Будущее мобильных платежей: смартфона хватит

Будущее мобильных платежей: смартфона хватит

Будущее мобильных платежей: смартфона хватит

Как сделать платежи более безопасными и сможет ли мобильный телефон заменить банковскую карту, обсудили на 6-м Международном ПЛАС-Форуме в Москве.

Мобильный телефон как полноценное платежное средство

По данным GfK, к 2019 году более 80% продаж мобильных услуг будут приходиться на мобильный интернет.

В ближайшем будущем при помощи мобильных телефонов будут осуществляться все функции безналичных платежей, в том числе генерация паролей, ключей, подтверждения и пр.

«Все платежные функции, которые на сегодняшний момент присутствуют в интернет-банках, в итоге все равно мигрируют полностью в мобильные устройства, вне зависимости от того, какой это платеж — онлайн или офлайн», — спрогнозировала Оксана Смирнова-Крелль, президент Intervale.

Все платежные функции, которые на сегодняшний момент присутствуют в интернет-банках, в итоге все равно мигрируют полностью в мобильные устройства

Рынок мобильных платежей развивается очень активно, и банковской сфере достаточно сложно успеть за быстро меняющимися тенденциями. Зависимость от регуляторов и многие другие сдерживающие факторы не позволили финансовым организациям занять ту нишу, которую оккупировали сейчас мобильные операторы.

На сегодня существует большое количество профессиональных игроков, и основными держателями мобильных кошельков и проводниками платежей пока остаются мобильные операторы. Но теперь и им придется нелегко — им предстоит конкурировать с крупнейшими вендорами мобильных телефонов и программного обеспечения — iOS, Android и WinPhone, которые уже заговорили о создании собственных платежных систем.

Что касается бесконтактных платежей, Национальная система платежных карт пока довлеет над современными технологиями. Несмотря на то что популярность NFC-платежей становится все больше, основой безналичных платежей в России пока остается банковская карта. Прочное место в мобильных устройствах занимают простые платежи и переводы.

Если говорить о мировых трендах, зарубежный рынок мобильных платежей движется по пути создания более открытой системы. Зарубежные банки рассматривают открытые платежные платформы и решения как перспективный инструмент интеграции сторонних сервисов в свои корпоративные системы.

«Тренд на открытость обусловлен желанием более активно использовать данные пользовательских транзакций», — объяснила Оксана Смирнова-Крелль. Кроме того, есть тенденция ухода от сложных приложений к моноспециализированным, поскольку пользователю неинтересно пользоваться чем-то сложным.

Мобильный телефон вместо магнитной карты

Магнитные карты скоро могут не понадобиться, предсказывают специалисты: привычным источником для оплаты станет банковский счет, а не банковская карта. Это связано с устаревшими представлениями о безопасности платежей. То, что магнитная карта является более безопасной с точки зрения идентификации человека, далеко не так.

С точки зрения использования магнитной карты есть много неоднозначных технических моментов. К примеру, всем известно, что CCV-код указан прямо на карте. Таким образом, доступ ко всем возможностям онлайн-использования этой карты получает человек, имеющий карту на руках, и необязательно это будет ее владелец.

«Почему на карте не написать тогда сразу PIN-код?» — заметил Виктор Достов, председатель совета Ассоциации «Электронные деньги». Отображение на карте имени и фамилии человека — тоже весьма спорный момент, позволяющий использовать личные данные владельца.

Мобильный телефон вместо паспорта

Сегодня, чтобы пройти полную идентификацию, человек должен прийти в офис банка и показать паспорт. Однако соотношение по надежности между использованием паспорта и мобильного телефона весьма неоднозначно.

У нас сейчас происходит примерно следующее: человек приходит в банк, показывает паспорт, получает ключи. Но что дальше? «А дальше он уезжает отдыхать куда-нибудь на Бали, передает ключи кому-то другому, и у банка нет информации, кто пользуется ключами и где он находится», — рассказал Виктор Достов. Банк может идентифицировать владельца только на моменте выдачи ключей, но операции по карте он не контролирует, и на выходе их может осуществлять любой другой человек.

Если идентифицировать человека по мобильному телефону, можно как минимум понимать, где человек находится в момент совершения операции.

«У нас есть мобильные телефоны, которые становятся все умнее и безопаснее, и мы думаем, что генерация паролей и все, что связано с идентификацией, сейчас переедет в мобильные телефоны», — рассказал Виктор Достов.

