Для начала рассмотрим основные понятия и ключевые моменты цифровизации финансового сектора.
Цифровые финансовые услуги – это широкий спектр финансовых услуг, доступных и предоставляемых по цифровым каналам, включая платежи, кредиты, сбережения, денежные переводы и страхование. Цифровые финансовые услуги (DFS – digital financial services) включают в себя мобильные финансовые услуги (MFS – mobile financial services).
В цифровой трансформации финансовой отрасли можно выделить две составляющие: первая из них связана с выходом технологических компаний на рынок финансовых услуг, а вторая – с цифровизацией традиционных финансовых организаций, освоением ими инновационных цифровых технологий с целью повышения эффективности своей деятельности. В совокупности эти две составляющие дали синергетический эффект, позволивший внедрить на финансовом рынке инновационные модели организации деятельности.
Подчеркнем, что цифровизация финансовой отрасли сопровождается взаимопроникновением традиционных и цифровых инструментов организации финансовой деятельности. Банки осваивают цифровые технологии, но одновременно и финтех-компании получают банковские лицензии. Этот процесс полностью совпадает с тем, что происходило ранее в ходе развития электронной коммерции: традиционные магазины начинали развивать интернет-продажи, тогда как электронные магазины строили собственные склады и точки выдачи заказов, чтобы обеспечить требуемый уровень обслуживания потребителей.
Россия является одной их самых продвинутых платежных стран мира, применяющих современных цифровых технологии в сфере финансов.
Бесконтактная банковская карта и любые другие бесконтактные способы оплаты действительно удобны. Однако простота совершения покупки заставляет наводит на мысль и о простоте несанкционированного списания с нее денежных средств владельца.
Бесконтактные банковские карты используют для передачи данных технологию NFC, разновидность RFID. На карте размещены чип и антенна, которые «откликаются» на запрос платежного терминала на радиочастоте 13,56 МГц. Разные платежные системы используют собственные стандарты: Visa payWave, MasterCard PayPass, American Express ExpressPay и так далее. Но устроены они похожим образом.
Дальность передачи данных через NFC составляет несколько сантиметров. Поэтому первый барьер защиты — физический. Считыватель, по сути, необходимо приложить вплотную к карте, что довольно сложно сделать незаметно.
Зато можно сделать нестандартный ридер, который работает на большей дистанции. Например, исследователи из британского Университета Суррей продемонстрировали возможность считывания по NFC данных на расстоянии до 80 см с помощью компактного сканера.
Такое устройство вполне может незаметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и тому подобных местах скопления людей. Благо в некоторых странах подходящие карты лежат в бумажнике уже у каждого второго гражданина.
Впрочем, можно пойти еще дальше и обойтись вовсе без сканера и личного присутствия. Еще одно оригинальное решение проблемы расстояния предложили испанские хакеры Рикардо Родригес и Хосе Вилла, представившие доклад на недавней конференции Hack In The Box.
Большинство современных Android-смартфонов оснащены модулем NFC. При этом смартфоны нередко оказываются физически рядом с бумажником — например, в одной сумке. Родригес и Вилла создали концепт Android-троянца, который превращает смартфон жертвы во что-то вроде ретранслятора NFC-сигнала.
Как только зараженный телефон оказывается возле бесконтактной карты, он отправляет через Интернет злоумышленникам сигнал о доступности транзакции. Мошенники активируют обычный платежный терминал, подносят к нему свой NFC-смартфон. Таким образом создается «мост» через Интернет между NFC-карточкой и NFC-терминалом, удаленными друг от друга на любое расстояние.
Троянец может распространяться стандартным способом, например в комплекте со «взломанным» платным приложением. Все, что требуется, — это версия Android 4.4 и выше.
Бесконтактные транзакции защищены тем же стандартом EMV, что и чиповые карты. В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.
Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было.
«Сделать терминал, который будет считывать данные карты «из кармана» клиента, теоретически возможно. Но этот терминал должен иметь «на борту» криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Таким образом, мошенничество будет легко обнаружить и расследовать», — рассказал нам руководитель управления поддержки приложений Райффайзенбанка Александр Тараторин.
Но есть и еще одна неприятная возможность. Через NFC можно украсть не «саму транзакцию», а информацию о банковской карте.
Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение (например, Banking card reader NFC — можете сами поэкспериментировать со своими картами).
До сих пор считалось, что эта открытая информация не ставит под угрозу безопасность карты. Однако авторитетное британское издание для потребителей «Which?» выступило с неожиданным опровержением этого тезиса.
Эксперты «Which?» протестировали десяток разных бесконтактных карт, выпущенных британскими банками. С помощью доступного NFC-ридера и бесплатного ПО им удалось декодировать номер и дату истечения срока действия для всех десяти карт.
Казалось бы, беспокоиться рано. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты.
К сожалению, многие интернет-магазины в реальности не требуют его для покупки. Что и продемонстрировали эксперты «Which?», успешно заказавшие телевизор за 3 тыс. фунтов в одном из крупных онлайн-ритейлеров.
Хотя сама технология бесконтактных платежей действительно закрыта хорошей многофакторной защитой, это совсем не значит, что с ней ваши деньги находятся в безопасности. Слишком многое в банковских картах связано с давно устаревшими технологиями (магнитная полоса, онлайновый платеж без дополнительной аутентификации и так далее).
Еще больше зависит от добросовестности настроек конкретных финансовых учреждений и магазинов. Причем последние в погоне за высокой скоростью покупок и низким процентом «брошенных корзин» нередко очень сильно пренебрегают безопасностью платежа.
Ася Котанджян, специалист РЦФГ Кировской области