Пластиковая карта — чертовски небезопасный инструмент. В благополучных странах вроде Европы и США каждый десятый гражданин (с акцентом на богатые домохозяйства и кредитки) сталкивается в течение года с тем или иным видом посягательств на его «пластик». Тем не менее исчезать карты не собираются, что объясняют двумя причинами. Первая: карта действительно удобней бумажных денег. Вторая: в сравнении с ежегодно проходящими через карточные системы суммами, суммарные объёмы украденного ничтожны (опять-таки приближённо, это триллионы долларов против миллиардов).
Понятное дело, при таких вводных, VISA, MasterCard и другим проще не замечать карточных мошенников, нежели с ними бороться (что, как часто утверждается, они и делают). Однако за последние месяцы кое-что в «пластиковом» мире изменилось принципиально. На рынок вышла Apple со своим мобильным кошельком Apple Pay — и вскрыла ещё одну, принципиально новую проблему старого инструмента.
Вообще, конечно, пока рано утверждать, что Apple Pay одолел всех конкурентов. Аналогичный по функциональности Google Wallet работает уже несколько лет, в самое ближайшее время подтянутся новые игроки вроде Samsung Pay (которая основана не на NFC, а имитирует магнитную полосу карты) и часто упоминаемой теперь CurrentC (завязанной на QR-коды и продвигаемой ассоциацией гигантов розничной торговли: Best Buy, Walmart и пр.). При этом все системы страдают от общих бед: пользователь может расплатиться только в ограниченном числе магазинов и стран, записать в память смартфона «пластик» только некоторых банков и т.п.
Так или иначе, Apple подошла к вопросу серьёзно — и многие верят ей, когда она утверждает, что уже вышла на первое место по обороту: якобы, два из каждых трёх долларов, уплачиваемых через мобильные кошельки в США, проходят через сервис Apple. Впрочем, лучшим доказательством превосходства Apple Pay является как раз тот факт, что именно он вскрыл проблему, о существовании которой совсем недавно никто даже не подозревал.
Знаете, как работает мобильный кошелёк типа Apple Pay или Google Wallet? Просто и всегда приблизительно одинаково. Для начала пользователь фотографирует пластиковую карту, либо вводит её номер и сопровождающую информацию в специальное приложение на смартфоне. После этого настаёт черёд проверки банком: Apple отправляет банку-эмитенту карты некоторую идентифицирующую пользователя информацию (имя мобильного устройства, неполный номер телефона, географическое положение, длину истории транзакций в iTunes-аккаунте) и если банк находит её недостаточной, он может предпринять дополнительные действия. Обычно человеку звонят и просят предоставить некоторые добавочные сведения, вроде номера карточки соцстрахования. Всё, теперь телефоном можно платить: его подносят вместо карты к карточному терминалу, немедленно устанавливается контакт по NFC, телефон принимает запрос на платёж и показывает на своём экране окошко с суммой. Остаётся только жмакнуть «OK» и платёж будет совершён.
До последнего времени считалось, что «платить смартфоном» не только удобней, но и безопасней, потому что такая схема добавляет несколько лишних слоёв защиты к уже имеющимся у пластиковой карты. Информация о карте хранится в особо защищённом чипе, iPhone проверяет отпечаток пальца, да ещё и передаёт продавцу вместо номера карты некий заменяющий его код. Вот почему когда нынче зимой (т.е. всего два-три месяца спустя после запуска Apple Pay) банки, подписавшиеся сотрудничать с Apple, зафиксировали всплеск мошеннических транзакций, у них случился своего рода ступор. «Защищённый от мошенников» Apple Pay генерировал в десятки раз больше фродовых платежей, чем среднестатистический «пластик»! К концу февраля о происходящем пронюхала пресса и скандал начался.
Но чтобы понять, как мошенникам удалось обойти многоуровневую защиту, стоит остановиться и взглянуть на происходящее так сказать под другим углом. Что такое запись пластиковой карты в память телефона? Да выпуск дубликата! В чистом виде!
Изготовление дубликата пластиковой карты — операция нетривиальная, требующая специального оборудования, ресурсов, знаний, опыта. И не всегда осуществимая: проще всего клонировать карты старого образца, с магнитной полосой. Но даже самый зелёный ламер может изготовить «виртуальный дубликат» любой «кредитки», воспользовавшись мобильным кошельком Apple Pay или Google Wallet! Украл номер карты, вбил его в кошелёк, профит! Правда, вероятно, придётся пройти процедуру проверки банком, но, во-первых, спрашивают там ерунду, которую обычно нетрудно предварительно разузнать, во-вторых, предъявлять оригинал карты не требуют, а в-третьих, банки сами заинтересованы в успехе той же Apple Pay. Так что задача упрощается.
Немногочисленные эксперты, пытающиеся мыслить нешаблонно и анализировать ситуацию, сходятся во мнении, что совсем юная индустрия мобильных кошельков столкнулась с неразрешимым парадоксом. С одной стороны, вроде бы можно ужесточить проверку сохраняемой в телефон карты. С другой, это определённо отпугнёт многих пользователей: предоставлять банкам какую-либо ценную информацию о себе, необходимость вспоминать её — гарантированная головная боль, ведь мобильных кошельков скоро будет огромное множество. Но есть ещё и третья грань: проверку осуществляют колл-центры, в которых сидят люди, а людей можно обмануть, да и держать большой штат накладно.
Выходит, сделать проверку подлинности виртуальной карты трудно, тогда как нарастить масштабы криминального бизнеса легко. Считается, что кардеры, эксплуатирующие Apple Pay, активно пользуют базы номеров, похищенные в сетях супермаркетов (помните ограбление Target?). Точно так же покупаются на чёрном рынке и iTunes-аккаунты.
В чистом остатке мы пока имеем тупик, из которого выход только один: назад, то есть отказ от мобильных кошельков. Пока рынок делят лишь Apple Pay и Google Wallet, проблему ещё удаётся удерживать от огласки. Но с запуском Samsung Pay и CurrentC, с популяризацией платформы Android Pay (суть: универсальный API для построения мобильных кошельков), выходом «умных» часов и браслетов с той же функциональностью (Apple Watch — первая ласточка), проблема виртуальных дубликатов обострится настолько, что обыватель может и не выдержать, начать протестовать. Чем будут тушить пожар тогда?