Мобильные телефоны становятся все умнее и безопаснее, и все, что связано с идентификацией, в конце концов переедет в них

Один из примеров новых подходов, когда идентифицируется персона, а не набор документов, — по лицу. Человек при первом посещении магазина привязывает свою банковскую карту к своему лицу, и дальше, когда он снова приходит в магазин, камера его идентифицирует и распознается его банковская карта. Когда человек подходит к кассе, кассир проверяет по фотографии на терминале, действительно ли это владелец карты, и все, что остается сделать, — нажать кнопочку для оплаты.

В реализации такой технологии есть много неоднозначных моментов, поскольку биометрия сама по себе вещь очень сложная. Тем не менее в Индии, например, уже 600 миллионов человек прошли такую идентификацию, и никаких проблем не возникло.

Для того чтобы сделать платежи более безопасными, нужно менять саму модель «идентификация документа, а не человека». В этом направлении, как отметил Виктор Достов, скорее всего, упор будет делаться на аутентификацию.

Банковское обозрение

Мария Точилова, директор по развитию продуктов, цифровых и технологических сервисов платежной системы «Мир», рассказала «Б.О» о сервисе мобильных платежей Mir Pay и планах его развития

— Мария, как вы оцениваете развитие технологии бесконтактной мобильной оплаты в России?

— Эта технология развивается в нашей стране достаточно быстро, в этом плане мы идем в ногу с мировыми трендами. По нашим оценкам, сейчас не менее 15% операций оплаты в России совершается с помощью токенизации. Для сравнения: в начале 2017 года около 1% всех операций оплаты в России приходилось на токенизированные мобильные платежи. Сегодня практически каждый держатель банковской карты хотя бы однажды пробовал расплатиться за покупку с помощью смартфона.

Согласно опросу ПС «Мир», у трети жителей России есть мобильные телефоны с функцией NFC-оплаты. Из них 65% пользуются этой функцией, при этом около 50% делают это регулярно.

Последний Global payments report от Worldpay показал, что наличные и дебетовые карты являются наиболее популярными методами оплаты в офлайнe. По оценке Worldpay, каждая третья оплата в мире в 2018 году проходила с помощью одного из этих инструментов. При этом ожидается, что уже в 2022 году роль наличных денег для мирового населения значительно снизится, а вот роль электронных кошельков, наоборот, возрастет. Если в 2018 году на электронные кошельки приходилось 16% оплат в наземном эквайринге, то в 2022-м ожидается рост их доли до 28%. То есть они практически сравняются с дебетовыми картами по популярности у потребителей. И это еще один довод в пользу большого будущего мобильных платежей.

— Чем отличается сервис Mir Pay от аналогичных сервисов мобильных платежей?

— Главным отличием сервиса мобильной бесконтактной оплаты Mir Pay является то, что это уникальное независимое платежное решение, разработанное не производителем смартфона или операционной системы, а национальной платежной системой страны. Важно, что данное приложение ни в чем не уступает по функциям аналогам, однако работает только с картами «Мир». Технология реализована для смартфонов на базе Android версии 6.0 и выше с поддержкой NFC-платежей. Мы работаем над расширением линейки устройств, которые в будущем смогут осуществлять оплату с помощью Mir Pay.

Не менее 15% операций оплаты в России совершается с помощью токенизации

Помимо функции бесконтактной мобильной оплаты пользователям Mir Pay доступно получение уведомлений в приложении о различных интересных и выгодных акциях ПС «Мир» и ее партнеров. Кроме того, приложение умеет общаться со своим пользователем, например приветствовать его или сообщать об успешных операциях. Функционал сервиса будет расширяться.

— В каких сферах наиболее востребована оплата с помощью Mir Pay?

— Мы видим, что люди все активнее начинают расплачиваться, используя Mir Pay. Причем интерес этот проявляется повсеместно, во всех сферах ритейла. Больше всего оплат с помощью Mir Pay проходит в супермаркетах, предприятиях общественного питания и на автозаправках, а также в магазинах электроники.

Средний чек при оплате Mir Pay сейчас равн 522 рублям. В супермаркетах с помощью Mir Pay одна покупка осуществляется в среднем на 350 рублей, на автозаправках — на 670 рублей, а при приобретении электроники держатели карт «Мир» тратят около 3 тыс. рублей за покупку.

