Безопасность банковских пластиковых карт - миф или реальность?

• Информационная безопасность

Все больше людей пользуются пластиковыми банковскими картами. Лишь немногие знают, чем одна карта отличается от другой. (Visa от MasterCard, карта с чипом от обычной карты с магнитной полосой). Многие хранят деньги на пластиковой карте, так как считают, что там они более защищены от воровства. Так до недавнего времени было и со мной. Простой поход по магазинам обошелся в 0 р. на счету и при этом карта ни разу не была использована. Разве такое возможно? Оказывается вполне даже. Этот пост скорее для тех людей, которые еще верят в защищенность кусочка пластика с магнитной полосой и доверяют ему все свои сбережения.

Техническая сторона

Карта с магнитной полосой

Для данного типа карты информация заносится на магнитную полосу. Карты с магнитной полосой бывают трёх форматов: ID-1, ID-2, ID-3 (наиболее распространен формат ID-1). Магнитная полоса содержит 3 дорожки (чаще всего используют только 2), на которые в закодированном виде записывают номер карты, срок ее действия, фамилию держателя карты и тому подобные данные. Наиболее полно и точно карты с магнитной полосой описаны в стандартах:

• ISO-7810 «Идентификационные карты - физические характеристики»;
• ISO-7811 «Идентификационные карты - методы записи»;
• ISO-7812 «Идентификационные карты - система нумерации и процедура регистрации идентификаторов эмитентов» (5 частей);
• ISO-7813 «Идентификационные карты - карты для финансовых транзакций»;
• ISO-4909 «Банковские карты - содержание третьей дорожки магнитной полосы»;
• ISO-7816 «Идентификационные карты - карты с микросхемой с контактами» (6 частей)

Большинство видов пластиковых карт имеют размер, определённый стандартом ISO 7810 ID-1. Какие же средства защиты (помимо магнитной полосы, на которую заносится информация о владельце) позволяют отличить данную карту среди многих других? Подобная информация так же заносится в штрих код. Например, у «Связного банка» при переводе денег на счет достаточно знать именно штрих-код. Идентифицировать владельца так же можно при помощи образца его личной подписи на обратной стороне. Так же все карты имеют идентификационный номер, срок действия и специальный код CVV2 или CVC2 на обороте. Этих данных достаточно чтобы совершать платежи через Интернет. Многие банки так же наносят на свои карты голографические знаки.

Гибридная карта с чипом

В отличии от карт с магнитной полосой, при совершении транзакций задействуется именно информация с чипа. Чип обладает большим объемом памяти, и информация на нем подвергается более сложному типу шифрования. При осуществлении транзакции картой с магнитной полосой, она всегда имеет одинаковые идентифицирующие карту данные, которые передаются в банк. Поэтому их можно скопировать и изготовить поддельную карту. Микропроцессорная карта работает иначе: каждая транзакция подтверждается специально сформированным для нее кодом, и для каждой последующей операции требуется новый код, сделать дубликат фактически невозможно. Гибридный вариант прижился ввиду сложного перехода техники принимающей карты на новый тип данных. Сейчас чипы умеют читать практически все устройства принимающие пластиковые карты. Если банкомат провел операцию с использование лишь данных с магнитной полосы, то данную транзакцию можно оспорить и банк (владелец устаревшего банкомата) обязан возместить ущерб причиненный держателю карты.

Суровая реальность

• Магнитная полоса с информацией о владельце
• Подпись на обороте карты
• Голограмма с логотипом банка
• СМС-информирование о транзакциях
• Пин-код
• Штрих-код

Что из этого работает ?

