Comments 39
Для обычных карт достаточно держать 2 карты с бесконтактными платежами вплотную,
Ну это хум хау, у меня один раз из пачки в 8 карт сработало и проплатилось.
А в чем профит «стащил терминал у курьера»? Украсть у случайного человека в пользу курьерской службы??
Шапочки из фольги для карт — параноикам!
Куда более интересно, что защищает от переделки терминала в терминал-сборщик данных карт, или в терминал который на экране и чеке убирает два-три ноля, то есть покупатель подтвержлает пинкодом 300р, получает чек на 300р, списывается 30000р. В суде это будет как то очень непросто доказать.
покупатель подтвержлает пинкодом 300р, получает чек на 300р, списывается 30000р. В суде это будет как то очень непросто доказать.
Разве это нельзя доказать тем самым чеком?
Это один вариант. Второй вариант — транзакция одна, сумма разная. Предположим вы чек скопировали и заверили или он не выцвел до суда. Что докажет подлинность чека? ИП скажет что продал вам айфон за 30000р, покажет со своей стороны накладную и свои бухгалтерские документы, уплаченый налог и т.п. У вас есть лишь чек, который напечатан, предположим, специально не по правилам, чтоб быть похожим на чек с одной стороны, и быть очевидно поддельным с другой. Терминал ИП сменил по поломке/утере, экспертизу не провести.
Была здесь статья про эти терминалы, там говорили, что при попытке вскрытия терминал забывает все свои ключи и сертификаты, и становится просто "калькулятором" с NFC модулем, принтером, магнитофоном и слотом для смарт-карт.
Во-вторых вы просто не сможете так просто взять и переделать терминал. Вы можете сделать такой терминал сам с нуля (чисто железо собрать и софт написать), но у вас не будет ключей для подписи транзакций банка. Они будут только в терминале полученном от банка. Но такой терминал вы не сможете расковырять и вытащить их, либо заменить какие-то принципиальные части оборудования, так как при попытке вскрытия там все превращается в тыкву (мы как-то продолбали целую партию терминалов при транспортировке — их там похоже хорошенько пороняли, в итоге они приехали уже тыквами, так как решили что их пытаются вскрыть и уничтожили все данные внутри себя).
Можно пытаться воровать данные Track2 — там номер карты, срок действия — то что написано на самой карте. И затем пытаться платить онлайн там где нет подтверждения по смс. Вот это более-менее реальный вектор атаки.
Что касаемо вскрытия терминала… Позвольте не поверить. У меня был терминал, у него съемная батарея, он много раз разряжался и тем не менее продолжал снова работать. Я технически не могу представить систему контроля целостности корпуса, успешно противостоящую лабораторному взлому.
Можно пытаться воровать данные Track2 — там номер карты, срок действия — то что написано на самой карте. И затем пытаться платить онлайн там где нет подтверждения по смс. Вот это более-менее реальный вектор атаки.
Тоже не выйдет — CVV на магнитной полосе, iCVV в Track 2 Equivalent Data на чипе и CVV2/CVC2, который написан на обороте карты и обычно требуется для онлайн платежей, — это три разные криптовеличины, посчитанные на разных ключах.
Даже если это будет выглядеть странно, многие пин введут, не вникая в подробности.
По всякому бывает.
У меня в местном супермаркете на одной из касс снимает любую сумму с первой попытки.
А на другой сперва пара неудач, потом запрашивает пинкод, и после этого тоже раза с третьего только всё получается (независимо от суммы).
Ещё лично попал в транспорте (в троллейбусе). С двух попыток оплата не прошла, кондукторша стала жаловаться, что ещё одна попытка — и всё, что-то там у неё заблокируется. Я поменял активную карту (android pay), и после этого всё получилось.
Но! На следующий день внезапно получаю чек от старой (вчерашней) попытки, датированный сегодняшним числом. И эти деньги по итогу снялись.
Не знаю, как она это сделала; специально или просто сбой — но если специально, то система явно несовершенна. В этом случае нашедший лазейку сможет пользоваться ей ещё достаточно долго (банально — вряд ли кто-то будет заморачиваться и связываться с банком из-за 18 рублей...)