Читать еще:  Как сорвать большой куш и получить доход 7833%

Мы также видим, что максимальное количество оплат через Mir Pay в POS-терминалах приходится на пятницу, а минимальное — на воскресение. В целом, это соответствует платежным трендам рынка банковских карт.

— Mir Pay стал первым масштабным доступным решением для проведения мобильных платежей на Крымском полуострове. Насколько его жители активно используют этот сервис при покупках?

— С момента запуска платежной системой «Мир» сервиса Mir Pay в марте 2019 года с его помощью было проведено несколько десятков тысяч операций. Республика Крым является регионом, наиболее активно использующим Mir Pay. Наши данные показывают, что Симферополь — лидер среди городов России по количеству и объему операций, совершаемых с помощью Mir Pay. Далее следуют Севастополь, Санкт-Петербург, Москва и Уфа.

По данным ПС «Мир», помимо Симферополя наибольшее количество оплат с помощью Mir Pay осуществляется в Севастополе. Совокупно на эти два города Крымского полуострова приходится четверть операций через сервис бесконтактной мобильной оплаты платежной системы «Мир». Средний чек в Симферополе при этом составляет 502 рубля, а в Севастополе — 546,5 рубля.

Симферополь — лидер среди городов России по количеству и объему операций, совершаемых с помощью Mir Pay

Санкт-Петербург и Москва с небольшим отрывом делят между собой третье и четвертое места среди городов с наибольшей долей оплат через Mir Pay — в них этот показатель составляет около 7% в каждом. При этом средний чек оплаты через Mir Pay в северной столице почти в полтора раза выше — 764 рубля против 485 рублей в Москве. Замыкает пятерку наиболее активно расплачивающихся с помощью Mir Pay городов Уфа — на ее долю приходится около 4% общего количества операций посредством данного сервиса со средним чеком 337 рублей.

— Использовать Mir Pay для оплаты могут клиенты любого банка?

— На текущий момент к сервису Mir Pay можно подключить карты «Мир» 21 кредитной организации: ВТБ, Альфа-Банка, Почта Банка, Россельхозбанка, СМП Банка, РНКБ, Промсвязьбанка, банка «Ак Барс», банка «Центр-инвест», Уральского банка реконструкции и развития, Московского кредитного банка, АБ «Россия», банка «Уралсиб», Алмазэргиэнбанка, Газпромбанка, банка «Санкт-Петербург», МТС Банка, Азиатско-Тихоокеанского банка, Генбанка, Московского индустриального банка и Новобанка. Список банков постоянно пополняется.

Для того чтобы начать платить с помощью Mir Pay, необходимо установить из Play Market одноименное платежное приложение на смартфон и привязать к нему любые банковские карты «Мир» присоединившихся к сервису банков (подойдет в том числе карта без функции бесконтактной оплаты). Платить Mir Pay можно в любом терминале, в котором принимаются бесконтактные карты «Мир». Чтобы оплатить покупку, достаточно просто разблокировать смартфон и поднести его к POS-терминалу, заходить в приложение Mir Pay для этого необязательно. Клиент полностью контролирует процесс покупки, самостоятельно разблокируя смартфон перед оплатой. Приложение Mir Pay можно скачать бесплатно, плата за пользование им также не взимается.

— Насколько безопасно оплачивать покупки с помощью Mir Pay?

— Оплата товаров и услуг через Mir Pay абсолютно безопасна и соответствует не только правилам безопасности платежной системы «Мир», но и всем международным стандартам безопасности. Реквизиты карты «Мир» не хранятся в смартфоне и никогда не раскрываются при совершении платежей. Вместо настоящего номера карты используется сформированный особым образом цифровой код — токен.

Кроме того, для совершения оплаты с помощью Mir Pay подключение к сети необязательно, так как для проведения бесконтактного мобильного платежа на смартфоне в зашифрованном хранилище резервируются уникальные ключи оплаты, их количество ограничено. Восстановление соединения с Интернетом может понадобиться только в случае его длительного отсутствия — чтобы загрузить новые ключи.

Будущее мобильных платежей: смартфона хватит

По данным GfK, к 2019 году более 80% продаж мобильных услуг будут приходиться на мобильный интернет.

В ближайшем будущем при помощи мобильных телефонов будут осуществляться все функции безналичных платежей, в том числе генерация паролей, ключей, подтверждения и пр.

«Все платежные функции, которые на сегодняшний момент присутствуют в интернет-банках, в итоге все равно мигрируют полностью в мобильные устройства, вне зависимости от того, какой это платеж — онлайн или офлайн», — спрогнозировала Оксана Смирнова-Крелль, президент Intervale.

