"При регистрации карты в сервисе Apple Pay, Google Pay или Samsung Pay, в банке создается уникальный ID, который однозначно идентифицирует карту, но при этом не содержит ее реквизиты. Этот идентификатор в зашифрованном виде по защищенному протоколу передается с мобильного устройства платежному терминалу, а далее в банк", - рассказал эксперт.
Чтобы оплатить покупки смартфоном, пользователь подносит устройство к POS-терминалу, оно попадает в зону беспроводной передачи данных малого радиуса действия. POS-терминал, взаимодействуя с мобильным устройством, получает идентификатор и отправляет его в обслуживающий данный счет банк. Банк подтверждает транзакцию и по стандартной схеме проводит оплату через платежную систему. "Сегодня оплата смартфоном в ряде случаев даже безопаснее, чем картой. Так, если карта попадет в руки злоумышленника, он может ею пользоваться. В некоторых случаях для этого даже не потребуется ввод пин-кода или смс-подтверждения при дистанционной покупке. В то время как устройством можно расплатиться только в том случае, если знаешь код доступа к нему", - отметил эксперт.
Существуют сценарии компрометации доступа к банковской карте через сервисы бесконтактных платежей. "Например, если человек временно теряет доступ к банковской карте и смартфону, злоумышленник может привязать карту для бесконтактной оплаты к своему устройству. Для этого достаточно верифицировать операцию добавления карты в новое устройство со смартфона жертвы, на который придет уведомление от банка. Если отключить все уведомления, владелец банковской карты может нескоро догадаться, что его денежными средствами расплачивается кто-то другой. При этом лимита денежных средств, которые злоумышленник может потратить за одну операцию, не будет", - утверждает Чернов.