То есть по сути никакой ТЕХНИЧЕСКОЙ защиты нет, а есть лишь "страшные юридические договора".
О-кей, все бесконтактные карты переводим в гугл и платим только смартфоном (там оплата зависит только от разблокировки устройства, а не от сотни пунктов юридического договора).
"В случае халатности или серьезного нарушения юридическую ответственность может понести любая сторона, но, как правило, ее несут банк-эмитент карты"… Чего-чего может банк-эмитент? Вы про какую страну вообще говорите? К слову в комментах к http://habr.com/post/422551 люди рассказывают что как-то из банка ответили в стиле "бесконтактная оплата не опротестовывается по определению"...
Не очень понятно..
на мошенничеств с использованием бесконтактных технологий нам не грозит. Мерчанты уже предприняли дополнительные меры защиты
И тут же статья переключается на другое. И причем здесь то, как банк регистрирует merchant и какие у него административные процедуры для этого.
И как обычный продавец может определить что конкретно "прислонили" к ридеру терминала?
Единственная защита "порядочный человек из за мелкой выгоды большой пакости не сделает"
Ну и порог вхождения.
Мелкий гопник (два минимум) из за 1000 руб должен уметь собрать android приложение, иметь свой VPS что бы не в пределах прямой видимости хотя бы работал (не локальный WiFi между телефонами)…
Да проще мелочь по карманам тырить!
Ссылку на Github на приложение не даю. кому интересно — найдут. Ничего в этом сложно в организации bridge по TCP/IP между двумя NFC телефонами один из которых как ридер работает, а другой как "карта".
Вот когда банкоматы начнут выдавать нал по бесконтакту… Вот тут то волна и пойдет.
Посмотреть PIN не сложно. А нал это не товар на 1000 руб.
Visa ужесточит требования к банкоматам в России
Они должны будут принимать бесконтактные карты
Все там будем, причём очень скоро :)
Ну и порог вхождения.«Почему Робин Гуд грабил богатых?
Потому что для того, чтобы грабить бедных, нужно быть государством/организацией/богатым.»
большинство кредитных компаний будут действовать в рамках договора о нулевой ответственности, предполагающего возврат всех украденных средств пострадавшему.
Подскажите пожалуйста какие банки в России так будут действовать?
Ну здорово. Как люди раньше до такого не догадывались? Это же универсальная методика — хочешь защитится от засланных казачков на работе — нанимай хороших людей. Не хочешь отдать деньги мошенникам — веди дела с порядочными людьми. Не хочешь попасть под колеса на переходе? Переходи дорогу, когда по ней едут законопослушные водители, все просто!
Сарказм понятен, но, тем не менее, это всё работает.
Если у какого-нибудь продавца расплатятся ворованной кредиткой, владелец карты скорее всего (*) оспорит операцию, и продавец получит серьёзный штраф за недостаточное качество идентификации личности покупателя. В следующий раз будет просить ввести пин или показать паспорт вместе с картой.
Если продавец сам решит скопировать карту и снять с неё немного денег, то ему опять же вкатят как минимум штраф, или вообще заведут уголовное дело. Всё отслеживается.
Такая вот принудительная честность.
Более того, это всё как-то работает (сейчас в основном работало) даже без кодов по sms или цифровых подписей, сделанных чипом карты. Достаточно легко копируемых данных карты.
* — в ряде сценариев не оспорит, но вероятность этого меньше.
Заметил по этой и недавней статье, что схема безопасности основывается на рациональном поведении вора (стоимость вхождения больше, чем доход).
То есть некий неразумный гопник, тюкнувший продавщицу бутылкой и отнявший у неё терминал, может какое-то время бегать и "обилечивать" прохожих во имя хаоса, но воспользоваться украденными деньгами не сможет.
Вот, может, разве что ракеты и АЭС сторожат с учетом этого. А остальное — одиночки системе большого ущерба не смогут причинить.
Информация сверяется с кодом категории продавца (Merchant category code, MCC).
Что защищает покупателей от мошенничества с бесконтактными платежами