«NFC-ридер (название портативного платёжного терминала. - Ред.) мгновенно считывает данные с банковских карт, карты доступа в помещение, транспортных карт, - пишет в блоге о результатах своего эксперимента московский предприниматель Дмитрий Т. - Учитывая, что почти все новые карты MasterCard / VISA можно считать таким образом (и провести платёж до 1000 рублей), есть реальный риск. Решили проверить, можно ли защитить себя, если запихнуть в кошелёк или карман сразу несколько карт и сложить их рядом, - создадут ли они необходимые помехи... Ответ шокировал: нет, не создадут. Мы сложили 5 карт - и одна из них тут же считалась». «Сигнал может прочитаться с любой, но транзакция пройдёт только с карты, которая будет сверху, то есть с ближней к считывателю», - уточнил он позднее в комментариях.
Дмитрий Т. - довольно известный в столице молодой технологический предприниматель, человек серьёзный. Он подтвердил «АиФ» свои выводы: «Нет, это не шутка и не мистификация. Но добавить к написанному ничего не могу - кроме того, что денег мы не снимали, мы лишь проверили, можно ли считать карту. Как выяснилось - можно. Можно ли это как-то использовать - не знаю. Интересно спросить специалистов». От проведения совместного с «АиФ» эксперимента Дмитрий, впрочем, отказался.
Стоит ли овчинка выделки?
Самые распространённые переносные терминалы ловят карты только на расстоянии 5-10 см. Более дорогие (за сотни тысяч рублей) RFID-ридеры могут брать на большем расстоянии - до 30 см. Есть и ещё более чувствительные устройства, но «подкрасться незаметно» с ними не получится - слишком уж большие. Возможность «по-тихому» снять деньги зависит от лимита платежей без PIN-кода - у каждой карточки он свой и, по правилам, должен устанавливаться тем, кто пользуется карточкой. На практике лимит обычно устанавливает банк - в среднем с карточки без введения пина можно снять от 500 до 1000 рублей. Можно уменьшить эту сумму в офисе банка или вовсе обнулить лимит: взлом кода карточки - операция долгая и непростая, её в метро «на коленке» не проведёшь. Более серьёзное средство защиты - банковская система безопасности платежей.
«Терминал платёжных карточек зарегистрирован на определённое юридическое лицо, без этого его не подключат к платёжной системе, - объясняет Сергей Никитин, замзаведующего лабораторией компьютерной криминалистики и вредоносного кода компании «Груп-АйБи». - А без подключения он бесполезен - ни «увидеть» карточку, ни провести платёж он не сможет. Так что если кто-то захочет заняться мошенничеством, то через фирму его очень быстро обнаружат. Зарегистрировать фирму-однодневку и через неё снимать деньги в метро тоже не получится. Все компании, которые подключают к платёжным системам, банки проверяют очень дотошно, потому что они отвечают за добросовестность клиента перед платёжной системой. Их могут оштрафовать и лишить возможности с ней сотрудничать. По этой причине не работает и другая схема - считывания данных через терминалы для последующего взлома карточки. То есть похитить средства можно, но понемногу и с большим риском, так что это не окупается. Снимать по тысяче рублей с человека и бегать потом обналичивать - нужно ли это жуликам?»