Специалисты компании Zecurion рассказали в интервью газете «Известия», что в России зафиксированы случаи кражи денег с банковских карт, оснащенных RFID чипами. Для хищения средств злоумышленники пользовались самодельными бесконтактными ридерами. По словам экспертов, в минувшем году киберпреступникам удалось украсть у россиян около 2 миллионов рублей.
Картами с RFID чипами пользуются только 2 миллиона российских граждан. Две самые распространенные технологии бесконтактной оплаты товаров являются разработками компаний Mastercard и Visa. Карты с технологией PayPass от Mastercard выпускаются 43 крупными российскими банками, и 16 кредитных организаций в России используют карты c PayWave от Visa. В большинстве случаев обладателю такой карты при расчетах не нужно вводить PIN-код и расписываться на чеке, если сумма покупки не превысила определенный лимит. В государствах-членах зоны евро он составляет 25 евро, в США – 15 долларов, в Великобритании – 30 фунтов, в Польше – 50 злотых, а в России – 1000 рублей.
У специалистов уже давно есть некоторые сомнения относительно безопасности подобных карт. Аутентификация через ввод PIN-кода необходима далеко не всегда, а RFID-чип в теории можно частично скопировать. Несмотря на то, что PayPass и PayWave не позволяют считывать данные напрямую с чипа, злоумышленник все же сможет достать такую информацию, как номер карты и срок ее действия.
Пока что в России бесконтактные системы оплаты широко не распространены. PayPass и PayWave начали использоваться небольшим числом российских банков с 2008 года. Факторами, сдерживающими развитие данной технологии в РФ, являются ее сложность и дороговизна. Так, стоимость карты, снабженной RFID чипом, превышает на 50–100% стоимость обычной карты. На данный момент на территории России находится около 30000 точек приема PayPass.
По словам специалистов Zecurion, мошенники списывают деньги с карт PayPass и PayWave, используя самодельные ридеры, которые фактически являются аналогами легальных бесконтактных PoS-терминалов. Настоящий терминал бесконтактной оплаты стоит около 20000 рублей. Мошенникам же для создания одного самодельного устройства понадобится порядка 100 долларов.
По словам Владимира Ульянова, являющегося руководителем аналитического центра Zecurion, самодельный ридер очень похож на легальное устройство, однако от последнего его отличает более продвинутый функционал. Для того, чтобы считать всю необходимую информацию, злоумышленник должен приблизить такое устройство к карте с чипом RFID на 5–20 сантиметров.
В толпе или в общественном транспорте хакер вполне незаметно сможет подобраться к своей жертве на такое расстояние. Для дальнейших операций полученная информация записывается или передается на карты-копии.
Несмотря на защиту технологий PayPass и PayWave, злоумышленники могут узнать номер карты и дату окончания срока ее обслуживания. Этих сведений иногда вполне достаточно для того, чтобы провести транзакцию или изготовить карту-копию. Помимо этого, хакеры могут добраться до истории операций по карте, включая точные суммы и даты списаний. Используя эти данные, можно с большой точностью вычислить остаток на счете.
В качестве мер защиты от подобных действий можно использовать кошельки и чехлы для карт с защитой от несанкционированного считывания RFID или просто положить две бесконтактные карты рядом, затруднив таким образом получение информации.