Как мошенники могут списать деньги с заблокированного телефона в толпе

от

«Люди думают, что NFC-кража, это миф или требует ‘касания’ телефона. На деле всё иначе: деньги могут списать, когда телефон лежит в кармане, а экран заблокирован. Злоумышленнику достаточно проехать с вами одну остановку в переполненном вагоне метро.»

Как работает бесконтактная оплата и где её слабое место

NFC, это не просто беспроводная антенна. Это протокол для двустороннего обмена данными, где в режиме эмуляции карты ваш смартфон пассивен и постоянно слушает эфир. Он не ищет терминал — он ждёт, пока к нему обратятся. Для удобства оплаты в транспорте или у турникета этот режим часто работает даже на заблокированном экране. Платёжное приложение или система (Android HCE, Apple Wallet) создают виртуальный образ карты, готовый ответить на любой запрос, похожий на запрос от терминала.

Уязвимость кроется в самой логике протокола. Смартфон не может отличить легитимный платёжный терминал в магазине от специально запрограммированного устройства в руках злоумышленника. Он реагирует на технически корректный запрос. Стандарты вроде EMV защищают от повторного использования одноразовых кодов для списания, но не защищают от самого факта несанкционированного диалога и считывания данных карты.

Сценарии атак: от сбора данных до моментального списания

Пассивное считывание (NFC Skimming)

Цель — не списать деньги здесь и сейчас, а получить все данные виртуальной карты: её номер, срок действия, имя держателя (если передаётся) и самое главное — криптографические токены для проведения транзакций. Для этого используется компактный NFC-считыватель. Его маскируют под обычные предметы: пауэрбанк, корпус телефона, книгу или просто держат в руке в кармане.

При успешном считывании эти данные используют для последующих атак:

  • Онлайн-покупки на сайтах, где не требуется дополнительная аутентификация (например, 3-D Secure).
  • Создание физического клона карты для оплаты в терминалах, которые не запрашивают CVC/CVV.
  • Целевой фишинг, когда мошенники, зная данные карты и имя владельца, представляются сотрудниками банка для получения кодов подтверждения.

Активное списание средств

Более сложный, но технически реализуемый сценарий. Используется портативный POS-терминал или смартфон с ПО для его эмуляции. На нём выставляется сумма, не требующая ввода PIN-кода — обычно до 1000-1500 рублей, в зависимости от банка и лимитов карты.

В давке, в дверях транспорта или в лифте злоумышленник ненадолго подносит такое устройство к карману или сумке жертвы. Если связь устанавливается, происходит списание. В шуме и суете можно не услышать звуковое уведомление или не заметить моментальный пуш от банка. Звонок службы безопасности банка может прийти с задержкой.

Основная сложность для злоумышленника — обеспечить стабильный контакт на 1-2 секунды в динамичной обстановке, что делает такие атки скорее целевыми, чем массовыми.

Миф о безопасности заблокированного экрана

Многие уверены, что при заблокированном экране NFC-модуль полностью неактивен. На практике всё зависит от модели смартфона и его настроек.

  • Смартфоны на Android: Многие производители в погоне за удобством разрешают работу Host Card Emulation (HCE) на заблокированном устройстве. Это касается как платёжных сервисов, так и транспортных приложений. Проверка отключена по умолчанию. Соответствующая настройка часто скрыта глубоко в «Настройках NFC и оплаты» или в самом Google Pay/Samsung Pay.
  • iPhone: Apple жёстче подходит к безопасности. Для использования Apple Pay всегда требуется предварительная аутентификация (Face ID, Touch ID, код). Однако после первой успешной аутентификации в течение дня некоторые транзакции (например, в транспорте) могут проходить без повторного подтверждения. Режим «Экспресс-карта» для проезда в метро работает всегда, что создаёт потенциальный вектор для атаки.

заблокированный экран, это серьёзный, но не непреодолимый барьер. Риск снижается, но не исчезает.

Как защититься: настройки и привычки

Отказываться от бесконтактных платежей не нужно. Достаточно внедрить несколько практических мер.

Настройка устройства

  1. Отключайте NFC, когда не пользуетесь. Самый эффективный способ. Добавьте переключатель NFC в панель быстрых настроек (шторку) для удобства.
  2. Включите обязательное подтверждение для оплаты. В настройках вашего платёжного приложения (Google Pay, Samsung Pay и др.) найдите пункт вроде «Подтверждение оплаты» или «Безопасность» и активируйте обязательную разблокировку устройства для каждой транзакции.
  3. Используйте фирменные функции защиты. Некоторые оболочки Android имеют режимы «защищённый карман» или аналогичные, которые с помощью датчика приближения автоматически отключают NFC, когда телефон находится в кармане.

Поведение в общественных местах

  • Носите телефон во внутреннем кармане куртки или в сумке, которую держите перед собой. Несколько слоёв ткани и расстояние от края кармана значительно ослабляют сигнал.
  • Будьте внимательны в толпе. Беспричинное сближение, особенно в условиях давки, — повод насторожиться.
  • Включите в приложении банка уведомления о всех операциях без исключения по сумме. Моментальное пуш-уведомление — ваш главный инструмент для быстрой реакции.

Если произошло списание: план действий

  1. Немедленно отключите NFC и переведите телефон в авиарежим, чтобы разорвать любую потенциально активную сессию.
  2. Позвоните в банк по официальному номеру (найденному на сайте или на обороте вашей физической карты, а не из подозрительного СМС). Заблокируйте именно ту виртуальную карту, с которой произошло списание. Важно: блокировка виртуальной карты в платёжном сервисе не блокирует вашу основную физическую карту.
  3. Оформите заявление о несогласии с операцией. Сделайте это через приложение банка или в отделении. По регламентам Национальной платёжной системы банк обязан провести проверку.
  4. После инцидента перевыпустите виртуальную карту. Удалите старую из платёжного приложения и привяжите карту заново. Это приведёт к генерации новых токенов, и старые данные станут бесполезны.

Эволюция защиты: что ждёт технологию

Индустрия движется от реактивных мер к встроенной, контекстной безопасности.

  • Обязательное подтверждение для каждой транзакции становится стандартом de facto, постепенно отменяя лимиты на оплату без PIN.
  • Поведенческий анализ. Платёжное ПО начинает учитывать контекст: неподвижен ли телефон (лежит в кармане), активен ли экран, запущено ли другое приложение. Аномальное поведение (запрос из толпы при выключенном экране) может блокировать операцию.
  • Технологии точного позиционирования. Перспективные решения на базе Ultra-Wideband (UWB) позволят смартфону с высокой точностью определять расстояние и угол до «терминала». Устройство сможет понять, что запрос исходит сбоку из кармана прохожего, а не прямо перед экраном у кассы, и отклонить его.

Пока эти решения не стали повсеместными, ваша безопасность зависит от осознанности. NFC — не дыра в безопасности, а инструмент, которым нужно уметь пользоваться. Его риски контролируемы, если понимать их природу.

Оставьте комментарий