В последнее время на форуме nfcphones.ru регулярно появляются темы и отдельные сообщения о якобы случаях (возможного) воровства с банковских карт бесконтактным способом, обычно в связи с анонсом о выпуске очередным банком приложения-терминала для смартфонов.

Каждый раз я пытался на форуме объяснить все моменты связанные с возможной уязвимостью бесконтактных карт, а также просил привести хотя бы единичные известные случаи о воровстве – но безрезультатно. Долгое время я собирался написать статью, описав возможные теоретические уязвимости бесконтактных карт и доказав их практическую неосуществимость, со ссылками на реальные документы описывающие технологии NFC-платежей, однако, как говорится – «все руки не доходили»…

Написать наконец такую статью меня сподвигла одна из последних новостей на портале nfcphones.ru:

https://www.nfcphones.ru/news/lenta/?id=10926835
“Эксперт раскрыл способы мошенников по взлому бесконтактных платежей в России“

Источник: https://1prime.ru/banks/20200612/831615716.html

В целом эксперт совершенно прав, однако интересно было бы разобрать оба варианта немного поподробнее.
Первый — это кража средств через мошеннический мобильный POS-терминал или специальное устройство, которое создаст фейковую покупку и «заставит» карту жертвы ее оплатить», — рассказал эксперт.

Однако этот способ имеет большие ограничения: злоумышленнику нужно иметь счет в банке, оформленный на юрлицо, и платежный терминал, зарегистрированный в налоговой инспекции. При этом из-за жалоб клиентов счет, скорее всего, заблокируют, и злоумышленники не успеют вывести с него деньги, пояснил эксперт.

Это типичный ожидаемый многими случай – когда «человек ходит в транспорте, прислоняет к сумкам/карманам мобильный терминал и списывает деньги». В одной теме приводили даже фото человека в метро с якобы таким терминалом в процессе «охоты», правда потом выяснилось что это обычный торчавший из кармана ТСД-терминал которым пользуются кладовщики. Почему в транспорте – очевидно, это идеальное место для того чтобы в толпе незаметно прислонить терминал к сумке/кошельку/карману где у жертвы может находиться банковская карта с бесконтактной оплатой.

У этого варианта есть несколько серьезных недостатков:

[*] сумма не более 1000р, хотя VISA и разрешила покупку без подтверждения до 3000 (а МС совсем недавно до 5000, правда на усмотрение банка эмитента) вор заранее не знает какая карта ему попадется, а при превышении лимита будет запрошен пин и терминал временно выпадет из процесса

[*] после каждой удачной «операции» на терминале придется вводить новую сумму – вор должен покинуть транспорт (автобус, вагон метро) и найти укромное место чтобы не привлечь к себе внимание

[*] POS-терминал сразу после оплаты печатает чек, а также выдает звуковой сигнал, но этот функционал при определенной сноровке можно отключить, или пользоваться терминалом на смартфоне

[*] в зависимости от «глубины укрытия» кошелька/карты в сумочке или кармане жертвы вору может потребоваться некоторое время держать неподвижно терминал в непосредственной близости, что далеко не всегда допустимо. Просто пронести устройство рядом и совершить операцию «на лету» практически невозможно, что было проверено опытным путем (об этом ниже)

[*] наверное, наиболее серьезный момент – у многих владельцев карт подключены push/sms-уведомления, представьте каково будет удивление жертвы, когда ей придет сообщение о только что совершенной покупке когда он(а) едет в транспорте – куда деваться вору который только что стоял рядом? Вероятность (даже небольшая) поимки на месте преступления с орудиями совершения кражи, что практически не оставляет шансов избежать реального срока, делает весьма рискованным такой способ.

[*] и финальный момент – как совершенно верно заметил эксперт – на сегодня совершенно не реально успеть вывести украденные таким способом деньги не оставив при этом следов. При совершении покупки через POS-терминал деньги аккумулируются на счету банка предоставившего эквайринг (услугу по приему оплаты картой) и лишь через 1-3 дня переводятся на счет владельца. Подключить услугу эквайринга может юрлицо или ИП предоставив целый набор необходимых документов. Можно конечно купить «готовую фирму» однако лично у меня есть большие сомнения что в таком случае получится быстро подключить эту услугу. Кроме того, украденные средства необходимо вывести со счета владельца, однако очевидно, что уже на 2-3й день в банки-эмитенты начнут поступать заявления от клиентов о покупках которые они не совершали, сразу виден будет один для всех продавец – клиент определенного банка, а мы хорошо знаем как лихо наши банки блокируют счета по 115-ФЗ лишь при подозрении на отмывание, в данном же случае не составит труда заблокировать всю цепочку счетов (какой длины бы она не была) поскольку инициатива будет исходить от банка предоставившего эквайринг вору, а не от клиента у которого со счета якобы похитили средства мошенники.. И абсолютно не подлежит сомнению что всем участникам цепочки будут предъявлены обвинения по целому ряду статей – уж сами для себя банки не поленятся собрать неопровержимые доказательства.

