Миф или реальность: Безопасные бесконтактные платежи на основе токенов

Миф или реальность: Безопасные бесконтактные платежи на основе токенов

Ведущие мировые платежные системы вместе с российским партнером в лице НСПК заявили о создании нового метода совершения платежей по воздуху.

Myth_Reality_Safe_Contactless_Payments_Tokenization_Bank_Cards

Банковские карты и созданные для оплаты оказанных услуг или приобретенных товаров сервисы, работающие через сеть Интернет или при взаимодействии с платежными терминалами, давно превратились в неотъемлемую часть потребительского сообщества, привыкшего пользоваться дарами цивилизации в повседневной жизни. Преобразившаяся в маленький кусочек пластика пачка купюр — несомненное удобство в сравнении с событиями 30-летней давности, когда для совершения дорогостоящих покупок деньги покупателям приходилось перевозить чуть ли не чемоданами. Однако неприятный результат наличия внушительной суммы денег, выражающийся в способности злоумышленников их попросту украсть, «перекочевал» и в банковские инструменты современного потребительского рынка — и пластиковые карты, и доступные сегодня онлайн-сервисы оплаты за предоставленные услуги и купленные товары подвергаются кражам и взломам, лишая рядовых граждан накопленного за годы труда финансового состояния. И вот у мошенников и грабителей появляется реальный враг в лице разработанного усилиями западных и российских специалистов метода «токенизации», обеспечивающего проведение бесконтактных платежных операций без малейшей угрозы кражи персональных данных об обладателе счета.

Насколько в действительности безопасными будут бесконтактные платежи на основе токенов после внедрения новейшей технологии во всем мире, о перспективе чего на днях заявили представители американских компаний Visa и MasterCard? Чтобы оценить риски для рядовых обывателей, готовых воспользоваться современным сервисом для оплаты приобретенных в магазине товаров по воздуху, достаточно вспомнить о способах, с помощью которых преступники крадут деньги владельцев банковских карт сегодня.

Скимминг

Наиболее простой и распространенный вариант кражи денег с банковского счета потребителя, использующего для расчетов пластик, — так называемый скимминг, основанный на считывании данных с магнитной ленты карточки. Полученную информацию злоумышленники используют для дублирования карты, создавая полный клон карточки настоящего владельца для последующего обналичивания украденных таким способом средств. Для этого преступниками совершается ряд дорогих покупок, после чего приобретенные товары продаются на вторичном рынке за наличные деньги. Такая схема процветала на протяжении нескольких десятилетий, до сих пор обеспечивая криминальное сообщество средствами для существования — отношение жителей России к банковским инструментам продолжает оставаться недостаточно серьезным, что позволяет преступникам применять скимминг и по сей день.

Технически данный способ кражи основывается на принципах работы банковских карт, снабженных магнитной лентой. На последней записана персональная информация о владельце пластика, включая номер счета, наименование банка-эмитента и данные о параметрах доступного кредитного лимита. Там же в зашифрованном виде хранится и PIN-код, с помощью которого владелец авторизуется в банковских сервисах и обналичивает деньги в банкоматах. Преступникам PIN-код не нужен — операции по оплате с использованием карты с магнитной полосой проводятся без необходимости ввода пароля, что по задумке создателей этого метода должно облегчить жизнь рядовых потребителей. Заставить последних делать дополнительные телодвижения гораздо сложнее, чем вынудить задуматься о безопасности хранящихся в пластике денежных средств. Однако магнитная полоса постепенно вытесняется своим «младшим собратом» в форме чипованных карт, обладающих повышенной защитой от кражи и взлома.

Пластик с чипом

Вшитый в пластиковую карточку чип — почти идеальная защита от злоумышленников, обеспечивающая владельцу максимальную защищенность от потенциальной кражи хранящихся на банковских счетах денег. В отличие от магнитной полоски, встроенный микропроцессор хранит все в полностью шифрованном виде, при этом сведения о покупателе при совершении платежной транзакции через терминал не передаются — вместо них чипованная карта «отдает» специально сгенерированный код, с помощью которого получивший запрос банк сопоставляет его с имеющейся в базе информацией. Совпадением становится указание на владеющего счетом клиента с подтверждением суммы денежного остатка, что автоматически приводит к соответствующей реакции банкиров — разрешению или запрету на проведение оплаты.

