Комментарии 36
То есть в автобусе теперь можно просто ходить с терминалом и обчищать людей. Человеческая лень не знает предела
НЛО прилетело и опубликовало эту надпись здесь
>Я ничего не забыл?
Да, паяльник, пару метров проводов и ардуину-кнопкодав (а некоторые терминалы имеют даже API реализацию для обратной связи и управления с компа). Разобрать терминал не так сложно. А делать юр-лицо и получать терминал можно на бомжа, или за бугром, или пособника иметь.
Да, паяльник, пару метров проводов и ардуину-кнопкодав (а некоторые терминалы имеют даже API реализацию для обратной связи и управления с компа). Разобрать терминал не так сложно. А делать юр-лицо и получать терминал можно на бомжа, или за бугром, или пособника иметь.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Я, как один из тех кто занимается POS и терминалами, к веду тому, что такие банальные придирки не состоятельны и отмахиваться таким образом, ослабляя настороженность окружающих — только помогать потенциальным ворам.
Короче — ВОЗМОЖНО ходить по автобусу и обчищать людей. Особенно с массовым входом в эксплуатацию бесконтактных карточек (или прочих токенов) как карточек «по умолчанию». Так что храните карточки поглубже в кошельке, предварительно проверив его в банке/магазине на терминале, чтобы через него нельзя было пробить транзакцию бесконтактно.
Короче — ВОЗМОЖНО ходить по автобусу и обчищать людей. Особенно с массовым входом в эксплуатацию бесконтактных карточек (или прочих токенов) как карточек «по умолчанию». Так что храните карточки поглубже в кошельке, предварительно проверив его в банке/магазине на терминале, чтобы через него нельзя было пробить транзакцию бесконтактно.
НЛО прилетело и опубликовало эту надпись здесь
Придирки, придирки, придирки. Можно их долго разбирать оттачивая идеальный вариант грабежа толпы народа бесконтактным терминалом, даже добавить социальной инженерии, но я не буду. «Спокойно засовывайте карточку в ту подозрительную штуку на банкомате», «введите номер телефона чтобы скачать файл», «откройте дверь, я ваш сосед с этажа ниже», «на форексе действительно можно заработать, попробуйте сами», «я случайно перевел вам на телефон 1000р, переведите обратно». Просто не недооценивайте изворотливость криминалитета и силу человеческой глупости.
НЛО прилетело и опубликовало эту надпись здесь
Ну вот вы уже осознали реальность такой атаки? Просто напомню что смс крайне ненадежный метод доставки и его можно просто глушить, оповещения — их опциональность, от какой суммы перевода и есть ли они вообще — зависит только от банка.
А разбор последствий мало чем отличается от последствий действий кардера. «Плюсы» грабежа через бесконтакт меньшая заметность чем действия кардера — платеж одноразовый, не обязательно большой, описание платежа может быть убедительным или маскироваться под «типичные для региона», правильно подобранное место атаки тоже поможет замаскировать платеж (маршрут к крупному торговому центру в час пик после окончания рабочего дня, например).
Что самое плохое — банки могут просто начать выдавать карточки с бесконтактом, включенным по умолчанию. И не факт что отключаемым.
А разбор последствий мало чем отличается от последствий действий кардера. «Плюсы» грабежа через бесконтакт меньшая заметность чем действия кардера — платеж одноразовый, не обязательно большой, описание платежа может быть убедительным или маскироваться под «типичные для региона», правильно подобранное место атаки тоже поможет замаскировать платеж (маршрут к крупному торговому центру в час пик после окончания рабочего дня, например).
Что самое плохое — банки могут просто начать выдавать карточки с бесконтактом, включенным по умолчанию. И не факт что отключаемым.
НЛО прилетело и опубликовало эту надпись здесь
>Описание платежа выдает система банка, к которой привязан терминал, в том числе и категорию покупки.
Создавая фирму можно придумать достаточно нейтральное название услуги которую она якобы будет предоставлять и получить соответствующее описание к транзакции, нет? А еще не всегда терминал от банка, зачастую есть payment ( service) provider который предоставляет терминал/кассу и работает сервисной прослойкой, что-бы мерчанту не заниматься технической частью самому.
>Что значит «включенный бесконтакт»?
То и значит — банк в котором у меня счет и карточка позволяет включить на ней запрет на использование ее заграницей, на своей стороне, без необходимости что-то менять физически в карточке или ее чипе. Не вижу причин почему не может быть реализован аналогичный банковский запрет на транзакции используя paypass.
>Смс о списании средств приходят при ЛЮБОЙ покупке, от 1 копейки.
Нет. Прямая цитата со страницы услуг банка —
Вы можете заказать уведомление о следующих событиях:
Поступления на счет, начиная с установленной Вами суммы
Выплата со счета или кредитной карточки, начиная с установленной Вами суммы
Поступление э-счета в интернет-банк
И т.д. СМС уведомления — не являются какой-то стандартной опцией и их работа отличается от банка к банку.
Чтобы мне не копипастить куски договора — банк называется SEB и живет в доменной зоне EE — можно ознакомиться с договорами и особенностями работы карточек, оповещений и бизнес-интеграции, и сравнить с тем что предоставляет российский банк.
>если в кошельке больше одной карты с paypass, то сканировать карты вообще не получится.
