Содержание |
Основная статья: Бесконтактные NFC-платежи
2019: Обнаружен новый способ кражи денег с бесконтактных карт Visa
Эксперты по кибербезопасности из компании Positive Technologies рассказали в июле 2019 года об уязвимости, эксплуатация которой позволяет злоумышленникам обойти ограничение на списание крупных сумм бесконтактным способом с карт Visa.
Обычно бесконтактные карты не позволяют провести оплату большой суммы без PIN-кода. Например, пользователям в Великобритании необходимо вводить PIN-код при покупке от £30 (примерно 2300 рублей). Если преступники украдут карту и попытаются провести несколько транзакций на большие суммы, то банк заблокирует карту.
По словам экспертов из Positive Technologies, существует два способа обойти это ограничение. В первом случае они воспользовались аппаратом для перехвата и замены сообщений в канале связи между картой и считывающим устройством. С его помощью на карту посылался ложный сигнал о списании суммы менее £30, а на терминал — сообщение о верификации, проведенной другим способом. Данная уязвимость затрагивает только карты Visa, поскольку в других платежных системах большие транзакции подтверждаются только PIN-кодом.ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября
Во втором варианте исследователи использовали два мобильных телефона. Один телефон собирал с карты так называемую криптограмму платежа, гарантирующую подлинность будущих транзакций. Второй — принимал криптограмму и имитировал карту.
Компания Visa не планирует принимать меры по пресечению данных видов мошенничества. По мнению компании, для осуществления махинации злоумышленникам необходимо иметь карту на руках, а такое редко случается. Однако исследователи не согласны с тем, что карту нужно обязательно красть. Как показали результаты эксперимента, злоумышленнику достаточно ненадолго подобраться близко к карте жертвы и считать платеж.
2017: В ЦБ рассказали о бесконтактных кражах с платежных карт
Эксперты Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ рассказали в сентябре 2017 года о данных карт, которые интересуют злоумышленников при бесконтактных кражах. Об этом в четверг, 28 сентября, сообщает Rambler News Service со ссылкой на материалы ФинЦЕРТ.
Подтвержденных сведений об успешном создании в России дубликатов платежных карт пока нет, отмечают в центре. Целями краж становятся данные о типе используемого платежного приложения, срок действия карты, имя держателя карты, PAN (Primary Account Number, основной номер карты), история операций, количество оставшихся попыток ввода PIN-кода.
Кроме того, возможно отдельное хищение Track 2 магнитной полосы платежной карты.
Наиболее популярными способами краж остаются скимминг, при котором информация о банковской карте крадется с помощью специального устройства, разновидность скимминга — шимминг и Black Box (взлом и установка в банкоматы вредоносного программного обеспечения).
2015: Защищенные модули SE и HCE
Безопасность такого рода операций осуществляется при помощи защищенного модуля (SE) – устойчивого к взлому чипa, который обеспечивает защищенное хранилище, совершение платежных операций и хранение конфиденциальных данных. Такой чип сохраняет информацию, управляет защитой и обеспечивает экран (Firewall) между приложениями NFC и другими модулями телефона[1].
При использовании технологии Host Card Emulation (HCE), позволяющей эмулировать банковскую карту на телефоне или планшете, защищенный модуль является виртуальным и находится в облаке.
HCE имеет открытую архитектуру, что позволяет эмулировать не только банковские карты, но и карты программ лояльности, транспортные карты, пропуска и т. д. Технология позволяет заметно ускорить процесс внедрения платежных NFC-сервисов, так как отпадает необходимость в координации и согласовании действий с производителями телефонов, кроме того, решаются многие проблемы совместимости.
Технологии SE и HCE значительно различаются, при этом каждая обладает как преимуществами, так и недостатками. HCE позволяет не только совершать платежи на физических POS-терминалах, как SE, но и осуществлять интернет-транзакции на сайтах и в приложениях, однако она более уязвима к вредоносному ПО и критична к наличию интернет-соединения.
Таким образом, защищенный модуль может быть встроен в следующие элементы:
- карта SD – карта памяти, которая может быть вставлена в некоторые телефоны, как дополнение к уже имеющимся функциям SE/NFC;
- внешнее устройство – в этом случае наклейка или подключаемое к телефону устройство дает возможность использовать SE/NFC;
- встроенное устройство – в некоторые телефоны уже встроен модуль SE/NFC;
- SIM – добавление функции NFC в идентификационный модуль абонента;
- облако – программный подход, который отвязывает защищенный элемент от устройства.
2012: Технология NFC – новая эра угроз безопасности
28 июня 2012 года корпорация Symantec сообщила о новом виде потенциальных угроз. Появление новой технологии NFC, которая обеспечивает беспроводный обмен данными, положило началу появлению новых мобильных приложений на ее базе, которые могут быть потенциально опасны. Приложение Android.Ecardgrabber способно считать номер пластиковой карты, срок ее действия, а также номер банковского счета пользователя.
Немецкий исследователь в области безопасности выпустил на сервисе Google Play приложение Android, способное считывать данные ограниченного количества бесконтактных пластиковых карт по радиоинтерфейсу. Бесконтактные пластиковые карты обычно используются для транзакций на суммы менее 10 евро без ввода пин-кода – необходимо просто поднести карту к точке на терминале продаж.