Все платежные функции, которые на сегодняшний момент присутствуют в интернет-банках, в итоге все равно мигрируют полностью в мобильные устройства

Рынок мобильных платежей развивается очень активно, и банковской сфере достаточно сложно успеть за быстро меняющимися тенденциями. Зависимость от регуляторов и многие другие сдерживающие факторы не позволили финансовым организациям занять ту нишу, которую оккупировали сейчас мобильные операторы.

На сегодня существует большое количество профессиональных игроков, и основными держателями мобильных кошельков и проводниками платежей пока остаются мобильные операторы. Но теперь и им придется нелегко — им предстоит конкурировать с крупнейшими вендорами мобильных телефонов и программного обеспечения — iOS, Android и WinPhone, которые уже заговорили о создании собственных платежных систем.

Что касается бесконтактных платежей, Национальная система платежных карт пока довлеет над современными технологиями. Несмотря на то что популярность NFC-платежей становится все больше, основой безналичных платежей в России пока остается банковская карта. Прочное место в мобильных устройствах занимают простые платежи и переводы.

Если говорить о мировых трендах, зарубежный рынок мобильных платежей движется по пути создания более открытой системы. Зарубежные банки рассматривают открытые платежные платформы и решения как перспективный инструмент интеграции сторонних сервисов в свои корпоративные системы.

«Тренд на открытость обусловлен желанием более активно использовать данные пользовательских транзакций», — объяснила Оксана Смирнова-Крелль. Кроме того, есть тенденция ухода от сложных приложений к моноспециализированным, поскольку пользователю неинтересно пользоваться чем-то сложным.

Мобильный телефон вместо магнитной карты

С точки зрения использования магнитной карты есть много неоднозначных технических моментов. К примеру, всем известно, что CCV-код указан прямо на карте. Таким образом, доступ ко всем возможностям онлайн-использования этой карты получает человек, имеющий карту на руках, и необязательно это будет ее владелец.

«Почему на карте не написать тогда сразу PIN-код?» — заметил Виктор Достов, председатель совета Ассоциации «Электронные деньги». Отображение на карте имени и фамилии человека — тоже весьма спорный момент, позволяющий использовать личные данные владельца.

Мобильный телефон вместо паспорта

У нас сейчас происходит примерно следующее: человек приходит в банк, показывает паспорт, получает ключи. Но что дальше? «А дальше он уезжает отдыхать куда-нибудь на Бали, передает ключи кому-то другому, и у банка нет информации, кто пользуется ключами и где он находится», — рассказал Виктор Достов. Банк может идентифицировать владельца только на моменте выдачи ключей, но операции по карте он не контролирует, и на выходе их может осуществлять любой другой человек.

Если идентифицировать человека по мобильному телефону, можно как минимум понимать, где человек находится в момент совершения операции.

«У нас есть мобильные телефоны, которые становятся все умнее и безопаснее, и мы думаем, что генерация паролей и все, что связано с идентификацией, сейчас переедет в мобильные телефоны», — рассказал Виктор Достов.

Мобильные телефоны становятся все умнее и безопаснее, и все, что связано с идентификацией, в конце концов переедет в них

Один из примеров новых подходов, когда идентифицируется персона, а не набор документов, — по лицу. Человек при первом посещении магазина привязывает свою банковскую карту к своему лицу, и дальше, когда он снова приходит в магазин, камера его идентифицирует и распознается его банковская карта. Когда человек подходит к кассе, кассир проверяет по фотографии на терминале, действительно ли это владелец карты, и все, что остается сделать, — нажать кнопочку для оплаты.

В реализации такой технологии есть много неоднозначных моментов, поскольку биометрия сама по себе вещь очень сложная. Тем не менее в Индии, например, уже 600 миллионов человек прошли такую идентификацию, и никаких проблем не возникло.

Для того чтобы сделать платежи более безопасными, нужно менять саму модель «идентификация документа, а не человека». В этом направлении, как отметил Виктор Достов, скорее всего, упор будет делаться на аутентификацию.

Читать еще:  Топ-10 вакансий на дому

Текст подготовила Елизавета Королева.

