Старые песни на новый лад: какие угрозы подстерегают беспроводные мобильные платежи?

Как это происходило раньше

Эксперты по кибербезопасности давно изучили и довольно подробно описали все традиционные угрозы, существующие при использовании пластиковых карт. Например, одна из главных среди них – карты с магнитной полосой можно "считать" скиммером. При этом конструкция последних сейчас отточена до практически полной незаметности. Существуют специальные скиммеры и для EMV-чипов. Они особым образом вставляются в платежные терминалы. А картам с беспроводными методами оплаты, такими как PayPass и PayWave, могут угрожать дистанционные атаки, когда данные считываются злоумышленниками на расстоянии (хотя ни одного реального случая кражи средств таким образом до сих пор не зарегистрировано).

Взрывной рост популярности мобильных устройств привел к тому, что появился новый вид беспроводных платежей, когда оплата картой имитируется с помощью встроенной NFC-антенны смартфона. Риск атаки здесь ниже, чем в случае с обычной картой, потому что пользователь сам контролирует включение и отключение этой функции, в то время как карта доступна для оплаты все время. При этом клиентам банков вообще не обязательно брать карту и доставать ее из кошелька.

Эмуляция карт на устройстве (HCE, Host Card Emulation) обладала некоторыми преимуществами: решение было недорогим и при этом доступным широкому кругу пользователей с устройствами на Android старше версии 4.4. Однако эмуляция имела и ряд недостатков. Например, существовало ограничение по типу терминалов оплаты: они обязательно должны были поддерживать беспроводные платежи. К тому же чип для безопасного хранения данных eSE (embedded Secure Elements) делал производство смартфонов более дорогим. Поэтому с самого начала им оснастили только несколько десятков флагманских моделей крупных производителей. При этом если производитель решал сэкономить на чипе, то хранение важной информации перекладывалось на плечи операционной системы. Ее, в свою очередь, могло атаковать вредоносное ПО, если получало права суперпользователя (Root-доступ) на устройстве. Правда, так как более простых в исполнении атак на мобильный банк и без того оказалось довольно много, дальше примеров дело не зашло.

Разумеется, разработчики пытались найти способы обойти угрозы, связанные с хранением платежной информации на устройстве. Среди прочих, например, использовался метод хранения Secure Element в облаке. Однако это делало платежи смартфоном невозможными в местах с плохой связью. Кроме того, риски использования программного хранилища для HCE делали необходимым внедрение дополнительных мер защиты в банковских приложениях, что, в свою очередь, усложняло их разработку.

В результате этих неудобств как для многих банков, так и для самих пользователей оплата с помощью эмуляции карты телефоном осталась скорее забавной функцией, чем реальным платежным средством. Пользовались ею большей частью ради какой-нибудь акции, а то и просто чтобы удивить окружающих.

Что изменилось

Для решения описанных выше проблем был запущен ряд исследований, некоторые из них – под эгидой крупных международных компаний. Основной их целью было найти более совершенные технологии, в которых надежность сочеталась бы с удобством.

Одной из ветвей развития мобильных платежей стали токенизированные системы оплаты, которые предложили сразу несколько крупных компаний – Apple, Samsung и Google. Их отличие от эмуляции состоит в том, что эти системы предполагают обмен не данными карты, а токеном – уникальным идентификатором операции. Данные карты при этом вообще не передаются терминалу. Это решает угрозу как компрометации терминалов, так и скиммеров.

Однако и у такого решения обнаружился недостаток, присущий его предшественникам. Технология должна была особым образом поддерживаться производителями платежных терминалов.

Эту проблему попытались решить. Несколько лет назад стартап LoopPay¹ предложил комплект, в который входил считыватель карт для разъема миниджек (диаметр 3,5 мм) и особый чехол для телефона. Уникальность проекта заключалась в технологии, которая имитировала магнитную полосу карты с помощью сигнала, создаваемого устройством.

Стоит отметить, что создатели с самого начала приняли во внимание вопросы безопасного хранения данных в устройстве и защиты от заведения чужих карт. Для этого персональные данные пользователя проверялись посредством сравнения с информацией из Track банковской карты.

