Комментарии 73
В ходе стажировки получилось создать новый инструмент для работы с бесконтактными банковскими картами
То что Вы рассказали, тем кто работает в теме и так известно. И набор утилит у тех кто с этим работает, как самописных, так и платных специализированных не мал.
Я понимаю, восторг "первооткрывателя", но стоило ли выкладывать на Github?
Дали инструмент школоте и кууул хацкерам делать гадости. Зря… на мой взгляд.
И, кстати, атаками это названо чересчур громко.
Да можно сделать мелкие гадости людям. Например соседу по школьной парте.
Особенно с блокировкой PIN.
Хотя PIN карты легко разблокировать выбрав смену PIN (увы, если поддерживает) банкомате (там on-line PIN + EMV скрипт). Но не все знают и для них будет неприятно когда карта перестанет работать в POS.
Блокировка по ATC — слишком долго карту нужно мучить (хотя… некоторые, не буду показывать пальцем, ставят в профили персонализации меньшее значение, чем 0xFFFF. Типа безопаснее для криптоанализа ключей карты).
Большинство из рассмотренных программ пытаются имитировать работу POS-терминала и используют словари с идентификаторами поддерживаемых карт, поэтому часто такие решения будут работать только с Visa и MasterCard.
Не просто так, кстати, PSE — опционально по EMV. И по факту, часто на картах остутствует.
Считанных данных хватит для привязки карты в некоторых онлайн-магазинах (в основном, в зарубежных), также полученную информацию можно использовать для более персонализированной атаки с применением социальной инженерии
CVV2 только графически персонализируется. Покажите, pls, один из "некоторых онлайн-магазинах" который не требует CVV2 и при этом не использует 3D.
Покажите, pls, один из «некоторых онлайн-магазинах» который не требует CVV2 и при этом не использует 3D.
В статье есть пример — Amazon, но, кажется, они единственные не требуют его.
В статье есть пример — Amazon, но, кажется, они единственные не требуют его.
Нет, мне несколько встречались, как правило это крупные магазины/крупные операторы услуг, которые, видимо, прошли PCI DSS как следует и им доверяют.
Насколько я помню — CVV запрашивать или нет — дело самого магазина, это его страховка от жуликов.
PCI DSS немного сбоку от вопроса разрешает ли банк проводить транзакции без контрольного кода с обратной стороны карты.
Без PCI DSS вы вообще не имеете права хоть как-то принимать и обрабатывать карточные данные.
Но наличие PCI DSS сертификации не разрешает на автомате проведение транзакций без CVC. Обычно банки позволяют проводить без CVC только очень «жирным» магазинам.
А вот что может магазин решить сам — это проводить дополнительную 3DS авторизацию или нет.
Без PCI DSS вы вообще не имеете права хоть как-то принимать и обрабатывать карточные данные.
Но наличие PCI DSS сертификации не разрешает на автомате проведение транзакций без CVC. Обычно банки позволяют проводить без CVC только очень «жирным» магазинам.
А вот что может магазин решить сам — это проводить дополнительную 3DS авторизацию или нет.
набор утилит у тех кто с этим работает, как самописных, так и платных специализированных не мал.
В статье есть ссылки на инструменты, которые лежат в открытом доступе. На мой взгляд, они все обладают проблемами, поэтому и было решено создать что-то своё.
Я понимаю, восторг «первооткрывателя», но стоило ли выкладывать на Github?
Дали инструмент школоте и кууул хацкерам делать гадости. Зря… на мой взгляд.
Я считаю, что понижение входного порога это хорошо. Кратковременная вспышка «школоты и кулхацкеров» может поспособствовать улучшению протоколов безопасности банковских карт, чтобы решить описанные в статье недостатки.
Не просто так, кстати, PSE — опционально по EMV. И по факту, часто на картах остутствует.
Словарь это хорошее решение для банкомата, но не для утилиты подобного рода. Для проведения «атаки» лучше попытаться считать PSE, если он есть — хорошо, нет — ничего страшного.
Покажите, pls, один из «некоторых онлайн-магазинах» который не требует CVV2 и при этом не использует 3D.
Список магазинов без CVV гуглится, а про 3D в статье ничего не было сказано. Можно считать, что для атаки потребуется дополнительный шаг.
Также можно попробовать брутить CVV в разных магазинах, можно будет проверить около 100-200 вариантов до блокировки карты, в зависимости от типа карты и самих магазинов.
Да, всё на самом деле так просто.
А всё дело в том, что стандарт EMV изначально изобретался для контактных карт в дремучие времена, и первостепенной задачей было обеспечить работу в оффлайн режиме (без Интернета).
Кстати, нужны еще и ключи шифрования, да. Открытые ключи МПС. Которые, правда, не секретны:
С контактной картой всё проворачивается в точности так же, но, по понятным причинам, придется взять карту и физически вставить в ридер. Что естественно сложнее, чем в случае contactless.
В те времена никто не думал, что карта когда-нибудь сможет работать на расстоянии, получая питание и обмениваясь данными «по воздуху».
P. S. Вот одна из причин, почему я до сих пор хожу с контактной картой, и вызываю смешки кассиров в небольших магазинчиках, когда в ответ на «прислоняйте карту» отвечаю «увы, надо вставлять в аппарат, да да, каменный век, согласен» :)
А всё дело в том, что стандарт EMV изначально изобретался для контактных карт в дремучие времена, и первостепенной задачей было обеспечить работу в оффлайн режиме (без Интернета).
