Кредитки в руках кибермошенников. Часть 5
Спасут ли мир бесконтактные технологии?
На смену традиционному пластику уже приходят технологии мобильных платежей и методы «внеофисного» обслуживания (brunchless banking). Клиент банка становится более свободным, он больше уже не привязан к терминалам, свои средства у него всегда под рукой, а с помощью мобильного телефона он удобно управляет банковскими счетами. Подсмотреть PIN-код мобильного клиента и потом его использовать становится крайне сложно. Телефоны имеют массу средств аутентификации позволяющие определить, что платеж сделал именно владелец счета. Это, во-первых, камера, которая может сделать и передать его фото, во-вторых, встроенные сканеры отпечатков пальца, имеющиеся в моделях 3G телефонов, и, наконец, сама SIM-карта мобильного аппарата, которая также может использоваться для идентификации и аутентификации владельца.
Систем бесконтактных платежей сегодня достаточно много, причем часть систем запустили владельцы международных систем MasterCard и VISA – они работают под брендами MasterCard PayPass и VISA PayWave соответственно. Для того, чтобы разобраться в существующих проектах, удобно принять во внимание расстояние, на которых работает система и характерную величину сумм платежей (транзакций) (см. рис.7). Ближнее взаимодействие и маленькие суммы транзакций – в этом диапазоне работают новые бесконтактные системы платежей, работающие по технологии NFC (near field communications – радиосвязь ближнего действия, их пока нет в России), а дальнее взаимодействие и произвольные суммы транзакций – платежные системы типа E-CASH, Paypal mobile, CelPay, использующие для своей работы GSM-покрытие и стандартные сотовые телефоны. Пока подобных систем немного, но они уже вытесняют простейшие системы мобильных платежей - такие, как premium-SMS, которые монопольно использовались до недавнего времени.
Системы еще вводятся, но злоумышленники уже разработали для них специфические виды атак, которые являются аналогами атак для банковского пластика. Так, атаки relay attacks (skimming) включают похищение средств владельца бесконтактной карты с помощью стандартного считывателя, к которому преступники получили доступ. Атака pick-pocketing проводится фальшивым считывателем, который находится в руках преступника, причем при приближении к кардхолдеру он считывает информацию с устройства бесконтактного платежа (похищает с карты денежные средства). Существует разработка - удаленная атака eavesdropping которая перехватывает данные бесконтактного диалога «карта-считыватель» на расстояниях до 5 м, а Radio Frequency Analysis позволяет получить информацию о ключах карты. С этими атаками многие из нас, безусловно, еще столкнутся. Тем не менее, платежные системы нового поколения защищены достаточно серьезно – они не используют передачу по незащищенным каналам никаких персональных данных. Вместо них они передают альтернативные параметры - номера «Интернет-кабинетов пользователей» и другие. Как считает Александр Хорошилов, заместитель генерального директора E-CASH, эффективный способ защиты и состоит в том, чтобы разрабатывать продукты, вообще не передающие по незащищенным линиям связи персональные данные. Отметим, что подобные системы мобильных платежей хорошо известны за рубежом. Среди них продукт-бестселлер «CelPay», который функционирует в странах Южной Африки и в странах ЕЭС, его используют Сitibank, Barclays Bank PLC, Standard Chartered Bank. Когда россияне смогут воспользоваться подобной услугой? - Пока E-CASH (это аналог CelPay) занят подготовкой самых первых соглашений с банками, однако разработчики верят, что за этими технологиями будущее.
В среде дорогих смартфонов сегодня успешно создаются бот-сети, также как это примерно происходит в отношении персональных компьютеров. Совсем недавно владельцы смартофонов Nokia и некоторых других могли наблюдать у себя на экранах следующие сообщения, созданные вирусом CommWarrior
CommWarrior v1.0 (c)
CommWarrior is freeware product. You may freely
distribute it in it's original unmodified form.
OTMOP03KAM HET!
Такая заставка – сигнал, что аппарат был атакован. Бот-сеть смартфонов может использоваться в преступных целях, как и обычная бот-сеть – к примеру, зомбированные смартфоны могут проводить массовую оплату сервисов с помощью premium-SMS. Заказчик атаки (обычно продавец сервисов) окажется не в накладе: если, к примеру, 5000 инфицированных абонентов сети «по секрету» от владельцев телефонов внезапно закажут 10 рингтонов по цене 2 доллара за штуку, то сумма всех отправленных premium-SMS составит $100,0 тыс. При этом пользователи дорогих аппаратов мобильной связи могут даже и не заметить исчезновения этих сумм со своих счетов. Сама себестоимость проведения преступной акции и рассылки вируса-червя невелика и составляет несколько сотен долларов. Однако, пострадать от атаки, как успокаивают нас эксперты, смогут только пользователи простейших платежных инструментов – все системы нового поколения учитывают наличие бот-сетей. «При возможном зомбировании мобильного смартфона вирусами класса Commwarrior снять деньги со счета клиента в системах E-CASH и CelPay невозможно, утверждает эксперт, директор ООО «Криптоэкс» Олег Жирнов, дело в том, что транзакцию в системе образует цикл из последовательности двух событий и всегда необходим первоначальный запрос от мерчанта, а этот запрос бот сделать не может. Если запроса от мерчанта нет, то «бот» может сколько угодно раз отправлять «подтверждающие» SMS с зараженного телефона - все это не обеспечит проведение транзакции и не позволит несанкционированно снять деньги со счета клиента». Как будут развиваться события на самом деле и будут ли действительно надежно защищены новые системы мобильных платежей - покажет ближайшее будущее. Нам остается ждать и надеяться, что хотя бы в новых системах платежей нам удастся предвосхитить действия злоумышленников.
Дело рук утопающих
Как защитить себя и близких и не попасть под преступные атаки злоумышленников? Еще раз перечислим важнейшие рекомендации экспертов.
- При вводе PIN-кода всегда следите, чтобы вводимые цифры не были видны посторонним лицам, а при расплате банковскими картами в ТСП никогда не теряйте свою карту из виду
- Для всех своих карт используйте услугу - SMS – информирование на мобильный телефон о прошедшем списании средств с карты
- Никогда не используйте карты для оплаты в Интернет, если платеж все же необходим, заведите для таких целей отдельную карту и переводите на нее средства по мере необходимости.
- Никогда не пользуйтесь простыми паролями там, где он защищает ваши средства (например, в Интернет-банкинге). Для того, чтобы запомнить сложный набор цифр и букв в пароле удобно использовать известные только Вам ключевые фразы, к примеру, для фразы: Я первый раз попал в Египет в 99 году
пароль по первым буквам будет иметь вид:
"ЯпрпвЕв99г" Смена раскладки клавиатуры c русского на латиницу превратит этот пароль в следующий
ZghgdE99u
и т.п. - При появлении малейших подозрений о неправомерном списании денег с вашего счета, не колеблясь, немедленно обращайтесь в Банк. До момента уведомления банка-эмитента ответственность полностью лежит на клиенте – поэтому как можно быстрее сообщайте банку о потере своей карты
Приятных покупок!