Евгений Золотов

(Не)безопасность пластиковых карт всегда была темой горячей, но с распространением карт бесконтактных переросла в настоящую фобию - не хуже фобии ГМО, «телефонов-убийц», выжигающего мозги Wi-Fi и тому подобного. Если вдруг вы не слышали, многие и очень многие уверены, что бесконтактный «пластик», которым так легко оплатить покупку в магазине (провёл рядом с терминалом - и готово! Пин-код вводить не требуется), так же легко отдаёт деньги и «злобным хакерам». Популярная пресса подогревает истерию, не вдаваясь в детали. Страшные истории сменяют одна другую: если несколько лет назад этим забавлялись исследователи на security-конференциях, теперь уже настоящие воры, якобы, опустошают «кошельки» в общественном транспорте, просто проходя рядом с жертвами. Что там, на днях промелькнуло сообщение об устройстве для «мелкосерийного» клонирования бесконтактных карт - аж по 15 штук в секунду!

При всём при этом у здравомыслящих людей болтается где-то мысль, что всё это - именно беспричинная фобия, паранойя (карты на рынке уже полтора десятилетия, а конец света так и не наступил). Но чтобы подозрение подтвердить, надо углубиться в технические вопросы, на что времени всегда не хватает. Так давайте сделаем это вместе.

Бесконтактные карты бывают разными, отнюдь не только банковскими: для удостоверения личности, проезда в общественном транспорте и т.п. Однако то, что лежит в бумажниках большинства (в том числе россиян) - это кредитные или дебетовые банковские карты, произведённые с опорой на стандарт ISO/IEC 14443. Стандарт этот предполагает использование в качестве канала связи протокола NFC (цифровой радиообмен на частоте 13.56 МГц). Приёмник лишён источника питания и работает за счёт энергии, наводимой в антенне, спрятанной внутри карты же. Этого хватает, чтобы принять и передать некоторый небольшой объём информации. NFC - медленный протокол (десятки килобайт в секунду), но в данном случае много и не требуется. Карты VISA payWave, MasterCard PayPass и отечественная «Мир» работают именно так.

А главная проблема бесконтактного «пластика» не в технологиях, а в поверхностном понимании принципа их работы. Стараясь максимально облегчить обывателям адаптацию к новому продукту, маркетологи втолковали им, что провести пластиковой картой с магнитной полосой по считывающему устройству и сделать бесконтактный «клик» по NFC-терминалу - это одно и то же. Так что люди, особенно в странах, где культура пользования «пластиком» насчитывает не одно десятилетие (магнитный стрип - детище 70-х), не видят функциональной разницы между тем и другим. И рассуждают примерно так: раньше карту нужно было достать из бумажника, теперь же вор может просто пройти рядом со мной и, даже не касаясь, украсть с моей кредитки всю информацию!

Что ж, отчасти это и в самом деле так, но лишь отчасти. Вы тоже можете попробовать себя в роли такого «высокотехнологичного вора». Для этого не придётся ничего паять и даже покупать нелегальный карт-ридер. Достаточно современного смартфона с поддержкой NFC. Установите любое из многочисленных приложений для чтения NFC-меток (NFC Basic, Banking Card Reader и др.), приложите карту к телефону, и - вуаля, данные «украдены». Тонкость в том, что это за данные.

В открытом виде бесконтактные банковские карты хранят лишь номер, дату экспирации, реже имя пользователя и историю транзакций. Формально этого уже достаточно, чтобы воспользоваться вашей картой без вашего ведома, например, для покупки чего-нибудь через интернет: не все интернет-магазины требуют CVV-код, размещённый на обороте карты (но не записываемый в память). Так что - да, это повод для тревоги.

Но вот «клонировать» карту полноценно (записать информацию на чистую карту-болванку и использовать её в обычных магазинах без ограничений), что обещают продавцы устройств вроде упоминавшегося нелегального высокоскоростного карт-ридера (всего-то за $800!), таким образом не удастся. Почему? Потому что любая офлайновая транзакция предполагает общение между, грубо говоря, кассовым аппаратом и чипом карты, причём на каждый такой сеанс чип генерирует одноразовый ключ с использованием стойкого крипто. Чтобы клонировать вашу карту, необходимо вытащить из неё криптоключи - а сделать это через NFC невозможно.

Реальных способов эксплуатировать бесконтактную карту всего два. Во-первых, вор может обзавестись собственным PoS-терминалом с поддержкой бесконтактных карт. Спрятав такой в сумке, он и правда может ходить по людным местам и инициировать покупки, когда рядом оказывается чья-то карта. Однако вычислить имя мошенника в таком случае не составит труда (все терминалы регистрируются в органах), да и размер бесконтактной транзакции, не требующей пин-кода, ограничен некоторой небольшой суммой.

Во-вторых, вор может использовать схему ретрансляции радиосигнала - воспользовавшись опытом «коллег», угоняющих таким образом автомобили. Здесь потребуются два вспомогательных NFC-устройства. Первое должно находиться рядом с картой жертвы, второе - в месте совершения покупки, скажем, рядом с кассой в магазине. В качестве таких устройств могут выступать, например, смартфоны, поддерживающие NFC. Касса инициирует продажу, второй смартфон транслирует NFC-сигнал на первый, тот передаёт его карте, и по той же цепочке информация возвращается обратно. Жертва ничего не заметила, а покупка совершена. Сложности, впрочем, очевидны. Необходим специальный софт, которого пока, насколько известно, не существует. Плюс опять-таки размер транзакции ограничен.

Что в итоге? Клонировать бесконтактную карту невозможно. Украсть с неё, находясь рядом, можно лишь незначительную сумму. Так что истории про несчастных, «потерявших тысячи долларов в один момент, не извлекая карту из кармана», либо выдумки, либо заблуждения (вероятно, карта была скомпрометирована иначе).

Единственной реальной угрозой остаётся похищение номера карты и использование его для несанкционированных покупок через Сеть. Риск на самом деле невелик: вор должен подобраться к вам слишком близко, плюс в развитых странах банк обязан отменить такую транзакцию по первому требованию, а сумму возместить.