February 10, 2016

Возможно, новый способ мошенничества...

Фото: Олег Горобец, Facebook

До вчерашнего дня в интернете существовало четыре главных темы: платье синее или всё-таки белое, как собака должна носить штаны, дадут ли "Оскар" Леонардо Ди Каприо и делать ли платной подписку на мой блог. Но вчера изменилось всё.

Глава одного из департаментов "Лаборатории Касперского" Олег Горобец опубликовал в "Фейсбуке" фотографию из московского метро. На ней – мужчина, который держит в руках мобильный терминал для снятия средств с банковских карт.

По мнению Горобца, это мошенник, который использовал аппарат, чтобы воровать у пассажиров деньги с помощью бесконтактной технологии оплаты. Для этого ему достаточно было подносить терминал к одежде и сумкам ничего не подозревающих людей.

"Только что встретил мужика, вооружённого вот этим в поезде метро. Ага, без палева так. Был взволнован. Ещё один резон хранить карты PayPass в безопасном месте, лучше экранированном", – написал по этому поводу Горобец.

Интернет вскипел. Теперь все спорят о том, захлестнёт ли Россию волна воровства денег с банковских карт с помощью бесконтактной технологии, или такое воровство в принципе невозможно.

Некоторые пишут в комментах, что на фотке на самом деле курьер, который просто что-то куда-то доставлял и заранее приготовил терминал для расчёта. Им возражают, что курьеру нет никакого смысла включать аппарат до прибытия на место назначения.

Кроме того, существует довод, что это слишком "палевный" способ воровства – некоторые умельцы уже предложили конструкцию с проводным шлейфом и кнопочным телефоном. Другие комментаторы придерживаются конспирологической теории: мол, всё это вообще маркетинговый ход "Лаборатории Касперского".

Наиболее адекватный аргумент против версии о мошенничестве сводится к тому, что пытаться украсть деньги таким образом – всё равно что сразу показать своей жертве удостоверение личности и отправиться вместе с нею в отдел полиции.

Сотрудник крупного российского банка Павел Сукач рассказал TJournal, что у мошенников могут возникнуть проблемы с выводом средств:

"Платёжные терминалы переводят деньги на банковский счёт, обычно оформленный на юридическое лицо. Соответственно, после выявленного факта мошенничества счёт будет заблокирован и арестован. Открыть счёт можно только по оригинальному паспорту. Скан и копии не подойдут. Это как грабить людей на улице и каждой жертве показывать свои документы".

С ним согласен один из комментаторов:

"Опять пугают какой-то фигнёй, причём у меня половина знакомых уже верит, что так можно деньги украсть. Это же не биткоин, они не чёрт знает куда уходят, а на конкретный счёт конкретной организации или физ. лица. Учитывая, что уведомление (если не включены, то вы ССЗБ) придёт ещё до того, как такой товарищ покинет вагон, то тут же можно заявить о краже, а может даже и вора за руку поймать. Это реально как грабить людей с паспортом в руках и мигалкой на голове. Намного проще по старинке кошельки таскать".

Тут надо сказать, что большинство пользователей склоняются к тому, что даже если на фото не мошенник, всё равно нужно быть начеку и беречь свои банковские карты, рубли на которых и так слишком уж подешевели.

Итак, о чём вообще речь? Сейчас многие банковские карты в России, если не большинство, используют технологию бесконтактных платежей, основанную на RFID (радиочастотная идентификация). У платёжной системы MasterCard это PayPass, у Visa – payWave, у American Express – ExpressPay, и так далее.

У нас "МастерКарду" повезло чуть больше, так что бесконтактную технологию теперь часто называют просто "пэйпасс" независимо от принадлежности к платёжной системе (история примерно та же, что с памперсами и ксероксами, только масштабы другие).

Бесконтактные банковские карты работают по стандарту ISO/IEC 14443, который подразумевает дальность действия чипов до 10 см. Это значит, что карту в любом случае надо подносить на близкое расстояние к терминалу (или, наоборот, терминал к карте, если мошенник действительно "настоящий").

В России с помощью бесконтактных карт и без ввода PIN-кода обычно можно совершать покупки на сумму до 1000 рублей. Горобец написал в своём посте, что теперь мошенник может снять эти деньги с чужой карты, "потеревшись о её владельца в метро".

На самом деле, куда вероятнее не непосредственное снятие средств с бесконтактных карт через мобильный терминал, а применение дистанционных скиммеров. С их помощи воры могут получить данные карты через RFID-чип и использовать их затем по своему усмотрению.

Судя по тому, что пишут в комментариях к зарубежным статьям, в Европе и США вопрос о подобном мошенничестве живо обсуждается уже несколько лет. Людей действительно волнует проблема воровства денег с карты с помощью бесконтактной технологии. Поэтому появилась даже такая категория товаров, как экранированные кошельки, бумажники и кардхолдеры.

Есть и варианты из серии "сделай сам". Наши пользователи предлагают класть бесконтактную карточку между двумя другими, – скажем, транспортной картой и "обычной" банковской картой. По их словам, в этом случае сигнал пэйпасс просто не пройдёт. Зарубежные пользователи предлагают складывать пэйпасс-карты в металлические коробки из-под леденцов.

Что думаете о всей этой истории? Нужно ли срочно экранировать кошелёк? Или это так же эффективно, как шапочка из фольги? Visa и MasterCard пока молчат – посмотрим, что они скажут о безопасности своих технологий.

View Poll: #2036372

Бандиты в рясах

Медицинская мафия Израиля

Как разводят туристов в разных странах