Visa планирует в привести Россию Apple Pay и Visa Checkout

В России один из минимальных уровней мошенничества

Компания Visa опубликовала данные статистики по мошенничеству с платёжным картам в России. В частности, компания указала, что в первой половине 2014 году уровень мошенничества в нашей стране снизился до 4 коп. на 1 тыс. руб., а во втором квартале он вообще был 3 коп. на 1 тыс. руб. В прошлом году этот уровень составлял в России 5 коп. на 1 тыс. руб. и был при этом также одним из наиболее низких по всему миру.

Сейчас же общемировой уровень мошенничества остался примерно таким же, а в России ситуация ещё улучшилась.

Собственно, компания Visa считает уровень мошенничества по тем транзакциям, которые были опротестованы пользователями карт и признаны мошенническими. При этом не всегда пользователи понесли потери - часть транзакций была при этом остановлена и деньги были возвращены, а часть - возместили банки-эквайеры из своих средств.

Российское улучшение ситуации по мнению экспертов Visa связано с переходом на чиповые EMV-карты и отказ от магнитной полосы. В российских банках доля карт с поддержкой технологии EMV на текущий момент составляет 70%, в то время как по миру только 30% карт снабжено чипом с поддержкой EMV. То есть в России оказался один из наиболее высоких уровней использования EMV-карт - связано это в том числе и с тем, что в требованиях Центробанка для банков есть запрет на выпуск новых карт без чипа с лета 2015 года. "Мы отмечаем, что при уровне проникновения EMV в 50% количество мошеннических операций резко падает," - пояснил Олег Скородумов, глава департамента управления рисками российского представительства Visa.

В то же время сейчас активно развиваются технологии электронных платежей, которые не требуют физического использования карт. В частности, такие технологии используются в мобильной и интернет-торговле. Сейчас оборот таких транзакций не очень большой каждый седьмой рубль по картам Visa связан с электронной коммерцией, но Visa уже активно совершенствует технологии защиты электронных платежей, чтобы сделать их не только безопасными, но и удобными для повседневного использования. Это может изменить отношение пользователей к удобству и безопасности электронных магазинов и увеличить долю чисто электронных транзакций.

Одной из технологий, которая специально разрабатывалась для упрощения безопасных транзакций является токенизация. Она позволяет сгенерировать специальный номер - токен, очень похожий на номер платежной карты. Однако токен можно использовать только при определённых ограничениях. Например, транзакции будут приниматься только с конкретного устройства или только в определённом магазине. Если токен попытаются использовать на другом оборудовании или в неправильном месте, то транзакция будет заблокирована. Это усложняет для хакеров проведение мошеннических транзакций с использованием токена. В 2015 году компания Visa рассчитывает начать развитие технологии токенизации в том числе и в России. Собственно, уже сейчас российские магазины, операторы мобильной связи и банки могут внедрять у себя технологию токенизации, чтобы не заботится о соблюдении требований PSI DSS.

Впрочем, сейчас технология токенизации, разработанная компанией Visa, используется в том числе в составе платежной системы Apple Pay - там токены привязаны к устройству и с другого устройства просто не будут приняты. Сейчас в России Apple Pay не доступна - производитель устройств прорабатывает юридическую возможность использования этой технологии в российских реалиях. Тем не менее, Россия стоит во второй волне распространения этой технологии по миру, то есть вполне возможно, что доступна она станет для российских банков уже в следующем году. Впрочем, если iPhone 6 привязан к платежной карте, выпущенной в американском банке, то пользоваться этой технологией можно в том числе и в России уже сейчас.

Ещё одной технологий, которая предлагает компания Visa для российских пользователей, является система верификации электронных платежей Visa Checkout. Это технология, которая представляет собой JavaScript-код, который устанавливается на сайт магазина или в мобильное приложение и позволяет проверять корректность транзакций. Кроме того, сервис позволяет магазину сохранять о клиенте дополнительные сведения, такие как адрес доставки, и выполнять платежи нажатием одной клавиши без перехода посетителя на сайт платежной системы. Со следующего года в нём планируется использовать токенизацию, но и без неё только за счёт проверки окружения браузера, из которого происходит оплата, система позволяет выявить и остановить мошеннические транзакции. Технологически данная защита очень похожа на технологию Trusteer для систем интернет-банкинга, но только использовать её можно в том числе и с интернет-магазинами. Таким образом, основным развитием платежной системы Visa направлено в сторону удобства безопасных платежей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Gorilla: новый Android-вредонос учится воровать и подслушивать

Похоже, у Android-пользователей появился новый «зверь» под капотом — свежевылезший вредонос Gorilla. Пока он как будто только учится пакостить — никакой маскировки, всё на виду. Но даже в таком «юном» состоянии успел напугать специалистов своей функциональностью.

Gorilla, который уже успел привлечь внимание специалистов из Prodaft, написан на Kotlin и первым делом лезет в СМС — просит стать приложением по умолчанию.

Зачем? Чтобы читать, перехватывать и даже отправлять сообщения от вашего имени. А потом ещё и сортирует их по меткам: «Banks», «Yandex» — не к лучшему, правда?

Но не только СМС едины. Малварь запрашивает доступ к номеру телефона, данным сим-карты, списку приложений, модели устройства и даже тому, включён ли экран. Всё это аккуратно улетает операторам по WebSocket’у каждые 10 секунд. Такая вот «связь с центром».

Кстати, на панели управления у злоумышленников каждому заражённому устройству присваивается одна из трёх меток:

  • State Authority — видимо, это «особо интересные» цели,
  • Important — «второй сорт, но пригодны»,
  • Trash — всё остальное.

И это уже тревожный звоночек: возможно, Gorilla готовят не только для краж денег, но и для более серьёзного дела — вроде слежки за госслужащими или активистами.

 

Чтобы не вылетать из памяти, Gorilla запускает себя в фоновом режиме с помощью FOREGROUND_SERVICE и даже просит пользователя отключить для себя оптимизацию батареи. Особенно настойчиво — на устройствах Huawei и Honor, где он ещё и замедляет «сердцебиение» (частоту связи с сервером), чтобы не попасть под зачистку системой.

А ещё внутри кода обнаружили «запасные» функции:

  • WebViewActivity — по сути, это задел для будущих фишинговых атак через фальшивые страницы банков.
  • USSDReceiver — класс, который может активироваться, если набрать специальный код вроде *#0000#. Возможно, это будет использоваться как скрытая команда для активации малвари.

И хотя сейчас Gorilla только разминается, эксперты уверены: потенциал у него большой и явно не в добрую сторону. Перехваты СМС, слежка, хитрые трюки для выживания — в будущем он может стать серьёзным игроком на поле Android-угроз.

Так что включаем паранойю на минималках: дважды проверяем, что ставим, не раздаём права направо и налево и, как всегда — держим защитный софт в боевой готовности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru