Pull to refresh
  • by relevance
  • by date
  • by rating

PIN-код при оплате картой — точки над i

Information SecurityPayment systems
Sandbox
Всем доброго дня!

После прочтения нескольких статей на хабре о пластиковых картах, POS терминалах и сопутствующих вещах, мне показалось, что эта тема довольно интересна сообществу. В данной небольшой публикации я хочу окончательно разобрать тему ввода PIN–кода на POS терминалах и ответить, наконец, в меру своих знаний, на вопрос: почему же в одних случаях требуется ввод PIN, а в других — нет?
Читать дальше →
Total votes 144: ↑136 and ↓8 +128
Views179.5K
Comments 256

Как обезопасить процесс онлайн-покупок

Gemalto Russia corporate blogInformation SecurityPayment systemsDevelopment for e-commerce
С повсеместным распространением банковских карт стандарта EMV риски оффлайн-мошенничества заметно сократились, но как при этом складывается ситуация с онлайн-мошенничеством? Какие меры могут предпринять магазины, банки и потребители, чтобы бороться с ним более эффективно?
Читать дальше: Статистика и практика обеспечения безопасности карточных платежей
Total votes 11: ↑8 and ↓3 +5
Views8.6K
Comments 0

Динамическая верификация кода – минимизация риска мошенничества при сохранении удобства совершения покупок онлайн

Gemalto Russia corporate blogInformation SecurityPayment systemsDevelopment for e-commerce
Технология Динамической верификации кода (DCV) – это прорыв в международной борьбе в карточным мошенничеством, т.к. оно обеспечивает безопасность CNP-транзакций на высочайшем уровне. По статистике, 70% мошенничества на рынке EMV-карт являются CNP-фродом. Как же именно решение DCV защищает CPN-операции?

Читать дальше
Total votes 9: ↑2 and ↓7 -5
Views2.6K
Comments 6

Платежная EMV-карта. Механизмы обеспечения безопасности платежа

Information SecurityPayment systems
Sandbox


Платежные карты прочно вошли в нашу жизнь. Еще совсем недавно повсеместно использовались только карты с магнитной полосой. Сегодня же никого не удивишь картой с чипом. Всем известно, что чиповая, микропроцессорная или, созвучнее, платежная EMV-карта – современный и надежный способ доступа к расчетному счету. Она безопаснее карты с магнитной полосой и ее практически невозможно подделать. Однако детали реализации «внутренностей» EMV-карты мало известны. Всем кому интересно как работает EMV-карта, почему технология EMV обеспечивает безопасность платежей и насколько стоит всему этому доверять – добро пожаловать под кат.
Читать дальше →
Total votes 23: ↑22 and ↓1 +21
Views63.4K
Comments 116

Масштабируемые решения для EMV и мобильных NFC-платежей в закрытых сетях

Gemalto Russia corporate blogInformation SecurityPayment systems
Чипованные платежные карты, использующие современный стандарт EMV, поддержанный такими гигантами, как Europay, MasterCard, VISA, American Express и JCB, постепенно прокладывают себе путь в кошельки наших сограждан. Однако, перед компаниями, как это часто бывает, встает вопрос по использованию наиболее эффективного решения для внедрения новой технологии.


Читать дальше: Почему Газпром нефть выбирает PURE
Total votes 16: ↑16 and ↓0 +16
Views3K
Comments 0

Security Week 35: перехват клавиатуры через WiFi, атака на банкоматы с помощью EMV-чипа, новый IoT-ботнет

«Лаборатория Касперского» corporate blogInformation Security
Перехват клавиатурного ввода постепенно становится моей любимой категорией ИБ-новостей. Я уже писал о серии исследований компании Bastille Networks: эти ребята подробно изучили механизмы взаимодействия беспроводных мышей и клавиатур с приемниками и выяснили, что у ряда производителей дела с безопасностью обстоят не очень хорошо. Можно вспомнить еще более древнюю новость про перехват клавиатурного ввода с помощью анализа видеозаписи.

Нравятся мне они тем, что представляют собой (пока) теоретические исследования потенциальных угроз будущего. На практике пароли крадут кейлоггерами, делают это массово, но это другая тема. Новое исследование (новость и PDF) коллектива американских и китайских ученых показывает, как можно перехватывать клавиатурный ввод, имея доступ к низкоуровневым данным о работе Wi-Fi роутера.

