Тех­ни­ка без­опас­но­сти пла­те­жей

... Смарт­фон по­сте­пен­но ста­но­вит­ся для рос­си­я­ни­на од­но­вре­мен­но и ко­шель­ком, и бан­ком

Vedomosti.Piter - - ПЕРВАЯ СТРАНИЦА - Па­вел Кан­ты­шев ВЕ­ДО­МО­СТИ

По­след­ние мо­де­ли смарт­фо­нов об­лег­ча­ют кар­ма­ны сво­их по­ку­па­те­лей в пря­мом и пе­ре­нос­ном смыс­ле – они нема­ло сто­ят и, по­хо­же, на­чи­на­ют за­ме­нять кли­ен­там ко­шель­ки. Мо­биль­ный банк в смарт­фо­нах уже не но­вость, а вот к воз­мож­но­сти опла­тить по­куп­ку при­кос­но­ве­ни­ем га­д­же­та к тер­ми­на­лу по тех­но­ло­ги­ям Apple Pay и Samsung Pay поль­зо­ва­те­ли толь­ко при­вы­ка­ют.

Пе­ре­ход в циф­ро­вой мир чре­ват ил­лю­зи­ей без­опас­но­сти: ум­ный га­д­жет сам за се­бя по­сто­ит. Но это так лишь от­ча­сти – без­опас­ность за­ви­сит в первую оче­редь от по­ве­де­ния са­мо­го поль­зо­ва­те­ля, го­во­рят экс­пер­ты. По­это­му, ка­ки­ми бы фи­нан­со­вы­ми при­ло­же­ни­я­ми для смарт­фо­нов вы ни поль­зо­ва­лись, преж­де сто­ит осво­ить тех­ни­ку без­опас­но­сти мо­биль­ных пла­те­жей.

ЗАДАЧКА ДЛЯ ХАКЕРОВ

В кон­це сен­тяб­ря и на­ча­ле ок­тяб­ря в Рос­сию при­шли тех­но­ло­гии мо­биль­ных пла­те­жей Samsung Pay и Apple Pay, и за про­шед­шее вре­мя они еще не успе­ли стать тро­фе­я­ми ки­бер­пре­ступ­ни­ков. По край­ней ме­ре, пред­ста­ви­те­лям опро­шен­ных «Ве­до­мо­стя­ми» бан­ков, а та­к­же пред­ста­ви­те­лю Samsung на мо­мент под­го­тов­ки за­мет­ки о хи­ще­ни­ях из­вест­но не бы­ло. Как сле­ду­ет из рас­ска­зов экс­пер­тов, ки­бер­пре­ступ­ни­ков ждет непро­стая ра­бо­та.

Обе тех­но­ло­гии ра­бо­та­ют по схо­же­му прин­ци­пу: к при­ло­же­нию «ко­ше­лек», пред­уста­нов­лен­но­му на смарт­фо­нах, при­вя­зы­ва­ет­ся бан­ков­ская кар­та (ее дан­ные ска­ни­ру­ют­ся ка­ме­рой или вво­дят­ся вруч­ную). До­бав­ле­ние кар­ты со­про­вож­да­ет­ся вво­дом од­но­ра­зо­во­го па­ро­ля, ко­то­рый при­хо­дит на но­мер вла­дель­ца кар­ты, ли­бо от­ве­та­ми на во­про­сы колл-центра бан­ка.

Опла­тить по­куп­ку в ма­га­зине мож­но, про­сто под­не­ся те­ле­фон к пла­теж­но­му тер­ми­на­лу, а тран­зак­цию кли­ент под­твер­жда­ет от­пе­чат­ком паль­ца (у Samsung Pay еще и че­ты­рех­знач­ным ко­дом).

На сво­ем сай­те Apple рас­ска­зы­ва­ет: ко­гда поль­зо­ва­тель вво­дит кар­точ­ные дан­ные, устрой­ство не за­по­ми­на­ет их, а шиф­ру­ет и от­прав­ля­ют в Apple. Да­лее к ним до­бав­ля­ют­ся за­шиф­ро­ван­ные дан­ные об устрой­стве (в том чис­ле о но­ме­ре те­ле­фо­на, на­зва­нии и мо­де­ли) и за­тем от­прав­ля­ют­ся в банк. По­сле под­твер­жде­ния кар­ты имен­но банк или пла­теж­ная си­сте­ма со­зда­ет уни­каль­ный но­мер учет­ной за­пи­си устрой­ства, ко­то­рый в за­шиф­ро­ван­ном ви­де воз­вра­ща­ет­ся в Apple для за­пи­си в за­щи­щен­ный чип на

устрой­стве, ука­зы­ва­ет Apple на сво­ем сай­те.

