Оплата «в одно касание» происходит с использованием технологии NFC (Near Field Communication) при помощи специальной банковской карты или смартфона, которые в свою очередь обеспечивают поддержку бесконтактной оплаты. Банки и производители электроники, которые осуществляют поддержку бесконтактных платежей, уверяют, что платежи являются безопасными, и делают акцент на простом и быстром механизме оплаты. При использовании такого способа оплаты легко убедиться в легкости использования и скорости свершения операций, однако в безопасности использования такого механизма оплаты стоит разобраться.

Актуальность работы новая методика для обеспечения безопасности бесконтактных платежей. Новая методика значительно повышает безопасность бесконтактных платежей смартфонов с поддержкой NFC и банковских карт с аналогичным чипом. Были выявлены актуальные угрозы в системе бесконтактной оплаты.

Целью работы описание по повышению уровня безопасности использования бесконтактных платежей.

Задача: провести анализ защищенности системы бесконтактных платежей и на основе выявленных угроз безопасности разрабатываются рекомендации по их устранению.

Глава 1. Бесконтактные платежи – на пути к доверию потребителей и разработчиков

1. 1. Уровень проникновения бесконтактных технологий

Бесконтактные технологии постепенно становятся важной частью современной жизни – как для компаний, так и для рядовых пользователей. За последние несколько лет, например, мы могли наблюдать, как компании, работающие на рынке пассажирских перевозок, прошли путь от внедрения своих собственных систем на базе бесконтактных платежных карт, до принятия моментальных платежей через банковские карты с поддержкой бесконтактных технологий, а в последнее время – и вовсе стали поддерживать оплату через сотовые телефоны и носимые устройства с поддержкой NFC, такие как Apple Watch. И если раньше бесконтактные терминалы были для нас скорее в диковинку, то сейчас мы видим их практически каждый день. Сегодня и компании из других отраслей начинают изучать, какие возможности открывают им бесконтактные технологии в их секторе.

За последнее время было проведено множество исследований потребительского мнения и уровня проникновения бесконтактных решений, и, хотя изначально уровень доверия к этой технологии был весьма невысоким, по мере того, как пользователи осознали преимущества бесконтактных платежей и доступность этой технологии увеличилась, вырос и уровень доверия к ней. Вырос настолько, что в этом году крупнейшие банки Великобритании увеличили максимальный лимит для бесконтактных транзакций с 20 до 30 фунтов стерлингов (немного, но нам сейчас важна динамика).

Если с точки зрения потребителя картина более или менее понятна, то обсуждения мнения компаний или их опыта работы с бесконтактными технологиями в прессе не так много. Учитывая то, что по прогнозам экспертов, в результате запуска Apple Pay объём бесконтактных платежей, осуществляемых через мобильные цифровые кошельки, к концу 2016 года достигнет 200 млн. фунтов стерлингов, сейчас самое подходящее время обсудить, что вынуждает, или наоборот, сдерживает компании при внедрении этих решений, и каким образом можно преодолеть связанные с этим сложности. Именно такой была цель нашего исследования "Contactless Business: The State of Play" ("Технологии бесконтактных платежей: положение дел"), в котором рассмотрен уровень проникновения бесконтактных платежей, отношение и планы по развёртыванию этих технологий у компаний из Великобритании, Германии и Испании. Россия пока отстает в применении технологии, но опыт лидеров может быть показателен для прогнозирования будущего.

Исследование было проведено в октябре 2015 года среди 240 руководителей компаний в Великобритании (80), Германии (80) и Испании (80). Распределение по отраслям было следующим: банковский сектор (90), розничная торговля (83), телекоммуникации (34) и транспорт (33). Были опрошены как частные, так и государственные компании – авиалинии, службы такси и т.д. – со штатом сотрудников более 250 человек.

