(Не) безпеку пластикових карт завжди була темою гарячої, але з поширенням карт безконтактних переросла в справжню фобію - не гірше фобії ГМО , « телефонів-убивць », випалює мізки Wi-Fi і тому подібного. Якщо раптом ви не чули, багато і дуже багато хто впевнений, що безконтактний «пластик», яким так легко оплатити покупку в магазині (провів поруч з терміналом - і готово! Пін-код вводити не потрібно), так само легко віддає гроші і «злим хакерам ». Популярна преса підігріває істерію, не вдаючись у деталі. Страшні історії змінюють одна одну: якщо кілька років тому цим бавилися дослідники на security-конференціях, тепер уже справжні злодії, нібито, спустошують «гаманці» в громадському транспорті, просто проходячи поруч з жертвами. Що там, на днях промайнуло повідомлення про пристрій для «дрібносерійного» клонування безконтактних карт - аж по 15 штук в секунду!

При всьому при цьому у розсудливих людей бовтається десь думка, що все це - саме безпричинна фобія, параноя (карти на ринку вже півтора десятиліття, а кінець світу так і не настав). Але щоб підозра підтвердити, треба заглибитися в технічні питання, на що часу завжди не вистачає. Так давайте зробимо це разом.

Безконтактні картки бувають різними, аж ніяк не тільки банківськими: для посвідчення особи, проїзду в громадському транспорті і т.п. Однак те, що лежить в гаманцях більшості (в тому числі росіян) - це кредитні або дебетові банківські картки, вироблені з опорою на стандарт ISO / IEC 14443. Стандарт цей передбачає використання в якості каналу зв'язку протоколу NFC (Цифровий радіообмін на частоті 13.56 МГц). Приймач позбавлений джерела живлення і працює за рахунок енергії, що наводиться в антені, захованої всередині карти же. Цього вистачає, щоб прийняти і передати деякий невеликий обсяг інформації. NFC - повільний протокол (десятки кілобайт в секунду), але в даному випадку багато і не потрібно. Карти VISA payWave, MasterCard PayPass і вітчизняна «Мир» працюють саме так.

А головна проблема безконтактного «пластика» не в технологіях, а в поверхневому розумінні принципу їх роботи. Намагаючись максимально полегшити обивателям адаптацію до нового продукту, маркетологи втовкмачили їм, що провести пластиковою карткою з магнітною смугою по зчитувального пристрою і зробити безконтактний «клік» по NFC-терміналу - це одне і те ж. Так що люди, особливо в країнах, де культура користування «пластиком» налічує не одне десятиліття (магнітний стрип - дітище 70-х), не бачать функціональної різниці між тим і іншим. І міркують приблизно так: раніше карту потрібно було дістати з гаманця, тепер же злодій може просто пройти поруч зі мною і, навіть не торкаючись, вкрасти з моєї кредитки всю інформацію!

Що ж, почасти це й справді так, але лише частково. Ви теж можете спробувати себе в ролі такого «високотехнологічного злодія». Для цього не доведеться нічого паяти і навіть купувати нелегальний карт-рідер. Досить сучасного смартфона з підтримкою NFC. Встановіть будь-яке з численних додатків для читання NFC-міток ( NFC Basic , Banking Card Reader і ін.), прикладіть карту до телефону, і - вуаля, дані «вкрадені». Тонкість в тому, що це за дані.

У відкритому вигляді з використанням безконтактної технології банківські карти зберігають лише номер, дату експірації, рідше ім'я користувача і історію транзакцій. Формально цього вже достатньо, щоб скористатися вашою карткою без вашого відома, наприклад, для покупки чогось через інтернет: в повному обсязі інтернет-магазини вимагають CVV-код, розміщений на звороті картки (але не записується у пам'ять). Так що - так, це привід для тривоги.

Але ось «клонувати» карту повноцінно (записати інформацію на чисту карту-болванку і використовувати її в звичайних магазинах без обмежень), що обіцяють продавці пристроїв на зразок згадуваного нелегального високошвидкісного карт-рідера (всього-то за $ 800!), Таким чином не вдасться. Чому? Тому що будь-яка офлайнова транзакція передбачає спілкування між, грубо кажучи, касовим апаратом і чіпом карти, причому на кожен такий сеанс чіп генерує одноразовий ключ з використанням стійкого крипто. Щоб клонувати вашу карту, необхідно витягнути з неї кріптоключа - а зробити це через NFC неможливо.

Реальних способів експлуатувати безконтактну картку всього два. По-перше, злодій може обзавестися власним PoS-терміналом з підтримкою безконтактних карт. Сховавши такої в сумці, він і правда може ходити по людних місцях і ініціювати покупки, коли поруч опиняється чиясь карта. Однак обчислити ім'я шахрая в такому випадку не важко (всі термінали реєструються в органах), та й розмір безконтактної транзакції, що не вимагає пін-коду, обмежений певною невеликою сумою (в Росії це близько однієї тисячі рублів).

По-друге, злодій може використовувати схему ретрансляції радіосигналу - скориставшись досвідом «колег», викрадають таким чином автомобілі . Тут потрібні два допоміжних NFC-пристрої. Перше має перебувати поруч з картою жертви, друге - в місці здійснення покупки, скажімо, поруч з касою в магазині. В якості таких пристроїв можуть виступати, наприклад, смартфони, підтримують NFC. Каса ініціює продаж, другий смартфон транслює NFC-сигнал на перший, той передає його карті, і по тій же ланцюжку інформація повертається назад. Жертва нічого не помітила, а покупка здійснена. Складнощі, втім, очевидні. Необхідний спеціальний софт, якого поки, наскільки відомо, не існує (поправка, спасибі читачам: в лабораторних умовах вже реалізували ). Плюс знову-таки розмір транзакції обмежений.

До речі: мобільні гаманці (Apple Pay, Android Pay, Samsung Pay) проблеми безконтактних крадіжок не схильні до - з тієї простої причини, що віртуальна карта відповідає на запити, що зчитує тільки коли це потрібно користувачеві, а в решту часу мовчить.

Що в підсумку? Клонувати безконтактну картку неможливо. Вкрасти з неї, перебуваючи поруч, можна лише незначну суму. Так що історії про нещасних, «втратили тисячі доларів в один момент, не витягуючи карту з кишені», або вигадки, або помилки (ймовірно, карта була скомпрометована інакше).

Єдиною реальною загрозою залишається викрадення номера карти і використання його для несанкціонованих покупок через Мережу. Ризик насправді невеликий: злодій повинен підібратися до вас занадто близько, плюс в розвинених країнах банк зобов'язаний скасувати таку транзакцію на першу вимогу, а суму відшкодувати. У Росії закон поки цього не вимагає (поправте, якщо вже не так), так що якщо вас гризе неспокій, скористайтеся старої доброї кліткою Фарадея: зберігайте безконтактні карти в кишені з алюмінієвої фольги. Але краще - подумайте про заміну карти мобільним додатком : Електронні гаманці, що зберігають аналоги банківських карт, проблеми безконтактних крадіжок не схильні до зовсім.