Превращаем смартфон в инструмент для приёма денег

Вы сталкивались с ситуацией, когда в магазине или в такси не было сдачи с крупной купюры? Или когда у вас с собой лишь банковская карта, а в ресторане, как назло, принимают только наличные? Пластиковые карты потихоньку отвоёвывают у купюр место в портмоне. За отмену налички выступают ведущие мировые экономисты. Россия не отстаёт — даже председатель правления Сбербанка Герман Греф предлагает упразднить наличный расчёт.

Чем раньше мы научимся работать с безналом, тем проще будет жить, когда утихнут хруст банкнот и звон монет. Тем более, в наше время для приёма карточек достаточно телефона и небольшого девайса, который умеет читать банковский пластик.

Назад в будущее мобильных платежей

Технология мобильного эквайринга зародилась в США в конце двухтысячных. Первым и самым популярным провайдером был и остаётся проект Square . Самые известные российские поставщики: 2can , LifePay , Яндекс.Касса и Pay-me . Кроме того, многие банки предлагают собственные мобильные решения без посредников. Давайте разберёмся, как это работает и что требуется от нас с вами, чтобы войти в волшебный мир mPOS-терминалов.

Задавшись целью принимать безнал при помощи мобильного телефона, первым делом нужно приобрести мобильный терминал (он же mPOS или кардридер). Этот маленький кусочек пластика подключается к разъёму для наушников и обучен читать карты. Чаще всего такие устройства считывают информацию с магнитной ленты. Для этого достаточно шоркнуть картой через специальный зазор на корпусе устройства, ввести информацию о платеже, телефонный номер покупателя (для отправки электронного чека по СМС) и попросить клиента расписаться на экране смартфона.

Наше государство ведёт себя осторожно, поэтому даже при оплате через мобильный терминал требует выдавать ещё и бумажные чеки. Это значит, вам нужно купить и зарегистрировать ещё и кассовый аппарат. Стоит такая штука 20–30 тысяч рублей и потребляет ещё 500–2000 в месяц за обслуживание. Кассовый чек не требуется только тем компаниям, которые оказывают услуги населению и выписывают квитанции на бланках строгой отчётности.

На первый взгляд, мобильный эквайринг не упрощает жизнь — по-прежнему нужен дорогой кассовый аппарат. Но если ваша цель — больше зарабатывать, а не меньше тратить, учитесь собирать деньги всем удобными для клиента способами. Чтобы принимать банковские карты, всё равно потребуется стационарный или мобильный терминал. Плюсы последнего очевидны: простота в использовании и отслеживании транзакций, компактность и отсутствие необходимости регистрировать mPOS в налоговой.

Сфер применения куча:

  • интернет-магазины (при оплате курьеру)
  • транспортные услуги, такси
  • предприниматели по-вызову (бытовые, медицинские и прочие услуги)
  • лотки, ларьки, киоски
  • кафе, парикмахерские, маленькие магазинчики

Подключаем мобильный эквайринг

Процесс подключения у разных провайдеров отличается, но в общем предстоит следующее:

  • заключить договор с провайдером (набор необходимых документов минимален, часто хватает скана паспорта и ИНН)
  • попросить провайдера настроить техническую интеграцию
  • получить мобильный терминал и скачать специальное мобильное приложение
  • подключить ридер, авторизоваться в личном кабинете, заполнить реквизиты и начать приём платежей

Этот процесс можно провернуть за несколько дней. Мы справились за 3. Если понадобится кассовый аппарат, его можно приобрести вместе с мобильным терминалом у поставщика услуг мобильного эквайринга или у рекомендованных партнёров.

Учитываем мобильные платежи в налогах

Ещё раз напомним, что кардридер на учёт в налоговой инспекции ставить не нужно. Деньги, принятые через мобильный терминал, в налогах учитываются просто: отбиваем кассовый и электронный чеки, ждём поступления на расчётный счёт и отражаем доход на всю сумму, которую заплатил клиент, с учётом комиссий.

Если вы платите налоги с разницы между доходами и расходами, не забывайте учесть в расходах комиссию платежной системы. Она удерживается сразу при переводе денег на ваш расчетный счёт (то есть денег вы получите меньше, чем заплатил покупатель). Но учесть комиссию можно только в конце месяца, когда платежная система пришлёт акт. Если у налоговой появятся вопросы, этот акт можно будет скачать и показать инспектору. Если комиссию берёт банк, никакого акта не требуется и расходы можно учитывать сразу.