Опять же может в России и нормально иметь по счету в каждом банке и по карточке из него, но это как-то не катит на стандартный случай. Плюс заводить еще один счет в банке что-бы получить вторую карточку для защиты первой интерференцией это какой-то оверкилл.
Создавая фирму можно придумать достаточно нейтральное название услуги которую она якобы будет предоставлять и получить соответствующее описание к транзакции, нет? А еще не всегда терминал от банка, зачастую есть payment ( service) provider который предоставляет терминал/кассу и работает сервисной прослойкой, что-бы мерчанту не заниматься технической частью самому.
>Что значит «включенный бесконтакт»?
То и значит — банк в котором у меня счет и карточка позволяет включить на ней запрет на использование ее заграницей, на своей стороне, без необходимости что-то менять физически в карточке или ее чипе. Не вижу причин почему не может быть реализован аналогичный банковский запрет на транзакции используя paypass.
>Смс о списании средств приходят при ЛЮБОЙ покупке, от 1 копейки.
Нет. Прямая цитата со страницы услуг банка —
Вы можете заказать уведомление о следующих событиях:
Поступления на счет, начиная с установленной Вами суммы
Выплата со счета или кредитной карточки, начиная с установленной Вами суммы
Поступление э-счета в интернет-банк
И т.д. СМС уведомления — не являются какой-то стандартной опцией и их работа отличается от банка к банку.
Чтобы мне не копипастить куски договора — банк называется SEB и живет в доменной зоне EE — можно ознакомиться с договорами и особенностями работы карточек, оповещений и бизнес-интеграции, и сравнить с тем что предоставляет российский банк.
>если в кошельке больше одной карты с paypass, то сканировать карты вообще не получится.
Опять же может в России и нормально иметь по счету в каждом банке и по карточке из него, но это как-то не катит на стандартный случай. Плюс заводить еще один счет в банке что-бы получить вторую карточку для защиты первой интерференцией это какой-то оверкилл.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Имею Мастеркард с PayPass и привязанныое к ней же платёжное приложение в мобильнике.
В одном строймаге касса не читает мою карту PayPass, но читает бесконтактный платёж с мобильника. В другом строймаге читает карту, но бесконтактный с мобильника принимается, но не проходит. В сетевом продуктовом кассир отказывается включать оплату по карте, пока не продемонстрируешь карту, так что мобильником оплатить может быть и можно, но со скандалом. В другом продуктовом при использовании бесконтактного платежа всегда сумма снимается 2 раза, потом через неделю лишнее возвращается. На Ж/Д платформе торговый автомат принимает и карты и мобильники, но прислонять надо пару минут, попутно отмахиваясь от опаздывающей очереди.
Удобно, чего уж там. Новый век, чего уж там.
В одном строймаге касса не читает мою карту PayPass, но читает бесконтактный платёж с мобильника. В другом строймаге читает карту, но бесконтактный с мобильника принимается, но не проходит. В сетевом продуктовом кассир отказывается включать оплату по карте, пока не продемонстрируешь карту, так что мобильником оплатить может быть и можно, но со скандалом. В другом продуктовом при использовании бесконтактного платежа всегда сумма снимается 2 раза, потом через неделю лишнее возвращается. На Ж/Д платформе торговый автомат принимает и карты и мобильники, но прислонять надо пару минут, попутно отмахиваясь от опаздывающей очереди.
Удобно, чего уж там. Новый век, чего уж там.
А нет аксессуаров, где был бы физический переключатель, чтобы снятие средств было возможно только при его активации?
И хотелось бы что-нибудь такое-же для смартфонов, чтобы доступ к деньгам был только через физически изолированный режим, с предварительным подтверждением снимаемой суммы.
И хотелось бы что-нибудь такое-же для смартфонов, чтобы доступ к деньгам был только через физически изолированный режим, с предварительным подтверждением снимаемой суммы.
Ряд аксессуаров, перечисленных в этом материале, носят пилотный «характер», если можно так выразиться. Платежная функция в каждом из них предназначена для соответствующей POS-инфраструктуры. Поэтому тут вопрос настраиваемой активации и выбора других опций — это, вероятно, следующий этап после того, как носимые девайсы укоренятся в потребительском обиходе. Пока эти технологии находятся на стадии развития во всем мире, а в России в особенности.
Недавно услышал, что бомжи в Бразилии каким-то образом обладают терминалами и попрошайничают таким образом, предлагают перечислить им денег через карточку. Так что есть возможности снимать деньги с помощью таких терминалов незаметно в транспорте. Во всяком случае не стоит исключать это, если скимеры и целые накладки на банкоматы не стесняются делать.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Сервис «Мобильный билет» к вашим услугам — http://moskva.beeline.ru/customers/products/mobile/services/details/mobilnyy-bilet/
Бесконтактные метки еще интересны в плане авторизации и открытия всяких замков\блокировки девайсов. Но есть два но:
1) нет защиты от несанкционированного считывания и копирования в большинстве своем
2) еще реже попадаются девайсы с защитой от кражи вроде дополнительного пина\пароля\биометрии
1) нет защиты от несанкционированного считывания и копирования в большинстве своем
2) еще реже попадаются девайсы с защитой от кражи вроде дополнительного пина\пароля\биометрии
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бесконтактные платежные аксессуары: от стикеров до фитнес-трекеров