По мнению эксперта по безопасности, баланс между платежами с телефонов и стандартами безопасности, необходимыми для защиты этих транзакций, слишком сильно изменился в неправильном направлении. На сессии в Black Hat Europe 2021 Тимур Юнусов, старший эксперт по безопасности в Positive Technologies, пояснил недостатки в приложениях для бесконтактных платежей, которые могут привести к мошенничеству с использованием потерянных или украденных мобильных телефонов.
Юнусов специализируется на безопасности платежей и приложений. По словам Юнусова, ключом к этому мошенничеству является удобство оплаты билетов на метро и автобусы без разблокировки телефона. Пользователи в США, Великобритании, Китае и Японии могут добавить платежную карту на смартфон и активировать ее как транспортную карту.
«Для осуществления атаки смартфоны с Samsung Pay и Apple Pay должны быть зарегистрированы в этих странах, но карты могут быть выпущены в любом другом регионе, — сказал Юнусов. — Украденные телефоны также можно использовать в любом месте, и то же самое возможно с Google Pay».
Юнусов и другие исследователи Positive Technologies протестировали серию платежей, чтобы увидеть, сколько денег можно потратить на одну транзакцию с помощью этого метода. Они остановились на 101 фунте.
Даже последние модели iPhone позволяли совершать платежи в любом POS-терминале, даже если батарея телефона разрядилась. При условии, что телефон использовал карту Visa для оплаты и включил режим экспресс-транзита.
В Positive Technologies заявили, что Apple, Google и Samsung были уведомлены об обнаруженных уязвимостях в марте, январе и апреле 2021 года соответственно. Эти компании заявили, что не планируют вносить любые изменения в свои системы, но попросили разрешения поделиться выводами и отчетами с платежными системами.
«Единственная проблема заключается в том, что сейчас крупным компаниям, таким как MasterCard, Visa и AMEX, не нужно следовать этим стандартам, когда мы говорим о платежи NFC – эти компании разошлись в начале 2010-х годов, и теперь все здесь делают то, что хотят», — сказал он.
Программы Apple Pay, Google Pay и Samsung Pay уязвимы для этой угрозы. По словам Юнусова, похоже, есть разница, если человек использует карту Visa для оплаты вместо Mastercard или American Express.
«MasterCard решила, что ODA является важной частью их механизмов безопасности, и будет придерживаться этого, — сказал он. — Поэтому все терминалы по всему миру, принимают карты MC, должны выполнять ODA, и если это не удастся, транзакция NFC должна быть отклонена».
По словам Юнусова, Visa не использует эту проверку ODA во всех терминалах торговых точек.
Представитель Visa заявил в ответ, что карты Visa, подключенных к мобильным кошелькам с функциями транзита, безопасны и что большинство схем бесконтактного мошенничества изучались в лабораторных условиях больше десяти лет и оказались непрактичными для масштабирования в реальном мире.
«Для защиты платежей используются несколько уровней безопасности, и потребители получают выгоду от гарантии нулевой ответственности Visa, — сказал пресс-секретарь. — Visa серьезно относится ко всем угрозам безопасности и постоянно развивает свои возможности по обеспечению безопасности платежей, чтобы защитить держателей карт от новейших угроз реального мира».
Юнусов сказал, что производители телефонов и платежные компании должны работать вместе, чтобы устранить эту уязвимость. На самом деле Apple и Samsung переложили ответственность на Visa и MasterCard, сказал он, хотя проблема не в продуктах платежных компаний.
Мобильные кошельки находятся в выгодном положении — с одной стороны, платежные компании зарабатывают деньги на транзакциях и популяризируют свои продукты, — сказал Юнусов. — С другой стороны, они говорят клиентам, если есть какое-либо мошенничество, связаться с банком-эмитентом, чтобы спросить, почему они разрешили платеж».
Юнусов сказал, что решение проблемы заключается в том, чтобы учитывать цену, код продавца и статус телефона для каждой транзакции.
«Если оплата составляет 0,00 доллара, телефон заблокирован, а код MCC — транспорт, это законная транзакция, когда кто-то платит в метро. Но если платеж составляет 100 долларов, телефон был разблокирован, а MCC — супермаркет, это подозрительно, — говорит он. — Потому что клиенты не должны платить в супермаркетах без разблокировки телефона.
