Ходить можно, снимать, думаю, нельзя. Это моя первая публикация, взяться ее написать меня побудили особо уверенные комментарии о том, что «можно снимать деньги» в статьях про развитие бесконтактных платежей PayPass, PayWave и всей технологии NFC в целом. В своих размышлениях я опираюсь на собственные наблюдения работы банковских систем, на общение с сотрудниками банков и на общие материалы, которые доступны в Сети. Попробуем для начала описать ситуацию, как можно, подробнее, а потом разберем ее на этапы пост-обработки уже внутри банковской системы.Итак, предполагается, что некий «нехороший» человек, неким путем получает мобильный POS-терминал с технологией PayPass, способный принимать платежи. Этот человек пользуется общественным транспортом, наверняка, в час-пик, проходит по салону и прикладывая терминал к сумкам, карманам пассажиров, списывая с банковских карточек хозяев суммы не более 1000 руб., чтобы не вызывать ввод пин-кода. Вскоре он должен получить эти деньги на расчетный счет и вывести их. Вроде бы ничего не забыл.
Начнем по-порядку. Человеку нужно иметь действующее юр.лицо. Дальше он должен открыть счет в одном из банков, которые предоставляют платежные терминалы. Исходя из того, что я вижу в магазинах, все терминалы представлены банками входящими в ТОР30 банков России, и вероятно, эти банки имеют значительную службу безопасности. Другими словами подлог документов будет затруднительным. Потом, при открытии счета, директор компании должен лично явиться в отделение банка и оставить образец подписи. Это я к тому, что можно было бы открыть контору на бомжа, но нужен реальный, живой человек-директор. Плюс ко всему, кому-то лично всё-таки придется «светиться» в банке как минимум для получения терминала. Идем дальше.
Далее, наверняка, потребуется глубокая модернизация терминала. Ведь нужно заставить его делать и не делать некоторые операции:
1. Автоматически вводить сумму платежа, ждать оплаты и после оплаты снова вводить сумму платежа и так по кругу. А может быть, вводить каждый раз разные суммы.
2. ВАЖНО!!! Не пищать и не издавать вообще никаких звуков ни при каких условиях!!!
3. Не печатать слип (чек) в двух экземплярах.
4. Наверняка, нужно будет модифицировать антенну NFC, возможно вынести ее за габариты устройства и присобачить к рукаву куртки, чтобы было удобно незаметно сканировать.
Кроме того, нужно придумать способ иметь обратную связь с терминалом, не вызывающий подозрений у пассажиров, чтобы знать, что платеж прошел и можно двигаться дальше. Будем считать, что на все переделки терминал отреагирует молча, будет работать штатно и без ошибок.
Я не стану описывать этап хождения по вагонам, аккуратные взмахи руками в ожидании «знаков» и прочие уловки человека, дабы его действия не вызывали подозрения. Хочется только напомнить, что в массе своей, у всех держателей платежных карт услуга СМС-оповещения подключена по-умолчанию, и этот момент является первым серьезным препятствием нашего «героя». Ведь отвлечь внимание одного человека еще можно, но отвлекать целый вагон от звуков приходящих СМС будет практически невозможно. Мало того, приходить СМС будут не самого доброго-желанного содержания, и народ начнет оглядываться по сторонам в поисках причин. Но пусть удача улыбнется нашему «герою», и он будет работать только в тоннелях, где связь не работает, и покидать вагон до того, как начнут приходить оповещения. Но без связи и терминал не сможет обработать платеж. Хочу добавить свои размышления, т.к терминал мобильный и работает на базе сотовой сети, не удивлюсь, что где-то в логах он пишет и передает данные о своем местоположении куда следует. И очень может быть, что СБ этими данными очень быстро заинтересуется.
И вот теперь мы переходим к самому интересному — пост-обработка платежей. Как всем нам известно, операции с картами делятся на несколько этапов. В момент транзакции банк-экваер (тот, что дал нам терминал) отправляет запрос через НСПК (мы же в России) в банк-эмитент (тот, что выпустил карту). Запрос об остатке средств на карте достаточных для платежа. После положительного ответа, наш терминал (в обычных условиях) выдает нам слип (2 чека) об успешной платеже, а банк-эмитент блокирует сумму (вешает на hold) до полного подтверждения транзакции. Одним из таких подтверждений обычно служит как раз второй экземпляр слипа, который продавец оставляет у себя. Раньше, когда не было чип-карт и не было запроса пин-кода, на нем нас просили оставить свой автограф. И только когда все формальности соблюдены, заветная сумма списывается со счета банка-эмитента и уходит на расчетный счет конторы. Но у нас терминал особенный и слипы не печатает, а значит могут возникнуть вопросы. Кроме того, сумма удерживается в среднем 2-3 дня до полного списания, а этого времени, мне кажется, достаточно для того, чтобы наши пассажиры метро, позвонили в свой банк и зло спросили о странных списаниях средств. В таком случае, банк-эмитент продлевает удерживать сумму до тех пор, пока банк-экваер и наш «герой» не докажут, что платеж был взят в честном бою! (шучу). По моим наблюдениям, платежи без введения пин-кода (те самые через paypass) могут висеть на холде неделю и больше. И оспариваются эти платежи гораздо легче, чем которые подтвердили пин-кодом. Считается, что пин-код может знать только держатель карты, поэтому такие операции оспариваются гораздо сложнее.