В заключение хочу отметить – что лично я до сих пор не слышал о выявлении подобной схемы воровства. Что не удивительно, мошенники тоже умеют думать и анализировать – и наверное не очень хотят влезать в такие авантюрные для себя эксперименты.

Предупреждая вопрос о том, почему я всерьез рассматриваю POS-терминалы наравне со смартфонами, которые также можно использовать в качестве терминала, установив соответствующее приложение. Во-первых, не каждый банк предлагает такую возможность в рамках своей услуги эквайринга, и можно предположить что при ее наличии контроль будет значительно жестче. Во-вторых, цель данной статьи не только рассказать о текущих уязвимостях бесконтактной оплаты, но и дать понять что даже 1-2-3 года назад вероятность их реального применения была практически нулевой.

Рассмотрим второй вариант.
«Второй способ — считывание данных карты, ее номера и срока действия специальным NFC-скиммером (устройство для считывания данных с бесконтактных карт) для дальнейшей попытки мошенничества с операциями без присутствия карты (card not present transaction, CNP), например для оплаты в онлайн-магазинах», — рассказал Бабин.

Для начала надо отметить, что чип карты представляет собой по сути микрокомпьютер, со своим процессором, памятью и операционной системой. Поэтому, метод применявшийся ранее для копирования карт с магнитной полосой – здесь совершенно невозможен.

Напомню, устройство называемое «скиммер» прикрепляли на щель для карт на банкомате, затем при вставлении карты оно считывало проходящую сквозь него магнитную полосу и сохраняло в своей памяти, а злоумышленник впоследствии мог эти данные записать на любую карту с чистой магнитной полосой (т.н. белый пластик) и использовать для покупок в магазинах, или же, если смог выяснить и пин-код для этой карты – также снимать с нее деньги в банкомате. Теперь, с карты невозможно просто «прочитать чип», можно лишь осуществить с ним некоторый обмен командами и данными, подробно описанный в спецификации EMV. Тем не менее, протокол обмена данными с картой по NFC-технологии открыт и возможно прочитать целый набор различной информации при помощи специального устройства, или даже смартфона с приложением-считывателем. Подробно о структуре данных хранящихся на карте написано в одной очень хорошей статье на Хабре: https://nfcphones.ru/ru/post/281438/
«Данные EMV-приложения размещаются в записях (рекордах или треках). Их список можно получить в ответ на команду «Get Processing Options». Конкретную запись можно прочитать с помощью команды «Read Record». Внутри могут находиться: сертификаты ключей, номер карты (PAN – Primary Account Number), списки методов проверки карты (CVM list– Card Verification Methods list) и множество другой информации. Чтение этих записей очень похоже на чтение треков с магнитной полосы. Данные технических настроек карты, счетчики и лимиты можно получить командой «Get Data», указав требуемый тип.

Интересно, что практически все данные о счете держателя карты и настройках приложения можно вычитать из карты без каких-либо трудностей. Единственное до чего не добраться – это ключи приложения и значение пин-кода.«

Получить любые данные из чипа карты не составляет труда, например, точно также в транспорте приложив считыватель (смартфон) к некоторым сумочкам/карманам и проанализировав результат на выходе. Хотя, как выяснилось опытным путем, такая операция может потребовать держать считывающее устройство некоторое время неподвижно в непосредственной близости от карты (кошелька, сумочки) жертвы. Однако, что можно сделать с полученными данными в дальнейшем?

Во-первых, как отметил эксперт – попробовать использовать их для покупок в интернете. Пока еще остаются продавцы, как правило иностранные, которые позволяют совершать на своих сайтах покупки без использования функции 3d-secure (подтверждение онлайн-операции путем введения кода высылаемого в смс на телефон клиента) однако при этом продавец должен еще и не требовать код cvc/cvv который прочитать с чипа карты не представляется возможным. Тем не менее, даже при совершении такой покупки, реальный владелец карты может написать в своем банке заявление об ее оспаривании – при этом средства будут ему возвращены в срок до нескольких недель, а карта естественно заблокирована и перевыпущена, т.к. согласно правилам МПС все риски по таким операциям несет банк предоставивший эквайринг (который в свою очередь спишет эту сумму с продавца – своего клиента, да еще и оштрафует его) На данный момент, таким способом, в основном, можно оплатить контекстную рекламу или пополнить игровые аккаунты

