Платежи по бесконтактным картам - насколько они опасны и как защититься?

В последнее время банковские карты с бесконтактным модулем оплаты прочно вошли в наш обиход. Проведение оплаты в одно касание - это наиболее быстрый способ, так как вставлять карту в терминал не требуется и операции до 1000 рублей, как правило, принимают без ввода пин-кода. Этот способ пришелся по душе многим покупателям - всё больше операций осуществляется бесконтактным способом. Крупные банки РФ несколько лет назад также переключились на выпуск бесконтактных карт.

Мошенники также не стоят на месте. На рынке появились скиммеры, которые “работают” именно с такими картами. 

Скиммер - небольшое по размерам устройство, которое крепится к банкомату или платёжному терминалу и считывает данные карты. Бесконтактный скиммер, как правило, представляет собой электронную плату с антенной, которая вставляется внутрь терминала для оплаты. При совершении платежа он “включается в общение” между RFID-модулем карты жертвы и платежным терминалом и получает ряд данных.   

Насколько они опасны для владельцев карт?

Забегая вперед, сразу отмечу, что бесконтактные скиммеры безопаснее скиммеров, копирующих магнитную полосу карты. Это связано с тем, что изготовить дубликат карты по данным, полученным такими скиммерами, невозможно. И соответственно снять деньги в банкомате тоже. Но помимо снятия денег банкомате существуют другие способы, с помощью которых можно вывести с карты денежные средства. Например, платежи по её реквизитам в интернете. Поэтому при использовании таких карт это стоит иметь в виду.       

Два вида атак

Воровство денег при большом скоплении народа. Так как по законодательству РФ на территории нашей страны разрешены бесконтактные операции до 1000 рублей без ввода пин-кода, мошенники могут списать деньги с вашей карты в размере максимум 999,99 рублей - если смогут поднести близко терминал оплаты к вашей сумке/рюкзаку или карману, где лежит карта. 

Именно этого способа атаки опасаются большинство владельцев бесконтактных карт.

Однако он не так сильно распространен. Действительно для мошенников такая атака обладает кучей минусов:

- Ограничение на списание суммы без ввода пин-кода. Чтобы заработать внушительную сумму, понадобится списать деньги у большого числа жертв;

- Возможность оспорить операцию у владельца карты. Клиент может обратиться в свой банк и оспорить мошенническую операцию. При этом деньги он скорее всего вернет, так как банк-эквайер запросит “у точки” подтверждающий чек, а его не окажется;

- Необходимость наличия юрлица для подключения услуги по приёму банковских карт. А это затраты на его обслуживание, затраты на подключение эквайринга итд;

- Применение различных способов защиты владельцами карты. Например, специального экранирующего кошелька.

Так что чисто технически этот вид атаки не особо выгоден мошенникам.

Считывание данных карты с помощью скиммера-прокладки в POS-терминале. Этот способ мошенничества подразумевает под собой чтение данных карты жертвы и использовании их затем в противоправных действиях. Он более опасен, чем предыдущий. 

Какие данные может считать такой скиммер?  

- номер карты,

- дату окончания действия карты,

- ФИО владельца,

- валюту карты,

- историю последних покупок (в ряде случаев).

Номера карты и даты окончания действия будет достаточно, чтобы расплатиться в некоторых интернет-магазинах. Хорошо, что в немногих. Все-таки большинство из них при проведении платежей запрашивают CVV/CVC-код, а его скиммеры не могут вытащить. 

Так что мошенники в данном случае ограничены выбором нескольких интернет-магазинов и как правило зарубежных. 

Но тем не менее этого достаточно. 

Как защититься от такого способа?

Попасть под такой скиммер теоретически может каждый, поэтому нужно знать, как уменьшить риски и защититься от мошенничества.

Приведу несколько способов:

- Отключить по карте операции в интернете. Во многих, особенно крупных банках это можно сделать через операциониста или банковское приложение в интернете. В данном случае считанные с карты данные будут для мошенников абсолютно бесполезны. 

Если вы активный пользователь интернета и часто оплачиваете в нем с карты, можете выпустить в банке дополнительную карту на ваше имя, привязанную к тому же счёту и использовать ее только для оплаты в интернете. А основную карту использовать только для оплаты в магазинах.

- Использовать вместо банковской карты Apple/Samsung Pay. Использование смартфонов для оплаты покупок безопаснее. Мошенники не смогут считать имя и фамилию владельца, а также получить историю покупок. Также перехваченные данные невозможно использовать для оплаты в интернете. Для авторизации покупки нужен отпечаток пальца.

- Оплачивать покупки картой с чипом. Это не так удобно, так как нужно при каждой операции вводить пин-код, но NFC-сниффер в данном случае бесполезен.  

- Снизить доступный лимит по карте и повышать его только при проведении крупных покупок. Во многих банках лимитами по картам можно управлять через банковское приложение. 

- Основные деньги не держать на счете, к которому подключена банковская карта. Можно открыть расчетно-накопительный вклад и переводить деньги на карту через приложение банка по мере необходимости.

Последние два способа вас полностью не защитят от возможного мошенничества, но заметно снизят риски.

Всё же по полученным реквизитам карты мошенники могут стянуть деньги только с карты, но не получат доступ ко всем счетам клиента.

Если мошенничество всё же произошло?

Здесь не все так печально по сравнению со случаем воровства денежных средств с дампа карты в банкомате. Всё дело в том, что операции по карте можно оспорить, если вы их не совершали. Тем более, если при проведении операции не запрашивался CVV/CVC-код с оборотной стороны карты. Поэтому операцию скорее всего признают мошеннической и деньги вам будут возвращены.

Но придется долго ждать - как правило, до 60 дней.

Так что в целом оплата бесконтактными картами безопасна.