Почему попытка кражи денег с Samsung Pay обречена на провал?

Почему попытка кражи денег с Samsung Pay обречена на провал?
Фото

        Когда-то на смену наличным деньгам пришли пластиковые карты. Но и они постепенно уходят в прошлое, а технологии продолжают нас удивлять: сегодня каждый может пойти в магазин и оплатить покупки смартфоном. Однако многих от использования таких благ цивилизации останавливают страхи, подогреваемые СМИ. Тут и там слышны байки о том, что со смартфонов крадут деньги, а в метро с помощью беспроводных терминалов вытягивают зарплаты прямо из карманов ничего не подозревающих пассажиров. Мы решили не поддаваться на эмоции и досконально разобраться в алгоритмах работы Samsung Pay и мерах безопасности этой системы. Спойлер: мошенники абсолютно бессильны.

Настройка Samsung Pay: почти автоматически

Система Samsung Pay работает на всех последних флагманах южнокорейской компании:  Samsung Galaxy S7/S7 edge, Samsung Galaxy A3 (2017)/A5 (2017)/A7 (2017), Samsung Galaxy A5 (2016)/A7 (2016), Samsung Galaxy Note 5, Samsung Galaxy S6 edge+, Samsung S6/S6 edge (только NFC). Прежде, чем начать пользоваться мобильным платёжным сервисом Samsung Pay, вам необходимо настроить защиту смартфона -  паролем либо отпечатком пальца - и войти под своим аккаунтом Samsung. После этого  приложение Samsung Pay предложит привязать банковскую карту. Это можно будет сделать и позже, нажав соответствующую кнопку на главном экране приложения.

Samsung Pay

Первым делом Samsung Pay попросит вас навести камеру смартфона на лицевую сторону карты для автоматического считывания информации с неё. Если по каким-то причинам камерой воспользоваться нельзя, вы можете ввести данные карты вручную. После того, как программа считает номер карты и срок действия, потребуется ввести имя владельца и CVC-код. Возможность поддержки карт в Samsung Pay определяется как банком-эмитентом, так и платёжной системой.

Если карта подходит, вам будет предложено её проверить. Нам оказалось достаточно ввести полученный в SMS пароль (сообщение отправляется на номер, привязанный к карте), но в некоторых случаях может потребоваться звонок в банк.

Samsung Pay

На заключительном этапе нужно поставить свою подпись пальцем на экране, чтобы при необходимости продавец мог сличить её с подписью на чеке. На этом настройка закончена - можно отправляться в магазин и тестировать оплату.

Samsung Pay Samsung Pay

 

NFC + MST: поддержка большинства терминалов

Помимо NFC, во всех смартфонах с поддержкой Samsung Pay (за исключением смартфонов Galaxy S6/S6 edge) используется технология Samsung - MST. Её название расшифровывается как Magnetic Secure Transmission. Практически для любого терминала, поддерживающего оплату картой с магнитной полосой, смартфон Samsung с поддержкой MST не будет ничем отличаться от этой карты. Это значит, что возможность использования Samsung Pay не ограничена терминалами с поддержкой бесконтактных карт - Visa payWave или MasterCard PayPass. Чтобы совершить платёж с помощью MST, смартфон Samsung Galaxy необходимо приложить задней панелью к магнитному считывателю терминала, который расположен сбоку.

Задумываться о том, какой радиомодуль будет использован для оплаты, не нужно. Чтобы перевести смартфон в режим платежа, необходимо сделать «свайп» от нижней границы экрана, «вытянув» виртуальную карту. Эта опция доступна на выключенном или заблокированном экране, а также на рабочих столах. Если полупрозрачный край карты отвлекает, вы можете самостоятельно выбрать, когда будет доступен быстрый вызов Samsung Pay. После «вытягивания» карты вам останется только приложить палец к сканеру отпечатков - и смартфон на 30 секунд перейдёт в режим оплаты. В течение этого времени аппарат нужно поднести к терминалу, а если оплата проходит через MST - прислонить задней панелью к считывателю магнитных карт.

Samsung Pay Samsung Pay Samsung Pay

В зависимости от политики безопасности вашего банка при превышении лимита покупки от вас может потребоваться ввод PIN-кода на терминале. Значение лимита обычно то же, что и при оплате банковской картой.

Информация о совершённой через Samsung Pay покупке не только придёт по SMS, но и будет сохранена в приложении.

Samsung Pay

 

Безопасность: тройной заслон

Безопасность финансовых операций в мобильных устройствах обеспечивается соблюдением ряда строгих мер, которые мы условно разделим на три ступени. Первая - обеспечение безопасности на самом устройстве. Samsung Pay не будет работать на вашем смартфоне, если вы разблокируете загрузчик, получите права суперпользователя или вызовите срабатывание счётчика Samsung KNOX каким-либо другим способом. Это не понравится любителям глубокой кастомизации своих гаджетов, но даже они должны согласиться с тем, что сохранность денег важнее.

Samsung Pay

Ещё один рубеж для вредоносного ПО на пути к вашим платёжным данным - технология Samsung KNOX. Это безопасная область на устройстве, доступ к которой извне не может получить ни одно стороннее приложение. Иными словами, её содержимое, включая программу Samsung Pay, надёжно защищено независимо от операционной системы смартфона и скрыто от всего окружения (включая потенциально вредоносное ПО), которое находится снаружи «песочницы».

