Payment systems
Comments 389
+1
Что за приложене на телефоне Credit Card Reader? Это ведь Android? Не могу найти в playmarket.



0
Его почему то удалили из маркета. Вот ссылка на github репозиторий.
Есть собранный apk могу выложить.
+3
На гитхабе только парсер, а не вся программа. Вот что мне ответил автор на вопрос почему она пропала из маркета:

image
+3
Автора этой программы забанили в google play и удалили все программы. Его библиотека-парсер EMV открыта на github.com/devnied/EMV-NFC-Paycard-Enrollment

Есть платная версия это же программы от другого разработчика play.google.com/store/apps/details?id=nfc.credit.card.reader.pro2

Я попытаюсь извлечь APK бесплатной версии со своего телефона и выложить.
+14
Вытащил: Credit_Card_Reader.apk. Не качайте, там вирус!

На самом деле вируса там нет, но я считаю практику установки программ на телефон из APK-файлов мимо официального магазина вредной. Поэтому рекомендую воспринимать все такие файлы как вирусы.
+1
Ничто не мешает среверсить приложение (там же всего лишь Java) и убедиться, что всё хорошо. На полном серьёзе так делаю (и всем советую) со всеми хоть немного подозрительными apk (а иногда и со встроенными в прошивку приложениями).
+6
Разве это не займёт слишком много времени для сколько-нибудь нетривиальных приложений?
0
Это уже зависит от соотношения сложности приложения, паранойи и надёжности источника =) В данном случае приложение небольшое, несмотря на использование пары библиотек, его можно за адекватное время изучить (а заодно и посмотреть, как на практике реализована работа с NFC)
+7
А, допустим, если сделать направленную антенну с усилителем на терминале, реально ли будет контактировать с картой на расстоянии? (Не учитывая прожарку паховой области направленным лучем, конечно)
По примеру антенны Wifi или 4G по типу тех, что делает Креосан www.youtube.com/watch?v=nCIDvrs5UzI
+2
Хороший вопрос. По запросу «long range 13,56 reader» есть несколько китайских железок. Некоторые из них обещают работать на расстоянии до 25см. Я плохо разбираюсь в радио, но полагаю, что здесь играет роль ограничение мощности передатчика в самой карте. Условно говоря, карта может и услышит считыватель, но ответ не долетит до него.

На aliexpress есть несколько таких ридеров, но в описании у них заявлены 5-10см дальность, что с трудом можно назвать long range.
+3
Надо не только сильный сигнал чтоб достучаться до карты, но и еще услышать ответ, а это отдельная задача.
П.С.: ну и данный вариант антены ни в коем случае не разработка Креосана, это облучатель offset'ки от Bester. на lan23 уже давно были варианты под что угодно расчитаные).
0
Разве подобная антенна не усиливает сигнал с узкой области пространства?

П.С. Понятно, что это не его изобретение, это я так, для наглядности
0
Он придёт к антенне уже сильно ослабленным, зависимость от расстояния квадратичная. Просто утонет в шумах и помехах.
+6
Там несколько наоборот работает. КАРТОЧКА физически не отвечает радиоизлучением. Для этого недостаточно энергии. Вместо этого, карточка манипулирует полем излучателя путём замыкания своего контура в нужные моменты(поле излучателя замыкается — лог.1, не замыкается — лог.0), этим и ограничена максимальная дальность работы таких систем — насколько далеко мы сможем обнаружить источник потерь. Очень похоже на работу активного металлоискателя — практически те же физические процессы задействованы.
Кроме того мы работаем не с радиоизлучением, а с магнитным полем — нужна магнитная антенна, а это конструкция несколько иная чем у электрической антенны.
0
Считыватель не только «спрашивает» карту, но и обеспечивает её питанием на время сеанса связи. Навести индукцией достаточную мощность издалека — задача нетривиальная. А вот перехватить сигнал на большем расстоянии — наверное можно. Поэтому, штучки типа HydraNFC, наверное, можно располагать не только между картой/iPhone и терминалом, но и на некотором удалении. Только, возможно, антенну придётся переделать — из индукционной во что-то другое… Хотя, на частоте 13.56 MHz оптимальная антенна получится немаленькой :)
0
Ну, не хочется упоминать опять креосана, но я так понимаю «пушку» на частоте 2ГГц которая выжигает на приличном расстоянии электронику собраться можно. С 13МГц по габаритам, я так понимаю, эта хреновина будет больше? Не силен в радиотехнике, но вроде достаточно чтобы длинна антенны была просто кратна длине волны и иметь узкую диаграмму направленности
Я себе представляю фургон с пластиковым кузовом и шаращий таким «усилителем» в направлении держателей пластиковых карт…
0
Длинна плеча антенны должна быть как минимум 1/4 от длинны волны (лучше конечно 1/2). 13МГц — это 23 метра, т.е. минимально антенна должна быть 5,75 метра. Можно конечно сделать её сложной изогнутой формы, но это подпортит характеристики антенны.
0
В таких случаях делают электрическое удлинение антенны с потерей её эффективности. Но это всё фигня, проблема в том что электрическая составляющая поля там практически отсутствует, нам нужно улавливать магнитное поле.
0
Такой антенной мы не словим практически ничего — там работает магнитная составляющая а не электрическая. Нужна направленная МАГНИТНАЯ антенна. Что-то навскидку на ум не приходит ничего подобного.
+2
Да. Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.
Самая большая сложность будет с направленностью — сия халабуда читает со всех карт в округе и сильно подвержена влиянию помех (особенно учитывая, что у там всегда симметричная диаграмма направленности и «назад» она будет работать точно так же, как и «вперёд»). Но практическое использование вполне возможно — например, если жертва находится на открытом пространстве рядом с мошенником (улица, остановка, малолюдное место торгового центра).
Там, кстати, не антенна, не как её большинство представляет (как у WiFI, например), а плоская катушка индуктивности, которая создаёт вокруг себя поле от которого питается карта. Размер этого поля непосредственно зависит от размера самой катушки (можно даже считать, что примерно равен размеру самой катушки). Катушка размером с лист А4 создаст поле, достаточное для чтения с пары десятков сантиметров.
Можно, кстати, сделать неподвижную большую «стационарную» катушку, которую можно скрытно разместить в местах, где находятся/проходит много потенциальных жертв. Все же видели рамки на входе в магазины. Вот такая хреновина сможет читать с расстояния в метры. Можно даже представить ситуацию, когда злоумышленники модифицируют магазинную систему RFID, чтобы она работала с платёжными картами. Последствия будут захватывающими.
0
Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.


Не хотите попробовать реализовать? Я бы поучаствовал.
0
Я много чего хочу и много идей, но на данный момент жизнь так повернулась, что просто не могу позволить себе работать не за деньги :( Что плохо. Мне гораздо интереснее глушилку «без мозгов» сделать с себестоимость в 1..2 бакса. Но тоже нет свободного времени под личные проекты.
В принципе там всё тривиально — поле для катушки размером с дипломат и саму катушку можно множеством программ посчитать. Самая большая сложность будет с чувствительностью приёма, ведь можность «передачика» (карты) остаётся прежней. Как мне кажется, любые изменения среды и наводки будут очень сильно влиять возможность успешного чтения. Но как минимум дважды такая штука уже была продемнстрирована.
0
Нет в карте никакого передатчика. Там всё тривиально — карта умеет только замыкать свой собственный контур искажая поле передатчика и ничего более.
0
Именно поэтому это слово в кавычках.Но чем больше размер катушки и, соответсвенно, контролируемый объём пространства, чем дальше второй контур, и чем больше разница в размерах катушек, тем ниже соотношение сигнал/шум.
0
Есть предел размера катушки для выбранной частоты — настанет такой момент когда индуктивность катушки будет слишком велика чтобы вкачать в неё энергию на заданной частоте.
Противокражные рамки работают на частоте примерно 500кГц.
0
Вот только… частоты там гораздо меньше и токи по рамке гуляют порядка 20А. Индуктивность самой рамки не позволит эффективно работать на частоте 13МГц.
0
Дв, но до опредленного момента это решаемо (в крайнем случае можно родить монстра с несколькими катушками). Прототипы действующих конутров на 13 МГц, позволяющие читать банковские карты на заметном расстоянии уже создавались.
0
У «телефонизированного» способа оплаты есть ещё кажется и срок действия транзакции. Однажды оплатив проезд в транспорте телефоном (Google Pay) не обратил внимания на реальное списание. Потом спустя какое-то время Google Pay бомбил уведомлениями об отклоненной транзакции.

Однажды пытался оспорить операцию проведенную просто бесконтактной картой. Гор. траспорт одно время тупил и проводил транзакции толи с большой задержкой (более 1-2 недель), толи повторно. В один день пришла СМС о списании за проезд, а я уже как месяц не ездил на ОТ. Я отправил заявление в банк (тогда ещё не знал информации о запоздалых\повтрорных списаниях). Спустя 3 дня из банка пришёл ответ, что отмену операции они не сделают, т.к. была бесконтактная оплата, а это что-то там значит и всё такое.
+4
Банки пока живут непуганными, как и сотовые компании: ответ «вы сами наверное за что-то заплатили и забыли» можно услышать и там, и там. Только на следующий вопрос «что же это было» первые отвечают голосом своей СБ, что, по соглашению на карту вы сами отвечаете за передачу данных карты третьим лицам (а вы же хотя бы однажды платили через интернет, вот к ним все вопросы), а вторые говорят, что это, мол, не мы продавали, а наши партнеры.
Под дурачков удобно косить. Когда этот разговор развернется в сторону, что они обязаны доказать, что транзакция была (а не что вы как клиент идите и догадывайтесь, почему она не была) — тогда все эти «легкие деньги» перестанут им светить, и они начнут делать то, за что уже сегодня берут свою денежку — охранять, а не помогать тратить, деньги клиентов.
0
Еще в договорах бывает пункт о стоимости расследования списания средств, в зависимости от ситуации от 50 до 500 USD. Что очень сильно помогает мошенникам.
+2
Причем расследование не предполагает, что ты будешь не виноват. Вишенкой будет взять $500 и привлечь за разглашение номера собственной карты, как некой секретной информации (о чем, конечно, в договоре есть пункт)!
0
Номер карты не может быть секретной информацией. Он же всем доступен. Включая девочку-оператора, которая эту карту вам выдает.
+1
ага, а также срок действия и CVC/CVV которые вроде как секретные но тоже доступны всем подряд
0
Вы мой коммент-то прочитали? Вот эту часть «о чем в договоре есть пункт»?

Просто я такое видел. Я получал карту (сам, не зарплатную, а именно за деньги), мне звонил чувак из СБ банка с целью удостовериться, что я сознаю риски. И среди прочего мне прямо было скзаано, что, расплачиваясь через интернет, я автоматом отказываюсь от шанса вернуть бабки, т.к. (именно) я сообщаю третьим лицам данные карты, которые обязан хранить в секрете.

Так что вы можете жаловаться, но дело, случись что, спустят на тормозах.

Если нет, и попадантся вменяемый банк, дайте знать!
+1
Да, я читал. А можете процитировать и указать банк? А-то безумие какое-то.
+1
Есть закон «О НПС», в нем прописано, что БАНК должен доказывать, что транзакция проведена вами
+1
Чего вы сможете добиться через суд,… либо заплатив указанную выше сумму. В любом случае, сумма расходов будет превышать сумму транзакции без пин-кода. А с пин-кодом банк однозначно скажет что она ваша.

Хотя, наверное, существуют банки которые действительно защищают своих клиентов.
+1
Шикарный разбор возможных векторов атак!
«Сценарий 2 — злой POS-терминал… Антенна сниффера размещается между терминалом и картой, и пассивно захватывает всю передаваемую информацию.» Что сводит возможность атаки к исчезающе малым вероятностям, ИМХО. Ну если только не передавать карту в руки курьеру/кассиру и упускать её из виду, что в принципе не приветствуется правилами МПС, насколько я помню.
Спасибо за отличную статью!
+4
Когда-то я пытался изготовить автономный снифер iso14443, который бы можно было наклеивать поверх оригинального считывателя. Я делал почти незаметную антенну на 13,56Мгц наклеенную на прозрачный пластик, может сфотографирую, если найду.

hydranfc antenna

В видео показана родная антенна от hydranfc, однако ничто не мешает вам заменить синий текстолит на прозрачный пластик, наклеить такую антенну поверх экрана и спрятать снифер за терминал снизу.

UPD прозрачная антенна может выглядеть примерно так или еще более незаметно
image
0
Наверное можно попробовать заменить медь на ITO тогда вообще поверх экрана клеить. Только физический размер тоже измениться скорее всего…
0
Кстати, о птичках: у нас давеча поп с колокольни упал — так даже чирикнуть не успел если карта попала в руки продавца, то проще снять её изображение с двух сторон и получить информацию для платежей в Интернете, чем доставать и применять сниффер.
+1
чем доставать и применять сниффер

Предполагается, что сниффер установлен на терминал стационарно и автоматически собирает нужные данные.

