ИБ. Защита бесконтактных банковских карт и эмуляций

Раз уж от бесконтактных банковских карт (на карте совмещены чип и NFC) не скрыться и добрались они даже до массовых зарплатных проектов, стоит ждать роста количества атак на них (скрытые списания, копирования, клонирования).  Давайте посмотрим какие у нас есть варианты более безопасного использования их:



1.       Экранирующий чехол с защитой RFID / NFC. Но покупать и использовать чехольчик для каждой отдельной карты – неудобно. Скорее уж при обновлении кошелька, выбирать сразу с RFID защитой.  
2.       Задать лимит на списание средств без ПИН-кода? Упс. Тут уже постарались без нас. По РФ действует лимит - до 1000 руб. в сутки можно оплачивать без ПИН. Поменять сумму невозможно
3.       Отключить возможность бесконтактной оплаты, оставив возможность обычной чиповой карты? Упс. Такой возможности нет. Ни со стороны банка, ни со стороны клиента.  
4.       Скопировать свою карту в телефон/смарт часы/браслет/кольцо с поддержкой NFC (в приложение Apple pay, Samsung pay, android pay, microsoft wallet и другое ПО). Выложить все бесконтактные карты дома.
5.       Не забывать про классические меры безопасности с вязанные с банковскими картами (SMS информирование, доверенные получатели, иметь под рукой номер для оперативной блокировки карты, помнить кодовое слово для разблокировки и т.п.)

Далее посмотрим какие варианты есть в случае если все ваши банковские карты сохранены на телефоне:
1.       Экранирующий чехол с защитой RFID / NFC
2.       Вывести кнопку управления беспроводного интерфейса NFC на быстрый доступ. По умолчанию держать выключенным.  При необходимости быстро включать одним нажатием

3.       Отключить возможность проведения платежа пока телефон заблокирован
iOS: Settings -> Touch ID & Passcode -> Allow access when locked: wallet – off
Android Pay и Samsung Pay:  это уже сделано по умолчанию.


4.       Настроить один из вариантов авторизации платежа (Pattern, PIN, or Password)

5.       Включить уведомления о платежах в телефоне. По умолчанию включено.
iOS: Settings -> Wallet & Apple Pay-> Card Notifications
Android:  это уже сделано по умолчанию.
Settings > Applications > Application Manager > Android Pay > Notifications
Samsung Pay -> Settings -> Notifications


6.       Не отдавайте надолго разблокированный телефон. Не допускайте установки вредоносного ПО на мобильное устройство – хотя на нем и хранятся виртуальные токены вместо данных пластиковых карт, но клонирование устройства с виртуальной картой в ряде случаев возможно.


Комментарии

Alexander Veselov написал(а)…
А в Тинькофф Банке по-умолчанию используется подтверждение подписью (т.е. без пин кода). В таком случае при оплате paypass-ом ограничения на 1000 рублей нет :(
https://journal.tinkoff.ru/pin-or-signature/
14 июля 2017 г. в 06:13
Сергей Борисов написал(а)…
Подпись - это альтернатива пинкода. Но должен давать до 1000 рублей в день и без подписи
17 июля 2017 г. в 03:14
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...