«Использовать клонированную бесконтактную карту для выполнения CNP-транзакции возможно только в интернет-магазинах, где значения CVC2/CVV2 не запрашиваются при выполнении транзакции. Таких онлайновых магазинов в России осталось совсем немного. Поэтому совершить операцию в онлайновом магазине на основе данных, украденных в результате перехвата диалога бесконтактной карты и терминала, по меньшей мере сложно. А вероятность угадывания значения CVV2/CVC2 равна «всего-навсего» 1/1000. Не говоря уже о том, что в магазинах, поддерживающих протокол 3D Secure, шансы на клонирование карты, зарегистрированной в этой программе эмитентом, для совершения CNP-транзакций совсем призрачны (разумеется, при правильном внедрении и использовании этого протокола на стороне эмитента карты).«
https://plusworld.ru/journal/section_1168/section_162589/art162560/

Во-вторых, одно время считалось что на основе полученных данных можно создать карту-клон без чипа, но с магнитной полосой – на которую эти данные и записать, после чего ее можно якобы использовать для оплаты или в банкомате. Однако, никакой информации о практической реализации такой возможности мне лично найти не удалось.

«Очевидно, клонировать карту по чипу невозможно, поскольку для этого необходимо знать ключи карты, которые атакующим неизвестны. Клонировать карту по магнитной полосе также получится с очень невысокой вероятностью, поскольку мошенникам из перехваченных данных известны только номер карты и срок ее действия. Значения CVC/CVV через бесконтактный интерфейс не передаются, да и они по правилам МПС больше не совпадают с данными CVV/CVC на магнитной полосе. Поэтому эти значения атакующим неизвестны, а вероятность их угадывания невелика (равна 1/1000). Напомним читателю, что по правилам платежных систем все операции по магнитной полосе микропроцессорной карты должны быть обработаны в режиме онлайновой авторизации, так что без знания значений CVC/CVV для магнитной полосы мошенникам не обойтись!«
https://plusworld.ru/journal/section_1168/section_162589/art162560/

Можно ли скопировать данные EMV-приложения на магнитную полосу?

Из данных EMV-приложения можно составить треки для карты с магнитной полосой, за исключением одного небольшого параметра – кода обслуживания (Service Code). В качестве данных для EMV-приложения, код обслуживания указывает терминалу, что транзакция должна быть проведена с использованием приложения карты. Если взять этот код «как есть» и скопировать на магнитную дорожку – терминал будет пытаться выполнить транзакцию с помощью приложения. Казалось бы, можно отредактировать код обслуживания, но целостность данных защищена кодом CVV/CVC кодом. Он является ближайшим аналогом цифровой подписи.

Создается ощущение, что EMV-карта защищена от копирования со всех сторон. Хотя все-таки известна одна тривиальная возможность. Для режима совместимости производители выпускают EMV-карты комбинированного типа – то есть с микропроцессором и магнитной полосой. Существует возможность скопировать данные магнитной полосы на другую комбинированную карту с нерабочим чипом (чистым или сожженным) и попытаться провести так называемый fallback (при невозможности считать чип, терминал проводит операцию по магнитной полосе). В данный момент такие операции не приветствуется платежными системами, а риск по этим операциям ложится на эквайра или эмитента.
https://nfcphones.ru/ru/post/281438/

Единственное неудобство для клиентов может представлять тот факт, что с карты можно прочитать информацию о последних проведенных по ней операциях (обычно до 10) и хотя практической сиюминутной выгоды эти данные не принесут, их можно использовать в дальнейшем для выяснения подробной информации о жертве, если ведется ее целенаправленная обработка, или собирается целый массив информации в каких либо других целях. С другой стороны, регулярный утечки баз данных из банков и прочих финансовых структур представляют гораздо большую опасность.

«Среди других личных данных клиента, которые могут храниться на карте, некоторый интерес для мошенников может представлять лог-файл последних транзакций, выполненных по карте. И хотя среди данных транзакции в лог-файле присутствуют только сумма, валюта и дата транзакции (нет типа покупки и названия магазина, правда, название магазина и его местоположение встречается в логе транзакции в последних версиях платежных приложений, например, в M/Chip Advance), а записи лог-файла перезаписываются после накопления в нем некоторого количества (обычно 10) записей, третья сторона может выяснить и каким-то образом использовать, например, те же данные по объему совершенных по карте операций.«
https://plusworld.ru/journal/section_1168/section_162589/art162560/

Получить наглядное представление о том, что можно, а что нельзя прочитать с ваших карт, и каким образом это происходит – позволит например вот это бесплатное приложение:

https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard
Сразу замечу, что для чтения каждой карты мне требуется несколько секунд держать ее неподвижно прислонив к смартфону (Sony Xperia) таким образом возможность прочитать данные с карты «одним касанием» в транспорте уже представляется весьма маловероятной. Лог-транзакций мне удалось прочитать только с одной своей карты – старой кредитки БИН-банка, в новых картах (МКБ, Тинькоф, Открытие) эта информация закрыта.

