Можно ли сканировать банковскую карту на сканере
Обновлено: 19.04.2024
В этой статье я хочу изложить вопрос о воровстве денег с карты путем бесконтактного списания. Вопрос отнюдь не праздный т.к. многие пользуются общественным транспортом и в первую очередь метро.
Дело в том, что действительно сейчас большинство банковских карт оборудуется чипом с возможностью бесконтактного списания. В этом случае для проведения платежа карта просто прикладывается к терминалу и происходит считывание.
Давайте разберем этот вопрос более детально.
Возможные варианты мошеннического списания
1. Возможность мошеннического списания с помощью простого терминала
Если использовать стандартный ПОС-терминал, то сделать это достаточно проблематично, т.к. терминал необходимо приложить практически вплотную. Такое может быть, если карта расположена в заднем кармане брюк.
Возможно на это и рассчитывает мошенник заходя в вагон метро или просто прогуливаясь по улице
На этом фото откровенный мошенник, т.к. даже терминал он держит в перчатках, чтобы на нем не оставалось отпечатков пальцев.
Учитывая. что сейчас очень много продается через интернет, то такие переносные терминалы могут быть у обычных курьеров.
2. Использование доработанного терминала
В нашей стране много кулибиных и умельцев, которые вполне могут встроить дополнительный усилитель сигнала и тем самым увеличить его чувствительность и расширить зону его работы.
В этом случае уже будут доступны карты, расположенные во внутренних карманах и сумках. Дамские сумки пожалуй самый желанный для таких мошенников объект.
3. Почему метро очень удобный для мошенников транспорт
Дело в том, что связь в метро не стабильна. Даже если у Вас установлена опция СМС-информирования, то СМС-ка банально может не прийти. Поэтому о том, что списали деньги с моей карты я и не узнаю, хотя СМС- оповещение вроде и установлено. Если внимательно почитать документы банка, то выяснится, что банк не несет никакой ответственности за не доставку СМС-оповещений. Т.е. расходы на услугу есть, а ответственности по сути нет.
Что делать, чтобы избежать таких потерь?
1. Специальный кошелек
На рынке сейчас уже выпускаются кошельки со специальной защитой RFID-safe. Так они называются
Может ли злоумышленник украсть данные карты или деньги, незаметно используя бесконтактные NFC-платежи?
Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?
Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?
Незаметное считывание
Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…
…При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см. Набор, правда, включал в себя рюкзак и тележку из супермаркета, в котором, собственно, и проводился опыт. В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.
Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит. При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции. Очень хлопотный и неудобный способ, но вроде как реалистичный.
Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.
Данные…
Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях. Маловато для чего-то серьезного? В целом скорее да. Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.
Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.
Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.
…или деньги?
Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.
Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.
Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.
Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
Тут, однако, начинается серая зона.
Что, если…
При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.
Что делать-то?
Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.
Мы привыкли использовать телефон с NFC как банковскую карту. А можно ли используя эту технологию прочитать данные физической карточки? Оказывается, можно. И вот вам бесплатное приложение для Андроид, которое поможет вам это сделать.
Что может приложение
Приложение «Считыватель банковских карт» можно скачать по этой ссылке из официального магазина Google Play. Работать программа будет только на телефонах с NFC.
Чтобы прочитать данные своей карты, просто поднесите ее к смартфону. Приложение должно находиться в режиме ожидания.
Отобразится базовая информация о карточке следующего вида.
Чтобы увидеть номер целиком, нажмите на изображение карты на экране и введите 4 последовательные цифры из номера. Например, четыре последних.
Теперь карточка показывается целиком.
Я замазал цифры, но они отображаются корректно — проверено. Ниже виден срок действия, тоже правильно.
Также вы можете посмотреть последние транзакции, которые были проведены с авторизацией этой картой.
В чем практический смысл такой программы? Вы и сами способны прочитать номер карточки. Разве что в вашем распоряжении оказалась половинка карты с чипом.
Вероятно, цель разработчиков — продемонстрировать пользователям, что мошенники могут написать аналогичный инструмент и пользоваться им в местах скопления людей. Например, в торговых центрах, общественном транспорте, в кафе и магазинах. Поэтому старайтесь держать свои банковские карты подальше от чужих телефонов, располагая их как можно глубже в сумке или нагрудном кармане куртки! Так вы защитите себя и свои данные от мошенников.
Еще один отличный способ защитить карты — использовать специальный кошелек или чехол с сеткой Фарадея внутри. Данная сетка блокирует все сигналы, включая NFC/RFID, Wi-Fi, сотовые и радио. Так что злоумышленники могут бесконечно долго и безуспешно пытаться считать данных ваших карт. Стоят такие чехлы не сильно дорого, а польза будет внушительной, если вы часто бываете в людных местах.
Почему именно Clear Scanner
Сделать фото разворота паспорта или договора можно камерой смартфона. Но в этом случае неизбежно возникают проблемы с искажением страницы. Сфокусировать камеру на тексте тоже бывает непросто. Но самая большая проблема — неровный свет. Со вспышкой или без вспышки не избежать теней. Например от самого телефона, расположенного над листом.
А если документ ламинирован, то отсвет вспышки полностью испортит скан.
Что умеет приложение Clear Scanner
Это легкое бесплатное приложение, скачать которое можно по ссылке из официального магазина Goole Play, удобно для сканирования документов. Особенно что называется в полевых условиях, когда некогда или нельзя сделать хороший свет, подобрать настройки камеры для лучшего результата.
Сканирует документ в один клик
Приятная особенность приложения — быстро корректируется геометрия. В большинстве случаев программа сама определяет границы листа и устраняет искажения. Наиболее удачный ракурс скана документа — вид сбоку под небольшим углом. В этом случае тень от телефона не закрывает свет, освещение получается ровным.
А появившееся искажение перспективы легко поправляется Clear Scanner автоматически. Есть несколько режимов улучшения картинки.
Объединять несколько сканов в один
Представьте, что вам нужно отсканировать несколько страниц паспорта. Clear Scanner позволяет объединить несколько сканов в один документ. Выберите документы и нажмите Объединить.
Скан можно переместить в Галерею, чтобы потом прицепить к письму.
Если вы объединили сканы, то весь многостраничный документ можно обработать за раз.
Идея провести аналогичное исследование российского рынка появилась у российских аналитиков практически сразу, но вот реализовать задуманное удалось только сейчас, в 2021 году, когда в функциональности мобильных приложений появилось больше возможностей для их сравнения. Авторы этого обзора: Константин Фрумкин, главный редактор делового журнала «Инвест-Форсайт» и журналист Роман Мамчиц поставили себе цель – показать возможности сканирования банковских карт, которые есть в мобильных приложениях наиболее популярных в нашей стране банков.
Объект исследования. Для тестирования было собрано 10 банковских карт разных платежных систем. К распространенным и привычным всем картам VISA и Mastercard, добавили пока довольно редкую карту, у которой номер находится на задней стороне вместе с CVV. Для расширения и усложнения задачи удалось найти 1 необычный экземпляр: европейскую карту с нанесенным банковским счетом IBAN. Проверка работы сканеров банковских карт была проведена путем установки и анализа банковских мобильных приложений.
Особенности работы банков со сканированием карт. У некоторых банков сканирование карт доступно даже для пользователей мобильных приложений, которые не являются клиентами этих банков, при переводе с карты на карту, либо при активации скачанного приложения. У других банков возможность сканирования карт доступна в мобильном приложении только для клиентов.
Какие бывают банковские карты. Хотя общепринятой классификации платежных карт не существует, при желании их можно разделить:
- по типу платежной системы
- по способу нанесения данных
- по расположению данных на карте
С типом платежной системы все достаточно просто. В нашей стране чаще всего выпускаются карты VISA, MasterCard, МИР, и немного реже встречаются карты Maestro. В мире используются карты и других платежных систем, например, American Express.
Со способом нанесения и расположения данных дела обстоят сложнее. Данные на карте могут быть как рельефными, так и плоскими (flat-печать). Рельефные карты бывают двух типов: с выдавленной и вдавленной информацией (номер карты, срок действий, имя владельца) на поверхности карты. Эти способы нанесения данных называются эмбоссированием и индент-печатью соответственно. Как правило, рельефные символы дополнительно окрашиваются в серебристый или золотой для эмбоссированной печати и в черный или белый для индент-печати. Этот процесс окрашивания называется типированием.