Темпы проникновения бесконтактных технологий ускорились, и эти технологии обеспечивают всё более мощный инструмент для дифференцирования и внедрения инноваций в компаниях из сферы розничной торговли, транспортной отрасли и банковского сектора. Чтобы сохранить конкурентоспособность или ускорить темпы роста, в ближайшие месяцы и годы организациям придется активизировать свои стратегии по внедрению бесконтактных технологий.

• Уровень проникновения бесконтактных технологий весьма высок и в целом картина в Европе весьма единообразна. Лишь очень немногие компании (8%) пока еще не запустили поддержку бесконтактных платежей, и среди респондентов не было ни одной компании, где не планировали бы в ближайшее время реализовывать подобный проект.
• Рассуждая о будущем, европейские компании ожидают, что в ближайшие три года на долю бесконтактных платежных технологий будет приходиться до 10% всех осуществляемых транзакций.
• Бесконтактные технологии будут следующим образом распределены по различным группам: наиболее востребованными среди компаний являются бесконтактные платёжные карты (52%), следующими по популярности идут мобильные платежи (50%), платежи с помощью носимых устройств (43%) и бесконтактные карты магазинов/карты лояльности(42%). Новые виды платежей будут активнее всего развиваться в Великобритании, где 61% и 46% компаний ожидают внедрения, соответственно, бесконтактных платежных решений и платежных решений с помощью носимых устройств.
• Компании Великобритании намерены больше инвестировать в бесконтактные технологии, чем их коллеги из Германии или Испании, при этом в вертикальных рынках лидерами по внедрению бесконтактных технологий являются банки.
• Основным фактором роста для инвестиций в бесконтактные технологии является увеличение скорости обработки платежей (для 74% компаний). В числе других важных факторов – возможность обрести имидж новатора (43%), повышение эффективности затрат (42%) и возможность дифференцировать своё предложение от конкурентов (33%). Для потребителей наиболее важным фактором является повышение удобства (47%), более высокая степень удовлетворённости (43%) и упрощение процессов оплаты (43%).
• Более половины компаний, намеревающихся внедрять бесконтактные технологии, предпочтут работать с партнёрами. Среди наиболее востребованных качеств, которые компании хотели бы видеть в своих партнёрах, – наличие решений, обеспечивающих высокий уровень безопасности (59%), хорошая репутация и наличие отраслевых компетенций (53%), а также удобная интеграция с другими решениями (51%).
• Что касается планов развёртывания, то они различаются: 30% компаний намерены разрабатывать бесконтактные технологии под своим собственным брендом, 33% планируют делать это сотрудничестве с партнером, запускающим сервисы под своим брендом, и 22% планируют сотрудничать сразу с несколькими партнерами.

1.2 Основные угрозы при использовании NFC-платежей

Не смотря, на то, что при обмене информацией между картой или смартфоном в режиме эмуляции карты и ридером применяется шифрование, часть информации остается открытой. К тому же информация, которую хранит карта, так же не вся зашифрована. Злоумышленник может прослушивать эфир во время проведения транзакций по бесконтактной карте для выявлений необходимой информации или же считать информацию с самой банковской карты. Данный вид угрозы представляет собой подслушивание информации.

Стандарт EMV допускает хранение конкретных данных в незашифрованном виде в памяти чипа карты. К таким сведениям могут иметь отношение номер карты, несколько последних совершенных операций и так далее. Какие именно данные находятся в открытом виде на карте определяет банк-эмитент, а также платежная система. Подобные данные, возможно, считать с помощью любого прибора, работающего в режиме ридера, к примеру, NFC-телефона, установив в него полностью легальное приложение.

Считается, что такого рода открытая информация не ставит под угрозу безопасность карты. Однако проведенное экспертами тестирование десяти различных бесконтактных карт, с использованием доступного NFC-ридера и бесплатного ПО показало, что существует возможность декодировать номер и дату истечения срока действия для всех десяти карт. Полученные данные  в дальнейшем можно использовалось для совершения покупок в интернет-магазинах.