Магнитная полоса удачно копируется специальным устройством - скиммером. После чего изготавливается дубликат карты и все что остается это узнать пин-код карты. Для этого обычно в паре со скиммером используется скрытая видеокамера или же если это сам злоумышленник в лице официанта или продавца, то он старается подсмотреть пин-код. Еще более технологичный вариант, когда к устройству ввода подключается считыватель вводимых данных.
Так же для получения данных у владельцев используются фишинговые сайты или рассылки где владельцев карт просят ввести их секретную информацию (номер карты CVV2 или CVC2 и т.п.).
Довольно распространенные случаи, когда злоумышленники портят считыватель карт так чтобы карта там застряла. Если владелец уходит, то появляется злоумышленник и завладевает картой.
Существует разновидность другого метода - кардинга (англ. carding – прочесывание). В этом случае злоумышленник завладевает базой интернет-магазина или какого нибудь онлайн банка и снимает деньги с карт к которым удается получить доступ.
Сейчас набирает обороты более сложный вариант скимминга - шимминг (от англ. тонкая прокладка). Эти устройства в отличие от скиммеров, незаметны: тонкая гибкая плата толщиной около 1 мм вставляется через щель картридера и считывает данные введенных карт, позволяя похитить номер карты и ее пин-код. Эксперты успокаивают, что до России такой вид мошенничества пока не дошел, так как это довольно дорого и трудноосуществимо. (На мой взгляд, мне попался именно этот вариант, так что эксперты могут брать себе на заметку).

Подпись на обратной стороне . Данный тип защиты вообще абсурден, если карта как в моем случае не именная, ибо владельцем может быть любой, кто нанесет подпись. В случае с дубликатом ничего не мешает нанести свою подпись и свои имя, фамилию на изготовленную копию. По своему опыту - проходил пол года с картой где стерлась подпись на обороте и только потом мне указали на это и заставили при них оставить автограф (что еще абсурднее).

Голограмма с логотипом банка . Как способ подтвердить, что у вас не поддельная карта на руках вполне может быть, но не более того.

Штрих-код . Достаточно иметь снимок карты и штрих-код легко дублируется.

Моя любимая часть - СМС-информирование . Очень полезная вещь, вы всегда будете видеть, как утекают ваши деньги. Мои утекли за 2 минуты. На то чтобы дождаться ответа от оператора в банке после череды автоответчиков и переадресаций ушло около 1,5 минут. Надо заметить, что телефон вообще можно оставить дома, или он может разрядиться или не быть доступа в сеть, да и много всего еще. Так что как способ защиты очень сомнителен. Темболее как подсказали пользователи и есть способ вообще блокировать телефон жертвы на момент «потрошения» её карты.

Итоги

Чиповые карты еще называют смарт-картами (в переводе - «интеллектуальная»). В смарт-карту вмонтирован чип, который хранит всю информацию о владельце карты и о состоянии счета без отправки запроса в банк. Чиповые карты могут быть дебетовыми и кредитными, контактного и бесконтактного типа. Чтобы считать информацию с контактной карты, ее необходимо приложить к считывающему устройству. Бесконтактные карты работают на принципе передачи радиосигнала.

Карта с магнитной полосой

В настоящее время карты с магнитной полосой являются самыми популярными во всем мире. С их помощью можно переводить деньги на другие счета, оплачивать коммунальные услуги, оплачивать покупки и так далее. На магнитной полосе располагается три дорожки с данными. Первая содержит фамилию, имя, отчество владельца карты, вторая - номер карты и срок ее действия, третья предназначена для прочей информации.

Почему карта с чипом лучше?

В первую очередь, чиповая карта является более безопасной, чем карта с магнитной полосой, так как благодаря более сложной системе защиты, ее подделать намного сложнее. Кроме того, повредить чип по неосторожности будет также непросто.

Платежи через смарт-карты проходят значительно быстрее, чем через карты с магнитной полосой.

Еще одним положительным моментом чиповых карт является возможность работать в off-line режиме, то есть, если расплачиваться в магазине такой картой, в отличие от карт с магнитной полосой, не нужно наличие связи у торговой точки с банком. Кроме того, магнитные полосы можно легко поцарапать и в результате повредить введенную на них информацию или размагнитить.

Так как чиповая карта – это своего рода микрокомпьютер, она может выполнять многие функции, характерные для обычных компьютеров. Например, карта может хранить информацию по идентификации владельца; на карте может быть выделена область для хранения секретной информации, зашифрованной с помощью криптографического способа.

Встроенный чип обеспечивает карте уникальную идентичность, которую практически невозможно подделать, так как технологии по производству чипов не стоят на месте, а с каждым днем совершенствуются и усложняются. При совершении какой-либо финансовой операции из терминала подается напряжение, чип и, таким образом, определяется подлинность смарт-карты.

Чип гарантирует банкам выполнение всех установленных ими правил по проведению финансовых операций, например, необходимость ввода ПИН-кода при проведении операции.