Третий вариант воровства.

Для полноты картины следует отметить, что эксперт не упомянул про третий, самый технологичный и соответственно сложно-реализуемый, но тем не менее вполне реальный способ воровства с бесконтактных карт. Речь о так называемой «Relay-атаке» которая внешне похожа на первый способ – воровство через терминал, но на самом деле, при использовании поддельной карты и специального устройства-шлюза позволяет совершать реальные покупки с чужой карты.

«В общем случае в реализации relay-атаки участвуют два мошенника. Один находится рядом с жертвой, хранящей в своем портмоне бесконтактную карту (Person 1), а другой – рядом с кассой магазина, в котором совершается покупка (Person 2).

У мошенника Person 2 имеется специальная микропроцессорная карта, поддерживающая, с одной стороны, стандартный интерфейс (контактный или бесконтактный) для работы с реальным терминалом в магазине, а с другой – радиоинтерфейс, функционирующий в соответствии с одним из коммуникационных протоколов, обеспечивающих связь на расстоянии от нескольких десятков сантиметров до нескольких метров (например, ISO 15693, ISO 18000). С помощью такого радиоинтерфейса карта может обмениваться данными со специальным оборудованием мошенника Person 2, которое, помимо поддержки связи с картой, обеспечивает организацию удаленного радиоканала (например, в соответствии с протоколом Wi-Max (IEEE 802.16) с контролируемым мошенником Person 1 бесконтактным терминалом.

Дальше мошенники действуют следующим образом. Мошенник Person 2 передает кассиру для оплаты свою поддельную карту (возможно, самостоятельно касается ридера бесконтактной картой). Далее все команды терминала, установленного в реальном магазине, через карту мошенника Person 2, его специальное оборудование и мошеннический терминал Person 1 транслируются реальной бесконтактной карте ничего не подозревающей жертвы. При этом ответы карты жертвы на команды реального терминала по тому же маршруту, но в обратном направлении возвращаются реальному терминалу.«
https://plusworld.ru/journal/section_1168/section_162589/art162560/

Очевидно, что при осуществлении такой атаки действует такое-же ограничение на сумму покупки в 1000 р, однако она лишена всех остальных недостатков и самое главное, реальных мошенников практически невозможно определить. Вместе с тем, необходимость наличия достаточно сложного и дорого оборудования, возможность ошибок из-за рассогласования связи, и относительно небольшая сумма наживы делают ее очень мало привлекательной для реального применения. Конечно, сегодня в качестве обоих устройств (карты и трансивера) могут выступать два смартфона, однако трудоемкость написания соответствующих приложений, а также необходимость их тестирования на реальном торговом оборудовании нисколько не повышает возможность практической реализации данного метода.

В заключении можно сделать вывод, что хотя бесконтактные карты и обладают некоторыми уязвимостями, применение их на практике либо несоизмеримо с возможно получаемой прибылью относительно затрат на оборудование (relay-атака) либо очень рискованно в связи с невозможностью получения добычи и неизбежностью разоблачения. Кроме того, возможность любого из этих способов мошенничества пресекается в корне, если в кошельке (сумочке, кармане) жертвы хранится рядом более одной бесконтактной карты. Собственно, это и подтверждает тот факт, что все последние новости о хищениях с карт связаны в основном только с методами «социальной инженерии» и суммы ущерба измеряются десятками (иногда сотнями) тысяч рублей за один раз.

Также хочу повторить, на данный момент лично мне неизвестны достоверные случаи осуществления какого-либо из вариантов воровства с бесконтактных, перечисленные в статье. Кроме того, не вызывает сомнений тот факт, что ведущие МПС вряд ли стали бы внедрять технологию бесконтактной оплаты, не проведя всестороннего обследования и убедившись в полной практической безопасности.

И напоследок можно отметить, что все перечисленные методы в принципе не применимы если потенциальная жертва использует для оплаты не карту, а смартфон (карту конечно не носит с собой) по одной простой причине – приложение оплаты (ApplePay, GooglePay, SamsungPay и т.д.) включает прием по NFC только после активации устройства. Это значит, что в спящем режиме смартфон просто не отзовется на сигнал NFC-ридера или терминала оплаты.

Использованы материалы из статей: https://plusworld.ru/journal/section_1168/section_162589/art162560/
«Бесконтактные карты: мнимая уязвимость»

Игорь Голдовский, генеральный директор компании «Платежные Технологии», член Платежного комитета MasterCard Europe (Еuroреаn Payments Advisory Committee) от России

https://nfcphones.ru/ru/post/281438/
«Платежная EMV-карта. Механизмы обеспечения безопасности платежа»