Устройство работает на расстоянии до 8 сантиметров от целевой карты, клонирование ведется постоянно



В dark web поступило в продажу устройство, изготовленное группой The CC Buddies, которое способно клонировать данные 15 банковских карт в секунду. При этом само устройство имеет очень небольшой размер, и работает на расстояниях до 8 сантиметров от целевой карты. Конечно, это не так много. Но представьте, сколько карточек можно клонировать, если пройтись по посещаемому супермаркету, вагону метро, очередью в авиакассу или потолкаться в других подобных местах (клуб, концерт известной группы и т.п.).

Если раньше злоумышленники для этой же цели использовали довольно габаритные девайсы, которые можно было рассмотреть, то размеры этого устройства позволяют положить его в карман. А если кто-то и увидит гаджет в руках злоумышленника, вряд ли поймет, что это такое. Называется эта система X5, и предназначена она для копирования данных чипа, встроенного в современные банковские карты с RFID.

Все собираемые данные хранятся внутри устройства, девайс поставляется со встроенной памятью. Извлечь информацию очень просто — нужно подключить систему к ПК, посредством USB кабеля, и при помощи специального программного обеспечения загрузить данные на компьютер. Софт поставляется все той же командой CC Buddies вместе с устройством.

Что касается информации, которую собирает гаджет, то она включает номер карты и срок ее действия. Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена. Причем данные хранятся не в открытом виде, а шифруются. Владельцы устройства без проблем расшифровывают данные при помощи прилагаемого к Х5 программного обеспечения. После этого можно без проблем создать клон скопированной банковской карты, и использовать ее для различных целей.

Поставляется устройство с несколькими заготовками для создания дубликатов пластиковых карт, а стоимость системы достигает $800. Это по текущему курсу всего 1.2 биткоина. Отправляется Х5 по почте. вместе с USB дата-кабелем и 20 пустыми пластиковыми болванками. Доступна и подробная техническая информация.

«Contactless Infusion X5 является первым бесконтактным считывателем банковских карт, который продается хакерами на черном рынке. Этот продукт был спроектирован и создан командой The CC Buddies. Contactless Infusion X5 может обнаружить и считать любую банковскую карту на расстоянии до 8 сантиметров. Скорость передачи данных составляет 1024kbps, а это означает скорость считывания в 15 карт в секунду», — сообщается на ресурсе, где продается девайс.

В корпусе находится 5-вольтовая батарея, заряжаемая посредством кабеля USB 3.0 (прилагается). Для полной зарядки аккумулятора необходимо около 3 часов, после этого время работы системы составит около 10 часов. Считывает Х5 и другие карты с RFID, работающим с частотой 13.56 МГц. Пока что софт, поставляемый хакерами, не может расшифровать данные, собранные с других карт, но команда уже над этим работает. Так что в скором времени может быть представлено универсальное устройство.

Характеристики:
-Источник питания: USB 3.0
-Скорость: 480 Mbps (полная скорость)
-напряжение: 5V DC
-Ток: 200 mA (максимум); 50 mA (спящий режим); 100 mA (нормальный режим)
Работает с картами:
— SO 14443 Part 4 Type A и B карты, FeliCa, и еще четыре типа беспроводных карт (ISO/IEC 18092 tags)
-Протокол: FeliCa protocol, T=CL protocol
-Рабочая частота: 13.56 MHz
-Рабочее расстояние: до 80 mm
-Память: 8 ГБ
-Скорость чтения/записи: 1024kbps
Физические характеристики
-Размеры: 98.0 мм x 65.0 мм x 12.8 мм
-Вес: 70 г
-Материал: Поликарбонат
-Цвет: Черный
-Размер антенны: 60 мм x 50 мм
-Длина кабеля: 50 см (USB 3.0)
Дополнительно:
-Красный и зеленый светодиоды
-Вибромотор
Совместимость с ОС:
-Microsoft WHQL 2000, XP, Vista, 7, 8, 10, Server 2003, Server 2008, Server 2008 R2, Server 2012
Что в коробке:
1 x Contactless Infusion X5
20 x пустых пластиковых болванки (с чипом)
1 x USB 3.0
1 x The CC Buddies софт
1 x упаковка


Как видим, охота на банковские карты (причем «умные» карты) выходит на поистине промышленный уровень. Такие системы могут собирать данные карт практически в неограниченном количестве.

Ранее в этом году по многим СМИ разошлась фотография человека в метро, который держит переносной «сканер» (на самом деле — мобильный терминал оплаты), считывающий банковские карты. Сканер на фотографии работал, и пользователи сети решили, что этот человек — мошенник, который дистанционно списывает суммы до 1000 рублей у своих соседей по вагону.



И действительно, это можно осуществить. «Согласно правилам платежных систем, бесконтактная оплата до тысячи рублей может осуществляться без введения пин-кода. Если рассуждать гипотетически, то на вопрос «может ли человек в метро с таким терминалом в час пик, прислоняя его к одежде и сумкам, списывать деньги со счетов пассажиров» ответ будет положительным. При определенной ловкости – сможет. Но черт, как обычно, кроется в деталях», — пояснил Александр Бородкин, начальник управления пластиковых карт ВТБ24.

Но проблема (для злоумышленников) с таким терминалом состоит в том, что денежные средства с вашего карточного счета в банке спишутся и попадут в банк – эквайер, владеющий этим терминалом. Плюс ко всему, при снятии денег с карты клиента банка ему будет приходить SMS-уведомление.

А вот у X5 никаких ограничений нет — здесь деньги никуда не переводятся, а считываются сами данные карты. Так что мошенник может беспрепятственно обходить десятки вагонов метро или ходить по очень людным местам. И никто ничего не заподозрит.
Поделиться с друзьями
-->

Комментарии (141)


  1. DrSavinkov
    14.06.2016 14:43

    А какие-то методы противодействия такой деятельности есть? Экранирующие чехлы для карт или нечто подобное?


    1. marks
      14.06.2016 14:44
      +4

      Ну, фольгированный чехол, по идее, должен помочь.


      1. Color
        14.06.2016 14:49
        +6

        Достаточно мелкой металлической сетки, более того, они вполне успешно продаются https://goo.gl/tE6I6R


      1. lv333
        14.06.2016 16:44
        +2

        А вы пробовали это делать или знаете из теории? Я например решил поэкспериментировать с мобильным телефоном.

        Первый опыт: полностью и плотно завернул телефон в металлическую фольгу от шоколада — вывод телефон прекрасно принимает сигнал и начинает звонит при входящем звонке.

        Второй опыт: дополнительно к первому еще и поместил телефон в металлический бокс от шуруповерта, причем предварительно еще и и пометив между слоем фольги диэлектрик что бы слой фольги не соприкасался с металлическим боксом итог эксперимента тот же что и в первом случае…

        Третий эксперимент: телефон был помещен в микроволновку разумеется в выключенную =) Там он тоже отлично принимал входящий звонок…
        Конечно может уровень сигнала был и слабее при таких экзекуциях, но про полное его экранирования даже речи нет.

