Платежное кольцо
Среди бесконтактных платежных украшений выделяется кольцо Kerv. Аксессуар представлен в красном, желтом, зеленом, черном, белом, синем и розовом цветах. Основатели технологичного украшения привлекли средства на свой проект с помощью краудфандинговой платформы Kickstarter, на которой запустили кампанию в октябре 2015 года. Аксессуар изготовлен из водонепроницаемого пластика и не требует подзарядки. В кольцо Kerv встроен NFC-чип, поддерживающий стандарт EMV. Технология позволяет осуществлять платежи, поднося аксессуар к бесконтактному считывателю.
Взаимодействие считывателя с кольцом происходит так же, как и с бесконтактной картой — устройство распознает зашифрованные данные на NFC-чипе и подтверждает операцию. Средства списываются с предоплаченного счета пользователя Kerv. Привязанное к клиентскому счету мобильное приложение информирует пользователя о расходах. В приложении Kerv установлено ограничение суммы платежа. При превышении заданного лимита приложение запрашивает ввод PIN-кода.
Функционал приложения Kerv предполагает настройку автоматического пополнения счета. А геолокационные опции позволяют указать домашний регион, в котором пользователи могут сэкономить на дополнительных комиссиях. Помимо платежей в точках продаж, с помощью кольца Kerv можно также оплачивать проезд в общественном транспорте и открывать электронные дверные замки.
После того, как проекту Kerv удалось собрать необходимую сумму с помощью краудфандинга, разработчики открыли на своем официальном сайте возможность для предварительного заказа бесконтактных платежных колец. Предполагаемая розничная цена аксессуара составит около 50 ?.
Чехлы, брелоки и стикеры
В ноябре прошлого года британская финансовая корпорация Barclays объединила усилия с сетью магазинов Topshop для запуска коллекции платежных аксессуаров Topshop x bPay. Линейка совмещает дизайнерские решения Topshop (оформление в виде головы сказочной рыбы, а также стилизацию под змеиную кожу и металл) и бесконтактные платежные технологии стандарта bPay от Barclaycard. В ассортименте представлены:
- Браслеты,
- Чехлы для смартфонов,
- Стикеры, которые можно наклеить на аксессуары или гаджеты,
- Брелоки.
Во все устройства встроен маленький бесконтактный чип bPаy. Помимо линейки аксессуаров Topshop x bPay дочерняя компания Barclaycard предлагает своим пользователям серию собственных носимых аксессуаров: браслеты, петлю для часов или фитнес-трекеров, брелок и стикер. Для клиентов с семьями существует специальное предложение — комплект аксессуаров, состоящий из платежного браслета, стикера и брелока.
Умные предметы одежды
В холодную погоду Barclaycard предлагает своим клиентам воспользоваться шерстяными перчатками со встроенным NFC-чипом. Данный подход позволяет сохранять руки в тепле, и при низкой температуре в этом его преимущество по сравнению с некоторыми другими способами идентификации.
bPay пошел дальше дополнительных аксессуаров, объявив осенью 2015 года о партнерстве с производителем одежды Lyle & Scott. Цель сотрудничества — представить куртку со встроенным в манжет правого рукава бесконтактным платежным чипом. Согласно замыслу разработчиков, владелец такого предмета одежды получает возможность оплачивать с помощью счета своей дебетовой или кредитной карты покупки на сумму до 30 ? в любой из 300 000 точек продаж по всей Великобритании. По данным на начало сентября 2015 года стоимость куртки составляла 150 ?.
Направлением «умных» бесконтактных предметов одежды занимается и Samsung. Среди разработок корейского электронного гиганта есть NFC-костюм, созданный совместно с брендом Rogatis. Помимо способности отслеживать пульс владельца и фиксировать его эмоции, умный предмет гардероба позволяет оплачивать покупки с помощью встроенного NFC-чипа. При этом нет необходимости ни доставать телефон, ни нажимать на экран умных часов. С помощью смарт-костюма пользователь также может разблокировать телефон, переключиться между визитными карточками и настраивать конфигурации гаджетов.