UFO landed and left these words here
+4
Подобный сценарий возможен, только здесь важны тайминги. По интернету скорее всего не получится, а вот по радиоканалу можно. Вот демонстрация такого концепта

+4
Да! Похожим образом открывают и заводят машины с бесконтактным ключом.
0
Из статьи понятно только то, что это всё осуществимо. А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.
А я вот думаю, что вскоре будут массовые случаи, когда специально обученные люди будут воровать деньги описанным способом у граждан, а любые попытки опротестовать транзакцию, наказать воров и т.д. будут упираться в глухую стену бюрократии, круговой поруки и отписок. Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно, и деньги будут тем или иным способом обналичиваться, и мошенники не будут нести никакого наказания.

Так что, наверное, придётся или носить пяток бесконтактных карт вместе (спрятав важную банковскую в глубину пачки), или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать.
+1
AliExpress уже давно заполонили разнообразные RFID-непрозрачные кошельки, зажимы для денег, чехлы, держатели кредитных карт и т.п. Можно не изобретать.
0
Я купил такой кошелек. Ни как не получалось считать карты находящиеся в нем. Пробывал считывать с помощью телефона и ни банковская карта, ни карта тройка не считались. Так же пробывал в гостинице карту для входа в номер находящуюся в этом кошельке приложить, тоже не сработала.
+5
А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.

В статье как раз говорится, что получить POS-терминал достаточно легко, но у этого есть цена из которой складывается себестоимость всей схемы. Вывод в том, что такая атака просто не выгодна.

Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно

В таком случае можно просто допустить, что банк будет напрямую воровать у вас деньги со счета без всяких терминалов. Такой сценарий в вашей моделе угроз реален?

или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать

Кстати, для этого существует интересное решение: специальная карта, которая попадая в поле действия считывателя начинает активно слать мусорные данные ломая взаимодействие с любыми картами рядом cdn.shopify.com/s/files/1/2175/8571/products/ARD-Active-RFID-Defence_1024x1024@2x.png?v=1505461389
image
+2
Банк — это коммерческая организация, которая работает только с целью получения выгоды. И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.
0
банк платит штрафы в МПС по фроду, по этому он заинтересован в уменьшении количества воровства любыми способами в т.ч. и «уговариванием клиента» что это не фрод
+3
И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.


Насчет банков врать не буду, не знаю.
Но есть такие организации коммерческие — платежные системы.

Мы с вами используем их сплошь и рядом, например, через них проходят платежи на сотовые платежи. Или ящики-терминалы стоят в общественных местах для оплаты сотового, коммунальных платежей (не банкоматы).

Подобные системы открываются и закрываются пачками. Вот только некоторые из них pay2.ru/dirs/systems

И вот для платежных систем утверждение насчет — честно работать получишь в десятки раз больше — категорически не верно. Если будут действовать честно, то будут существовать на мизерную комиссию. Для любопытства поинтересуйтесь правилами сотовых операторов. Помниться, Теле2 вообще категорически запрещал (а может и сейчас запрещает) брать комиссию с плательщика (комиссию, смешную правда, платит посреднику сам оператор). Но найти терминал приема платежей, принимающий Теле2 без комиссии — это еще нужно было в те времена побегать.

Но мошенничество не в этом. У данных платежных систем есть такой замечательный способ мошенничества — не проводить, скажем, каждый десятый платеж на телефон. Как показывает практика, большая часть людей не будет из-за 50 рублей напрягаться даже звонить и ругаться. А кто будет — тому эти деньги все же до телефона доведут. И вот такая «комиссия в 100%, но зато с каждого 10-го платежа» — это огромные деньги, есть смысл для мошенников.

Считайте:

2000 платежей в день с терминала по средней сумме 300 рублей. Оборот 600 000 рублей в день с точки. Это для не-Москвы довольно-таки хороший терминал, очень хорошее «проходимое» место.
Комиссионное вознаграждение честное — 0,1%. То есть 600 рублей с точки. 18000 рублей с терминала в месяц. Их которых только одна аренда места может стоить 5 000 — 10 000 рублей (торговые центры же тоже не дураки, понимают, что если место «проходное», то нужно зарабатывать по полной). Да, торговые центры за такие терминалы берут не за формальные 2 кв. метра как с обычного магазина, а по полной.
Терминал нужно обслуживать, он жрет электроэнергию, интернет. Фирме-владельцу нужно платить налоги, тратиться на бензин (их же нужно регулярно объезжать, снимая выручку и заряжая принтера) и т.п. Даже такая операция как пересчет мелких наличных денег 600 000 рублей с терминала в день — это огромная проблема. Это реально горы налички.

Получается, что 1 терминал это уже не бизнес. Чтобы более-менее существовать за счет терминал — тебе нужно их ставить как минимум десятками (и обслуживать самому, чтобы не платить зарплату никому; и еще решить проблему воровства налички персоналом).

Ну а теперь берем каждый 10 платеж. Это 60 000 в месяц. И делаем иммитацию технического сбоя. Практика показывает, что порядка 5% людей звонят, возмущаются. Остальные просто забивают.
Ну и сравните — честный доход 18 000 рублей с точки.
Мошеннический доход — 18 000 + 57 000 рублей с точки.

Платежные системы лет пять назад по этой схеме открывались пачками, работали по полгода и закрывались.

И если у вас когда-то не доходил платеж — то это вовсе не случайный технический сбой... А, скажем мягко, запланированный технический сбой.
+5
Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами. Т.е. зарплаты сейчас у всех приходят на карту, у всех банков сейчас есть мобильные приложения из которых удобно и без комиссии можно и всё оплатить и деньги перевести. И вот зачем в таких условиях искать этот терминал (а к слову, я в Питере их уже давно не видел, думал уже совсем исчезли), и зачем платить через них с комиссией — вот этого я не понимаю.
Только если гастарбайтерами, которые неофициально здесь работают.
+1
Их в Питере всё ещё дофига, непонятно на чём живут, но людей перед ними я иногда вижу. А за мобильник можно с сайта оператора картой оплатить, помимо любого банкомата. Ну или через сберовские терминалы — там и наличкой можно оплатить.
0
пенсионеры же) все с мобилами, но без компьютеров. они клиенты?
0
В нашей деревне — 99% пользователей терминалов — рабочие из стран ближнего и не очень зарубежья. Мобила нужна, а компьютер в бытовке на 20 койкомест, на которых спят в три смены, просто негде поставить. А у пенсионеров в нашей деревне почти у всех умные телевизоры с интернетом.
0
Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами


Дык платежные системы — это отнюдь не только терминалы.

Вторая линия так сказать — терминалы и банки вовсе не напрямую подключены к операторам связи и коммунальщикам. (крупные банки к крупным операторам связи напрямую, ну а прочим путь заказан/неудобен напрямую).
0
Как-то у Вас совсем плохо получается.
Работаю в компании, принимающей платежи через такие терминалы
Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними
За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились. Но вот чтоб 10% платежей — это что-то из области фантастики.
Правда пишу из Украины
0
Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними


Между вами и первичным приемом налички — цепочка из 2-3 посредников. Кушать хотят все.

В нашем регионе как раз одними из первых по России запускали. Так что у нас давно уже жесткая конкуренция. На самом деле никто не работает на 0,1-0,3%, как того требуют операторы связи, все нарушают требования операторов связи и накручивают больше — иначе только мошенничеством и можно выжить.
А когда-то было и 15 процентов. Тогда с одного терминала можно было весьма богато жить.

За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились.


Разумеется никто не признается, зачем им уголовную статью на себя вешать.
Уверяю вас, не все из них технически сбои.

Но вот чтоб 10% платежей — это что-то из области фантастики.

Это работает только на массовых микроплатежах.
На платежах за сотовую связь — самое типичное.

Если у вас, скажем, местячковый интернет-провайдер, то никто не будет рисковать, оно же сразу выплывет.

0
Экран должен быть от магнитного поля а не электрического, нужен магнитомягкий материал вроде феррита или железа.
+1
Есть доклад на эту тему от Сальвадора Мендозы youtu.be/BqjyewIEFSc

В двух словах: используется снифер и глушилка, чтобы перехватить данные магнитной ленты и не дать пройти транзакции на терминале. Потом эти данные используются для оплаты.
+7
Issuer Application Data (IAD)

Структура IAD различная на разных МПС. Описанна в EMV book 3 C7.2 «Issuer Application Data for Format Code ‘A’ ». Из интересного в ней можно найти «CVR» Card Verification Results, результаты проверок, проведенных картой.

Cryptogram Information Data (CID) — Я не осилил разбор этой структуры, помогите.

Описанна в EMV Book 3 «Table 14: Coding of Cryptogram Information Data ». Карта (телефон) вернула ARQC — что значит запрос на онлайн и без ошибок.

Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe (MSD)
Стоит отметить что MSD и VSDC это варианты VISA приложения. MSD действительно устаревший и эмулирует магнитную карту. Ваше приложение — VSDC.

Протокол MasterCard немного отличается, но в целом похож.
Интересно что бесконтактный MasterCard достаточно сильно отличается от безконтакной Visa и практически полностью идентичен контактному протоколу.

В AIP содержится важная информация о поддерживаемых методах аутентификации (SDA,CDA,DDA) платежа. Почему в моем случае все эти флаги равны нулю — я не понимаю.
Т.к. используется технология токинизации и только онлайн, что подтверждается виртуальной картой и начиличем EMV Tokenisation (Payment Account Reference (PAR)), аутентификация по SDA,CDA,DDA похоже становится не нужной. Также как запрос пина и т.д.
0
Статья отличная! Спасибо автору!
Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной
Данная блокировка не вызовет дополнительных проблем, например, с переводом с чужой карты на эту основную карту или, наоборот, с этой карты на карту в другом банке?
UFO landed and left these words here
+2
Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит одну единственную карту в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.

Многие носят в одном месте несколько карт из которых только одна бесконтактная.

0
Скоро перестанут.
Банки же заменяют все истекшие карты на бесконтактные. И способа отказаться я не нашел.
0
Это не совсем законно.
Карта — собственность банка.
Но всё равно спасибо, обязательно воспользуюсь.
0
Как будто это можно доказать. Просто карта «сломалась». У меня такое кстати было — сперва бесконтактные транзакции по карте начали работать плохо (со 2-3 раза), а потом и вовсе перестали, пришлось карту перевыпускать.
0
Я ничего не говорил про наказание или факт определения нарушения закона.
Или для вас всё, что нельзя доказать автоматом можно ингорировать?
0
Зачем такие сложности, если банк (при контактном чтении чипа) может послать на карту команду «отключить contactless интерфейс»?
0
В теории, вероятно, может. Но вы знаете хоть один банк где можно такое сделать?
0
Хз как отключить, но с уверенностью могу сказать, что некоторые банки для конкретной карты могут просто деклайнить весь контактлесс например.
0
Да, знаю. Правда это не российский банк. Но технически это очень просто.
0
Видел вот такую реализацию в одном из западноевропейских «банков 2.0»:



Кажется, N26.
0
Например, в банке Авангард при выпуске карты можно выбрать, добавлять ли поддержку PayPass / PayWave.
+2
На первой схеме между банком эквайером и МПС не хвататет Национальной Системы Платёжных Карт (МИР)
0

Ну это только вроде для карт российских банков-эмитентов и только если эквайер и эмитент не один и тот же банк(для пластиковых бесконтактных карт). Карты зарубежных банков идут напрямую в нужную МПС, а если банк эквайер заодно и эмитент то в МПС обычно ничего и не уходит.

+1
Сценарий 3 — Послать сниференные данные еще раз эмулируя Apple Pay. Конечно терминал посылает 9F37 Unpredictable Number, но SDA, DDA, CDA аутентификации не поддерживаются.

В том случае интересно как у ApplePay проверятся аутентификация карты(телефона)?

Уникальность транзакции проверяется по AC криптограмме и можно понадется (а так говорят бывает) что AC криптограмму ApplePay процессинг не проверяет.
UFO landed and left these words here
0
да, в процессингах ведутся свои счетчики чиповых транзакций, которые и участвуют в отправке запроса на HSM при валидации ARQC, два подряд одинаковых ARQC <> два корректных ARQC (за исключением запросов информации — баланса/выписки и т.д.)
UFO landed and left these words here
+1
Технически есть возможность миновать МПС. Пример — работа MasterCard российских банков в Крыму, а также израильские процессинговые центры IsraCard, LeumiCard. Если карта «своя», то МПС не задействуется.
+1
Для ApplePay и Samsung Pay без МПС (не важно, Виза, Мастеркард или НСПК) не получится.
0
А Samsung Pay даже при использовании магнитной полосы (MST) передаёт токенизированные данные? Или всё же реальные данные реальной карты (а не «подставной» номер)?
+2

Если эквайер и мерчант в одном банке, то операция никуда не идёт, кроме самого банка и его процессингого центра (не у всех свой ПЦ).
Если эсквайр и мерчант в России, то операция пойдёт через НСПК. Это нововведение, появившееся после санкций со стороны Visa в 2014 году.

