Положение и безопасность мобильных платежных систем на российском рынке Situation and security of mobile payment systems in the Russian market
Глазунов Андрей Сергеевич
Студент 4 курса, Направление подготовки Экономика, Институт экономики и управления Курский государственный университет,
РФ, г. Курск e-mail: andreihabit@ya. ru
Glazunov Andrei Sergeevich
4th year student, Institute of Economics and Management, Kursk State University Russia, Kursk e-mail: andreihabit@ya. ru
Локтионов Владислав Владимирович
Студент 4 курса, Направление подготовки Экономика, Институт экономики и управления, Курский государственный университет,
РФ, г. Курск e-mail: vladhabit@ya. ru
Loktionov Vladislav Vladimirovich
4th year student, Institute of Economics and Management, Kursk State University Russia, Kursk e-mail: vladhabit@ya. ru
Научный руководитель Иванова Л.А.
кандидат экономических наук, доцент Курский государственный университет,
РФ, г. Курск e-mail: [email protected]
Scientific adviser Ivanova L.A.
Candidate of Economic Sciences, Associate professor
Kursk State University Russia, Kursk e-mail: [email protected]
Аннотация.
В данной работе рассматривается положение и безопасность мобильных платежных систем, представленных на российском рынке. Уточняется вся функциональность установленных в смартфонах NFC-модулей, анализируется динамика внедрения Garmin Pay в России, разъясняются проблемы безопасности осуществления безналичных платежей, упоминаются риски излишнего допуска BigTech фирм к данным банковских пользователей.
Annotation.
This article contains review of situation and security of mobile payment systems represented in the Russian market. The article clarifies all the functionality of NFC modules installed in smartphones, analyzes the dynamics of the implementation of Garmin Pay in Russia, explains the security problems of non-cash payments, and mentions the risks of excessive access of BigTech companies to bank users' data.
Ключевые слова: мобильные платежные сервисы, бесконтактная оплата, смартфоны.
Key words: mobile payment services, contactless payment, smartphones.
Несмотря на запоздалость прихода инновационных решений в страну, в настоящее время в России функционирует большинство международных платежных систем и их развитие внутри рынка не стоит на месте. NFC в смартфонах как модуль, используемый сейчас для бесконтактных платежей, с начала десятилетия предоставляет и прочие возможности, не возымевшие такую же огромную популярность среди пользователей мобильных устройств.
Каждая прогрессивная технология с течением времени приобретает улучшенную функциональность, разные сферы применения и пытается предстать в новых для себя формах. Обычно технологии, к которым начинает привыкать человечество, в процессе эволюции встраиваются во всевозможные форм-факторы, особенно небольшие, зачастую становясь гораздо доступнее для потребителя и тем самым приобретая массовость. Это нагляднее всего демонстрируется на примере электроники. Если в 1960-х гг. компьютеры могли занимать площадь большой жилой комнаты, то сейчас на рынке реально приобрести компьютер в форм-факторе обычного USB-накопителя, хватающего для большинства задач начального уровня (потребление контента, быстрые операции с файлами и пр.).
По технологическим новшествам, наблюдаемым в 2010-х гг., можно с уверенностью говорить о важной роли мобильных и носимых устройств в развитии технологий. Смартфоны пока что не могут стать полноценной заменой компьютерам тем, чья работа сопряжена с постоянным использованием профессионального офисного ПО, или для требовательных геймеров с запросами на Triple-A проекты, поскольку еще не разработаны эффективные системы охлаждения высокопроизводительных комплектующих, позволяющие сохранить прежние компактные габариты; диагональ экранов делает нецелесообразным отображение большого массива данных; многообразие аппаратных платформ и проприетарных нововведений производителей электроники не позволяет разработчикам ПО добиться грамотной оптимизации и полностью корректной работы на всем парке устройств даже в рамках одной операционной системы.
Но смартфоны как таковые гораздо более предпочтительнее и дружелюбнее для массового потребителя, чем иные технически сложные устройства. Пока настольные компьютеры замедляются в темпах роста производительности в силу неготовности среднестатистического потребителя переплачивать за избыточную для себя мощность и менять их чаще 5-10 лет, смартфоны за счет практически непрерывного предоставления инновационных решений и упрощения бытовых задач стали высоколиквидной электроникой. Они за относительно небольшой срок своего существования существенно сузили рынок портативных фотоаппаратов и аудиоплееров, а сейчас активно наращивают долю в индустрии развлечений, вытесняя те устройства, под которые контент изначально был разработан. Базовые задачи в тайм-менеджменте, быстрое получение актуальной информации - всё это также стало легко достижимым на мобильных устройствах.