        ЗЫ я понимаю что возможно с карточкой дело обстоит проще так как все таки она не имеет своего источника питания, но тем не менее.


        1. Basil_BF
          14.06.2016 16:58
          +2

          Вопрос частот и мощности излучаемого сигнала. Для RFID может оказаться что просто фольги или мелкой сетки достаточно.
          не говоря о том что питание карточка получает по факту от считывателя.
          Телефон добивает на несколько километров даже при относительно небольшой мощности передатчика, такова у него работа


        1. Moon_darker
          14.06.2016 17:03

          С карточкой всё действительно проще, т.к. она, по-сути, пассивный RFID чип. Фольга должна сработать.

          В случае с мобильным телефоном — лучше заземлить фольгу/бокс от шуруповёрта, тогда получится что-то вроде экранирования с заземлением.


        1. Zeitung
          14.06.2016 23:43

          Я хожу с подобным чехлом на 6 карточек, из которых 4 RFID (2 банковские). Ни один из терминалов ни разу не сработал через металлическую коробочку, регулярно получаю «ошибка считывания». Хотя именно эта ошибка меня настораживает, т.е. считывание началось, но обломилось в какой-то момент (или просто считываться начала не та карта). При этом у жены через кожанный кошелёк и через резиновый кард-холдер на крышке мобильного срабатывал только пропуск в фитнесс через раз.


          1. Alexeyslav
            15.06.2016 17:07

            Считывание происходит за счёт искажения поля передатчика картой, а именно — резкое возрастание потерь в контуре передатчика. Так он реагирует когда подносишь поверхность с высокими потерями — детектирование карточки происходит по изменению поля накачки которым передатчик периодически (раз 10 в секунду) проверяя наличие карты в радиусе действия считывателя, карточка должна ответить на это поле его замыканием, потом идёт процедура считывания. В вашем случае считыватель определил наличие замыкания поля, но последующее считывание естественно дало сплошные нули, о чём терминал скромно сообщил ошибкой считывания ибо контрольная сумма не сошлась.


        1. akaChewy
          17.06.2016 12:44

          У меня телефон перестаёт принимать сигналы под толстым слоем одеял и подушек (не фольгированных).


        1. ahimenid
          17.06.2016 12:45

          не хочу ставить Ваши слова под сомнение, но завернув свой Nokia NGAGE QD в фольгу обнаружил что он прекрасно «не ловит сеть». Это к чему, есть нюансы, но картам rfid и nfc вполне хватает фольгирования, как и некоторому числу мобильников


    1. igruh
      14.06.2016 14:55
      +1

      Из широко продаваемого — металлическая визитница


    1. EvilGenius18
      14.06.2016 15:33
      +1

      Для карт есть Secrid Reddot из титана ($45)


      1. dobergroup
        15.06.2016 22:41

        Справедливости ради, не нашел из титана, только алюминиевые


    1. NET_KOT
      14.06.2016 15:52
      -12

      Лучший способ — брать с собой банковскую карту только в случае необходимости.


      1. artoym
        14.06.2016 16:20
        +7

        Ага. А обезопасить себя от ожогов можно перестав пользоваться плитой и чайником. Карты — удобно и не менее безопасно налички. На ГТ иногда просто потрясающий луддизм встречается.


        1. bazis13
          14.06.2016 18:01
          +2

          Карты намного безопаснее налички. Если украдут карту — крупную сумму все равно не снимут, и можно будет попробовать обжаловать в банке, а с наличными можно сразу попрощаться.
          Не представляю, как люди с ней спокойно ходят. То со сдачей обсчитают, то фальшивку подсунут. Можно даже банально сумку в такси оставить и уже ничего не докажешь.

          Бумажки незаменимы только для финансирования террористов. Передавать неудобно, зато анонимно. Куда только фсб смотрит…


          1. AndrewTishkin
            14.06.2016 20:10

            Если украдут карту — крупную сумму все равно не снимут
            Обоснуйте. Думаете у всех банков скромные суточные лимиты, а уж тем более что у многих есть ещё возможность оперативно менять пользовательские? Тогда хотя бы про Сбербанк вспомните :D


            1. tmin10
              14.06.2016 20:52
              +1

              Бесконтактные переводы без пин-кода до 1000 рублей, больше нужен пинкод, которого не знает вор.


              1. AndrewTishkin
                14.06.2016 21:53

                Хм, мне почему-то показалось речь шла про снятие наличных.
                Но с покупками тоже не всё радужно. Есть в сети места, где можно совершить покупку без CVx-кода и 3D-Secure.
                Бесконтактные оплаты — да, лимитированы по сумме, но есть ли лимит по их количеству? Магазинный POS-терминал на практике может заругаться где-то после третьей NFC-оплаты одной и той же картой (но если мошенники обзаведутся своим, то не будут включать эти ограничения, если они не на стороне процессинга). Прокатка полосой тоже возможна без ввода ПИН. И ещё с чиповыми картами на практике иногда проходит оплата полосой, хотя вроде стандарт запрещает такое (чудеса в решете?). В общем, какой-никакой риск однажды погореть с картами всё равно присутствует, поэтому при отсутствии лимитов от крупных потерь лучше защищаться банально просто — снижать риски, не класть на карту для похода за продуктами и прочих ежедневно-бытовых расходов много денег, в качестве копилки завести другой счёт/пластик, для Интернет-оплат — третий, и т.д.


                1. noob001
                  17.06.2016 12:49
                  +1

                  Те места, которые позволяют совершать покупки без кода или без 3d-secure берут на себя ответственность за подобные операции. То-есть, если через украденные данные карты была произведена покупка без авторизации — в случае обжаловании этой операции убытки несёт площадка, где данная покупка была совершена.


              1. AndrewTishkin
                14.06.2016 21:58

                Ах да, кража ПИН — отдельная песня, если кража не спонтанная, а продуманная. Снимут скрытой камерой, посмотрят на клавишах отпечатки каким-нибудь УФ-излучением, украдут через накладку, фантазия и возможности нынче богатые. Если банкомат уличный, вмонтирован в стене, без козырька — наверное можно и с квадракоптера подсмотреть, если захотеть. А потом уже завладевать пластиком


            1. bazis13
              14.06.2016 21:55
              +1

              Чтобы снять с карты деньги в банкомате, надо знать пинкод. Покупку в магазине можно потом оспорить, да и зачем вору так привлекать внимание, чтобы потом посмотрели камеры кассы в момент транзакции. Через интернет покупка тоже не пройдет — нужна смс с подтверждением. И это все возможно, только если вместе с картой украли еще и телефон, иначе через минуту я её заблокирую.

              Никто не заставляет ходить в этот филиал ада, уже много лет есть банки для людей, где лимиты настраиваются в удобном мобильном приложении. Во время приступов особой паранои я держал отдельный счет, с которого переводил понемногу денег на карту. Все это иногда проворачивал прямо в очереди на кассе.

