Бесконтактная среда

Бесконтактная среда

В этом году смартфоны наконец заменят россиянам банковские карты. Один за другим банки объявляют о поддержке сервисов Apple Pay и Samsung Pay, которые позволяют расплачиваться за покупки прикосновением телефона везде, где принимаются бесконтактные карты Visa и MasterCard. «Рокетбанк», ставший одним из первых партнеров Apple в России, попросил Медиазону разобраться, насколько на самом деле безопасны бесконтактные платежи.

#реклама

В дополнение к обычным преимуществам «Рокетбанка» (бесплатный выпуск, доставка и обслуживание карты, плюс 8% годовых на остаток и кешбэк до 10%) наших читателей ждет подарок от издателя Медиазоны Петра Верзилова — 500 рублей на счет (тоже в виде кешбэка).
7 ноября 2016, 13:43

В этом году смартфоны наконец заменят россиянам банковские карты. Один за другим банки объявляют о поддержке сервисов Apple Pay и Samsung Pay, которые позволяют расплачиваться за покупки прикосновением телефона везде, где принимаются бесконтактные карты Visa и MasterCard. «Рокетбанк», ставший одним из первых партнеров Apple в России, попросил Медиазону разобраться, насколько на самом деле безопасны бесконтактные платежи.

Бесконтактная оплата уже здесь, и останется надолго

Несколько лет назад банки начали добавлять в свои платежные карты специальные чипы беспроводной связи — примерно как в билетах в метро и офисных пропусках, только более защищенные. У MasterCard это называется PayPass, у Visa — payWave. Такие карты не обязательно вставлять в кассовый терминал — достаточно просто приложить. PIN-код тоже вводить не нужно. Получается быстрее, чем платить наличными, не говоря уже о традиционных кредитках.

Кошелек в телефоне — следующий логический шаг

В современных смартфонах обычно есть чип NFC. Одна из его функций — имитировать бесконтактные платежные карты. Это дает два преимущества: во-первых, телефон обычно достать быстрее, чем кошелек с карточкой; во-вторых, чтобы списать деньги, нужно его сначала разблокировать PIN-кодом или, например, отпечатком пальца — это дополнительный слой защиты. Работают такие телефоны везде, где принимают кредитки payWave или PayPass.

Не каждую карту можно перенести в телефон

Если бы карту можно было просто скопировать, это открыло бы широчайший простор для мошенничества. Вместо этого карты подключаются через приложение платежной системы, если между ней и вашим банком есть соответствующее соглашение. Финансовая информация попадает в телефон в зашифрованном виде через интернет.

У каждого семейства телефонов — своя платежная система

Apple Pay работает с телефонами iPhone, начиная с шестой модели, а также с часами Apple Watch. Samsung Pay совместим с большинством смартфонов Samsung, вышедших за последние два-три года. С остальными телефонами на Android ситуация двоякая: официальная система Android Pay до нас пока не добралась, зато несколько банков и торговых сетей выпустили собственные приложения-кошельки, которые функционируют как предоплаченные карты. Это не так удобно, как привязка своей привычной кредитки, но позволяет опробовать технологию, пока Google догоняет конкурентов, — достаточно иметь смартфон c NFC на Android 4.4 или новее.

Банки стараются всех перевести на бесконтактный пластик

Бесконтактная карта у вас рано или поздно появится. Со временем банки начинают перевыпускать истекшие карты сразу с радиочипом. Так происходило везде, где MasterCard и Visa начинали активно продвигать технологию. Так что лучше заранее разобраться со всеми особенностями системы, чтобы избежать неприятных сюрпризов.

Бесконтактные платежи вытесняют наличные

Исследования показали, что владельцы бесконтактных карт тратят с их помощью в среднем на 25% больше. Речь не об абсолютном росте расходов, а о том, что пластик используют там, где раньше оставляли наличные: в кафе, на заправках, на транспорте, — везде, где хочется расплатиться побыстрее. Банки, естественно, получают от продавцов комиссию за эти операции.

Карты работают только на очень коротких расстояниях

Бесконтактные платежи возможны лишь на очень небольшом расстоянии — обычно, до четырех сантиметров. В лабораторных условиях удавалось поднять дальность до 80 сантиметров при помощи модифицированных передатчиков, но информации об их успешном применении в реальной обстановке нам найти не удалось. Радиочипы тем более непригодны для слежки — эта легенда возникла из-за попыток одного банка добавить в карту антенну наподобие «антивора», чтобы магазины-партнеры могли фиксировать вход и выход клиента.