Многие предприниматели для собственного удобства отбивают кассовые чеки пачкой в конце дня. Формально, это нарушение закона о кассовой дисциплине и оно сурово преследуется (до 50 000 рублей штрафа для юрлиц и до 5000 для ИП и). На практике небольшие компании редко на этом попадаются и предпочитают рискнуть, чтобы не таскать с собой громоздкую машинку для печати чеков.

Ограничения

Лимит на сумму платежей устанавливается индивидуально. Например, Яндекс.Касса по умолчанию позволяет принять одним платежом не больше 15 000 рублей, в сутки — 100 000, а в месяц — 500 000. Но лимиты можно расширить, обратившись в техподдержку сервиса.

Если вы хотите принимать зарубежные карты (особенно AmEx или UnionPay), следует уточнить, поддерживает ли такую возможность поставщик мобильного эквайринга.

В первую очередь нужно выяснить у провайдера, дружит ли ридер с вашим смартфоном или планшетом. Поставщики мобильного эквайринга поддерживают большинство устройств на iOS и Android, а вот обладателям телефонов на Windows Phone и более экзотических ОС придётся сложнее.

Поломки

Мобильные терминалы устроены нехитро, поэтому работают стабильно и долго. У всех ридеров есть гарантийный срок — 1 год. В случае поломки устройство можно вернуть или обменять.

Большинство провайдеров мобильного эквайринга переводят деньги на ваш расчётный счёт уже на следующий день после совершения платежа, и проблемы возникают редко. Но если деньги застряли, волноваться не стоит. Позвоните в службу поддержки провайдера, и они во всём разберутся.

Безопасность

Чаще всего безопасность волнует самого покупателя, который не привык доверять карточку смешному квадратику, приклеенному к смартфону. Но причин для беспокойства нет. Мобильный терминал настолько же безопасен, как и машинка, через которую мы прокатываем карточку на кассе.

Мобильные решения используют тот же интернет (только вместо туговатого GPRS это может быть более шустрый 3G или даже LTE) и те же принципы защиты данных. Информация шифруется карт-ридером и обрабатывается на сервере провайдера, куда попадает по защищённому каналу. Сервера компаний поставщика должны быть сертифицированы по стандарту безопасности индустрии платёжных карт PCI-DSS.

Сервис, который предоставляет услуги мобильного эквайринга, берёт комиссию за каждую транзакцию. Условия у всех примерно одинаковые — за каждый платеж с вас удержат от 2,7% до 3%. Сам терминал обычно выдают бесплатно, дополнительных денег за обслуживание и поддержку тоже не берут.

Время попробовать!

Мы хотим, чтобы безнал был повсюду. Это упрощает жизнь и освобождает карманы от мятых бумажек. Если вы до сих пор носитесь с огромным POS-терминалом или вовсе отказываетесь от безналичных денег, настало время попробовать кое-что получше.

А чтобы попробовать было легче, мы подружились с сервисом Яндекс.Касса и договорились о специальных условиях только для своих. Оставьте заявку по специальной ссылке , а ребята из Яндекс.Кассы подарят 3 месяца обслуживания по тарифу Премиум на все методы онлайн-оплаты и при любом обороте вашей компании. За это время можно познать прелести мобильного эквайринга и сделать жизнь своих клиентов чуточку проще.

Интересные посты из прошлого:

Все статьи мы анонсируем в Телеграме . Ещё там найдёте новости, советы и лайфхаки для предпринимателей. Присоединяйтесь 🙂

Чем опасны мобильные платежи

Последние модели смартфонов облегчают карманы своих покупателей в прямом и переносном смысле – они немало стоят и, похоже, начинают заменять клиентам кошельки. Мобильный банк в смартфонах уже не новость, а вот к возможности оплатить покупку прикосновением гаджета к терминалу по технологиям Apple Pay и Samsung Pay пользователи только привыкают.

Переход в цифровой мир чреват иллюзией безопасности: умный гаджет сам за себя постоит. Но это так лишь отчасти – безопасность зависит в первую очередь от поведения самого пользователя, говорят эксперты. Поэтому, какими бы финансовыми приложениями для смартфонов вы ни пользовались, прежде стоит освоить технику безопасности мобильных платежей.

Задачка для хакеров

В конце сентября и начале октября в Россию пришли технологии мобильных платежей Samsung Pay и Apple Pay, и за прошедшее время они еще не успели стать трофеями киберпреступников. По крайней мере, представителям опрошенных «Ведомостями» банков, а также представителю Samsung на момент подготовки заметки о хищениях известно не было. Как следует из рассказов экспертов, киберпреступников ждет непростая работа.

