В рубрику "Спецпроект: mobile security" | К списку рубрик | К списку авторов | К списку публикаций
Эксперты по кибербезопасности давно изучили и довольно подробно описали все традиционные угрозы, существующие при использовании пластиковых карт. Например, одна из главных среди них – карты с магнитной полосой можно "считать" скиммером. При этом конструкция последних сейчас отточена до практически полной незаметности. Существуют специальные скиммеры и для EMV-чипов. Они особым образом вставляются в платежные терминалы. А картам с беспроводными методами оплаты, такими как PayPass и PayWave, могут угрожать дистанционные атаки, когда данные считываются злоумышленниками на расстоянии (хотя ни одного реального случая кражи средств таким образом до сих пор не зарегистрировано).
Взрывной рост популярности мобильных устройств привел к тому, что появился новый вид беспроводных платежей, когда оплата картой имитируется с помощью встроенной NFC-антенны смартфона. Риск атаки здесь ниже, чем в случае с обычной картой, потому что пользователь сам контролирует включение и отключение этой функции, в то время как карта доступна для оплаты все время. При этом клиентам банков вообще не обязательно брать карту и доставать ее из кошелька.
Эмуляция карт на устройстве (HCE, Host Card Emulation) обладала некоторыми преимуществами: решение было недорогим и при этом доступным широкому кругу пользователей с устройствами на Android старше версии 4.4. Однако эмуляция имела и ряд недостатков. Например, существовало ограничение по типу терминалов оплаты: они обязательно должны были поддерживать беспроводные платежи. К тому же чип для безопасного хранения данных eSE (embedded Secure Elements) делал производство смартфонов более дорогим. Поэтому с самого начала им оснастили только несколько десятков флагманских моделей крупных производителей. При этом если производитель решал сэкономить на чипе, то хранение важной информации перекладывалось на плечи операционной системы. Ее, в свою очередь, могло атаковать вредоносное ПО, если получало права суперпользователя (Root-доступ) на устройстве. Правда, так как более простых в исполнении атак на мобильный банк и без того оказалось довольно много, дальше примеров дело не зашло.
Разумеется, разработчики пытались найти способы обойти угрозы, связанные с хранением платежной информации на устройстве. Среди прочих, например, использовался метод хранения Secure Element в облаке. Однако это делало платежи смартфоном невозможными в местах с плохой связью. Кроме того, риски использования программного хранилища для HCE делали необходимым внедрение дополнительных мер защиты в банковских приложениях, что, в свою очередь, усложняло их разработку.
В результате этих неудобств как для многих банков, так и для самих пользователей оплата с помощью эмуляции карты телефоном осталась скорее забавной функцией, чем реальным платежным средством. Пользовались ею большей частью ради какой-нибудь акции, а то и просто чтобы удивить окружающих.
Для решения описанных выше проблем был запущен ряд исследований, некоторые из них – под эгидой крупных международных компаний. Основной их целью было найти более совершенные технологии, в которых надежность сочеталась бы с удобством.
Одной из ветвей развития мобильных платежей стали токенизированные системы оплаты, которые предложили сразу несколько крупных компаний – Apple, Samsung и Google. Их отличие от эмуляции состоит в том, что эти системы предполагают обмен не данными карты, а токеном – уникальным идентификатором операции. Данные карты при этом вообще не передаются терминалу. Это решает угрозу как компрометации терминалов, так и скиммеров.
Однако и у такого решения обнаружился недостаток, присущий его предшественникам. Технология должна была особым образом поддерживаться производителями платежных терминалов.
Эту проблему попытались решить. Несколько лет назад стартап LoopPay1 предложил комплект, в который входил считыватель карт для разъема миниджек (диаметр 3,5 мм) и особый чехол для телефона. Уникальность проекта заключалась в технологии, которая имитировала магнитную полосу карты с помощью сигнала, создаваемого устройством.
Стоит отметить, что создатели с самого начала приняли во внимание вопросы безопасного хранения данных в устройстве и защиты от заведения чужих карт. Для этого персональные данные пользователя проверялись посредством сравнения с информацией из Track банковской карты.