Кстати, нужны еще и ключи шифрования, да. Открытые ключи МПС. Которые, правда, не секретны:
С контактной картой всё проворачивается в точности так же, но, по понятным причинам, придется взять карту и физически вставить в ридер. Что естественно сложнее, чем в случае contactless.
В те времена никто не думал, что карта когда-нибудь сможет работать на расстоянии, получая питание и обмениваясь данными «по воздуху».
P. S. Вот одна из причин, почему я до сих пор хожу с контактной картой, и вызываю смешки кассиров в небольших магазинчиках, когда в ответ на «прислоняйте карту» отвечаю «увы, надо вставлять в аппарат, да да, каменный век, согласен» :)
У меня есть подозрение, что нарваться на какой-нибудь скиммер, или просто взлом базы данных магазина, в которой была твоя карта, гораздо проще, поэтому пользуюсь бесконтактными.
У меня есть подозрение, что нарваться на какой-нибудь скиммер, или просто взлом базы данных магазина, в которой была твоя карта, гораздо проще, поэтому пользуюсь бесконтактными.
Ну, я бы не был столь категоричен.
Для Интернет-покупок — естественно виртуальная карта, которая пополняется аккурат перед оплатой, на сумму ~ равную сумме предстоящей оплаты.
Это без вариантов.
А для обычных платежей — скиммер клонирует магнитную полосу (которую желательно, само собой, повредить сразу после получения карты. Не размагнитить! Иначе, например, старые банкоматы Wincor не будут принимать карту, ибо у них магнитный датчик на входе кардридера).
Да, не будут работать fallback-транзакции, но кто ими в последний раз когда пользовался в обычном сценарии оплаты «повседневной» картой? Да и всё бОльшая часть эквайеров отключает fallback на POS-терминалах в целях безопасности.
А утянуть БД с обычного магазина — да пусть тянут, там никаких карточных данных нет, т. к. пин-пад играет роль этакой лайт версии HSM.
Если более простыми словами — с пин-пада никак не утекают по кабелю никакие данные в открытом виде, всё зашифровано ключами банка-эквайера (банка, который установил POS-терминал в торговую точку)
Кстати, нужны еще и ключи шифрования, да. Открытые ключи МПС.
Для целей описанных в статье — не нужны. Смысл такому ПО проверять RSA подписи?
У бесконтактной карты гораздо опасней другие вещи.
Вот когда мост для бесконтактной карты на двух телефонах (c NFC) позволял только делать без пиновые покупки в пределах 1000 руб — это было еще ничего..
Но вот когда Сбер ввел выдачу наличных по безконтакту!
Микро камера для подсмотреть PIN — элементарно. Прислонится к толпе, к кошельку жертвы одним из телефонов "моста" — да проще простого.
Не нужны никакие накладки и пр. Просто камера для подсмотреть за вводом PIN и два андройд телефона. Ну еще программки под андройд, которые валяются на GitHub выложенные такими же энтузиастами.
Хотя в программке обеспечивающей "мост" между двумя телефонами (один — ридер, другой эмулятор карты) ничего сложного нет, но ее и писать не нужно. Уже валяются, сделанные в "исследовательских целях".
Вот совсем не уверен, что ПО Сберовских банкоматов анализирует миллисекундные накладные задержки на выполнение команд карты (которые может вносить такой "мост").
Так, что паранойя носить карту в экранированном чехле — это не обязательно паранойя.
Хотя в программке обеспечивающей «мост» между двумя телефонами (один — ридер, другой эмулятор карты) ничего сложного нет, но ее и писать не нужно. Уже валяются, сделанные в «исследовательских целях».
Это какой телефон позволяет произвольно работать с NFC-модулем?
Микро камера для подсмотреть PIN — элементарно. Прислонится к толпе, к кошельку жертвы одним из телефонов «моста» — да проще простого.
Там, если правильно помню, два раза ведь надо карту к банкомату прикладывать (перед началом обслуживания и непосредственно перед выдачей наличных)?
Получается, что нужно подсмотреть пин (который при вводе в общем-то рекомендуется закрывать рукой — тогда микрокамера мало что увидит), потом дождаться, когда человек будет в толпе и дважды с некоторым промежутком времени прислониться к его карте, которая лежит где-нибудь в нагрудном кармане. Рискуя при этом, что человек обратит внимание на злоумышленника, дважды прижимающегося к его груди. А также учитывая, что человеку скорее всего сразу после снятия придет СМС об этом. При этом надо либо либо знать сумму, которая есть на счете (а просто так ее не узнать), либо снимать наугад относительно небольшую сумму.
Весьма сомнительное, на мой взгляд, мероприятие выходит для злоумышленников — достаточно хлопотное, с неиллюзорными рисками и негарантированным результатом. Имхо, проще кошельки из карманов вытаскивать…
Весьма сомнительное, на мой взгляд, мероприятие выходит для злоумышленников — достаточно хлопотное, с неиллюзорными рисками и негарантированным результатом. Имхо, проще кошельки из карманов вытаскивать…
Человеку, который прислонился к кому то в метро — даже поймать за руку не получится. И предъявить нечего. Это же не кошелек из кармана потянул и за руку поймали.
