Безконтактні кредитні картки зручні. Вони дозволяють швидко оплачувати малі рахунки, не вводячи PIN-код. І вони все ще цілком безпечні, оскільки PIN-код потрібен при покупці чогось дорожчого. Однак вчені з ETH Zurich виявили, що деякі безконтактні кредитні картки можуть бути менш вразливими, ніж вважали раніше.
Компанії Europay, Mastercard та Visa встановили стандарт EMV ще в 90-х роках минулого століття, хоча для його впровадження знадобився певний час. З тих пір його оновлювали кілька разів, але основна функціональність залишалася незмінною – цей стандарт дозволяє здійснювати безконтактні платежі без додаткових ризиків безпеки. Очевидно, що люди все одно повинні бути обережними – є способи вкрасти інформацію про кредитну картку або використовувати викрадену картку. Однак загалом ми почуваємось у безпеці щодо них.
Вчені розробили модель для перевірки безпеки цих безконтактних кредитних карток. І їм вдалося знайти критичну прогалину в протоколі, який використовує компанія кредитних карток Visa (це не стосується карток інших компаній). Ця лазівка може дозволити деяким злочинцям використовувати загублену або викрадену картку без PIN-коду для здійснення більших покупок. Срібна підкладка цієї дуже темної хмари полягає в тому, що процес використання цих безконтактних кредитних карток шахрайським способом є дуже складним.
Вчені розробили спеціальний додаток для Android та встановили його на мобільних пристроях із підтримкою NFC. Цікаво, що використовувались стандартні смартфони Android, і жодної цілісної безпеки не потрібно було подолати. Система використовується так:
- перший телефон сканує кредитну картку і передає інформацію про неї на другий телефон;
- другий телефон використовується для списання встановленої суми на касі магазину чи іншого місця бізнесу;
- постачальник не розуміє, що картку вкрадено, нічого підозрілого щодо цієї діяльності;
- спеціальний додаток для Android позбавляє потреби вводити PIN-код для завершення транзакції, навіть якщо витрачається більша сума грошей.