Для чего нужны и как работают чип и магнитная полоса на банковской карте

На любой банковской карте есть магнитная полоса, которая обеспечивает оплату. Практически на всех картах есть и чип с микропроцессором, и также у многих карт – еще и бесконтактный модуль. Но не все клиенты банков знают, как и что из этого работает – и что может нести в себе риски мошенничества. Мы вместе с экспертами в этом разобрались и готовы рассказать вам о самом главном.

Как происходит оплата картой

Расплачиваясь банковской картой или снимая с нее наличные, держатель карты использует деньги с карточного счета, к которому привязана карта. То есть, карта – лишь ключ к счету, и сама по себе без счета будет лишь куском пластика. В зависимости от банка к одному счету может быть привязано несколько карт (основная и несколько дополнительных), а в некоторых ситуациях к одной карте могут подключаться несколько счетов (услуга мультивалютного счета).

Соответственно, от банковской карты требуется одно – обеспечивать быструю, удобную и при этом безопасную оплату в нужный момент и в нужном месте. Для этого у банковской карты есть как минимум четыре варианта использования:

• магнитная полоса – обычно на вдоль задней стороны карты в верхней части пластика;
• электронный чип – на лицевой стороне;
• бесконтактный модуль – он срабатывает, если приложить карту к терминалу, который тоже поддерживает эту технологию;
• токенизированная карта в смартфоне – через платежный сервис Apple Pay, Google Pay, Mir Pay, Samsung Pay или аналогичный. Срабатывает как и бесконтактный модуль в карте, но на смартфоне должен быть включен NFC.

Столько разных интерфейсов на карте появилось по мере развития безналичных платежей. Изначально терминалы оплаты поддерживали только магнитные полосы – картой нужно провести через специальный модуль на терминале, но из-за недостатков технологии это может срабатывать не с первого раза.

Также оказалось, что магнитную полосу легко скопировать – этим пользовались мошенники, которые через скиммеры захватывали данные магнитной полосы и изготавливали дубликат карты. Чтобы избежать этого, на картах появились электронные чипы. Если оплата по карте или снятие наличных происходит через чип, то данные карты защищены гораздо лучше – скопировать данные чипа гораздо сложнее. Как рассказал нам Виталий Арбузов из INPRO.digital, технологию назвали EMV, по первым трем буквам компаний, которые участвовали в проекте – Europay, Mastercard и Visa.

А чтобы ускорить оплату и разрешить не вводить пин-код при покупках на небольшие суммы, были введены и бесконтактные модули. Картой «Мир» можно рассчитаться бесконтактно на сумму до 3000 рублей и не вводить при этом пин-код (правда, чтобы снять наличные в банкомате на любую сумму, код ввести нужно).

При этом, по словам основателя TalkBank Михаила Попова, и чип, и магнитная полоса содержат в себе одну и ту же информацию – это все данные, которые нужны для идентификации держателя карты. В частности, ее номер, срок действия, держатель, и т.д. Фактически чип, магнитная полоса и бесконтактный модуль – это просто информация, которая позволяет банку понять, что эта карта существует, что ее выпустил конкретный банк, что она не заблокирована и ее использует ее основной держатель.

На практике почти все выпускаемые в России банковские карты и большинство POS-терминалов в магазинах поддерживают бесконтактную оплату, поэтому именно такой способ оплаты будет самым частым – банально благодаря своему удобству.

Что будет, если полоса или чип повредились?

С марта 2022 года карты систем Visa и Mastercard российских банков не работают за границей, а с выпуском новых карт могут возникнуть проблемы (вплоть до отсутствия «болванок» для карт). По этой причине банки объявили о продлении сроков действия выпущенных ранее карт – кто-то на несколько лет, а кто-то – вообще бессрочно.

Но по факту срок действия карты будет ограничен сроком физической пригодности карты. Говоря проще, картой можно будет пользоваться, пока она окончательно не износится. И в данном случае быстрее всего изнашивается магнитная полоса на карте. Размагнититься карта может по трем причинам:

• воздействие магнитного излучения – от другого магнита, от долгого соседства с электроприборами, с микроволновой печью, и т.д.;
• механическое воздействие – если носить карту в одном кармане с ключами, на полосе появятся царапины, из-за которых она может выйти из строя;
• перегрев карты – например, если оставить ее под стеклом автомобиля в жаркий день.

Повредить другие части – чип и бесконтактный модуль – можно только механически. Например, если сильно согнуть карту, может повредиться антенна бесконтактного модуля – как рассказал нам Михаил Попов, схема микроэлементов расположена по всей длине карты, и в случае механического воздействия из строя может выйти вся карта.

Если же в карте сломалось что-то одно, то использование карты может быть под вопросом, говорит эксперт. Так, чип и магнитная полоса содержат одну и ту же информацию, поэтому:

• при выходе из строя магнитной полосы можно дальше продолжать пользоваться оплатой через чип (если терминал это поддерживает);
• если сломался чип, а полоса работает, то оплатить покупку только полосой может быть проблематично. Так, в самой полосе зашифрована информация о том, есть ли у карты чип. И если он есть, терминал запросит именно его – и если чип вышел из строя, расплатиться картой не получится. Но если терминал поддерживает оплату только магнитной полосой, то оплата пройдет;
• если вышел из строя чип, то бесконтактная оплата, скорее всего, работать тоже не будет. Бесконтактный модуль – это антенна, которая реагирует на магнитное поле терминала и пропускает сигнал через чип, выдавая информацию обратно терминалу. Если чип вышел из строя, то бесконтактная оплата тоже работать не будет. А вот с магнитной полосой бесконтактный модуль не связан – это дублирующие друг друга интерфейсы.

