Развеиваем мифы о картах бесконтактной оплаты

Многие помнят, как в школе или в детском лагере загробным голосом рассказывали «страшилки». В них фигурировало что-то мистическое и наводящее ужас на детскую психику. Мы выросли, но страшилки нам рассказывают до сих пор. В том числе – про карты бесконтактной оплаты, новые виды мошенничества и уходящие «по воздуху» деньги. Каковы доли реального и «мифического» в подобных предостережениях?

Например, для оплаты услуг городского транспорта, чашки кофе или сеанса в кино. Это, безусловно, удобно: достаточно поднести свою карту к считывающему терминалу, чтобы совершить транзакцию в пределах 1000 рублей (для РФ). Если сумма больше, потребуется дополнительно ввести ПИН-код.

Но такая простота породила сомнения в безопасности функции. Масла в огонь подливали и медиасообщества. Можно вспомнить хотя бы панику после фото человека с POS-терминалом в московской подземке. Который, якобы прижимаясь в плотной толпе к людям, считывал этим терминалом данные их карт бесконтактной оплаты. А потом, естественно, с помощью этих данных уводил деньги со счетов, самым наглым образом.

Тут же появились многочисленные статьи с предостережениями, видеоролики и ТВ передачи по данной технологии мошенничества. Не могли обойти вниманием панический настрой держателей «пластика» и находчивые бизнесмены, которые стали продвигать способы обезопасить свои «кровно нажитые». В числе предлагавшихся «решений» – металлические визитницы, кошельки с экранирующим отделением, в котором надлежит хранить карту, и так далее.

Но давайте рассмотрим популярные варианты «страшилок» и попробуем проверить их «на вшивость».

На самом деле, это выглядит крайне затруднительным и экономически невыгодным для злоумышленников: сумма потенциально украденных средств сильно ограничена. При этом POS-терминал может быть получен в банке только на конкретное юридическое лицо или ИП – в рамках договора эквайринга, под конкретно открытый счет. Получить подобный терминал возможно; но вот проводить с ним незаконные операции – уже из области фантастики. При первых же «симптомах» криминальности счёт попросту заблокируют вместе с деньгами.

Так же необходимо учитывать, что основой технологии мгновенной бесконтактной передачи данных является отправка сведений на малом расстоянии (обычно не более 5 см) между картой и терминалом. Это делает трудноосуществимым процесс считывания через кошелек, сумку или карман верхней одежды. Теоретически списать деньги подобным образом можно, если одновременно:

• карта лежит вплотную к стенке сумки, кармана одежды и т. п.;
• терминал поднесён максимально близко и определённым образом (поскольку считыватель тоже располагается в терминале в одном определенном месте).

Что, согласитесь, сразу же насторожит любого. Кроме того, терминал в режиме ожидания может находится обычно не более 2-х минут, после чего он сбрасывает платёжную сессию. А значит, необходимо через каждые 2 минуты его заново активировать на оплату. Трудно представить логистику подобных действий мошенника в людном месте.

Такой вариант возможен. Но он крайне редко реализуется в наши дни. Как правило, данные, которые содержатся в зашифрованном виде на карте – это номер карты, срок действия и недавние транзакции. Именно этот набор сведений и могут похитить мошенники. Но кода CVV/CVC в электронном виде на карте нет, он присутствует на платёжном инструменте только «физически». Умыкнуть его таким способом не получится. Вместе с тем, для покупок в интернете сейчас практически повсеместно требуется CVV/CVC код. Исключения составляют некоторые зарубежные организации, но и здесь незаконную транзакцию возможно опротестовать в банке-эмитенте.

Это действительно так. Однако на этот случай у многих банков есть защита: при совершении нескольких однотипных покупок (как правило, от 3 штук) на небольшие суммы в ограниченный промежуток времени эмитент блокирует карту до подтверждения правомочности операций. К тому же, необходимость блокировки карты держателем через контакт-центр в случае утери или кражи сегодня является практически аксиомой. Неважно, карта ли это бесконтактной оплаты или «обычный» пластик.