Технологии осуществления бесконтактных платежей, такие как MasterCard Contactless и Visa payWave (в России с 2011 года), сделали процесс оплаты ежедневных покупок (в общем случае оплата до 1 000 Р не требует дополнительного подтверждения транзакции PIN-кодом) проще и удобнее одновременно для покупателя и продавца, стремительно распространяясь на различные сферы жизни, в том числе и социально значимые, а «бесконтактные смарт-карты активно используются во многих коммерческих и государственных структурах по всему миру» [9, с. 127].
Существует предположение, что появление смартфонов с NFC в низкобюджетном сегменте и соответственно рост продаж данных устройств были вызваны не потребительском запросом, а установкой таких модулей по умолчанию всеми производителями независимо от вышеназванных факторов. Однако эта теория ставится под сомнение ввиду того, что эти модули достаточно давно начали устанавливаться и функционировать в смартфонах (с одинаковой доступностью в России и мире), но не использовались настолько часто. Перечислим эту функциональность в отдельной таблице [10].
Таблица 1. Способы применения NFC в мобильных устройствах в хронологической последовательности
Месяц/год Применение NFC в мобильных устройствах
12.2010 В декабре 2010 года корпорация Google выпустила свой второй смартфон - Nexus S на базе Android 2.3 Gingerbread, который стал первым в мире смартфоном, использующим NFC на программном и аппаратном уровне. Первой функцией с этим модулем стало чтение и запись пассивных меток (режим считывания). Это могут быть как интерактивные элементы продукции бренда, служащие, например, для перехода на сайт компании или получения бонусных материалов; так и метки в виде брелоков, которые могут использоваться дома и собственноручно перезаписываться для хранения пароля или иной небольшой информации на них.
09.2011 19 сентября 2011 года Google выпускает приложение Google Wallet (Кошелек). В рамках одноименной электронной платежной системы оно позволяет со смартфона на Android с модулем NFC оплачивать покупки в магазинах в США. Спустя 4 года происходит запуск нового платежного сервиса Android Pay, который усовершенствовал наработки прошлой системы и открылся для остальных стран.
10.2011 Вместе с выходом новой версии Android 4.0 ICS Google представила технологию Android Beam, позволяющую быстро передавать в режиме P2P между смартфонами веб-закладки, контактные данные, маршруты на карте и прочую информацию простым прикосновением крышками задней части устройств, под которыми располагался NFC-модуль.
12.2011 Ввиду низкой скорости передачи данных этот интерфейс не используется для прямого копирования больших файлов между смартфонами, но можно комбинировать загрузку по Wi-Fi или Bluetooth с ускоренной авторизацией через касание по NFC, которое будет заменять привычные этапы ручного включения, поиска и сопряжения устройств перед отправкой. Таким образом, обеспечивается минимальное время обмена большим массивом данных. Приложения, работающие с этим API, стало возможным загрузить из Android Market (сейчас - Google Play).
06.2012 Корпорация Sony, которая с 2004 года вместе с Nokia и Philips вела разработку и приведение к единому стандарту интерфейса взаимодействия устройств через касания, позднее названным NFC, в октябре выпустила на рынок собственные метки Sony SmartTags, которые работают с ее смартфонами через предустановленное приложение Smart Connect. Каждая из восьми меток обладает своим цветом, информация о чём кодируется в текстовой форме на чип. В самом же смартфоне настраиваются и хранятся профили: «дом», «офис», «машина», «спальня», «слушать», «играть», «активности», «смотреть». Метки позволяют автоматически переключать беспроводные соединения, регулировать звук и прочие настройки устройства при его поднесении к одной из меток. Позднее появились сторонние приложения, позволяющие настраивать действия на любые готовые метки, не имеющие возможности перезаписи своей информации. Четырьмя месяцами ранее Samsung запустила продажи наклеек TecTiles во встроенной NFC-меткой. Одноименное приложение не предустанавливалось на смартфоны, поэтому свою популярность на флагманских смартфонах Samsung технология приобрела ближе к концу года.
05.2019 Google официально заявляет об отказе от технологии Android Beam в Android 10 и последующих версиях операционной системы. Некоторые производители устройств по собственному усмотрению продолжают поддерживать ее работу в своих оболочках (например, Samsung в One UI), в то время как Google рекомендует искать альтернативные способы передачи данных.
Также в противовес этой теории выступает статистика из отчета гендиректора Visa в России Екатерины Петелиной, согласно которой Россия уже на конец 2017 года занимала первое место в мире по количеству привязанных карт Visa в системе Android Pay и третье место после США и Великобритании по количеству выпущенных токенов - суммарно в системах Android Pay, Samsung Pay и Apple Pay [8].
Пример успешной разработки и встраивания собственной системы оплаты в свой продукт показывает производитель спортивных часов Garmin. Рассмотрим динамику внедрения Garmin Pay на территории России за 15 месяцев.