Читать еще:  Профессиональное выгорание: причины и профилактика

Обе технологии работают по схожему принципу: к приложению «кошелек», предустановленному на смартфонах, привязывается банковская карта (ее данные сканируются камерой или вводятся вручную). Добавление карты сопровождается вводом одноразового пароля, который приходит на номер владельца карты, либо ответами на вопросы колл-центра банка.

Хакер не дремлет

Со II квартала 2015 г. по I квартал 2016 г. включительно хакеры похитили у российских владельцев Android 348,6 млн руб., что на 471% больше, чем за аналогичный период предыдущего года, сообщала компания Group-IB. Киберпреступники становятся более искушенными, автоматизируют свои хищения.

Оплатить покупку в магазине можно, просто поднеся телефон к платежному терминалу, а транзакцию клиент подтверждает отпечатком пальца (у Samsung Pay еще и четырехзначным кодом).

На своем сайте Apple рассказывает, как обрабатывает банковскую карту клиента. Когда пользователь вводит карточные данные, устройство не запоминает их, а шифрует и отправляет в Apple. Далее к ним добавляются другие зашифрованные данные об устройстве (в том числе о номере телефона, названии и модели) и после отправляются в банк. После подтверждения карты именно банк или платежная система создает уникальный номер учетной записи устройства, который в зашифрованном виде возвращается в Apple для записи в защищенный чип на устройстве, указывает Apple на своем сайте.

Как Apple Pay и Samsung Pay меняют платежный бизнес

При каждом платеже создается так называемый токен, в формировании которого участвует номер учетной записи, объясняет собеседник, знакомый с технологией Apple Pay. Токен – уникальный 16-значный номер, не совпадающий с номером физической карты (вообще не хранится на устройстве), рассказывает эксперт одного из российских банков. В том и суть системы безопасности Apple Pay: украденный злоумышленником токен не позволяет вывести деньги, поскольку для этого помимо самого токена нужен гаджет, а записать его на чип подменного устройства можно, лишь пройдя описанный Apple круг, т. е. никак, объясняет эксперт по безопасности одной из российских IT-компаний, изучавший технологии Apple и Samsung.

Samsung Pay также использует токены и защищенную память, сообщает компания на своем сайте.

Обе технологии, по мнению экспертов, с точки зрения безопасности равноценны.

С таким токеном нельзя подойти к банкомату и попробовать снять деньги или расплатиться в интернете. Благодаря токенам платежи Apple Pay и Samsung Pay значительно лучше защищены от традиционных способов кражи с карт – скимминга и фишинга, уверяет вице-президент «ВТБ 24» Ашот Симонян.

Мобильные платежные приложения таких компаний, как Apple, Samsung, Google, как, впрочем, и мобильные приложения самих банков, используют эту технологию, чтобы обеспечить безопасность транзакций, добавляет руководитель департамента по инновациям и развитию новых продуктов компании Visa в России Михаил Батуев.

Нет контакта

В отличие от привычных бесконтактных технологий (Visa PayWave или Mastercard PayPass) ApplePay и Samsung Pay лишены двух их серьезных недостатков, рассказывает руководитель отдела безопасности мобильных приложений компании Positive Technologies Артем Чайкин. Во-первых, PayWave и PayPass не требуют подтверждения PIN-кодом операций на сумму до 1000 руб., а новинки Apple и Samsung требуют подтверждения любой транзакции. Во-вторых, NFC-чип пластиковой карты всегда активен. Если поднести к ней устройство, имитирующее работу POS-терминала, можно как минимум получить список последних транзакций по карте, а иногда и вовсе совершить несанкционированную транзакцию, объясняет эксперт. А на заблокированном телефоне NFC-модуль отключается, считывание информации невозможно.

Директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев уверен, что пластиковые карты с PayPass/PayWave более уязвимы, чем Apple Pay и Samsung Pay: с бесконтактного чипа можно скопировать номер карты, срок ее действия и специальный код. Такой набор не позволяет воспроизвести полноценную магнитную или чиповую карту, но им можно пользоваться при оплате в некоторых слабозащищенных ресурсах интернета и при операциях, где не используется технология 3D-Secure, объясняет Голенищев. Но все подобные операции легко оспариваются, успокаивает он. С Samsung Pay такие данные скопировать невозможно, уверяет представитель Samsung.