              Еще на наличные никто не начислит 8% годовых и не будет давать 1% кэшбека.


              1. AndrewTishkin
                14.06.2016 22:06
                +1

                иначе через минуту я её заблокирую
                Через минуту после обнаружения пропажи. Это важный нюанс.


                1. severgun
                  15.06.2016 10:54
                  +2

                  Тем не менее.
                  Чтобы получить деньги с карты:
                  Украсть карту, украсть пин-код, засветить рожу в АТМ, обломаться с лимитом.
                  Украсть карту, украсть телефон, украсть пароль от телефона, купить товар, засветить свой адрес, обломаться с отменой операции или получив товар его нужно еще продать.

                  Чтобы получить деньги наличкой.
                  Украсть наличку. Профит.


                  1. zzmaster
                    15.06.2016 18:51

                    Если я прихожу в супермаркет с 1000 рублей в кармане (а в ~90% случаев мне этого достаточно) у меня больше 1000 рублей не украдут. А вот на карточке — совсем другие суммы. И не говорите, что удобно периодически перекидывать средства со счета на карту…


                    1. ploop
                      15.06.2016 21:38

                      Понимаете, подавляющее большинство краж — спонтанные. Это карманники, цыгане и т.д. Ну и тупо потерять бумажник можно, когда случайный человек его подберёт. Так вот, в этих случаях просто достают наличку, а остальное выбрасывают, более продвинутые могут поискать в нём бумажку с пин-кодом.

                      Если вы предполагаете целенаправленную атаку на себя (раздобыть пин, может дубликат сим-карты и т.д.), то вы либо очень богатый человек, либо параноик :)


                    1. artoym
                      16.06.2016 09:21

                      30'000 на карте, которую вы носите с собой, будет достаточно на месяц с одной стороны, с другой стороны это не критичная сумма. Плюс выставьте лимит на снятие хоть в 1000. Ну а перевести деньги раз в месяц не проблема. Более того, расплачиваться картой с пэйпас быстрее и не надо с собой носить мелочь. Плюс можете сделать допкарту к основной карте (даже сбер может) и носите с собой. При утере допкарты, просто блокируете её, а деньги всё равно доступны на основной. Более того, хранить большую сумму на карте всё равно не выгодно, так как вы теряете проценты, которые могли бы заработать, положив деньги на счёт или в ИИС или ещё куда-нибудь.


            1. teifo
              15.06.2016 09:50

              Сейчас телефон страшнее потерять, не говоря уже о перевыпуске симкарты.


              1. severgun
                15.06.2016 10:50
                +1

                Если у вас нет пароля на экране блокировки, вы сами себе буратино.


                1. AVX
                  16.06.2016 11:59

                  Если нет пароля на экране блокировки, есть шанс что нашедший позвонит кому-то из Вашего списка контактов чтобы вернуть телефон. Неоднократно наблюдал такой сценарий, и сам так возвращал телефон. А вот когда он запаролен — всё сложнее, но не для плохих парней — они просто придут к знакомому мастеру «имэй перебэй, а?», а потом продадут его где-нибудь в переходе.


                  1. vlade11115
                    20.06.2016 17:38

                    В смартфонах давно есть опция «Сведения о владельце», где можно написать что угодно, в том числе и номер телефона друга, и короткое сообщение и т.д.


          1. wulfdog
            14.06.2016 22:11

            Какие наивные взглады на жизнь. Как все просто =) взять и отменить наличку и наступит тишь на благодать. Вот не надо ерунды говорить, эти же самые нехорошие люди финансируются как раз большими банковскими переводами отмытыми так или иначе, никто не возит чемоданы денег через океан.
            Ну и то есть вы полностью уверены что никто и никогда не сможет наклевать левых карт по левым данным? Оригинально. В вашем мире жить хорошо =)


            1. bazis13
              14.06.2016 23:20
              +2

              Я не говорил что надо отменять наличку, а лишь что карты более безопасны. Наличку в россии надо оставить ради бабулек, которые привыкли хранить бумажки под подушкой и искать мелочь на кассе.
              Неужели ресурс скатился до того, что к финансированию террористов наличкой нужно приделывать тег <сарказм>?

              Я уверен, что мой счет в банке кто-то защищает от взломов и других угроз, а пачку бумаги из сумки в этой стране может вытащить кто угодно абсолютно безнаказанно и необратимо. Я и сам бумажки потерять могу.
              Пользоваться сейчас наличкой — это все равно что хранить важные данные на домашнем компе без бэкапа. А банк — это как облачный провайдер.


              1. wulfdog
                14.06.2016 23:31

                не знаю, не знаю
                формулировки комментария совсем не оставляют места для сарказма


                1. severgun
                  15.06.2016 10:56
                  +1

                  Сложно вам здесь.


              1. bromium
                15.06.2016 10:54

                Забавно: «кто-то» защищает (не знаю, кто, но кто-то ведь должен!). Действительно, как хорошо жить в Вашем мире. В сети полно примеров, когда человек, потеряв деньги, остантся один-на-один с проблемой, а банк сразу самоустраняется.


                1. severgun
                  15.06.2016 10:57
                  +1

                  потеряв кошелек с наличкой вы остаетесь один на один с пустотой.


                  1. bromium
                    15.06.2016 11:00
                    -1

                    А разве с этим кто-то спорит? Другое дело, что люди склонны делить на черное и белое: типа, наличка абсолютное зло, а карты — абсолютное добро. В жизни все гораздо сложнее…


                1. bazis13
                  15.06.2016 11:02

                  Я вам из личной жизни могу привести примеры, когда у меня крали наличку, а милиция сразу самоустранялась.
                  С банком какой-никакой шанс есть.
                  Статистику искать не буду, но мне кажется, что % возвратов банков по украденным картам больше, чем возвратов украденной налички.
                  Опять же, карты — не 100% защита, но там есть хотя бы различные инструменты, вроде лимитов, разных счетов, страховки, паролей, шифрования. У налички нет ничего, даже надежной защиты от подделки — только механический замок и ваша бдительность защищают сбережения.


                  1. bromium
                    15.06.2016 11:11
                    -2

                    Меня не надо вгитировать, я пользуюсь преимуществеено картами с бесконтактом, кстати. Просто бросаться из стороны в сторону не стОит: страховка покрывает не все, банк может оказаться отнюдь не клиентоориентированным. В некоторых торговых точках карты не принимают. Потому я против лозунгов «давайте откажемся от одного в пользу другого». Все имеет свои преимущества и недостатки. Да, и не забываем: при любой оплате картой вы всегда платите посредникам, то есть скрытая комиссия так или иначе присутствует (не важно, где: заложена в стоимость товара, обслуживания и т. п.) С наличкой вы не платите посредникам (ну, или существенно меньше)


                    1. bazis13
                      15.06.2016 12:10
                      +1

                      «банк может оказаться отнюдь не клиентоориентированным» — бегите от такого сразу же.
                      Да, при оплате картой надо платить 2-3% комиссии банку. Но для налички нужно купить кассу с ящиком для денег, нужно каждый день проводить инкассацию, что тоже не бесплатно. Еще постоянно есть риск ограбления кассы, который с картами исключен.

