Почему в США безопаснее расплачиваться наличными

Почему в США безопаснее расплачиваться наличными

    Кураев Антон Алексеевич

    Кураев Антон Алексеевич
    Финансовый Университет при Правительстве Российской Федерации
    старший преподаватель Департамента информационной безопасности

 

Оборотная сторона оплаты покупок банковской картой

 

Недавно с удивлением обнаружил, что большое число, пусть даже технически грамотных граждан, плохо себе представляют работу банковских платёжных карт. В глубинах форумов в интернете при обсуждении возможности оплачивать картой в разных странах мира заявлялось: в данном месте нельзя расплатиться через NFC, а требуется использовать чип. Почему, какие опасности оплаты в других странах угрожают владельцам  банковских карт?

ЗЛОБНЫЕ НЕДОБРОЖЕЛАТЕЛИ

Попробуем разобраться, что называется, «на пальцах». Банковская пластиковая карточка в ваших руках − это некое физическое устройство, позволяющее связать вас и ваш банковский счет. Вроде все слышали такое? Когда вы являетесь в отделение банка и в кассе снимаете деньги со счета, кассирша обязательно попросит вас предъявить паспорт в качестве доказательства, что вы имеете право снять деньги с этого счета.

Когда вы с помощью карточки расплачиваетесь за онлайн-покупку где-то на сайте, лично вы не присутствуете в магазине, но в банк нужно предоставить некую информацию о том, что вы − это вы и владеете карточкой, связывающей вас и ваш банковский счет. Требуется ввести в платежную форму данные, напечатанные на пластиковой основе карточки с двух сторон.

Ясное дело, «злобным недоброжелателям» не стоит особых трудов сфотографировать вашу карточку с двух сторон (даже красть её физически не надо) и попытаться расплатиться за товар или услугу без вашего ведома. Покупать и платить в интернете, конечно, удобно, но тут явный баг в системе. Чтобы избавиться от него была придумана система 3D-Secure (в России MirAccept) с отправкой на ваш мобильный телефон смс-сообщения с проверочным одноразовым кодом, который нужно ввести дополнительно, чтобы покупка была одобрена банком.

«Злобные недоброжелатели» огорчились от ввода такой системы, но не надолго и стали разрабатывать пути обхода. В ответ пришлось разрабатывать систему 3D-Secure 2.0 (нам не пришлось, наша система сразу покрывала версии 1.0 и 2.0). Но это мы отвлеклись…

Исторически при покупках в обычных офлайновых магазинах использовалось чтение необходимых данных, подтверждающих, что вы − это вы, с магнитной полосы, расположенной на обратной стороне карточки. То есть вместо ввода руками информация считывается в течение секунды с магнитного носителя. Процесс ускорился и упростился, но не лишился уязвимостей.

«Злобные недоброжелатели» активно использовали и используют портативные считыватели, чтобы скопировать магнитную полосу, а потом записать ее на свою фейковую карточку. И кстати не обольщайтесь — это в России данный способ ушёл в историю как конкретно небезопасный, а на просторах США ещё вполне можно встретить торговые и ресторанные точки, принимающие к оплате только карточки с магнитной полосой. Хотя о чем это мы? Какие ещё США и российские карточки в  нынешнее-то время...

МНОГОЛИКИЙ МИКРОЧИП

В погоне за повышением безопасности в банковские платежные карты стали внедрять микрочипы с контактным способом использования. На них, во-первых, можно записать гораздо больше информации. Во-вторых, они гораздо больше защищены от попыток скопировать данные и незаконно воспользоваться ими. В-третьих, уже на стадии вычитывания необходимых данных производится большое количество проверок: правомочен ли данный банк выпустить данную карту, правомочен ли сертификат данной карты для использования. И много что ещё: не вносились ли изменения в незащищенную область памяти микрочипа, не превышены ли лимиты на использование данной карты, разрешен ли данный конкретный вид платежа для карты (например, снятие наличных в банкомате, да-да, это может быть запрещено для карточки) и прочее.

То есть в большом количестве случаев вы можете получить отказ в оплате прямо от платежного терминала, а не от своего банка. И кстати, металлизированная площадка на лицевой стороне карты − это не сам чип, а только контактная площадка, через которую идёт обмен данными. Сам микрочип на порядок меньше в размерах.

