В мессенджере WhatsApp распространяется ролик о «новом виде мошенничества» — бесконтактном снятии денег с банковских карт. Суть заключается в том, что злоумышленники, находясь в общественных местах, якобы «подносят» беспроводной терминал к сумкам, пакетам и карманам. Так как банки допускают списание определённых сумм без введения ПИН-кода, у мошенников есть возможность снять средства в пределах допустимого значения.
Редакция Factcheck.kz решила проверить, насколько реалистична такая схема.
Вердикт: Большей частью правда
Бесконтактная кража денег и данных в общественном месте теоретически возможна. Однако маловероятна. Поскольку POS-терминалы способны работать только на очень близком расстоянии, возможности мошенников сильно сужаются до переполненных мест, где их действия сложнее заметить. Но что ещё важнее — кража денег таким способом связана с большим риском для злоумышленников. Терминал необходимо регистрировать на юридическое лицо, что даёт доступ к данным владельца. Даже если кто-то решится на такой вид мошенничества, банковская система безопасности максимально упростит поиск виновных.
Что касается «перехвата данных» карт, они также защищены, поэтому возможны лишь минимальные утечки. Кроме того, в настоящее время многие банки при оформлении интернет-покупок используют «динамичный код». Специалисты считают, что такой вариант хищения для небольшого и не всегда полезного объёма информации слишком сложен, поэтому мошенники вряд ли на это пойдут.
Тем не менее, чтобы обезопасить себя от подобных инцидентов, специалисты рекомендуют хранить банковские карты в контролируемых зонах, подальше от мобильного телефона, а также следить за транзакциями.
В подробностях
Основная часть ролика представляет собой склейку тематических картинок из Сети с закадровым голосом, однако в конце мы видим сотрудницу правоохранительных органов, которая призывает к бдительности и дальнейшему оповещению граждан. Судя по отличительным знакам на форме, видео было снято российскими правоохранителями. При помощи обратного поиска по изображению и по ключевым словам мы нашли первоисточник записи. Её распространил телеграм-канал «Право знать», связанный с Прокуратурой Красноярского края.
Помимо этого в оригинале видео также есть интро с эмблемой Прокуратуры Красноярского края и короткое вступление от сотрудницы, поэтому подлинность ролика не вызывает сомнения. Изучив публикации в российских СМИ, мы выяснили, что тема «бесконтактных краж» с карты в России популярно давно. Впервые массовый интерес она вызвала в 2016 году. Тогда Рунет «облетел» снимок, сделанный в метро.
Пользователи утверждают (1, 2, 3, 4), что автор фото — сотрудник «Лаборатории Касперского» Олег Горобец, и запечатлел он «злоумышленника, который «снимал деньги у пассажиров с помощью беспроводного терминала через одежду и стенки сумок». Позже слухи о «бесконтактных кражах» распространились в Сети. Например, о них писали в Великобритании и Турции.
Отметим, что «Лаборатория Касперского» постоянно освещает тему бесконтактных платежей, поэтому мы допускаем, что фото могло быть сделано специально для публикации (такая, например, есть на сайте kaspersky.ru, и автором её является Олег Горобец), а также, что «злоумышленник с POS-терминалом» — случайный человек.
В Сети нам не удалось найти какого-либо подтверждённого свидетельства кражи с использованием POS-терминала или сканера. Единственное упоминание «устройств, способных считывать информацию с чипов платёжных карт» опубликовано ФинЦЕРТом Банка России в 2017 году. Однако речь там идёт лишь о «зафиксированных единичных случаях использования».
В целом, несмотря на отсутствие высокого уровня угрозы похищения данных «по воздуху», специалисты рекомендуют придерживаться двух простых правил:
- хранить карточки в контролируемых зонах, дальше от телефона;
- контролировать транзакции, хранить чеки.
В Казахстане предусмотрена возможность оплаты без введения ПИН-кода. Лимит суммы, которую можно снять без подтверждения — 25 000 тенге. Но действительно ли деньги возможно снять одним касанием POS-терминала, как сказано в ролике?
Возможно, но очень маловероятно из-за нескольких причин.
- Стандартные терминалы оплаты работают только на очень близком расстоянии. Об этом пишет kaspersky daily, а также информационный центр Payments Cards & Mobile.
- POS-терминалы подлежат обязательной регистрации. Например, на сайте Республиканского центра помощи предпринимателей перечислены следующие условия:
Для ИП:
- копия свидетельства ИП (талон ИП);
- копия удостоверения личности;
- реквизиты расчетного счета.
Для ТОО:
- справка о регистрации;
- учредительные документы: устав, решение учредителя (или протокол), приказ на директора;
- копия удостоверения личности руководителя;
- реквизиты расчетного счета;
- печать.
Или, например, для использования популярной системы Kaspi Pay (мобильный POS и смарт POS) необходимо скачать приложение Kaspi Pay на телефон и зарегистрироваться как ИП. Таким образом, при условии использования стандартного POS-терминала легко можно вычислить получателя, что представляет неоправданный риск для мошенников. Но есть и нестандартный подход.
Кaspersky daily отмечает, что исследователи из британского Университета Суррей смогли продемонстрировать компактный сканер, способный считывать данные карты на расстоянии до 80 см. Причём «считыватель» может быть настроен как на списывание денег, так и на кражу данных (что легче).
В начале о деньгах. Выше мы уже писали о том, что для подобных списаний обязателен договор с банком-эквайером. То есть банку будут доступны либо данные мошенников, либо кого-то связанного с мошенниками.
Сделать терминал, который будет считывать данные карты «из кармана» клиента, теоретически возможно. Но этот терминал должен иметь «на борту» криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Таким образом, мошенничество будет легко обнаружить и расследовать.
Александр Тараторин, руководитель управления поддержки приложений Райффайзенбанка с 2007 по 2018 год
Что касается данных, то американская компания IDX, предоставляющая услуги, связанные с цифровой безопасностью, уверенно заявляет, что массовый RFID-Skimming (считывание и перехват информации с чипов RFID) — маловероятный сценарий. Всё дело в том, что информация также зашифрована, поэтому её можно перехватить лишь частично. RFID-Skimming — слишком трудоёмкий процесс для извлечения столь небольшого объёма данных. Скорее всего, преступники предпочтут интернет-мошенничество и покупку сведений онлайн.
Для того что бы оставить комментарий необходимо авторизоваться.