0
А до НСПК существовал другой обходной вариант — ОРС (правда членство в нем было по желанию)
+2
VISA уже давно заставляет POS-транзакции маршрутизировать через них («в целях контроля фрода»), так что даже транзакция «своей» карты пройдет через МПС, если только банк не настроит софт иначе, игнорируя требования МПС.
+1
При проведении платежа — обычно не происходит. Но Мастеркард, а с 19 года и Виза требуют формирование т.н. Collection Only сообщений. Это сообщение формируется эквайером и уходит в клиринговых файлах. Коллекшн онли формируется по us-on-us операциям (эмитент = эквайер), а также по domestic операциям (это когда внутри НСПК).
Ну и плюс МПС требуют квартальные отчёты по всем операциям с использованием их карт — сюда тоже попадают и ас-он-ас, и доместик, и все-все-все.
0
И еще небольшое дополнение, для некоторых партнерских программ МПС может требовать не только collection only, но и направление авторизационного on-us траффика через них, для мониторинга.
+1
Т. е. как я понял, от сценария №1 защищает только наличие нескольких карт в кошельке? Тут такое дело, я не знаю никого, кто бы таскал в кошельке их больше одной. Есть банковская карта, куда падает зарплата и которой везде рассчитываются. И всё. Также, картой Тинькофф я бесконтактно платил и по 2, и по 3, и по 5 тысяч — никаких проблем, никто PIN не спрашивал.
0
У меня в кошельке 2 банковских карты с бесконтактной оплатой, бесконтактная карта газпромнефти и тройка. По обоим картам лимит строго 1к без pin. Кстати знакомый просто положил в секцию для купюр листок фольгированной бумаги от какой-то упаковки. В сложенном виде прекрасно экранирует от чтения — проверяли)
0
Тройка — это какой-то проездной для москвичей? Мы в нашей тьмутаракане не знаем такого :)
UFO landed and left these words here
+1
Вообще это был сарказм. Практически всем не-столичным жителям достаточно иметь одну банковскую карту. И мне не приходят в голову ситуации, когда может понадобится вторая.
+2
Разные банки, разные платежные системы, зарплатная карта и карта для покупок. Две карты всем советую иметь. А лучше три, чтобы зарплатную вообще нигде не палить.
0
А лучше три, чтобы зарплатную вообще нигде не палить.
можно просто отвязать карту от зарплатного счёта.
0
Не все банки оперируют раздельными понятиями карта и счет. У сбера например заблокированная карта не позволяет оперировать счетом. А у Альфы наоборот, к одному счету можно привязать несколько карт. Все зависит от адекватности банка.
+1
Опять же, а зачем разные банки? Зачем отдельно карту для покупок, а отдельно для зарплаты? Ну ладно, может прям действительно бывает надо. Но зачем их все в кошельке держать? В кошельке достаточно ежедневную носить. Да и для других целей необязательно иметь именно карту — достаточно просто дополнительные счета открывать. Я правда не понимаю.
+2
Про кошелек вы не уточняли, я отвечал зачем нужны несколько карт. В кошельке можно вообще ни одну не носить если есть поддержка %brandname% Pay в девайсах.
А теперь на остальные вопросы:
Карты разных банков удобно иметь для переводов со счета на счет без комиссии. Например, зарплатный проект в Райфайзен, а у огромного количества людей в России есть карта Сбера. Вот чтобы с друзьями перекидываться деньгами и иметь доступ к банкомату в любой момент пригождается сбер (его банкоматы на каждом углу). Второе «за» за разные банки — это блокировка карточки по желанию левой пятки банка. Подозрение на фрод, ошибка в документах, плохое настроение — все что угодно может привести к заморозке счета. Вероятность одновременной блокировки двух счетов в разных банках гораздо ниже.
Карта для покупок нужна, чтобы не светить зарплатную. Конечно, можно отвязать зарплатную и заморачиваться с перекидыванием денег со счета на счет, но проще иметь другую карту, которую не жалко дать продавцу в руки или светануть в интернет-магазине. В случае чего она просто блокируется, а вы можете снять необходимую сумму в банкомате со своей зарплатной карты.
Если у вас одна карта и вы ее заблокировали, вы сможете снять наличные только в банке по паспорту. При этом многие отделения не работают по выходным, например.
Зачем две карты в разных процессинговых системах не нужно рассказывать?
0
Кроме всего вышеперечисленного (все описано логично) еще могут быть актуальны разные кэшбэки и прочие акции.

Условно:
В кошельке две карты «для покупок», Visa банка X и MC банка Y, обе бесконтактные, в разных половинках кошелька (можно платить не доставая, но открыв кошелек). На карте X у нас общий кэшбэк условно 1% и на операции A, B, C кэшбэк 5%, а по карте Y общий 0.5% и по D, E — 3%, так что в общем случае платим в зависимости от точки. Ну и есть пространство для маневра — где-то предлагают скидки «держателям Visa»/«только при оплате MC», плюс вероятные нештатные случаи.
Возможно еще добавить третью кредитную карту для определенных случаев.
Обе карты добавлены в смартфон, так что по большей части кошелек не нужен, но смарт может разрядиться и проч глюки.

Ну а дома лежит зарплатная карта, например Мир, возможно кредитная карта для поездок. Вероятно, карта третьего банка, или валютная.
0
Вот сейчас открыл кошелёк, посчитал, у меня там 5 карт. Зачем они там лежат? Не знаю, ведь я всё-равно пользуюсь Apple Pay. Наверное просто для того, что бы всегда была возможность ими воспользоваться, хотя я и понимаю, что по факту такая необходимость вряд ли когда-либо настанет.
0

Конечно можно и у людей есть деньги для годового обслуживания этих карт

0
Иногда годовое обслуживание бесплатно. Иногда совсем, иногда при каких-то условиях.
0

Карты двух банков обе бесконтактные Сбера и Альфы, обе требуют денег. Только давайте без зарплатных проектов, карт.

0
Давайте. Голдовая кредитная Visa от Сбера. Обслуживание бесплатно уже который год. Позвонили, спросили нужно ли на таких условиях. Зарплатного проекта в тот момент не было, была только обычная (ещё и Maestro) дебетовая карта.
Росбанк, к примеру, по классической кредитной карте — бесплатно при обороте за предыдущий год не менее 180 000.
0

Ну так и я могу привести примеры даже у тогой же Альфы — порядочные обороты по карте, большие остатки на карте.


Кредитная от Сбера — интересно, на сайте информация разнится по второму и последующим годам. Снятие налички платная услуга, но для оплаты коммуналки может и подойти. Но то что кредитка — пугает разными возможностями ухода в минус чего не бывает у дебитной

0
Кредитная карта как правило имеет grace-период. При уходе в минус просто пополняешь счёт карты до нуля. Кэшбек оплачивает стоимость обслуживания карты, если она есть.
0

Я не уточнил. В случае несанкционированных списаний в том числе о чем эта статья.

0
Просили примеры, я их привёл. По остальным банкам подобного тоже можно найти.
Кредитная от Сбера — индивидуальное предложение, такую нельзя прийти и заказать. За какие заслуги примерно понятно, но это скорее косяк их системы оценки (хорошо что лимит другая система выписывала, там такого косяка не наблюдалось).
Дебетовая карта пугает неожиданными возможностями ухода в минус на ровном месте. Пару раз уже попадал так. А овердрафт по ней дороже, чем кредит по кредитке.
UFO landed and left these words here
0
Алюминиевая фольга не задерживает магнитное излучение. В метало искателях, к примеру, катушка полностью экранирована алюминиевой фольгой и это не препятствует работе катушки. Алюминиевая фольга способна экранировать только электрическую составляющую поля, а на ближнем расстоянии она и так практически равна нулю. Остаётся только использовать стальную фольгу или организовать систему короткозамкнутых контуров которые погасят высокочастотное магнитное поле.
0

Я правильно понимаю, что в вашем представлении электрическая компонента отражается от алюминия, и только магнитная проходит?

0
Нет. Когда говорят об электромагнитном излучении это означает что одно без другого существовать не может, они связаны. Но тут какое дело — связаны они друг с другом через переход из одного вида энергии в другой — магнитное поле переходит в электрическое когда тормозится в замкнутом контуре, и электрическое поле переходит в магнитное когда его замыкают на катушку. Так вот с катушки выходит магнитная составляющая поля, рассеятся она может только на соответствующем контуре, и фольга алюминиевая хоть и представляет собой контур но практически не влияет на магнитное поле, отсекая только электрическое будучи заземлённой т.к. имеет малую магнитную проницаемость. Причем в момент разряда на землю вокруг проводника возникает… магнитное поле. Ну это мелочи. Алюминий толщиной в несколько сантиметров, пожалуй может значительно ослабить магнитное поле так что это можно заметить… но это не фольга. А вот магнитомягкие материалы, вроде железа, обладают высокой магнитной проницаемостью и создают определённое сопротивление магнитному полю, препятствуя его росту и кроме того вызывая высокие потери за счет перемагничивания магнитных доменов. В итоге магнитное поле в таких материалах быстро вязнет, и чем выше частота изменения поля, тем лучше оно гасится.
0
Прошу прощения за прямоту, но мне ваши объяснения кажутся ненаучными, либо я не понимаю вашей терминологии. Я не исключаю этого.
Амплитуда электромагнитной волны в проводнике падает по экспоненте. Характерную глубину «проникновения» (падение интенсивности в е раз) можно посчитать, она называется толщиной скин-слоя. В вики есть пример для меди, для 10 МГц это 21 микрон. Т.е. уже обычного проводника вполне достаточно. Магнитная проницаемость уменьшает толщину, безусловно, но это не обязательно. Прошу заметить, именно это я и написал.
50 мкм алюминиевая фольга уже примерно в 8 раз снизит поле, толстая в 100 микрон в 55 раз.

P.S. Мой кошелёк из однослойного углеволокна без проблем защищает карты от считывания.
0
Это касается электрического поля. Магнитное поле через алюминий проходит без проблем, иначе магнитные экраны делали бы из алюминиевой фольги.
Кошелёк защищает вашу карту за счет формирования короткозамкнутых контуров, на которых магнитное поле переходит в электрическое и рассеивается на активном сопротивлении самих контуров.
0
1. Банки иногда падают и часто (раз в год точно) проводят апдейты. В это время их карты не работают совсем. Да, это на несколько часов в ночь с субботы на воскресенье, но! Очень полезно иметь карту другого банка (и другой системы)
2. Совсем редко банки накрываются. Страховку выплатят через 2-3 недели, но это время как жить? Нестоличные банки неплохо падают.
3. Дебетовая и кредитная. По кредитке, обычно, больше кешбэк, на дебетовую проценты начисляют и переводы с неё дешевле делать (садики, кружки и т.д.)
4. Рублёвая и нерублёвая. Нестоличные жители тоже ездят за границу
5. Можно не уследить за баллансом. И стоите вы в супермаркете с пробитой горой продуктов на кассе, а денег не хватает… Вторая карта спасёт. Можно сломать/потерять карту.
0
Карты Тинькова ещё и по EMV бывает пин-коды не спрашивают, не знаю как сейчас но какое-то время назад это был единственный банк выпускающий EMV-карты без запрос пина по умолчанию
0
Очень странно, у меня тот же Тинькофф, и на любые операции свыше 1000 еще ни разу не было, чтобы какой-то терминал не спросил PIN. Аналогично Юникредит. Банковских карт других банков у меня нет.
0
В приложении Тинькофф
Настройки -> ПИН-коды карт -> «Подтверждать покупки ПИН-кодом».
Это можно включать и выключать
0
Дебетовая + кредитная. Или карта зарплатного банка + карта удобного банка. И что-то мне кажется что людей с единственной картой очень мало (разве что пенсионеры). А кошелёк это просто удобная штука, позволяющая потерять их все одновременно с наличкой.
0
У меня 2 EMV карты в обложках порткарде (кошелёк для карточек), для бесконтактной оплаты открываю нужную обложку, иначе оплата не проходит даже в описанном случае сбербанковского терминала.
+1

На будущее: слип — это такая самокопирующаяся бумажка на которой выдавливают информацию о карте с помощью импринтера (для этого подходят только эмбоссированные карты… VISA electron, например, не подойдёт т.к. не имеет выпуклого рельефного номера).


В России, мне кажется, импринтер сейчас не встретишь.


А то что вылезает из pos-терминала — это просто чек.

+2
Slip это и есть чек или квитанция, любая. Русское сленговое слово, вероятно, ввели в употребление любители сленга.
0
Но как тогда различать кассовый чек и второй чек о результатах банковской транзакции?
+1

Импринтеры, на самом деле, до сих пор иногда выдаются мерчам, но уже лет 10 кассиров не учат с ними работать, хотя порой менеджеры при форс-мажорах (авария у оператора связи, а клиент очень вкусный) и вспоминают про них… но чаще — да, про них никто не помнит, даже при наличии — пару лет назад закрывалась одна подшефная торговая точка и директор магазина звонил мне с вопросом "А что такое ЭПЛИНТОР? На ответхранении числится 3 штуки, надо отдавать банку, а что отдавать — непонятно..." только на словах "банку" я понял, что речь про импринтеры.

+1
Может быть кто-то сможет ответить.
Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации? Сколько времени оно проработает без снюхивания с серверами?
Зачем Google Pay дёргает данные GPS? Только ли ради точного времени со спутника и калибровки таймингов?
+5
Отвечу за Apple Pay: работает без симки и wi-fi. Часто оплачиваю через apple watch (без симке), не имея при себе iPhone.
+2
Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?


Если установить режим «самолета», то apple pay все равно работает.
0
ну, правильно, потому что сама виртуальная карта генерируется онлайн в момент подключения услуги apple pay.
+1
Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?

Да, но через какое-то время у вас закончатся ключи для подписи транзакций. У Google Pay ключей вроде меньше десятка, живут порядка недели.

Только ли ради точного времени со спутника и калибровки таймингов?

Для оплаты ничего калибровать не надо. Локацию дергают для аналитики, скорее всего.
+1
У Google Pay ключей вроде меньше десятка, живут порядка недели.

А я то думал, почему мне оно не нужно. Оказывается вот почему.
0
Google Pay использует GPS, как минимум, для определения магазина, в котором вы находитесь — если добавить туда скидочные карты, он сам предложит в шторке карту условной пятёрочки, в которую вы зашли, чтобы её можно было показать кассиру, ничего дополнительно не открывая и не нажимая. Кстати, удобная штука.
-5
А что с Google Pay? Там достаточно чтобы телефон был просто разблокирован и палец подносить не надо, идешь по улице и залипаешь в соц сети, с включенным NFC. К тебе терминал приложили и деньги улетели. И сумма не ограниченна 1000 рублей, можно списать и больше.
Это вообще нормально?
+6
«А что с наличкой? Кошелек из рук выхватили и деньги улетели. И сумма ничем не ограничена.
Это вообще нормально?»

Вы статью-то читали? Заявление в банк и полицию, счет списавшего блокируется, деньги возвращаются
-3
Достали эти пешеходы-залипальщики в соцсетях((( Не рекомендуется на ходу есть, курить, думаю соцсети из этого списка. По тыщенке с каждого, в виде платы за обучения хорошим манерам)
0
Терминал крупнее телефона. Если вы не видите, что прямо перед вашими глазами чем-то размахивают, и если вы рукой не почувствовали, что к телефону пытаются чем-то прикоснуться, то это не проблемы системы
+1
Я недавно видел в каком-то то ли ларьке, то ли кафе… Там терминал был примерно 5х5х1 см, в качестве экрана и связи с внешним миром использовалось приложение на мобильном телефоне по блю-тусу. Чек не печатался, чек отправляли на е-мейл или ссылкой в СМС…
+1
Вот так ещё делали:


поговаривали даже, что именно из-за таких терминалов apple отказалась от аудиоджека
+1
такие терминалы не пошли из-за роста популярности чиповых карт
сейчас каждая вторая служба доставки (в Мск) ездит с микротерминалами про которые Igor_O говорит
+1
Сейчас самые дешевые мобильные терминалы подключаются по bluetooth к телефону, и на телефоне в интерфейсе клиент-банка вводится сумма и телефон обменивается данными с банком по интернету. Вот например русские продают такой терминал www.2can.ru/products/terminal

Он достаточно навороченный, умеет и бесконтактную оплату и чипованные карты и магнитную полосу. Вот китайский OEM вариант этого же терминала dspread.manufacturer.globalsources.com/si/6008847651844/pdtl/Mobile-credit/1158842979/NFC-EMV-card-reader.htm Стоит <100$.
image
+1
Недавно приезжал курьер с похожей девайсиной. Там требовалось физическое внедрение карты. Самсунговский MST не справился. Похоже внутри был просто контакт.
По поводу картинок на морде (как на приведенной картинке, в правом верхнем углу терминала) — не помню, честно.
0
СДЭК был. телефоном (Huawei) не получилось расплатиться, пришлось сходить за карточкой (Сбер).
+1
1. Должен быть недавно разблокирован. Таймаут не знаю, но он есть. Или попросит разблокировать (ввести пин, палец и т.д.) ещё раз. Несколько раз тупил перед кассой в телефон минут 5, этого хватало на повторный ввод.
2. Если есть интернет, то телефон тут же квакнет и скажет про списание, вы заметите проблему сразу и сможете обжаловать.
0
В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.

Видимо, Санкт-Петербург — исключение. В СПб в метро есть и мобильная связь, и мобильный интернет (хотя в перегонах он, конечно, работает хуже, чем на станциях).
В Москве — мобильного интернета в метро практически нет, но есть WiFi (интересно, а POS терминалы через WiFi умеют работать!?)
0
Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя
0
В НСК на самых посещаемых станциях стоит 4G и в глубь перегона тоже немного добивает.
0
В пределах кольцевой мобильный интернет в метро работает идеально у всех операторов (ну разве что про теле2 не знаю). По остальным веткам зависит от ветки и оператора. На станциях есть везде уже давно.
0
В пределах кольцевой = в центре Москвы? Или = ПО КОЛЬЦЕВОЙ?
Потому что по Сокольнической линии — да, в целом связь есть.
А вот по Арбатско-Покровской и Замоскворецкой (даже в пределах кольца) — ловит только на станциях.
0
Это полностью от оператора зависит. У всей большой тройки покрытие в метро очень разное.
0
Более того, раньше принципиально разные технологии использовались. ЕМНИП, МТС использовал кабели-антенны в тоннелях, Мегафон — направленные антенны у входа в тоннель.

Но это было до прихода Максимы, сейчас, возможно, всё это унифицировалось.
0
В пределах кольцевой линии, в тч на самой кольцевой) Серая ветка — хорошо работает примерно по половине с каждой стороны от кольца, дальше только на станциях и не везде адекватно, но где-то и LTE есть.
Видимо зависит от оператора, но я обращаю на такое внимание, потому что вайфай часто работает плохо, либо вообще не передаются данные либо сильно медленнее, чем по сотовой сети.
0
Лимит на максимальную сумму операции без подтверждения ПИН-кодом может быть установлен как на самом POS-терминале (CVM Required Limit), так и на стороне банка. В России это ограничение равно 1000₽.

Ни разу не сталкивался с таким ограничением на терминале. Обычно без пин-кода проходят гораздо большие суммы, например 250 тысяч рублей.
+3
А у меня ни одна операция свыше 1000 руб. при использовании PayPass не проходит без ввода ПИН-кода.
Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.
0
при контактной оплате (через чип) — ПИН-код запрашивается всегда

Может быть в этом причина? На моей карте выставлен приоритет подписи. Но опять же получается, что в настройках терминалов нет ограничений (либо они очень большие).
0
какое-то время назад большинство терминалов сбера требовало пин всегда, при бесконтактной оплате. Потом это убрали.
+1

С пин-ом при оплате чипом интересная ситуация, почти все терминалы требуют н при этом не все проверяют, был очень удивлён когда ввёл 100% неверный код а операция прошла :)

+1
Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.

ДАЛЕКО не всегда.
Есть такие банки и карты, где ПИН вообще не запрашивается в терминале в принципе. На любую сумму. Только в банкоматах запрашивается.

ДАЖЕ если найдётся терминал с жёсткой настройкой «требовать ПИН», можно обычно нажать на красную кнопку отмены, и транзакция пройдёт без ПИН-кода — по подписи.

Карты уровня World Signia к примеру. Или Infinite. Многие карты США.
Какой ПИН? Вы о чём? Непристойно это, как будто не чёрная Signia, а какая-то Maestro! Ещё и код набирать…

Иногда клиент может управлять требованием ПИНа, меняя приоритет самостоятельно.
+1
карта Тинькофф. пин код при оплате пайпассом за все время запрашивал только терминал в метро на кассе и терминал по продажам билетов на электричку. а так и на 15 тысяч покупки проходил без запроса.
0
Настраивается в мобильном приложении или на сайте. В статье это упомянуто.
+1
Очень часто это как раз ограничение на терминале. Например, когда в Латвии ограничение по бесконтактной оплате было 15€, я в других странах без проблем делал покупки на большие суммы. Например, в Польше оплачивал и 20 и 25€. Т.е. ограничение в 15€ было не на стороне банка, а только в терминале.
0
В Финляндии и Эстонии натыкался на ограничение в 25EUR. Причём вообще нельзя бесконтактно оплатить большую сумму — только втыкать карточку и вводить пин.
0
А кстати да, у нас точно так же, бесконтактные платежи ограничены 25 еврами, что-ли… или вообще 20-ю.
-5
Я не понял
Как украсть деньги с бесконтактной карты и Apple Pay
Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты

Ах да,
В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты

Это же просто очередной кликбейтный заголовок.
+7
Как будто первый раз в Интернете. Прочитав заголовок, должно быть очевидно, что статья про вектора атак на безконтактную оплату и рассуждениям по поводу безопасности такой оплаты. Собственно, я и пошёл по ссылке, не чтобы научиться воровать деньги с карточек, а чтобы узнать, насколько это всё безопасно. Возможно, автор немного переборщил с заголовком, но содержимое статьи с головой это компенсирует
+29
Вы правы, это кликбейтный заголовок. Сожалею, что вы попались на него.
+1
deniskin, Boomburum, смотрите, было написано «кликбейтный заголовок для лохов», и комментарий поправили модераторы. Класс.
0
Деньги могут списаться два раза

Не является мифом, а является грустной правдой жизни.
Не далее как 1 августа сего года… На автозаправке (в самой что ни наесть цивилизованной Великобритании в 10 милях от ЛКАД), пока POS печатал мне чек, что транзакция не прошла, на телефон прилитело две СМС-ки, что деньги списаны. Т.е. даже круче, чем «списаться два раза», а «деньги списались два раза, а товар я получить не могу».
Но тут есть еще один важный положительный момент — деньги с карты в момент транзакции — не списываются. Деньги — блокируются. Если за месяц не пришло правильное подтверждение, деньги разблокируются и снова доступны. При этом, если успеть до подтверждения транзакции сообщить в банк, что у вас пытаются стырить деньги, то вернуть все гораздо проще, чем если дождаться, пока деньги уйдут со счета. Но если не пытаются стырить, а просто сбой в системе… Приходится грустно ждать месяц…
А, да, это я еще так однажды в Китае в гостинице попал. Они у меня на карте заблокировали какую-то несусветную сумму на случай, если я у них погром устрою (все командировочные и почти весь аванс, которые на карте были… и это при том, что проживание было уже оплачено по безналу из Москвы). А разблокировать эту сумму — они не сумели… А у меня перелет в Тайпей после Китая и я 2 недели до зарплаты в Тайпее на последние 2 тысячи рублей жил. Благо там тогда питаться можно было на 100-150 рублей в день.
+7
Используйте кредитку в поездках — все авторизации (как раз заблокированные деньги) — это будут деньги банка. И пока они реально не спишутся — никаких процентов не будет. При дебетовых картах все эти авторизации блокируют ваши личные деньги
+1
На кредитке на тот момент уже висело заблокированных под 4 килоевро из прокатов в двух странах… И кто ж знал, что в цивилизованной стране, на АЗС которая «Services» в 10 милях от M25 (которая кольцевая вокруг Лондона), практически в самом центре цивилизации, в уже не первом десятилетии 21-го века, в 50 метрах от батареи Тесла Суперчарджеров, плохая связь с банком?
Но мой коммент был, в основном, о том, что деньги с карты могут списаться больше одного раза. Это не миф. Это жизнь. И такое может случиться даже если транзакция не прошла. Другое дело, что примерно всегда деньги через месяц вернутся.
0
даже 3 могут, у меня при покупке билетов на сайте ржд списали один раз, а потом, в течении часа, еще два раза. По двум лишним списаниям вернули через две недели.
+1
например часто на АЗС используется такой фокус:
есть некоторые умники которые говорят «Полный бак», и идут оплачивать… на кассе покупают шоколадку без заправки, выходят садятся в машину и уезжают… АЗС потом досписывает с карты бабло за бензин (правда для карт electron/maestro не прокатывает… к великой печали кассиров)… используя код авторизации от купленной шоколадки
0
Есть подозрение, что и для обычной карты это не прокатит. Минимум потому, что софт на POS-е должен уметь такое делать, а сам кассир такого не может сделать. И надо понимать (по протоколу) можно один код авторизации два раз использовать или нельзя. И что-то подсказывает, что нельзя.
0
гдето в 15-16 годах сильно ограничили такие фокусы (после большой серии фрода по кодам авторизации с чеков от банкоматов)
но вообще такая функция есть точно у отелей которые очень часто проводят операции CNP… более того именно для отелей есть много исключений в процессинге для таких дел, и совершенно точно заправки шелл пользуются такой схемой которую я описал выше
0
Про отели не в курсе.
Про заправки — вы не путаете резерв с возвратом? Когда холдируется заведомо большая сумма и потом (по факту заправки) лишние деньги возвращаются? При этом при возврате карта не нужна. Такое и сейчас есть (из свежего — январь в Белоруссии, июль на Лукошках на М4).
0
нет, не путаю, это данные от человека который работал в техподдержке куда звонили опечаленные кассиры у которых владелец карты maestro упер 60 литров бензина… и это не единичный случай
==
ну к слову сказать что такая операция легко опротестовывается, но в случае с АЗС недовольные не обращаются обычно
0
но в случае с АЗС недовольные не обращаются обычно

Людям настолько деньги не нужны?! эххх…
0
типа пришел в банк и скзал «я был на азс, заправился и не заплатил за бензин, а с меня бабло списали, вот чек без бензина, верните бабло»? :) слабоумие и отвага конечно
0
ну к слову сказать что такая операция легко опротестовывается, но в случае с АЗС недовольные не обращаются обычно

Где здесь есть про то, что вы написали?
В данном случае все равно, кто пострадавший: заправка или покупатель.
0
Банку то всеравно он бабло вернет, но этим действием «пострадавший» однозначно распишется в умышленном деянии, а не просто «забыл бензин оплатить»
0
Вы явно о чем-то другом думаете :)
Я вполне осознанно не ставлю кавычек вокруг слова пострадавший, ибо он тут есть: например кассир, которого нагрели на 60 литров (или заправка).
-1
Подождите, но там же везде камеры. Можно же тут же подать заявление в полицию на него.
+1
можно, но проще же сразу… и не надо отчитываться за недостачу (и лишатся премии, а то и платить из собственного кармана)
0
У меня на заре появления карточек в нашей жизни бьіло наоборот, — я заправлялся, а передо мной мужик заплатил карточкой и сел в свой порш и уехал, и получилось так что и за мой бензин заплатил тоже. Постояли с кассиром, похлопали глазами, отменить некак, ну я и поехал, благо тогда кризис бьіл и заправлялся впритьік на дорогу литров по 3-5-7, так что не думаю что тот мужик єто вообще хоть как-то ощутил.
0
В этой стране может действовать, и действует еще одно правило — деньги вернутся вам спустя месяц, если вы хорошо побегаете по отделениям своего эмитента, тряся чеком с надписью «Отказ», написав три заявления, и при условии, что вам повезет и банк смилостивится, а не скажет «проблемы не у нас, эквайер все подтвердил, идите к ним и с ними и разбирайтесь», как это бывает при ошибочных списаниях при снятии денег в сторонних банкоматах.