                      «В некоторых торговых точках карты не принимают.» — это только вопрос времени. Уже сейчас никто не мешает узаконить и упростить прием карточек через дешевую приставку к смартфону. Раньше и дорог для машин не строили, но это же не повод был от них отказываться.


                1. Vjatcheslav3345
                  15.06.2016 12:40

                  банк — наличка
                  СЧЁТ
                  1:1?


              1. severgun
                15.06.2016 10:56

                ресурс всегда таким и был.


          1. ShtAnigga
            15.06.2016 13:38

            "Не представляю, как люди с ней спокойно ходят."
            Если это про физическую безопасность — курсы самообороны или навыки боевых искусств(исключительно на случай грабежа\разбоя)


            1. bazis13
              15.06.2016 13:45

              В основном кошельки пропадают незаметно. А если разбой — то инкассаторам нужны аж автоматы, а не только курсы обороны.
              Надо внести их в список исчезающих профессий… Перевозить бумагу на бронированных грузовиках… И это в наше время, когда обычного paypal людям мало и придумывают биткоины.


      1. TreyLav
        14.06.2016 16:24
        +2

        <vanga_mode> Простите, Вы из той породы людей, что используют карту как «ту штуку, с помощью которой я вытаскиваю свою зарплату наликом из шайтан-коробки „Сбербанка“»? </vanga_mode>
        В моём мире брать с собой карту — необходимость каждодневная, коммунизм ещё не наступил. И даже если это отдельная дебетовка с небольшим балансом (на каждый день) кража данных — малоприятная ситуация.


      1. Leo7777
        15.06.2016 09:24

        Для этого достаточно иметь карту для расчетов в магазинах и онлайн покупок, сумма на которую переводится перед самой покупкой. На счету данной карты есть небольшая сумма для мелких трат, потеря которой не является существенной, карту можно иметь даже обезличенную.


        1. ploop
          15.06.2016 15:43

          Параноики могут носить карту без RFID, чуть ниже удобство, но безопасно.
          У нас, например, всего один банкомат понимает такие карты, ни в одном магазине подобного нет. Благо, цивилизация дошла, почти во всех магазинах хоть карты стали принимать, а то приходилось налик таскать.


          1. Leo7777
            16.06.2016 09:14

            Сейчас все стараются карты выпускать с бесконтактной оплатой, типа это круто. Теперь у новых карт нет даже своего счета, она напрямую завязана на банковский счет, поэтому если мошенник получил доступ к карте с пин кодом, можно лишиться сразу всего что есть на счету. Теперь для безопасности приходится либо открывать дополнительный счет, либо накопительный, либо вклад с возможностью снятия и пополнения.


            1. ploop
              16.06.2016 09:50
              +1

              У меня, например, две карты: зарплатная (локальная, действует в пределах региона), лежит дома и на её счету хранятся крупные суммы (относительно крупные, открывать вклад из-за них смысла не имеет), вторая — для пользования, как интернет-покупок, так и для оффлайновых. Раз в неделю перекидываю на неё 2-3к на продукты, либо разово крупную сумму если что-то задумал дорогое купить. Как-то так.


            1. artoym
              16.06.2016 10:15

              Банковская карта и так представление счёта в банке. Вы можете перевести либо по номеру карты, либо номеру банковского счёта. Мой банк позволяет настроить необходимость ввода пинкода при бесконтактной оплате. Хранить деньги на вкладе, а не на карте разумно, потому что там они будут приносить больший доход.


              1. ploop
                16.06.2016 12:04

                Очень часто на тематических форумах, в темах, где люди друг другу продают/покупают разные штуки, оставляют в открытом виде номера карт. Меня всегда это очень удивляло — нафига светить номер карты, когда можно оставить номер счета?


                1. AVX
                  16.06.2016 14:47
                  +1

                  А потому что для перевода по номеру карты нужно ввести только сумму и номер карты. А для перевода по счёту нужно вводить и БИК банка, и номер счёта, и корр.счёт, и иногда ИНН ещё, и хз что ещё. В принципе, можно и оставить ТОЛЬКО номер карты. И не поддаваться на дальнейшие уговоры и уловки «у меня банк ещё и срок действия карты требует», «надо указать ФИО, что на карте», или самое наглое (редко, но бывает): «пришлите три цифры на обратной стороне которые, без них деньги не отправляются». Но народ ведётся, да. И сами же отправляют дополнительные сведения. Конечно, эти сведения можно и другим путём получить (ФИО легко из соц.сетей найти, или просто спросить, дату — тупо подбором).
                  Когда человек что-то очень хочет продать, а покупателей не очень-то много — то скорее согласится с тем способом оплаты, что предложит покупатель (всё тот же перевод по номеру карты).


                  1. Eklykti
                    16.06.2016 14:52
                    +1

                    К тому же перевод по номеру карты доступен мгновенно, а банковский по номеру счёта может идти до нескольких дней.


                    1. AVX
                      16.06.2016 15:11

                      Перевод по номеру карты тоже может до 3х дней идти, если в разных банках. ВТБ -> сбер, например, не сразу проходит — от 3 часов до пары дней.


                      1. Eklykti
                        16.06.2016 15:12

                        Ну это проблема конкретно сбера, во многих других банках мгновенно.


                        1. Alexeyslav
                          16.06.2016 15:37

                          Мгновенно только если на карту того же банка или сети банков. Иначе, банк инициирует тот же самый банковский перевод и жди положенные три дня…


                          1. ploop
                            16.06.2016 15:39

                            Именно так. Но три банковских дня — это максимальный срок, в основном и обычные межбанковские переводы прилетают за несколько минут.


                          1. Eklykti
                            16.06.2016 17:49

                            Не обязательно, по карточным платежам банки между собой рассчитываются по общей сумме транзакций туда-сюда, но лично у меня например при поступлении платежа им сразу можно пользоваться. На счёте при этом может показываться минус, если деньги за покупку спишут раньше, чем рассчитается банк отправителя, но баланс карты считается отдельно и никаких дополнительных проблем это не вызывает.


                            Я, правда, не в России, но думаю, что там банки тоже такое умеют.


                            1. ploop
                              17.06.2016 00:46

                              При покупках то же самое: баланс карты уменьшается моментально, у продавца появляется моментально, хотя физически банковской транзакции ещё не было, у покупателя просто сумма на счете блокируется, продавец видит приход по платёжной системе, а на реальном счёте пусто.
                              А дальше банки спокойно эту сумму(ы) переводят между собой банковской транзакцией.


