Проезд по банковской карте: как это действует?

Бесконтактная оплата метро по банковской карте в последнее время активно набирает популярность у населения. При этом у клиентов всё чаще возникает вопрос: насколько безопасно это удобство? Может ли мошенник «выдоить» средства с карты, прислонившись к сумке или карману в том же метрополитене? Банки и разработчики утверждают, что бояться совершенно нечего.

Банковская карта с функцией бесконтактной оплаты метро в России постепенно находит своего клиента. Даже заядлые автомобилисты уже признаются, что с радостью оформляют карту «два в одном», чтобы иметь надёжное и оперативное средство борьбы с городскими пробками. Банки же активно берут на заметку возрастающую потребность, всё больше игроков занимают эту нишу.

Первым карты БОП (бесконтактная оплата проезда) предложил клиентам Банк Москвы ещё в 2006 году. Спустя два года его примеру последовал Ситибанк. Затем совместную программу с метрополитеном внедрили у себя Мастер-Банк и «Авангард». Планируют сделать то же самое и другие игроки. Подробнее об этом и о нюансах работы программы можно прочитать, к примеру, в недавней статье «Коммерсанта» «Банки подземелья» (можно не читать — МС).

Мы же попытаемся ответить на вопрос, который всё чаще стал волновать наших посетителей. Насколько высок риск потерять средства с «бесконтактной» карты? «Где гарантия, что какой-то мошенник не прислонит ко мне «шайтан-машину» в том же метро и — плакали мои денежки?» — задаются вопросом форумчане Банки.ру.

За ответом мы обратились к банкам-эмитентам и разработчикам. Оказалось, всё довольно просто. В обычную банковскую карту встраивается «радиометка», которая лишь фиксирует количество проходов в метро. Приложение реализовано по аналогии с бесконтактными проездными и к «банковской» части карты отношения не имеет. Точно так же её можно прикрепить и к брелку с ключами или, к примеру, вклеить в кошелёк. При проходе через турникет не происходит «традиционной» транзакции по карте. По сути это лишь некий «радиоаналог» поручений на списание для поставщика услуги с банковского счёта клиента.

«Транспортное приложение карты БОП никак не связано с финансовым приложением, которое используется для снятия наличных и осуществления покупок, — рассказали в Банке Москвы. — Таким образом, «бесконтактность» не интересна для мошенников — денег они никак не получат». Бесконтактная оплата не придаёт карте никакой дополнительной уязвимости. К тому же сам процесс списания средств за проезд находится под двойным контролем — как со стороны банка, так и со стороны метрополитена. В случае потери или кражи карты БОП банк блокирует её (и транспортное приложение) по заявлению клиента.

«Клиент всегда может узнать и сверить количество своих поездок по банковской выписке. Списание средств производится в начале следующего месяца», — сказала Юлия Матанцева, начальник управления по работе с VIP-клиентами департамента корпоративного бизнеса Мастер-Банка, который недавно ввёл подобную услугу для своих клиентов. В банке также отмечают, что уязвима эта карта не более обычной.

Солидарен с предыдущими спикерами и вице-президент банка «Авангард» Валерий Торхов: «На самой карте имеется только идентификатор клиента. С его помощью раз в месяц банк получает информацию о сумме, которую необходимо списать со счёта пользователя». Торхов также рассказал, что клиенты «Авангарда» первыми получили возможность отслеживать в интернет-банке «количество своих поездок в метро со всеми подробностями: дата и время, название станции, где был оплачен проход».

«Единственный «риск» потерять средства с метро-приложения — это тайное использование карты членами семьи (при потере карты её можно сразу же заблокировать), — замечает начальник стратегического отдела кредитных карт Ситибанка Мартин Михов. — Была забавная ситуация, когда один из сотрудников «Сити» не мог понять, откуда у него накопились лишние поездки. Однако позже удалось разобраться — оказалось, что картой без его ведома пользовалась супруга».

«Риски бесконтактной карты только в том, что по ней могут быть несанкционированно оплачены чьи-то проезды в метро. Чтобы этого избежать, в скором времени мы установим ограничение по количеству поездок в течение месяца — скажем, до 70. Стоимость этих 70 проходов и будут представлять собой максимальный риск. Это примерно сумма в тысячу с небольшим рублей, и мы считаем, что это вполне разумно», — отмечает Валерий Торхов.

«Уязвима на сегодня в большей степени не техническая сторона процесса, а юридическая, — рассуждает доктор экономических наук, эксперт в области банковского законодательства Артём Генкин. — Пусть я проехал по платному мосту, а невидимый ридер считал данные с моей карты и затем списал мои денежные средства в оплату. Какое моё действие и в какой момент считать акцептом? Та же история и с метрополитеном. Я могу по условиям обращения карты заранее соглашаться с механизмом списания через, допустим, NFC-коммуникации карты и метрополитеновского ридера, но доказательность авторизации мною отдельной платёжной сделки по-прежнему хромает».

