Пенсионный советник
Курьер с терминалом: 3 способа обмана покупателей

Уязвимость в терминалах оплаты приводит к воровству денег покупателя

Многие обладатели пластиковых банковских карт хотя бы раз пользовались услугами курьерской доставки, оплачивая свою покупку с помощью переносного мобильного терминала. К сожалению, как и любое электронное устройство, такие терминалы можно взломать, а затем похитить денежные средства жертвы. «Газета.Ru» вспомнила три способа мошенничества с помощью терминалов оплаты.

Такой же товар за другие деньги

С оплатой картой при получении товара у курьера ежедневно сталкивается большое количество людей по всему миру. Как правило, покупателя больше всего интересует его заказ, поэтому он не придает должного значения процедуре бесконтактного платежа.

Реклама

К сожалению, это может обернуться финансовыми потерями — как сообщили исследователи Positive Technologies на конференции Black Hat в Лас-Вегасе, в мобильных терминалах оплаты (mPOS), которыми часто пользуются курьеры, обнаружено несколько опасных уязвимостей.

mPOS — это переносной терминал, который может ловить сигнал на любом расстоянии, а для его работы достаточно обычного сигнала сотовой связи. Такими терминалами часто пользуются курьеры, так как они компактны и относительно дешевы.

По данным ИБ-исследователей, уязвимости были обнаружены в моделях ведущих производителей Европы и США — Square, SumUp, iZettle и PayPal.

Мошенники могут вмешаться в процесс оплаты, изменив сумму, которую требуется внести, или вынудив покупателя использовать магнитную ленту для проведения транзакции, что является менее надежным способом оплаты.

Для этого злоумышленник перехватывает Bluetooth-трафик, а затем вносит правки в сумму. Покупатель оплачивает товар, даже не подозревая, что отдал курьеру больше, чем нужно. Даже с учетом подключенного мобильного банкинга, когда сообщение о списании приходит пользователю на смартфон, не каждая жертва моментально проверяет уведомления, а курьер быстро исчезает, после чего мошенника уже не найти.

На некоторых терминалах была обнаружена другая уязвимость, которая позволяет отправлять специальные команды. С их помощью мошенник может вынудить покупателя оплатить товар с помощью магнитной полосы, так как чип внутри карты якобы отказывается работать.

«В зарубежных странах недобросовестным продавцам гораздо проще зарегистрировать терминал mPOS и начать осуществлять платежи.

В США для регистрации терминала потребуется лишь номер социального страхования, а в России владелец mPOS должен иметь регистрацию ИП.

Однако, на территории нашей страны эти терминалы используются в работе компаний, которым необходимо принимать платежи там, где обычные терминалы не используются — курьерская доставка с оплатой и т.п. Поэтому при оплате через mPOS покупателям не рекомендуется использовать магнитную полосу карты», — объясняет руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов.

Эксперт добавил, что наиболее безопасными транзакциями считается оплата с применением чипа-карты и верификацией платежа, а также бесконтактная оплата.

Один в один

Другой распространенной формой мошенничества с терминалами оплаты является установка скиммеров. По данным исследователя Брайана Кребса, ведущего отдельный блог про этот вид хакерства, скиммеры порой невозможно заметить невооруженным глазом, и жертва даже не понимает, что передает свой PIN-код злоумышленникам.

Скиммер представляет собой накладку, которая устанавливается поверх обычного терминала оплаты.

При этом его внешний вид полностью повторяет вид терминала, вплоть до цвета кнопок и отметки бренда.

Это устройство моментально считывает данные карты пользователя через чип и передает их с помощью Bluetooth. Другие модели могут «запоминать» введенный PIN-код и также отправлять его хакерам.

В таких устройствах часто отсутствует модуль памяти, поэтому отследить ее владельца бывает затруднительно — скиммеры уже давно производят в промышленных масштабах на специальных фабриках, а затем внедряют в торговые сети. Впрочем, злоумышленник, принимающий сигнал со скиммера, должен находиться где-то неподалеку от терминала, а значит в теории его можно вычислить.

Мошенничество без контакта

Есть еще один вид махинации с картами с помощью терминала, который наделал много шума в свое время, но, впрочем, может относиться к городским легендам. Один из пользователей Facebook заявил о том, что встретил в метро подозрительного человека, который держал в руке мобильный терминал, и якобы с его помощью снимал деньги с карт пассажиров вокруг.

Речь идет о технологии бесконтактной оплаты PayPass или PayWave, когда для оплаты пользователю достаточно поднести свою карту достаточно близко к терминалу. При этом, если сумма покупки меньше тысячи рублей, то вводить PIN-код для подтверждения необязательно. Таким образом, при благоприятных условиях, злоумышленник может пройти по вагону в час пик и собрать любую сумму денег.

Такой способ кражи денежных средств кажется пугающим, особенно для тех, кто привык носить банковские карты в карманах.

Тем не менее, существует множество оговорок, при которых такое мошенничество может сработать.

По словам специалиста отдела технического сопровождения продуктов и сервисов ESET Russia Андрея Ермилова, эта схема и вовсе является нереальной. Во-первых, POS-терминал надо сначала где-то приобрести и зарегистрировать. Во-вторых, вывод денег затруднителен — злоумышленник не сможет банально снять их в банкомате или перевести на определенный счет. В-третьих, эти деньги надо сначала украсть, что также проблематично.

«Чип POS-терминала достаточно слабый, для его срабатывания нужно прижать терминал к карте жертвы — это сложно, а если карта лежит в бумажнике, то вообще маловероятно», — считает собеседник «Газеты.Ru». Он добавил, что во всех крупных банках есть служба безопасности, которая первой заметит подозрительную активность в своем терминале и сообщит в правоохранительные органы.