Накануне, 20 июня, произошла кибератака на Национальную систему платежных карт (НСПК) — самая масштабная на финансовые структуры РФ за последние годы, считают эксперты. В течение нескольких часов не проходили или проходили не с первого раза некоторые платежи в интернете и переводы через СБП. Серьёзного ущерба инцидент не причинил, но для предотвращения таких кибератак в дальнейшем потребуются дополнительные меры защиты.

Источник изображения: WELC0MEИ0 / pixabay.com

Сбои в работе некоторых сервисов НСПК начали проявляться 20 июня около 10:00 мск. Не проходили некоторые платежи через банковские карты и СБП — последняя заработала в штатном режиме к обеду, а восстановление службы 3D Secure для подтверждения платежей через интернет заняло более продолжительное время. В НСПК факт инцидента подтвердили и уточнили, что это была инфраструктурная DDoS-атака — специалисты платформы были готовы к ней, поэтому её эффект оказался «кратковременным», а затронуты оказались лишь некоторые службы. Днём ранее та же группа киберпреступников атаковала несколько крупных российских банков, но особого эффекта это не возымело — возможно, это была репетиция, предположили источники «Коммерсанта».

Для атаки на НСПК злоумышленники выбрали метод ковровой атаки, при котором нападение осуществляется на все ресурсы жертвы одновременно — из-за этого перегрузке подвергается всё пограничное сетевое оборудование, и нарушается связанность сетей. Защититься от атаки этого типа сложнее, потому что обычное в таких случаях перенаправление запроса по несуществующему сетевому маршруту влечёт полную недоступность службы. Есть мнение, что реакция специалистов НСПК была неверной — они должны были запустить резервные серверы, но этого не случилось. Возможно, проблема в том, что организаторы атаки были осведомлены об особенностях работы системы платежей, знали, как обойти системы мониторинга, поэтому резервные мощности не подключились.

В последний раз настолько масштабная атака на российские финансовые службы была зафиксирована в сентябре 2021 года — её жертвой оказался провайдер Orange Business Services, который обрабатывал значительную часть банковского трафика по картам. В результате платежи по картам и СБП шли с перебоями в течение трёх часов. Тогда атака, по мнению экспертов, была «значительно мощнее» — она затронула не только интернет-платежи и СБП, но также банкоматы и магазины. На этот раз НСПК оказалась лишь самой заметной целью — инцидент затронул и другие российские организации, включая банки, а также «Ростелеком» и МТС, но заметного ущерба злоумышленники причинить не смогли. Тем не менее, атака оказалась успешной, и причины этого необходимо будет установить, чтобы не допускать таких инцидентов впредь.

Из магазина Google «Play Маркет» исчезли приложения платёжной системы Mir Pay, а также выпущенные НСПК приложения «СБПэй» и «Привет!». Мера, вероятно, связана с введёнными США санкциями.

Источник изображения: privetmir.ru

Пользователи официального магазина приложений для Android лишились доступа к приложениям бесконтактной оплаты Mir Pay и «СБПэй», а также к приложению «Привет!» с программой кэшбека по картам «Мир». Эти приложения исчезли из магазина Apple App Store в феврале, когда США ввели санкции в отношении разрабатывающей их Национальной системы платёжных карт (НСПК).

Установка приложения Mir Pay возможна только на устройства под управлением Android 7.0 и более поздних версий мобильной ОС, официально произведённые для России. Оно позволяет расплачиваться смартфоном, не используя карту. После исчезновения из Mir Pay приложения НСПК можно установить из российского магазина Rustore. С 3 апреля платёжная система Samsung Pay прекратит поддержку карт «Мир».

Национальная система платёжных карт (НСПК) планирует запустить новый способ расчётов картой «Мир» с использованием смартфона. В предустановленном на устройстве мобильном приложении банка, выпустившего карту, будет формироваться QR-код на основе её реквизитов. После считывания QR-кода на терминале будет списываться сумма покупки. Этот способ позволит расплачиваться за покупки с помощью iPhone, сохраняя при этом банковские кешбэки.

Источник изображения: mironline.ru

В связи с тем, что изображение QR-кода на дисплее смартфона могут увидеть окружающие, записать его с помощью камеры и добыть из него настоящий номер карты, чтобы использовать для покупок в интернете, финансовые данные будут токенизированы — то есть вместо них QR-код будет содержать зашифрованную ссылку на настоящие платёжные реквизиты.

Как сообщили «Известиям» в НСПК, новый способ позволяет делать покупки с помощью смартфона и пользоваться другими преимуществами, предоставляемыми банком-эмитентом и платёжной системой, включая получение кешбэка.

НСПК разослала банкам технический бюллетень, в котором указано, что требования к защите транзакций с помощью токенизации станут обязательными для банков с 25 апреля. В крупнейших кредитных организациях подтвердили «Известиям» получение бюллетеня. В банке «Синара», «Русском стандарте» и «Газпромбанке» готовятся в числе первых предложить клиентам новый способ оплаты. В «Промсвязьбанке»и «Открытии» собираются запустить его в этом году.

