Вы должны знать о том, как легко потерять деньги на банковском счете, попавшись на удочку кардеров. Причина тому — архаичная система защиты банковских карт родом из 1970-х годов, в которой информационная безопасность пользователей не занимает ведущие позиции.
На магнитной дорожке информация записана «открытым текстом», а единственным секретным ключом служит короткий PIN-код, который можно украсть.
Конечно, финансовая индустрия, ежедневно теряющая от рук мошенников большие деньги, пытается внедрять более совершенные методы защиты транзакций. Но одним из приоритетных направлений в банках должно быть обеспечение информационной безопасности всех стадий процесса обслуживания клиентов. Пока самым успешным проектом здесь являются карты с чипом (стандарт EMV). После их распространения в европейских странах и Канаде количество преступлений с использованием клонированных карт в этих регионах резко снизилось.
А кардеры перенесли свою активность в США и Азию, где карты с чипами пока менее распространены. Хотя система EMV является большим шагом вперед в защите банковских карт, она тоже далека от идеала и не может защитить от всех угроз. Особенно если учитывать, как быстро совершенствуются со временем криминальные технологии скимминга. Поэтому вполне возможно, что через несколько лет банковские карты будут другими. Какие есть варианты? Давайте посмотрим.
Карта по требованию
Американская компания Dynamics разработала карту, на которой магнитная дорожка не записана постоянно, а динамически генерируется электронной начинкой. Генерируется по команде пользователя, который сначала должен ввести пароль на встроенной клавиатуре.
Нет пароля — нет информации на магнитной полосе, нет и транзакции. Более того, нет даже номера карты: часть цифр 16-значной последовательности не напечатаны, как обычно, на пластике, а отображаются на дисплее только после ввода пароля. По заявлению создателей, заряда встроенной в карту батареи хватит на целых три года.
Позвольте ваши пальчики
Все, наверное, слышали истории незадачливых персонажей, записывающих PIN-коды прямо на кредитках и благополучно их теряющих. Биометрическая аутентификация позволяет решить проблему запоминания паролей. Норвежская компания Zwipe вместе с MasterCard, например, сейчас проводит в Европе пилотное внедрение карты со встроенным сканером отпечатков пальцев. Все, что нужно для совершения платежа, — это приложить палец к контактной площадке на карте и никакой PIN уже не нужен.
Пароль и отзыв
Одно из самых простых решений проблемы слабой защиты — добавить еще один уровень безопасности. Так, например, работает ставшая уже привычной в Интернете двухфакторная аутентификация. И это уже используется при покупках в Интернете. Когда осуществляется онлайн-платеж, то пользователь вводит не только код CVV2, напечатанный на оборотной стороне карты, но и дополнительный одноразовый пароль. Пароль приходит на телефон в виде SMS-сообщения либо создается выданным банком специальным устройством — токеном. Двухфакторная аутентификация используется кое-где и для офлайновых транзакций, особенно если речь идет о крупных суммах денег.
Похожим образом работают банковские карты со встроенными дисплеями. Здесь в обычной кредитке помещается целый компьютер с маленьким жидкокристаллическим экраном и цифровой клавиатурой. Помимо генерации одноразовых паролей он также может хранить в памяти историю совершенных операций, показывать баланс счета и так далее. Хотя первым экспериментам с интерактивными картами уже больше пяти лет, их сегодня предлагают своим клиентам лишь отдельные банки в Европе, США и развитых странах Азии.
Кванты помогут
Практическое применение квантовых компьютеров по-прежнему остается для нас недосягаемой мечтой. Зато есть надежда, что необычные свойства квантового мира пригодятся для изготовления идентификаторов, которые практически невозможно подделать.
Квантовая защита банковских карт и удостоверений личности это идея, которую предложили нидерландские исследователи из университета Твенте и технологического университета Эйндховена. Их разработка, пока существующая лишь в виде лабораторной модели, получила название quantum-secure authentication (QSA).
На крошечный участок обычной пластиковой карты наносят тончайший слой частиц оксида цинка (никакой магии — по сути обычные цинковые белила). Затем по этому участку «стреляют» из лазера отдельными фотонами света. Фотоны попадают в слой наночастиц и затем случайным образом многократно переотражаются внутри. Эта «бомбардировка» меняет оптические свойства слоя частиц и таким образом формирует уникальный ключ.
Если теперь на карту посветить определенной последовательностью коротких лазерных импульсов (вопрос), то в ответ можно получить определенную картину отражения (ответ). Комбинация уникальных пар «вопрос-ответ» для каждой карты хранится в банковской информационной системе и используется для того, чтобы проверить подлинность ключа.
Квантовая защита срабатывает при попытке злоумышленника перехватить вопрос и ответ в ходе совершения транзакции. Любой дополнительный фотодетектор в системе нарушит квантовое состояние хотя бы части фотонов и таким образом «испортит» всю картину.
Альтернативный способ подделки карты путем анализа точного размера, положения и других свойств наночастиц с последующим созданием точной копии практически нереализуем из-за очень высокой сложности процесса. Разработчики QSA утверждают, что, несмотря на кажущуюся сложность концепции, она легко и относительно недорого может быть реализована на практике с помощью доступных уже сегодня технологий.
Торопимся медленно
Маловероятно, что всеобщее внедрение банками описанных выше систем — дело самого ближайшего будущего. Финансовая индустрия очень консервативна, а массовое внедрение новых технологий — штука весьма затратная. Возможно, первенство в развитии платежных инноваций будет за альтернативными, небанковскими сервисами. Такими, например, как платежные системы Apple Pay или Google Wallet. Или за перспективными новичками — стартапами вроде Coin, Wocket и Plastc.
Кроме того, очень важно, чтобы все преимущества хитроумных решений не сводились на нет несовершенством внедрения, как это сейчас кое-где обстоит с чиповыми картами. Ведь в чем нынче основная проблема: если старинный банкомат или платежный терминал не может прочитать защищенный чип, то он довольствуется магнитной дорожкой, оставленной именно для совместимости со старым оборудованием. И вся защита идет насмарку.
Axarhöfði 14,
110 Reykjavik, Iceland