Браслеты и фитнес-трекеры
Кроме своего основного предназначения — фиксации характеристик физической активности пользователя (например, мониторинг сердечного ритма и автоматическое определение фаз сна), в фитнес-трекер Jawbone UP4 встроен также платежный функционал. Носимое устройство изготовлено из термопластичного полиуретана и представлено в разных расцветках. Девайс связан с мобильным приложением, в котором пользователи указывают данные своей карты American Express. Привязать можно только одну карту AmEx. Пользователь проходит процесс верификации карты лишь единожды.
Воспользоваться функцией оплаты с помощью Jawbone UP4 могут пока только держатели карт AmEx и только в США — в любой точке продаж, в которой установлен терминал для приема бесконтактных платежей.
Ограниченным платежным функционалом обладает и браслет Microsoft Band 2. Девайс предназначен для отслеживания физического состояния владельца, но при этом позволяет расплачиваться только за кофе в Starbucks. Для этого с помощью интерфейса браслета нужно подключить карту лояльности Starbucks, после чего на дисплее устройства появится штрих-код, который необходимо поднести к сканнеру на кассе кофейни Starbucks для автоматического списания средств. Как и в случае с Jawbone UP4, платежный функционал Microsoft Band 2 ограничен территорией США.
Еще один смарт-браслет — проект разработки Nymi Band, которая также оснащена технологией NFC. Девайс позиционируется не только как фитнес-трекер, но и как средство идентификации пользователей по сердечному ритму.
Менее функциональные и предназначенные для платежей браслеты внедряет на массовых мероприятиях Visa. Этой весной воспользоваться бесконтактными браслетами от американского платежного гиганта и компании, специализирующейся на цифровой безопасности Gemalto, могли гости «Евровидения», проходившего в Стокгольме. Летом бесконтактные аксессуары от Visa были доступны спортсменам, принимавшим участие в Олимпийских играх в Бразилии.
Среди российских банков NFC-браслеты предлагает Альфа-Банк. К аксессуару прикрепляется уменьшенная в размерах карта Альфа-Банка «мини-таг». Не превосходящий по своим размерам SIM-карту «мини-таг» привязан к счету клиента Альфа-Банка, оформившего молодежную карту Next. Браслеты доступны в черном, желтом и красном цветах.
Нательная наклейка
Нательная наклейка представляет собой отдельный класс платежных аксессуаров. Видимо, данный тип бесконтактного платежного инструмента рассчитан на тех, кто не хочет обременять себя лишними устройствами. Подобное решение под названием WiSP (Wearable Interactive Stamp Platform) представила медицинская технологическая компания MC10 в партнерстве с компанией PCH. WiSP — эластичная наклейка на кожу с NFC-чипом. Технология может синхронизироваться с другими устройствами, позволяя таким образом определять личность пользователя и затем совершать операции.
Платежный маникюр
Экзотическое решение представила студентка колледжа искусств Central Saint Martins Люси Дэвис. Девушка встроила в свой ноготь RFID-чип, привязанный к лондонской транспортной смарт-карте Oyster. Дэвис учла цветовую гамму оригинальной карты в своем акриловом накладном маникюре.
Прогнозы
По прогнозам исследовательской компании Juniper Research индустрия умных носимых устройств будет активно развиваться в ближайшие годы и к 2019 году составит более 53 миллиардов долларов США. Это означает, что пропорционально рынку носимой электроники будет увеличиваться и объем платежей со смарт-аксессуаров. Платежный функционал становится неотъемлемым элементом умных носимых устройств: от наклеек и брелоков до фитнес-трекеров и часов.
Комментарии (36)
sashas
22.11.2016 19:23В Испании, где большинство новых карт имеют чип, недавно началась паранойя на эту тему. В кругах ИБ многие думают что можно просто так получить терминал и тырить деньги. Местный Ростелеком-телефоника даже раздавал на конференциях специальные чехольчики для карточек…
shape
23.11.2016 12:36на самом деле паранойя небезосновательна.
