Платіжні карти широко використовуються в Україні та в усьому світі. Сам багато років користуюся ними. Дебітними і кредитними платіжними картами серед іншого можна розплачуватися за покупки в торговій мережі та в Інтернеті.
Вже писав, що через уразливості в онлайн банкінгах можна як викрадати кошти з карт, так і блокувати платіжні карти.
І такі уразливості на сайтах банків я знаходив багато разів з початку десятиліття. Розповім про викрадання коштів з платіжних карт з технологією Near Field Communication (NFC).
Вже давно в Україні присутні карти з бездротовою технологією NFC. Компанія MasterCard назвала цю функцію PayPass, а Visa назвала її payWave (різні виробники називають технологію по різному, але в основі лежить NFC) - це безконтактна технологія оплати, що не потребує проводити магнітною стрічкою по терміналу, що забезпечує більшу безпеку і більш швидкі розрахунки.
Технологія сучасна та популярна, окрім оплати в торговельній мережі, вона також застосовується для сплати проїзду в київському метро. Відсутність контакту карти з терміналом - це добре, але українські банки також дозволяють не підтверджувати оплату (за звичай для сум до 100 грн.) при використанні безконтактної технології оплати. Саме це може бути використано зловмисниками для крадіжки коштів.
Поєднання безконтактної оплати та ліміту на “транзакцію без підтвердження” дозволяє викрадання коштів з платіжних карт з NFC. Багато разів у цьому десятилітті бачив як люди користувалися такими платіжними картами, тому одразу підозрював таку можливість, але в мене були лише карти без NFC. Віднедавна в мене з’явилася банківська карта з бездротовою технологією NFC і я зміг це перевірити на практиці в різних магазинах, що мають термінали з підтримкою PayPass і payWave. Тим самим повністю підтвердив свої підозри про таку атаку, що були багато років.
Для цього зловмисникам потрібно вкрасти карту, або “взяти її тимчасово” (наприклад, родичі можуть взяти карту на короткий час), і робити покупки на суми до 100 грн. Це можна робити підряд в різних точках продажу чи навіть на різних касах в одному магазині. Аналогічна можливість викрадання коштів є на картах навіть без NFC, де банки дозволяють не підтверджувати транзакції підписом чи пін-кодом (в межах ліміту). В мене була така преміальна карта від Правекс Банку з лютого 2016 року, де я не підтверджував оплату в більшості магазинів, хоча на інших картах Правекс Банку і ПриватБанку я завжди вводив пін-коди. Тому за всіма картами, де немає підтвердження, потрібно надійно слідкувати.
Зазначу, що також існує можливість віддаленого викрадення коштів з NFC карт. На це мені звернули увагу в Facebook після того, як я опублікував там свою статтю. Такі випадки атак давно відомі на заході та вже мають місце в Україні.
Існують методи захисту карт. Щоб захиститися від родичів (що взяли карту тимчасово), злочинців (що вкрали карту), злочинних працівників магазинів (що перед основною транзакцією можуть приховано собі провести транзакцію), шахраїв (що віддалено тирять кошти по NFC в транспорті та інших місцях) та інших сценаріїв, зробіть один з наступних кроків:
1. Користуйтеся картками без NFC загалом і лише в надійних випадках картками з NFC. Сам користуюся 10 років лише звичайними картами, тому вважаю їх надійними. Повністю відмовитися від таких карт слід лише у крайньому випадку.
2. Користуйтеся смс-банкінгом, щоб отримувати повідомлення про всі транзакції. Якщо шахраї вкрадуть гроші, то ви швидко про це дізнаєтеся і зможете відреагувати. Свій телефон завжди ношу з собою коли беру карту з NFC.
3. Існують методи фізичного захисту карток від віддалених атак.