При каж­дом пла­те­же со­зда­ет­ся так на­зы­ва­е­мый то­кен, в фор­ми­ро­ва­нии ко­то­ро­го участ­ву­ет но­мер учет­ной за­пи­си, объ­яс­ня­ет со­бе­сед­ник, зна­ко­мый с тех­но­ло­ги­ей Apple Pay. То­кен – уни­каль­ный 16-знач­ный но­мер, не сов­па­да­ю­щий с но­ме­ром фи­зи­че­ской кар­ты (во­об­ще не хра­нит­ся на устрой­стве), рас­ска­зы­ва­ет экс­перт од­но­го из рос­сий­ских бан­ков.

Samsung Pay та­к­же ис­поль­зу­ет то­ке­ны и за­щи­щен­ную память, со­об­ща­ет ком­па­ния на сво­ем сай­те.

Бла­го­да­ря то­ке­нам пла­те­жи Apple Pay и Samsung Pay зна­чи­тель­но луч­ше за­щи­ще­ны от тра­ди­ци­он­ных спо­со­бов кра­жи с карт – ским­мин­га и фи­шин­га, уве­ря­ет ви­це­пре­зи­дент «ВТБ 24» Ашот Си­мо­нян.

Кра­жа смарт­фо­на ни­че­го не даст зло­умыш­лен­ни­ку – у него не бу­дет до­сту­па к си­сте­ме опла­ты и он не смо­жет спи­сать день­ги или сде­лать дуб­ли­кат кар­ты, ука­зы­ва­ют ди­рек­тор по мо­ни­то­рин­гу элек­трон­но­го биз­не­са Аль­фа-бан­ка Алек­сей Го­ле­ни­щев и пред­ста­ви­тель Сбер­бан­ка. Без от­пе­чат­ка паль­ца про­ве­сти опла­ту невоз­мож­но, а его под­дел­ка – слиш­ком тру­до­ем­кое де­ло, про­дол­жа­ет Си­мо­нян из «ВТБ 24».

Ес­ли же те­ле­фон, на­при­мер, уто­нул, до­ста­точ­но за­но­во под­клю­чить кар­ту на но­вый смарт­фон, по­яс­ня­ет пред­ста­ви­тель Samsung. Пред­ста­ви­тель Сбер­бан­ка ре­ко­мен­ду­ет для спо­кой­ствия уда­лен­но за­бло­ки­ро­вать при­вя­зан­ные к уто­нув­ше­му устрой­ству кар­ты, бла­го та­кой сер­вис у про­из­во­ди­те­лей есть.

ЦИФ­РО­ВАЯ ГИГИЕНА

Но тео­ре­ти­че­ская опас­ность для поль­зо­ва­те­лей Apple Pay и Samsung Pay все же оста­ет­ся. Она мо­жет ис­хо­дить от зло­умыш­лен­ни­ков, вла­де­ю­щих ме­то­да­ми со­ци­аль­ной ин­же­не­рии, счи­та­ет Си­мо­нян. За по­след­ний год эти ме­то­ды на­бра­ли по­пу­ляр­ность: поль­зу­ясь дан­ны­ми из от­кры­тых ис­точ­ни­ков (со­ци­аль­ных се­тей, объ­яв­ле­ний о про­да­жах то­ва­ров, се­тей зна­комств), зло­умыш­лен­ни­ки вы­ве­ды­ва­ют у поль­зо­ва­те­лей ин­фор­ма­цию о до­сту­пе к ди­стан­ци­он­ным сер­ви­сам бан­ков, со­гла­ша­ет­ся за­ме­сти­тель ру­ко­во­ди­те­ля управ­ле­ния ди­стан­ци­он­но­го биз­не­са бан­ка ВТБ Алек­сандр Со­ло­нин. По­лу­чив дан­ную ин­фор­ма­цию, они мо­гут дей­ство­вать от име­ни кли­ен­та.

Та­кие зло­умыш­лен­ни­ки спо­соб­ны при­вя­зы­вать по­хи­щен­ные дан­ные кар­ты к Apple Pay или Samsung Pay, объ­яс­ня­ет Си­мо­нян. Убе­речь­ся от это­го про­сто: не со­об­щать ни­ко­му PIN-код кар­ты, CVV/CVC-ко­ды и ко­ды, по­сту­пив­шие по SMS, – они нуж­ны, что­бы при­вя­зать кар­ту к смарт­фо­ну, го­во­рят экс­пер­ты. На рос­сий­ском рын­ке по­пы­ток по­ка не бы­ло, но за гра­ни­цей они уже слу­ча­лись, зна­ет Си­мо­нян.

И все же пол­но­стью ис­клю­чать по­те­рю де­нег при пла­те­жах Apple Pay или Samsung Pay не сто­ит.

Ру­ко­во­ди­те­лю от­де­ла без­опас­но­сти мо­биль­ных при­ло­же­ний ком­па­нии Positive Technologies Ар­те­му Чай­ки­ну из­вест­но об ис­сле­до­ва­нии, в ко­то­ром утвер­жда­ет­ся, что, пе­ре­хва­тив несколь­ко то­ке­нов, мож­но преду­га­дать сле­ду­ю­щий.

Впро­чем, по­ка зло­умыш­лен­ни­ки ред­ко при­бе­га­ют к слож­ным спо­со­бам хи­ще­ния де­нег, а бес­кон­такт­ные пла­те­жи тре­бу­ют фи­зи­че­ско­го до­сту­па к устрой­ству – зна­чит, по­вы­ша­ют рис­ки для зло­умыш­лен­ни­ков, рас­суж­да­ет Чай­кин. По­это­му сей­час са­мым по­пу­ляр­ным спо­со­бом хи­ще­ния де­нег оста­ют­ся мо­биль­ные тро­я­ны и ата­ки на мо­биль­ные бан­ки, за­клю­ча­ет он. На смарт­фон поль­зо­ва­те­ля уста­нав­ли­ва­ет­ся вре­до­нос­ный софт, ко­то­рый чи­та­ет sms и по­лу­ча­ет до­ступ к лич­но­му ка­би­не­ту бан­ка.

По сло­вам Го­ле­ни­ще­ва, из-за ма­лой тех­ни­че­ской гра­мот­но­сти поль­зо­ва­те­ли са­ми по­твор­ству­ют ки­бер­пре­ступ­ни­кам. Они не уста­нав­ли­ва­ют ан­ти­ви­ру­сы на га­д­же­ты, ис­поль­зу­ют бес­плат­ные точ­ки WiFi, пе­ре­хо­дят по непро­ве­рен­ным ин­тер­нет-ссыл­кам и от­кры­ва­ют вло­же­ния в неиз­вест­ных пись­мах, ко­то­рые мо­гут со­дер­жать зло­вред­ный код, пе­ре­чис­ля­ет он.

По­пу­ляр­ный у ки­бер­пре­ступ­ни­ков спо­соб хи­ще­ния со смарт­фо­на – по­пыт­ки пе­ре­во­да де­нег че­рез sms-бан­кинг, рас­ска­зы­ва­ет Вик­тор Че­бы­шев из «Ла­бо­ра­то­рии Кас­пер­ско­го». Бан­ков­ская кар­та при­вя­за­на к те­ле­фо­ну, а управ­лять день­га­ми мож­но че­рез sms. По­это­му зло­умыш­лен­ни­ку до­ста­точ­но за­ра­зить устрой­ство жерт­вы, от­пра­вить и пе­ре­хва­тить два sms-со­об­ще­ния, рас­ска­зы­ва­ет Че­бы­шев. Еще ки­бер­пре­ступ­ни­ки мо­гут вы­ну­дить поль­зо­ва­те­ля пе­ре­ве­сти им день­ги, за­пу­гав его пор­чей фай­лов на устрой­стве, про­дол­жа­ет экс­перт.

Во всех слу­ча­ях хи­ще­ний, что об­на­ру­жи­ла Group-IB (см. врез), поль­зо­ва­те­ли са­ми уста­нав­ли­ва­ли софт из непро­ве­рен­ных ис­точ­ни­ков, рас­ска­зы­вал «Ве­до­мо­стям» за­мру­ко­во­ди­те­ля ла­бо­ра­то­рии ком­пью­тер­ной кри­ми­на­ли­сти­ки ком­па­нии Сер­гей Ни­ки­тин. Android-cмарт­фо­ну мож­но и нуж­но за­пре­тить это де­лать, от­ме­чал он. А в Apple в iOS та­кой штат­ной воз­мож­но­сти про­сто нет. Ана­ло­гич­ных ви­ру­сов и хи­ще­ний для Apple iOS Group-IB не об­на­ру­жи­ла.

Пред­ста­ви­тель Сбер­бан­ка предо­сте­ре­га­ет от jailbreak (процедуры, сни­ма­ю­щей огра­ни­че­ния Apple на уста­нов­ку и функ­ци­о­ни­ро­ва­ние при­ло­же­ний) смарт­фо­на. Ар­хи­тек­ту­ра iOS вы­стро­е­на так, что каж­дая про­грам­ма вы­пол­ня­ет­ся в стро­го от­ве­ден­ном для нее участ­ке па­мя­ти и с огра­ни­чен­ны­ми пол­но­мо­чи­я­ми. А jailbreak да­ет при­ло­же­нию пол­ный ад­ми­ни­стра­тив­ный до­ступ к фай­ло­вой си­сте­ме и ре­сур­сам смарт­фо­на. Это поз­во­ля­ет уста­но­вить в об­ход AppStore ка­кое угод­но при­ло­же­ние – в том чис­ле и та­кое, за ко­то­рым скрыт зло­вред­ный код.-

Пол­ная вер­сия ста­тьи: www.vedomosti.ru

/ ЕВГЕНИЙ РАЗУМНЫЙ / ВЕ­ДО­МО­СТИ

Мо­биль­ные пла­те­жи на­деж­но за­щи­ще­ны со­вре­мен­ны­ми тех­но­ло­ги­я­ми

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.