Особенность чипованного пластика — необходимость постоянно вводить PIN-код, превратившийся в «последний рубеж» защиты от злоумышленников, не оснащенных ультрасовременным оборудованием для копирования данных с такого чипа. Именно появление спецоборудования, позволяющего дублировать чипы в банковских картах, фактически поставило крест на дальнейшем развитии пластиковых карточек в мире, вынуждая финансистов создавать более современные способы проведения потребительских финансовых операций.

Бесконтактные платежи

Очень перспективным направлением, серьезно облегчающим потребителям доступ к банковским средствам, стал метод бесконтактных платежей, когда привычный кусочек пластика заменяет ставший незаменимым для каждого жителя планеты смартфон или планшет. Все данные о номере клиентского счета в банке, остатке средств и зашифрованный PIN-код хранятся в базе кредитной организации, лишая тем самым мошенников доступа к персональной информации о клиенте даже в случае кражи мобильного устройства. Дополнительную сложность для преступного сообщества, промышляющего уводом накоплений с пластика, представляет способ обмена данными с платежным терминалом — мобильный гаджет и терминальное устройство «общаются» по воздуху. Это, по задумке авторов изобретения 5 лет назад, исключает вероятность перехвата потока данных злоумышленниками, но праздник продолжался недолго — скиммеры научились перехватывать эту информацию с помощью доступных технических средств, научившись списывать деньги со счетов потребителей точно таким же образом.

Создав специализированную «приставку», посредством программирования «начинки» заменяющую собой беспроводной платежный банковский терминал в магазине, преступники теперь могут удаленно украсть денежные средства, приблизившись к объекту кражи на расстояние в 10-15 метров. Особенность бесконтактного метода оплаты — возможность совершать покупки до 1 тысячи рублей без подтверждения паролем, что нисколько не останавливает скиммеров. Чтобы списать весь имеющийся на бесконтактной карте остаток, им достаточно провести операцию списания необходимое количество раз, имитируя множественную покупку какого-нибудь товара. Защитой от «скимминга по воздуху» становится подключение платной услуги SMS-информирования, помогающей сразу увидеть произошедшее списание, чтобы моментально обратиться в банк с требованием заблокировать средства.

Токенизация

И вот финансисты представили по их заверениям «совершенно новый и безопасный метод осуществления платежей бесконтактным способом, основанным на принципе токенов». По своей сути он — логическое продолжение ставшего привычным для обладателей смартфонов производства южнокорейской и американской компаний, представивших технологию Samsung Pay для электронных помощников под брендом компании-производителя из Южной Кореи, и Apple Pay для iPhone и iPad. Последние активно внедряются на российском рынке, уже сейчас позволяя оплачивать покупки в торговых точках страны. Однако у новинки есть и существенное отличие — как и при сравнении банковского пластика с магнитной полосой и чипом, «новые» безопасные бесконтактные платежи проводятся без передачи персонифицированных сведений о владельце счета терминалу, которые заменяет специально генерирующийся для конкретной операции токен. В токене зашифровывается информация, необходимая банкирам для определения личности покупателя и остатка присутствующих на счету денежных средств, что полностью повторяет технологию защиты финансовых операций при использовании чипованных карт.

Другими словами, названный «самым безопасным» метод оплаты по воздуху есть не что иное, как дальнейшее технологическое развитие уже существующих финансовых инструментов, обладающих теми же «дырами» в безопасности, что и предшественники. В первую очередь, позволяющими в ряде ситуаций получать доступ к платежному средству потребителя — его мобильному устройству в виде планшета, носимого аксессуара или смартфона, на которых потребуется установить специальное приложение. Если запуск программы сопровождается необходимостью ввода пароля, степень защищенности персональных данных резко повышается, однако подавляющая часть современных людей предпочитает отключать эту функцию, чтобы ускорить процесс совершения покупки — многократный ввод PIN-кода многим кажется излишним, чем обязательно воспользуются злоумышленники.

Насколько безопасной для россиян окажется токенизация, уже анонсированная представителями НСПК в России, покажут первые месяцы применения «нового» способа проведения платежей бесконтактным методом. Напомним, что запуск технологии состоится ближайшей осенью, а новые карты «Мир» будут изначально обладать всеми преимуществами технологических новшеств, разработанных при непосредственном сотрудничестве с американцами.

Ирина Петрова
comments powered by HyperComments