Предотвратят ли радиочастотные технологии кражи с банковских карт?

NFC-технология постепенно приобретает признание, ее многочисленные возможности представляются весьма привлекательными, поэтому компании AT & T, Verizon и T-Mobile в 2011 году организовали совместное предприятие под названием «ISIS» с целью создания единой архитектуры, которая позволит клиентам совершать платежи. Одним из ключевых преимуществ является возможность смартфонов и других беспроводных устройств работать как кредитные карты, что в перспективе может сократить использование последних для совершения платежей.
669

Массовая атака на серверы компании Target показала, что какой бы надежной ни была система безопасности, ее можно взломать. Это же подтолкнуло к развитию средств защиты современных платежных систем.

По мнению большинства, многоуровневая система защиты Target обеспечивала степень надежности выше, чем этого требовали Visa и MasterCard. Но злоумышленники выбрали путь, продемонстрировавший уязвимость кредитных карт с магнитной полосой, и тем самым подвели общество к использованию бесконтактных способов оплаты. В связи со случившимся Visa, MasterCard и American Express потребовали, чтобы представители розничных торговых сетей внедрили считыватели смарт-карт к октябрю 2015 года. Те, кто не был готов реализовать проект, должны были нести полную ответственность за потерю средств клиентов в случае мошенничества.

В действительности смарт-карты (карты со встроенными микросхемами, которые содержат зашифрованную информацию и обеспечивают ее безопасную обработку, но по-прежнему требуют контакта) использовались в развитых странах с 1983 года и значительно сократили кражи. К реорганизации платежных систем в США шли очень долго. Даже потери банков и клиентов, составившие более $ 12 млрд. в 2013 году, не ускорили процесс, так как они были сопоставимы со стоимостью обновления платежных терминалов. Но ситуация c компанией Target словно открыла ящик Пандоры: карты сами по себе не были объектом атаки, и полученная информация, закодированная с использованием 128-битного шифра, была бесполезна для взломщиков, зато это проникновение дало мощный толчок к переходу на передовые платежные системы.

Однако даже огромный шаг вперед - распространение смарт-карт - не остановил дальнейшего развития технологии. Наиболее современные варианты представлены бесконтактными картами, которые используют беспроводной обмен данными и не требуют соприкосновения со считывателем, а также смартфонами с NFC-технологией (Near Field Communication), позволяющими исключить применение карт как таковых. Платежные технологии развиваются, но удивительным остается тот факт, что в обсуждениях атаки на Target умалчивается, что не карты были корнем проблемы.

Карты не виноваты

Злоумышленник, который совершил атаку, установил на платежные терминалы вредоносную программу, которая мгновенно считывала данные при выполнении операции. Но вирус попал на устройства через корпоративный Интернет-сервер Target. Надежно засев в сети, он создал свой собственный сервер контроля работы компании, где предполагалось хранение полученных данных до тех пор, пока они не будут выгружены преступником.

Из сорока с лишним антивирусных инструментов, которые компания использовала для сканирования потенциально опасных программ, ни один не обнаружил вмешательства или не посчитал его вредоносным. Программное обеспечение, называемое BlackPOS, было разработано для обхода файерволов и самоустановки на POS-терминалах и приобретено за $ 2 тыс. на форуме киберпреступников. Иными словами, точкой входа были корпоративные серверы, а не терминалы оплаты, злоумышленники проникли скорее через «заднюю дверь», чем через «парадный вход».

Все терминалы оплаты собирают информацию независимо от того, проводит клиент картой через магнитную ленту или прикладывает ее к считывателю. Отсюда вопрос: что делает бесконтактные карты более безопасными, и возможно ли достичь с их помощью сокращения числа краж денежных средств? В случае с сетью Target, очевидно, ответ – нет, но такие карты несомненно будут значительно эффективнее для предотвращения краж, преимущественно совершаемых непосредственно на самих терминалах. Чтобы понять, на какой ступени по обеспечению безопасности платежей сегодня стоят США, стоит взглянуть на существующие альтернативы карт с магнитной полосой – смарт-карты, бесконтактные карты и NFC-карты, а также - на RFID-технологии, отличающиеся от всего вышеперечисленного.

