А король-то голый
Речь в этой статье пойдет о безопасности, а скорее об опасности использования банковских пластиковых карт. Но обо всем по порядку.
Лет 18 назад я проходил курс системного инженера, где системный администратор с огромным опытом поделился правилами безопасного доступа в компании, когда речь идет о важных данных. Правило гласило: «Что-то знаю, что-то имею». Затем он подробно объяснил суть этого подхода. Пароль, каким бы сложным он ни был, пользователь может случайно кому-то сообщить или где-то записать. Ключ от двери (дискету и т. п.) можно скопировать даже без ведома жертвы. А вот завладеть одновременно и тем и другим уже существенно сложнее.
С тех пор утекло много времени, и сейчас все компании тратят огромные ресурсы на поддержку адекватного уровня безопасности: сложные пароли, многочисленные групповые политики, системы антивирусов, антифишинга, DLP, сканеры отпечатков пальцев, распознавание лиц и многое другое.
Одновременно мы видим попытки государства сократить расчеты наличными и максимально перевести всех на безналичные платежи, которые, безусловно, подразумевают и использование пластика (банковских карт международных платежных систем, а теперь и национальной платежной системы МИР). Ограничения эти становятся жестче с каждым годом: на снятие наличных денег в банкоматах, на покупку валюты за наличные и т. д. Большинство предприятий уже давно перешло с зарплат через кассу на расчеты по картам, в том числе в результате требований нашего законодательства.
Безналичные платежи: коды проверки
В использовании безналичных платежей есть много плюсов. Ряд из них можно перечислить:
-
подделать безналичные деньги пока массово не удавалось (насколько известно автору);
-
процесс перевода денег с одного расчетного счета на другой не требует опасной транспортировки на машине, поезде и т. п.;
-
если раньше на предприятие в день зарплаты требовались инкассаторы и длительный пересчет и распределение денег, когда бухгалтер вручную в конверты клал деньги, то теперь это стало цивилизованнее и менее рискованно.
-
риск ошибок (кто-то обсчитался) практически исключен. Покажите платежку с одной стороны и выписку с другой.
Однако есть один нюанс, которому и посвящена эта дискуссия, — сама пластиковая карта и один из способов расчета. Как известно, на картах международных платежных систем имеется некий уникальный номер, фамилия и имя владельца, срок действия карты, а с обратной стороны — код CVV2 (Card Verification Value), или код проверки подлинности карты.
Для того чтобы расплатиться картой в Интернете, как известно, нужно внести указанную информацию, включая CVV2. В случае если данные вводятся верно и на карте достаточно средств (если речь о дебетовой карте) или кредитного лимита (если речь о кредитной карте), можно купить что угодно. Этих сведений достаточно для выполнения практически любой транзакции почти на любую сумму (для некоторых типов карт предусмотрены ограничения на ежедневные траты, но не на все, и лимиты значительны).
Таким образом, карты должны быть очень хорошо защищены, чтобы кто-то без ведома владельца не потратил его деньги.
Про безопасность
Поскольку сейчас по крайней мере жители мегаполисов вынуждены постоянно пользоваться картами при расчетах, резонно задать вопрос: а в безопасности ли наши данные и деньги?
1. Когда мы картой расплачиваемся в ресторане, в супермаркетах, на заправках, то иногда передаем ее посторонним людям (поскольку некоторые терминалы устроены так, что карта вставляется в один приемник продавцом, а PIN-код мы набираем в другом приемнике). В результате совершенно незнакомый человек держит в руках нашу карту и может посмотреть всю информацию на ней.
2. Часто кассиры просят дать им карту, чтобы убедиться, что на ее обратной стороне есть подпись владельца. Законно это или нет, автору неизвестно, но случаи имеют место в жизни.
3. Даже если мы сами достаем карту из кошелька и вставляем в платежный терминал, на вокзалах, в ресторанах, в супермаркетах, в этот момент на нас нацелены десятки видеокамер, разрешение которых сейчас уже позволяет видеть достаточно четко и информацию на карте.
4. Если у нас украли карту или она просто потерялась, новый обладатель карты имеет все данные для покупок за наш счет, пока мы карту не заблокируем.
Как вы знаете, недавно была запущена национальная платежная система МИР, чьи карты также получают широкое распространение. На официальном сайте http://mironline.ru/business/#card-security указано, что карты имеют те же самые средства безопасности (и некоторые дополнительные), а именно, ППК2 (проверочный параметр карты 2). Словом, и старые привычные карты, и карты новой платежной системы имеют ту же самую дыру в безопасности.
