Активное развитие рынка мобильных платежей в последние несколько лет делает актуальным вопрос их безопасности. С чем сопоставить защищенность мобильных платежей? Какую роль при этом играют NFC-платежи? На самом деле, ответить на такие, на первый взгляд, простые вопросы сложно, даже для экспертов. Аналитики из американской исследовательской конторы Consult Hyperion, занимающейся анализом рынка электронных платежей, уверены, что бесполезно говорить о “безопасности вообще”. Защищенность одного вида платежей можно сравнивать только с защищенностью другого вида платежей. И для оценки безопасности мобильных и NFC-платежей их следует сравнивать с безопасностью пластиковых карт.
Зная уровень мошенничества с кредитными картами в Европе (согласно Европолу — 1,5 млрд евро в год), производители мобильных платежных устройств и провайдеры NFC-платежей пытаются сделать свой продукт безопаснее этого заявленного показателя. Дэйв Уотерсон (Dave Waterson), генеральный директор британского провайдера решений безопасности для различных устройств SentryBay, перечислил угрозы при осуществлении NFC-платежей и проанализировал возможности защиты:
1. Угроза кражи смартфона с последующим использованием его для покупки товаров.
То же самое может произойти с кредитной картой — ее могут украсть и использовать для покупки товаров. Единственным отличием является то, что люди часто подолгу не замечают утери карты, но сразу замечают, что их телефон был украден.
2. Угроза незаконного размещения NFC-рецепторов в непосредственной близости к вашему смартфону с целью похищения денег. Например, использование незаконно размещенного рецептора в местах скопления народа — переполненный лифт, метро и т. д.
Однако, даже если кто-то вытащит ваш телефон из заднего кармана брюк, все, к чему он получит доступ — тот же номер карты и срок ее действия. Те же данные вы демонстрируете каждый раз, осуществляя платеж с помощью карты.
3. Угроза перехвата сигнала NFC во время проведения операции, перенаправление его и, в результате, перевод средств в другое место.
Это не проблема, так как цифровая подпись, прилагаемая к бесконтактным транзакциям, может удержать мошенников от изменения вектора операции.
4. Вирус на смартфоне.
Это действительно угроза, но скорее для платежных систем на базе мобильных телефонов, а не для NFC-технологии.
Какой вывод из этого следует? Мобильные NFC платежи являются более безопасными, чем карточные. Подобного мнения придерживается и Дэйви Уиндер (Davey Winder), специалист в сфере IT и облачных технологий. В статье о безопасности бесконтактных платежей он пишет: «В силу характеристик мобильных устройств, из-за которых сложнее обмануть пользователя, бесконтактные мобильные платежи имеют все шансы стать более безопасными по сравнению с карточными».
Однако, заявить однозначно, что мобильные платежи являются безопаснее карточных было бы преждевременно, хотя бы потому, что существует огромное количество разных видов мобильных платежей и множество разных типов карт (по крайней мере, два следует различать — с магнитной полосой и чипом). В недавно проведенном исследовании центра Boston Fed рассматривались и сравнивались разные мобильные платежные технологии с точки зрения уязвимости каждой из них. Этот отчет сопоставляет технологию NFC и облачные сервисы с точки зрения безопасности мобильных платежей. Также отчет кратко характеризирует платежи с помощью QR-кодов и прямой биллинг оператора (direct carrier billing, DCB). Каждая технология, согласно Boston Fed, управляет и обрабатывает информацию уникальным путем. Следовательно, безопасность будет зависеть от технологии, задействованной каждым отдельным платежным оператором.
В отчете также рассматривается интересное отличие между мобильным кошельком, в котором платежные данные хранятся на мобильном устройстве, и цифровым кошельком, хранящим информацию в облаке. Эта связь является очень важной в определении безопасности разных платежей, особенно в силу того, что мы движемся от мира мобильных платежей к миру мобильных кошельков, с большим количеством программного обеспечения на мобильном устройстве. «В облаке угроза мобильных вирусов достаточно сильна, так что провайдерам кошелька необходимо будет позаботиться о глубоком понимании структуры каждой мобильной платформы и операционной системы для телефонов, на которых размещен кошелек», — пишет PaymentsJournal.
В отчете Consult Hyperion рассматривается и еще одна функциональная особенность мобильных платежных технологий. Допустим, телефон необходим лишь для того, чтобы хранить ключи к учетным данным в облаке. В таком случае, задача безопасности сводится к более простому вопросу об управлении ключами. Последние могут храниться в безопасном элементе (SE) или в доверенной среде (TEE) на мобильном устройстве, а значит мы можем игнорировать все связи с контрагентами для совершения безопасной платежной операции. Например, компания Giesecke & Devrien создала собственные безопасные решения для осуществления электронных, мобильных и бесконтактных NFC-платежей. Они предложили пользователям сохранять важную платежную информацию в безопасном элементе (SE) или в доверенной среде (TEE), что облегчило и обезопасило процесс осуществления мобильных платежей.
Таким образом, мобильные платежи не только становятся все безопаснее пластиковых карт, но сохраняют тренд нарастающего преимущества в безопасности по сравнению с картами.