Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Платити смартфоном страшно? Вся правда про безпеку банківських карт в телефоні

Apple Pay, Android Pay і Samsung Pay вже більше року працюють в Росії, але до сих пір є люди, які бояться оплачувати покупки телефоном. Вони переживають, що дані банківських карток можуть потрапити до третіх осіб і привести до втрат на рахунках. Павло Городницький пояснив, як все працює насправді.

Механіка мобільних платежів елементарна: касир називає ціну, а покупець дістає з кишені не картка, а смартфон. Потім потрібно або зняти відбиток пальця, або показати обличчя фронтальної камері, або просто ввести пароль, після чого гаджет схвалить покупку.

Потім - легке торкання терміналу. Готово: гроші моментально списуються, а касир видає чек.

Готово: гроші моментально списуються, а касир видає чек

Чому це зручніше, ніж платити карткою?

1. Не потрібно нічого діставати з гаманця - можна просто витягти телефон, який і так завжди під рукою.

2. Вводити пін-код доводиться вкрай рідко, а ось при PayPass є ліміт беспарольному покупок (як правило, 1000 рублів). До того ж карти без PayPass теж досі живі: там пін-код вимагають навіть при "грандіозних" транзакціях на 10-15-20-150 рублів.

Сотні тисяч людей вже освоїли і оцінили Apple Pay, Android Pay та інші аналогічні системи, що прийшли в Росію восени 2016 року. Однак є й ті, хто впевнений, що дані картки можуть потрапити або до виробника смартфона, або до оператора, або взагалі до хакерів, які моментально спустошать рахунок.

Пора розповісти, чому ці фобії безпідставні. Логічно пояснити схему на прикладі Apple Pay - тим більше інші сервіси функціонують за тією ж схемою.

Логічно пояснити схему на прикладі   Apple Pay   - тим більше інші сервіси функціонують за тією ж схемою

По-перше, Apple просто співпрацює з банками, які і налаштовують процедуру обміну даними. Далеко не кожну карту можна внести в Apple Pay - все залежить саме від банків, а не від умовного Тіма Кука. У компанії з Купертіно взагалі немає контролю за обробкою транзакції. Представники Apple лише домовляються, що генеруються ними токени будуть прийматися банком як валідність підтвердження оплати. Токени в цьому контексті - одноразові пакети, які створюються на NFC-чіп і містять інформацію про транзакції (час, сума, зашифровані ключі).

По-друге, єдиний, хто отримує дані карти при першому запуску Apple Pay, як раз випустив карту банк, який підтверджує її при стартовій налаштування.

По-третє, номер карти використовується тільки один раз (перший, ще під час налаштування), а потім не зберігається взагалі ніде. На окремий чіп (Secure Element в NFC-чіп, якщо бути точніше) в зашифрованому вигляді записується спеціально згенерований номер рахунку пристрою (Device Account Number), який, навіть якщо його заберуть і розшифрують зловмисники (що абсолютно нереалістично), не може використовуватися абсолютно ні для чого. Гроші з його допомогою не вкрасти.

По-четверте, під час оплати на термінал відправляються не дані картки, а згенерований токен, який ще повинен бути підтверджений з боку банку. Знову ж: інформацію про картку в цей момент не отримує взагалі ніхто - до неї немає доступу в тому числі у Apple. До речі, на стороні банків діють досить просунуті системи з розпізнавання підозрілих транзакцій, які будуть блокувати списання коштів, якщо щось піде не так.

І п'ятий пункт для тих, хто ще сумнівається. Все те ж саме, що описано вище, відбувається і при оплаті через PayPass, але там токен генерується чіпом всередині картки, а не смартфона.

Тут же все відбувається на ізольованому чипі всередині пристрою, а генерація токена можлива тільки при підтвердженні біометричним сенсором або паролем.

PayPass навіть поступається Apple Pay за рівнем безпеки: шахрай може вкрасти карту і оплачувати їй покупки, не порушуючи ліміт (тобто не виходячи за рамки 1000 рублів, якщо говорити про Росію). З телефоном так зробити не вийде, якщо, звичайно, жертва сама не розголосить пароль для оплати.

Алгоритми Samsung Pay і Android Pay такі ж: передається виключно токен, а не дані карток. Правда, Samsung Pay ще вміє оплачувати за допомогою MST (Magnetic Secure Transmission), де підтримуються навіть застарілі термінали без NFC.

Такий спосіб вважається трохи менше безпечним: у 2015 році компанія LoopPay (її Samsung купила для створення платіжної системи) виявилася вразливою до атаки, яка дозволяла перехоплювати магнітний сигнал. Samsung Pay до того моменту використовував токенізацію номерів і захисний пакет KNOX і не був вразливий, але про теоретичні уразливості MST говорять і зараз.

Тому, якщо вам потрібна цілковита безпека, краще довіритися NFC-системам: вони як мінімум не менш надійні, ніж у класичних безконтактних карт. А по факту - навіть надійніше за рахунок біометричних датчиків.

Чому це зручніше, ніж платити карткою?

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.