Не, ну круто же, правда? Эксперты использовали обычный роутер TP-Link WR1043ND, а для перехвата требовалось, чтобы роутер работал в стандартах WiFi 802.11n/ac. Конечно, требовался доступ к роутеру, что, как мы знаем, достаточно легко обеспечить — из-за уязвимостей, или из-за неправильной конфигурации. Анализируя данные Channel State Information, они смогли отслеживать даже небольшие движения в зоне действия роутера. Все благодаря тому, что CSI содержит в себе данные о качестве передачи данных, которые обычно используются для одновременной работы нескольких антенн (MIMO), переключения на иные частотные диапазоны и изменения мощности радиосигнала.

Инсинуации под катом. Все выпуски дайджеста — тут.
Читать дальше →
Total votes 21: ↑20 and ↓1 +19
Views14.9K
Comments 14

Используем Apple Pay и карту Тройка в качестве пропуска на работу

Information SecurityWireless technologies
Используем Apple Pay, Android Pay, Mastercard Paypass, Visa PayWave и карту Тройка в качестве пропуска на работу

TL;DR В статье описывается процесс создания системы контроля доступа (СКУД), в которой в качестве идентификатора могут использоваться карты Тройка, любые бесконтактные банковские карты EMV, а также телефоны с Apple Pay и Android Pay. Управление системой происходит через Telegram-бота.

Основные задачи системы


  • Избавиться от лишних карт — в качестве идентификатора используется то, что уже есть у пользователя: транспортная карта, телефон или банковская карта. Какой идентификатор использовать — каждый выбирает сам. Система работает со всеми типами идентификаторов одновременно.
  • Избавиться от бюро пропусков и сложных программ управления — нам надоело выдавать и забирать карты у пользователей, держать отдельные компьютеры для управления пропусками, изучать переусложненные программы.
  • Управление через Telegram — заведение и удаления пользователей происходит удаленно и не требует компьютера.
Читать дальше →
Total votes 118: ↑118 and ↓0 +118
Views83.5K
Comments 164

Исследование онлайн-фрода

PayOnline corporate blogStatistics in ITFinance in IT
imageСовременные технологии, такие как EMV, 3D-Secure, сканирования отпечатков пальцев были призваны обезопасить платежи и, если не ликвидировать, то существенно уменьшить число незаконных операций по картам. Но, как показывают исследования, эти меры дают лишь временное «облегчение», ведь мошенники быстро находят новые способы обмана. Так, к примеру, активные усилия по внедрению систем обнаружения и противодействия мошенничеству (FDP) некоторых крупных авиакомпаний позволили значительно сократить число мошеннических операций, но преступники тут же переключили внимание на другие слабые места, имеющиеся в системе. Подобная ситуация наблюдается практически во всех сферах. Несмотря на внедрение новых стандартов и усилия служб информационной безопасности, сообщения о краже средств появляются регулярно, и, по мнению экспертов, в ближайшие годы ситуация не изменится. Напротив, аналитики Juniper Research прогнозируют увеличение объема онлайн-фрода, который к 2020 году, по их оценкам, достигнет 25,6 млрд долларов США.

73% финансовых компаний сообщают, что были подвержены атакам или стали жертвами карточного фрода в 2015 году. За последние 10 лет настолько большой процент наблюдался лишь однажды, в 2009 году. С тех пор доля организаций, страдающих от действий мошенников, постепенно снижалась. Но в 2015 году произошел резкий скачок, и число обманутых выросло сразу на 9%, до 73%.
Читать дальше →
Total votes 11: ↑9 and ↓2 +7
Views7K
Comments 7

Клонируем бесконтактную карту с помощью мобильного приложения

Digital Security corporate blogInformation SecurityPayment systemsDevelopment for AndroidWireless technologies
Всегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом по бесконтактному интерфейсу, с использованием своих команд и подробным разбором запросов и ответов. А также попробовать реализовать способ клонирования карт MasterCard в режиме MagStripe.

В этой статье я постараюсь описать, что такое EMV-карта, как она работает и как используя Android можно попытаться клонировать вашу MasterCard карту.

«There are some things money can't buy. For everything else, there's MasterCard»

Что такое EMV карта?


EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия Europay + MasterCard + VISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу.
Читать дальше →
Total votes 42: ↑42 and ↓0 +42
Views85.1K
Comments 21

Атаки на бесконтактные банковские карты

Digital Security corporate blogInformation SecurityPayment systems


Автор: cuamckuu

Извлечение содержимого карты и работа с EMV-командами может быть интересна не только в исследовательских целях. Существует несколько видов атак на бесконтактные банковские карты, про реализацию которых будет рассказано под катом.
Читать дальше →
Total votes 36: ↑35 and ↓1 +34
Views31.3K
Comments 73

Безопасна ли ваша банковская карта с чипом? Зависит от банка

Information Security
Translation


Банковские карты с чипом разработаны так, чтобы не было смысла клонировать их с помощью скиммеров или вредоносных программ, когда вы расплачиваетесь, используя чип карты, а не магнитную полосу. Однако несколько недавних атак на американские магазины показывают, что воры эксплуатируют слабые места реализации этой технологии некоторыми из финансовых организаций. Это позволяет им обходить чип карточки и, по сути, создавать пригодные для использования подделки.

Традиционно пластиковые карты кодируют данные счёта владельца прямым текстом на магнитной полоске. Скиммеры или вредоносное ПО, скрытно установленные в терминалы для оплаты, могут считать с неё данные и записать их. Затем эти данные можно закодировать на любую другую карточку с магнитной полосой и использовать для мошеннических финансовых операций.

В более современных картах используется технология EMV (Europay + MasterCard + Visa), шифрующая данные учётной записи, хранящиеся на чипе. Благодаря этой технологии каждый раз, когда карта взаимодействует с терминалом, поддерживающим чипы, генерируется единовременный уникальный ключ, который называют токеном или криптограммой.
Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Views11.4K
Comments 20

Security Week 38: MITM-атака на карты Visa

«Лаборатория Касперского» corporate blogInformation Security
Уязвимости в кредитных картах встречаются редко: хотя интерес киберпреступников здесь очевиден, сами платежные карты достаточно хорошо защищены. Их безопасность регулярно проверяют уже много лет, а к участникам рынка предъявляют весьма высокие требования. Пожалуй, последнее масштабное мошенничество с кредитками происходило в США, и то из-за устаревшей инфраструктуры, зависящей от ненадежного метода хранения данных на магнитной полосе. Данные кредиток крадут, используют для покупок в Сети и обналичивания, но вот сами карты с чипом взломать не так легко: если PIN-код не написан прямо на украденной карте, скорее всего, воры ничего не получат. Разве что смогут оплатить покупку бесконтактным методом, не требующим PIN-кода. Но тут вступает в силу ограничение на сумму покупки.



Исследователи из Швейцарской высшей технической школы Цюриха нашли уязвимость как раз в способе авторизации бесконтактных платежей, применяемом в платежных картах Visa. Она позволяет выходить за рамки лимита на операции без введения PIN-кода. А это значит, что в случае кражи злоумышленники могут оплатить картой очень дорогой товар.

На PoC-видео заметна интересная деталь: используются два смартфона, один считывает данные с кредитной карты, другой подносится к платежному терминалу. Предполагается, что карту красть даже не обязательно, достаточно удачно приложиться к кредитке в нужный момент. Ранее подобные атаки на систему бесконтактных платежей были попросту непрактичными. Такими они и остаются, но исследование делает их чуть более опасными, чем хотелось бы.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views5.3K
Comments 5

NFC на банкомате: небольшой ликбез

Сбер corporate blogInformation SecurityWireless technologies
image

Люди всё ещё продолжают вставлять карту в банкоматах, несмотря на то, что бесконтактное обслуживание имеет преимущества перед привычным всем способом. Постараюсь кратко рассказать историю вопроса.

В 2017 году мы начали внедрять NFC на банкоматах. Тогда у нас был большой парк банкоматов, на которых нельзя было прикладывать карту. Было принято решение о поддержке единства пользовательских привычек, и мы начали оснащать наш парк банкоматов NFC-модулями. То есть не устанавливать новые банкоматы и постепенно замещать ими старые по мере амортизации, а взяли почти все имеющиеся модели и добавили на них NFC.

С первых дней стало понятно, что пользовательские привычки ломаются долго и нас ещё много лет будет ждать постепенное отвыкание от желания вставлять карту.
Читать дальше →
Total votes 76: ↑71 and ↓5 +66
Views115.7K
Comments 345