В отечественных банках эта планка обычно устанавливается в 1000 руб. С позиции оценки рисков сумма незначительная, однако вряд ли и с ней будет приятно расстаться по неосторожности.

«Плохим парням» с терминалами в карманах брюк требуется предпринять немало усилий для воплощения своих задумок.

Сценарий с проведением онлайн-транзакции по карте без ведома владельца уже давно выглядит привлекательным для мошенников. Безусловно, многим из них хотелось бы просто задать на POS-терминале определенную сумму и оказаться поближе к ничего не подозревающему обладателю карты. И деньги просто перекочевали бы со счета на счет, как показывают нам в популярных в последние дни ТВ-сюжетах. Но на деле не все так просто, и «плохим парням» с терминалами в карманах брюк требуется предпринять немало усилий для воплощения своих задумок. Конечно, если их интересуют не одни лишь спецэффекты, а еще и извлечение прибыли.

Поясним: для реализации подобной мошеннической схемы необходимо подключение терминала к платежной системе через банк-эквайер, регистрация организации как мерчанта и значительное количество побочных бюрократических процедур. Учитывая все это, ясно, что факт мошенничества стал бы в скором времени очевиден и неблагонадежный элемент платежной цепочки в сжатые сроки был бы исключен. Не лишним также будет добавить, что описываемые нами карты с технологией PayPass пока не очень распространены, а потенциальные риски, связанные со взятием мошенников с поличным, довольно велики. И надо быть уж совсем большим романтиком, чтобы рассчитывать на большой куш при таком раскладе.

Но расслабляться владельцам карт с PayPass не стоит. Ведь пытливые злоумышленники, которые не поленятся разобраться с технологией, могут рассчитывать на успех. Не стоит забывать про некоторые особенности работы бесконтактных платежных карт, которые потенциально могут использоваться третьими лицами с целью извлечения выгоды.

Произвести считывание на расстоянии еще никогда не было так просто: достаточно в несколько касаний экрана установить мобильное приложение.

Так, достаточно беглого взгляда на спецификацию протокола MasterCard PayPass, чтобы заметить, что еще на стадии инициализации транзакции терминал получает от карты данные, необходимые для дальнейших операций, в числе которых — PAN (номер) и дата окончания срока обслуживания карты. Учитывая, что технология базируется на популярном стандарте ISO/IEC 14443, используемом повсеместно не только для платежных систем, технически нет никаких препятствий для извлечения этой информации с помощью любого совместимого считывателя, в роли которого может выступать, например, смартфон, оснащенный интерфейсом NFC (Near Field Communication — расширение все того же ISO/IEC 14443). Произвести считывание на расстоянии еще никогда не было так просто: достаточно в несколько касаний экрана установить мобильное приложение, и устройство для получения заветных данных готово к использованию. По назначению или нет — решать обладателю. В зависимости от конфигурации, также без аутентификации, карта может предоставлять историю транзакций, включающую данные о точной дате, сумме и валюте проведения. Располагая этой информацией, несложно составить примерный профиль владельца и предположить текущий остаток по счету. А «джентльменского набора» данных, состоящего из PAN и expiration date (с учетом ряда допущений или ошибок конфигураций конкретных реализаций платежных систем), может оказаться достаточно для успешного проведения транзакции типа Card Not Present через интернет, где лимиты могут быть значительно выше стоимости заправки одного автомобиля.

Отдельные эксперты говорят и о том, что данные, извлеченные при помощи различных устройств с карт, поддерживающих бесконтактную оплату, можно использовать даже для создания карт-клонов с магнитной полосой. И пусть сейчас этот сценарий выглядит фантастическим, в будущем все может измениться. Ну а производители аксессуаров потирают руки, предсказывая увеличение спроса на кардхолдеры и кошельки со специальным покрытием, предотвращающим возможность считывания данных карты с технологией PayPass.