Я работал в торговой сети и знаю, насколько часто банковские терминалы сбоят из-за:
— внутренних глюков GSM-модуля (привет одному банку, техподдержка которого ОЧЕНЬ любила вместо детальных разбирательств отмазываться «идите проверяйте баланс на своей симке». К слову, это были те же Ingenico 220 модели),
— глюков в системах, к которым они подключены (привет другому банку и одновременно известной желтой компании, софт которых друг с другом уживается в абсолютных «гармонии» и «взаимопонимании», отчего приходилось ломать голову, как быть, когда оплата прошла, а операция по онлайн-кассе — нет, ибо драйвер решил «пошутить»)
— или банального отсутствия связи (привет нашим закрытым городам, где глушилки мобильной связи понатыканы за каждым забором).

Поэтому вообще оплачиваю что-либо отдельной картой, на которой лежит строго определенная сумма, только в крупных торговых сетях, если того требует значительная сумма операции или вынужденное отсутствие наличности, но ни в коем случае не в каком-нибудь магазинчике или ларьке на углу.
-7
Непонятно, то ли это реклама Эппл, то ли антиреклама бесконтактной оплаты. Я например Эппл не покупал и не собираюсь переплачивать за яблоко на корпусе когда есть китайские смартфоны за 200 долларов.

Если карта предоставляет номер и дату, то можно просто собирать данные карт и продавать их на черном рынке, не заморачиваясь с ООО.

> Проблема: Несколько карт в кошельке

Делаем/покупаем ридер, который умеет списывать со всех карт по очереди.

> Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний.

Если вам не удалось, это не значит, что это невозможно.

> Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.

Не вижу проблемы немного доработать терминал.

> В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро

В метро есть WiFI, также моб. связь ловится на станциях, также на некоторых ветках поезда едут над землей.

> За это время банк-эмитент направляет запрос банку-эквайеру, и если банк-эквайер подтверждает факт совершения сомнительных операций, то блокируется терминал и средства на расчетном счете владельца терминала.

Вряд ли. Иначе можно было бы легко заблокировать все терминалы конкурента.

> Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв.

Пара вагонов метро.

В общем, ничего не меняется: у банков, как и раньше, все на доверии, а не на математике и криптографии.
0

Да, статья не говорит о Google Pay, но ведь там что-то всё аналогичное. Так что китайские телефоны всё ещё в студии.

+5
Непонятно, то ли это реклама Эппл, то ли антиреклама бесконтактной оплаты. Я например Эппл не покупал и не собираюсь переплачивать за яблоко на корпусе когда есть китайские смартфоны за 200 долларов.


Основное отличие apple от android в том, что в пером случае, все заявленные функции работают. Android же настолько разнороден, что предсказать как будет сломана та или иная функция в конкретном телефоне невозможно.

Если карта предоставляет номер и дату, то можно просто собирать данные карт и продавать их на черном рынке, не заморачиваясь с ООО.


Верно, но цена таких дампов примерно 2-3$. Так что раздавать листовки на улице, возможно, будет даже выгоднее.

0
Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.
Я тоже так думал, пока друг не посоветовал проверить.
Я проверил несколько раз. Один раз из двух терминал удачно списывает деньги. И это при наличии в стопке трёх карт, две от одного европейского банка, третья от другого.
0
Вы правы, некоторые терминалы, например сбербанковские Verifone выбирают случайную карту из пачки и списывают с нее. Это работает достаточно хорошо в обычных условиях на кассе, но намного менее стабильно в полевых, при попытке считать карту через одежду или из сумки. В случае наличия нескольких карт, процесс считывания становится намного менее стабильным и предсказуемым. Я экспериментировал с USB ридером и телефоном в качестве считывателя.
+1
История про ограничение в 1000 рублей очень странная и выглядит скопированной из каких-то доисторических статей на тему.
Сейчас у Тинькова можно самому ставить ограничение в личном кабинете, но раньше, когда такой функции не было, а ограничение по-умолчанию менялось только по телефону, то лимит был совсем не тысяча рублей.
Сервис в банках бывает разный, но уж терминала, который бы автоматически запросил пин, обнаружив превышение лимита в 1000 рублей, за много лет не встречал ни разу.

Когда на хабре эта тема обсуждалась в предыдущий раз пришел к выводу, что никаких технических проблем для воровства нет, если только организационные. Неоткуда взяться левым терминалам. Теперь, похоже, есть откуда. Ну значит придется перейти на оплату телефоном.
+1
Сейчас у Тинькова можно самому ставить ограничение в личном кабинете,

Покажите пожалуйста как это выглядит.

0
image
Наличие такой настройки (возможно, вкупе с какими-то другими, сходу в ЛК не нашёл) позволяет покупать на суммы до 10к точно без пинкода, бесконтактно. Иногда позволяет больше, иногда начинает требовать пин-код.
0
Вот что ответил Тинькофф:
При оплате покупки на сумму СВЫШЕ 1 000 рублей:
Операция осуществляется с авторизацией, ТРЕБУЕТСЯ подписание чека или введение ПИН-кода.
Ограничение является настройкой ТСП. Сумма 1000 рублей является рекомендацией МПС. По факту ТСП может выставить лимит больше рекомендуемого.


То есть это настройка Cardholder verification methods (CVMs) на самой карте, и в случаях когда в терминале установлен лимит на запрос CVM в тысячу рублей, от вас требуется авторизация в виде росписи.
0
Вообще будет интересно послушать ответ от сотрудников Тинькофф, которые есть на хабре: kolxo3nick NikolaiKobzev sergey_belyakov RISENT xotta6bl4

  1. Может ли сама карта устанавливать лимит на бесконтактную операцию без подтверждения? Под подтверждением имеется в виду любой CVM, подпись или ПИН-код.
  2. Что будет, если в качестве CVM установлена подпись, но клиент не расписывался на чеке?
+1
Здравствуйте!

1. Мы можем установить приоритет авторизации по подписи или по ПИН-коду. Лимит на авторизацию без дополнительного подтверждения стандартно составляет 1 000 руб. После 1 000 руб. терминал требует ввода ПИН-кода или подпись на чеке. В любом случае, банк-эквайер может применить свои настройки терминала и тогда терминал будет запрашивать подпись, вне зависимости от суммы и установленного лимита.
2. Если на чеке не будет подписи клиента, то оспорить эту операцию будет проще.

Кстати, мы делали выпуск по этой теме — www.youtube.com/watch?v=nzs6D2Wyfq0&t=31s
0
А вы точно настоящий тинькоф-банк? Ваш комментарий мне пришлось апрувить, так как вы только что зарегистрировали. Здесь есть официальный блог Тинькофф и список сотрудников зарегистрированных на хабре habr.com/company/tinkoff

В любом случае, банк-эквайер может применить свои настройки терминала и тогда терминал будет запрашивать подпись, вне зависимости от суммы и установленного лимита.

Выше несколько ваших клиентов утверждаю, что оплачивают покупки на десятки тысяч рублей без подтверждения вообще. Нет причин им не верить. Верно ли, что экваер может сам управлять этим лимитом?

Кстати, мы делали выпуск по этой теме — www.youtube.com/watch?v=nzs6D2Wyfq0&t=31s


В вашем видео на 2:02 говорится, что данных считанных с бесконтактной карты недостаточно для оплаты в интернете. Это не так.
0
На всякий случай уточню — под «без подтверждения» имелось ввиду «без пина». Подпись изредка просят, гораздо реже, чем расплачиваюсь на сумму >1k, но бывает.
0
Выше несколько ваших клиентов утверждаю, что оплачивают покупки на десятки тысяч рублей без подтверждения вообще

Спросить бы у этих клиентов, что написано на чеке.

Из личных наблюдений в провинциях:
1) До массового появления бесконтактной оплаты, ориентировочно ознаменованной приходом Apple Pay, как сама бесконтактная оплата, так и нестандартные методы подтверждения («до 1000 рублей») вызывали у кассиров разрыв шаблона. Некоторые упорно пытались затребовать подпись где не требовалось, потенциально из-за этого банки начали вместо пропуска поля «подпись клиента» печатать «подпись клиента не требуется». И всё равно находились индивидумы…
А уж сам факт бесконтактной оплаты в 2015 году на внезапно поддерживающем терминале, когда о ней никто в провинции не знал, мог спровоцировать что угодно вплоть до разборок с охраной. Джедайский жест «вам не нужна моя карта» бесценен, для остального есть мастеркард :D

2) Ну а сейчас рвущими шаблон действиями являются:
— собственно требование подписи клиента на чеке. Часть кассиров уже привыкли к различной экзотике, и не смотрят на чек, отдавая всё на откуп терминалу. Написало на кассе что оплата успешна — а больше и не требуется. Проведи оплату просто посмотрев на терминал джедайским взглядом — никто и бровью не поведет. На вопросительное «но там же нужна моя подпись» отмахиваются.

— оплата полосой (для некоторых карт без чипа, действующих, внезапно, 5 лет). Обычно объединяется с предыдущим и добавляет лулзов, ведь всем вроде известно что по полосе операция не проводится при наличии чипа, а где вы сейчас видели карту без чипа? Ну вот она, да. Ой.
0
Написано обычно «требуется подпись». Но кассиры в супермаркетах, к которым стоят полдюжины человек, обычно забивают на это и никакой подписи не требуют. Хотя пару раз просили расписаться, когда я был последний в очереди и клиентов в супермаркете было немного.
0
Видел пару раз подобное и в других местах. Правда, что можно потом понять из такого пиксель-арта — сказать сложно. Даже если я плачу не своей картой, посмотреть на подпись на карте и черкнуть примерно подобную куриную царапку не составит труда. А ему потом удачи доказать, что подпись не его, если даже он сам свою подпись на таком же терминале поставить толком не может.

Создаётся впечатление, что решение делали, просто «чтобы было». Подпись по определению ставится на ровной плоской устойчивой поверхности, на которую можно положить кисть руки, ручкой более-менее стандартного диаметра, требующей нажим не более обычного. Если среднего человека заставить расписаться мелом на доске, или двухметровой палкой на песке — у него получится фигня. А тут ещё и вся эта арт-инсталляция шатается и стремится уйти из-под стилуса.
0
Создаётся впечатление, что решение делали, просто «чтобы было».


Меня несколько раз в Ашане кассиры напрягали расписаться на этой хрени (как только им эти модные терминалы поставили).
Как ни странно, банальный крестик их всегда устраивал.
Потом им надоело, похоже. По крайней мере последние два-три года даже и не заикаются об этом
0
Я буквально вчера оплатил карточкой ТКС, у котороу указано подтверждение подписью, покупку на сумму больше 3 тыс. руб. и не ставил свою подпись.
Обобщая: по моим наблюдениям, мало продавцов читают надписи на экране POS-терминала. Те, кто требуют мою подпись на чеке, получают от меня ободряющий комментарий :), и это бывает редко.
0
А бывает, чтобы подпись сверили с той, что на карте?
0
За всё время пользования картами — 1 раз за шмотку стоимостью $50.
0
Тоже интересно как это сделать. Поискал, что на сайте в ЛК, что в приложении — не нашел как увеличить сумму бесконтактного списания.
А так лимит в 1000 рублей без пин кода, неоднократно замечал.
0
Скриншоты из двух комментариев перед вами не помогли? У вас кредитная карта или дебетовая?
0
Не пробовал еще так сделать. Да и не намечается в ближайшее время покупок больше чем на 1000
0
Карта Тинькова с «умолчальными» настройками позволяет списывать достаточно большие суммы без пин-кода, как минимум 40+ тысяч суммы проходят без запроса. Поэтому речь даже не о настройке в кабинете, а о неверности утверждения — «В России это ограничение равно 1000₽».
0
У тинькова в последние пару лет карта не активируется, если не создать для неё пинкод.
0
Речь не о наличии пин-кода, а о его запросе при оплате через терминалы. Пин-код при этом, если я правильно помню — генерируется автоматически при активации карты, и настраивать его применение (порог) при активации карты — не обязательно.
0
если выставить подтверждение по пинкоду, то именно так все и происходит с дебитовой безконтактной картой Тинькова — покупка в макдаке на 500р проходит прикладыванием карты, при покупке в продуктовом на сумму больше 1000р терминал требует пин
0
Это лимиты конкретного продуктового магазина (их терминала/процессинга). Оплачивал картой ТКС куда большие суммы, чем 1000руб, и проходило без пинкода.
0
Буквально на прошлой неделе оплачивала картой Сбера счет в ресторане на сумму чуть больше тысячи. Терминал запросил пин ¯ \ _ (ツ) _ / ¯
0
Что сразу в Саратове? Вон НСК — третий город в стране. Много где можно ужин на двоих уложить в «чуть больше тыщи»
0
Да и в Питере и в Москве я могу в ресторане на чуть больше тысячи покушать, тем более про двоих ничего не было сказано. Я просто не понял претензии alexeyslav
0
ну вероятно в заведениях, которые посещает он, за 1000р подают только чай (из талой воды Альпийского высокогорья, растопленный теплом тел девственниц, собиравших чайные листья голыми в полнолуние...)
0
Как-то так и называются рестораны. Это сейчас любая кафешка имеет право называться рестораном… но уровень цен не тот совершенно.
0
Представьте, а на английском любая кафешка и есть ресторан.
А если обратиться к ГОСТу, то кафешка со скатертями и туалетом — тоже ресторан. Так что уже хватит придумывать какую-то привязку к ценам. Ресторан в центре Москвы и в спальном районе города за Уралом будут отличаться по уровню цен, но и тот и другой имеют право себя называть рестораном.
0
Если ты еду разогреваешь, а не готовишь, то рестораном тебе уже не назваться.
0
Жена как-то позавтракать зашла в кафешку — чайник чая и пирожное. Итого чуть меньше тыщи, а чай оказался 680 рублей. Так что чай чаю рознь, как и «Ресторан» на своих заведениях пишут все подряд, тот же Бургер Кинг и Макдоналдс.
0
В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.