Мне кажется, я описал все главные аспекты этого вопроса. Надеюсь в комментариях, мы увидим другую сторону медали и тогда статья станет более полной.
Мир финансов очень трепетно относится к деньгам, и всё что касается безопасности и репутационных рисков очень строго отслеживается. Уверен, что когда внедряли систему бесконтактных платежей, все варианты фрода с этой системой были продуманы. Почему-то до сих пор я не слышал ни одной новости, как хакеры сняли кучу денег с банковских карт используя PayPass. А новые Apple Pay, Samsung Pay, Google pay не оставляют шансов использовать это схему в будущем. Проще отнимать деньги у людей отходящих от банкомата )))
UPD. В комментарии@Anynet как раз описывает свои попытки с действующим терминалом.
Я в свою очередь забыл описать самый простой способ защиты от любых попыток удаленного сканирования ваших карт — просто держите карты с NFC рядом друг с другом. Проездной Тройка, даже билет на метро уже сойдет. Интерференция сигналов от разных карт сделает чтение нужной карты невозможным. Хотя, говорят что не всегда помогает.
UPD2. Двое хабравчан привнесли в статью недостающую информацию:
enalco внёс ясность в вопрос взлома терминала, а dr_begemot хорошо описал момент считывания нескольких карт за один раз
Комментарии (202)
Marsikus
09.12.2016 00:56-5В харьковском метро уже был замечен некий тип с POS-терминалом в руке.
Kalashmatik
09.12.2016 02:41+15чаще всего так передвигаются курьеры, т.е. прогресс не стоит на месте и теперь оплату многие курьеры принимают по безналу
Zel
09.12.2016 15:59+1в Харькове, мне кажется (как и в Минске, Самаре и куче других городов), могли бы и навешать мошеннику за такое, т.к. метро не так сильно разветвлено как в Москве (тоже — к примеру) и ходить по разным веткам и разным станциям бесконечно не получится
Pravo
09.12.2016 01:04+3Сам POS-терминал таскать не нужно. Можно соорудить репитер NFC. А подельник с второй частью репитера вполне легитимно покупает флэшки по ~900 рублей у ничего не подозревающего розничного ритэйлера.
Psychosynthesis
09.12.2016 02:42Классная идея, кстати.
niknamezanat
09.12.2016 07:55+4Этой идее ужо сто лет в обед. Машины по этой схеме уже очень давно угоняют
jehy
09.12.2016 09:06Да. Только работать так не будет. Нельзя просто так взять и повторить emv транзакцию. Это вам не сигналка.
Veliant
09.12.2016 10:26Там происходит не повтор. Это для обхода иммобилайзера, который хочет видеть ключ рядом с собой. Вот для этого ретранслятор и используется. Т.е. передает всю инфу что излучает ключ 1в1.
Iv38
09.12.2016 11:54+1Насколько я знаю, там очень короткие тайминги на обмен данными, так что это удается только в лабораторных условиях. Уж точно не в метро, где со связью беда.
lostpassword
09.12.2016 12:46+1Я вообще не понимаю — почему только о метро думают? Почему не рынок или хотя бы торговый центр?
GoldGoblin
09.12.2016 21:47википедия говорит что скорость nfc равна 106, 212, или 424 кбод. Репитер на wi-fi не создаст задержек вообще.
Iv38
10.12.2016 03:06Хм, черт его знает, если честно. При минимальной скорости вроде это возможно. Но я помню, то ли здесь, то ли на Хабре была статья об использовании этой уязвимости применительно к платежным картам, вроде с какой-то хакерской конференции. И там получалось воспроизвести её только в лабораторных условиях. Не смог быстро нагуглить. Тут в комментариях давали ссылку на программу, вроде как реализующую этот подход, но проверять на себе не хочется.
timsoid
09.12.2016 01:47-2Так уже…
Kalashmatik
09.12.2016 02:44+2это курьер ))
vKreker
09.12.2016 03:13-2А зачем ему включенный терминал в метро?