Таким образом, внедрение карт с чипом максимально повысило защиту карт от фактов их подделки и мошенничества.

Со встроенным микропроцессором (он же – чип), обладающая рядом преимуществ перед классическим пластиком с магнитной полосой. Чиповый пластик уже можно заметить всё больше и больше в обращении, а некоторые банки выпускают даже самые бюджетные карты с чипом (к примеру, Сбербанк стал выпускать исключительно с чипом свои Visa Electron Momentum и Maestro Momentum уже с 2013 года).

Основные преимущества чипа перед магнитной полосой

Рассмотрим основные преимущества пластика с чипом перед магнитной картой, благодаря которым первые активно наводняют рынок, а также поговорим о присущих и тем и другим недостатках.

1. Чип значительно безопасней магнитной полосы . Фактически это полноценный микрокомпьютер со встроенной памятью для хранения данных. Данные защищены крипто-стойкими алгоритмами, а информацию с чипа невозможно скопировать при непосредственном подключении к нему, также практически невозможно сделать его дубликат (понятно, что подделать можно всё, но какими средствами?).

Магнитная полоса легко копируется недорогими устройствами (скиммерами), стоимостью от 100 долларов, после чего злоумышленник может сделать дубликат карты и будет спокойно ей расплачиваться, пока пропажу не заметят и карточку не заблокируют.

Именно поэтому рекомендуют отправляться за границу с чипованной карточкой, особенно если она кредитная (в некоторых странах очень развит ), ведь если своруют с карточного счёта банковские, то отдавать потом придётся свои кровные. Кстати, магнитную там могут и не принять к оплате.

2. Транзакция (обмен информацией с банком-эквайером) по чиповой карте каждый раз подтверждается новым, специально для неё сформированным, кодом . Поэтому перехват транзакции бесполезен. Напротив, магнитная карточка передаёт всегда одни и те же данные, идентифицирующие карту, перехват которых позволит мошеннику восстановить информацию по пластику и создать его дубликат.

Но придётся немного «подпортить картину», т.к. от – кражи данных в интернете с банковской карты (и чиповой, и магнитной), к сожалению, никто не застрахован. При оплате в интернет-магазине владелец пластика вводит в специальную форму оплаты номер карты, срок её действия, имя и фамилию, а также CVV2/CVC2. Если эти данные попадут в руки злоумышленнику (различными путями), то уже никакой чип не спасёт.

3. Пластик с чипом долговечнее магнитной карточки (6-8 лет против 2-3). Если вы часто пользуетесь картой, то наверняка обратили внимание на её состояние через 1-2 года: начинает отслаиваться плёнка с нанесённой на неё магнитной полоской (из-за частых оплат в POS-терминалах торговых точек) и стираться буквы и цифры (особенно ). Кроме этого информация на полосе может быть искажена из-за контакта с сильными магнитными полями.

4. Возможен обмен данными с банком в отложенном режиме (офлайн-транзакции) . В отличие от магнитных карт, по которым обязательна в режиме онлайн, чиповые содержат информацию о состоянии счёта, что позволяет не спрашивать у банка «разрешение» на операцию в реальном времени. Все операции по чиповым картам могут копиться в течение дня и передаваться в (или в процессинговый центр) за один раз (в отложенном режиме).

Что это даёт? Возможность оплаты в торговой точке при отсутствии связи с банком или при неработоспособности серверов в процессинговом центре.

5. Возможен выпуск чиповых карт с различными дополнительными приложениями , как финансовыми, так и нефинансовыми. Спектр таких приложений очень широк и с ними карточка может быть: транспортной (проезд в метро, автобусе, троллейбусе), топливной, идентификационной, с удостоверением личности (паспорт), социальной, бонусной, с медицинской страховкой и так далее. Многие приложения могут сожительствовать на одном пластике, например, кредитная карта транспортная.

Вместе с программным функционалом развивается и аппаратный. Так сейчас популярна технология бесконтактных платежей от MasterCard (её аналог от Visa – PayWav), когда в пластик внедряется NFC-чип с антенной (NFC – технология беспроводной высокочастотной связи малого радиуса действия) и можно оплачивать покупки в одно касание без введения ПИН-кода и подписи на чеке (правда, только для сумм не более 1000 рублей).