связь в метро хорошо так продвинулась. на кольцевой уже всё есть.
ну а около почти всез станций и уже очень давно
+2
Спасибо за скриншот с информацией о покупке готовых ООО. Сильно рад, что вы осветили эту часть темы, для меня она отчасти наболевшая. Видел такие объявления постоянно, когда изучал материалы, вошедшие в мою статью о персональных данных. Но сейчас речь не о ПД.

Торговля ООО и даже ИП действительно имеет место быть в огромных масштабах. Обычно эти карманные организации оформлены на «номиналов», то есть бомжей, алкоголиков, наркоманов. Активную агитацию стать «номиналом» преступники проводят в мутных российских пансионатах «лечения от наркозависимости», ведь там люди абсолютно манипулируемы и управляемы, так что соглашаются и не на такие махинации.

Есть и исключения. Очень редко, но все же мне попадались объявления, где предлагали зарегистрировать организацию на предоставленный скан паспорта без личного присутствия человека (это и правда редкость, отдельные предложения по регионам).

Используются такие ООО и ИП для «обнала» и противозаконных действий: классические фирмы-однодневки. Однако иной раз они могут использоваться и для вполне легальной деятельности с той лишь разницей, что реальный владелец бизнеса (не исключено, что набивший шишек в прошлом) сильно не хочет привлекать внимание и идти на риски, связанные с владением компанией. Условия бизнеса в России породили традицию открывать отдельное юрлицо «под каждый чих», иной раз даже с оформлением на noname-личностей.
0
Я видел продажу ООО с лицензией на гос.тайну! Цена начиналась от 1 млн. (это ещё году в 10-м). Приносишь свои документы и контору в тот же день перерегистрируют на тебя. Правда, не знаю, насколько это работает и не кидалово ли.
0
Лихо. Хотя с немалой долей вероятности продает товарищ майор.
0
А кто его знает… Просто сейчас оооооочень большие проблемы с получением лицензии на го.тайну «с нуля». Может и помогают (есть и такие предложения).
+2
Шикарная статья, спасибо за разбор протокола.
Небольшое замечание: CNP все-таки Card Not Present, а не Client Not Present.
0

Вопрос автору: правильно ли я понимаю, что если использовать данные вашей карты от эпл пэй из статьи для регистрации на booking .com то тогда данные карты будут квалифицироваться как CP? Ведь они там данные карты по факсу пересылают в отель и отель снимает с вас деньги. Ну по крайней мере по моей последней информации.

0
Нет, это будет CNP операция, так как транзакция не будет подписана ключом карты. Можете попробовать, кстати.
0

Как же она будет подписана ключём карты если я просто вбиваю все данные на сайте, PAN и прочее и эти данные букинг просто передает и их дальше девочка вводит на терминале. Или вы имеете ввиду как раз в этот момент оно должно было бы быть подписано картой? (И нет, спасибо, пускай другой кто-нибудь попробует :) )

+1
CNP (карта не предоставлена) — оплата по реквизитам карты, просто по номеру, то есть удаленно.

CP (карта предоставлена) — транзакция подписана криптографической подписью с помощью микропроцессора внутри карты, ну или не подписана и просто считаны данные с магнитной ленты.

Так что в вашем примере это будет CNP операция, так как оплата будет происходит удаленно по реквизитам карты.
+1
Кстати, самая надёжная защита в данном случае — специальная карта в кошельке, которая будет «откликаться» на все возможные идентификаторы стандарта 14443-4.
Во-первых, это не позволит просканировать наличие карт, а во-вторых, при правильной реализации, такая карта будет искажать сигнал реальной карты, если злоумышленник каким-то образом всё же сумеет определить наличие и идентификатор настоящей банковской карты. Чувствительность же глушилки можно сделать несколько выше чем у обычных карт (это возможно даже при работе от без источника питания), чтобы гарантировать её срабатывание с обычными картами. А так как карта-глушилка находится в кошельке вместе с платёжными картами, то никаким образом ничего удалённо не прочитаешь, пока не разнесёшь глушилку и карту в пространстве (вытащим карту или открыв кошелёк).
В принципе для этого специальный чип нужен (либо очень кастомная прошивка по стандартые программируемые чипы), но можно и на гибкой печатной плате сварганить.
Более того, там физический принцип чтения такой, что можно подобрать примитивный безмозглый резонатор на гибкой печатный плате (буквально с десяток копеечных деталей с общей себестоимостью в $2), который не вообще не позволит установить связь с картами стандартным способом если они находятся в общем с ним поле. Теоретически, конечно, можно будет сделать ридер, которому такое примитивное противодействие не страшно, но это сильно удорожает атаку и принципиально снижает вероятность успешного чтения в реальных условиях — для успешного чтения злоумышленнику нужны будут такие условия, что проще уже кошелёк украсть.
Пора пилить стартап?
+1
20 евро (30 без скидки)?!!! Они опухли. Если сделать тупо резонатор (а там, похоже, именно оно, т.к. глушит всё без разботра), то ему красная цена $5..$10 даже если автор сильно разбогатеть хочет.
+2
Но там еще есть СВЕТОДИОД который светится попадая в поле 13Мгц.
0
Я заметил, и это настораживает. Лучше бы они эту энергию на глушение использовали. Откуда у них энергии на целый светодиод? Ощущение, что можно сделать «правильные» пиратские ридер (или они уже существуют), которые смогут за счёт подбора мощности поля обходит из глушилку.
UFO landed and left these words here
0
Микропроцессор потребляет не более 300 мкА. Это для него максимум. Для светодиода это минимум, чтобы еле светился.
+1
20 евро (30 без скидки)?!!! Они опухли.

А если сделать конвертик из фольги, а фольгу взять от скушанной до того конфеты, то цена вопроса будет равна цене конфеты минус удовольствие от её съедания. В общем, не все так плохо, можно срезать уголок-другой, если действительно хочешь заплатить не за разработку, а только себестоимость материалов.
0
Конвертики от из фольги не удобны использовании. Каждый раз доставать и заворачивать карту?! А если карт несколько. А всякие пластинки и листы фольги, вложенные в кошелёк, не обеспечивают 100% защиты.
+3
Карту приклеивать скотчем ко дну кастрюльки, кастрюльку на голову. Устройство 5 в 1, защищает карту, защищает от дождя и ветра, защищает мозг от пришельцев и правительства, защищает от дубинки омоновца, работает как униформа революционеров. Пора пилить кастрюльковый стартап. Запускаем краундфандинг на покупку модных итальянских дизайнеров для раскраски кастрюлек.
Шутка)
+1
Замените кастрюльку на хороший дуршлаг и можете даже на паспорт фотографироваться.
0
Спасибо, очень интересно
А я правильно понимаю, что у вас номер карты 4800 9972 5051 1756 exp date 12/23? Так, для лучшего понимания предмета статьи интересуюсь
+1
Деньги хотите перевести на неё? :) А статью читали?
«Будь это номер физической карты, деньги действительно можно было бы украсть»
0
Кстати, во многих статьях по данной теме на русском языке говорится, что можно вручную установить собственный лимит на бесконтактные операции без ПИН-кода. Мне не удалось найти такой опции в основных российских банках. Может, вы знаете о такой возможности? Речь именно о бесконтактных платежах, а не любых chip&pin-транзакциях.

Около года назад, получив карту NFC Сбербанка, я попытался установить лимит на бесконтактные операции равным 0. В контакт-центре сообщили, что лимит можно установить самому, но не менее 1000.
+1
В некоторых магазинах терминалы просят приложить карту повторно. Никто не знает, зачем? Поначалу было страшновато прикладывать еще раз после того как увидел галочку успешной оплаты.
0
Такое было после старта GooglePay и у отдельных магазинов. Например, в магазинах Watsons. Да сейчас уже и не встречается. Просто интересно стало что это было…
0
Встретил такое однажды в столовой, кассиром трактовалось как не вполне исправный терминал. Продолжалось где-то месяц, потом прошло.
0
Спасибо за статью. Покупки через терминал, особенно с помощью Apple Pay действительно вполне безопасные. Но что вы скажете про снифферы на банкоматах и интернет платежи? Особенно самую болезненную тему про Booking.com, когда они просто в открытом виде передают все реквизиты карты.
+2
на практике она оказывается невыгодна и крайне тяжело осуществима. Шанс получить хоть какую-либо прибыль настолько мал, что лишает смысла всю затею.

Всё это хорошо до тех пор пока хотя бы одно условие не поменялось. Например: у злоумышленника стечением обстоятельств уже есть склад терминалов. Т.е. ему не надо покупать терминал. И есть армия людей, готовых ходить по вагонам и списывать деньги.
Если есть хоть одна возможность украсть таким способом деньги, то все этого будут бояться.
По моему статья только подтверждает наличие уязвимости и лишний раз напоминает всем, где раздобыть деньги :-)
+2
Важна не сама тушка терминала, а наличие привязки этого терминала к банку, оформленное на подставное лицо. Мошенник вряд ли захочет светить свои личные данные.
+1

Там главное не наличие терминала, а наличие договора с банком-эквайером и два-три дня задержки от момента покупки до момента зачисления денег на счет юрлица.
Чем больше покупок, тем больше вероятность, что кто-то оспорит транзакцию и все деньги протухнут на заблокированном счете.
Так что Ваша армия людей с парком терминалов ничего не меняет.
При этом вы забыли, что нужно ЗНАТЬ, где находится бесконтактная карта, и после любой ошибки считывания перед КАЖДОЙ оплатой вручную вводить сумму покупки.
А потом вся эта армия людей по камерам в метро относительно легко отслеживается.

0
и ещё в статье эти 100т. руб. рассматриваются как выброшенные деньги. но ведь это не так: эту компанию с терминалом можно потом продать. То есть это не себестоимость.
поэтому то что удалось намайнить это идёт только плюсом.
+2
И что, кто-то захочет покупать компанию, с заблокированным счетом и уличенную в сомнительных операция?
0
Может кто-то подскажет — какая выгода Apple Pay и Google Pay в этой технологии, если они не берут комиссию. Все та же — сбор рекламных данных?
+1
Они берут комиссию (как и другие платежные системы типа Visa), просто не с покупателей.
0
В конечном счете все-таки с покупателей. Хоть и не напрямую.
0
В конечном счете все покупатели это вообще единственный источник дохода для кого бы то ни было.
0
Бесценная информация о твоем покупательском профиле. Если онлайн гуглом уже покрыт, то Google Pay — это возможность узнать куда ты ходишь и что покупаешь в оффлайне.
0
Как минимум — конкурентное преимущество. Вы же не спрашиваете какая выгода Apple и Samsung от установки процессора в телефон?
+3
В Польше набирает популярность сервис оплаты БЛИК. Все оплаты производятся через одноразовые 6-тицифровые токены которые генерятся на мобильнике и на нем же подтверждается транзакция (пальцем или паролем). Можно использовать в магазинах, банкоматах и покупках в интернете. Никаких сведений о карте, владельце или чем-либо еще никуда не передается — только токен.