                  1. ploop
                    16.06.2016 15:05

                    Ненене. Народ в основном оставляет номера карт сбера, как самые распространенные. Там можно сделать перевод 1) по номеру карты, 2) по номеру счета, 3) по номеру телефона. Если вместо карты оставить номер счета — дополнительных реквизитов не надо. Скопипастил и всё, тебе показали имя-отчество и первую букву фамилии получателя, если норм — переводишь. Ничем не отличается от перевода по номеру карты.

                    Хотя я много раз делал переводы в другие банки, по полным реквизитам. На самом деле это дольше секунд на 30, максимум на минуту. Там всё автоматом подтягивается, просто глазами пробежаться по последним цифрам и всё. Т.е. ввёл БИК — автоматом притянулись все реквизиты банка, ИНН, КПП и что-то там ещё. Дальше номер счета и ИНН получателя если нужен — готово.


    1. Kirillko312
      14.06.2016 17:03

      Уже лет 5 создаются экранированные кошельки, портмане, чехлы для паспортов, небольшие сумки и тд.

      RFID blocking wallet фраза для поиска


      1. severgun
        15.06.2016 10:59

        У меня только один вопрос. А какой смысл бесконтактных карт если их все равно нужно вытаскивать?


  1. deniska_che
    14.06.2016 14:47
    +3

    свинцовый кошелек :)


    1. Anshi85
      14.06.2016 16:14
      -4

      Не забудьте еще и шапочку из фольги на голову одеть, тогда кардер точно поймет, что вы человек защищенный и не подойдет к вам.


      1. PocketSam
        14.06.2016 16:28
        +1

        Не факт, что это сработает. На самом деле шапочка порой дает обратный эффект. В MIT в 2005 проверяли. :)


      1. Anshi85
        15.06.2016 06:15
        -9

        Как же достали тупые ублюдки, которые минусят но при этом не могут объяснить причину минуса, наверное мозги заплыли от горячего пукана.


        1. severgun
          15.06.2016 11:00
          +6

          Ну например за то что вы быдло.


          1. Anshi85
            15.06.2016 15:07
            -1

            И где же это видно? Обоснуйте свои слова.


            1. JerleShannara
              15.06.2016 16:29

              Ну к примеру получив пару минусов сразу начать орать, что кругом одни д'артаньяны не является признаком интеллигента, читающего умные книги.


              1. Anshi85
                16.06.2016 08:44

                Если бы минусы были обоснованы или скажем написали, я поставил тебе минус потому что считаю тебя быдлом не читающим книги, но складывается такое умозаключение, что тут сидят люди нахапавшие кармы и теперь просто ставят минусы всем без разбора, опять же как можно определить по посту читает ли человек «умные» книги или нет? Как определить «умность» книги? Этот параметр очень размытый, каждый решает для себя полезна ли ему эта книга или же нет, так что считаю ваше сообщение тоже не совсем корректным.


                1. AVX
                  16.06.2016 09:01

                  Вы, видимо, мало читали GT/H — не один раз писалось об этой карме и прочем. Конкретно про поведение здешних обитателей — если получили минус, не надо сразу вопить и ругаться («за что бл** !!1111»), это только приводит к дополнительным минусам, в т.ч. и в карму. Лучше исправить свой последний комментарий, если минусы были (предположительно) из-за него, и времени немного прошло, и забыть. Или просто не обращать внимания, а набирать плюсы хорошими комментариями и написанием статей. Тем более после недавних нововведений, когда можно плюсовать и тех, кто сейчас в минусе (раньше нельзя было).


  1. tmin10
    14.06.2016 14:51

    Ещё раз повторю свой комментарий: появление такие устройство вопрос времени, для повышения безопасности нужно копать в сторону того, откуда у злоумышленников появились закрытые ключи для платёжных карт, ведь без таких ключей карту прочитать просто нельзя. Или же имело место использование уязвимостей?

    P.S. Зачем та USB3? Неужели с карт считываются гигабайты данных, а не несколько килобайт служебных полей?


    1. Mirrandin
      14.06.2016 15:27

      USB используется для зарядки батареи.
      USB 2.0 ток — 500 мА, против USB 3.0 — 900 мА.


      1. AMIluvatar
        14.06.2016 16:00
        +1

        Это если следовать спецификациям. Однако это не мешает существовать зарядным устройствам, выдающим по 2.1А по обычному USB2.0 кабелю :)


        1. Kirillko312
          14.06.2016 17:07

          имеется в виду ток при подключении к компьютеру, я так понимаю.

          Есть и устройства, поддерживающие quick charge (там напряжения и токи другие), в формфакторе usb.


      1. sergiy2303
        17.06.2016 12:45

        Не знаю с чем это связано, но не все порты USB выдают показатели питания согласно спецификации. Например все порты USB моего Dell Inspiron N5110 выдают 1.2А. Не зависимо от версии порта. Замерял лично, мультиметром при зарядке литий полимерных аккумуляторов.


        1. ploop
          17.06.2016 15:36

          Держал в руках материнку, где линии питания USB были напрямую посажены на шины питания 5В от БП. Просто напрямую, без всяких ключей и защит. С них хоть 20А снимай, пока БП в защиту не уйдёт или разъём не сгорит.

          Так что да, спецификации есть, но мало кто им следует.


          1. sergiy2303
            17.06.2016 16:24

            Так это ж круто, а то 500 мА как то мало. Особенно когда используешь внешний винчестер, или нужно телефон зарядить.


            1. ploop
              17.06.2016 16:58

              Круто, до тех пор, пока дешевый китаский шнур не замкнёт и не устроит пожар :)
              БП может и не вырубить, если мощный, а 10-15А для возгорания трёх волосков достаточно.


              1. Alexeyslav
                17.06.2016 23:48

                Я как-то замкнул 5В на колодке IRDA, там напрямую с блока питания шло. Защита отработала на 5 баллов — даже искры небыло, предохранителем выступили силовые транзисторы в высоковольтной части…


                1. ploop
                  18.06.2016 11:50

                  предохранителем выступили силовые транзисторы в высоковольтной части…

                  Отличная защита! :)


    1. severgun
      15.06.2016 11:02

      в 2016 найти чип с usb 3.0 наверно проще чем с usb 2


    1. gsaw
      17.06.2016 12:45

      И еще вопрос, что делать потом со считанными данными? Платежи же надо проводить через банк в любом случае. То-есть нужен контроль в банке, через который все списывается, а не шапочка из фольги.


  1. amarao
    14.06.2016 15:00
    +2

    CNP-платежи — головная боль магазинов, экваеров и банков-эмитентов. Любая CNP-транзакция может быть оспорена в пол-пинка и у экваера нет никаких доказательств проведения платежа. Этот тот тип фрода, который может немного помотать нервы, но относительно безвредный.

    Не надо путать с ситуацией, когда тырят pin & card, в этой ситуации деньги снимают с банкомата, и вероятность их оспорить — микроскопическая.

    CNP = card not present.