Как было заявлено прежде, рабочая дальность для передачи данных по NFC является несколько см (вплоть до Десяти), что уже предоставляет возможность считывания данных и денежных средств посредством не металлизированные материалы. Однако ученые с британского Института Суррей показали возможность считывания по NFC сведений на расстоянии вплоть до 80 см с поддержкой компактного нестандартного ридера, который функционирует на огромной дистанции по той, же технологии. Подобный прибор вполне способен неприметно «опрашивать» бесконтактные карты в общественном транспорте, торговых центрах, аэропортах и иных местах скопления людей. Так же с помощью подобного прибора, возможно, реализовывать подслушивание передаваемых сведений в транзакциях.

Мошенники найдут способы установить вредоносное ПО на мобильное устройство путем фишинга / социальной инженерии, чтобы жертва открыла вредоносное приложение в электронном письме и перенаправила пользователя на злонамеренный URL.

Существует также возможность атаки на спуфинг сети, т.е., когда злоумышленник настраивает поддельную точку доступа с тем же именем сети, что и та, которая уже существует, напр., популярное имя кафе. Они могут настроить поддельный веб-сайт для «аутентификации» пользователей и т.о. собирать данные, а затем могут использовать эти данные для следующих шагов в своей атаке. Нередко можно увидеть, что многие люди используют одинаковое имя пользователя и пароль для нескольких разных сервисов, даже для мобильного платежного приложения.

Возможна реализация, так называемой, атаки человек посередине. Предположим, что А и B используют активный и пассивный режим работы NFC соответственно. А генерирует ВЧ-поля и отправляет данные B. Если злоумышленник (Е) находится на достаточном расстоянии, то он может подслушивать и модифицировать данные, посланные А. При этом А и В не должны быть осведомлены о том, что они разговаривают не друг с другом и принимают и передают данные через Е. Е должна активно мешать передаче А, чтобы убедиться, что B не получает данных. Обладая необходимыми знаниями  и оборудованием реализация такой атаки осуществима.

В случае кражи телефона возможна реализация еще одного способа доступа к использованию денежных средств пользователя. Получив мобильное NFC-устройство, злоумышленник может получить права суперпользователя, подключив это устройство к другому, таким образом, получить всю необходимую информацию и использовать ее для осуществления нелегитимных транзакций.

Не стоит так же забывать, что всегда существует угроза ошибки в программном коде. Угрозы данного типа позволяют получать информацию о платежной информации или позволяющую совершать транзакции из-за ошибок в коде приложения, неверной реализации кода, несоответствия ТЗ и других ошибок, вызванных вследствие недочетов в реализации приложения или же операционной системы.

Пример реализации такой угрозы был представлен командой британских исследователей из Университета Ньюкасла, которая сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы VISA. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает. А если платежный терминал не подключен к Интернету, то максимальная сумма мошеннической транзакции может составить до миллиона евро.

Глава 2. Повышение безопасности без контактных платежей

2.1 Повышение уровня безопасности использования бесконтактной оплаты

Для нейтрализации или существенного снижения воздействия на NFC-систему с использованием перечисленных угроз были выработаны следующие рекомендации по повышению уровня безопасности использования бесконтактной оплаты, которые разбиты по соответствующим угрозам.

Подслушивание:

•         Установка безопасного канала связи.

Воздействие на устройство:

•         Использование экранированного кошелька или подобных защитных металлических экранов для бесконтактной карты, в случае отсутствия такого метода защиты хранение NFC карт более чем в 10 см от «внешней» среды.

•         Отказ от прав суперпользователя и использование проверенных антивирусных средств на мобильном телефоне.

•         Отдельное хранение смартфона и бесконтактной карты.

Атака человек посередине:

•         Поддержка терминалом механизма проверки радиочастотных полей во время передачи данных.

Кража устройства:

•         Использовать пароль для разблокировки мобильного телефона (или биометрические данные);

•         Установить пароль для входа в мобильное приложение;

•         Использовать пароль для совершения платежной операции через мобильное приложение (или биометрические данные);

•         Не объединять несколько банковских карт в одну виртуальную;

•         Предусмотреть веб-сервис для блокировки мобильного приложения в случае утери/кражи;

•         Использование ПО с защитой от несанкционированного вмешательства или взломостойкостью.