Многие банки уже используют дополнительные средства контроля платежей, в частности, системы СМС-информирования, или 3D-secure, но, как показывает практика, далеко не все Интернет-магазины работают с этой системой и допускают переводы денег только по данным, которые явно указаны на карте.
Есть ли выход?
В последнее время появилось много нового: магнитную полосу заменяют чипом, на картах МИР есть дополнительные голограммы, услуга СМС-информирования, моментально сообщающая клиенту о проводимых транзакциях. Однако основная «дыра» в виде CVV2 как появилась более 25 лет назад, так и остается по сей день.
А столь ли уж необходим CVV2? Одновременно с CVV2 владельцу всегда выдается PIN-код, который не указан непосредственно на карте и его можно менять в банкоматах, через службу банка. Почему не сделать с CVV2 то же самое?
Я, как автор, не являюсь сотрудником банковской сферы, но как ИТ-директора меня очень волнует эта проблема. Всех клиентов мы давно учим: никогда нигде не записывайте свои пароли, не пересылайте их по почте и другим незащищенным каналам и т. д. А вот на пластиковой карте, которой мы все сейчас практически обязаны пользоваться и где хранятся подчас значительные суммы, пароль указан в открытом виде. Мы все, включая ИТ-персонал, ежедневно прибегаем к этому платежному средству, имеющему очевидную проблему безопасности.
Если коллеги по ИТ согласны с моей озабоченностью, то, видимо, именно ИТ-сообщество должно поднимать данный вопрос на самом высоком уровне, так как, возможно, сотрудники банковской сферы его упустили или не сочли важным. Не так страшно, что король голый, страшно, что мы не обращаем на это внимание и молчим.
Комментарий Рустема Хайретдинова, СЕО "Атак Киллер"
Платежные технологии развиваются стремительно, но их повсеместное применение и массовость являются сдерживающим фактором — инвестировав в одну технологию, банки и магазины не спешат сразу переходить на новую, даже если она дешевле или безопаснее, пока не окупятся инвестицию в старую. Вспомните, сколько говорят о небезопасности и легком дублировании магнитной полосы. Но в мире выпущено столько банкоматов и точек приема карт с этой технологией, что процесс замены магнитной полосы на более безопасные чиповые карты длится уже больше пятнадцати лет и срок полного отказа от нее пока не понятен.
Подтверждение операций с помощью кодов CVV2 (Visa) и CVC2 (Mastercard) — унаследованная технология, применяемая для авторизации платежей с момента введения стандарта пластиковых карт. Код предназначен для подтверждения операций при транзакциях без предъявления карты — изначально для платежей по телефону, а затем и в Интернете. Тогда с карты снимался физический «слип» — отпечаток, и требовалось, чтобы тот, кто хранит слип, не мог воспользоваться данными с него для платежа. Поэтому код подтверждения размещали на обратной стороне карты и не эмбоссировали (не выдавливали) на карте.
«Двойка» в конце аббревиатуры показывает, что есть и «первый» код, для верификации в транзакциях с физическим использованием карты. CVV/CVC-код (без «двойки») записывается на магнитную полосу карты.
CVV2/CVC2 не является ни необходимым, ни достаточным условием для совершения платежей. С одной стороны, запрос CVV2/CVC2 — это право, а не обязанность продавца, с другой — транзакции с подтверждением CVV2 могут быть запрещены для конкретного вида карт банком-эмитентом.
Можно считать технологию устаревшей, как и магнитную полосу, но в мире выпущены миллиарды пластиковых карт, и механизм удаленного подтверждения транзакций с помощью секретного кода очень распространен. Но повсеместный и полный переход к новому стандарту платежей, предусматривающему другой способ подтверждения транзакций, потребует некоторого времени, и разные способы подтверждения будут какое-то время сосуществовать.
Если вы опасаетесь, что данные вашей карты могут быть подсмотрены (скопированы, сфотографированы) при оплате с физическим предъявлением карты, у вас есть несколько вариантов себя обезопасить.
1. Можете скрыть CVV2/CVC2-код на карте — осторожно срезать его лезвием или закрасить черным фломастером. Только хорошенько его запомните или запишите — он выпускается одновременно с картой, и если вы его забудете, то вам придется перевыпускать карту.
2. Используйте для оплаты смартфон, оснащенный NFC-чипом и имеющий технологию бесконтактных платежей Apple Pay, Samsung Pay или Google Pay, с присоединенной к нему пластиковой картой. Такие технологии скрывают данные карты при платеже, а платеж подтверждается кодом или отпечатком пальцев.
В любом случае также полезно установить разовые и ежедневные лимиты на операции и поставить уведомления о платежах, чтобы вовремя заметить «чужие» транзакции и оповестить об этом банк.
Опубликовано 24.04.2017