Можно ли украсть деньги по воздуху

Корреспондент "КП" в Украине" проверил, могут ли в транспорте снять деньги с вашей бесконтактной карты.

Пока вы стоите у кофейного прилавка, стоящий сзади может незаметно списать с вашей карточки деньги. Фото: Михаил ФРОЛОВ

Не так давно по Сети ходили фото молодого человека, который ехал в метро с беспроводным терминалом для оплаты платежными картами. Тут же у многих граждан проснулась их внутренняя паранойя, и они решили, что это мошенник, который прикладывает аппарат к сумкам граждан, чтобы списать с бесконтактных карт сумму, для перечисления которой не требуется пин-код. 

Удобная технология

Карты с поддержкой бесконтактных платежей  уже не редкость в Украине. Терминалы, которые позволяют самостоятельно прикладывать к ним карту, не передавая ее в руки кассиру, есть почти в каждом крупном столичном магазине. Более того, самые продвинутые пользователи уже оплачивают покупки при помощи смартфонов. Удобно же!

Но у любой технологии должна быть и обратная сторона. На днях мой коллега увидел в Сети фотографию, на которой молодой человек едет в метро с беспроводным терминалом для оплаты платежными картами.

- Это ж он может подойти ко мне, приложить такой терминал к сумке, где у меня кошелек с бесконтактной карточкой, и снять какую-то сумму, - предположил он. - А я даже не замечу, мне последнее время сообщения о списании сумм при покупке приходят не через SMS, а как сообщения в приложении, которое я открываю даже не каждый день. Вот пройдет такой человек по вагону трамвая, поприкладывает терминал к сумкам граждан и соберет с каждого по 99,99 грн. Как защититься от этого?

Действительно, в теории платежи до 100 грн. проводятся без введения пин-кода, поэтому опасения коллеги совсем не беспочвенны. Мы решили проверить, можно ли при помощи такого терминала снять деньги.

Эксперименты

Для того чтобы провести эксперименты, мы несколько дней приставали к продавцам и кассирам всех окрестных магазинов, где установлены терминалы для бесконтактной оплаты, а также к продавцу кофе, у которого тоже был такой аппарат. И вот что получилось.

Эксперимент № 1

Кладем карту во внешний кармашек кошелька, кошелек прикладываем к аппарату. Проходит 2 секунды, и тот выдает чек. Покупка совершена. 

Эксперимент № 2

Усложняем задачу. Разворачиваем кошелек другой стороной и кладем в сумку. При этом в кошельке лежат несколько скидочных карт и пачка купюр, плюс отделение для мелочи тоже заполнено. Бумажник имеет очень солидный вид, и если его положить в сумку, то расстояние до считывающего устройства составляет не менее 5 сантиметров. Да еще и сколько преград на пути к сигналу. Прикладываем, проходит секунда, и аппарат снова выдает чек. То есть виртуальный преступник нас снова обокрал.

Эксперимент № 3

Продолжаем усложнять задачу. Отгораживаем кошелек увесистым ежегодником - кассовому аппарату такая преграда нипочем. Добавляем еще две книги. И тут оповещения не последовало: аппарат "не дотянулся" до карты. То есть для того, чтобы карта была в безопасности, от нее до терминала должно быть минимум 8 см, да еще на пути нужны преграды.

Эксперимент № 4

Мы опробовали карты разных банков. И все они с легкостью отдали наши деньги. Но был нюанс: в кошельке лежала только одна карта. Мы решили запутать мошенников: положили в бумажник два пластика. И что же? Трюк удался! "Поднесите одну карту", - растерялся приборчик. 

Карточки бесконтактной оплаты модные, но очень опасные. Фото: Михаил ФРОЛОВ

От теории к практике

Казалось бы, очень просто ходить и воровать деньги с карт ничего не подозревающих граждан. Иди по маршрутке с таким прибором в сумке и собирай деньги, как минимум у половины пассажиров явно в сумках будут бесконтактные карты. Но не все так просто.

- Обратите внимание, как работает терминал, - говорит продавец кофе, которого мы посвятили в суть нашего эксперимента. - Для проведения транзакции я ввожу на нем необходимую сумму, потом нажимаю кнопку, после чего он предлагает мне выбор, с какого счета, основного или бонусного, снять средства, и только после этого происходит транзакция с печатью чека. То есть снимать деньги в транспорте таким образом не получится, слишком много действий нужно произвести.