Терминал не нужен. Бесконтактного NFC ридера хоть даже встроенного во многие мобилки будет достаточно.
Как минимум элементарно извлекается приличный список карточных параметров включая имя кардхолдера, номер карты, иногда Track 2 эквивалентные данные (не то же самое что на магнитной полосе, но все же). А в некоторых регионах (штаты, ближний восток) допускается использование безконтактных карт с магнитным профилем (contactless-swipe). Да и Эквайеры иногда такое изобретут минимизируя стоимость транзакции что плакать хочется — без реальной валидации этого трэка в платежной системе, иногда без онлайн валидации вообще, что необходимо при использовании contactless-swipe с динамическим кодом в Track 2.
Так-что задуматься о сохранности своих карточных данных все-же стоит и чехольчик из фольги надеть.
Заклеить магнитную полосу с CVV/CVC на обратной стороне тоже не помешает.
Barafu
22.11.2016 21:25Имею Мастеркард с PayPass и привязанныое к ней же платёжное приложение в мобильнике.
В одном строймаге касса не читает мою карту PayPass, но читает бесконтактный платёж с мобильника. В другом строймаге читает карту, но бесконтактный с мобильника принимается, но не проходит. В сетевом продуктовом кассир отказывается включать оплату по карте, пока не продемонстрируешь карту, так что мобильником оплатить может быть и можно, но со скандалом. В другом продуктовом при использовании бесконтактного платежа всегда сумма снимается 2 раза, потом через неделю лишнее возвращается. На Ж/Д платформе торговый автомат принимает и карты и мобильники, но прислонять надо пару минут, попутно отмахиваясь от опаздывающей очереди.
Удобно, чего уж там. Новый век, чего уж там.lonelysuch
23.11.2016 09:27Вам как-то особенно не везет.
Даже в той деревне, где я сейчас нахожусь, нет проблем с бесконтактной оплатой. Хоть картой, хоть телефоном, хоть Типстером, хоть ногтями или тамагочи.
В первый раз смотрят подозрительно, но это пока чек не вылез из кассы.Tomasina
23.11.2016 20:55Большинство людей далеки от IT-гиков и очень доверчивыSinsI
22.11.2016 21:30А нет аксессуаров, где был бы физический переключатель, чтобы снятие средств было возможно только при его активации?
И хотелось бы что-нибудь такое-же для смартфонов, чтобы доступ к деньгам был только через физически изолированный режим, с предварительным подтверждением снимаемой суммы.Tabernakulov
23.11.2016 11:55Ряд аксессуаров, перечисленных в этом материале, носят пилотный «характер», если можно так выразиться. Платежная функция в каждом из них предназначена для соответствующей POS-инфраструктуры. Поэтому тут вопрос настраиваемой активации и выбора других опций — это, вероятно, следующий этап после того, как носимые девайсы укоренятся в потребительском обиходе. Пока эти технологии находятся на стадии развития во всем мире, а в России в особенности.
Jetmanman
23.11.2016 08:48Недавно услышал, что бомжи в Бразилии каким-то образом обладают терминалами и попрошайничают таким образом, предлагают перечислить им денег через карточку. Так что есть возможности снимать деньги с помощью таких терминалов незаметно в транспорте. Во всяком случае не стоит исключать это, если скимеры и целые накладки на банкоматы не стесняются делать.
Leo7777
23.11.2016 09:29Еще в старом американском фильме 20 летней давности был такой эпизод. Это у нас не просто получить, за бугром все намного проще. А если фирма оформлена в офшорной зоне на местного жителя, думаю что шансы вернуть краденные деньги равны нулю.
Zzzuhell
23.11.2016 09:05Кольца, перчатки — хорошо. Наклейки — вообще чудесно. Слыхал, есть и импланты под кожу (супер!). Но все разбивается о Московский Метрополитен.