Получается, что нужно подсмотреть пин (который при вводе в общем-то рекомендуется закрывать рукой — тогда микрокамера мало что увидит),
Специально наблюдал, стоя в очереди к банкомату, сколько человек прикрывают рукой/корпусом вид на PIN клавиатуру. Очень мало.
А уж сколько человек вводят PIN в магазине ничем не закрывая. (суммы в супермаркете > 1000 руб — это типично). Редкость когда кто то прикрывает.
Даже без камеры не напрягаясь фиксировал кто какой PIN ввел.
Человеку, который прислонился к кому то в метро — даже поймать за руку не получится. И предъявить нечего.Когда есть четкое понимание того, кто прислонился, есть записи с камер наблюдения с его лицом, с хронометражем, и есть время проведения транзакций, совпадающее с моментом прислонения, да еще если не по одному, а по нескольким эпизодам — думаю, следователь сообразит, кому что предъявлять, если желание будет.
Это же не кошелек из кармана потянул и за руку поймали.«Кошелек, кошелек… Какой кошелек? На, обыщи.» (с) С кошельками порой тоже предъявить нечего.
А уж сколько человек вводят PIN в магазине ничем не закрывая.
И потом кладут карту в задний карман — да, и такое нередко наблюдаю. Только, повторюсь, тут будет эффективнее незаметно карту вытащить, чем, простите, к чужой заднице телефоном прикладываться и nfc-мост организовывать. И проблема тут не в nfc, а в том, что люди игнорируют требования сохранению пин-кода в тайне от третьих лиц.
(суммы в супермаркете > 1000 руб — это типично).А насколько типично с такой покупкой потом идти в метро в толпу? :) И какова вероятность, что на этой карте доступно больше чем пара десятков тысяч рублей? То есть по отдельности-то те факторы, которые вы упоминаете, имеют место. Но вот если сложить все это в цельную картину — затея для злоумышленника, на мой взгляд, начинает выглядеть весьма сомнительной.
Разговоры в духе «вот ввели эти бесконтактные платежи — будут теперь прислонятся в толпе и деньги с карты списывать» идут уже больше десяти лет. Но на практике как-то не наблюдается такой проблемы.
Когда есть четкое понимание того, кто прислонился, есть записи с камер наблюдения с его лицом, с хронометражем,
В вагоне метро, например? Телефоны могут быть вообще физически на разных континентах быть (лишь бы IP пакеты не слишком долго ходили между)
А насколько типично с такой покупкой потом идти в метро в толпу?
Хм. У меня, как не пойду в Ашан или какой еще супермаркет, то меньше 1000 практически никогда не получается. И в очереди обычно стоят с тележками груженными.
Средний чек который я вижу в очереди — 3-4 тыс рублей. И у людей явно не последние деньги на продукты.
Но на практике как-то не наблюдается такой проблемы.
А кто его знает. Наблюдается или нет. Банки такую статистику не публикуют.
В общем, меня мало утешит, что я попал в редкий случай, если с моей карты стырят деньги таким способом. Тем более, что опротестовать не реально. По правилам ПС: вот карта, вот PIN. Не опротестовывается.
В вагоне метро, например?Вероятно, в разных городах метро разное. Но гугл говорит, что, например, в московском еще 4 года назад в полторы тысячи вагонов установили 7 тысяч камер.
И в очереди обычно стоят с тележками груженными.Вот я и спрашиваю — насколько типично потом идти с содержимым этих груженых тележек в метро (да еще в то время, когда там толпа), а не на машине уезжать из магазина (если он далеко от дома) или уходить пешком (если дом близко)? Или вы думаете, что злоумышленники решат организовать слежку, подкараулить через два дня у метро, и начать прислоняться к человеку в надежде, что на карте окажется больше чем тысяч двадцать рублей? :)
В общем, меня мало утешит, что я попал в редкий случай, если с моей карты стырят деньги таким способом.Закрывайте пин при вводе — и описанный вектор атаки будет неприменим (как и ряд других).
Вероятно, в разных городах метро разное. Но гугл говорит, что, например, в московском еще 4 года назад в полторы тысячи вагонов установили 7 тысяч камер.и рулит этим метрополитен, максимум транспортная полиция. Камерами банкоматов — безопасность банков. Увязать всё это вместе — жутко сложная бюрократическая задача…
Вот я и спрашиваю — насколько типично потом идти с содержимым этих груженых тележек в метро (да еще в то время, когда там толпа), а не на машине уезжать из магазина (если он далеко от дома) или уходить пешком (если дом близко)?Захожу в магазин, прикупаю коробку шоколодных конфет, бутылку шампанского и пачку презервативов — оппа… это уже больше 1000руб.
Ну или буханку хлеба, пакет молока и палку брауншвейской колбасы — тоже больше 1000р
Или вы думаете, что злоумышленники решат организовать слежку, подкараулить через два дня у метро, и начать прислоняться к человеку в надежде, что на карте окажется больше чем тысяч двадцать рублей? :)Барышни часто кладут кредитку в кошелек, а кошелек в сумку. Притом в результате карта оказывается в пределах 5-10мм он наружной стороны сумки.
Увязать всё это вместе — жутко сложная бюрократическая задача…Которую должна решать полиция.
Захожу в магазин, прикупаю коробку шоколодных конфет, бутылку шампанского и пачку презервативов — оппа… это уже больше 1000руб.Ну вы же сами выше признаете, что это нетипичная покупка, а в магазине «обычно стоят с тележками груженными».
Барышни часто кладут кредитку в кошелек, а кошелек в сумку.А рядом с ним в сумку кладут те бутылку шампанского и палку брауншвейской из магазина, и со всем этим добром идут в толпу в метро? :)
Понимаете, все, что вы перечисляете, по отдельности действительно не проблема сделать. Можно у кого-то из впереди стоящих подсмотреть пин на кассе — есть те, кто не закрывает ввод. Есть люди, которые из магазина с бутылкой шампанского и презервативами идут в метро в вечерний час пик, в толпу. Есть те, кто носят кошелек в сумке/рюкзаке в 10 мм от наружной стороны. Есть люди, у которых в кошельке не бутерброд из трех карт, а только одна. Есть те, у кого на карте не 20 тысяч доступно для снятия, а 200.
Но если мы подумаем над тем, что это все это должно выполняться сразу для одного человека… Просто попробуйте продумать более или менее детальный план для злоумышленника в таком сценарии, и вы поймете, что по любому из перечисленных пунктов есть вероятность неудачи, и по некоторым она достаточно велика. И, похоже, суммарная вероятность неудачи получатся настолько велика, что такой сценарий преступникам просто неинтересен.
Которую должна решать полиция.напоминает упорство пешехода перед грузовиком — «он должен меня пропустить»)
Ну вы же сами выше признаете, что это нетипичная покупка, а в магазине «обычно стоят с тележками груженными».Я? Нет.
Я чаще вечерами закупаюсь и вижу немалое количество народа прикупающего «набор на ужин», переваливающий за 1000р и зачастую умещающийся в руках.
А рядом с ним в сумку кладут те бутылку шампанского и палку брауншвейской из магазина, и со всем этим добром идут в толпу в метро? :)Я надеюсь вы только заради дискуссионного азарта смешали все из разных предложений, а в голове у вас это все-таки в соответствии с разными предложениями?
Но если мы подумаем над тем, что это все это должно выполняться сразу для одного человека…Случайно попадалась мне цифра — м.Новогиреево — в среднем 20000 человек в час (это было лет 15 назад)
И, похоже, суммарная вероятность неудачи получатся настолько велика, что такой сценарий преступникам просто неинтересен.Надо убедить в этом преступников. А то вон шлющих смс «мама пополни этот телефон потом все объясню» все убеждают что дураков уже не осталось и никто не купится, а они усмехаются и шлют)))))
напоминает упорство пешехода перед грузовиком — «он должен меня пропустить»)Вы это к чему?
Я? Нет.Как нет? Разве не вы писали, что «в очереди обычно стоят с тележками груженными»? Вы уж тогда определитесь что ли…
Я надеюсь вы только заради дискуссионного азарта смешали все из разных предложенийИсключительно «заради» того, чтобы продемонстрировать, что преступникам мало отдельного пункта из перечисляемых вами. Им надо все сразу. И чтобы покупка была — не бутылка воды, и чтобы кошелек был там, где к нему можно приложится, и чтобы человек потом пошел туда, где к нему можно приложиться два раза, вызвав не слишком много недоумения. И еще несколько пунктов. По отдельности — не катит.
м.Новогиреево — в среднем 20000 человек в часОк. И что? :)
Надо убедить в этом преступников.Так в том-то и дело, что как-то и некого убеждать конкретно по этому вопросу :) Шлющих смс — полно, а вот про прислоняющихся с nfc-удлинителями — как-то не слышно совсем…
Вы это к чему?К процитированной фразе.
Как нет? Разве не вы писали, что «в очереди обычно стоят с тележками груженными»? Вы уж тогда определитесь что ли…Так и хочется попросить посмотреть еще раз внимательно)
Исключительно «заради» того, чтобы продемонстрировать, что преступникам мало отдельного пункта из перечисляемых вами.Им не мало.
МЕТРО (который магазин), IKEA, MEGA еще кучки гипермаркетов — там как правило толчея+суммы поболее 1000р
Ок. И что? :)Если так вопрос ставится — нет. Ничего.
К процитированной фразе.Потрудитесь, пожалуйста, пояснить, как ваши грузовики относятся к обсуждаемой теме. Если, конечно, относятся.
Так и хочется попросить посмотреть еще раз внимательно)Я лишь процитировал ваши же слова.
Им не мало.Кому «им»? Вам известен хотя бы один случай, когда «они» использовали описываемую вами схему с прислонением?
МЕТРО (который магазин), IKEA, MEGA еще кучки гипермаркетов — там как правило толчея+суммы поболее 1000рТолчея там если и есть, то перед кассой. Да и то не настолько, чтоб жаться друг к другу — все же не трамвай в час-пик. А после того, как товар оплачен, покупатели достаточно свободно идут с теми самыми «гружеными тележками» (о которых вы выше писали) к своим машинам.
Если так вопрос ставится — нет. Ничего.Именно, количество пассажиров на какой-то там станции метро само по себе в данном контексте — просто ничего.
Потрудитесь, пожалуйста, пояснить, как ваши грузовики относятся к обсуждаемой теме. Если, конечно, относятся.Они относятся к конкретной фразе «которую должна решать полиция». Аналогия с грузовиком очень близкая: пешеход может бычиться на грузовик и увещевать что грузовик должен его пропустить… но победит грузовик.
Я лишь процитировал ваши же слова.поэтому еще раз рекомендую внимательно перечитать цитаты и наконец понять, что процитированы не мои слова.
Человеку, который прислонился к кому то в метро — даже поймать за руку не получится. И предъявить нечего.
Когда есть четкое понимание того, кто прислонился, есть записи с камер наблюдения с его лицом, с хронометражем, и есть время проведения транзакций, совпадающее с моментом прислонения, да еще если не по одному, а по нескольким эпизодам — думаю, следователь сообразит, кому что предъявлять, если желание будет.
Вы за «оруэлл»?
Камеры на каждом углу + централизованно синхронизированные?
Когда есть четкое понимание того, кто прислонился, есть записи с камер наблюдения с его лицом, с хронометражем, и есть время проведения транзакций, совпадающее с моментом прислонения, да еще если не по одному, а по нескольким эпизодам — думаю, следователь сообразит, кому что предъявлять, если желание будет.
Скорее всего не будет)
НЛО прилетело и опубликовало эту надпись здесь
Ну пришла смс жертве. И что?) В сбер ему обращаться чтоли?) Мошенники деньги получили, а большего им и не надо.
Это лайт версия гоп стопа. Если раньше для этого применяли грубую силу в отношении жертвы, то сейчас мошеннические действия могут вызывать одно лишь недоумение, соответственно это достаточно безопасно для тех, кто решил зарабатывать деньги нечестным путем)
А про пин, людям пофиг что там рекомендованно, большинство особо не скрывают эту процедуру. А значит плодородное поле для мошенников есть.
Ну пришла смс жертве. И что?) В сбер ему обращаться чтоли?)
Ну то есть потерся мужик в метро о жертву. Два раза. С интервалом секунд в 15. О грудь (если кошелек в нагрудном кармане). Вызвал у жертвы то самое «недоумение», о котором вы пишете. А через 5 секунд жертве СМС — «снятие наличных». И, конечно, жертва ничего не заподозрит.
Мошенники деньги получили, а большего им и не надо.Не-а. Им надо не «получили» один раз, а надо постоянно получать. Ради одного раза заморачиваться и выстраивать схему они не будут. И еще им надо, чтобы их после не вычислили и не поймали. И тут еще большой вопрос, что безопаснее — кошелек незаметно вытащить, или вот так с карты деньги снять, о чем жертва будет оповещена через несколько секунд.
Повторюсь, разговоры про якобы плодородное поле для мошенников в сфере бесконтактных платежей ходят уже достаточно давно. Технологии тоже появились не вчера. А про реальные случаи и использованием подобных вещей как-то не особо слышно.
От проблемы «атака пока карта в кармане штанов» я избавился до безобразия простым способом — ещё четыре карты тогоже частотного диапазона в одном кармане(в Москве это легко сделать кинув четыре метрошных ультралайта) — удачи тем, кто сможет обойти возникающие в таком бутерброде коллизии.
И это работает? По стандарту, кто первым из стопки карт ответил, тот и ведет транзакцию.
Кстати да, наличие нескольких бесконтактных карт (а 2-3 карты — имхо вполне обычное дело сегодня) — еще одна сложность на пути у тех, кто захочет легко и непринужденно снимать деньги, прижимаясь к добропорядочным гражданам.
Платить надо телефоном через Apple/Google/Samsung и прочие Pay
Там вводится другой пин (или вообще палец), телефон в неактивном состоянии неактивен, на ридер не отзовётся, а в активном сразу квакнет владельцу.
Там вводится другой пин (или вообще палец), телефон в неактивном состоянии неактивен, на ридер не отзовётся, а в активном сразу квакнет владельцу.
Не рассказано ничего нового. Атаки только ради баловства.
«Опасный» способ, указанный в статье заключается в установке отрицательного числа (лучше — 0xFFFFFFFF) для различных счётчиков: номер сессии, кол-во попыток и т.д., через уменьшение либо прямую установку значения.
«Опасный» способ, указанный в статье заключается в установке отрицательного числа (лучше — 0xFFFFFFFF) для различных счётчиков: номер сессии, кол-во попыток и т.д., через уменьшение либо прямую установку значения.
PayPass – M/Chip Technical Specifications Version 1.3 — September 2005
5.11 VERIFY Command Processing
The card shall not support the VERIFY command. The card shall return the
status bytes ‘6D00’ (Instruction code not supported) whenever the VERIFY
command is received.
5.11 VERIFY Command Processing
The card shall not support the VERIFY command. The card shall return the
status bytes ‘6D00’ (Instruction code not supported) whenever the VERIFY
command is received.
1. использую iPhone для бесконтактной оплаты т.к. есть хоть какой-то контроль в виде отпечатка пальца, если телефон будет утерян или украден, проблематично будет пойти и просто набрать покупок в ближайшем супермаркете;
2. на просьбу выдать обычную карту, в банке заявили что прекратили выпуск и выдали безконтактную, у которой мной была обрезана антенна, недавно рассказали как раз случай мной предсказываемый несколько лет назад: вор украл из офиса рюкзак с безконтактной картой и сразу же пошёл совершать покупки, но на его беду на счету не было денег вообще, а так если на терминале оплаты не стоит ограничение с вводом пин кода, сумма оплаты ограничена банковским ежесуточным лимитом, который у всеми любимого банка составляет 100К и уменьшить нельзя, к слову на бизнес карте с расчётным счётом можно ставить лимит, Л — логика;
3. оплату на сайтах произвожу через пайпал, стараюсь минимизировать оплату через что-то другое, да и вообще меньше заказывать через интернет, и так барахла дома всякого накопилось;
4. страдаю паранойей по любому поводу, ибо время такое настало, теперь уже нейронные сети могут тебе позвонить голосом родственников и начать просить денег, сейчас конечно этим заняты только профи, но с развитием технологий это дойдёт и до обычных лохотронщиков, когда-то и мобильные телефоны были диковинкой.
2. на просьбу выдать обычную карту, в банке заявили что прекратили выпуск и выдали безконтактную, у которой мной была обрезана антенна, недавно рассказали как раз случай мной предсказываемый несколько лет назад: вор украл из офиса рюкзак с безконтактной картой и сразу же пошёл совершать покупки, но на его беду на счету не было денег вообще, а так если на терминале оплаты не стоит ограничение с вводом пин кода, сумма оплаты ограничена банковским ежесуточным лимитом, который у всеми любимого банка составляет 100К и уменьшить нельзя, к слову на бизнес карте с расчётным счётом можно ставить лимит, Л — логика;
3. оплату на сайтах произвожу через пайпал, стараюсь минимизировать оплату через что-то другое, да и вообще меньше заказывать через интернет, и так барахла дома всякого накопилось;
4. страдаю паранойей по любому поводу, ибо время такое настало, теперь уже нейронные сети могут тебе позвонить голосом родственников и начать просить денег, сейчас конечно этим заняты только профи, но с развитием технологий это дойдёт и до обычных лохотронщиков, когда-то и мобильные телефоны были диковинкой.
а так если на терминале оплаты не стоит ограничение с вводом пин кода, сумма оплаты ограничена банковским ежесуточным лимитом, который у всеми любимого банка составляет 100К и уменьшить нельзя
Сумма оплаты по бесконтакту без пина в РФ ограничена сверху тремя тысячами рублей для визы и одной тысячей для мастеркарда. Это правила платежных систем и от банков не зависят.
Это если мы говорим о бесконтактном пластике, а не всяких эппл/гугл-пеях.
Нет. Меня это и раньше удивляло в карточках банка робота Олега, но после того как я оплатил 60000 руб без пина меня уже ничем не удивить. Благо через приложение можно оперативно крутить месячный лимит, им и страхуюсь.
в карточках банка робота Олега
Тинькофф? Да, один из немногих, кто допускает авторизацию по подписи вместо пина. Так что более точно было бы написать не «без пина» а «без авторизации». Но тут бесконтакт как таковой опять же ни при чем — та же авторизация по подписи у Тинькова будет и если украденную карту в магазине по полосе катать, например. И обрезанная антенна тут уже никак не поможет.
А касаемо бесконтакта, повторюсь, на территории РФ у мастеркарда транзакции свыше 1000 рублей требуют дополнительной авторизации. Как правило это ПИН, у некоторых банков — подпись (но у них и при другом способе оплаты возможна авторизация по подписи).
А кто мешает зайти в несколько магазинов и тратить до 3 тысяч и до того момента пока карту не заблокирует владелец или не будет превышен лимит в 100 тысяч? Плюс можно вернуться к тому же терминалу и совершить покупку ещё раз не превышая 3 тысячи.
Насколько я помню, лимиты на последовательно проводимые бесконтактные транзакции тоже есть, и после определенного их количества запросит авторизацию.
Ну и держателю карты, наверное, следует блокировать сразу карты, а не дожидаться, пока вор совершит возможные покупки по максимуму…
Ну и держателю карты, наверное, следует блокировать сразу карты, а не дожидаться, пока вор совершит возможные покупки по максимуму…
Пока будете соображать, пару покупок уже можно совершить, а далее поход в банк и весь сопутствующий геморой с восстановлением карты.
далее поход в банк и весь сопутствующий геморой с восстановлением карты.Так если карту украли — это в любом случае ожидает. Совершенно независимо от того, бесконтактной она была или контактной.
Раньше если воровали, то спецы всякие, сейчас любой клоун может позарится. Зачем они нужны вообще при таком раскладе не очень понимаю, если есть телефон хоть с какой-то защитой.
Раньше вообще была магнитная полоса (или импринтер) и подпись. А кошельки всегда воровали спецы по краже кошельков.
Телефон — да, неплохой вариант. «Если есть». В реальности у большинства нет nfc в телефоне. Плюс карта гарантированно никогда не разрядится (в отличие от), карту несколько сложнее разбить или утопить… В общем, в более или менее длительную поездку с одним телефоном и без карт я бы лично не поехал.
Телефон — да, неплохой вариант. «Если есть». В реальности у большинства нет nfc в телефоне. Плюс карта гарантированно никогда не разрядится (в отличие от), карту несколько сложнее разбить или утопить… В общем, в более или менее длительную поездку с одним телефоном и без карт я бы лично не поехал.
