Карты сболтнули лишнее

О том, что ряд держателей бесконтактных карт MasterCard (технология PayPass) и Visa (PayWave) столкнулись со считыванием информации с них своими же мобильными устройствами при помощи приложения EMV NFC Pay Card Reader, доступного в Google Play, сообщило в пятницу интернет-издание TJournal. Владельцы смартфонов с функцией NFC смогли без всякого подтверждения своей личности увидеть последние операции по карте — их размер и дату совершения, хотя места проведения оплаты не отобразились, а также номер карты. Проверке подверглись карты нескольких российских банков (Райффайзенбанка, Альфа-банка, ТКС и Ситибанка). Владельцы бесконтактных карт и смартфонов в своих комментариях к заметке подтвердили, что информация действительно считывается, однако у некоторых данные об операциях оказывались недостоверными или отражались лишь частично.

NFC — технология бесконтактной связи для обмена данными. Бесконтактная карта предполагает, что ее держатель совершает трансакции, не выпуская карту из рук. При суммах до 1 тыс. руб. подтверждение личности не требуется. В России количество эмитированных бесконтактных карт эксперты оценивают в несколько миллионов штук.

Банкиры уверяют, что доступ к информации лишь о номере карты и размере последних трансакций не может причинить ущерб ее держателю. «Стандарт EMV (Europay/MasterCard/Visa.— “Ъ”) предусматривает хранение некоторых данных в незашифрованном виде в памяти чипа карты, к которым могут относиться суммы нескольких последних операций, так что утечкой или уязвимостью это не является»,— отмечают в ТКС-банке. Опасной, по словам представителя ТКС-банка, является сама по себе передача карты в чужие руки, когда возникает риск того, что человек не ограничится сканированием лишь лицевой ее части, а перепишет все данные, в том числе и CVC2-код (используется для проведения платежей в интернете). По словам члена правления Райффайзенбанка Герта Хебенштрайта, информация, необходимая для проведения операций, хранится на чипе в защищенном виде, а персональных данных владельца и данных о его счете на нем и вовсе нет. По мнению экспертов, украсть деньги с карты, имея лишь информацию о последних операциях, действительно нельзя. «Но можно под видом представителя банка потребовать от “клиента” раскрыть свои конфиденциальные данные якобы для разблокировки скомпрометированной карты, перечислив ему последние операции,— отмечает предправления Ассоциации НПС Николай Смирнов.— Правда, для этого еще потребуется найти его телефонный номер, поэтому в данном случае такая информация, скорее всего, может лишь пополнять и удорожать базы данных, продаваемых на черном рынке». Добыть информацию о тратах потенциальной жертвы злоумышленникам действительно непросто: как правило, для этого приходится использовать инсайд в самом банке, а считывать данные с карты — быстрее и дешевле, соглашается другой собеседник “Ъ”. «Опасность кроется еще и в том, что в слишком крупных покупках своего мужа может уличить ревнивая жена,— иронизирует один из банкиров.— О чем бы мы ни говорили, любое раскрытие информации — крайне негативный фактор».

Сами банкиры в неофициальной беседе оказались не столь спокойными. «Вопросы у клиентов в первую очередь возникнут именно к банкам, а не к платежным системам, которые устанавливают требования к объему обязательно шифруемой информации на чипе. Так что, как говорится, осадочек остался, поэтому не исключено, что в новых картах эту информацию мы также будем размещать в зашифрованном виде»,— отмечает собеседник “Ъ” в одном из банков.

Судя по комментариям на форумах, некоторые клиенты уже обратились в банки, где им предложили перевыпустить карты. В свою очередь в MasterCard заверили, что в бесконтактной технологии PayPass используется многоуровневая система защиты операций, при которой для каждой транзакции генерируется уникальный код, который невозможно подделать или использовать повторно. Поэтому cредства держателя карты находятся под надежной защитой, отмечают там.

Удастся ли наделить приложения для смартфонов функцией доступа и к более важной информации для кражи средств с карт, банкиры однозначно судить не берутся. Однако пока чиповые карты являются наиболее надежными на карточном рынке, а уровень мошенничества с ними снижается. По данным Visa, в первом полугодии 2014 года был зарегистрирован рекордно низкий уровень мошенничества по ее карточкам в России: около 4 коп. на 1000 руб. (включая операции всех типов в России и за рубежом), что на 20% ниже, чем за аналогичный период прошлого года. «Одним из существенных факторов снижения мошенничества стало массовое внедрение чиповых карт — во втором квартале 2014 года доля операций по российским чиповым картам Visa достигла 70% по сравнению с 50% во втором квартале прошлого года»,— отмечает глава департамента по управлению рисками Visa в России Олег Скородумов.