2.2 Защищенность бесконтактных платежей при оплате смартфоном

Кроме поддержки технологии бесконтактной оплаты, смартфон обладает особой организацией и воплощением поддержки системы бесконтактных платежей. Для проведения платежных операций по бесконтактному каналу передачи данных необходимо наличие платежного приложения, которое осуществляет управление транзакцией. В отличие от банковских карт смартфон ввиду своих функциональных возможностей может содержать больше одного такого приложения. При этом банками, которые предоставляют такие приложения, должен осуществляться их контроль и управление. Для хранения таких приложений, а также обрабатываемой и защищаемой ими платежной информации, в состав смартфонов включается элемент безопасности (Security Element, SE). Существует несколько вариантов его воплощения, организация которых напрямую зависит от безопасности проведения бесконтактной оплаты. Первый вариант называется SIM-centric model. Данная технология представляет собой физическое воплощение SE на SIM-карте. То есть именно SIM карта содержит платежные данные и платежное приложение. Технология являлась первым проектом по реализации бесконтактных платежей на базе смартфонов. Однако на данный момент технология менее всего востребована, так как предполагает замену SIM-карты при необходимости обновления данных или добавления нового платежного приложения. Технология NFC-чипа является вторым возможным вариантом организации бесконтактной оплаты с использованием смартфона. Данная технология также подразумевает использование физического воплощения SE. При этом подключение NFC-чипа осуществляется непосредственно к операционной системе смартфона. Наличие физического воплощения SE является наиболее защищенным, так как все данные находящиеся на нем надежно защищены криптографическими алгоритмами, ключи доступа к которым находятся только у банковских организаций или иных организаций, которым непосредственно принадлежит физический элемент. Описанные технологии требуют взаимодействия внешних систем с элементами смартфона таким образом, что для загрузки дополнительных приложений или данных банками необходим контроль сотового оператора (SIM-centric model) или производителя электроники (NFC-чип), так как последние обладаю ключами доступа к SE и полностью распоряжаются доступом к SE, загрузкой на него информации, а также принимают решение о предоставлении такого доступа. Такая ситуация создавала не мало организационных проблем и по соображениям безопасности не устраивала банковские организации. Это потребовало создания дополнительного доверенного участника системы бесконтактной оплаты — Trusted Service Manager (TSM). Основная задача TSM состоит в организации связи с сотовыми операторами или производителями электроники от лица многочисленных поставщиков услуг в виде банковских организаций. При этом TSM может осуществлять управление ключами доступа к SE, установку, загрузку, удаление платежных приложений и необходимых данных, контроль качества предоставляемых услуг. Несмотря на поддержку создания физического SE практически всеми производителями электроники наиболее востребованным является третий вариант организации бесконтактных платежей. Технология Host Card Emulation (HCE) представляет собой виртуальное воплощение SE. В данном случае управление платежной транзакцией происходит благодаря непосредственному подключению к процессору смартфона. Технология позволяет устанавливать неограниченного количество платежных приложений без сложного организационного взаимодействия между пользователем и банковскими организациями, а также осуществлять удаленное управление платежным приложением и загрузку необходимых данных. Очевидно, что защита SE устанавливается с помощью программных механизмов. И необходимость наличия антивирусной защиты, во избежание обхода данного рода защиты нарушителем, не ставится под сомнение. Основным защитным механизмом является наличие парольной защиты на осуществление бесконтактных платежей. Пароли могут быть символьные или на основании биометрических данных. Данный защитный механизм установлен в большинстве платежных приложений банков для осуществления платежей. Но в случае его отсутствия, пользователю необходимо самостоятельно позаботиться о наличии парольной защиты хотя бы в возможности доступа к смартфону, а именно его разблокировки. Технология HCE, являющаяся наиболее популярной на данный момент, использует возможности облачных технологий, что делает её наиболее уязвимой при том, что большинство смартфонов на данный момент имеют свободный доступ в Интернет, а в некоторых случаях он является необходимым для осуществления такого рода платежей. Это еще раз подтверждает необходимость наличия антивирусной защиты и осознанного использования смартфона его владельцем. Защищенность технологии HCE также во многом зависит от её реализации. Так как технология является приоритетной в использовании по сравнению с другими вариантам организации бесконтактной связи на смартфоне, на данный момент вводится новый защитный механизм токенизации. Токенизация предполагает использование платежных токенов вместо защищаемых платежных данных. Токены представляют собой уникальные 16-значные комбинации цифр, которые загружаются в смартфон банком, осуществляющим поддержку бесконтактных платежей и предоставляющим пользователем соответствующие услуги. Такие комбинации привязываются к конкретному устройству и определенному платежному сервису. Токены представляют собой зашифрованные платежные данные, в том числе и номер банковской карты, которые невозможно без значения ключей шифрования узнать злоумышленнику. Данная технология в разы повышает безопасность проведения бесконтактной оплаты смартфоном и активно внедряется в настоящее время. Таким образом, наличие антивирусной защиты и парольной защиты смартфона является единственно возможным дополнительным обеспечением защиты от несанкционированных действий в отношении платежных данных держателем смартфона и владельцем подключенного к нему банковского счета. Такие защитные механизмы являются наиболее рекомендуемыми и действенными в обеспечении информационной безопасности платежной информации. При этом не стоит забывать о сознательном пользовании смартфоном с учетом понимания всех его функциональных возможностей, организации бесконтактных платежей и опасности халатного отношения к собственным сбережениям.

