Эксперты рассказали о новом способе мошенничества с бесконтактными платежами с карт Visa

Мошенники могут, к примеру, считать платеж с карты собственным мобильным терминалом, когда владелец отвернулся. Хуже того — считать платеж можно даже мобильным телефоном, переслать данные на другое устройство и провести платеж уже с него без каких-либо ограничений. Чтобы схема сработала, злоумышленникам нужно просто находиться рядом с жертвой.

Для того, чтобы воспроизвести мошенническую схему, исследователи из Positive Technologies использовали аппарат для перехвата и замены сообщений в канале связи между картой и считывающим устройством. Например, они смогли "убедить" карту в том, что PIN-код не нужен, хотя сумма транзакции превышала £30, а затем сообщили терминалу, что верификация уже проведена другим способом.

При мошенничестве с двумя мобильными телефонами один телефон использовался для сбора данных карты, второй — ненадолго "клонировал" карту. Первое устройство собирает с карты так называемую криптограмму платежа, которая фактически является подписью, гарантирующей действительность будущих платежей. Криптограмма отправляется на второй телефон, который затем симулирует карту и сам процесс оплаты. Потом злоумышленники могут повторять операцию бесконечно, воспроизводя атаку с перехватом, как описано ранее.

Сотрудники Positive Technologies Ли-Энн Галлоуэй и Тим Юнусов попробовали воспроизвести трюк на личной карте Visa корреспондента Forbes. Они провели три платежа по £31. На своих собственных картах они сделали бесконтактные платежи на сумму £101. Галлоуэй отмечает, что мошенники могут украсть намного больше, доходя до сотен и тысяч.

Специалисты пока выясняют, работает ли эта схема где-то еще, но Галлоуэй утверждает, что одной Великобританией дело не ограничивается. Лимиты, конечно, везде разные. Например, в США ограничение составляет $100.

Обновлять свои системы для пресечения махинаций Visa не планирует. По мнению финансового гиганта, трюк вряд ли можно проделывать в реальной жизни, ведь злоумышленникам необходимо иметь карту на руках, а такое происходит нечасто. Галлоуэй не согласна с тем, что карту обязательно красть. Как было показано в ходе испытания, злоумышленнику нужно лишь ненадолго близко подобраться к карте жертвы и считать платеж.

Представитель Visa заверяет, что с 2017 по 2018 год доля мошеннических операций с бесконтактными платежами во всем мире сократилась на 33%, а в Европе — на 40%. Однако данные банковской ассоциации UK Finance говорят о том, что в 2018 году убытки клиентов от махинаций с бесконтактными платежами составили £19,5 млн, а в 2017-м было украдено £14 млн. UK Finance отмечает, что это довольно немного, учитывая, что общий объем бесконтактных платежей в Великобритании составил £69 млрд в 2018 году.