Загрузка данных...

Платить смартфоном страшно?

24 января 2018 г. 11:19:22

Просмотров: 3244

Платить смартфоном страшно?

Вся правда о безопасности банковских карт в телефоне

Apple Pay, Android Pay и Samsung Pay уже больше года работают в России, но до сих пор есть люди, которые боятся оплачивать покупки телефоном. Они переживают, что данные банковских карточек могут попасть к третьим лицам и привести к потерям на счетах. Павел Городницкий объяснил, как всё работает на самом деле.

----------------------<cut>----------------------
 
 
 

Механика мобильных платежей элементарна: кассир называет цену, а покупатель достаёт из кармана не карточку, а смартфон. Затем нужно либо снять отпечаток пальца, либо показать лицо фронтальной камере, либо просто ввести пароль, после чего гаджет одобрит покупку.

Потом — лёгкое касание терминала. Готово: деньги моментально списываются, а кассир выдаёт чек.

 

Платить смартфоном страшно?

 

Почему это удобнее, чем платить картой?

1.  Не нужно ничего доставать из бумажника — можно просто извлечь телефон, который и так всегда под рукой.

2.  Вводить пин-код приходится крайне редко, а вот при PayPass есть лимит беспарольных покупок (как правило, 1000 рублей). К тому же карты без PayPass тоже до сих пор живы: там пин-код требуют даже при "грандиозных" транзакциях на 10–15–20–150 рублей.

Сотни тысяч людей уже освоили и оценили Apple Pay, Android Pay и другие аналогичные системы, пришедшие в Россию осенью 2016 года. Однако есть и те, кто уверен, что данные карточки могут попасть или к производителю смартфона, или к оператору, или вообще к хакерам, которые моментально опустошат счёт.

Пора рассказать, почему эти фобии беспочвенны. Логичнее всего пояснить схему на примере  Apple Pay  — тем более остальные сервисы функционируют по той же схеме.

 

Платить смартфоном страшно?

 

Во-первых, Apple просто сотрудничает с банками, которые и настраивают процедуру обмена данными. Далеко не каждую карту можно внести в Apple Pay — всё зависит именно от банков, а не от условного Тима Кука. У компании из Купертино вообще нет контроля за обработкой транзакции. Представители Apple лишь договариваются, что генерируемые ими токены будут приниматься банком как валидное подтверждение оплаты. Токены в этом контексте — одноразовые пакеты, которые создаются на NFC-чипе и содержат информацию о транзакции (время, сумма, зашифрованные ключи).

Во-вторых, единственный, кто получает данные карты при первом запуске Apple Pay, как раз выпустивший карту банк, который подтверждает её при стартовой настройке.

В-третьих, номер карты используется только один раз (первый, ещё при настройке), а затем не хранится вообще нигде. На отдельный чип (Secure Element в NFC-чипе, если быть точнее) в зашифрованном виде записывается специально сгенерированный номер счёта устройства (Device Account Number), который, даже если его уведут и расшифруют злоумышленники (что абсолютно нереалистично), не может использоваться совершенно ни для чего. Деньги с его помощью не украсть.

В-четвёртых, во время оплаты на терминал отправляются не данные карточки, а сгенерированный токен, который ещё должен быть подтверждён со стороны банка. Опять же: информацию о карточке в этот момент не получает вообще никто — к ней нет доступа в том числе у Apple. Кстати, на стороне банков действуют довольно продвинутые системы по распознаванию подозрительных транзакций, которые будут блокировать списание средств, если что-то пойдёт не так.

И пятый пункт для тех, кто ещё сомневается. Всё то же самое, что описано выше, происходит и при оплате через PayPass, но там токен генерируется чипом внутри карточки, а не смартфона.

Здесь же всё происходит на изолированном чипе внутри устройства, а генерация токена возможна только при подтверждении биометрическим сенсором или паролем.

 

Платить смартфоном страшно?

 

PayPass даже уступает Apple Pay по уровню безопасности: мошенник может украсть карту и оплачивать ей покупки, не нарушая лимит (то есть не выходя за рамки 1000 рублей, если говорить о России). С телефоном так сделать не получится, если, конечно, жертва сама не разболтает пароль для оплаты.

Алгоритмы Samsung Pay и Android Pay такие же: передаётся исключительно токен, а не данные карточек. Правда, Samsung Pay ещё умеет оплачивать при помощи MST (Magnetic Secure Transmission), где поддерживаются даже устаревшие терминалы без NFC.

Такой способ считается чуть менее безопасным: в 2015 году компания LoopPay (её Samsung купила для создания платёжной системы) оказалась уязвима к атаке, которая позволяла перехватывать магнитный сигнал. Samsung Pay к тому моменту использовал  токенизацию номеров  и защитный пакет KNOX и не был уязвим, но про теоретические уязвимости MST говорят и сейчас.

 

Поэтому, если вам нужна полнейшая безопасность, лучше довериться NFC-системам: они как минимум не менее надёжны, чем у классических бесконтактных карт. А по факту — даже надёжнее за счёт биометрических датчиков.

Источник:  http://nnm2.com/blogs




Понравилась статья? Поделись!

!!

Добавить комментарий к статье


Политинформация

Посадить "русского шпиона Киссинджера": последний шаг к гражданской войне

15 августа 2018 г. 12:38:57 Просмотров: 64

В Чехии обвинили украинцев в подавлении «Пражской весны» 1968 года

14 августа 2018 г. 9:25:53 Просмотров: 77

От закона Магнитского до полного краха (Dedefensa.org, Бельгия)

30 июля 2018 г. 10:37:04 Просмотров: 128

Андрей Фурсов: Ангел смерти

18 июня 2018 г. 15:42:47 Просмотров: 448

Миф об израильском чуде: финансирование Израиля извне

14 июня 2018 г. 14:06:34 Просмотров: 307

Нафтогаз собирается отключить газ в 129 городах

14 июня 2018 г. 9:33:50 Просмотров: 257

Еда и коммуналка: на что больше всего тратятся украинцы

29 мая 2018 г. 17:58:57 Просмотров: 232

Пентагон: ВПК США не готов к работе в условиях войны

25 мая 2018 г. 16:47:29 Просмотров: 323

Существование афроамериканского субэтноса – как угроза существованию человеческой цивилизации

24 мая 2018 г. 15:47:26 Просмотров: 660

Слом: Вопрос существования НАТО вынесен на обсуждение

14 мая 2018 г. 13:53:14 Просмотров: 328

НОВОСТИ ПАРТНЕРОВ

Loading...
Яндекс.Метрика
feedback
Спасибо! Ваша заявка принята.