Заключение

нДля снижения или исключения вероятности успешного использования выявленных уязвимостей и реализации угроз безопасности злоумышленниками, были выработаны рекомендации на основе изученных данных. Применение рекомендаций поставщиками услуг и пользователями системы бесконтактной оплаты повышает безопасность использования бесконтактных платежей. С учетом данных рекомендаций, система бесконтактных платежей становится не только быстрым и простым способом оплаты товаров и услуг, но и безопасным для использования в повседневной жизни.

Список используемой литературы

1.Security of Mobile Payments and Digital Wallets/ ENISA. – 2016.

2.Сайт лаборатории Касперского [Электронный ресурс] – URL: https://www.kaspersky.ru/blog/contactless-payments-security/8608/ – (дата обращения 31.03.2021)

3.Papathanasiou C. DEF CON 18 “This is not the droid you’re looking for…”/ C.Papathanasiou, N. Percoco// Trustwave SpiderLabs– 2010.

4.Davis M. Hacking exposed malware and Rootkits (1 ed.) / Davis M. Sean Bodmer, Aaron LeMasters // McGraw-Hill, Inc., New York, NY, USA – 2009

5.The Great Bank Robbery: Carbanak APT [Electronic resource] – URL:https://business.kaspersky.com/the-great-bank-robbery-carbanak- apt/3598/ –

6.Trend Micro Discovers MalumPoS; Malware Targeting Hotels and other US Industries [Electronic resource] – URL: http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-hotels-and- other-us-industries/

7.Killer C. University of Zürich, “An Off-the-shelf Relay Attack in a Contactless Payment Solution” / Killer C., Christos Tsiaras, Burkhard Stiller, – 2015.

8.Методика определения угроз безопасности информации в информационных системах [Электронный ресурс] / ФСТЭК России. – 2015. – URL: http://fstec.ru/component/attachments/download/812 (дата обращения 31.03.2021)

9.Бондаренко Р. Технология NFC — связь на близком расстоянии [Электронный ресурс] / Р.Бондаренко. – 2011. – URL: http://www.russianelectronics.ru/leader-r/review/2187/doc/57689/, свободный. (дата обращения 31.03.2021).

на Allbest.ru