Реквизиты на поверхности карты могут располагаться по-разному. Обычно номер и срок действия карты расположены горизонтально на лицевой стороне карты, но сейчас выпускаются и нестандартные карты, на которых, например, номер и срок действия размещаются на обратной стороне.
Различные способы нанесения и размещения символов на поверхности карты, как оказалось в ходе исследования, влияют не только на внешний вид и на ощущения при прикосновении к карте, но и на возможность сканеров их считывать.
Проведение тестирования. Для испытания сканеров кредитных карт было отобрано 10 карт:
3 с индент-печатью
Результаты тестирования. Результаты оказались неожиданными. Все проверенные сканеры мобильных банков можно четко разделить на 2 группы. У одной группы эти сканеры не работают вообще, а сканеры другой группы работают, наоборот, очень хорошо. В первую группу попали мобильные банки, у которых сканеры работали одинаково плохо и справились только с одной картой. Этой картой оказалась эмбоссированная карта Росбанка, на ней был распознан только номер. Для считывания этими сканерами необходимо было ровно поместить карту в специальную интерактивную рамку так, чтобы границы рамки и карты совпали, что доставляло определенное неудобство. Цвет этой рамки отличается от банка к банку, но принцип работы этих сканеров оказался одинаковым. У некоторых из них в интерфейсе на экране выводилась надпись Card.io.
При попытке распознавания других карт сканеры этих банков или вообще не смогли их увидеть или, захватив границы карты, не смогли извлечь реквизиты. Процесс распознавания становился бесконечным, и для выхода из режима сканирования пользователю нужно принудительно возвращаться на предыдущий экран и вводить данные карты вручную. Для того, чтобы исключить ошибку, при неудаче каждый раз делалась дополнительная попытка сканирования.
В эту группу попали:
Альфа-Банк
Положительным оказалось то, что у Альфа-Банка есть демо версия мобильного приложения, которая позволяет протестировать его различные функции и не быть клиентом. Среди этих функций есть возможность перевода с любой карты на любую другую. Интерфейс функции сканирования представляет собой зеленую рамку. При захвате карты в процессе распознавания экран вне рамки становится черным. Когда сканер не может распознать карту, процесс продолжается бесконечно, и необходимо нажимать кнопку “отмена” и вводить данные вручную.
Для сканирования необходимо точно подвести границы карты по краям рамки. Приложение смогло захватить и увидеть все карты, но ему удалось распознать только карту Росбанка.
Сбербанк
В мобильном приложении Сбербанка интерфейс функции сканирования карты представляет собой зеленую рамку (темнее чем у Альфа-Банка). Когда сканер не может распознать карту, процесс становится бесконечным, приходится нажимать стрелочку “назад” и вводить данные вручную. Для сканирования необходимо точно поймать карту в рамку. В отличие от Альфа-Банка приложение Сбербанка не смогло захватить и увидеть все карты, но при этом ему также удалось распознать карту Росбанка. Удивительно то, что Сбербанк не смог распознать три свои собственные карты. Более того, одну из этих карт он даже не увидел.
Банк Открытие
Интерфейс функции сканирования в приложении мобильного банка “Открытие” представляет собой зеленую рамку и водяной знак card.io в правом верхнем углу. При захвате карты в процессе распознавания экран вне рамки становится черным. Когда сканер не может распознать карту, он показывает окошко с текстом “Извините, не получилось отсканировать номер карты” и предлагает ввести данные вручную или попробовать ещё раз. Для сканирования также необходимо точно навести карту в рамку. Сканер Банка Открытие смог распознать карту Росбанка.
Райффайзенбанк
В приложении Райффайзенбанка сканер можно проверить при регистрации. Есть поля для ввода номера, срока действия и CVV, но считывается только номер карты. Интерфейс функции сканирования представляет собой желтую рамку без водяных знаков. При захвате карты экран вокруг нее чернеет. Для сканирования необходимо найти правильный ракурс и поместить карту в рамку. Аналогично другим банкам из первой группы, сканер Райффайзенбанка справился только с картой Росбанка. Остальные карты он смог лишь захватить в рамку.
Росбанк
Интерфейс функции сканирования доступен при регистрации в приложении и представляет собой зеленую рамку с текстом без каких-либо водяных знаков. При захвате карты экран вокруг нее становится черным, точно так же как и у Альфа-Банка. Для сканирования также необходимо точно поместить карту в рамку. Подобно остальным банкам из первой группы, сканер захватывал все карты, но смог распознать данные только карты своего банка.
