Многие обладатели пластиковых банковских карт хотя бы раз пользовались услугами курьерской доставки, оплачивая свою покупку с помощью переносного мобильного терминала. К сожалению, как и любое электронное устройство, такие терминалы можно взломать, а затем похитить денежные средства жертвы. «Газета.Ru» вспомнила три способа мошенничества с помощью терминалов оплаты.Такой же товар за другие деньги С оплатой картой при получении товара у курьера ежедневно сталкивается большое количество людей по всему миру. Как правило, покупателя больше всего интересует его заказ, поэтому он не придает должного значения процедуре бесконтактного платежа. К сожалению, это может обернуться финансовыми потерями — как сообщили исследователи Positive Technologies на конференции Black Hat в Лас-Вегасе, в мобильных терминалах оплаты (mPOS), которыми часто пользуются курьеры, обнаружено несколько опасных уязвимостей. mPOS — это переносной терминал, который может ловить сигнал на любом расстоянии, а для его работы достаточно обычного сигнала сотовой связи. Такими терминалами часто пользуются курьеры, так как они компактны и относительно дешевы. По данным ИБ-исследователей, уязвимости были обнаружены в моделях ведущих производителей Европы и США — Square, SumUp, iZettle и PayPal. Мошенники могут вмешаться в процесс оплаты, изменив сумму, которую требуется внести, или вынудив покупателя использовать магнитную ленту для проведения транзакции, что является менее надежным способом оплаты. Для этого злоумышленник перехватывает Bluetooth-трафик, а затем вносит правки в сумму. Покупатель оплачивает товар, даже не подозревая, что отдал курьеру больше, чем нужно. Даже с учетом подключенного мобильного банкинга, когда сообщение о списании приходит пользователю на смартфон, не каждая жертва моментально проверяет уведомления, а курьер быстро исчезает, после чего мошенника уже не найти. На некоторых терминалах была обнаружена другая уязвимость, которая позволяет отправлять специальные команды. С их помощью мошенник может вынудить покупателя оплатить товар с помощью магнитной полосы, так как чип внутри карты якобы отказывается работать. «В зарубежных странах недобросовестным продавцам гораздо проще зарегистрировать терминал mPOS и начать осуществлять платежи. В США для регистрации терминала потребуется лишь номер социального страхования, а в России владелец mPOS должен иметь регистрацию ИП. Однако, на территории нашей страны эти терминалы используются в работе компаний, которым необходимо принимать платежи там, где обычные терминалы не используются — курьерская доставка с оплатой и т.п. Поэтому при оплате через mPOS покупателям не рекомендуется использовать магнитную полосу карты», — объясняет руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов. Эксперт добавил, что наиболее безопасными транзакциями считается оплата с применением чипа-карты и верификацией платежа, а также бесконтактная оплата. Один в один Другой распространенной формой мошенничества с терминалами оплаты является установка скиммеров. По данным исследователя Брайана Кребса, ведущего отдельный блог про этот вид хакерства, скиммеры порой невозможно заметить невооруженным глазом, и жертва даже не понимает, что передает свой PIN-код злоумышленникам. Скиммер представляет собой накладку, которая устанавливается поверх обычного терминала оплаты. При этом его внешний вид полностью повторяет вид терминала, вплоть до цвета кнопок и отметки бренда. Это устройство моментально считывает данные карты пользователя через чип и передает их с помощью Bluetooth. Другие модели могут «запоминать» введенный PIN-код и также отправлять его хакерам. В таких устройствах часто отсутствует модуль памяти, поэтому отследить ее владельца бывает затруднительно — скиммеры уже давно производят в промышленных масштабах на специальных фабриках, а затем внедряют в торговые сети. Впрочем, злоумышленник, принимающий сигнал со скиммера, должен находиться где-то неподалеку от терминала, а значит в теории его можно вычислить. Мошенничество без контакта Есть еще один вид махинации с картами с помощью терминала, который наделал много шума в свое время, но, впрочем, может относиться к городским легендам. Один из пользователей заявил о том, что встретил в метро подозрительного человека, который держал в руке мобильный терминал, и якобы с его помощью снимал деньги с карт пассажиров вокруг. Речь идет о технологии бесконтактной оплаты PayPass или PayWave, когда для оплаты пользователю достаточно поднести свою карту достаточно близко к терминалу. При этом, если сумма покупки меньше тысячи рублей, то вводить PIN-код для подтверждения необязательно. Таким образом, при благоприятных условиях, злоумышленник может пройти по вагону в час пик и собрать любую сумму денег. Такой способ кражи денежных средств кажется пугающим, особенно для тех, кто привык носить банковские карты в карманах. Тем не менее, существует множество оговорок, при которых такое мошенничество может сработать. По словам специалиста отдела технического сопровождения продуктов и сервисов ESET Russia Андрея Ермилова, эта схема и вовсе является нереальной. Во-первых, POS-терминал надо сначала где-то приобрести и зарегистрировать. Во-вторых, вывод денег затруднителен — злоумышленник не сможет банально снять их в банкомате или перевести на определенный счет. В-третьих, эти деньги надо сначала украсть, что также проблематично. «Чип POS-терминала достаточно слабый, для его срабатывания нужно прижать терминал к карте жертвы — это сложно, а если карта лежит в бумажнике, то вообще маловероятно», — считает собеседник «Газеты.Ru». Он добавил, что во всех крупных банках есть служба безопасности, которая первой заметит подозрительную активность в своем терминале и сообщит в правоохранительные органы.