Я лично в магазинах по прежнему использую бесконтактную карту. А вот в банкоматы и интернеты вообще перестал давать карту если принимают Блик.
+1
Классная штука. Еще можно привязать телефон к БЛИКу и переводить деньги физлицам. Приходит сразу в отличии от традиционного перевода
+1
Похоже на нидерландский iDeal. Тоже такая удобная штука для оплаты местных сервисов. Практически все онлайн-магазины (а иногда и зарубежники, типа Blizzard) принимают этим айдилом оплату. Выглядит так — тыкаешь в кнопку «оплатить айдилом», открывается окно. Выбираешь там свой банк, вводишь номер карты (только номер, больше ничего). И ниже в этом окне написано 8 цифр. Берешь специальный хардварный аутентификатор (выдают в банке вместе с картой, выглядит как небольшой калькулятор), вставляешь в него карту — на экранчике появляется меню. Выбираешь опцию «оплатить», вбиваешь пин, ввод, а потом вот эти 8 цифр из окна в браузере. Получаешь другие цифры, вводишь их в бразузер. Ентер. Все, оплата завершена.

Поверх этого iDeal работает удобнейший сервис Tikkie — там можно создать короткую ссылку, в которую «зашита» сумма, и послать ее кому-нибудь, кто должен вам эту сумму денег. Пройдя по ссылке, этот кто-то совершит оплату (разумеется, с соблюдением всех плясок с бубном), деньги мгновенно упадут вам на счет.

p.s. Нет в Нидерландах ApplePay :(
0
Это я так плохо распознаю сарказм, или вы действительно считаете описанное удобным?
То есть махнуть за секунду телефоном, на ходу приложив палец к сканеру, при равном (как следует из статьи) уровне безопасности — это менее удобно?
0
Я-то говорил об оплате онлайн. Понятное дело, что махнуть телефоном удобнее, но iDeal-ом платят на сайтах. И вот это удобно, да.
0
ну так Apple Pay и на сайтах работает, аналогично кстати — нажать на оплатить и прислонить палец, ничего вбивать не надо, никаких данных карты
0
Справедливости ради нужно заметить, что в некоторых случаях мне удавалось обойти ограничение и выполнить бесконтактную оплату на сумму больше 1000₽ без ввода ПИН-кода.

Хм, последний год в 99% случаев плачу только через Apple Pay, несколько раз в неделю транзакции сильно выше 1000 рублей, а пинкод вводил только пару раз за всё это время.
0

В статье идет речь про бесконтактную оплату физической картой.
При оплате телефоном считается, что для оплаты вы авторизовались пальчиком в приложении оплаты, что равноценно вводу пин-кода при оплате физической картой

0
А как же сценарий недобросовестного сотрудника?

Я пришёл купить что-то в магазине. Ввёл пин (я в это время вижу сумму на терминале), после чего продавец забрал назад терминал и пикнул по ней меньшую сумму чтобы покрыть украденное из магазина.

Доказывать потом, что первая транзация по делу, а воторая нет — задолбаешься. Особенно, если продавец потом ещё и чек пробъёт.

Чек есть? Есть. Ходили ли вы этот магазин? Ходили. Покупали на 100500? Да. А на 990? Нет? Как нет, когда у нас есть и запись в кассе, и инвентаризация как раз на 990 сходится?

Инвестиции злоумышленника:
* Устроиться продавцом
* Наворовать у клиентов (товара)
* Уволиться

В этой схеме инвестиций копейки, а профит прямо прёт.
0
Владельцы этого магазина будут на вашей стороне. А сотрудника даже искать не нужно, всё пишется. Поэтому такая схема проработает максимум день.
+1
На самом деле больше, потому что «30 дней» и всё такое. Я делал chargeback за ошибочно списанные деньги по CNP. Деньги вернули, но через примерно пол-года, и мне пришлось писать заявление от руки, и вести долгую унылую переписку с банком. С одним.

С другим банком, когда у меня была двойная транзация в ресторане (как раз такая схема, только без всяких fancy wireless, просто по свайпу карты без пина и подписи) мне сказали «chargeback стоит 30 баксов вне зависимости от результатов, а у вас там 16 баксов списано» (поразумевая — «утритесь и не выступайте»).

Так что все эти схемы, в которых кто-то что-то может списать без явного «да» со стороны клиента — всё это работает удобно для всех, кроме клиента.

Ну почему нельзя иметь устройство, на котором я (авторизованный я) говорю «да» или «нет» для операции, видя сумму операции на trusted device?
0
Судя по всему, это было с европейскими банками? В России с этим всё намного лучше (ну или мне везло). У меня было 3 случая: один раз отменял покупку тут же на кассе, один раз у меня украли аккаунт в ЛитРес к которому была привязана карта (чисто Питерское преступление, на ворованную кредитку накупили книг), и один раз неправильно ввёл номер счёта (хотя уже не очень к теме относится). И во всех случаях деньги возвращали в течение пары дней.
0
Ага, мне как то курьер привез пицу и дал терминал. Я ввел пин, а это оказалось поле для суммы. Заплатил за пиццу тыщ 5. Откатили сразу правда, прямо на терминале.
0
Карточку-то потом перевыпустили, я надеюсь?
И вас не смутило, что вам пришлось два раза пин вводить?
0
Мне не пришлось вообще вводить пин. Курьер не умел с терминалом обращаться, вставил карту и дал мне. Я и ввел пин, как обычно в таких ситуациях, а оказывается сам курьер должен был ввести сумму покупки. И списали с меня 4-х значную сумму, без ввода пина. Потом он уже позвонил в панике в пицекомпанию и ему объяснили как откатить покупку.
0
Я бы на вашем месте обратился в банк, как это без подтверждения у вас на 5 с лишним тысяч платеж проходит.
0
Альфабанк при оплате кредиткой пин не требует практически никогда. С дебетовыми — стандартные 1000 лимита. Наверное, это неспроста)
0
У меня альфа требует пин при оплате кредиткой через paypass больше 1000. при оплате чипом — вообще каждый раз…
0
Ну почему нельзя иметь устройство, на котором я (авторизованный я) говорю «да» или «нет» для операции, видя сумму операции на trusted device?

Можно пообсуждать, какое количество народу захочет таким образом возвращать деньги за купленные вещи, не возвращая сами вещи.

Помнится в одном магазине около дома был весьма странный POS, который иногда совершал два идентичных списания подряд. Банк возвращал без звука, требовали только заявление и копию чека. Возвращали примерно по 2 недели каждый раз.
0
Отгружать после оплаты, делов-то. paypal прекрасно справляется.
0
А потом я подхожу к этому trusted device и говорю — «нет», я не платил.
Вы ведь про оспаривание сделанной транзакции?
0
Нет, я про оплату.

Когда нужно оплатить, мне продавец предъявляет что-то для оплаты, я на своём устройстве вижу сумму и получателя, и нажимаю «да».

Потому что сейчас вся эта штука строится на доверии, и если оно нарушено в какой-то момент, то крайний — клиент.
0
Почему вы вообще кому-то передаете свою карту, тем более если она поддерживает бесконтактную оплату?
0
Потому что первая транзакция на 100500 и всё равно потребует пин. Почему передаю? Потому что таковы обычаи делового оборота в магазине — карта передаётся продавцу.
+1
таковы обычаи делового оборота в магазине — карта передаётся продавцу


А при оплате налом ему передается кошелек, ага. Никогда ни в одном магазине не давал своей карты в руки. Там, где я сейчас — в принципе за картой руку не тянут, сразу протягивают тебе терминал, чтобы ты сам вставил и забрал.
0
А там где я, номер карточки диктуют по телефону, чтобы 300 евро за страховку чарджнуть.
0
Скататься лично в Пафос из Лимассола (~50км). На самом деле не дичь. Тот же Аэрофлот, при случае, может принять вашу карточку по номеру телефона. Все терминалы позволяют это сделать, достаточно вбить номер карты, дату, CVV.
0
Все-таки дичь, потому, что либо по телефону, либо ногами. В онлайне они платежи принимать не научились, видимо.
0
Это кажется дичью потому что РФ карточная сфера гораздо более развита (из-за молодости) чем в остальном мире
буквально 5-10 лет назад были правила что карту нужно было давать в руки продавцу и он должен был проверить её подлинность (этому до сих пор учат, и экзаменуют… как отличить подделку и куда бежать если появится код изъятия)
из-за реактивного внедрения пейпаса и выноса терминала из рук кассиров это уже устарело… ни в одной крупной стране так быстро карточная отрасль не развивалась… в США до сих пор полосы катают, а у нас уже EMV устарел
0
Нет, это не кажется дичью, а это и есть дичь — страховая компания, не умеющая в 2018 году принимать платежи онлайн.
0
Это не дичь, это особенности разных стран.
то что вы привыкли к чемуто современному — это еще не значит что весь мир так живет.
«вы не модные, сейчас 2018 год!!» — это только у хипстеров прокатывает, а не в огромных фирмах с огромной историей и бюрократией… а тем более в странх с большой бизнес историей
0
то что вы привыкли к чемуто современному — это еще не значит что весь мир так живет.


Согласен абсолютно, но это никак не противоречит тому, что в 2018 году диктовать какому-то левому человеку реквизиты карты по телефону — это дичь. Кое-где и на телегах до сих пор ездят, например.

а тем более в странх с большой бизнес историей


На самом деле дело не в «бизнес-истории» (в Европе есть страны, где все без проблем платится онлайном), «модности» и «хипстерстве», а в том, что кто-то просто поленился подключить свой сайт к системе процессинга. Или решил поэкономить за счет безопасности клиентов.
0
Или решил поэкономить за счет безопасности клиентов.

ну а как вы объясните например то что за бугром 3ds это редкость?
0
3ds сделан не для безопасности клиентов. А для безопасности магазина. Тоесть видимо за бугром меньше фрода чем в рф.
0
думаю дело явно не в количестве фрода, а в готовности бизнеса внердять такие изменения
0
Потому что таковы обычаи делового оборота в магазине


Да ну. Значит это неправильный магазин и работает с нарушением правил МПС/банков эмитентов карты (по крайней мере в РФ, в нескольких банках, карты/счета в которых у меня были и есть сейчас, в договорах БО везде был пункт о запрете передачи карты третьим лицам).
Хорошо хоть, что он не один и вполне можно проголосовать ногами.
0
Я пришёл купить что-то в магазине. Ввёл пин (я в это время вижу сумму на терминале), после чего продавец забрал назад терминал и пикнул по ней меньшую сумму чтобы покрыть украденное из магазина.

А можно поподробнее?
Ведь ввод ПИНа заканчивается нажатием «зеленой кнопки», которая запускает процесс обмена с эквайером. Т.е. там уже лишнюю сумму не вставишь.
Или я что-то не понимаю в описанной вами схеме?
0
Терминал печатает чек (продавцу), потом покупателю, потом продавец возвращает карту и чек клиенту. Вот в этот момент можно бесконтактно пикнуть на меньшую сумму — чеки-то напечатаются, но клиент этого уже может не видеть (задвинуть терминал в ящик и т.д.).

А потом распечатанный чек кладётся в кассу, как нормальный, пробивается чек, а продавец себе набирает товара на пикнутую сумму.
+1
А что в чеке будет написано? А что скажет покупатель, которому прилетит SMS/PUSH с очередным расходом? А почему покупатель не заметит задержку возврата карты и внезапно заработавший чековый принтер?
Ну и да, в России такой чек опротестуют очень быстро, и что сделает директор/хозяин точки с таким продавцом — в общем понятно.
0
SMS — вопрос открытый. Задержку не заметит, потому что пикнут быстро. Принтера не услышит, потому что его в ящик стола задвинут. Более того, есть большая задержка между пиком и авторизацией платежа, который можно затянуть нарушив связь (будет retry, для которого связь можно будет предоставить).

Т.е. последовательность такая: взять карту, дать машинку для пина, провести транзакцию, пробить чек, пока бъётся чек, спрятать машинку в стол, пикнуть вторую транзакцию, отдать карту, чеки первой операции, улыбаться. В это время в столе печатается вторая транзакция.
0
Быстро проведенная карта — не сработает (проверял на себе много раз).
Без вставленной карты транзакцию не начать. А без начатой транзакции ПИН некуда вводить. После оформления первой транзакции все, что вы можете — транзакция, которая не требует подтверждения. НО! Бесконтактная оплата не предполагает передачи карты в руки кассира. Все операции делает клиент.
Ну т.е. в идеальном мире такое (наверное) можно попробовать провернуть, но в реальном — сильно вряд-ли. Уж слишком «дубовым» должен быть покупатель (в плохом смысле этого слова).
0
Повторяю схему: контактная оплата легальной транзакции (100500) — и так и так пин вводить, так что карту втыкают сразу в девайс. После этого, пока чек печатается, бесконтактая нелегальная транзакция на меньшую сумму. Процесс печати запускается уже после того, как поднесённая карта убрана, так что машинка может в столе печатать, в это время карту и чеки (легальные) отдают покупателю.
+1
1. Если у меня бесконтактная карта — зачем использовать контактную оплату?
2. Пока чек печатается, скорее всего софт кассы печально ожидает завершения процесса и не дает ничего лишнего делать.
0
1. Потому что продавец ожидал карту. До сих пор есть куча контактных теримналов и заранее увидеть какой там часто невозможно.
2. Это только если есть интеграция. Опять же, есть куча магазинов, в которых сумму на терминале продавец вбивает самостоятельно.
0
Ок.
Попробуйте этот способ сами, потом расскажете результат, хорошо? ;)
0
Вы мне предлагаете совершить уголовное преступление?

Спасибо, не надо.
+1
потом продавец возвращает карту

Не давайте продавцу карту в руки. Я стараюсь платить с часов, там этот вариант просто сразу отпадает.