Разработка оказалась перспективной, и довольно скоро LoopPay был целиком приобретен² компанией Samsung. В результате через некоторое время технология MST (Magnetic Secure Transmission), на которой основывалась вся разработка, дополнила токенизированные платежи в Samsung Pay. Благодаря этому стало возможным платить с помощью смартфона не только на терминалах с поддержкой беспроводных технологий оплаты, но и на любом терминале: нужно было всего лишь поднести устройство к считывателю магнитной полосы.

Мы внимательно следили за этим проектом и можем довольно уверенно заявить, что в целом технология стала большим шагом к удобству и безопасности платежей, потому что разработчики действительно учли многие риски. Так, сохранность данных в ней обеспечивается надежным хранилищем Secure Element. Платежный режим на телефоне можно запустить только по PIN-коду или отпечатку пальца пользователя. Дополнительно устройства Samsung были оснащены встроенным решением по безопасности KNOX и базовым антивирусом. Они попросту блокируют платежные функции устройства при попадании на него вредоносного ПО.

Была продумана и защита от более серьезных вирусов-рутовальщиков. От них пользователя защищает решение KNOX Tamper Switch. Это программно-аппаратный функционал, который в случае атаки, нацеленной на повышение привилегий на устройстве, необратимо блокирует его деловые и платежные функции.

Еще одной мерой безопасности стало то, что платежный функционал поддерживают только новые и регулярно обновляемые устройства. Благодаря последнему фактору все уязвимости на них оперативно закрываются.

Наконец, при оплате Samsung Pay работает не с привязанной к аккаунту картой, а с виртуальной. И ее номер недоступен даже самому пользователю.

При всех описанных мерах безопасности оплата таким способом прекрасно работает даже без интернет-соединения.

Что осталось прежним

Разумеется, новая технология стала объектом пристального изучения для экспертов по кибербезопасности. Возможность атаки на нее, несмотря на меры безопасности, существует. Например, несколько потенциальных сценариев были представлены на конференции BlackHat USA в 2016 г. И несмотря на то что описанные атаки являются скорее возможными, чем реально существующими угрозами, эксперты не рекомендуют расслабляться.

Отличительной особенностью современных киберпреступников стало то, что они начинают искать слабые места в новых технологиях еще до того, как те становятся доступны для широкой публики. Например, к тому моменту, когда банки только собрались внедрять биометрическую аутентификацию на банкоматах, злоумышленники уже вели активную разведку. Всеми возможными способами они выясняли, у каких производителей будет закупаться оборудование и какими уязвимостями оно будет обладать. Подобным образом киберпреступники исследуют платежные технологии Apple и Samsung.

Помимо этого исследователи порой забывают про традиционное мошенничество. При входе в новый для них бизнес мобильные вендоры оказались совсем к нему не готовы. Например, беспроводные платежи существенно облегчили жизнь кардерам, причем как в онлайн-торговле, так и в обычных магазинах. Теперь им не нужно записывать данные украденной карты на свою "болванку" и рисковать, что продавец заметит подделку. Оплата товаров телефоном премиум-класса, к которому привязана краденая карта, вызывает гораздо меньше подозрений. Кроме того, можно вообще не пользоваться физическими устройствами, а просто накупить себе товаров и подарочных карт в Apple Store.

Неспроста, даже учитывая меры безопасности, принимаемые Apple, уровень финансового мошенничества в США в Apple Pay за 2015 г. составил 6%. Это в 60 раз больше карточного фрода, зарегистрированного в Америке за тот же период: данный показатель остался на уровне 0,1%.

Небезгрешен оказался и Samsung Pay. Так, компания вынуждена была принести в жертву удобству несколько важных антифрод-функций, которые разработал LoopPay. В их числе оказалась жесткая привязка аккаунта к имени владельца карты. В результате один из экспертов "Лаборатории Касперского" в ходе исследования смог легко добавить на смартфон и банковскую карту на свое имя, и карту коллеги. В изначальном решении от LoopPay это было бы невозможно.

Давайте подведем итог. Сегодня можно уверенно говорить о том, что новые токенизированные решения действительно оказались более защищенными и удобными, чем их предшественники. Но они все еще довольно далеки от совершенства с точки зрения безопасности. А когда речь идет о перспективах использования, это становится очень важным фактором. Ведь терять деньги не любят ни банки, ни их клиенты.