    1. severgun
      15.06.2016 11:03

      Деньги снимают в балаклавах?


      1. amarao
        15.06.2016 11:57

        Какая разница? Даже если баз балаклав.


      1. JerleShannara
        15.06.2016 16:34

        А нафига балаклава нужна?
        «Есть работа — покупка и пересылка товаров, как вы понимаете, не каждый житель нагонии может взять и купить ипхон 6 в США/Англии/ВставьтеСюдаЕщёГде, наш сервис помогает им купить телефон почтой. Нам нужны курьеры, которые будут покупать телефоны и отправлять их в наш центр исполнения заказов.»

        «Мы обеспечиваем бесперебойную работу наших курьеров. Но поскольку мы не очень доверяем им работу с фирменными кредитными картами нашей компании, то нам срочно нужны люди с хорошей репутацией (мы её проверим), для выдачи наличных денег курьерам».

        И по этим объявлениям гребём мулов лопатой.


  1. Eklykti
    14.06.2016 15:17
    +7

    Эмм, а разве идея чиповых карт не в том, что закрытый ключ от карты хранится на чипе и прочитать его оттуда невозможно, не разбирая чип? В таком случае это либо очередная страшилка для хомячков, либо какой-то конкретный банк ставит заведомо дырявые чипы, и туда должны придти добрые дяди с проверками.


    1. ProRunner
      14.06.2016 16:03
      +1

      Это не платеж с использованием чипа. Это бесконтактная оплата (MasterCard PayPass и Visa payWave). Работает она далеко не на всех картах.


      1. Eklykti
        14.06.2016 16:04
        +3

        А разве NFC не по тому же принципу работает? Какой ещё, нафиг, RFID в банковской карте?


      1. zapimir
        14.06.2016 16:49

        А в бесконтактной оплате разве нет электронной подписи (какого-нибудь HMAC) с ключем который зашит в карту и прочитать его невозможно?


        1. ProRunner
          14.06.2016 17:00
          +2

          Чип все-таки используется. Вики говорит:

          Технология PayPass предотвращает прямое считывание содержимого чипа RFID, в том числе ключей шифрования. Чип не содержит в себе имени держателя карты, но можно считать номер карты и срок её действия, чего, как правило, недостаточно для проведения операций в интернете при запросе добавочного кода CVC2 с обратной стороны карты и имени её держателя. Для каждой операции бесконтактной оплаты на основе хранящихся в защищённой области чипа секретных тройных 112-битных ключей по алгоритму шифрования DES и реквизитов карты её чип динамически генерирует одноразовый код, являющийся подтверждением платёжной операции.[10] Если постороннее лицо сможет считать такой код до его использования, это позволит создать один клон карты с магнитной полосой. В случае когда оригинальной картой этот код используется раньше, то будет сгенерирован новый код подтверждения и скопированный для клона уже будет недействителен


          1. Darth_Malok
            17.06.2016 12:45

            Не могу найти информацию, везде реклама… Насколько я знаю, пассивный RFID работает довольно просто — при запросе чип отдаёт какую-то последовательность данных. Без какой либо проверки, без каких-либо протоколов безопасности, типа «скажи код» — «код 123456». Для сложного взаимодействия уже нужен источник питания. Всё-таки что-то придумали новое, и RFID PayPass отдаёт каждый раз разные данные и сохраняет что-то в своей энергонезависимой памяти? Иначе, что мешает записать ответ чипа и отдавать его терминалам?


            1. Alexeyslav
              17.06.2016 14:10

              Там целый микроконтроллер. Сначала считыватель накачивает энергию в карточку, и этого достаточно встроенному контроллеру чтобы просчитать ответ и передать его считывателю.


      1. kykint
        14.06.2016 16:58
        +2

        Нет тут подразумевается не безконтактная оплата, а именно получение номера карты для использования в CMP транзакциях. payPass/payWave не копируется на другую карту, т.к. при них подписываются конкретные транзакции закрытым ключом внутри карты, который скопировать невозможно.


  1. Calvrack
    14.06.2016 15:22
    -3

    Отмечу, что для внешнего, технически не подкованного наблюдателя этот пост мало отличается от документалки vice про шоплифтинг — описывает методы и поцедуры проведения мошенничества.
    Vice за это заблокировали на территории России. Наверное статье нужен дисклеймер.


    1. severgun
      15.06.2016 11:06

      Там он не помог же


  1. semmaxim
    14.06.2016 15:23

    Не совсем понял. «Владельцы устройства без проблем расшифровывают данные при помощи прилагаемого к Х5 программному обеспечению.» Это какое такое «шифрование» на карте, что его можно вскрыть на домашнем компьютере? Или RFID светит этими данными в открытую?


    1. Intercross
      14.06.2016 16:05
      +1

      Про шифрование говорилось, что само устройство шифрует скопированные данные, которые впоследствии расшифровываются специальной утилитой. Мошенники и то больше заботятся о безопасности, чем некоторые крупные корпорации.
      А вот к вопросу насчёт RFID присоединяюсь.


    1. Zubius
      14.06.2016 16:23

      Имеется ввиду, что само устройство X5 шифрует считанные с карты данные.


    1. zapimir
      14.06.2016 16:47
      +1

      Какое шифрование, там явно электронная подпись (какой-нибудь HMAC), ключ для которой нельзя прочитать из карты штатными методами, т.е. по тому же NFC (если конечно там нет «дырки»), а расшифровывать электронную подпись — можно пожелать удачи.


  1. syslinux
    14.06.2016 15:50

    После прочтения не забудьте изготовить шапочки из фольги для своих карт =)


  1. AVX
    14.06.2016 16:19
    +3

    По поводу «шапочки» (то есть, чехла) для карты — кто-нибудь знает, каков размер антенны в карте, поддерживающей бесконтактную оплату? Ведь можно обрезать карточку до размера антенны (ну и электроники, если она за пределами антенны), и хранить карточку где-нибудь под крышкой батареи смартфона. Для современных проблем наверное не будет — они достаточно широкие, а вот у меня nokia c5-00 — туда никак не впихнёшь — телефон размером меньше карточки. А то можно было бы хранить в телефоне — металл везде, особо-то не просканируешь.

    Или вот ещё идея для производителей карт — надо делать в каком-то месте карты типа мембранной кнопки, которая разомкнута изначально, а при нажатии пальцем — восстанавливает цепь антенны (без которой не будет работать). Надо платить — просто взять карточку, нажав пальцем в нужную точку. Не надо платить — кнопка разомкнута, просканировать не получится.


    1. electronus
      14.06.2016 18:06

      Посмотрите на просвет карту, под мощным источником света. Увидите антенну


      1. AndrewTishkin
        14.06.2016 20:13

        Даже если пластик выкрашен чёрным цветом? Это каким же прожектором его просвечивать надо? Самому похоже нужно одевать очки для сварки при этом…


        1. electronus
          14.06.2016 20:52
          +1

          А вы попробуйте.
          Светил 1000лм фонариком на XMLt6


        1. Mad__Max
          15.06.2016 02:48

          Прожектор можно заменить светодиодным фонариком дающим узкий луч с плоскими краями вокруг стекла/линзы (чтобы можно было плотно прижимать к карте, не светя сильно «по сторонам») + темную-темную комнату (например ванную с выключенным светом) в которой посидеть несколько минут пока чувствительность глаз не вырастет на несколько порядков адаптируясь к темноте.

          А пока глаза настраиваются, чтобы нескучно было — в качестве тренировки вспомнить детское развлечение: сделай «рентген» ладони и пальцев при помощи фонарика. На просвет хорошо все косточки и сосуды (почему-то даже лучше костей) видно.


    1. vskv
      14.06.2016 18:40
      +1

      Антена у таких карт пошире чем nokia c5. В некоторых случаях она вообще по периметру карты идёт, то есть обрезать практически ничего не получится. Хотя те стикеры, с которыми я сталкивался, были такого размера, что спокойно разместились бы даже на более узкой C2-00.
      Стикеры это те же самые contactless карты, но уменьшенного размера, как раз для того, чтобы клеить на телефон.

      Карты с кнопками — дорого. Дешевле всех на смартфоны с NFC загнать.


      1. AndrewTishkin
        14.06.2016 20:14

        На Хабре был пост про препарирование карты Яндекс.Денег, там как раз антенна оказалась идущей по периметру


        1. AVX
          14.06.2016 22:06

          О, вот у меня как раз от Яндекс.Денег. Погуглите за меня, пожалуйста. В смысле, дайте ссылку на статью.


          1. AndrewTishkin
            14.06.2016 22:14

            яндекс.деньги хабр карта — вторая ссылка в выдаче гугла
            Внутренности карты Яндекс.Денег
            ЯД теперь сам эмитентом стал, так что может быть новый пластик устроен иначе
            (на старых на обороте поминается GEMALTO SGP, на новых — ALIOTH)


    1. AndrewTishkin
      14.06.2016 20:25

      Или вот ещё идея для производителей карт — надо делать в каком-то месте карты типа мембранной кнопки, которая разомкнута изначально, а при нажатии пальцем — восстанавливает цепь антенны
      На фоне того, что уже делают карты с дисплеями, показывающими генерируемый для инет-платежей CVx-код, отсутствие такой банальной кнопочки действительно выглядит очень странным.

      По поводу хранения в телефоне — так проще тогда уж начать дешёвые телефоны NFC оснащать и в самой памяти устройства виртуальные карты хранить, управляя передачей сигнала программно или в идеале тоже аппаратно, кнопкой


    1. electronus
      14.06.2016 21:07
      +1

      Вот пример как я уменьшал NFC карту. Вымачиваете в ацетоне и немного рукоделия
      https://dl.dropboxusercontent.com/u/2060672/publications/habr/IMAG1514%20(2).jpg


    1. volanddd
      14.06.2016 22:29

      А можно просто платить телефоном, причем функцию NFC включать только на кассе.
      Еще в том году так кассиров удивлял.


    1. severgun
      15.06.2016 11:08

      обрезайте обрезайте. Только потом не плачьте, что карта недействительна для обычных платежей и банкоматов.


  1. Greesha
    14.06.2016 16:19
    +3

    У человека в руках не «сканер», а серийный терминал, по виду VeriFone. Мы как-то раз специально командировали человека покататься с таким терминалом по метро, чтобы проверить возможность использования мобильной связи для проведения операций по картам на разных станциях. Но это было сравнительно давно, лет пять назад.


    1. vconst
      14.06.2016 16:47
      +1

      Более того, мошенник не стал бы так откровенно палиться, завернул хотя бы в обычный полиэтиленовый пакет с принтом


      1. severgun
        15.06.2016 11:10

        Сколько бабушек в трамвае знает что это такое?
        Ну а кроме бабушек никто тревогу не поднимет.


        1. vconst
          15.06.2016 11:24

          Только вот тревогу подняли не «бабушки», а так называемые «эксперты», которые имеют «экспертное мнение»: Новый вид мошенничества: в метро крадут деньги с банковских карт

          Сообщение о новом виде мошенничестве в московской подземке выложил в социальную сеть сотрудник лаборатории Касперского.


  1. r0geru
    14.06.2016 16:22

    Считывает данные только с магнитной ленты: имя держателя карты, номер и срок годности карты; и что с этими данными делать мошеннику?


  1. Jesting
    14.06.2016 16:28
    +3

    Устройство собирает только ту инфу которая отдаёт сама EMV-карта. Данных достаточных для проведения EMV-операции таким способом не добыть.
    Ту информацию что удастся считать(номер карты, срок действия) возможно будет использовать в тех интернет-магазинах, где нет проверки CVC/CVV (такие ещё остались). Абсолютное большинство таких операций можно будет оспорить и вернуть деньги.


    1. Oper124
      14.06.2016 16:57
      -1

      aliexpress например


      1. vskv
        14.06.2016 18:13
        +2

        У них при первой покупке не только CVC2, но и 3D-Secure проверяется.
        Вот при повторной, там да — никаких проверок. Просто нажать на «оплатить».


  1. dmitry_ch
    14.06.2016 16:50
    +1

    Начал читать заголовок, и понял — в таком стиле обычно пишет marks. Перевел взгляд под пост — точно он.

    А по теме — когда в банке выдали карту без функции бесконтактной оплаты, сначала загрустил было, что технологии меня минули, а сейчас смотрю — спасибо жабности банкиров!


  1. ivyinfinity
    14.06.2016 18:14
    +2

    www.youtube.com/watch?v=kp63MZ6RudE
    Отличное видео в тему


  1. bromium
    15.06.2016 11:04

    Через бесконтактную часть можно прочитать номер карты, срок действия, иногда имя держателя и список последних транзакций ( даже приложение на маркете есть). Как правильно отметили выше, cvc/cvv там нет. В чем новшество — не понятно — то есть юз кейс только в миниатюрности/удобстве устройства, чтобы считать незаметно данные карты и потом воспользоваться этими данными в сервисах, где нет проверки cvc и 3d secure, так что ли?


  1. mmMike
    15.06.2016 11:35

    Как то не ожидаешь на geektimes таких желтых статей, достойных совсем желтых газет.

    Ну если уж начал писать статью, то будь добр хоть немного в теме разбирайся (EMV платежи. В том числе и бесконтактные). Ну и вообще стиль автора статьи просто желтый желтый… и как раз характеризует уровень его технической грамотности.

    В корпусе находится 5-вольтовая батарея, заряжаемая посредством кабеля USB 3.0 (прилагается).