Однако внутренний червяк сомнений не унимался, и в интернете мы нашли описание различных модифицированных устройств для мошенничества. Стандартный терминал разделяют на составляющие, при этом сам аппарат перепрограммируют так, чтобы он постоянно вводил одну и ту же сумму, например, 99,99 грн., а считывающее устройство и вовсе закрепляют на рукаве под одеждой. И тогда, прислонившись рукавом к чужой сумке, мошенник, чисто теоретически, сможет облегчить чей-то кошелек по воздуху. Но и тут все не так просто.

- Нужно понимать, что, если у вас деньги украл карманник, то очень сложно доказать, что вот эти купюры принадлежат вам, а не ему, - говорит банковский юрист Мария Коваль. - При безналичном переводе денег с одного счета на другой, как в описанной выше ситуации, кто-то должен владеть этим банковским счетом. Да, можно зарегистрировать юрлицо на бомжа, купив ему ящик водки, но овчинка не будет стоить выделки. Дело в том, что довольно быстро люди заметят, что с их счета пропадают деньги, и оправятся с жалобой в банк. Операции без ввода пин-кода довольно легко оспорить, а если жалобы будут массовыми, то счет мошенников быстро заблокируют. Поэтому, потратив деньги на открытие фирмы и счета в банке, они, скорее всего, даже не успеют отбить эти вложения путем несанкционированного снятия средств со счетов граждан.

Компетентно

- Теоретически существует возможность того, что мошенник может снять деньги с такой карты, приложив к ней что-то, что способно инициировать оплату, - рассказали "КП" в Украине" специалисты Национальной программы содействия безопасности электронных платежей и карточных расчетов SАFЕ CARD. - Но это только теоретически. По данным Украинской межбанковской Ассоциации членов платежных систем ЕМА, по состоянию на сегодня ни одним из банков Украины не зафиксировано подобных инцидентов платежного мошенничества на практике. По информации, которой располагают эксперты ЕМА, случаев подобного рода преступлений в мире также не зафиксировано. 

Таким образом преступники не смогут скопировать данные вашей карты, чтобы потом платить по ней в интернете. Рассматривая такого рода преступления, речь не может идти об использовании мошенником скиммингового оборудования, с помощью которого считываются данные платежной карты, чтобы затем изготовить ее "клон" и использовать для снятия наличных со счета обманутого пользователя, а также для изготовления дубликата карты.

Скимминговое устройство предназначено для копирования данных с магнитной полосы карты. Его мошенники устанавливают в области картридера банкомата или платежного терминала и записывают данные магнитной полосы карты во время проведения легитимных операций по карте. 

Советы физиков

Чтобы не бояться за сохранность средств на карте, ее достаточно обернуть фольгой, которая работает как экран для электромагнитных волн. Можно также носить ее в металлической коробочке. Проверили - такая защита действует. 

Но уж слишком необычно будет выглядеть тот, кто перед банкоматом начнет разворачивать фольгу, чтобы достать карту. Не шоколадка же. Есть более современные средства. Например, металлические холдеры - что-то вроде визитницы для карт. Или специальные экранирующие кошельки. 

5 советов от "КП"

С осторожностью пользуйтесь банкоматами. Там может быть установлена накладка на купюроприемник, которая считывает номер карты и пин-код. Так называемые скимминг-устройства.

Особо бдительными будьте за границей. Есть целый ряд стран, где использование карт опасно.

Не верьте звонкам и СМС "из банка". Даже если номер вам кажется знакомым. Не сообщайте пин-код и другие данные о карте и счете. Лучше перезвоните сами по банковскому номеру, написанному на каждой карте.

Не заходите в "личный кабинет" с мобильных устройств. Тем более если на смартфоне не установлен антивирус. Распространен, например, вирус, считывающий сим-карту. В этом случае злоумышленник получит и одноразовый пароль, который высылают банки для подтверждения операции.

Не используйте пин-код для входа в мобильный банк. Сделайте полноценный логин и пароль, не упрощайте жизнь мошенникам.