Мошенники научились похищать деньги с пластиковых карт «по воздуху»

В России выявлен новый вид мошенничества – хищение средств с карт, оснащенных технологиями бесконтактной оплаты товаров. Как сообщают «Известия» со ссылкой на данные компании Zecurion, в минувшем году при помощи самодельных терминалов (RFID-ридеров) злоумышленники похитили 2 млн рублей. По словам ряда экспертов, преступники научились списывать деньги с карт, используя смартфоны с чипами NFC.
Технологии бесконтактной оплаты товаров применяются платежными системами Visa (PayWave) и Mastercard (PayPass) для упрощения безналичной оплаты покупок. Карты с технологией PayPass выпускает 43 крупных российских банка, карты c PayWave - 16. Оплата такой картой не требует введения PIN-кода и подписи на чеке, если сумма покупки не превышает 1 тыс. рублей. По данным Zecurion, бесконтактными банковскими картами пользуется 2 млн россиян.
По сути, мошенническая схема похожа на перехват сигналов электрозамков угонщиками автомобилей. Злоумышленники списывают деньги с бесконтактных карт при помощи самостоятельно изготовленных считывателей, способных сканировать банковские карты с чипами RFID. В целом разработка представляет собой аналог легального бесконтактного PoS-терминала - RFID-ридера, посылающего электромагнитные сигналы.
По словам руководителя аналитического центра Zecurion Владимира Ульянова, изобретение хакеров имеет сходство с легальным устройством, но обладает более широкой функциональностью. Преступнику достаточно приблизить такой считыватель к карте с чипом RFID на 5-20 см, и вся необходимая информация будет получена. Похищенные данные злоумышленники записывают или передают на карты-клоны, используемые для дальнейших операций.
Стоимость легального считывателя для PayPass и PayWave составляет не менее 20 тыс. рублей. Изготовление собственного ридера обходится хакерам в $100. Самый простой считыватель состоит из специального контроллера, антенны для приема сигнала, интерфейса для подключения к компьютеру и программного обеспечения.
Как отмечает замдиректора департамента аудита защищенности компании Digital Security Глеб Чербов, для осуществления транзакции или изготовления дубликата магнитной полосы карты злоумышленникам достаточно получить номер и конечную дату обслуживания карты.​