Курьерам выдаются терминалы под роспись. Сомневаюсь, что они их носят в руках в общественных местах.Kalashmatik
09.12.2016 03:18+2Да носят по всякому, каких я только не видел при оплате. Включен может быть элементарно — кнопку задел.
jehy
09.12.2016 09:05Элементарно мог принимать платёж у метро или прямо на станции. Или просто не парится и не выключает.
teleghost
09.12.2016 09:25+3В карман брюк (тем более задний) эта штука не помещается, нагрудного кармана нет, да и отвисать будет; вот и таскает в руках, чтобы не потерять. Человек в приметной зелёной куртке, шерстяных перчатках и с такой дурой в руках, по-моему, на технологичного карманника не тянет.
sksensei
09.12.2016 17:23Человек в приметной зелёной куртке
Как раз приметная яркая одежда и делает человека «невидимкой» — сознание запомнит не черты лица, а «человека в яркой куртке». А потом человек снимает (или выворачивает двустороннюю куртку другой стороной) — и никто его не опознает.
randomfoto
10.12.2016 14:20+1курьер зачастую лицо не отягощенное образованием или техническими знаниями и уж тем более заботой о ввереном оборудовании.
Kalashmatik
09.12.2016 02:43+10Всегда ношу 2 карты (кредит/дебит) и обе с PayPass, как показала практика, если карты сложить вместе и поднести к терминалу, то списания не происходит :)
AndrewRo
09.12.2016 09:53+1Интересно, почему? Как же Anticollision?
Pakos
09.12.2016 16:13Потому что когда видишь данные с 2 карт, то значит приложили 2 карты и это может быть случайностью или попыткой обмана (сверху карта для человека/камеры, а сработает по мнению прикладывающего ближайшая к устройству). Или вообще не понятно с какой из приложенных читать — пользователь должен совершить осмысленное действие — приложить нужную карту. При таком варианте — злобно пискнуть.
PS. Речь о системе авторизации, но что-то общее есть, по крайней мере NFC.D_T
09.12.2016 17:32сверху карта для человека/камеры
Можно сверху без NFC приложить карту, сомневаюсь что человек или камера с пары метров разглядят значок поддержи NFC на карте.
ИМХУ Скорее всего просто какой-то сбой идет когда обе карты одновременно отвечать начинают.
Затестю на домофоне: RFID по такому же принципу работает что и NFC, есть два ключа от разных замков.T-362
09.12.2016 17:36+1Посмотрите комментарий ниже, там dr_begemot описал все детали работы считывания.
Pakos
13.12.2016 16:00+1Не сбой, в ответе чётко видны две карты. По крайней мере в некоторых считывателях. На тестах прикладывали одинаковые и политическим решением было «посылать, пусть одну прикладывают».
RaymanOne
09.12.2016 19:19Ношу PayPass, подорожник, и метку от проходной. Подорожник с одной стороны бумажника, метка с другой. Подорожник хорошо срабатывает, метка тоже, для оплаты картой вынимаю ее. Между картами получается зазор ~5-8мм и друг другу уже не мешают.
Kalashmatik
09.12.2016 19:29у меня лежат вплотную две карты и если обе так же достать и попытаться расплатиться, терминал не распознает
RaymanOne
09.12.2016 19:39Видимо только если вплотную. У меня получается есть минимальный зазор и карта что внутри посредине, не влияет на соседние метки.
nikerossxp
09.12.2016 04:19-4Честно говоря, не вижу смысла, зачем нужно было расписывать всё так подробно. Достаточно было выложить схему хождения денег со счета на счёт, согласно PCI DSS. Для вменяемых людей этого было бы достаточно, а идиоты не поверят даже такому количеству текста. Они поверят только опровержению в той же желтой прессе.
motpac
09.12.2016 08:44+2Согласен! Я считал, что публика на GT имеет полное отношение к IT, но иногда складывается обратное ощущение. Я специально разжевал каждый шаг, чтобы в комментариях избежать похожих идей, а получить больше ответов по-существу. Но похоже трюк не сработал. Главную мысль, что платеж легко оспорить и тяжело доказать в нашей ситуации мало кто воспринял.
Raider17
09.12.2016 19:10+2Спешу вас разочаровать, но стандарт PCI DSS не имеет отношения к движению денежных средств. Это стандарт регламентирующий безопасные обработку, хранение и передачу карточных данных.
instalator
09.12.2016 05:59+3Есть один нюанс, при попытке вскрытия терминала он превращается в «кирпич».
swarggg
09.12.2016 07:45а вот тут можно по-подробнее? Превратится в кирпич, если вскрывать штатно, т.е. открутив винты? Как это реализовано? А если аккуратно выпилить пластик в нужном месте (предварительно изучив его конструкцию на другом экземпляре)?
qwertypoiuytr
12.12.2016 22:51+1Все важные части внутри обёрнуты в защитную сетку, прорыв которой вызывает окирпичивание. Гуглите по tamper mesh.