И перед оплатой проверяйте сумму, написанную на экране терминала

0
Подскажите, пожалуйста, в чём может быть проблема? Ношу в кошельке две бесконтактные карты PayPass и одна PayWave. Так вот, спустя какое-то небольшое время (месяц?), как в кошельке появилась вторая карта PayPass, первая PayPass карта перестала работать бесконтактно. Ну сломалась и сломалась, особо не обратил внимания. Менять было лень, так и пользовался ею, вставляя в терминал каждый раз.
Спустя год она заэкспайрилась и банк прислал новую. И вот спустя опять примерно месяц перестал работать PayPass уже на второй карте. Она подключена к Google Pay, так что опять проблемы особой нет.

Кто или что их ломает?
0
А как именно выглядит поломка? Терминал вообще не реагирует на карту или возвращает ошибку? Если первое, возможно карта треснула и переломилась антенна внутри. Во втором случае, могу предположить исчерпание Application Transaction Counter (ATC), возможно вы заплатили уже 65 тысяч раз :)
0
Вообще не реагирует. Про механическую поломку я и подумал, когда сломалась первая карта. А второй случай уже насторожил.
0
Для полного покрытия темы не хватает попытки считать данные с карты, находящейся в NFC-непрозрачном чехле наподобие такого:
image
0
А как быть в случае с Apple Watch? С помощью них можно расплачиваться не вводя никаких данных(отпечаток-фейс id). Вот они на руке у меня, ко мне подходит такой чувак и совершает транзакцию на ЛЮБУЮ сумму, так?
+4
Т.е. к вам кто-то подходит, берёт руку, нажимает 2 раза кнопку на часах, подносит к ним терминал, а вы такой: «Да всё ОК, люди каждый день так делают»
0
Скорее, кто-то подходит, снимает с вас часы, идет в магазин, нажимает сколько надо раз кнопку, подносит их к терминалу и т.п. А если снять с вас часы в момент входа в поезд метро, то вы только через час обнаружите, что часов у вас на руке нет, а на карточках денег нет, т.к. обычно сигнал о приходе СМС в метро не слышно… И да, такие умельцы, которые незаметно снимают часы с руки, все еще не повывелись, несмотря на уменьшение количеств народа с часами.
0
Самсунговские часы после снятия с руки и попытки заплатить — потребуют ввести пин-код часов. И без ввода пин-кода для часов не дадут активировать Samsung Pay. Думается, что у Эппла примерно тоже самое должно быть.
+1
Есть проблема: как только снимаешь часы с руки, они тут же блокируются. И, насколько мне известно, новую прошивку ещё никому не удалось взломать. Т.е. без кода часы превращаются в бесполезный браслет.
0
Кстати, верно, я что-то затупил: там же дважды кнопку нажать надо.
0

На новых Watch, может, это быстрее, но на Series 0 задержка между двойным нажатием кнопки и готовностью карты — секунд 5. Нажать дважды на кнопку, и через 5 секунд поднести терминал к штуке, висящей на руке — довольно сложно, я считаю.


Зато это легко сделать со спящим человеком.


Если есть подозрение, что вот-вот произойдёт что-то скверное — снимайте часы с руки. Пропадёт пульс — отпадёт аутентификация. Если собрались вздремнуть в аэропорту — снимите и снова наденьте.

0
По кредиткам(!) альфабанка терминалы проводят оплату без ввода пина. Так что тут как повезет мошеннику)
0
Деньги могут списаться два раза
Этот миф касается не только Google Pay/Apple Pay, но и обычных банковских карт.


Ну как же миф? Со мной такое случилось. Терминал завис во время оплаты. Его перезагрузили и я еще раз поднес к нему карту. Мне пришли две СМС о списании. Справедливости ради, сотрудники магазина перепугались намного больше, чем я и сами звонили в банк отменять транзакцию.
Чек распечатался только для второй транзакции.
+1
Ну это не совсем корректный пример, по сути вы два раза заплатили, просто в первый раз не увидели подтверждения оплаты.
+1
скорее не увидели смс об отмене оплаты… такое часто бывает при зависании терминалов.
тут надо сверять итоги у терминала чтобы там не записалась первая оплата… иначе действительно их будет две.
0
Тоже недавно такое было. Платил Google Pay, первый раз после минутного раздумья из-за плохого Wi-Fi у терминала операция не прошла. Ввели сумму еще раз, приложил, все ок. Приходит 2 пуша от Google Pay, в приложении 2 оплаты.
Уже хотел возвращаться, но потом увидел в банковском приложении отмену первого платежа (гугл эту отмену не показывал упорно).
0
В целом выводы из автора — ломать ваши карты и смартфоны тяжело и бессмысленно. Но, раз весь Алиэкспресс завалин противовзломными гаджетами, значит в Китае проблема стоит остро? Их карты массово ломают? Или это все на параноиков рассчитано?
+2
Играют на страхе. точно такая же фишка с чехлами для мобилок. очень редко они действительно спасают, больше добавляют неудобств.
0
По-моему, автор как раз подтвердил, что если носите в бумажнике одну карту и не защищаете её дополнительно, то украсть деньги не проблема. А при некоторых вариантах можно списать и если их 2.
0

Почему-то забыли модифицированные чемоданы. Миф или нет? Далее есть конвертики из фольги.


Следом безконтактные не только банковские карты, но и прочие rfid, например с биткоин ключами. Удобно — нужно кому-то передать биткоины, передаешь карточку (мы такие оформлять себе будем для проекта).


Лично для себя:


  • карта с чипом, обычная, для оплат и для китайцев
  • карта без чипа, на подпись — для большим оплат и там деньги лежат.

Кстати, безконтактный платеж во Франции с 30 до 50 евро повысят. А на картах без чипа дофига времени на откат бабла без чека (поэтому их редко принимают в засранных магазинчиках, и поэтому подпись обязательна).

UFO landed and left these words here
0
Ухты, iso8583.info ваше оказывается, спасибо за отличный парсер! Я попробовал несколько разных, и ваш был самый полный.
0

Так аплпай передает свои номер карты и дату. А просто карта, что тоже передает в открытом виде номер и дату окончания?

0
Карта тоже передает данные, при чем те же самые, которые выбиты на самой карте. Вы можете самостоятельно попробовать считать карту телефоном на Android как показано в первом комментарии.
0
Вот засада! Только себя убедил, что мне не нужен NFC в новом смарте, решил не переплачивать и пр. А тут такая статья шикарная.
Теперь с помощью автора осознал, что в Pay-приложении бесконтактная карта безопаснее, чем в кармане. Теперь надо смотреть на модели с NFC, а они дороже. Одни расходы… :)
</юмор>
Автору еще раз спасибо за системный подход и желание разобраться.
0
Уверен, что это сделано для того, чтобы айфоны не использовали в качестве примитивных карт доступа, так как системы СКУД на основе UID до сих пор очень популярны

А что в этом плохого?

0
никто не мешает написать приложение для Android, которое будет из трек2 получать реальный номер карты (а не токен) и срок действия, а потом эти данные использовать для MOTO платежей
+1
Крылья, ноги… Хвост!
Вы тут про бесконтактную оплату спорите, а я на днях вообще чудо видел.
Катался по заграницам и платил в одном респектабельном супермаркете по терминалу крупнейшего в стране банка. А там терминал вообще с модемом с дозвоном оказался, и связь отвратная — три раза обрывалсь.
Но это не суть.
Суть в том, что я один раз сунул карту (по чипу — бесконтактная вообще не сработала), один раз ввёл ПИН, а потом терминал автоматом провёл три независимые транзакции (в каждой был обрыв связи), две из которых окончились списанием (именно списанием, а не резервированием средств), а одну отбил банк по антифроду. При этом на самом терминале всё кончалось «нет связи» или «отклонено» и никакого чека не вылезло ни по одной транзакции и пришлось платить наличными. Судя по тексту на терминале — с картой он связывался только один раз. Со стороны моего банка транзакции видны, как полноценные валидные успешные операции завершённые в момент предъявления карты (кроме антифрода, который был процессингом сразу отбит) Как?! Как можно провести автоматом три независимые транзакции по одному ПИНу и одному предъявлению карты в обычной торговой точке? Не гостиница, не аренда, не платёжные сервисы, где токены можно генерировать, а обычная торговая точка! Написал претензию в Тинькофф на отмену транзакции и жду.
Авторизация на карте по обязательному вводу ПИН и сумма немаленькая. Кто и как это сертифицировал и как оно работает — не понятно. Прямо, аж, интересно, сколько было бы списаний, если бы бесконтактная оплата сработала. Боюсь, что тоже три.
Так что бардак на самом деле в карточном деле знатный, и есть мнение, что при желании можно найти способы и пути для фрода — через вот такие загадочные терминалы.
0
Как можно провести автоматом три независимые транзакции по одному ПИНу и одному предъявлению карты в обычной торговой точке?

можно, я выше в комментариях описывал как, этим пользуются в АЗС. по одному коду авторизации можно сделать несколько транзакций, это штатная ф-ция процессинга
две из которых окончились списанием (именно списанием, а не резервированием средств)

тоесть вы следили в через клиентбанк что операция прошла? (30 дней макс)?
0
Интересно, каковы шансы в «постосоветских» реалиях доказать банку, что в магазине расплачивался не ты? Вот меня больше беспокоит не потенциальная возможность незаметно списать деньги с карты, а то, что на бесконтактные операции нельзя изменить ограничение максимальной суммы.
С нашими зарплатами порциями по $25/1000 рублей/500 гривен (Visa) можно довольно быстро обнулить карту. Поэтому теперь гопникам у тебя даже пин-код выпытывать не придется, достаточно забрать телефон, дать тебе по голове посильнее и спокойно начинать халявный шоппинг, пока ты не оклемался, нашел телефон и заблокировал карту. С обязательным вводом пин-кода в таких ситуациях я хотя бы за свои деньги не беспокоился.
Пока единственным вариантом вижу установление на карте дневного лимита на операции в торговых точках в разумных пределах и ручную его отмену при совершении дорогостоящих покупок.
0
Банки мало интересуются доказательствами, они не хотят быть арбитрами между вами и магазином. Если на самом деле расплачивался не ты, то первым делом должно быть написано заявление в полицию, а там уже как дело пойдет, так и банк реагировать будет.
0
Я не дочитал до конца надо бежать, я на стороне автора не страдаю скептицизмом, у меня товарищ работает капитаном в полиций говорит была задержана банда которая орудовала в метро в Москве которая занималась считыванием денег у граждан, какие были карты не знаю.
0

Расшифровка IAD:


                                   if AID starts with A000000003
                                   1F Length Indicator = 31
                                   4A Derivation Key Index = 74
                                   FF Cryptogram Version Number = 255
                                   32 CVR length = 50
                                   A0 (1010 0000) byte 2
                                       10.. ....  AC returned in 2nd GENERATE AC: Not requested
                                       ..10 ....  AC returned in 1st GENERATE AC: ARQC
                                       .... 0...  Issuer Authentication successfull or not performed
                                       .... .0..  Offline PIN verification not performed
                                       .... ..0.  Offline PIN verification passed or not performed
                                       .... ...0  Able to go online or offline transaction
                                   00 (0000 0000) byte 3
                                       0... ....  Last online transaction completed
                                       .0.. ....  PIN Try Limit not exceeded
                                       ..0. ....  Not exceeded velocity checking counters
                                       ...0 ....  No new card
                                       .... 0...  Issuer Authentication successful on last online transaction or not performed
                                       .... .0..  Issuer Authentication performed after online authorization or offline transaction
                                       .... ..0.  Application not blocked by card
                                       .... ...0  Offline static data authentication passed or was not performed on last transaction
                                   00 (0000 0000) byte 4
                                       0000 ....  Number of Issuer Script Commands : '0'
                                       .... 0...  Issuer Script processing passed
                                       .... .0..  Offline dynamic data authentication passed or was not performed on last transaction
                                       .... ..0.  Offline dynamic data authentication not performed
                                       .... ...0  PIN verification command received for a PIN-Expecting card or card does not expect PIN (i.e. Offline PIN verification not supported)
0

Расшифровка CID


                                   80 (1000 0000) Response code
                                       10.. ....  ARQC
                                       ..00 ....  Payment System-specific cryptogram
                                       .... 0...  No advice required
                                       .... .000  No information given```
0
Track 2 Equivalent Data — Оппа! В этом поле содержится номер карты и expiration date, подробнее эта информация будет разобрана далее.


слышал что могут списать деньги введя в терминал только номер карты
0
если Вы про амазон, то я про POS терминал, на котором вручную вводятся данные
UFO landed and left these words here
UFO landed and left these words here
0
Google Pay и Apple Pay поддерживаются операционной системой телефона. Сторонее ПО не нужно.
UFO landed and left these words here
0
Мне попадался терминал в Магните при оплате с которого пин-код с обычной карты, без бесконтактных платежей, вводить не требовалось. И это была фишка именно этого конкретного терминала, на всех других эта карта пин требовала.
Так что не панацея это, отказ от бесконтактных карт. Подозреваю, что любой терминал можно накрутить на отказ от пин-кода.
0
Конечно можно. можно и без пин-кода платить, можно и полосой платить по чиповой карте. можно даже в 2018 году импринтером пользоваться
другое дело что банкам это не выгодно, а на удобство людей им плевать
UFO landed and left these words here
Only those users with full accounts are able to leave comments.  , please.