Мне нужно не забывать дома проездной на метро. Это первая и главная задача. Если я забуду дома платежную карту — ничего ужасного не случится, в крайнем случае на работе без обеда один день побуду. Но забытие проездного — это форсмажор: надо стоять очередь за обычным билетом (который, к слову, дороже). А если забыл дома еще и кошелек с карточкой и наличкой — придется возвращаться, что чревато опозданием. Я это все веду к тому, что носить на себе (в виде браслета, кольца или импланта) лучше всего проездной на транспорт.
Но вшить под кожу карту «Тройка» нельзя — она очень большая. Скопировать карту и прошить ее в стороннюю RFID-метку — трудоемко и нелегально. Ждем брендированных колец от Метрополитена и РЖД?Zzzuhell
23.11.2016 09:09UPD: Еще один кейс — соц.карта с правом бесплатного проезда. Думаю, продвинутые пенсионеры (кстати, соц.карты получают не только пожилые люди) были бы рады заменить карту на более удобный тег. Но нет. Есть запрет на клонирование билетов. А еще контролер метро имеет право попросить предъявить карту (чтобы убедиться, что ты — тот самый льготник). А на кольце фотку не напечатаешь :(
shape
23.11.2016 11:39фотка также кладется в электронном виде на чип, как и другая биометрия. Стандарты не новые. Смотрите в сторону DOC 9303 — Machine Readable Documents aka ISO 7501 — Identification cards, Machine Readable Travel Documents.
shape
23.11.2016 11:48само собой у контролера должен быть терминал с дисплеем, сканером отпечатков, етс по необходимости. Ну или как минимум аналог андроид приложения для чтения MRTD/MRZ данных.
Zzzuhell
23.11.2016 12:55У контролера обычно с собой нарукавная повязка и проверяет он сходство моей мордуленции с фото на карте. Это если мы про метро говорим, в электричках у них мобильные терминалы. Хотя на бумажных билетах все равно шариковой ручкой пометки делают :)
shape
23.11.2016 13:44ну мы же сферического контролера в вакууме обсуждаем. Который будет электронное фото из NFC аксессуара, выводимое на дисплее "мобильного валидатора", сверять с пассажиром. ))
А то конечно, все студенты сразу понадевают бабушкины социальные кольца и браслеты. )
cigulev
23.11.2016 13:42Сервис «Мобильный билет» к вашим услугам — http://moskva.beeline.ru/customers/products/mobile/services/details/mobilnyy-bilet/
Zzzuhell
23.11.2016 13:54Наступили на больную мозоль. Планировал про этот мобильный билет даже отдельную статью писать на ГТ.
Начнем с простого: не во всех смартах есть NFC. Пункт второй: даже если он есть, не факт что он поддерживается этим самым мобильным билетом (на сайте есть куцый список поддерживаемых моделей).
Антенны NFC, которые продавались в МТС и, по заверению оператора, добавляли функцию мобильного билета в любой не-NFC аппарат — фикция. Купил такую штуку, попробовал на нескольких девайсах (как смартфонах, так и телефонах) — не взлетает. Кстати, если кому надо — в МСК могу подарить для экспериментов такую антенну…
В итоге протестил функцию на всем имеющемся парке устройств и у всей «большой тройки» — не заработала. Может это мне так не везет, но тем не менее.
Ну и три последние засады:
— мобильный билет привязан к телефону, который тоже можно забыть дома
— не решаема проблема записи льготных проездных
— на мобильный билет нельзя записать всякие хитровысушенные билеты типа 60 поездок. Там доступно 1 или 2 не самых выгодных тарифа.
shape
23.11.2016 14:07Это «Специальная SIM-карта «Билайн»».
Что используется с карты для валидации? Что в протоколе обмена с терминалом?
и наконец — Зачем нужна прослойка в виде разряжающегося NFC мобильника когда платежное приложение в теории можно запихнуть прямо на симку?