Комбинированные карты (с чипом и магнитной полосой)

Но давайте вернёмся к прозе жизни: вы когда-нибудь видели карту только с чипом в России? Скорее всего – нет. Банки в России выпускают (эмитируют) комбинированный пластик с чипом и с магнитной полосой одновременно, видимо, сказывается недостаток инфраструктуры по приёму чисто микропроцессорного пластика (до сих пор не все терминалы и банкоматы могут обслужить чип?). Поэтому клиента обслужат либо по чипу, либо по магнитной полосе, а значит, все недостатки, присущие «магнитным» картам опять всплывают?

Всё именно так, но риски сводятся к минимуму, так как в полосе заложена информация о наличии чипа, и если мошенник сделает копию вашей комбинированной карты, то он не сможет ей воспользоваться в магазинах, где терминал рассчитан на приём чиповых карточек. Терминал в этом случае потребует вставить чип (банкоматы, где есть возможность приёма чипованного пластика также не примут безчиповый дубликат). А вот если POS-терминал «не умеет» считывать данные с микропроцессора, то, к сожалению, операция будет проведена.

Надо отметить, что международные платёжные системы отдают предпочтение именно картам с чипом (в основном из-за повышенной безопасности) и практикуют правило переноса ответственности. Это правило перекладывает всю ответственность на банк-эквайер (обслуживающий карту), если мошенничество по комбинированной карте произошло в торговой точке, не принимающей чип, которая обслуживается этим банком.

Эквайер должен возместить все убытки, если карточку скопировали (скиммировали) в этой торговой точке, но компенсацию, пострадавший держатель пластика, получит только после расследования, когда оно покажет, что человек действительно пострадал от мошенников, а не сам попытался обмануть банк. Добавим это правило в плюсы микропроцессорных карт.

Есть ли недостатки у карт с чипом?

Из недостатков можно выделить медлительность («общение» микропроцессора с аппаратурой банкомата или POS-терминала), хотя при развитии современных технологий задержка будет всё меньше.

Необходимо при оплате вводить , но, скорее, это дополнительная защита.

Чипы значительно дороже своих магнитных сородичей, но при крупных партиях этот недостаток сводится на нет, а потребителя он и вовсе не касается – для него дороже карта не станет. Будем считать, что банки платят за безопасность своих средств (и клиента).

Несомненно, будущее за чиповыми картами, а пластик с магнитной полосой скоро станет такой же редкостью, как часы с кукушкой.

Банковские карты, которые принято именовать кредитными, потихоньку начинают переходить на новый технологический уровень. Так, все более популярными становятся кредитки не с магнитной полосой защиты, а с чипами..

Определение

Карта с чипом — банковская пластиковая карта, идентификационные данные владельца которой вшиты в микросхему.

Карта без чипа — банковская пластиковая карта, идентификационные данные владельца которой записаны на магнитную полосу.

Сравнение

Разница между картой с чипом и картой без чипа — в обеспечении безопасности данных. Банкиры довольно консервативны, и если уж затребовали новые технологии, то причина должна быть очень уважительной. Она и есть: воруют! Вернее, мошенничают. Магнитные полосы научились подделывать, чипы, как более сложную технологию, пока еще нет.

Для обывателя переход на карту с чипом несет как разочарования, так и нехитрые радости. Чип предполагает довольно большой объем информации, а не только данные по банку. Планируется использование банковских карт для хранения электронных билетов или другой персональной информации, облегчающей портмоне честным образом. Водительское удостоверение, медицинская страховка, паспортные данные и многое другое под управлением микропроцессора избавят от многих проблем. Разочарование же заключается в том, что карты с магнитной полосой сегодня принимаются любыми банкоматами и терминалами, где вообще возможен безналичный расчет. Чипы же, как явление относительно новое, знакомы не всякой технике, что может оказаться очень неудобным.

Банки отказываются выпускать карты без чипов. Банкиры перестраховываются, выпуская карты и с чипами, и с магнитной лентой. Безопасность это не повышает, зато удобства не лишает никоим образом. С другой стороны, карты с чипами стоят дороже карт без них, и зачастую расходы скрытно переносятся на потребителя: увеличиваются тарифы на обслуживание.