«Ничто не стоит на месте, в транспортном приложении тоже разрабатываются более совершенные чип-модули, — рассказал Алексей Волков, заместитель генерального директора компании «Экспресс Кард», занимающейся разработкой этого продукта. — Хотя и те, что используются, полностью обеспечивают защиту. Перехитрить существующую систему очень дорого и практически нереально».

Однако есть и куда более совершенная технология, где нет жёсткой связки «радиометка для метро — банк — счёт клиента», а произвольная банковская карта взаимодействует с произвольным терминалом продавца. У Visa она называется PayWave, у MasterCard — PayPass (последняя понемногу внедряется и в России). Чтобы достичь высокого уровня безопасности, в этом случае применяется уже довольно сложный алгоритм взаимодействия карты, терминала, эквайера и эмитента. Поэтому и распространена она в России пока очень точечно и лишь для оплаты небольших сумм.

«Массовое внедрение классической бесконтактной оплаты не произойдёт быстро, поскольку потребует замены не только самих карт, но и терминалов оплаты в точках приёма. Это подразумевает под собой существенные инвестиции, на которые в текущих условиях вряд ли пойдут даже самые крупные банки, — считает начальник отдела маркетингового анализа и планирования Соцгорбанка Оксана Дмитрук. — Поэтому у наших банков в любом случае достаточно времени как на закрепление полученных результатов в области безопасности, так и на освоение новых для России прогрессивных технологий».

Маргарита Суворова,
Banki.ru, 23.07.2009

На самой карте имеется только идентификатор клиента. С его помощью раз в месяц банк получает информацию о сумме, которую необходимо списать со счёта пользователя

Поэтому достаточно спиздить его примитивным ридером — и можно штамповать карты-клоны.

Таким образом, «бесконтактность» не интересна для мошенников — денег они никак не получат

Напрямую конечно не получат, зато вернётся схема «проведу за 20». Нелегальная продажа поездок это золотое дно, только в данном случае теряет не банк, а метрополитен. А у клиента в счёте появится уйма лишних поездок.

«Риски бесконтактной карты только в том, что по ней могут быть несанкционированно оплачены чьи-то проезды в метро. Чтобы этого избежать, в скором времени мы установим ограничение по количеству поездок в течение месяца — скажем, до 70. Стоимость этих 70 проходов и будут представлять собой максимальный риск. Это примерно сумма в тысячу с небольшим рублей, и мы считаем, что это вполне разумно», — отмечает Валерий Торхов.

Браво! Повесим свои риски на клиентов — сказал директор банка!

---

Между прочим, обезопасить карту в разы можно очень простым и гениальным способом: на торец карты наносится независимо генерируемый штрих-код, который служит паролем к содержимому чипа, считываемому безконтактно. На турникете соответственно появляется щель со сканером типа тех, что на МЖД.

Таким образом, обычного ридера, прислонённого к сумке в толпе для клонирования транспортного чипа будет недостаточно — нужно будет украсть саму карту.

quantum, ну щель со сканером, это уже не такой безконтактный способ прохода, по типу "приложил карту и прошёл ". Тем более турникеты метрополитена менять под МЖДэшные, тоже в копеечку влетит. Здесь надо разработать такую систему блокировки, чтобы невозможно было склонировать карту.

TAXIST, такой системы не существует. А наука криптография вообще открыто говорит о том, что любой шифр, который можно скомпрометировать - бесполезен.

Бесконтактность это не самоцель, метрополитен к ней стремился вовсе не из-за этого. А вот уход от движущихся частей и принтера в валидаторе, общее упрощение системы и реальная статистика - причины действительные.

>Поэтому достаточно спиздить его примитивным ридером — и можно штамповать карты-клоны.
Что мешает это делать сейчас во всеми билетами, которые есть в ММ?

KVentz, непредсказуемость результата и ненадёжность. Ну своруешь ты билет на пять поездок - много ли он денег принесёт?

Наука "криптография" говорит кроме того ещё много чего интересного.

Например, "украсть" у пассажиров бесконтактный проездной (не важно, бумажный, пластиковый, или "вклеянный" в банковскую карту) можно только зная определённые ключи шифрования.

Однако эти коды, пока что, более-менее надёжно хранятся (в противном случае начался бы такой бардак что сложно себе представить)

Кому интересно могут почитать:
xakep.ru/post/47074/default.asp
Не знаю, правдива ли статья, но выглядит вполне правдоподобно.

temp9991, достаточно одного инсайдера и привет. История с бандой мошенников в этом плане очень показательна.