В материале «Карточные фокусы: криминальный бизнес на банкоматах» мы рассказали о том, как легко потерять деньги на банковском счете, попавшись на удочку кардеров. Причина тому — архаичная система защиты банковских карт родом из 1970-х годов. Информация на магнитной дорожке записана «открытым текстом», а единственным секретным ключом служит короткий PIN-код, который несложно украсть.
Разумеется, финансовая индустрия, ежедневно теряющая от рук мошенников большие деньги, пытается внедрять более совершенные методы защиты транзакций. Пока самым успешным проектом здесь являются карты с чипом (стандарт EMV). После их распространения в европейских странах и Канаде количество преступлений с использованием клонированных карт в этих регионах резко снизилось. А кардеры перенесли свою активность в США и Азию, где карты с чипами пока менее распространены.
Какими могут стать кредитные карты в недалеком будущем
Tweet
Хотя система EMV является большим шагом вперед в защите банковских карт, она тоже далека от идеала и не может защитить от всех угроз. Особенно если учитывать, как быстро совершенствуются со временем криминальные технологии скимминга. Поэтому вполне возможно, что через несколько лет мы будем пользоваться немного другими банковскими картами.
Какие есть варианты? Давайте посмотрим.
Пароль и отзыв
Самое простое решение проблемы слабой защиты — добавить еще один уровень безопасности. Так, например, работает ставшая уже привычной в Интернете схема двухфакторной аутентификации.
И это уже используется при покупках в Интернете. В ходе онлайн-платежа пользователь вводит не только код CVV2, напечатанный на оборотной стороне карты, но и дополнительный одноразовый пароль. Пароль приходит на телефон в виде SMS-сообщения либо создается выданным банком специальным устройством — токеном. Двухфакторная аутентификация используется кое-где и для офлайновых транзакций, особенно если речь идет о крупных суммах денег.
Похожим образом работают банковские карты со встроенными дисплеями. Здесь в обычной кредитке помещается целый компьютер с маленьким жидкокристаллическим экраном и цифровой клавиатурой. Помимо генерации одноразовых паролей он также может хранить в памяти историю совершенных операций, показывать баланс счета и так далее.
Card with keypad adds additional layer of #security http://t.co/5G9O5L1DvH READ how #MasterCard adopted tech http://t.co/CzCD2X8ZYV
— Mastercard News (@MastercardNews) March 17, 2014
Хотя первым экспериментам с интерактивными картами уже больше пяти лет, их сегодня предлагают своим клиентам лишь отдельные банки в Европе, США и развитых странах Азии.
Карта по требованию
Еще более экзотично выглядит разработка американской компании Dynamics. На этой карте магнитная дорожка не записана постоянно, а динамически генерируется электронной начинкой. Генерируется по команде пользователя, который сначала должен ввести пароль на встроенной клавиатуре.
Our security credit card has dynamic codes and a hidden account number. Learn more from @TheStreetTech. http://t.co/v0qqI08yAt
— Dynamics Inc (@dynamicsinc) January 8, 2015
Нет пароля — нет информации на магнитной полосе, нет и транзакции. Более того, нет даже номера карты: часть цифр 16-значной последовательности не напечатаны, как обычно, на пластике, а отображаются на дисплее только после ввода пароля. По заявлению создателей, заряда встроенной в карту батареи хватит на три года.
Извольте ваши пальчики
Парольная защита может быть сколько угодно мощной, но теряет всякий смысл, если забывчивый пользователь не может правильно сохранить секрет. Все, наверное, слышали истории незадачливых персонажей, записывающих PIN-коды прямо на кредитках и благополучно их теряющих.
Радикальное решение парольного вопроса предлагают системы биометрической аутентификации. Норвежская компания Zwipe вместе с MasterCard, например, сейчас проводит в Европе пилотное внедрение карты со встроенным сканером отпечатков пальцев. Все, что нужно для совершения платежа, — это приложить палец к контактной площадке на карте, никакой PIN уже не нужен.
Кванты нам помогут
Несмотря на десятилетия трудоемких исследований, практически применимые квантовые компьютеры по-прежнему остаются для нас недосягаемой мечтой. Зато есть надежда, что необычные свойства квантового мира пригодятся для изготовления идентификаторов, которые практически невозможно подделать.
По крайней мере, так считают нидерландские исследователи из университета Твенте и технологического университета Эйндховена, предложившие идею квантовой защиты банковских карт и удостоверений личности. Их разработка, пока существующая лишь в виде лабораторной модели, получила название quantum-secure authentication (QSA).
Security researchers are using quantum physics for fraud-proof credit cards: Quantum-Secure Authentication me… http://t.co/JTuB8EUxOb
— The INQUIRER (@INQ) December 18, 2014
На крошечный участок обычной пластиковой карты наносят тончайший слой частиц оксида цинка (никакой магии — по сути обычные цинковые белила). Затем по этому участку «стреляют» из лазера отдельными фотонами света. Фотоны попадают в слой наночастиц и затем случайным образом многократно переотражаются внутри. Эта «бомбардировка» меняет оптические свойства слоя частиц и таким образом формирует уникальный ключ.
Если теперь на карту посветить определенной последовательностью коротких лазерных импульсов (вопрос), то в ответ можно получить определенную картину отражения (ответ). Комбинация уникальных пар «вопрос-ответ» для каждой карты хранится в банковской информационной системе и используется для проверки подлинности ключа.
Квантовая защита срабатывает при попытке злоумышленника перехватить вопрос и ответ в ходе совершении транзакции. Любой дополнительный фотодетектор в системе нарушит квантовое состояние хотя бы части фотонов и таким образом «испортит» всю картину.
Альтернативный способ подделки карты путем анализа точного размера, положения и других свойств наночастиц с последующим созданием точной копии практически нереализуем из-за очень высокой сложности процесса.
Разработчики QSA утверждают, что, несмотря на кажущуюся сложность концепции, она легко и относительно недорого может быть реализована на практике с помощью доступных уже сегодня технологий.
Торопимся медленно
Маловероятно, что всеобщее внедрение банками описанных выше систем — дело ближайшего будущего. Финансовая индустрия достаточно консервативна, а массовое внедрение новых технологий — штука весьма затратная.
Поэтому, возможно, первенство в развитии платежных инноваций будет за альтернативными, небанковскими сервисами. Такими, например, как платежные системы Apple Pay или Google Wallet. Или за перспективными новичками — стартапами вроде Coin, Wocket и Plastc. О них мы расскажем отдельно.
Как устроен криминальный бизнес на банкоматах и как не стать целью преступников — http://t.co/SEhJVjiFMz pic.twitter.com/00M0k6orJJ
— Kaspersky (@Kaspersky_ru) January 21, 2015
Кроме того, очень важно, чтобы все преимущества хитроумных решений не сводились на нет несовершенством внедрения, как это сейчас кое-где обстоит с чиповыми картами. Ведь в чем нынче основная проблема: если старинный банкомат или платежный терминал не может прочитать защищенный чип, то он довольствуется магнитной дорожкой, оставленной именно для совместимости со старым оборудованием. И вся защита идет насмарку.