Спецификации в студию, а после уже поговорим о возможности симуляции.
PS. я за то чтобы безопасность обеспечивалась алгоритмами, а не очередной формой девайса.Zzzuhell
23.11.2016 14:18Это «Специальная SIM-карта «Билайн»»… Что используется с карты для валидации? Что в протоколе обмена с терминалом?
Не знаю, помогу ли вам, но «специальность» карты, на мой взгляд, только в добавлении в SIM-меню приложения «Мобильный билет». Кстати, таких специальных карт у меня три, по числу операторов. Если надо — могу взглянуть куда скажете
MrFrizzy
23.11.2016 17:53Бесконтактные метки еще интересны в плане авторизации и открытия всяких замков\блокировки девайсов. Но есть два но:
1) нет защиты от несанкционированного считывания и копирования в большинстве своем
2) еще реже попадаются девайсы с защитой от кражи вроде дополнительного пина\пароля\биометрии
Graf_Trahula
То есть в автобусе теперь можно просто ходить с терминалом и обчищать людей. Человеческая лень не знает предела
motpac
Для начала вам придется открыть ЮЛ, чтобы открыть в банке счет, чтобы к нему был выпущен POS-терминал, который будет пищать при каждой транзакции, и да, вам каждый раз придется набирать сумму транзакции на терминале после каждого платежа и куда то складывать выползающие из терминала слипы.
Я ничего не забыл?
T-362
>Я ничего не забыл?
Да, паяльник, пару метров проводов и ардуину-кнопкодав (а некоторые терминалы имеют даже API реализацию для обратной связи и управления с компа). Разобрать терминал не так сложно. А делать юр-лицо и получать терминал можно на бомжа, или за бугром, или пособника иметь.
ClearAirTurbulence
А еще можно взять нож и резать кошельки и сумки, и доставать оттуда материальные ценности. Что проще?
Forest_Gump
Когда-то карманники считались элитой преступного мира. Эту профессию оттачивали годами. «Взять нож и резать кошельки и сумки» это невероятно сложно.
motpac
А еще я забыл отключить у всех в автобусе смс-уведомления о снятии средств с карт, прростите великодушно. А про УК РФ и про камеры в банке я вообще лучше помолчу. Вы же бомжа отправите в банк терминал получать.
T-362
Я, как один из тех кто занимается POS и терминалами, к веду тому, что такие банальные придирки не состоятельны и отмахиваться таким образом, ослабляя настороженность окружающих — только помогать потенциальным ворам.
Короче — ВОЗМОЖНО ходить по автобусу и обчищать людей. Особенно с массовым входом в эксплуатацию бесконтактных карточек (или прочих токенов) как карточек «по умолчанию». Так что храните карточки поглубже в кошельке, предварительно проверив его в банке/магазине на терминале, чтобы через него нельзя было пробить транзакцию бесконтактно.
motpac
Только нужно будет сначала объявлять по автобусу, что мол дорогие пассажиры, не обращайте внимание на смски из банка, и подозрительные суммы не отзывайте и претензии в банк не пишите хотя бы пару дней, пока транзакции висят на холде и ждут подтверждения. А то нам без вашей помощи туго.
T-362
Придирки, придирки, придирки. Можно их долго разбирать оттачивая идеальный вариант грабежа толпы народа бесконтактным терминалом, даже добавить социальной инженерии, но я не буду. «Спокойно засовывайте карточку в ту подозрительную штуку на банкомате», «введите номер телефона чтобы скачать файл», «откройте дверь, я ваш сосед с этажа ниже», «на форексе действительно можно заработать, попробуйте сами», «я случайно перевел вам на телефон 1000р, переведите обратно». Просто не недооценивайте изворотливость криминалитета и силу человеческой глупости.
motpac
То есть вы такой едете в автобусе и вам приходит смс о покупке там чего-то очень нужного, и вас это абсолютно никак не трогает? А потом, даже приехав домой и прочитав смс еще раз, и поняв что вы ничего не покупали, желания в банк позвонить все равно не появится? Ведь не зря есть несколько дней для подтверждения транзакции, но это всё глупости, судя по всему.