180 160 160 Число
поддерживаемых
140 устройств
120 Общее число
поддерживаемых
100 ix банков
80 Поддержка карт
60 VISA по банкам
40 40 Поддержка карт
о п 19 19 MasterCard по
20 0 банкам
Рисунок 1. Темпы прироста ключевых показателей присутствия Garmin Pay в России, в %.
Несмотря на то, что на момент запуска только одно устройство бренда (vivoactive 3) имело поддержку бесконтактной оплаты через Garmin Pay, компания существенно расширила поддерживаемый ассортимент: до 10 и 26 моделей в 2018 и 2019 году соответственно. По состоянию на 12 сентября 2018 года платежный сервис поддерживал 27 банков, но из них только 5 работали с MasterCard [2]. На 12 декабря 2019 года поддержка расширилась до 32 банков с поддержкой карт MasterCard только 7 банков, а значит американской компании следует продолжить работу с банками в этом направлении для предоставления покупателям бескомпромиссно функционирующего сервиса.
Процесс подключения и использования сервиса бесконтактной оплаты очень прост с точки зрения удобства выполнения задачи пользователем. Одинаково для Apple Pay, Samsung Pay и Google Pay требуется всего лишь ввести базовые данные платежной карты и подтвердить их одноразовом кодом, получаемым из SMS-сообщения от банка клиента. Все транзакции могут быть подтверждены на смартфоне с помощью любых из многочисленных способов аутентификации - от пароля до сканера сетчатки глаза или лица.
Со стороны безопасности приведенные сервисы не лишены недостатков. Например, в настоящее время магнитная полоса в пластиковых картах имеет наибольший уровень уязвимости за счет возможности перехвата сигнала специальным устройством для считывания его магнитного поля - скиммера, а поскольку Samsung Pay предоставляет эмуляцию магнитной полосы, то есть вероятность атаки и в этом случае использования [6].
Производители смартфонов отмечают, что риску атаки больше подвержены смартфоны с открытыми правами суперпользователя root (расширенный доступ, разрешающий манипуляции с системными файлами), поскольку так злоумышленникам гораздо проще получить доступ к базам данных банковских приложений через полученные привилегии и воспользоваться этим для перевода денег на свои счета. Но даже с закрытыми правами root смартфон пользователя может быть подвергнут атаке в случае самовольной установки поддельного приложения и его добавления в группу администраторов устройства.
Также допустима атака через выявленные уязвимости в ядре системы. В этом случае угроза велика, если производитель смартфона запрещает установку обновлений после обнаружения открытых прав root, а значит пользователь не получит экстренные обновления безопасности ядра, или если такие обновления перестали
приходить на устройство по независящим от покупателя причинам (например, из-за окончания срока его поддержки).
В случае с SafetyNet - защитой от Google, запрещающей работу Google Pay при открытых правах, тоже существует опасность ввиду того, что пользователям доступен внесистемный рут (Magisk), который успешно проходит проверки компании на соответствие внутренним протоколам безопасности (при условии отсутствия специфических модулей Magisk на устройстве, таких как внесистемные реализации Xposed). С первого релиза Magisk в 2016 году и по сей день за разработчиками не было замечено подозрительной активности, исходный код программы открыт и доступен на GitHub, но пользователь оттого не может быть застрахован от атак на устройство.
Большинство мобильных платежных сервисов поддерживают оплату в Интернет-магазинах. Помимо отмечаемой низкой грамотности населения в части использования онлайн-сервисов [4, с. 397], в России зафиксированы множественные случаи потери денежных средств из-за мошеннических уловок через каналы Интернета. По подсчетам «Альфастрахования» только с июля 2015 г. по июнь 2016 г. показатель несанкционированных снятий денежных средств через интернет-банкинг со счетов владельцев банковских карт вырос по стране в 5,5 раз, 93% из всех убытков от мошенников приходились исключительно на интернет-банкинг. Ранее отмечено, что в силу однозначности факта самоличной и добровольной передачи банковских данных обычно «решения о возвращении денежных средств клиенту принимают значительно реже, чем решения в пользу банка» [7, с. 50].
На сегодняшний день в России имеются только полумеры по решению этой проблемы. Например, Яндекс при поисковой выдаче может предупреждать о возможной мошеннической природе сайта до перехода по ссылке, а в фирменном Яндекс.Браузере при открытии страницы подлинного сайта электронной системы расчетов для предоставления данных карты и оплаты окрашивает свой интерфейс в темно -серые тона. Однако, это может распространяться не на все сайты, имеющие SSL EV сертификат безопасности, присущий банкам и сайтам электронной оплаты, в силу особенностей работы браузера и его механизма «белого списка».