Кража смартфона ничего не даст злоумышленнику – у него не будет доступа к системе оплаты и он не сможет списать деньги или сделать дубликат карты, соглашаются Голенищев из Альфа-банка и представитель Сбербанка. Без отпечатка пальца провести оплату невозможно, а его подделка – слишком трудоемкое дело, продолжает Симонян из «ВТБ 24».

Из-за того что Apple Pay не сохраняет информацию о банковской карте на смартфоне или сервере, в случае кражи смартфона восстановить данные карты или сделать ее дубликат невозможно, говорит представитель «Тинькофф банка» Дарья Ермолина. Если же телефон, например, утонул, достаточно заново подключить карту на новый смартфон, поясняют Ермолина и представитель Samsung. Представитель Сбербанка рекомендует для спокойствия удаленно заблокировать привязанные к утонувшему устройству карты, благо такой сервис у производителей есть.

Во время транзакции также невозможно снять больше денег, чем одобрил клиент, уточняет представитель Сбербанка.

Цифровая гигиена

Но теоретическая опасность для пользователей Apple Pay и Samsung Pay все же остается. Она может исходить от злоумышленников, владеющих методами социальной инженерии, считает Симонян. За последний год эти методы набрали популярность: пользуясь данными из открытых источников (социальных сетей, объявлений о продажах товаров, сетей знакомств), злоумышленники выведывают у пользователей информацию о доступе к дистанционным сервисам банков, соглашается заместитель руководителя управления дистанционного бизнеса банка ВТБ Александр Солонин. Получив данную информацию, они могут действовать от имени клиента.

Такие злоумышленники способны привязывать похищенные данные карты к Apple Pay или Samsung Pay, объясняет Симонян. Уберечься от этого просто: не сообщать никому PIN-код карты, CVV/CVC-коды и коды, поступившие по SMS, – они нужны, чтобы привязать карту к смартфону, говорят эксперты. На российском рынке попыток пока не было, но за границей они уже случались, знает Симонян.

И все же полностью исключать потерю денег при платежах Apple Pay или Samsung Pay не стоит.

Чайкину из Positive Technologies известно об исследовании, в котором утверждается, что, перехватив несколько токенов, можно предугадать следующий.

Впрочем, пока злоумышленники редко прибегают к сложным способам хищения денег, а бесконтактные платежи требуют физического доступа к устройству – значит, повышают риски для злоумышленников, рассуждает Чайкин. Поэтому сейчас самым популярным способом хищения денег остаются мобильные трояны и атаки на мобильные банки, заключает он. На смартфон пользователя устанавливается вредоносный софт, который читает sms и получает доступ к личному кабинету банка.

По словам Голенищева, из-за малой технической грамотности пользователи сами потворствуют киберпреступникам. Они не устанавливают антивирусы на гаджеты, используют бесплатные точки WiFi, переходят по непроверенным интернет-ссылкам и открывают вложения в неизвестных письмах, которые могут содержать зловредный код, перечисляет он.

Популярный у киберпреступников способ хищения со смартфона – попытки перевода денег через sms-банкинг, рассказывает Виктор Чебышев из «Лаборатории Касперского». Банковская карта привязана к телефону, а управлять деньгами можно через sms. Поэтому злоумышленнику достаточно заразить устройство жертвы, отправить и перехватить два sms-сообщения, рассказывает Чебышев. Еще киберпреступники могут вынудить пользователя перевести им деньги, запугав его порчей файлов на устройстве, продолжает эксперт.

Во всех случаях хищений, что обнаружила Group-IB (см. врез), пользователи сами устанавливали софт из непроверенных источников, рассказывал «Ведомостям» замруководителя лаборатории компьютерной криминалистики компании Сергей Никитин. Android-cмартфону можно и нужно запретить это делать, отмечал он. А в Apple в iOS такой штатной возможности просто нет. Аналогичных вирусов и хищений для Apple iOS Group-IB не обнаружила.

Представитель Сбербанка предостерегает от jailbreak (процедуры, снимающей ограничения Apple на установку и функционирование приложений) смартфона. Архитектура iOS выстроена так, что каждая программа выполняется в строго отведенном для нее участке памяти и с ограниченными полномочиями. А jailbreak дает приложению полный административный доступ к файловой системе и ресурсам смартфона. Это позволяет установить в обход AppStore какое угодно приложение – в том числе и такое, за которым скрыт зловредный код.

Ссылка на основную публикацию
Adblock
detector