Разработка оказалась перспективной, и довольно скоро LoopPay был целиком приобретен2 компанией Samsung. В результате через некоторое время технология MST (Magnetic Secure Transmission), на которой основывалась вся разработка, дополнила токенизированные платежи в Samsung Pay. Благодаря этому стало возможным платить с помощью смартфона не только на терминалах с поддержкой беспроводных технологий оплаты, но и на любом терминале: нужно было всего лишь поднести устройство к считывателю магнитной полосы.
Мы внимательно следили за этим проектом и можем довольно уверенно заявить, что в целом технология стала большим шагом к удобству и безопасности платежей, потому что разработчики действительно учли многие риски. Так, сохранность данных в ней обеспечивается надежным хранилищем Secure Element. Платежный режим на телефоне можно запустить только по PIN-коду или отпечатку пальца пользователя. Дополнительно устройства Samsung были оснащены встроенным решением по безопасности KNOX и базовым антивирусом. Они попросту блокируют платежные функции устройства при попадании на него вредоносного ПО.
Была продумана и защита от более серьезных вирусов-рутовальщиков. От них пользователя защищает решение KNOX Tamper Switch. Это программно-аппаратный функционал, который в случае атаки, нацеленной на повышение привилегий на устройстве, необратимо блокирует его деловые и платежные функции.
Еще одной мерой безопасности стало то, что платежный функционал поддерживают только новые и регулярно обновляемые устройства. Благодаря последнему фактору все уязвимости на них оперативно закрываются.
Наконец, при оплате Samsung Pay работает не с привязанной к аккаунту картой, а с виртуальной. И ее номер недоступен даже самому пользователю.
При всех описанных мерах безопасности оплата таким способом прекрасно работает даже без интернет-соединения.
Разумеется, новая технология стала объектом пристального изучения для экспертов по кибербезопасности. Возможность атаки на нее, несмотря на меры безопасности, существует. Например, несколько потенциальных сценариев были представлены на конференции BlackHat USA в 2016 г. И несмотря на то что описанные атаки являются скорее возможными, чем реально существующими угрозами, эксперты не рекомендуют расслабляться.
Отличительной особенностью современных киберпреступников стало то, что они начинают искать слабые места в новых технологиях еще до того, как те становятся доступны для широкой публики. Например, к тому моменту, когда банки только собрались внедрять биометрическую аутентификацию на банкоматах, злоумышленники уже вели активную разведку. Всеми возможными способами они выясняли, у каких производителей будет закупаться оборудование и какими уязвимостями оно будет обладать. Подобным образом киберпреступники исследуют платежные технологии Apple и Samsung.
Помимо этого исследователи порой забывают про традиционное мошенничество. При входе в новый для них бизнес мобильные вендоры оказались совсем к нему не готовы. Например, беспроводные платежи существенно облегчили жизнь кардерам, причем как в онлайн-торговле, так и в обычных магазинах. Теперь им не нужно записывать данные украденной карты на свою "болванку" и рисковать, что продавец заметит подделку. Оплата товаров телефоном премиум-класса, к которому привязана краденая карта, вызывает гораздо меньше подозрений. Кроме того, можно вообще не пользоваться физическими устройствами, а просто накупить себе товаров и подарочных карт в Apple Store.
Неспроста, даже учитывая меры безопасности, принимаемые Apple, уровень финансового мошенничества в США в Apple Pay за 2015 г. составил 6%. Это в 60 раз больше карточного фрода, зарегистрированного в Америке за тот же период: данный показатель остался на уровне 0,1%.
Небезгрешен оказался и Samsung Pay. Так, компания вынуждена была принести в жертву удобству несколько важных антифрод-функций, которые разработал LoopPay. В их числе оказалась жесткая привязка аккаунта к имени владельца карты. В результате один из экспертов "Лаборатории Касперского" в ходе исследования смог легко добавить на смартфон и банковскую карту на свое имя, и карту коллеги. В изначальном решении от LoopPay это было бы невозможно.
Давайте подведем итог. Сегодня можно уверенно говорить о том, что новые токенизированные решения действительно оказались более защищенными и удобными, чем их предшественники. Но они все еще довольно далеки от совершенства с точки зрения безопасности. А когда речь идет о перспективах использования, это становится очень важным фактором. Ведь терять деньги не любят ни банки, ни их клиенты.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2017