Выводы сайт

1. Банковская карта с чипом безопаснее, чем с магнитной полосой.
2. Карты без чипа в скором времени исчезнут.
3. Карты с чипом и магнитной полосой не обеспечивают должную защиту информации.
4. К карте с чипом можно привязать другие персональные данные.
5. Карты с чипом могут не обслуживаться в уже установленных неподготовленных терминалах и банкоматах.

Говоря об этом платежном инструменте, придется сравнивать его с привычным аналогом, оснащенным магнитной полосой. Собственно, в этой основе и состоит главное отличие.

Что такое чип? Это микропроцессор, похожий внешне на SIM-карту для мобильного телефона. Если сказать проще, то чиповая карта имеет впаянный миникомпьютер. Специалисты компании Visa говорят, что «пластик» с микропроцессором вмещает в 80 раз больше информации, чем магнитный «собрат».

Получается, что такой инструмент может сочетать множество программ. То есть одна чиповая карта - это и зарплата, и кредит, и социальные выплаты, и дебетовый «пластик» (в разных валютах), и проездной, и накопитель бонусов, и удостоверение личности…

Смерть мошенникам

Безопасность является одним из главных аргументов в пользу чипового продукта. Дело в том, что вся информация по счету содержится на магнитной полосе и на чипе. Но в компьютерном «пластике» эти данные зашифрованы с помощью сложных цифровых кодов и простым скиммером их не считать.

Кроме того, операция по магнитной полосе имеет всегда ОДИНАКОВЫЕ данные, которые отправляются в банк. А вот транзакция по чипу подтверждается специальным кодом, который всегда РАЗНЫЙ. Поэтому даже если мошенники ухитрились подделать чип, им ничего не светит. Хороша теория, правда? Теперь вернемся в суровую российскую реальность.

Чиповая карта: два в одном или ложка дегтя

Представьте, что вы сели в свою машину и поехали на работу. По пути решили заправиться. Да вот беда - все АЗС вдруг пропали. А на их месте - станции, обслуживающие только электромобили.

Грубое сравнение, но суть передает. Отказаться от карт с магнитной полосой - задача архисложная, как говаривал вождь. Слишком много на них завязано. Переход на чиповые карты сопровождается обновлением оборудования или полной его заменой в то время, когда до окончания срока амортизации еще далеко, а также разработкой и установкой программного обеспечения.

В общем, все это очень и очень дорого. Поэтому банки в России выпускают комбинированные карты, содержащие и магнитную полосу, и чип. То есть, если терминал в магазине не настроен на обслуживание чиповых карт, то операция проводится по магнитной полосе (и риск вновь актуален, чип тут никак не поможет).

Нужно учесть, что любая операция по карте с чипом всегда требует ввода ПИН-кода. Многим клиентам это не нравится и они считают, что сами могут выбрать, стоя в магазине, совершать операцию по чипу или магнитной полосе.

Это не так. Приоритет всегда будет отдаваться микропроцессору. Если терминал в торговой точке принимает чиповые карты, но кассир попытается прокатать «пластик» по магнитной полосе, то ничего не получится.

Теперь самое интересное - стоимость. Банкиры утверждают, что карты с чипом стоят так же, как и магнитные. Так ли это?

Чиповые карты - почем опиум для народа?

Сравним условия, которые в настоящий момент предлагают банки. Так, Уральский Банк Реконструкции и Развития все карты, начиная с Visa Classic и MasterCard Standard, оснащает чипом. За кредитную карту мгновенного выпуска (класс Unembossed) сроком на 3,5 года клиент не заплатит ничего, за двухгодичный чиповый «пластик» (Classic и Standard) придется выложить 450 рублей, а за «золотую» карту с чипом - 1500 рублей.

Сбербанк все свои карты (кроме мгновенных, Electron с Maestro и инструментов платежной системы American Express) оснащает чипом. У Сбербанка наблюдается поразительное единство: 750 рублей в год стоят и чиповая кредитная карта, и аналогичная , а также мгновенная кредитка без чипа.

Русский Стандарт пока не спешит баловать своих клиентов. Чипом оснащаются только карты Gold, обслуживание которых стоит 3000 рублей. А вот ОТП Банк вообще не выпускает чиповые карты.

В заключение хочется заметить, что платежные системы Visa и MasterCard видят будущее за чиповыми и бесконтактными картами . Поэтому рано или поздно они принудительно заставят банки обновлять оборудование. И совсем скоро все карты будут с чипом.