    Ага… "по этим изоляторам потечет ток в родной город" (подпись под снимком опоры электропередач)
    При определенной ловкости – сможет. Но черт, как обычно, кроется в деталях», — пояснил Александр Бородкин


    Ну все же он правильно и грамотно рассказал! Детали заключаются в том, что ничего особо с этой информацией и не сделаешь.
    Разве что продать наивным кардерам, покупающим "номера кредитных карт".
    Если раньше злоумышленники для этой же цели использовали довольно габаритные девайсы, которые можно было рассмотреть, то размеры этого устройства позволяют положить его в карман.


    Запихнули в ридер (по виду похож на ACR128) еще и платку контроллера с SD картой (дешево и просто).
    Развод наивных покупателей такого устройства, неспособных для Android телефона (c NFC) за пару часов простейшую программку написать.
    EMV спецификации не секретны. Программка считывания статических данных в рамках EMV транзакции проста.

    Если уж хочется данные карт собирать — поставь радом с терминалом (несколько метров) SDR приемник, да и слушай себе 13.56 МГц. T=CL не шифрован. SDR приемник копейки стоит. Только смысл?

    А продажа этой железки — это для "коооол хакеров"… Заработают на этом только продавцы этих железок.


  1. neskey
    15.06.2016 11:56

    Ну скопируют они nfc карту — а потом что. Нужно же еще найти где ей рассчитаться можно :) а это знатный квест. Не так давно потерял кредитку одного банка, блокировать не стал — выставил мизерные суточные лимиты и отключил платежи через интернет. Думал буду проводить оплату телефоном через приложение — пока не восстановлю карту, попробовал провести оплату в 3 федеральных продуктовых сетях — эффект нулевой. Единственное место где смог расплатиться терминалом — Мак Дональдс.


    p.s. Ради интереса звонил в горячую линию одного из ритейлеров — узнать поддерживают ли их ККМ paywave/paypass. Отправили писать письмо в поддержку — ответа нет 3й месяц.


    1. RussianNeuroMancer
      22.06.2016 14:04

      > Единственное место где смог расплатиться терминалом — Мак Дональдс.
      Какой вообще порядок использования приложения? Кассир вводит сумму и подносите смартфон? Или наоборот?


      1. neskey
        22.06.2016 15:21

        В единственном случае когда получилось, порядок был такой.
        1) Кассир вводит сумму,
        2) указывает что оплата бесконтактная,
        3) на экране терминале выводится информация о том что нужно поднести карту,
        4) в мобильном приложении выбираю бесконтактную карту, ввожу ее пин,
        5) подношу к терминалу.
        6) проходит списание.


        Думаю порядок действий сильно зависит от конкретного терминала.


  1. kao_kz
    15.06.2016 22:41

    Новость из разряда страшилок.
    В общих чертах, NFC это всего лишь беспроводной транспорт данных, точно также как контактная площадка чипа. И ничего более. В Америке до некоторых пор были популярны магнитные карты в силу наследия. Популярны и сейчас, но МПС эту ситуацию меняют. Таким образом, есть NFC карты с EMV, и NFC карты с MSR (mag stripe).
    Данные MSR статичны. И, судя по всему, это девайс предназначен именно для карт NFC MSR.

    Даже если считать какую-то информацию с NFC EMV карты, то в дальнейшем провести операцию по созданному клону будет невозможно, просто в силу спецификаций EMV (можно загуглить про сессионные ключи, сертификаты EMV, SDA/DDA а еще лучше почитать EMV Book 2 (спеки находятся в открытом доступе))

    Сейчас единственный известный мне способ сделать фрод чисто по NFC EMV карте — это проксировать сам NFC. По нему есть что-то вроде whitepaper. Но, естественно, это надо еще умудриться создать условия.

    Что касается CNP операций, то для них используется CVV2. В трэке для NFC идет CVV3 (по аналогии с iCVV для EMV)

    Поэтому я пока буду спать спокойно.


    1. Fuzzyjammer
      17.06.2016 12:56

      > В Америке до некоторых пор были популярны магнитные карты в силу наследия
      До сих пор. Даже новые большие красивые сенсорные терминалы читают только магнитку. В некоторых местах стоят терминалы с чип-ридером и антенной nfc, но они отключены, кассир просит провести карту полосой. За две недели (май сего года) меня просили вставить карту чипом только в Macy's и в одной кофейне.
      Считается, что убытки от карточного мошенничества в США меньше, чем будет стоить массовый переход на чип.


  1. mark_slepkov
    15.06.2016 22:41

    Я далек от темы кардинга, но неужели обмен данными между терминалом и картом нельзя шифровать ассиметричным ключом? в этом случае злоумышленник не узнает закрытого ключа и не сможет сделать копию карты. Это не спасет от чувака с настоящим терминалом, который держит его возле твоего кармана, но все же снизит риски.


  1. servermen
    16.06.2016 01:11

    — Значит, хорошие сапоги, надо брать.


  1. artemspitsyn
    17.06.2016 12:44

    А если использовать бесконтактную технологию платежей со сматрфона? Заранее привязать карты к телефону и не возить с их собой, а оплату осуществлять только с активации и подтверждения программы оплаты. Сделать NFC чип не активным постоянно, например.


    1. Alexeyslav
      17.06.2016 15:23

      Сделать эмулятор фейковой карточки и пусть сканируют. Или управляемый ЭМИ-генератор, который при попытке несанкционированно считать карту выдаёт короткий ЭМИ и просто сжигает входные цепи приёмника.
      Где-то не так давно мимо глаз проходила схема ЭМИ-генератора от батарейки на лавинном эффекте(лавинный пробой К-Э перехода транзистора КТ940 например), который давал помехи бытовой аппаратуре за 4 метра от антенны.


      1. Eklykti
        17.06.2016 21:03

        За помехи на 4 метра к тебе придут добрые дяди из доблестной полиции и конфискуют твой девайс нахрен, ещё и штраф выпишут.


        1. Alexeyslav
          17.06.2016 22:48

          Для начала, его надо обнаружить…
          Для надёжности замаскировать под скверно разведённый импульсный преобразователь…


  1. Erynnis
    17.06.2016 12:48

    Интересен вопрос легализации украденных таким образом денег.
    Допустим мошенник стащил данные карты и для коллекции купил себе на алиэксперссе леденец, который грыз Чак Норрис в третьем классе. Но при этом он или указывает адрес доставки, или получает в пункте выдачи по паспорту. В крайнем случае указывает номер телефона на который ему придет номер заказа. Что мешает поймать такого нехорошего человека?
    Еще более непонятна ситуация с воровством безнала с помощью переносного платежного терминала. деньги при этом попадают на счет, который никак не может быть обезличенным.
    Единственное, что мне приходит в голову — кражи на небольшие суммы расследуют не в первую очередь, и они могут долго пролежать в столе. Но по мне довольно зыбкая причина не переживать за свою свободу.


    1. ploop
      17.06.2016 15:42

      Еще более непонятна ситуация с воровством безнала с помощью переносного платежного терминала

      Вроде там смысл в том, что мошенники успевают слиться, пока жертва очухается и банк среагирует.