически не отличаются, но оплата смартфоном более безопасна. Почему?
 
Во-первых, телефон, предлагает вам самостоятельно активировать вирткарту. До вашего согласия телефон не передает никакие данные, и считыватель даже не подозревает, что поблизости находится виркарта.
 
Во-вторых, данные физической карточки могут быть использованы для платежей в Интернете, а данные виркарты этого сделать не позволят.
 
 
Итак, профессиональным ворам (если только они не решили заняться научными экспериментами) списывать суммы с карточек прохожих нет никакого смысла — риски очень велики, а доход настолько мал, что афера превращается в пустую трату времени.
 
Что касается кражи данных карты, то использование виркарты и бесконтактных систем оплаты в телефоне  гораздо безопаснее обычной бесконтактной пластиковой карточки. Ведь смартфон первым делом предлагает активировать виркарту, до активации никакие данные не передаются.
 


Источник: habr.com

Понравилось? Отправь друзьям!


Оставить комментарий
  
Комментариев нет
Смотрите также

Наши сервисы:
Только в этом разделе — самые актуальные и выгодные курсы покупки и продажи доллара, евро и российского рубля, а также — наиболее распространенных цветных валют. Теперь вам не нужно искать обменники на карте или в интернете. Для вашего удобства анимированная карта встроена в наш раздел. Но и это еще не все — в разделе вы легко найдете  кросс - курсы обмена валют, курсы обмена по карточкам, курсы валют от Нацбанка и несколько простейших графиков, чтобы отследить изменения на валютном рынке.
Накопили определенную сумму в белорусских рублях или долларах? Сомневаетесь, в какой банк ее отнести, чтобы получить наилучший процент? Подозреваете, что процентный доход в вашем банке не самый лучший? Тогда наш калькулятор создан для вас. Просто введите вашу сумму, валюту вклада и срок, на который хотите разместить средства, наше приложение само подберет вам лучшие депозиты во всех банках Беларуси. Вам останется только пойти в банк.
Нужен кредит? Не знаете, какой банк выбрать? Кредитный калькулятор поможет в любой ситуации. Вам нужно просто ввести сумму, которую вы хотите взять, назвать срок кредитования и время, за которое вы хотите получить кредит.  Наш калькулятор выберет для вас самую НИЗКУЮ ставку, рассчитает график платежей, перечислит особенности, на которые стоит обратить внимание. И, конечно же, произведет расчет переплаты и полной процентной ставки.  С Кредитным калькулятором от Infobank.by брать кредиты стало выгоднее!
Никто не хочет потерять сбережения на очередной девальвации! Но что делать, когда доходность рублевых депозитов выше, чем долларовых? Ответ прост — держать деньги на вкладе в белорусских рублях, а когда курс доллара начнет расти, перевести вклад в валюту. Когда же это сделать? Чтобы ответить на этот вопрос, мы создали Калькулятор валютных рисков рублевого вклада. Он проводит сравнение доходности по рублевому и валютному вкладу, а также — анализирует динамику вашего дохода в зависимости от изменения курса доллара! 
Когда нас обижают хулиганы, мы пишем заявление в милицию? А что делать, если обидел банк? Как достучаться до его руководства в Минске, если вы живете в небольшом белорусском городке? Ведь банк большой, клиентов у него много и услышать ваш крик о помощи  или вашу жалобу руководитель банка просто не сможет. Выскажите свое мнение в нашем разделе «Отзывы о банках». Подробно опишите, где и когда вы столкнулись с трудностями, поставьте оценку банку (не стесняйтесь!) и ждите реакции. Она обязательно будет! А может быть, вы хотите похвалить банк или его сотрудников, тогда вам снова в наши «Отзывы»!!!
Депозиты приносят существенный доход их владельцам, а также помогают сберечь деньги от посторонних глаз. Но, согласитесь, не всегда есть время, чтобы зайти в банк и снять нужную сумму, если она вдруг понадобится. К тому же, по депозитам, чаще всего, предусмотрено понижение процентного дохода в случае досрочного снятия части средств. Обидно? Конечно! Но к счастью банки предлагают сберегательные карточки, проценты по которым практически не уступают ставке по  депозитам, а деньги доступны 24 часа 7 дней в неделю. Выбрать сберегательную карточку вам поможет наш уникальный сервис.
 
Банки, как и люди, очень по-разному относятся к новым клиентам. Если вы решили оформить депозит или карточку, перевести деньги родным, оплатить коммунальные платежи в незнакомом банке, вам не нужно «покупать кота в мешке». Достаточно заглянуть на страницы проекта «Потребительский опыт», и узнать, чего же стоит ожидать от сотрудников того или иного банка. Наши корреспонденты уже проникли во многие банковские отделения и делятся с вами своими впечатлениями…