У кожної сучасної платіжної системи є технології, що дозволяють оплатити карткою простим дотиком до терміналу, — це Visa payWave, MasterCard Contactless (раніше мала назву PayPass).
І це дуже зручно! Таке враження, що люди стали частіше розраховуватися картками, лише тому, що з'явилася можливість оплачувати покупку простим дотиком картки чи телефона.
Але як тільки ці технології з'явилися, про них почали вигадувати справжнісінькі лякачки.
При розрахунках безконтактною карткою можна випадково оплатити двічі
Іноді про цей міф кажуть, що якщо термінал підтримує безконтактну оплату, а ви вирішили розрахуватися чіпом, то термінал може списати гроші двічі — раз через чіп, а вдруге "повітрям" через те, що картка була поруч.
Звісно, це не так.
Платіжний термінал технічно не може обробити дві транзакції одночасно за один сеанс. Як тільки продавець ініціює оплату, термінал чекає на зчитування картки. Щойно картка зчитана і транзакція схвалена, сесія закривається. Щоб списати гроші вдруге, касир повинен вручну ввести суму знову і активувати нову транзакцію. Випадково прикласти картку так, щоб списалося двічі за одну покупку — неможливо.
Під час оплати шахраї можуть перехопити дані, а потім, використовуючи їх, списувати гроші з картки
Імовірно, цей міф походить від історій про те, як зловмисники викрадають авто, перехоплюючи коди від автомобільної сигналізації. Але з картками не все так просто.
Якщо зловмисник зможе перехопити дані під час оплати, то вони виявляться для нього марними. Це буде довгий унікальний одноразовий код (криптограма), який може бути використаний тільки для цієї конкретної процедури оплати. Використати цей код ще раз неможливо.
Ключі шифрування які генерують криптограму для оплати зберігаються в захищеній області чипа картки, і зчитати їх, не зруйнувавши картку, неможливо.
А ось якщо ваша картка стара і працює через магнітну стрічку, де код завжди однаковий, то тут є проблема. На ній у відкритому (незашифрованому) вигляді записані ваші дані. Це як написати пароль на папірці та показувати його касиру. Щоразу, коли ви проводите карткою через термінал (свайпаєте), термінал зчитує абсолютно однаковий набір даних. А оскільки код завжди однаковий і не зашифрований, його дуже легко скопіювати.
Маючи зчитані дані (той самий "однаковий код"), шахраї можуть записати їх на будь-який шматок пластику з магнітною смугою (навіть на стару картку від метро або готельного номера). І банківська система не бачить різниці між вашою оригінальною карткою та клоном, який зробили шахраї. З таким клоном шахрай може піти в магазин (де ще приймають оплату свайпом) і розрахуватися вашими грошима.
Саме тому сучасні термінали часто відмовляють в оплаті магнітною смугою, якщо бачать, що на картці є чіп, змушуючи вас вставити картку або прикласти її.
Зловмисник може скористатися справжнім терміналом, щоб списати з картки гроші
Я навіть бачив, як це демонструвалося у якійсь телепередачі. І, знаєте, теоретично це можливо.
Але, по-перше, шахраю потрібно буде підібратися з терміналом до вашої картки на відстань близько 2-3 сантиметрів.
А по-друге (і це головне), щоб термінал зміг щось списати, він повинен бути зареєстрований у платіжній системі. Тобто для того, щоб ходити з терміналом по метро в пошуках невинних жертв, зловмиснику потрібно буде зареєструватися як підприємство, відкрити поточний рахунок у банку, показати банку місце ведення бізнесу, укласти договір на надання послуг.
Вкрасти гроші таким чином — це як пограбувати когось, залишивши на місці злочину ксерокопію свого паспорта. Людина побачить списання, звернеться до банку, транзакцію скасують, а до власника терміналу прийде поліція.
Також існує ліміт на оплату без ПІН-коду, він залежить від банку, но суми зазвичай невеликі. А збагатитися на дрібних сумах, ризикуючи свободою через легкість відстеження, — економічно невигідно для професійних шахраїв.
Хакер може непомітно зчитати дані з картки, а потім виготовити копію
Теоретично з картки дійсно можна зчитати якісь дані, хоча це не так уже й просто: потрібно підібратися до картки на відстань 3 сантиметри. Але навіть якщо це вдасться зробити, то отриманих даних буде недостатньо для виготовлення клону картки або для того, щоб десь розрахуватися.
Загалом не потрібно витрачати гроші на купівлю такого чохла, який "захищає картку". Хоча вони дійсно блокують сигнал, загроза "електронного кишенькового злодійства" є настільки мізерною і теоретичною, що в реальному житті майже не зустрічається.
