Как оплата телефоном защищена по умолчанию?
При любой бесконтактной транзакции смартфон не передаёт номер карты терминалу. Вместо него используется токен—одноразовая комбинация цифр и криптограммы. Токен генерируется в компании Visa или Mastercard прямо на вашем устройстве и привязан к тому же импортозамещённому чипу Secure Element, что и биометрические ключи Face ID. Даже если злоумышленник прослушает эфир, он получит только бессмысленный набор символов.
Где водятся скиммеры и «виртуальные руки»?
- В транспорте. В час пик злоумышленник прикладывает скиммер-руку в перчатке к руке с телефоном и «забывает» убрать её после сигнала «аплодируйте вашей картой». Суммы бывают небольшие, но тратится время на чарджбек.
- В интернете-магазинах. Сайт просит добавить карту в браузер Chrome «для быстрой оплаты». Добавил — и кэшбэк от магазина сменился на выманивание CVV фишинг-сайтом в поддельном Google Pay.
- В псевдоприложениях. В Google Play нет шапки «фальшивый Samsung Pay», но зло умудряются продвигать приложения-трояны, которые «помогают» добавить карту в одно касание.
Как закрыть уязвимости в один вечер
1. Отключи NFC в транспорте без потери контроля
В Samsung Wallet → Настройки оплаты можно поставить галочку «Только при разблокированном экране». Это автоматически выключит NFC, когда устройство в кармане или сумке. Чтобы включить — просто открой экран. На Xiaomi MIUI: Параметры → Подключения → NFC → Автоматическая блокировка при блокировке телефона → Вкл.
2. Ограничь карты, которые можно оплачивать
Google Wallet позволяет «дезактивировать» карту за две секунды: нажмите иконку карты → три точки → «Приостановить». Карта замораживается до следующей активации, но остаток и история остаются. Когда вы летите в отпуск и не берёте пластик, это спасает от сканирования в заграничном метро.
3. Удали лишние карты из кошелька
Когда меняете тариф мобильной связи, SIM争取带走тся вместе с eSIM. Но карта в Samsung Wallet остаётся: Кошелек → Карта → Удалить. Забудьте — и покупатели «б/у» телефона получат бонус.
4. Закройтесь от спуфинга пластика
Банки России сейчас выпускают виртуальные карты, которые создаются прямо в тот же Wallet. В ней нет гравированного номера — просканировать магнитную полосу невозможно. Если сервис требует номер, используйте динамический CVV в приложении банка: он меняется каждые 30 минут и не годится для фишинга.
Два копеек про шифрование
Каждая операция NFC защищена протоколом Elliptic Curve Cryptography, одобренным PCI-DSS. Если смартфон потерян, выключается экран — и утерянный ключ разблокировки SCP03 уничтожится без возможности восстановления. Это один из самых высоких уровней безопасности на современных устройствах Android 13 и выше.
Как проверить, не просочилась ли карта на биржу токенов
В Google Wallet → Оплата и подписки → История смотрим последние 10 операций. Если вы видите транзакцию в магазине, которого не помните,:
- Нажмите её → Сообщить о проблеме — Google и банк получают crash-dump лога транзакции;
- Деблокируйте карту в bitcoin-coin.ru через банк — по PCI-DSS это обязательство выполнить чарджбек в течение 30 дней.
FAQ: коротко о главном
Можно ли украсть токен при включённом сканере карты рядом со стеллажами в метро?
Нет. Токен генерируется только при активном интерфейсе Reader Emulation и сочетании «телефон + облако банка». Простой жучок не может его внедрить.
Есть ли смысл тянуть NFC-настенный стикер «Оплата квартирой»?
Нет. Система проверяет эмитент-карты и привязку к конкретному устройству. Попытка «воткнуть» сторонний токен вызовет код ошибки 6E-яу и дальнейшую блокировку кошелька.
Как быть, если телефон после покупки вторсырьё?
В Samsung Wallet перейдите в Моё → Устройства → Удалить все карты и обнулите кошелёк. Не забудьте отписаться от подписок в приложении Play Market, чтобы Google не повесит плату на следующий владелец аппарата.
Быстрая памятка на каждый день
- Выключайте NFC в транспорте через «Быстрые настройки»;
- Отключайте карты, пока летали в другие страны;
- Не привязывайте к кошельку рабочую зарплатную карту — лучше виртуалку;
- Раз в месяц чистите историю в Google Wallet/Samsung Wallet;
- Проверяйте подлинность сайтов через установленные Google и Apple правила сертификатов PCI-DSS.