Статьи

Из Америки с любовью: небезопасный скимминг

22 октябрь 2012 (18:23)

Технический прогресс несет с собой новые банковские сервисы и новые риски для владельцев банковских карт. На российском рынке появились подключаемые к смартфонам и ноутбукам платежные мини-терминалы, с помощью которых предприниматели могут принимать деньги с карт своих клиентов.

Первыми такое устройство вывела на российский рынок украинская банковская группа «Приватбанк» (в России работает через ЗАО «Москомприватбанк»). Механизм действия украинского мини-терминала довольно прост: устройство подключается к аудиоразъему мобильного телефона или ноутбука. Данные, получаемые с карты, преобразуются в сигнал, который поступает на звуковой вход устройства. После этого сигнал расшифровывается поставляемой вместе с терминалом программой и проводится платеж по карте.

Отметим, что такой способ проведения безналичных платежей известен как минимум с 2010 года. Именно тогда американский программист и бизнесмен Джек Дорси создал платежный сервис для мобильных устройств — Square Card Reader, который позволяет проводить платежи через iPhone, iPod Touch, iPad и мобильные устройства на платформе Android. Головной офис Square находится в Сан-Франциско. По данным Square, платежной системе удается проводить платежи на 6 миллиардов долларов год. В США около 2 миллионов клиентов компании принимают платежи через Square.

Казалось бы, подобное устройство обладает большими перспективами на стремительно развивающемся рынке безналичных платежей. Но использование его сопряжено с определенными рисками.

За два года своего существования американский мини-терминал не раз подвергался критике экспертов. Так, в марте 2011 года компания VeriFone назвала систему Square небезопасной, заявив, что любой «достаточно квалифицированный» программист может написать приложение, которое позволит скопировать все данные с пластика.

Изображение с сайта https://squareup.com
Идея создания платежного мини-терминала пришла к американскому бизнесмену Джеку Дорси в 2010 году

Как показывает эксперимент с данным устройством украинских производителей, считываемый сигнал может получать не только специализированное программное обеспечение. Данные с карты в виде аудиофайла фиксирует любая программа записи входящего аудиопотока, что позволяет сделать «слепок» карты на любом смартфоне или ноутбуке. Фактически карта становится «скомпрометированной», и злоумышленники с помощью специального оборудования могут создать ее точную копию.

Специалисты подтвердили, что таким образом можно получить информацию не только с банковских карт, но и с любых других карт с магнитной полосой. А в дальнейшем расшифровать и получить все данные этих карт.

Теоретически с помощью мини-терминала можно собрать целый архив данных банковских карт. Иными словами, все персональные данные клиента могут остаться у владельца мини-терминала, и как он ими воспользуется — это уже другой вопрос. Интернет буквально пестрит ссылками и постами о том, как «хакнуть» данные банковской карты с помощью Square или подобных устройств.

Таким образом, держатели банковских карт и сами предприниматели, согласившись на использование платежного мини-терминала, подвергаются риску стать жертвой мошенников. А сам терминал обещает стать настоящей находкой для злоумышленников. Если раньше им приходилось втайне от клиентов использовать громоздкие и дорогостоящие устройства — скиммеры, то теперь достаточно иметь миниатюрное устройство, подключаемое к телефону. И стоимость такого «шпионского» оборудования составляет всего лишь 100 рублей.

При этом украинские производители не раскрывают информацию о том, чем конкретно их устройство отличается от скомпрометированного американского прототипа. На вопрос УрБК, является ли их устройство аналогом Square, в Приватбанке ответили не совсем однозначно.

«Технически — нет, функционально — да, задача ридера для смартфона — читать карты», — ответили в Приватбанке.

При этом специалисты банка пояснили, что в сам момент считывания шифрование данных не обязательно, фактически подтвердив, что персональные данные передаются на смартфон или ноутбук в некодированном виде, что позволяет использовать их в дальнейшем.

«Мы продвигаем три модели ридеров. В младшей модели шифрования в момент считывания нет, в модели № 2 шифрование есть везде, модель № 3 помимо карт с магнитной полосой работает также и с чиповыми картами», — пояснили в Приватбанке.

Изображение с сайта http://www.privatbank.ru
Первыми на российский рынок платежные мини-терминалы вывела украинская банковская группа «Приватбанк»

Кстати, на самом сайте украинской банковской группы предлагается лишь одна модель мини-терминала, чем отличаются 1-я, 2-я и 3-я модели, не поясняется. И весьма маловероятно, что в украинском устройстве за 100 рублей будет стоять надежная шифровальная система.

Впрочем, это не мешает украинцам заявлять, что возможность мошенничества с их устройством носит исключительно гипотетический характер.

«Это типичное заблуждение, для нехороших людей вопрос не в том, как считать карту, а как получить доступ к большому количеству чужих карт. Доступ к большому количеству карт невозможен, так как система рассчитана на микроторговцев. Способы защиты такие: управление лимитами, постоянный мониторинг и изучение клиентов. Я не вижу в нашей технологии места для такого рода мошенничества, то, о чем вы говорите, имеет отношение не к технологическому, а к социальному фишингу, поэтому наличие или отсутствие шифрования при считывании карты (чего клиент не понимает и не видит) никак не влияет на безопасность таких транзакций — гораздо проще вытянуть данные карты из доверчивых граждан через Интернет. То есть ридер не является рабочим инструментом для мошенника — не тот масштаб», — говорится в сообщении пресс-службы Приватбанка.

Впрочем, для владельца пластиковой карты, чьи сведения будут скопированы злоумышленниками, вряд ли будет принципиально, окажется он одним из миллиона обманутых или единственной жертвой мошенников.

Помимо очевидной небезопасности устройства для клиента, механизм работы мини-терминала явно идет вразрез с российским налоговым законодательством: никакого кассового чека при проведении операции клиент не получает.

«Вместе с тем пунктом 1 статьи 5 закона № 54-ФЗ для организаций установлены в том числе следующие обязанности: выдавать покупателям (клиентам) при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт в момент оплаты отпечатанные ККТ кассовые чеки, обеспечивать ведение и хранение в установленном порядке документации, связанной с приобретением и регистрацией, вводом в эксплуатацию и применением ККТ», — заявили в УФНС по Свердловской области.

Однако в Приватбанке уверяют, что все требования законодательства соблюдены.

«Фискальные чеки выдает кассовый аппарат, а не платежный терминал. Это актуально и для Запада, и для России. Наша программа генерирует электронный чек, аналогичные процессы происходят при оплате в любом интернет-магазине. Никаких несоответствий законодательству нами не обнаружено», — подчеркнули в банке.

Отметим, что российское налоговое законодательство понятием «электронный чек» не оперирует.

Все вышеизложенное заставляет констатировать, что пока высокотехнологичные устройства американского происхождения и украинского производства на российском рынке выглядят не столько новым словом в проведении платежей, сколько сосредоточением разнообразных рисков как криминального, так и фискального характера. Каково будущее таких устройств и требуют ли они доработки перед применением, покажет время.

УрБК будет следить за судьбой проекта.

Другие материалы по теме: