Современные платежные технологии обещают удобство, скорость и безопасность. Но как насчёт обратной стороны — уязвимостей бесконтактных карт и смартфонов с NFC? Можно ли действительно “считать” данные карты в метро или магазине? А если да, почему это ещё не стало эпидемией? Разбираемся: какие атаки возможны, где реальность, а где страхи, и как на самом деле защищены бесконтактные платежи.
Как работает бесконтактная оплата через NFC
NFC (Near Field Communication) — это технология ближней радиосвязи, позволяющая устройствам обмениваться данными на расстоянии до 10 см. В контексте платежей она используется в картах Visa payWave, Mastercard PayPass, Mir Pay и других системах.
Когда вы подносите карту к терминалу, происходит обмен данными между чипом карты и приёмником, включающий:
- номер карты (PAN);
- срок действия;
- одноразовый криптографически защищённый токен транзакции;
- данные проверки подлинности карты (сигнатура, ключи и пр.).
При этом — и это важно — PIN-код, CVC и прочие “чувствительные” данные не передаются в открытом виде.
Возможен ли «бесконтактный» взлом карты в толпе?
Один из популярных страхов — возможность считывания карты злоумышленником, стоящим рядом с вами, с помощью скрытого NFC-ридера в рюкзаке или планшете. Теоретически такое возможно. На практике — почти нет. Вот почему:
- Радиус действия NFC крайне мал — максимум 4–6 см в реальных условиях. Нужно почти касаться карты.
- Карты и терминалы реализуют ограничение на количество и частоту попыток — и при подозрительной активности автоматически блокируются.
- Ограничения сумм без PIN-кода делают такие атаки коммерчески нецелесообразными.
- Само получение PAN и срока действия не позволяет провести полноценную транзакцию, особенно в системах с EMV.
И всё же, в рамках экспериментов, исследователи действительно проводили “удалённое” считывание данных карт с NFC, стоя в метро или кафе. Однако использование этих данных для реального платежа — отдельная задача, и она гораздо сложнее.
Какие атаки возможны на NFC-карты
Хотя полностью “взломать” карту в реальных условиях сложно, существуют конкретные векторы атак, которые изучаются и в рамках академических работ, и в практических тестах.
- Relay-атака (атака ретрансляции)
Суть атаки — злоумышленник создаёт «мост» между картой жертвы и настоящим терминалом. Один участник стоит рядом с картой, другой — у терминала, например в магазине. Сигнал с карты ретранслируется, и терминал думает, что карта поднесена к нему.
Это одна из самых опасных атак, потому что не требует физического доступа к карте, а лишь близости. В 2020 году исследователи из ETH Zürich продемонстрировали успешную relay-атаку даже на Google Pay при выключенном экране смартфона.
Однако, успешное её выполнение требует:
- синхронности действий;
- специально разработанного ПО и оборудования;
- обхода защит, внедрённых производителями (например, “tap-to-pay” доступен только при разблокированном экране или активной сессии).
- Skimming данных NFC-карты
Это попытка считывания открытых данных: PAN, срок действия, имя владельца. Подобные данные можно получить через простые приложения на Android или Arduino-модули NFC. Однако, даже если они считаны, их нельзя использовать для онлайн-платежей без CVC/CVV, а для офлайн — требуется EMV-подтверждение.
Некоторые POS-терминалы раньше были уязвимы к таким “подставным” картам, но банки массово реализуют защиту через токенизацию.
- Эксплуатация уязвимостей в прошивке терминалов
Иногда атака идёт не на карту, а на сам POS-терминал или смартфон, принимающий платежи. Это может быть:
- изменение логики обработки сумм (например, обход лимита бесконтактных транзакций);
- внедрение собственного сертификата или ключа;
- использование кастомного терминала, не проверяющего криптографическую подпись EMV-токена.
Подобные атаки гораздо сложнее, но потенциально возможны в странах или точках, где слабый контроль эквайринга.
Атаки на смартфоны
Смартфоны более защищены, чем пластиковые карты. Прежде всего, они используют токенизацию и двухфакторную аутентификацию: даже если злоумышленник перехватит данные сессии, он не сможет провести повторную транзакцию.
Однако были зафиксированы:
- Relay-атаки на Android, где NFC активен даже при заблокированном экране (устранено в последних версиях).
- Использование украденного или утерянного устройства, где Apple Pay остаётся активным на некоторых моделях (временное окно, если не включено отслеживание или не установлен пароль).
- Уязвимости в банковских приложениях, которые управляют NFC-транзакциями (например, утечка токенов или неполное шифрование хранилища).
Защита от атак через NFC: что уже сделано
Карты и устройства, поддерживающие бесконтактную оплату, разрабатываются с высокой степенью защиты. Основные меры:
- EMV-криптография — каждая транзакция генерирует уникальный токен (ARQC), который не может быть повторно использован.
- Лимиты на суммы — транзакции выше определённого порога требуют PIN или биометрии.
- Токенизация в смартфонах — вместо номера карты используется уникальный ID, не имеющий смысла вне контекста конкретной транзакции.
- Временные сессии и таймауты — защита от relay-атак.
Кроме того, банки отслеживают подозрительную активность и быстро блокируют попытки аномального использования карты или телефона.
Как себя защитить: рекомендации пользователям
Даже если атака маловероятна, основные меры предосторожности актуальны:
- Используйте RFID-чехлы или кошельки с защитой (они экранируют сигнал карты);
- Не носите карты с NFC открыто в карманах в общественных местах;
- Установите лимит на бесконтактные транзакции через приложение банка;
- При потере смартфона — немедленно блокируйте платёжные сервисы через «Найти устройство»;
- Не подключайте NFC на устройстве по умолчанию — активируйте только по необходимости.
Можно ли взломать карту через NFC? Теоретически — да. Практически — очень сложно и нерентабельно. Большинство уязвимостей связаны не с самими картами, а с устаревшими терминалами, незащищёнными смартфонами или недостаточной цифровой гигиеной пользователя.