И, конечно, даже если на карте выйдут из строя одновременно магнитная полоса, чип и бесконтактная антенна, оплачивать покупки смартфоном можно будет и дальше. В смартфоне карта токенизируется по ее реквизитам – номеру, сроку действия и коду безопасности. Физическое состояние карты никак не влияет на возможность платить ею через смартфон или в интернете (причем это можно делать и с виртуальной карты, которая не имеет пластикового эквивалента).

Но если карта повредилась, лучше перевыпустить ее в банке на новую. Обычно банки берут за перевыпуск карты по инициативе клиента определенную плату, однако при физическом выходе карты из строя замена может быть бесплатной.

Где больше всего рисков мошенничества?

Мошенничество на аппаратном уровне – скиммеры, камеры и накладки на клавиатуре – были актуальны, когда большая часть банковских карт выпускалась без чипа, только с магнитной полосой. Злоумышленник мог скопировать данные с магнитной полосы карты через скиммер, затем записать на видео или зафиксировать через накладку на клавиатуру пин-код, который вводит клиент. Потом данные полосы записывались на «болванку», с которой мошенники без проблем снимали все деньги.

Сейчас большинство карт выпускается с чипом, который через скиммер скопировать нельзя (да и вообще клонировать данные на нем – очень и очень сложно), поэтому такая схема постепенно уходит в прошлое. Но остаются два риска:

1. мошенник может скопировать магнитную полосу у карты с чипом, «клонировать» эту карту на болванку, а потом найти банкомат, который считывает магнитную полосу, но не «умеет» работать с чипами (иначе он откажет в транзакции, не найдя чипа на карте). Это должен быть явно очень старый банкомат, которых постепенно становится все меньше;
2. мошенник может зафиксировать пин-код через камеру или накладку на клавиатуру, а потом украсть у клиента саму карту. Наличие пин-кода позволит злоумышленнику снять с карты всю сумму сразу, а не пытаться сделать перевод онлайн по реквизитам карты (без доступа к телефону жертвы это все равно невозможно).

Таким образом, если клиент расплачивается картой с чипом или снимает с нее наличные, а банкомат или терминал умеет работать с чипами, то такая операция считается подлинной (то есть, риски оплаты «клоном» карты – практически нулевой). Если же какой-то банк еще использует терминалы или банкоматы, работающие только с магнитной полосой, а карта у клиента с чипом – то в любой спорной ситуации виноват будет банк (ведь у клиента защищенная карта). Это работает и в другую сторону – клиент с картой, у которой есть только магнитная полоса, менее защищен при работе с банковским оборудованием, поддерживающим карты с чипами.

Другими словами, прав будет тот, у кого чип – либо на самой карте, либо в виде поддержки устройством карт с чипами.

Что касается бесконтактной оплаты картой, то здесь украсть деньги можно только одним способом – похитить саму карту, а потом расплачиваться ею на суммы меньше порога, требующего ввести пин-код. Расплачиваться до того момента, как жертва обнаружит пропажу карты и заблокирует ее через банковское приложение (или же пока на карте не закончатся деньги). Это уголовно наказуемое деяние, которое легко раскрывается – на кассах супермаркетах и в небольших магазинах всегда есть камеры видеонаблюдения. Поскольку время покупки всегда фиксируется банком, найти на записи злоумышленника будет очень легко.

А вот «страшилки» о том, что воровать деньги с карты могут в общественном транспорте – поднеся терминал к карману, выглядят сильно преувеличенными. Для этого злоумышленнику придется оформить фирму или ИП, оформить РКО в банке, подключить эквайринг, получить терминал, а после кражи денег – подождать несколько дней, пока платеж картой зачислится на счет, а потом вывести его. Скорее всего, кто-то из жертв заподозрит это гораздо быстрее, чем деньги будут выведены из банка.

Следовательно, самый опасный с точки зрения мошенничества способ платежа – это магнитная полоса, но благодаря развитию банковских технологий даже этот риск сведен к минимуму.

Риски оплаты смартфоном

Сейчас в России расплачиваться через смартфон можно, в основном, только через Mir Pay – платежные сервисы Google Pay и Apple Pay с российскими банками уже не работают.

При привязке карты к платежному сервису она токенизируется в смартфоне. Это означает, что в устройстве сохраняются ключи для быстрого доступа к оплате – они обеспечивают своего рода переадресацию на данные банковской карты (причем в смартфоне данные карты не хранятся).

Привязать карту к смартфону можно, зная ее реквизиты и имея доступ к номеру телефона, на который карта оформлена. Соответственно, привязать к своему смартфону найденную на улице карту не получится – для этого нужен ее реальный держатель.

Тем не менее, стоит учитывать один важный момент: мошенники часто используют методы социальной инженерии, и один из таких методов – выманивание сначала данных карты, а потом и кода подтверждения ее привязки к смартфону. Затем злоумышленник может оплачивать покупки со своего смартфона картой, даже не имея ее при себе (и держатель карты может не сразу об этом догадаться).

В остальном оплата картой через смартфон относительно безопасна – если потерять его, то для оплаты нужно разблокировать экран. Для этого нужен либо отпечаток пальца владельца гаджета, либо пин-код для разблокировки экрана – без установленной блокировки экрана эти платежные сервисы работать не будут.

Впрочем, и здесь могут быть неоднозначны ситуации – раньше мы писали о случае, как у девушки «увели» iPhone, как-то его разблокировали, оформили несколько кредитов в разных банках и вывели миллионы рублей со счетов. Однако при грамотном использовании гаджета и соблюдении всех правил безопасности больших рисков в такой форме оплаты нет.

По материалам