Как предположил представитель антивирусной компании, человек мог снимать у пассажиров деньги с бесконтактных банковских карт прямо в вагоне, просто "потеревшись" устройством о карман или сумку. "Только что встретил мужика, вооружённого вот этим в поезде метро. Ага, без палева так. Был взволнован. Ещё один резон хранить карты PayPass в безопасном месте, лучше экранированном", говорится в сообщении.

Эта публикация вызвала множество откликов от пользователей сети. Кто-то предположил, что это курьер, едущий к заказчику, другие уверены, что подобная кража реальна. Эксперты, опрошенные Metro, разъясняют ситуацию.

Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB

– Кража денег по средствам технологий беспроводной оплаты PayPass и PayWave давно будоражит различные конференции, посвящённые информационной безопасности. Однако при этом почему-то отсутствуют шокирующие новости в СМИ: "У пассажиров одного вагона метрополитена украли деньги с банковских карт". А ведь это очень заманчиво - сделать мощный усилитель сигнала и ездить в час пик по кольцевой ветке. А всё дело в самой технологии бесконтактной оплаты через платежную систему. Проблема заключается в том, что такие платежи безналичные, а получить какие-то реальные деньги так просто нельзя. Да, с помощью терминала или некой радиоудочки можно совершить оплату от имени владельца карты. Для каждой покупки надо будет подносить аппарат к карте ещё раз, то есть сделать некую копию карты посредством радио - нельзя. И тут получатся проблема. Если мы пытаемся украсть деньги, просто "удлинив" радиотракт (как автоугонщики), то нам надо находиться рядом с владельцем карты и настоящим терминалом, в котором мы хотим что-то купить. А это весьма редкая ситуация. Хакер и жертва должны находится рядом на соседних кассах, при этом жертва увидит два смс-сообщения и сразу начнет разбираться, что к чему. Если же говорить просто про оплату, то для получения терминала надо пройти множество проверок от банка, и если на этот терминал будет много "фрода" (сообщений о мошеннических действиях), владельцу терминала придётся давать множество объяснений как банку и платежной системе, так и полиции.

– Таким образом, украсть деньги конечно можно, а если точнее, купить от вашего имени что-то на небольшую сумму (как правило не больше 5000 рублей), однако смысла в этом никакого нет. Обналичивать деньги без раскрытия терминала не выйдет, а покупать что то на настоящем терминале через "удочку" слишком сложно и опасно для преступника. Именно поэтому несмотря на потенциальную возможность хищения, никаких реальных сообщений о них не поступает.

Артём Баранов, ведущий вирусный аналитик ESET Russia

– В целом, схема не выглядит правдоподобной. Если злоумышленник действительно пытается снимать деньги с чужих карт с помощью этого терминала, вряд ли он может рассчитывать на крупные суммы. Во-первых, для транзакции расстояние между устройством и картой не должно превышать 2 см. Если банковская карта лежит в бумажнике или в заднем кармане, устройство не сможет к ней подключиться. Во-вторых, большинство банков устанавливает лимиты на снятие средств при помощи бесконтактных платежей, допустимая к списанию сумма сравнительно невелика. В-третьих, в крупных банках предусмотрена система антифродинговой безопасности, позволяющая быстро обнаружить нелегитимную транзакцию.

– Существует заблуждение о том, что банковские карты с активной функцией бесконтактной оплаты меньше защищены от злоумышленников, чем аналоги с контактной функцией оплаты. На самом деле это не совсем так. При бесконтактной оплате вам не приходится вставлять карту в банкомат или POS-терминал, что представляет собой еще один фактор риска. Банкоматы могут быть оснащены специальными устройствами – скиммерами и накладными клавиатурами, предназначенными для кражи данных карты, а POS-терминалы могут быть заражены вредоносными программами, некоторые из которых получили уже большое распространение. Напротив, для бесконтактной карты такая ситуация исключена, поскольку держателю не нужно вставлять ее в какое-либо устройство считывания, она находится у него в руках. Кроме этого, чип карты, обеспечивающий бесконтактную оплату, не хранит имя держателя карты, ее номер или секретный код, т. е. злоумышленник не сможет получить эти данные. Проводимые бесконтактные транзакции подвергаются шифрованию, обеспечивающему защиту от кражи данных.