В свою очередь мобильные платежные сервисы существенно снижают риск подобной схемы мошенничества:
1) Они работают напрямую с онлайн-магазинами, обходя сайты или страницы оплаты, которые могут быть подменены в браузере.
2) Пользователь сразу видит точную сумму к оплате, что исключает неожиданное для клиента дополнительное списание средств.
3) Равно как и при оплате с терминалом, в онлайн-платежах используется система токенизации, при которой вместо имени владельца, номера платежной карты и CVV/CVC кода передается токен и криптопрограмма, действующая как одноразовый код [5]. Даже если злоумышленник украдет токен, то не сможет им воспользоваться и списать средства с карты.
Крупная консалтинговая компания Capgemini в своем отчете по мировым платежам за 2019 год заключает, что новые участники рынка используют свои цифровые навыки и гибкость в работе для прибыльного развития своих бизнес-моделей, чем могут влиять на запаздывающих игроков и открывать для себя новые возможности в отдельных секторах.
Банки считают, что BigTech фирмы (аналог термина GAFAM, применяемого в отечественной литературе), имея в своем арсенале внушительные объемы персональных данных, представляют более серьезную угрозу, чем все существующие финтех-компании (FinTech). Около 60% респондентов опроса агентства об
угрозах на рынке платежей уверены, что наибольший риск представляет дальнейший допуск BigTech организаций к системам платежных услуг, поэтому компаниям следует не отходить на второстепенный план в контроле за банковской инфраструктурой [3].
В качестве примера фирмы, которая сейчас прибегает к стратегии коллаборации и партнерства для расширения зоны своего влияния, можно привести Alipay, который уже сотрудничает с финскими ePassi и Pivo, норвежским Vipps, испанским MOMO, португальским Pagaqui и австрийским Bluecode для внедрения единого формата QR-кода. Данные шаги IT-гиганта вызваны желанием образовать международное платежное пространство и унифицировать разнообразие способов бесконтактных платежей в этих регионах, предоставив удобную среду для китайских пользователей за пределами Китая. По данным, представленным ePassi в пресс-релизе в 2019 году, база вышеназванных платежных сетей в Европе насчитывает в общей сложности 5 миллионов пользователей и около 190 тысяч продавцов [1]. Тем не менее, попытки запуска своих сетей на территории США у AliPay провалились, поэтому сейчас организация всецело настроена именно на рынок Европы. Для России учет такого разнообразия и опыт чужих ошибок может возыметь ключевое значение при дальнейшем развитии собственной национальной платежной системы «Мир».
Список используемой литературы:
1. ePassi and European Mobile Wallet Collaboration // ePassi. URL: https://www.epassi.fi/en/blog/epassi-european-mobile-wallet-collaboration (дата обращения: 04.12.2019).
2. Garmin Pay - платежный сервис, с поддержкой технологии бесконтактных платежей // Garmin Russia. URL: http://support.garmin.ru/suppor^solutions/articles/26000025030-Что-такое-сервис-технология-garmin-pay-Какие-устройства-поддерживаются- (дата обращения: 04.12.2019).
3. World Payments Report 2019 // Capgemini. URL: https://worldpaymentsreport.com/resources/world-payments-report-2019/ (дата обращения: 04.12.2019).
4. Дамбаа С.Т. Повышение финансовой грамотности как необходимое условие финансовой независимости молодежи в современном мире // Потенциал российской экономики и инновационные пути его реализации. - 2018. - С. 396-399.
5. Как осуществляются платежи // Google Pay Merchant. URL: https://support.google.com/pay/merchants/answer/6345242?hl=ru (дата обращения: 04.12.2019).
6. Каширина Е.А., Курганов А.Н. Анализ основных угроз безопасности банковских сервисов в потребительском секторе // Современные научные исследования и инновации. 2018. № 1. URL: http://web.snauka.ru/issues/2018/01/85489 (дата обращения: 04.12.2019).
7. Кудрявцева Ю.В. Состояние интернет-банкинга в России сегодня: оценка, перспективы и возможности // Финансовая аналитика: проблемы и решения. - 2016. - №. 47 (329).
8. Россия стала лидером по количеству привязанных карт в Android Pay // Анна Еремина, Ведомости. URL: https://www.vedomosti.ru/finance/articles/2017/12/02/743932-rossiya-android-pay (дата обращения: 04.12.2019).
9. Силаева А.А. Игнатенков Г.К. Apple, Samsung и Android Pay: особенности бесконтактных мобильных платёжных систем и перспективы их внедрения в России // Сервис в России и за рубежом. - 2017. - Т. 11. - №. 3. - С. 126-135.
10. Технология NFC в смартфонах и ее практическое использование // Кирилл Кочетков, iXBT.com. URL: https://www.ixbt.com/mobile/nfc-2013.shtml (дата обращения: 04.12.2019).