T-362
Ну вот вы уже осознали реальность такой атаки? Просто напомню что смс крайне ненадежный метод доставки и его можно просто глушить, оповещения — их опциональность, от какой суммы перевода и есть ли они вообще — зависит только от банка.
А разбор последствий мало чем отличается от последствий действий кардера. «Плюсы» грабежа через бесконтакт меньшая заметность чем действия кардера — платеж одноразовый, не обязательно большой, описание платежа может быть убедительным или маскироваться под «типичные для региона», правильно подобранное место атаки тоже поможет замаскировать платеж (маршрут к крупному торговому центру в час пик после окончания рабочего дня, например).
Что самое плохое — банки могут просто начать выдавать карточки с бесконтактом, включенным по умолчанию. И не факт что отключаемым.
motpac
Мне кажется, вы забыли про самое главное, мы сейчас говорим про использование боевых POS-терминалов, которые выдает банк. Банк-экваэр генерирует транзакцию, карта ее подтверждает и это уходит в Банк-эмитент карты. Описание платежа выдает система банка, к которой привязан терминал, в том числе и категорию покупки. Подделать информацию в выписке банка — вы и это можете? Или вы можете прикрутить свой (сторонний) терминал к банку? Что значит «включенный бесконтакт»? У вас вообще есть карта с paypass? Вы хоть раз пользовались этой технологией? Смс о списании средств приходят при ЛЮБОЙ покупке, от 1 копейки. Если глушить телефон, то смс придет чуть позже, когда аппарат снова будет в сети, помните такое? И почитай чуть ниже, если в кошельке больше одной карты с paypass, то сканировать карты вообще не получится.
T-362
>Описание платежа выдает система банка, к которой привязан терминал, в том числе и категорию покупки.
Создавая фирму можно придумать достаточно нейтральное название услуги которую она якобы будет предоставлять и получить соответствующее описание к транзакции, нет? А еще не всегда терминал от банка, зачастую есть payment ( service) provider который предоставляет терминал/кассу и работает сервисной прослойкой, что-бы мерчанту не заниматься технической частью самому.
>Что значит «включенный бесконтакт»?
То и значит — банк в котором у меня счет и карточка позволяет включить на ней запрет на использование ее заграницей, на своей стороне, без необходимости что-то менять физически в карточке или ее чипе. Не вижу причин почему не может быть реализован аналогичный банковский запрет на транзакции используя paypass.
>Смс о списании средств приходят при ЛЮБОЙ покупке, от 1 копейки.
Нет. Прямая цитата со страницы услуг банка —
Вы можете заказать уведомление о следующих событиях:
Поступления на счет, начиная с установленной Вами суммы
Выплата со счета или кредитной карточки, начиная с установленной Вами суммы
Поступление э-счета в интернет-банк
И т.д. СМС уведомления — не являются какой-то стандартной опцией и их работа отличается от банка к банку.
Чтобы мне не копипастить куски договора — банк называется SEB и живет в доменной зоне EE — можно ознакомиться с договорами и особенностями работы карточек, оповещений и бизнес-интеграции, и сравнить с тем что предоставляет российский банк.
>если в кошельке больше одной карты с paypass, то сканировать карты вообще не получится.
Опять же может в России и нормально иметь по счету в каждом банке и по карточке из него, но это как-то не катит на стандартный случай. Плюс заводить еще один счет в банке что-бы получить вторую карточку для защиты первой интерференцией это какой-то оверкилл.
motpac
А еще попробуйте сканировать кошелек, в котором больше чем одна карта с paypass и расскажите, что у вас получится.
VerTox
Вот всегда было интересно что получится, но ни разу не было возможности проверить.
Zzzuhell
Интерференция будет. Ничего не читается. Проверено на практике.