Samsung Pay

Наконец, в Samsung предусмотрели и защиту от посторонних людей, которые захотят воспользоваться вашим устройством. Работа Samsung Pay невозможна без защиты смартфона паролем или отпечатком пальца. По утверждению самой компании, вероятность ошибки сканера отпечатков пальцев в её устройствах составляет не более 0,002%, поэтому мы рекомендуем пользоваться именно этим методом разблокировки. К тому же, ПИН-код достаточно просто подсмотреть во время его ввода владельцем.

Конечно, с помощью ряда технических ухищрений может изготовить копию вашего отпечатка и попытаться обмануть сенсор. Одному исследователю удалось это сделать, распечатав рисунок отпечатка пальца на обычном струйном принтере с помощью токопроводящих чернил. Но не стоит впадать в панику: на смартфонах Samsung Galaxy отпечаток - это не картинка BMP, а цифровое значение. Распечатать её невозможно.

Второй уровень защиты - это непосредственно алгоритм работы Samsung Pay. Для успешного совершения платежа терминал должен получить от смартфона «платёжный сигнал», состоящий из токена и криптограммы. При добавлении банковской карты в программу гаджет не считывает и не копирует её (если она оснащена чипом, это вовсе невозможно), а получает данные о карте непосредственно от эмитента. Именно поэтому платёжный сервис поддерживают не все банки. Полученная информация от банка-эмитента включает специальный цифровой код - токен, который сервис Samsung Pay использует вместо номера карты. Каждый токен отличен от номера карты. Уникальный токен создаётся при каждой попытке добавить карту в приложение Samsung Pay, что контролируется платёжными системами.

Samsung Pay

После запуска Samsung Pay в Сети появились сообщения о том, что номера токенов не генерируются случайным образом, а, значит, их можно предсказать и использовать во вред владельцу карты. На самом деле, это не совсем так: как банковская карта бесполезна без ПИН-кода, так и токен бесполезен без криптограммы. Криптограмма генерируется на основании информации о токене, данных платёжной транзакциии и секретного ключа, хранящегося в защищённом пространстве Samsung KNOX. Криптограмма уникальна для каждой отдельной транзакции (по NFC или MST) и может быть использована только для одной покупки, что контролируется платёжными системами. Сгенерировать или угадать криптограмму постороннему человеку или устройству невозможно. Единственный способ заполучить её - перехватить в момент платежа. Но и в этом случае воспользоваться «подслушанным» сигналом платежа будет крайне маловероятно. Злоумышленнику не только придётся поднести считывающее устройство в момент покупки почти вплотную к смартфону, так ещё и успеть воспользоваться «похищенным» сигналом раньше оригинального платежа. Кроме того любая мало-мальски крупная транзакция требует подтверждения ПИН-кодом.

Отдельно стоит сказать, что просто поднеся терминал к лежащему в кармане смартфону злоумышленник ничего не добьётся, в отличие от обычных бесконтактных карт, с которыми такой «фокус» проделать действительно можно. И не стоит забывать, что данные магнитной полосы скопировать и использовать как минимум для покупок в Интернете вовсе не сложно. Другими словами, бессмысленность подобных действий со смартфоном с Samsung Pay - ещё один плюс в копилку этого сервиса.

 

Про кражи и потери смартфона

Если так случилось, что вы не уследили за своим гаджетом и он был потерян или украден, это не повод начинать беспокоиться о деньгах на привязанных к Samsung Pay картах. Samsung Galaxy всегда защищён паролем, отпечатком пальца и системой безопасности KNOX, и в руках злоумышленника будет попросту бесполезен.  В любом случае, не теряйте бдительность и обязательно свяжитесь с банком для блокировки токенов в связи с утратой гаджета, а также зайдите на сайт FindMyMobile и удаленно сотрите всю информацию на устройстве, включая платёжные данные для Samsung Pay.

 

Потеря карты

Потерять можно не только смартфон, но и банковскую карту. В этом случае все банки рекомендуют как можно скорее заблокировать карту, но, если вы рискуете остаться совсем без денег или допускаете, что карту оставили где-то у себя в квартире, то вы можете повременить и оплачивать дальше покупки через Samsung Pay. Хотя некоторые банки идут навстречу клиенту и не блокируют токен для Samsung pay в случае утраты банковской карты. Но помните, что затягивать с блокировкой карты крайне нежелательно: злоумышленники могут воспользоваться данными вашей банковской карты например для покупок в Интернете.

 

Заключение

Как вы могли убедиться, использование Samsung Pay требует не большей осторожности, чем оплата обычной банковской картой. К тому же большинство защитных мер выполняются приложением Samsung Pay в автоматическом режиме: система не даст вам «выстрелить себе в ногу», если вы отключите блокировку экрана или попытаетесь разблокировать загрузчик. Samsung Pay действительно обеспечивает надёжную защиту вашим финансам. А чтобы обезопасить себя по максимуму, необходимо придерживаться двух простых правил - не включать режим оплаты заранее и не давать свой гаджет в руки посторонним людям. Этого вполне достаточно, чтобы всегда быть спокойным за свои деньги и даже полностью перейти на оплату покупок смартфоном.

 

Лайфхак, как играть в тяжелые игры на слабом ПК Лайфхак, как играть в тяжелые игры на слабом ПК Интернет
Как играть в современные требовательные игры на компьютере, смартфоне, планшете и даже на телевизоре Smart TV.
Как устранить царапины с дисплея телефона? Как устранить царапины с дисплея телефона? Технологии
Три шага, прямые руки и экран как новый.