Банк Русский Стандарт
В приложении Банка «Русский Стандарт» интерфейс функции сканирования представляет собой зеленую рамку с водяным знаком card.io. При захвате карты экран вокруг рамки чернеет. Для сканирования необходимо точно совместить карту и рамку. Это приложение также справилось только с картой Росбанка.
Банк ВТБ
В приложении Банка ВТБ при сканировании карты показывается белая рамка без водяных знаков. При захвате карты экран вокруг рамки чернеет. Когда не получается распознать данные карты, процесс становится бесконечным, и приходится нажимать кнопку «Отмена». Для сканирования необходимо поймать карту в рамку. Сканер приложения Банка ВТБ захватил все карты, но удалось, опять же, распознать только данные карты Росбанка.
Во вторую группу попали сканеры мобильных банков Тинькофф, МКБ и МТС, которые продемонстрировали настоящий мастер-класс по чтению банковских карт. Эти сканеры успешно справились с поставленной задачей. Тинькофф банк даже смог считать цифры из номера IBAN карты европейского банка. Сканеры МТС Банка и МКБ, никак не отреагировали на номер карты IBAN. Стоит также отметить, что Тинькофф банк показал очень высокую скорость распознавания. МКБ и МТС Банк оказались примерно на одном уровне, заметно уступая по скорости распознавания Тинькофф банку.
Тинькофф банк
Приложение Тинькофф банка позволяет распознать как номер карты, так и срок действия и + CVV, если эти данные находятся на одной стороне карты. Карту можно показывать как угодно, нет рамки, в которую нужно поместить карту для сканирования. Более того, для распознавания карту можно даже перевернуть вверх ногами.
Решение смогло мгновенно распознать все карты. Считывание происходит настолько быстро, что не успеваешь навести камеру на карту, как номер и срок действия уже внесены в окно ввода данных. Интересно, что на карте IBAN, приложение Тинькофф банка, немного помедлив, захватывает случайные подряд идущие 16 цифр из номера (22 символа, включая 2 буквы вначале номера).
Московский Кредитный Банк (МКБ)
Интерфейс сканирования при регистрации карты в приложении МКБ представляет собой выделенную область, которая предполагает размещение в ней банковской карты, но не требует точно подгонять карту. Получалось сканировать карты под разными углами. Этот сканер для распознавания карт можно оценить достаточно высоко. В отличие от сканера в Тинькофф банке, он никак не отреагировал на номер карты IBAN. Хочется отметить, что в приложении есть возможность сделать перевод с карты на карту до регистрации и входа в сам мобильный банк, но в нем почему-то этот сканер еще не подключен.
МТС Банк
Преимуществом приложения МТС Банка является возможность пользоваться им, не будучи клиентом этого банка. Достаточно ввести номер телефона и зарегистрироваться. После этого можно пользоваться различными функциями приложения, включая перевод средств с карты на карту.
Сканер МТС Банка очень хорошо считывает все данные с карт. Не только номер и срок действия, но и имя владельца карты. Интерфейс представляет всплывающее окно с экраном камеры без рамки. Сканировать карту можно так же, как и в приложении Тинькофф банка - даже перевернув ее. Распознавание происходит быстро, но перед ним сканер несколько медлит, а затем быстро захватывает карту и распознает все данные. Этим сканером смогли считать все карты, кроме карты IBAN.
Таблица. Результаты тестирования сканеров банковских карт
Итог
Лучше всех себя показал сканер в мобильном приложении Тинькофф банка. Ему удалось моментально распознать данные 10 карт из 10. Следом за ним идут сканеры мобильных приложений МКБ и МТС Банка, которые смогли распознать все карты кроме европейской карты, хотя и уступили Тинькофф банку по скорости.
Что касается других банков из этого обзора, то их клиентам более целесообразно сразу вводить данные карты вручную, так как использование сканера банковских карт в их мобильных приложениях в большинстве случаев может оказаться пустой тратой времени.
Текст: Константин Фрумкин, главный редактор делового журнала «Инвест-Форсайт», Роман Мамчиц, специально для Национального банковского журнала (NBJ)
Автор статьи
Читайте также: