Почему платежный терминал может быть опаснее, чем кажется

от

«Люди думают, что их банковскую карту защищает сложная криптография и двухфакторная аутентификация. На самом деле, самая уязвимая часть системы, это момент передачи данных между пластиком и терминалом, и его безопасность часто не контролируется ни банком, ни владельцем карты.»

Не терминал, а троянский конь

Когда вы прикладываете карту или вставляете её в слот, вы передаёте доверие от эмитента карты (вашего банка) неизвестному устройству. Терминал, это шлюз, который должен лишь корректно передать данные в платёжную систему. Но как проверить, что он это делает? В стандартном процессе — никак.

Злоумышленнику не нужен доступ к серверам банка. Достаточно модифицировать прошивку терминала или подключить к нему скимминговое устройство. Такой терминал будет выглядеть и работать абсолютно обычно, но параллельно сохранит или передаст злоумышленнику данные вашей карты, включая PIN-код, если он вводился.

Данные, которые утекают в одну секунду

В момент транзакции терминал получает не просто номер карты. В зависимости от типа карты и операции, он может считать:

  • Номер карты (PAN).
  • Срок действия.
  • Имя держателя карты.
  • CVC/CVV-код (для операций CNP — Card Not Present).
  • Данные магнитной дорожки (Track 1 & Track 2), которые содержат всё вышеперечисленное в закодированном виде.
  • PIN-код, зашифрованный клавиатурой терминала (PIN Block).
  • Криптограмму для бесконтактных платежей (данные EMV-чипа).

Полного набора этих данных достаточно для создания дубликата карты (клонирования) или для проведения мошеннических операций в интернете.

Почему защита чипа EMV — не панацея

Бесконтактная оплата или оплата чипом (EMV) считается безопаснее магнитной полосы из-за динамической криптографии. Каждая транзакция генерирует уникальный код, что теоретически защищает от повторного использования данных. Однако, атаки возможны и здесь.

Техника, известная как «атака прерыванием» (Interruption Attack), позволяет перехватить диалог между картой и терминалом. После считывания данных чипа мошеннический терминал может сообщить карте об ошибке связи, предложив, например, использовать менее защищённую магнитную полосу. Владелец, видя, что оплата «не прошла», может повторить операцию, не подозревая, что данные уже считаны.

Более того, существуют устройства, способные считывать чип бесконтактно на расстоянии (от 5 до 15 см) через одежду или сумку, если карта не защищена экранирующим материалом.

Угроза, о которой не говорят: инфраструктура точки продаж

Даже если терминал легален, безопасность всей точки продаж (POS-системы) может быть скомпрометирована. Кассовый компьютер, к которому подключён терминал, может быть заражён POS-троянцем. Такой вирус работает в памяти, выискивая и выгружая данные карт в момент их обработки, уже после считывания терминалом, но до шифрования для передачи в банк.

Особенно высок риск в местах, где используется устаревшее или нелицензионное ПО, нет регулярных проверок безопасности и обновлений.

Как снизить риски: практические шаги

Полностью исключить риск нельзя, но можно его минимизировать до приемлемого уровня.

Приоритет способа оплаты

Используйте иерархию, где каждый следующий способ условно безопаснее предыдущего:

  1. Платежные системы на телефоне (Apple Pay, Google Pay, Mir Pay). Самый безопасный вариант. Здесь номер вашей карты не передаётся терминалу. Вместо него используется уникальный токен (виртуальный номер), а аутентификация проходит через биометрию или код телефона.
  2. Бесконтактная оплата самой картой (PayPass/PayWave). Используется динамическая криптограмма чипа EMV. Риск клонирования карты минимален, но сохраняется риск бесконтактного считывания.
  3. Оплата чипом с вводом PIN-кода. Стандартная EMV-оплата. Защищает от клонирования, но подвержена риску компрометации PIN-кода через скиммер клавиатуры.
  4. Магнитная полоса. Наиболее уязвимый метод. Данные на полосе статичны и легко копируются. Используйте его только в крайнем случае, если другие методы недоступны.

Поведенческие привычки

  • Визуальный осмотр терминала. Перед оплатой осмотрите устройство. Слишком громоздкая или неровная клавиатура, непонятные дополнительные накладки, посторонние провода — тревожные признаки.
  • Не выпускайте карту из поля зрения. По возможности проводите операцию сами. Отказ продавца позволить вам приложить карту — повод насторожиться.
  • Используйте карты с лимитами. Для повседневных трат заведите отдельную карту с ограниченным лимитом или виртуальную карту, которую можно быстро заблокировать в приложении.
  • Включите уведомления. SMS или push-уведомления о любой операции позволят мгновенно среагировать на несанкционированный платёж.
  • Защита от RFID-считывания. Если карта поддерживает бесконтактную оплату, храните её в экранирующем кошельке или чехле.

Если сомневаетесь в безопасности — платите наличными

Это не шаг назад, а рациональная оценка риска. В незнакомом месте, особенно за границей или в небольшом частном заведении, где сложно оценить надёжность инфраструктуры, наличный расчёт снимает все технические риски, связанные с цифровыми данными вашей карты. Это решение сводит угрозу к классическому карманному воровству, от которого защититься проще.

Что делать, если подозреваете компрометацию

Действуйте немедленно и по порядку:

  1. Немедленно заблокируйте карту через мобильное приложение банка или по телефону горячей линии.
  2. Проверьте историю операций на наличие несанкционированных списаний.
  3. Напишите заявление в банк на оспаривание подозрительных операций. По закону, клиент не несёт ответственности за операции, совершённые после уведомления банка об утере или хищении карты.
  4. Подайте заявление в полицию, если сумма мошенничества значительна. Это поможет банку в расследовании и может стать основанием для страховой выплаты.

Платежные технологии развиваются, но злоумышленники адаптируются быстрее регуляторов и банков. Понимание того, как именно данные покидают вашу карту в момент оплаты, превращает абстрактный «риск мошенничества» в конкретные уязвимости, которые можно отслеживать и минимизировать осознанными действиями.

Оставьте комментарий