Не так уж и умны

В пассивных RFID-системах (наиболее распространенный тип) считывающие устройства передают слабый сигнал, который улавливается петлевой антенной карты. Он преобразуется в небольшое количество энергии, которая используется в обратном сообщении для идентификации карты. Система контроля для распознавания сопоставляет код идентификации с информацией в базе данных. В этом смысле RFID и бесконтактные платежные системы имеют два основных общих принципа: используют беспроводную технологию для предотвращения физического контакта между считывающим устройством и картой, а также объединяют интегральную схему и память хранения данных. На этом сходства заканчиваются. Отличительные признаки:

  • Пассивные RFID-метки недороги, поэтому идеально подходят для массового использования. Активные RFID-устройства имеют встроенную батарею и могут отправить больше информации, но и стоят значительно дороже, поэтому они получили меньшее распространение.
  • RFID-теги отличаются невысоким уровнем интеллектуальной нагрузки, в то время как и контактные, и бесконтактные смарт-карты имеют встроенные устройства безопасности: микропроцессор, память хранения данных и криптографический процессор.
  • RFID-теги могут быть считаны на расстоянии от 15 см (пассивные) и до более чем 200 м (активные) от считывающего устройства, в то время как бесконтактные карты могут быть прочитаны на расстоянии около 5 см.

Разумеется, RFID-технологии развивают, чтобы использовать там, где могут быть максимально задействованы их сильные стороны, например, в паспортах, которые содержат фото владельцев. В 2005 году компания Walmart потребовала от сотни топовых поставщиков, чтобы те ставили RFID-теги на коробках и палетах с продуктами, которые приходят дистрибьюторам (позже эта инициатива распространилась на всех поставщиков). Компания отметила, что благодаря RFID-тегам появилась возможность пополнять склады недостающим товаром втрое быстрее, чем до реализации программы.

Министерство обороны США последовало этому примеру, и сегодня пассивные RFID-элементы широко применяются в различных областях.

Таким образом, ограниченные возможности в обеспечении безопасности не позволили внедрить RFID-системы в обработку платежных операций, но они широко распространились в сфере отслеживания перемещений.

Смарт-карты

Смарт-картыЗдесь следует упомянуть и о смарт-картах, так как они первыми были спроектированы для транзакций с более высоким уровнем защиты, чем у обычных магнитных карт. Смарт-карты обеспечивают основные функции безопасности: криптографическую аутентификацию с симметричным шифрованием DES, с симметричным блочным шифром 3DES или криптографическое шифрование с открытым ключом длиной до 1024 бит.

В смарт-карты встроена микросхема, интегрирующая память и микропроцессор. Восемь открытых контактных площадок обеспечивают доступ к питанию, позволяют осуществить обработку данных считывающим устройством и реализуют обмен данными. Встроенный процессор, который сегодня представлен 32-битным устройством c RISC-архитектурой и может быть разогнан до 32 МГц, выполняет задачи и контролирует поток данных от карты к считывающему устройству и наоборот. Кроме того, в карте присутствуют 3 типа памяти: ПЗУ для постоянного хранения инструкций, ОЗУ для временного хранения и E-PROM для запуска приложений.

Бесконтактные карты

Бесконтактные карты содержат те же сигналы и сохраняют тот же уровень безопасности, что и смарт-карты, но электрические контакты заменены на радиочастотный блок, аналогичный тому, что используется в RFID и исключает физический контакт со считывающим устройством. Дополнительная безопасность обеспечивается тем фактом, что нет необходимости вводить ПИН-код при каждой операции, терминал оплаты запрашивает его лишь после определенного количества транзакций.

Сумма каждой операции ограничена и на сегодняшний день довольно невысока. Впервые бесконтактные карты были использованы в качестве электронных билетов в Корее в 1995 году. Многие американцы знают систему Exxon’s Speedpass, которая была распространена в конце 90-х и используется вплоть до сегодняшнего дня на многих заправочных станциях ExxonMobil. Бесконтактная технология уже внедрена MasterCard, Citibank, JPMorgan Chase и многими другими компаниями. Современные примеры – это PayWave от Visa, ExpressPay от American Express и PayPass-система от MasterCard.

Беспроводная передача данных малого радиуса действия (NFC)

Еще один представитель систем без физического контакта со считывателем - это система беспроводной передачи данных малого радиуса действия - NFC. Обычно эта технология встречается в смартфонах или планшетах с целью реализации принципов бесконтактных карт в отсутствие самих карт. NFC была разработана под руководством NFC-форума – организации, созданной в 2004 году компаниями NXP, Sony и Nokia. Немаловажную роль сыграла и ассоциация GSMA, определившая структуру GSMA NFC-стандарта и развивающая эту технологию для будущего беспроводного мира.

Технология NFC и ее стандарты постоянно совершенствуются. Так, Google внедрил в Android 4.4 (KitKat) собственную разработку Host Card Emulation (HCE), не соответствующую стандартам GSMA. Первый смартфон, поддерживающий PayPass или PayWave, стал доступен в 2011 году, и с тех пор технология NFC доступна уже во многих устройствах. В феврале 2017 года Mastercard анонсировал совместный проект компаний EE, Telefónica UK и Vodafone UK, направленный на продвижение беспроводной передачи данных NFC и реализацию этой технологии как универсальной платежной платформы в Европе.

В технологии NFC применены принципы и других бесконтактных систем, например, у RFID-технологии заимствована магнитная индукция между петлевыми антеннами. Расположенные близко друг к другу антенны образуют электрическое поле, вырабатывающее напряжение. Технология NFC работает в свободном ISM- (Industrial, Scientific and Medical) диапазоне на волне 13,56 МГц и теоретически может действовать на расстоянии около 20 см (8"), но на практике это величина порядка 5 см (2") и даже меньше.

Кроме того, NFC-технология отличается от технологии смарт-карт тем, что в ней возможно двустороннее общение между устройствами, а также за счет производительности смартфона реализованы более высокая степень безопасности и возможность шифрования, что раньше ограничивалось размером смарт-карты. Например, Android Beam от Google для проведения транзакций или передачи файла использует Bluetooth телефона. В качестве еще одного примера использования возможностей смартфона в беспроводной технологии служит технология S-Beam, реализованная в серии Galaxy от Samsung: здесь передача данных осуществляется через Wi-Fi. Это намного быстрее, чем Bluetooth: скорость может достигать 300 Мбайт/с, что значительно ускоряет обмен данными.

В свою очередь PayPal решил пойти своим путем, отказавшись от NFC-технологии и назвав ее при этом, по словам президента компании Дэвида Маркуса (David Marcus), технологией, которая провалится, не завоевав признания в массах, и медленно погибнет в 2013 году. Теперь очевидно, что разработчики PayPal заблуждались. Тем не менее, в сервисах Beacon PayPal использует BLE-технологию на базе Bluetooth. Beacon позволяет пользователям платить без смартфона или карты. Для этого точки розничной торговли приобретают электронный USB-ключ ценой 100 $, вставляемый в их терминал оплаты, и потребителю, на чьем телефоне доступно приложение Beacon, в качестве одного из способов оплаты предлагается PayPal.

Приложение не обязательно должно быть запущено на телефоне, и информация о местоположении также не требуется. Оно позволяет потребителю, для еще большего упрощения процесса оплаты, хранить в смартфоне базу данных о точках розничной торговли. Эта технология превзошла используемые сегодня платежные системы, которые каждый раз требуют запустить приложение PayPal и проверить продавца.

NFC-технологияNFC-технология полезна не только для платежных операций, но и для программ лояльности, прохождения контрольных пунктов и других подобных применений. Например, HCE от Google позволяет любым приложениям на Android 4.4 сымитировать смарт-карту, и пользователь может легко открыть приложение и провести транзакцию. Кроме того, это открывает широкие возможности для обмена контактами, фото и данными больших размеров, а также для развития многопользовательских мобильных игр.

Пока NFC-технология постепенно приобретает признание, ее многочисленные возможности представляются весьма привлекательными, поэтому компании AT & T, Verizon и T-Mobile в 2011 году организовали совместное предприятие под названием «ISIS» с целью создания единой архитектуры, которая позволит клиентам совершать платежи. Одним из ключевых преимуществ является возможность смартфонов и других беспроводных устройств работать как кредитные карты, что в перспективе может сократить использование последних для совершения платежей. Однако наиболее вероятно удобное сосуществование бесконтактных карт и беспроводных устройств с NFC-чипами, ведь не все будут готовы сразу отказаться от привычного пластика в пользу своих гаджетов с системой «все включено».

Заключение

NFC-технология стала частью повседневности, когда системе бесконтактной оплаты пришло время сменить карты с магнитной полосой. Существуют определенные преимущества в обеспечении безопасности, которые можно реализовать с помощью смарт-карт, беспроводных карт и телефонов со встроенным NFC-чипом, что сократит случаи хищения денежных средств. Тем не менее, инцидент в сети Target показал, что для борьбы с мошенничеством нет панацеи, поскольку злоумышленники легко проникли в корпоративную сеть.

Так как бесконтактная система оплаты становится все более популярной, хакеры направят усилия на поиск ее слабых мест для использования в своих целях, как когда-то уже сделали с Интернетом и персональными компьютерами. Тем не менее, как только окупится стоимость обновления платежных систем, потребители, банки, кредитные организации и точки розничной торговли получат существенный выигрыш за счет повышения безопасности платежных операций.

Журнал: ELECTRONICS INFORMATION UPDATE, август 2017 г.