Украсть деньги с карты можно, но бессмысленно

Четырех сантиметров хватит, чтобы списать деньги в толпе, но это будет преступлением, граничащим с идиотизмом. Чтобы снять деньги, нужен кассовый терминал, подключенный к счету юрлица. Конечно, при должной целеустремленности можно разжиться чужим счетом, быстро отмыть и вывести деньги, но игра не стоит свеч: покупки по бесконтактному интерфейсу ограничены тысячей рублей, на подготовку аферы уйдет больше. Проще украсть карту.

Деньги — не единственная ценность, которую хранит бесконтактная карта

В зависимости от настроек, выбранных банком, она может сообщать любому желающему свой номер и срок годности — чтобы их считать, достаточно обычного телефона с NFC. Как правило, для покупок в интернете нужно еще имя владельца и CVC-код, но не всегда. Так что идеальный сценарий — хранить карту в экранированном кошельке или чехле, а для мелких покупок доставать телефон с бесконтактной оплатой.

Физически телефон безопасней карты

В физическом плане телефон — самый защищенный вариант. Он принимает сигналы от кассовых терминалов только когда включен и разблокирован. В случае утери или кражи электронный кошелек можно аннулировать как обычную карту, и на звонок в банк у вас будет гораздо больше времени, если использовать шифрование памяти, блокировку по коду или отпечатку пальца и функцию удаленного сброса. Все это в современных смартфонах есть.

Телефон проще взломать, но только в теории

В программном плане Apple Pay и Samsung Pay защищены на том же уровне, что и бесконтактные пластиковые карты: в совместимых телефонах установлены изолированные от операционной системы чипы для хранения платежных данных. Android Pay и аналоги вместо чипа используют облачные сервисы. В обоих случаях если хакерам удастся что-то перехватить (а это крайне маловероятно), полезных данных они не получат благодаря еще одному слою защиты.

Токенизация делает взлом практически бессмысленным

«Рокетбанк» работает по принципу mobile-only: все услуги изначально предоставляются только через мобильное приложение, так что Apple Pay для них — естественный следующий шаг. Помимо стандартов индустрии — шифрования TLS 1.2 и соответствия требованиям PCI DSS — «Рокет» дополнительно защищает каждую операцию внутри приложения собственным сервисом токенизации.

В сентябре Visa и MasterCard запустили в России сервис токенизации — подмены настоящих финансовых данных на одноразовые. Благодаря ему электронные кошельки смартфонов просто не знают номер вашей кредитки. Вместо этого они хранят ограниченный запас таких токенов и периодически получают от банка новые. Даже если токен удастся перехватить, банк заблокирует счет, как только увидит повторное использование того же номера.

Есть несколько простых советов, чтобы обезопасить себя

Заведите для бесконтактной карты экранированный чехол или бумажник. Подключите ее к платежной системе смартфона и не доставайте кошелек для мелких покупок. Телефон должен быть зашифрован и заблокирован хотя бы PIN-кодом. Не делайте jailbreak или root (если не знаете, о чем речь, то все в порядке), приложения скачивайте только из официального магазина и устанавливайте все обновления безопасности. Время от времени поглядывайте в выписку по счету и не паникуйте: в основном эти советы нужны только для вашего спокойствия. Ущерб от мошенничества с бесконтактными платежными средствами крайне мал. Британские банки, например, сообщают о 0,02% от всего объема трат; австралийские — о 0,002%.

Бесконтактную оплату можно опробовать прямо сейчас

Попробуйте «Рокетбанк»: устанавливаете приложение, курьер приносит карту — и вы в деле. «Рокет» поддерживает Apple Pay (платежи с Android-смартфонов на подходе). Он как обычный банк: с валютными счетами, переводами, снятием в банкоматах без комиссий, выписками, кешбэком, — но без очередей и звонков. Все функции и круглосуточная поддержка доступны из мобильного приложения — и никакой платы за обслуживание.

В дополнение к обычным преимуществам «Рокетбанка» (бесплатный выпуск, доставка и обслуживание карты, плюс 8% годовых на остаток и кешбэк до 10%) наших читателей ждет подарок от издателя Медиазоны Петра Верзилова — 500 рублей на счет (тоже в виде кешбэка).