Так карта если обычная без антенны, то какая проблема то? Я же говорю про безконтактные, а не вообще карты как таковые. Обычные карты для карманников бесполезны в общем. Мне не нравится что меня насильно на это переводят, так же как хотят всех на биометрию переводить, на контроль голосом (что сейчас с развитием нейронок вообще бред).
Мне кажется, я несколько потерял нить… Полезна она ему или нет (с обычными картами в ряде случаев тоже можно операции провести без пина) — вряд ли он ее из украденного кошелька вынет и обратно принесет. Все равно «поход в банк и весь сопутствующий геморой с восстановлением карты». Эта проблема никуда не денется.
А дополнительных рисков по бесконтактным — на ту самую пару операций (для мастеркард/мир по тысяче рублей максимум) в случае кражи. На фоне кражи кошелька и всего геморроя, с этим связанного, в общем-то совсем небольшая сумма.
Но зато если мы не вводим пин при покупке бутылки воды — ниже вероятность, что его кто-то ухитрится подсмотреть и потом кошелек вытащит с целью обналичить карту. Так что я бы тут еще подумал, что будет безопаснее в целом.
А дополнительных рисков по бесконтактным — на ту самую пару операций (для мастеркард/мир по тысяче рублей максимум) в случае кражи. На фоне кражи кошелька и всего геморроя, с этим связанного, в общем-то совсем небольшая сумма.
Но зато если мы не вводим пин при покупке бутылки воды — ниже вероятность, что его кто-то ухитрится подсмотреть и потом кошелек вытащит с целью обналичить карту. Так что я бы тут еще подумал, что будет безопаснее в целом.
я лишь говорю о том, что для обычных воров бесконтактные карты стали ценной вещью как и наличка, раньше обычные карты их не интересовали в виду необходимости пинкода, если бы на бесконтактных был сканер отпечатка пальцев то другое дело, может вообще карманные кражи исчезли бы в виду их бессмысленности, за редким исключением когда жертва под наблюдением спецов
Пинкод был необходим не всегда, не для всех операций, да и сейчас не для всех карт необходим (в т.ч. для «контактных» платежей). То есть не нужно думать, что бесконтактные платежи что-то прямо вот кардинально изменили в этом плане, хотя, наверное, возможностей у карманников в этом плане стало действительно несколько больше.
при появлении у нас банковских карт, вообще паспорт просили предъявить при оплате, для заказа через интернет раньше были схемы которые сейчас в общем побороли, просто банк тебе впаривает карту эту без возможности выбора, возможно хотят всё обслуживание перевести на бесконтакт, только с безопасностью как всегда у нас будут проблемы, а то и просто с работой этих систем, новая карта у меня например не работала с банкоматами по бесконтакту, хотя в другом отделении банкоматы принимали её, другая карта работала везде
Я, конечно, не знаю, «у вас» — это где именно, но я в РФ лет 15 назад платил картой, у которой была только магнитная полоса и приоритет подписи. А паспорт просили не везде — можно было найти место, где не просят.
Кстати, в вопросе безопасности есть ведь вторая сторона. Да, злоумышленник теперь легко может отоварить некоторую (зачастую относительно небольшую) сумму без авторизации. Но какие у нас альтернативы, если мы говорим именно об оплате картой? Либо авторизация по пину каждый раз (и тогда по факту мы чаще рискуем, что кто-то подсмотрит пин, а потом украдет кошелек и обналичит в банкомате вообще все, при этом вероятность возврата денег через ПС отсутствует). Либо авторизация по подписи (но тогда и злоумышленник сможет купить по подписи дорогостоящий товар, а вероятность возврата средств через чарджбэк если и будет, то небольшой).
В общем, на мой взгляд, не все так однозначно в плане безопасности — есть как минусы, так и плюсы.
Кстати, в вопросе безопасности есть ведь вторая сторона. Да, злоумышленник теперь легко может отоварить некоторую (зачастую относительно небольшую) сумму без авторизации. Но какие у нас альтернативы, если мы говорим именно об оплате картой? Либо авторизация по пину каждый раз (и тогда по факту мы чаще рискуем, что кто-то подсмотрит пин, а потом украдет кошелек и обналичит в банкомате вообще все, при этом вероятность возврата денег через ПС отсутствует). Либо авторизация по подписи (но тогда и злоумышленник сможет купить по подписи дорогостоящий товар, а вероятность возврата средств через чарджбэк если и будет, то небольшой).
В общем, на мой взгляд, не все так однозначно в плане безопасности — есть как минусы, так и плюсы.
Лимиты может и есть, но похоже не у всех.
Недавно был случай у нас. 16 операций на сумму около 1000 рублей, не отходя от кассы, за 10 минут почти 15000 рублей. Причем ещё и пару других покупателей пропустил между своими чеками.
Даже если владелец карты вовремя увидит и сообразит, что по карте проходят левые платежи, пока найдет номер телефона банка, пока пройдет диалог с роботом на той стороне и наконец заблокирует карту половину з/п уйдет.
Недавно был случай у нас. 16 операций на сумму около 1000 рублей, не отходя от кассы, за 10 минут почти 15000 рублей. Причем ещё и пару других покупателей пропустил между своими чеками.