Как отметил гендиректор «Мультикарты» Дмитрий Подольский, для запуска нового способа оплаты и роста его популярности потребуется доработать все мобильные приложения банков. Также надо будет заинтересовать пользователей в новом способе и разъяснить его работу, добавил он. «На стороне эквайера (банка, который обслуживает торговую точку) потребуются масштабные доработки. Считать QR-код терминал может двумя способами: с помощью камеры или NFC. Однако доля устройств, оснащённых камерами, очень невелика. То есть понадобится глобальная замена терминалов или закупка дополнительных ридеров, а также интеграция с ними. Кроме того, потребуется соответствующая доработка ПО», — рассказал Подольский.

Реализовать такой способ будет несложно, поскольку торговые сети и сейчас используют сканирование, например, карт лояльности, говорят в банке «Открытие». К тому же новый способ платежа будет пользоваться популярностью у владельцев смартфонов без чипа NFC, полагают в банке.

В скором будущем в России у пользователей гаджетов с NFC могут появиться дополнительные возможности. С уходом платёжных систем вроде Apple Pay и Google Pay альтернативой способен стать вариант «СБПэй», разрабатываемый НСПК в рамках Системы быстрых платежей (СБП). Помимо привычных платёжных функций будут и дополнительные — например, возможность превратить классический смартфон в платёжный терминал.

Источник изображения: НСПК

По данным «Известий», соответствующая функциональность «пропилотирована» Делобанком, в дальнейшем её намерены внедрить ВТБ и РНКБ. Примечательно, что добавить новую возможность обещают как в Android, так и в iOS. Такой метод приёма платежей, как ожидается, будет популярен среди представителей и/или сотрудников малого бизнеса вроде курьеров или работников салонов красоты.

Предполагается, что для приёма платежей будет применяться смартфон продавца с технологией SoftPOS, а у клиента должно будет быть установлено приложение «СБПэй». Система совместима с Android от шестой версии и с iOS от тринадцатой. По данным издания, Делобанк успешно протестировал технологию и «готов к её промышленному использованию». Аналогичное решение для малого и среднего бизнеса намерены в ближайшее время внедрять и в ВТБ, а также крымском РНКБ, перспективным его считают и в других крупных банках.

Технология SoftPOS, способная превратить обычный смартфон с NFC в платёжный терминал, развивалась при участии Visa и Mastercard, а также системы «Мир». По словам представителя банка «Русский стандарт», технология актуальна для представителей ресторанного бизнеса, служб курьерской доставки и даже благотворительности. Известно, что систему «СБПэй» поддерживают 114 банков, включая крупнейшие. По мнению экспертов, благодаря технологии использования смартфона в качестве терминала бизнес сможет существенно сократить затраты на оборудование и самообслуживание. В отличие от традиционного эквайринга, комиссия за транзакции не будет превышать 0,7 %.

На днях сообщалось, что для повсеместного внедрения поддержки «СБПэй» потребуется доработка программного обеспечения.

Ещё в феврале Apple представила функцию со схожей функциональностью для iOS. Tap to Pay позволяет использовать в качестве POS-терминалов iPhone, но в России соответствующая возможность не поддерживается, как и Apple Pay в целом.

Хотя Национальная система платёжных карт (НСПК) уже объявила о завершении процесса подготовки к массовому внедрению сервиса «СБПэй», позволяющего использовать смартфоны с NFC для бесконтактных платежей, банкам придётся пойти на серьёзные инфраструктурные изменения системы оплаты.

Источник изображения: НСПК

Как сообщает «Коммерсантъ», НСПК уже протестировала механизм оплаты с помощью «СБПэй» и NFC. Сейчас НСПК готовит разъясняющий документ о новом сценарии оплаты для торгово-сервисных предприятий (ТСП). В ближайшем будущем процесс бесконтактной оплаты можно будет сделать очень похожим на тот, что применялся гражданами, пользовавшимися Google Pay и Apple Pay. Пока сервис предусматривает лишь считывание QR-кодов банковскими приложениями и намного менее удобен — по некоторым данным, с организацией процесса оплаты справляются не все кассиры ТСП.

Использование «СБПэй» значительно удобнее, но многие банковские и иные организации не торопятся брать её на вооружение. По данным «Коммерсанта», формально к «СБПэй» подключены 105 банков, а с 1 июля наличие такого подключения станет обязательным для кредитных организаций с универсальной лицензией. При этом для приёма платежей необходима доработка самых распространённых типов POS-терминалов. По сведениям разработчиков ПО, сотрудничающих с банками, кредитные организации интересуются подключением нового варианта бесконтактной оплаты, но этот вопрос пока не переходит в практическую плоскость, поскольку «бизнес-модель «СБПэй» пока неочевидна для банков» и им требуются детальные расчёты.

При этом вендоры ПО считают, что стоимость доработки инфраструктуры относительно невысока и составляет всего $8-10 тыс. за обновление каждого типа терминальной сети. По информации вендоров, банки просто ждут, когда за доработку терминалов заплатит кто-то первый, а они приобретут уже готовое решение.

По данным участников отрасли, при выходе международных платёжных систем последние для внедрения бесконтактных платежей выделяли средства вендорам-разработчикам напрямую или с помощью посредничества банков, а вендоры уже дорабатывали программное обеспечение для всего рынка. При этом, как сообщает «Коммерсантъ» со ссылкой на источники в отрасли, Центробанк и НСПК не намерены сами платить за доработку софта.