Вместе с экспертами разбираемся в безопасности Samsung Pay, Apple Pay и Android Pay
КомментарийЕкатерина Петелина, генеральный директор Visa в России:- Бесконтактные платежи уже завоевали популярность в России. 95% российских держателей карт с технологией бесконтактной оплаты уже активно используют этот способ оплаты и ценят его за скорость, удобство и безопасность.
Вслед за проникновением бесконтактных платежей как таковых, развиваются и новые сервисы - возможность бесконтактной оплаты покупок с помощью телефонов.
Сегодня в России привязать банковскую карту можно практически к любому современному смартфону. С осени 2016 года в стране работают платформы Samsung Pay и Apple Pay, а в мае и Google запустил Android Pay. Чтобы оплатить покупку, хозяину устройства нужно всего лишь поднести его к терминалу оплаты и ввести пароль или оставить отпечаток пальца на гаджете.
Благодаря простоте и удобству, сервисы стремительно набирают популярность во всем мире: только по Apple Pay число транзакций за первый квартал 2017 года выросло на 450% по сравнению с аналогичным периодом прошлого года. Ни Samsung Pay, ни Apple Pay не раскрывают количества пользователей своих мобильных систем, однако, судить о быстром росте можно по данным отдельных банков. Так, только в «ВТБ24» около 20 тысяч клиентов ВТБ24 «привязали» свои карты к Samsung Pay, 45 тысяч человек - к Apple Pay (данные за февраль). Объем платежей, осуществляемых через данные сервисы, превысил 800 млн рублей.
Некоторые эксперты придерживаются мнения о том, что эти платежные сервисы вскоре вовсе вытеснят с рынка пластиковые карты.
Так, по прогнозу Райффайзенбанка, в ближайшие годы количество транзакций через сервисы мобильных платежей в общем количестве операций будет стабильно расти, а доля клиентов, использующих гаджеты для оплаты, достигнет 30-40%.
По прогнозу замначальника управления финансами клиентов банка ВТБ24 Марии Саенко, к концу 2017 года оборот по картам банка через эти сервисы достигнет 10 млрд руб., а количество подключенных пользователей составит 200 000 человек.КомментарийВиталий Милованов, директор Уральского филиала Райффайзенбанка:- Технология становится все более доступной, а опасения, связанные с ее новизной, уходят. Конечно, первая большая волна подключений к Apple Pay и Samsung Pay закончилась. В нее попали клиенты, которые активно интересуются новыми технологиями. Теперь же динамика подключений более плавная, но стабильная.
Впрочем, все опрошенные нами эксперты отмечают, что развитие Apple Pay, Samsung Pay и Android Pay будет быстрым только при высокой степени доверия населения к этим сервисам, если безопасность платежей будет гарантирована.
Мы спросили у банкира и антивирусного эксперта, с какими рисками сталкивается клиент при использовании бесконтактных платежей.
Карта в телефоне - как это работает?
В основе защиты денежных средств в Apple Pay, Samsung Pay и Android Pay лежат токенизированные системы оплаты. При подключении карты к смартфону, ее данные не сохраняются на мобильном устройстве и не передаются магазину. Вместо этого формируется специальный токен - уникальный код, привязанный к карте и конкретному устройству. Он хранится на отдельном чипе и используется в качестве платежной информации при совершении покупки.Это удобно и безопасно: ни магазин, ни мошенники, теоретически способные перехватить транзакцию, не получают доступ к реальным данным банковской карты - они могут узнать только уникальный токен, объясняет Денис Горчаков, руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention.Теоретически, этот код не может быть использован в отрыве от определенного устройства, и даже если мобильный телефон будет украден, мошенники не смогут инициировать оплату без подтверждения отпечатком пальца или пин-кодом.
Стоит отметить, что платформу Samsung Pay отличает то, что она может использовать не только технологию NFC (бесконтактной оплаты), но и MST - Magnetic Secure Transmission (магнитная безопасная передача). Она дает пользователю возможность платить в любых терминалах, которые работают с магнитной полосой карты. Надежность при этом обеспечивается несколькими факторами: для хранения данных используется аппаратный чип (Secure Element), активация платежного режима запускается по пин-коду или отпечатку пальца, на устройствах установлено встроенное решение безопасности KNOX и базовый антивирус. К тому же платежная функциональность доступна только на новых и поддерживаемых обновлениями безопасности устройствах, на которых оперативно закрываются все уязвимости.
КомментарийДенис Горчаков, руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention:- При использовании Apple Pay и Samsung Pay на протяжении длительного периода времени, у меня сложилось впечатление, что технология Apple в целом стабильнее работает и количество отказов ввиду разных причин меньше, однако она и более уязвима к варианту физической атаки - если злоумышленник украдёт телефон и силой получит у жертвы пин от него (либо подсмотрит в бумажнике), то после добавления отпечатка пальца преступника, Apple позволит оплатить услугу без проблем, в отличие от Samsung Pay. Отдельный платежный пароль у Samsung Pay - более правильный с точки зрения безопасности подход.
В чем опасность?
Если все работает так, как описывают создатели платформ Apple Pay, Samsung Pay и Android Pay, то каковы же риски?Риск №1. Кража телефона
Основная опасность кроется в утере или краже телефона. Если злоумышленнику удастся получить доступ к системе, вред, который может быть нанесен пользователю, будет сравним с кражей бумажника с картами и с запиской с пин-кодами внутри него: деньги могут быть украдены с помощью перевода на чужой счет, например, или потрачены в ближайшем магазине. Но получить доступ к мобильной банковской карте, привязанной к смартфону, не так-то просто. Это возможно в двух случаях:
Чтобы избежать второго варианта, единственная рекомендация для владельцев: стараться не вводить пароль у всех на виду (как и при стандартной оплате банковской картой) и, естественно, не записывать его в доступных местах (на бумажке в бумажнике и т.п.).
Получается, что физический взлом систем Samsung Pay, Apple Pay и Android Pay почти невозможен, особенно, если в качестве защиты вы выбрали ввод отпечатка пальца. Но не стоит забывать и о других опасностях.
Риск №2. Комбинация традиционного мошенничества и новых технологий
Технологии Apple Pay, Samsung Pay и Android Pay фактически делают телефон картой оплаты, поэтому пользователи могут столкнуться с традиционными видами мошенничества в этой сфере. Например, карту могут украсть физически или с помощью программ-зловредов, собирающих данные, а использовать ее злоумышленники будут, привязав к своему телефону.
«Бесконтактные платежи в онлайн-торговле и в обычных магазинах значительно облегчили работу кардеров. Привязав данные украденной карты к телефону премиум-класса, они могут приобретать товары в магазинах, вызывая намного меньше подозрений», - рассказывает Денис Горчаков.
Кроме того, плохую службу может сослужить и история операций, которая может стать доступной карточным ворам.
КомментарийВиталий Милованов, директор Уральского филиала Райффайзенбанка:- Злоумышленники «по воздуху» могут получить и историю операций, включающую в себя точные суммы и даты списаний, а располагая этими данными, несложно составить примерный профиль владельца и предположить его текущий остаток по счету. Но все крупные банки очень много сил и средств тратят на современные средства защиты информации, сведя вероятность мошеннических операций к минимуму.
Знание остатка по счету грозит тем, что злоумышленники могут предельно точно определить сумму мошеннической операции. Это знание важно, когда карту крадут физически и пытаются ей оплатить какую-то покупку. Например, воришка, решил купить по чужой карте товаров на 5 000 рублей, а остаток на карте всего 4900. Это может спасти владельца карты: он получает смс об отказе в операции и сможет оперативно заблокировать карту.
Риск №3. Хакерская атака
При хакерской атаке злоумышленникам не нужны ни ваша карта, ни телефон. По словам экспертов в области предотвращения киберпреступлений, технологии бесконтактных платежей с помощью смартфонов пристально изучаются экспертами по информационной безопасности с момента их публичного анонса. Еще летом 2016 года на конференции BlackHat в США были выделены возможные угрозы.
Пока это скорее потенциальные, чем реально существующие риски. Однако злоумышленники тоже не дремлют и активно исследуют новые технологии. Как рассказали нам в «Лаборатории Касперского», сейчас уже есть способы обхода защиты Samsung Knox, позволяющие разблокировать права суперпользователя и при этом спокойно совершать платежи. Это открывает потенциальную возможность для эксплуатации существующих атак на беспроводные платежи со смартфонов типа NFC Relay и аналогичных.
Чтобы обезопасить себя, эксперты советуют не привязывать все карты к смартфону.
КомментарийДенис Горчаков, руководитель группы исследования и анализа мошенничества Kaspersky Fraud Prevention:- На мой взгляд, достаточно безопасно держать привязанной к телефону одну «ходовую» карту с небольшой суммой на ней: это хороший компромисс между удобством и безопасностью.
По мнению банкиров, именно опасения клиентов мешают системам бесконтактных платежей расширить свое влияние на рынке. Однако большинство угроз пока остаются лишь потенциальными, а «все крупные банки очень много сил и средств тратят на современные средства защиты информации, сведя вероятность мошеннических операций к минимуму», заключает Виталий Милованов.