Бесконтактная среда
В этом году смартфоны наконец заменят россиянам банковские карты. Один за другим банки объявляют о поддержке сервисов Apple Pay и Samsung Pay, которые позволяют расплачиваться за покупки прикосновением телефона везде, где принимаются бесконтактные карты Visa и MasterCard. «Рокетбанк», ставший одним из первых партнеров Apple в России, попросил Медиазону разобраться, насколько на самом деле безопасны бесконтактные платежи.
#реклама
В этом году смартфоны наконец заменят россиянам банковские карты. Один за другим банки объявляют о поддержке сервисов Apple Pay и Samsung Pay, которые позволяют расплачиваться за покупки прикосновением телефона везде, где принимаются бесконтактные карты Visa и MasterCard. «Рокетбанк», ставший одним из первых партнеров Apple в России, попросил Медиазону разобраться, насколько на самом деле безопасны бесконтактные платежи.
Несколько лет назад банки начали добавлять в свои платежные карты специальные чипы беспроводной связи — примерно как в билетах в метро и офисных пропусках, только более защищенные. У MasterCard это называется PayPass, у Visa — payWave. Такие карты не обязательно вставлять в кассовый терминал — достаточно просто приложить. PIN-код тоже вводить не нужно. Получается быстрее, чем платить наличными, не говоря уже о традиционных кредитках.
В современных смартфонах обычно есть чип NFC. Одна из его функций — имитировать бесконтактные платежные карты. Это дает два преимущества: во-первых, телефон обычно достать быстрее, чем кошелек с карточкой; во-вторых, чтобы списать деньги, нужно его сначала разблокировать PIN-кодом или, например, отпечатком пальца — это дополнительный слой защиты. Работают такие телефоны везде, где принимают кредитки payWave или PayPass.
Если бы карту можно было просто скопировать, это открыло бы широчайший простор для мошенничества. Вместо этого карты подключаются через приложение платежной системы, если между ней и вашим банком есть соответствующее соглашение. Финансовая информация попадает в телефон в зашифрованном виде через интернет.
Apple Pay работает с телефонами iPhone, начиная с шестой модели, а также с часами Apple Watch. Samsung Pay совместим с большинством смартфонов Samsung, вышедших за последние два-три года. С остальными телефонами на Android ситуация двоякая: официальная система Android Pay до нас пока не добралась, зато несколько банков и торговых сетей выпустили собственные приложения-кошельки, которые функционируют как предоплаченные карты. Это не так удобно, как привязка своей привычной кредитки, но позволяет опробовать технологию, пока Google догоняет конкурентов, — достаточно иметь смартфон c NFC на Android 4.4 или новее.
Бесконтактная карта у вас рано или поздно появится. Со временем банки начинают перевыпускать истекшие карты сразу с радиочипом. Так происходило везде, где MasterCard и Visa начинали активно продвигать технологию. Так что лучше заранее разобраться со всеми особенностями системы, чтобы избежать неприятных сюрпризов.
Исследования показали, что владельцы бесконтактных карт тратят с их помощью в среднем на 25% больше. Речь не об абсолютном росте расходов, а о том, что пластик используют там, где раньше оставляли наличные: в кафе, на заправках, на транспорте, — везде, где хочется расплатиться побыстрее. Банки, естественно, получают от продавцов комиссию за эти операции.
Бесконтактные платежи возможны лишь на очень небольшом расстоянии — обычно, до четырех сантиметров. В лабораторных условиях удавалось поднять дальность до 80 сантиметров при помощи модифицированных передатчиков, но информации об их успешном применении в реальной обстановке нам найти не удалось. Радиочипы тем более непригодны для слежки — эта легенда возникла из-за попыток одного банка добавить в карту антенну наподобие «антивора», чтобы магазины-партнеры могли фиксировать вход и выход клиента.
Четырех сантиметров хватит, чтобы списать деньги в толпе, но это будет преступлением, граничащим с идиотизмом. Чтобы снять деньги, нужен кассовый терминал, подключенный к счету юрлица. Конечно, при должной целеустремленности можно разжиться чужим счетом, быстро отмыть и вывести деньги, но игра не стоит свеч: покупки по бесконтактному интерфейсу ограничены тысячей рублей, на подготовку аферы уйдет больше. Проще украсть карту.
В зависимости от настроек, выбранных банком, она может сообщать любому желающему свой номер и срок годности — чтобы их считать, достаточно обычного телефона с NFC. Как правило, для покупок в интернете нужно еще имя владельца и CVC-код, но не всегда. Так что идеальный сценарий — хранить карту в экранированном кошельке или чехле, а для мелких покупок доставать телефон с бесконтактной оплатой.
В физическом плане телефон — самый защищенный вариант. Он принимает сигналы от кассовых терминалов только когда включен и разблокирован. В случае утери или кражи электронный кошелек можно аннулировать как обычную карту, и на звонок в банк у вас будет гораздо больше времени, если использовать шифрование памяти, блокировку по коду или отпечатку пальца и функцию удаленного сброса. Все это в современных смартфонах есть.
В программном плане Apple Pay и Samsung Pay защищены на том же уровне, что и бесконтактные пластиковые карты: в совместимых телефонах установлены изолированные от операционной системы чипы для хранения платежных данных. Android Pay и аналоги вместо чипа используют облачные сервисы. В обоих случаях если хакерам удастся что-то перехватить (а это крайне маловероятно), полезных данных они не получат благодаря еще одному слою защиты.
В сентябре Visa и MasterCard запустили в России сервис токенизации — подмены настоящих финансовых данных на одноразовые. Благодаря ему электронные кошельки смартфонов просто не знают номер вашей кредитки. Вместо этого они хранят ограниченный запас таких токенов и периодически получают от банка новые. Даже если токен удастся перехватить, банк заблокирует счет, как только увидит повторное использование того же номера.
Заведите для бесконтактной карты экранированный чехол или бумажник. Подключите ее к платежной системе смартфона и не доставайте кошелек для мелких покупок. Телефон должен быть зашифрован и заблокирован хотя бы PIN-кодом. Не делайте jailbreak или root (если не знаете, о чем речь, то все в порядке), приложения скачивайте только из официального магазина и устанавливайте все обновления безопасности. Время от времени поглядывайте в выписку по счету и не паникуйте: в основном эти советы нужны только для вашего спокойствия. Ущерб от мошенничества с бесконтактными платежными средствами крайне мал. Британские банки, например, сообщают о 0,02% от всего объема трат; австралийские — о 0,002%.
Попробуйте «Рокетбанк»: устанавливаете приложение, курьер приносит карту — и вы в деле. «Рокет» поддерживает Apple Pay (платежи с Android-смартфонов на подходе). Он как обычный банк: с валютными счетами, переводами, снятием в банкоматах без комиссий, выписками, кешбэком, — но без очередей и звонков. Все функции и круглосуточная поддержка доступны из мобильного приложения — и никакой платы за обслуживание.