Security Lab

Опасное сближение

Опасное сближение
Бесконтактные платежи на технологиях группы NFC предназначены для небольших транзакций типа оплаты проезда или расчёта за мелкие покупки. В них риск из-за недостаточности авторизации компенсируется незначительностью суммы. Ведь авторизация со стороны плательщика состоит главным образом в том, что устройство/карта близко подносится ко считывателю. Факт близости одного к другому рассматривается как санкция пользователя.
  >  

Очевидно, что близость бывает не только по обоюдному согласию. Кроме того, её можно имитировать при помощи  усиливающей сигнал аппаратуры.

А мелкость суммы – это как раз то, что кардеры давно уже эксплуатируют в качестве основной своей защиты. Вменяемый мошенник не пойдёт на преступление, если вероятность начала расследования существенно отличается от нуля. Даже вероятность 1-2% для него слишком высока, потому что воровать приходится многократно. При повторении попыток суммарная вероятность очень быстро  стремится к единице. Приемлемое решение – красть понемногу, так, чтобы банку невыгодно было проводить расследование инцидента, а проще было бы не заметить, списать или взыскать с продавца.

Бесконтактные платежи именно на это и ориентированы – много плательщиков, мелкие суммы, низкие издержки. Последнее подразумевает, что затраты на расследование инцидентов также должны быть низкими. То есть инцидент выгоднее не заметить, чем учинять разбирательство. Предположим, вы строите платёжную систему. Разумеется, закладываете в свои издержки работу службы ИБ. Если хотите быть в прибыли, то рабочего времени у нанятых вами ИБшников хватит на расследование, скажем, 1/5 000 000-й части всех транзакций. Чаще – нельзя. Все остальные подозрительные или обжалованные пользователями транзакции придётся оставить в силе или откатить без разбирательства. Но если их будет больше, чем 1/100 000-я доля, вы начнёте терять на этом деньги. Искусство мошенника заключается в том, чтобы уложить все хищения в указанный промежуток – между 1/100 000-й и 1/5 000 000-й долями.

В настоящий момент бесконтактных мошенников удерживает то, что затруднительно подключиться к системе в качестве мерчанта – субъекта, принимающего платежи. Таковых пока очень мало. Следует подождать 2-3 годика. А потом – только хардкор, только шапочка из фольги.

угрозы банковская тайна НСД кардинг
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

InfoWatch

Блог компании infowatch infowatch.livejournal.com