Даже если владелец карты вовремя увидит и сообразит, что по карте проходят левые платежи, пока найдет номер телефона банка, пока пройдет диалог с роботом на той стороне и наконец заблокирует карту половину з/п уйдет.
Вполне возможно, что не у всех. Мне, если память не изменяет, подобная информация попадалась где-то в документации мастеркарда. Не знаете, какой платежной системы была карта?
пока пройдет диалог с роботом на той стороне и наконец заблокирует картуЗа все банки не скажу, но у тех, которыми пользуюсь, робот обычно начинает с фразы «Вас приветствует банк… Блокировка карты — нажмите 1».
Не знаете, какой платежной системы была карта?
Visa, Сбербанк.
За все банки не скажу, но у тех, которыми пользуюсь, робот обычно начинает с фразы «Вас приветствует банк… Блокировка карты — нажмите 1».
А после нажатия «1» какой квест будет? Я думаю спросит последние 4 цифры карты :)
Пример показывает, что простой человек, не успеет среагировать быстро, а злоумышленнику достаточно 10 минут, чтобы увести неплохую сумму денег.
VisaВот про Визу не скажу — их картами мало очень пользуюсь. Вероятно, тут тоже есть какие-то отличия с мастеркардом (как и в плане лимита одной операции).
А после нажатия «1» какой квест будет? Я думаю спросит последние 4 цифры карты :)Доводилось пользоваться один раз, и еще пару-тройку раз по ошибке попадал в этот пункт, для разных банков. Сразу отвечал живой человек.
Я просто ограничеваю риски, на карте держу сумму на повседневные расходы, а если нужна крупная покупка то пополняю ее перед этим со счета.
Для оплаты в интернете виртуальные карты, в том же тинькове удобно. Кстати с удивлением обнаружил что виртуальную карту можно к гуглопей подключить и платить телефоном, очень выручило когда потерял карту.
Если поехать в отпуск, нужно будет что-то с собой иметь, карту или наличные, вот и могут украсть карту. Плюс банки навязывают карты всем людям при открытии счёта, чтобы активнее тратили, ну а те не заморачиваются на безопасность. Вообще всё время нужно вырабатывать схемы поведения и быть в курсе схем преступников. Чёрт с тем что государство следит за тобой, везде слышишь «кому ты нужен», может спецслужбам ты не нужен пока не перешёл дорогу сильным мира сего, но обычным преступникам ты всегда нужен. Моим родственникам уже звонили с темой «из-за меня человек пострадал, перешлите деньги» когда я уезжал в другой город, т.е. какие-то соседи или знакомые сообщили этим уркам о том что меня нет в городе, только с городом они не угадали где я был, при наличии открытых страниц соц сетей, это сразу бы было понятно.
Платежные NFC-кольца и брелки аналогичны, или чем-то отличаются архитектурно/аппаратно?
Ну вообще, полная хрень. Энтузиазм в каком то смысле понятен, конечно.
Персонаж демонстрирует пример ответа на первый SELECT, в котором фигурирует AID карты Visa (A0000000031010).
После чего люто "срывает покровы", предъявляя публике "фрагмент данных, извлеченных из записей карты". Но при этом, почему то, демонстрируется кусок профиля _КОНТАКТНОЙЧИПОВОЙ карты "Мир" (tag 5A = 22xx).
Тут необходимо отметить, что ни одна бесконтактная карта не хранит кардхолдер-нейм (tag 5F20), соот-но, ни о какой "привязке в некоторых онлайн-магазинах" речи идти не может.
p.s. Про не имеющие практического смысла переполнения ATC и PTL даже писать неинтересно.
p.p.s. Сразу не обратил внимания, цитата: "VERIFY // Пока карта не заблокируется"… VERIFY на БЕСКОНТАКТНУЮ КАРТУ! Пассажиру нужно идти читать EMV Book...
Вообще cardholder name не только в 5f20 содержится.
_КОНТАКТНОЙЧИПОВОЙ карты «Мир» (tag 5A = 22xx).
Банковская карта сбербанка, выданная вузом.
ни одна бесконтактная карта не хранит кардхолдер-нейм
Считать имя держателя удавалось с MacterCard и с МИРа, возможно есть и карты Visa, которые хранят имя держателя.
На самом деле при привязке в онлайн-магазинах имя обычно даже не проверяется и можно вбить любые данные, так что если имя не получится считать с карты, это не так критично.
VERIFY на БЕСКОНТАКТНУЮ КАРТУ! Пассажиру нужно идти читать EMV Book...
Как раз в этом и смысл, не все карты соблюдают стандарт и многие согласны обрабатывать VERIFY даже в бесконтактном режиме.
По имени держателя, повторю: это фантастика. Ни одно персобюро ни одного эмитента не выпустит такой бесконтактный профиль. Потосу что ни один CPV-сервис ни одной ПС такой профиль не валидирует.
По VERIFY: это также фантастика, поскольку команда используется для проверки оффлайн-пина. В cvm-листе любой бесконтактной карты оффлайн-пин отсутствует как класс.
Хм, так допустим если знать специфику работы протоколов то и cvv можно вытащить. Если да то все, считай все есть
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Атаки на бесконтактные банковские карты