Цивилизация
Такой же товар за другие деньги
С оплатой картой при получении товара у курьера ежедневно сталкивается большое количество людей по всему миру. Как правило, покупателя больше всего интересует его заказ, поэтому он не придает должного значения процедуре бесконтактного платежа.
К сожалению, это может обернуться финансовыми потерями — как сообщили исследователи Positive Technologies на конференции Black Hat в Лас-Вегасе, в мобильных терминалах оплаты (mPOS), которыми часто пользуются курьеры, обнаружено несколько опасных уязвимостей.
mPOS — это переносной терминал, который может ловить сигнал на любом расстоянии, а для его работы достаточно обычного сигнала сотовой связи. Такими терминалами часто пользуются курьеры, так как они компактны и относительно дешевы.
По данным ИБ-исследователей, уязвимости были обнаружены в моделях ведущих производителей Европы и США — Square, SumUp, iZettle и PayPal.
Мошенники могут вмешаться в процесс оплаты, изменив сумму, которую требуется внести, или вынудив покупателя использовать магнитную ленту для проведения транзакции, что является менее надежным способом оплаты.
Для этого злоумышленник перехватывает Bluetooth-трафик, а затем вносит правки в сумму. Покупатель оплачивает товар, даже не подозревая, что отдал курьеру больше, чем нужно. Даже с учетом подключенного мобильного банкинга, когда сообщение о списании приходит пользователю на смартфон, не каждая жертва моментально проверяет уведомления, а курьер быстро исчезает, после чего мошенника уже не найти.
На некоторых терминалах была обнаружена другая уязвимость, которая позволяет отправлять специальные команды. С их помощью мошенник может вынудить покупателя оплатить товар с помощью магнитной полосы, так как чип внутри карты якобы отказывается работать.
«В зарубежных странах недобросовестным продавцам гораздо проще зарегистрировать терминал mPOS и начать осуществлять платежи.
В США для регистрации терминала потребуется лишь номер социального страхования, а в России владелец mPOS должен иметь регистрацию ИП.
Однако, на территории нашей страны эти терминалы используются в работе компаний, которым необходимо принимать платежи там, где обычные терминалы не используются — курьерская доставка с оплатой и т.п. Поэтому при оплате через mPOS покупателям не рекомендуется использовать магнитную полосу карты», — объясняет руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов.
Эксперт добавил, что наиболее безопасными транзакциями считается оплата с применением чипа-карты и верификацией платежа, а также бесконтактная оплата.
Один в один
Другой распространенной формой мошенничества с терминалами оплаты является установка скиммеров. По данным исследователя Брайана Кребса, ведущего отдельный блог про этот вид хакерства, скиммеры порой невозможно заметить невооруженным глазом, и жертва даже не понимает, что передает свой PIN-код злоумышленникам.
Скиммер представляет собой накладку, которая устанавливается поверх обычного терминала оплаты.
При этом его внешний вид полностью повторяет вид терминала, вплоть до цвета кнопок и отметки бренда.
Это устройство моментально считывает данные карты пользователя через чип и передает их с помощью Bluetooth. Другие модели могут «запоминать» введенный PIN-код и также отправлять его хакерам.
В таких устройствах часто отсутствует модуль памяти, поэтому отследить ее владельца бывает затруднительно — скиммеры уже давно производят в промышленных масштабах на специальных фабриках, а затем внедряют в торговые сети. Впрочем, злоумышленник, принимающий сигнал со скиммера, должен находиться где-то неподалеку от терминала, а значит в теории его можно вычислить.
Мошенничество без контакта
Есть еще один вид махинации с картами с помощью терминала, который наделал много шума в свое время, но, впрочем, может относиться к городским легендам. Один из пользователей Facebook заявил о том, что встретил в метро подозрительного человека, который держал в руке мобильный терминал, и якобы с его помощью снимал деньги с карт пассажиров вокруг.
Речь идет о технологии бесконтактной оплаты PayPass или PayWave, когда для оплаты пользователю достаточно поднести свою карту достаточно близко к терминалу. При этом, если сумма покупки меньше тысячи рублей, то вводить PIN-код для подтверждения необязательно. Таким образом, при благоприятных условиях, злоумышленник может пройти по вагону в час пик и собрать любую сумму денег.
Такой способ кражи денежных средств кажется пугающим, особенно для тех, кто привык носить банковские карты в карманах.
Тем не менее, существует множество оговорок, при которых такое мошенничество может сработать.
По словам специалиста отдела технического сопровождения продуктов и сервисов ESET Russia Андрея Ермилова, эта схема и вовсе является нереальной. Во-первых, POS-терминал надо сначала где-то приобрести и зарегистрировать. Во-вторых, вывод денег затруднителен — злоумышленник не сможет банально снять их в банкомате или перевести на определенный счет. В-третьих, эти деньги надо сначала украсть, что также проблематично.
«Чип POS-терминала достаточно слабый, для его срабатывания нужно прижать терминал к карте жертвы — это сложно, а если карта лежит в бумажнике, то вообще маловероятно», — считает собеседник «Газеты.Ru». Он добавил, что во всех крупных банках есть служба безопасности, которая первой заметит подозрительную активность в своем терминале и сообщит в правоохранительные органы.