Со временем появилась возможность приваривать к микрочипу антенну и передавать данные «по воздуху» с помощью технологии NFC. Размещают эту антенну внутри пластика карточки обычно по периметру, хотя и не обязательно. «Знаем, знаем!» - закричали продвинутые граждане − пользователи Samsung Pay, Apple Pay, Google Pay, Мир Pay… Но нет. Это не одно и то же, что бесконтактная оплата с помощью банковской карточки. Оплата с помощью смартфона — отдельная возможность платить, которую стоит рассмотреть в отдельной статье.

Итак: на сегодняшний день стандартная банковская карта, выданная любым банком на территории России, позволяет вам расплачиваться четырьмя различными способами:
− без предъявления самой карточки, это когда вы оплачиваете интернет-заказ на сайте, вручную вводя некоторые данные напечатанные на пластике карты: номер карты, срок окончания действия, CVV (он же код безопасности);
− предъявляя саму карточку, прокатывая магнитную полосу через устройство оплаты (почти позабытый способ на просторах родной страны);
− предъявляя саму карточку путем установки в гнездо для контактного считывания информации с чипа или бесконтактным прикладыванием к терминалу оплаты.

ПИН-КОД ВСЁ-ТАКИ ЖИВ

В любом случае собирается некоторая информация о карте и держателе карты. В зависимости от способа оплаты производится минимальная или не очень минимальная предварительная проверка этих самых данных. Если микрочип и платежный терминал договорились между собой об оплате, данные затем отправляются на проверку в тот банк, который выпустил вашу карточку.

Так вот, при первом и втором способе оплаты чип, размещенный на карте не задействуется. Т.е. чип есть, но в половине способов он действительно не используется. А вот про третий и четвертый способ оплаты существует то самое заблуждение, о котором говорилось в начале.

Некоторые уверены, что при запихивании карточки в кардридер, чип используется, а при прикладывании карточки к терминалу (он же бесконтактный способ оплаты) задействуются некие мифические или даже «телефонические» силы, выполняющие оплату. На самом деле и при контактном, и при бесконтактном способе оплаты задействуется один и тот же чип.

Это возможно потому, что на микрочипе одновременно «живут» как минимум два платежных приложения. Одно срабатывает при установке карточки в картридер, а другое при прикладывании карточки к платежному терминалу. Информация, которую используют приложения, жестко не разделена и может располагаться перемешанным образом. Это связано с тем, что часть данных нужна и тому и другому приложению. Однако другая часть используется только одним из приложений.

Как уже отмечалось, при любом способе оплаты производится хотя бы минимальная проверка данных. Если конечно вы не пытаетесь что-либо оплатить на сайте жуликов, в фальшивом банкомате или в сомнительной торговой точке, тогда скорее всего ничего проверяться не будет, а будут просто украдены данные с карты. Вернее то, что можно украсть из возможного.

Возникает вопрос: если микрочип − это, по сути, компьютер микроскопических размеров, который может содержать достаточное количество информации, проводить операции шифрования, обмениваться данными с терминалами и банкоматами, да еще и сопротивляться попыткам прочитать информацию о секретных ключах, то зачем тогда нужен пин-код?...

Дело в том, что просто использование платежной карты удовлетворяет принципу безопасности − «чем клиент владеет», но не удовлетворяет принципу - «что клиент знает». И вот именно для соблюдения проверки принципа «что клиент знает» и нужен пин-код. Обратите внимание, что даже при онлайн оплате проводится проверка «что клиент знает» − это как раз ввод контрольного кода полученного при помощи смс-сообщения.

 

КОММЕНТАРИЙ ЭКСПЕРТА

Екатерина ПЛЕШАКОВА,
эксперт Департамента информационной безопасности Финансового Университета при Правительстве РФ:

− Та история, когда вы приложили карточку, расплачиваясь за бутылку газировки и ушли ничего никуда не вводя, не означает что специально для вас отменили правило проверки пин-кода. Она говорит лишь о том, что в рамках небольших сумм банк вам доверяет без этой проверки… Удобно опять-таки, но дает шанс «злобным недоброжелателям» украсть вашу карточку и бегать по окрестным магазинам скупая мелкие товары небольшой стоимости. Выводы такие: если у вас в руках платёжная карточка, выпущенная одним из российских банков, и вы её используете на терминале или банкомате − микрочип на карте будет задействован всегда! Если Вы её используете для онлайн оплаты, микрочип не будет задействован. А если вы всё-таки оказались в США… то лучше платить наличными.