Статья опубликована в № 4211 от 25.11.2016 под заголовком: Платеж без опасности

Чем опасны мобильные платежи

Пользователи смартфонов зачастую сами помогают мошенникам украсть деньги

Последние модели смартфонов облегчают карманы своих покупателей в прямом и переносном смысле – они немало стоят и, похоже, начинают заменять клиентам кошельки. Мобильный банк в смартфонах уже не новость, а вот к возможности оплатить покупку прикосновением гаджета к терминалу по технологиям Apple Pay и Samsung Pay пользователи только привыкают.

Переход в цифровой мир чреват иллюзией безопасности: умный гаджет сам за себя постоит. Но это так лишь отчасти – безопасность зависит в первую очередь от поведения самого пользователя, говорят эксперты. Поэтому, какими бы финансовыми приложениями для смартфонов вы ни пользовались, прежде стоит освоить технику безопасности мобильных платежей.

Задачка для хакеров

В конце сентября и начале октября в Россию пришли технологии мобильных платежей Samsung Pay и Apple Pay, и за прошедшее время они еще не успели стать трофеями киберпреступников. По крайней мере, представителям опрошенных «Ведомостями» банков, а также представителю Samsung на момент подготовки заметки о хищениях известно не было. Как следует из рассказов экспертов, киберпреступников ждет непростая работа.

Обе технологии работают по схожему принципу: к приложению «кошелек», предустановленному на смартфонах, привязывается банковская карта (ее данные сканируются камерой или вводятся вручную). Добавление карты сопровождается вводом одноразового пароля, который приходит на номер владельца карты, либо ответами на вопросы колл-центра банка.

Хакер не дремлет

Со II квартала 2015 г. по I квартал 2016 г. включительно хакеры похитили у российских владельцев Android 348,6 млн руб., что на 471% больше, чем за аналогичный период предыдущего года, сообщала компания Group-IB. Киберпреступники становятся более искушенными, автоматизируют свои хищения.

Оплатить покупку в магазине можно, просто поднеся телефон к платежному терминалу, а транзакцию клиент подтверждает отпечатком пальца (у Samsung Pay еще и четырехзначным кодом).

На своем сайте Apple рассказывает, как обрабатывает банковскую карту клиента. Когда пользователь вводит карточные данные, устройство не запоминает их, а шифрует и отправляют в Apple. Далее к ним добавляются другие зашифрованные данные об устройстве (в том числе о номере телефона, названии и модели) и после отправляются в банк. После подтверждения карты именно банк или платежная система создает уникальный номер учетной записи устройства, который в зашифрованном виде возвращается в Apple для записи в защищенный чип на устройстве, указывает Apple на своем сайте.

При каждом платеже создается так называемый токен, в формировании которого участвует номер учетной записи, объясняет собеседник, знакомый с технологией Apple Pay. Токен – уникальный 16-значный номер, не совпадающий с номером физической карты (вообще не хранится на устройстве), рассказывает эксперт одного из российских банков. В том и суть системы безопасности Apple Pay: украденный злоумышленником токен не позволяет вывести деньги, поскольку для этого помимо самого токена нужен гаджет, а записать его на чип подменного устройства можно, лишь пройдя описанный Apple круг, т. е. никак, объясняет эксперт по безопасности одной из российских IT-компаний, изучавший технологии Apple и Samsung.

Samsung Pay также использует токены и защищенную память, сообщает компания на своем сайте.

Обе технологии, по мнению экспертов, с точки зрения безопасности равноценны.

С таким токеном нельзя подойти к банкомату и попробовать снять деньги или расплатиться в интернете. Благодаря токенам платежи Apple Pay и Samsung Pay значительно лучше защищены от традиционных способов кражи с карт – скимминга и фишинга, уверяет вице-президент «ВТБ 24» Ашот Симонян.

Мобильные платежные приложения таких компаний, как Apple, Samsung, Google, как, впрочем, и мобильные приложения самих банков, используют эту технологию, чтобы обеспечить безопасность транзакций, добавляет руководитель департамента по инновациям и развитию новых продуктов компании Visa в России Михаил Батуев.

Нет контакта

В отличие от привычных бесконтактных технологий (Visa PayWave или Mastercard PayPass) ApplePay и Samsung Pay лишены двух их серьезных недостатков, рассказывает руководитель отдела безопасности мобильных приложений компании Positive Technologies Артем Чайкин. Во-первых, PayWave и PayPass не требуют подтверждения PIN-кодом операций на сумму до 1000 руб., а новинки Apple и Samsung требуют подтверждения любой транзакции. Во-вторых, NFC-чип пластиковой карты всегда активен. Если поднести к ней устройство, имитирующее работу POS-терминала, можно как минимум получить список последних транзакций по карте, а иногда и вовсе совершить несанкционированную транзакцию, объясняет эксперт. А на заблокированном телефоне NFC-модуль отключается, считывание информации невозможно.

Директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев уверен, что пластиковые карты с PayPass/PayWave более уязвимы, чем Apple Pay и Samsung Pay: с бесконтактного чипа можно скопировать номер карты, срок ее действия и специальный код. Такой набор не позволяет воспроизвести полноценную магнитную или чиповую карту, но им можно пользоваться при оплате в некоторых слабозащищенных ресурсах интернета и при операциях, где не используется технология 3D-Secure, объясняет Голенищев. Но все подобные операции легко оспариваются, успокаивает он. С Samsung Pay такие данные скопировать невозможно, уверяет представитель Samsung.

Кража смартфона ничего не даст злоумышленнику – у него не будет доступа к системе оплаты и он не сможет списать деньги или сделать дубликат карты, соглашаются Голенищев из Альфа-банка и представитель Сбербанка. Без отпечатка пальца провести оплату невозможно, а его подделка – слишком трудоемкое дело, продолжает Симонян из «ВТБ 24».

Из-за того что Apple Pay не сохраняет информацию о банковской карте на смартфоне или сервере, в случае кражи смартфона восстановить данные карты или сделать ее дубликат невозможно, говорит представитель «Тинькофф банка» Дарья Ермолина. Если же телефон, например, утонул, достаточно заново подключить карту на новый смартфон, поясняют Ермолина и представитель Samsung. Представитель Сбербанка рекомендует для спокойствия удаленно заблокировать привязанные к утонувшему устройству карты, благо такой сервис у производителей есть.

Во время транзакции также невозможно снять больше денег, чем одобрил клиент, уточняет представитель Сбербанка.

Цифровая гигиена

Но теоретическая опасность для пользователей Apple Pay и Samsung Pay все же остается. Она может исходить от злоумышленников, владеющих методами социальной инженерии, считает Симонян. За последний год эти методы набрали популярность: пользуясь данными из открытых источников (социальных сетей, объявлений о продажах товаров, сетей знакомств), злоумышленники выведывают у пользователей информацию о доступе к дистанционным сервисам банков, соглашается заместитель руководителя управления дистанционного бизнеса банка ВТБ Александр Солонин. Получив данную информацию, они могут действовать от имени клиента.

Такие злоумышленники способны привязывать похищенные данные карты к Apple Pay или Samsung Pay, объясняет Симонян. Уберечься от этого просто: не сообщать никому PIN-код карты, CVV/CVC-коды и коды, поступившие по SMS, – они нужны, чтобы привязать карту к смартфону, говорят эксперты. На российском рынке попыток пока не было, но за границей они уже случались, знает Симонян.

И все же полностью исключать потерю денег при платежах Apple Pay или Samsung Pay не стоит.

Чайкину из Positive Technologies известно об исследовании, в котором утверждается, что, перехватив несколько токенов, можно предугадать следующий.

Впрочем, пока злоумышленники редко прибегают к сложным способам хищения денег, а бесконтактные платежи требуют физического доступа к устройству – значит, повышают риски для злоумышленников, рассуждает Чайкин. Поэтому сейчас самым популярным способом хищения денег остаются мобильные трояны и атаки на мобильные банки, заключает он. На смартфон пользователя устанавливается вредоносный софт, который читает sms и получает доступ к личному кабинету банка.

По словам Голенищева, из-за малой технической грамотности пользователи сами потворствуют киберпреступникам. Они не устанавливают антивирусы на гаджеты, используют бесплатные точки WiFi, переходят по непроверенным интернет-ссылкам и открывают вложения в неизвестных письмах, которые могут содержать зловредный код, перечисляет он.

Популярный у киберпреступников способ хищения со смартфона – попытки перевода денег через sms-банкинг, рассказывает Виктор Чебышев из «Лаборатории Касперского». Банковская карта привязана к телефону, а управлять деньгами можно через sms. Поэтому злоумышленнику достаточно заразить устройство жертвы, отправить и перехватить два sms-сообщения, рассказывает Чебышев. Еще киберпреступники могут вынудить пользователя перевести им деньги, запугав его порчей файлов на устройстве, продолжает эксперт.

Во всех случаях хищений, что обнаружила Group-IB (см. врез), пользователи сами устанавливали софт из непроверенных источников, рассказывал «Ведомостям» замруководителя лаборатории компьютерной криминалистики компании Сергей Никитин. Android-cмартфону можно и нужно запретить это делать, отмечал он. А в Apple в iOS такой штатной возможности просто нет. Аналогичных вирусов и хищений для Apple iOS Group-IB не обнаружила.

Представитель Сбербанка предостерегает от jailbreak (процедуры, снимающей ограничения Apple на установку и функционирование приложений) смартфона. Архитектура iOS выстроена так, что каждая программа выполняется в строго отведенном для нее участке памяти и с ограниченными полномочиями. А jailbreak дает приложению полный административный доступ к файловой системе и ресурсам смартфона. Это позволяет установить в обход AppStore какое угодно приложение – в том числе и такое, за которым скрыт зловредный код.