Приложение Android, зарегистрированное компанией Symantec под именем Android.Ecardgrabber, производит попытку считывания данных с помощью протокола связи NFC (англ. Near Field Communication, стандарт ближней связи) — технологии, реализованной на новейших моделях смартфонов. Приложение было размещено на сервисе Google Play 13 июня 2012 года. До удаления его успело скачать от 100 до 500 пользователей.
Платежные системы и сервисы
- Facebook Pay
- Apple Pay, Apple Card
- Amazon Pay
- Samsung Pay, Samsung Card
- Alipay
- WeChat Pay
- PayPal и PayPal_Россия
- Android Pay + Google Wallet = Google Pay
- Huawei Pay, Huawei Card, Huawei Digital Payment Cloud Solution
- Garmin Pay
- BitPay Card
- Mir Pay
- VK Pay
- Chase Pay
- Binance Pay
- TransferGo
- Hyundai Pay
- SWIFT, SWIFT gpi Instant
- Европейская платёжная инициатива (EPI, The European payments initiative)
- Project Icebreaker
- CIPS - Трансграничная межбанковская платежная система
- Visa International, Fold Rewards Card, Visa Secure, 3-D Secure
- 3-D Secure 2.0 (3D-Secure 3DS) - EMVCo
- MasterCard
- UnionPay
- JCB Платежная система
- Western Union
- Corda R3 Платежная система на блокчейне
- LG CNS: Платежная система с распознаванием лиц
- Worldpay
- American Express
- Payment Card Industry Security Standards Council
- BitPay
- Square
- MoneyGram
- Биткоин (Bitcoin) Криптовалюта
- Биткоин (Bitcoin) в России
- Криптовалюты в России
- Криптовалюты на Украине, FacePay24
- Криптовалюты в Эстонии
- Национальные криптовалюты
- Восточноазиатская цифровая валюта
- Цифровой юань (DCEP)
- Цифровой евро
- Цифровой доллар
- Цифровая вона Южной Кореи
- Цифровой бат Таиланда
- Цифровая шведская крона (e-krona)
- Facebook Libra криптовалюта
- El Petro (криптовалюта)
- Эфир (Ether, криптовалюта Ethereum)
- Ethereum (криптовалюта)
- JPM Coin (криптовалюта)
- Gram (криптовалюта)
- MUFG Coin (криптовалюта)
- Tcoin (криптовалюта)
- Venus (криптовалюта)
- MobiCoin (криптовалюта)
- Stablecoin (криптовалюта)
- BitTorrent (криптовалюта)
- Wells Fargo Digital Cash (криптовалюта)
- Kodakcoin (криптовалюта)
- Bitcoen Кошерная криптовалюта
- Barca Fan Tokens ($BAR)
- Система Быстрых Платежей (СБП)
- НСПК МИР, СБПэй
- Sberbank Pay, Платежная система Сбербанка, Сбербанк: Система оплаты по улыбке
- Uniteller
- Tinkoff Pay
- Платежная система АО Россельхозбанк
- GazpromPay
- PosTransfer
- United Card Services
- SelfieToPay
- ISBC Pay Сервис бесконтактной оплаты брелоком
- Сервис по передаче финансовых сообщений (СПФС)
- ECommPay ECommPay: Conversion +
- Про100 (платежная система)
- Рапида (Rapida)
- ChronoPay (Хронопэй)
- КиберПлат (CyberPlat)
- CloudPayments
- Эвотор Пэй (Evotor Pay)
- Золотая Корона, KoronaPay
- Элекснет
- Лидер - система денежных переводов НКО
- Деньги.Мэйл.Ру
- Yandex Pay
- ЮMoney
- Webmoney
- Ckassa (Центральная касса), Ckassa Start, Ckassa.terminal
- RBK Money
- Кошелек МТС Деньги, МТС Pay
- Qiwi Кошелек - Группа Qiwi
- LIfe Pay
- MandarinLab, MandarinPay
- МультиКарта
- Мультисервисная платежная система (МПС)
- Кампэй (Comepay) Платежная система
- Contact (платежная система)
- Magnit Pay
- PayMaster (сервис)
- Pay.Travel
- Blizko платежная система
- PayBox.money
- Fondy
- УПТ: IDpay Денежные переводы
- Универсальная электронная карта (УЭК)
- Онлайн-обмен данными между торговыми точками и налоговой службой (контрольно-кассовая техника, ККТ, POS-терминалы)
- POS-терминалы и другое торговое оборудование (мировой рынок)
- Сервисы мобильных платежей
- Бесконтактные NFC-платежи, NFC
- Безопасность электронных платежей
- Безопасность бесконтактных платежей
- Основные тренды в сфере защиты банковских платежей
- Терминалы оплаты (системы моментальных платежей)
- Платежная карта
- Карточные платежные системы
- Дебетовые карты (рынок России)
- Кредитные карты (рынок России)
- Эквайринг (процессинг)
- Оплата по биометрии
- Безналичные платежи в России
- Электронные платежные системы в России
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Политика ЦБ в сфере развития инноваций и финансовых технологий
- ФинЦЕРТ
- Денежные переводы (рынок России)
- Электронные платежные системы в Азербайджане
- Электронные платежные системы в Казахстане
- Электронные платежные системы в Узбекистане
- Электронные платежные системы на Украине
- Электронные платежные системы в Белоруссии
- Денежные переводы (мировой рынок)
- Денежные переводы (рынок Грузии)
- [[Электронные платежные системы в Индии}}
- Потери банков от киберпреступности
- Информационная безопасность в банках
- Мошенничество с банковскими картами
- Взлом банкоматов