AVX
09.12.2016 07:54Это не остановит. Для такого случая можно взять два терминала, один разобрать и найти где датчик(и), а потом продумать способ вскрытия чтобы датчик не сработал. В принципе, можно и без вскрытия, думаю. Перепрошивка разве вскрытия требует? (не в курсе, как делается).
Вопрос с подтверждением и отзывом денег клиентом можно проигнорировать — отработал за день 300 «клиентов», а лишь половина позвонит в банк и будет разбираться, чтобы вернуть деньги. Остальные либо проморгают время, либо вовсе не заметят и не будут разбираться. Если же снимать, скажем, по 300 р — то не каждый будет долго разбираться, или может принять за какой-нибудь платёж на телефон или что-то ещё.
Проблема с писком терминала тоже решается — достаточно похожий и повторяющийся звук сделать у себя на телефоне, и включать его непосредственно перед сканированием (типа телефон звонит) — человек не разберёт, что источника такого звука два.
XLOR
09.12.2016 08:47+4два терминала это 40к, сбросить датчик вскрытия можно, в авторизованных центрах знают как. Полная смена ПО/перепрошивка часто влечет за собой сброс/затирку ключей — автоматически терминал больше не может проводить транзакции.
AndrewRo
09.12.2016 09:57+1Если деньги вернут половине — служба безопасности очень заинтересуется этим счётом. Тогда, кмк, велика вероятность, что вернут и остальные платежи даже без заявлений.
Konachan700
09.12.2016 10:57+2Не совсем так. Там чип с возможностью подписать прошивку и зашифровать ее же. То есть даже отпаяв нанд, прочитать можно только мусор. По той же причине перепрошить устройство вне СЦ тоже нельзя (скорее всего и в СЦ нельзя, если что — просто меняют плату). Ключ доступен только на запись, то есть, даже найдя дыру в ПО, вынуть его нельзя.
У меня есть плата отладочная с таким процом, как раз в назначении проца в даташите написано «терминалы и сканеры штрих-кодов».
sergarcada
09.12.2016 08:10+3Да они без всякого вскрытия Tamper выдают )) Но да, после такой ошибки (насколько я помню) необходимо заново ввести ключи безопасности. И опять же, ЕМНИП, после смены конфигурации также требуется ввод ключей безопасности. Так что без инсайда со стороны банковских работников не обойтись.
DancingOnWater
09.12.2016 10:26-1Это оборудование, должно быть предусмотрено его обслуживание. Значит вскрыть терминал можно, весь вопрос в том как можно модифицировать этот процесс.
KorDen32
09.12.2016 11:01+2При вскрытии происходит сброс зашитых ключей, после обслуживания или перенастройки надо вводить ключи заново. Причем параноидальность датчиков такова, что терминалы сбрасываются сами по себе периодически от «наводок». Это и подразумевается под «превращением в кирпич». Ключи вводят только в банке.
DancingOnWater
09.12.2016 11:33А как происходит сброс?
Jesting
10.12.2016 18:36+1Где то просто один бит tampered выставляет в 0 в специальном регистре к которому можно только AND применить. Где-то Master-Vendor ключ стирает.
Прикол в том, что EPP/PED (устройства ввода пин-кода) штука крайне секьюрная и те ключи что вводит банк при установке хоть и называются Master но они по сути на втором уровне иерархии. После ввода в устройство они шифруются Master-ключом производителя находящимся на верхнем уровне иерархии.
Master-ключи(ключи потому что может быть несколько веток) от вендора как раз при «Tampered» и затираются. Таким образом удалив один ключ верхнего уровня пропадает доступ ко всем ключам что ниже потому как они зашифрованы по цепочке.
mrchoo
09.12.2016 06:42-1А какие данные о держателе карты и о самой карте можно получить таким способом? Надеюсь, их недостаточно, чтобы делать онлайн покупки или изготовить дубликат.
jehy
09.12.2016 09:03+1
XLOR
09.12.2016 09:33-3Причем тут EMV? Мы говорим о краже данных через PayWave, PayPass и пр.
jehy
09.12.2016 10:16+1А бесконтактные платежи у нас гномы передают? И EMV тут не при чём, да? И ISO/IEC 14443 существует сферически в вакууме?
XLOR
09.12.2016 10:55В данном конкретном случае EMV не причем, смысл её был в том что чип генерит одноразовый код между картой и устройством + к этому обладатель карты не будет пихать её куда попало, как следствие процесс перехвата бесполезен, код одноразовый. Тут дело в другом. Обмен происходит при помощи чипа RDIF, это можно перехватить. Ну вот EMV сгенерит ваш код, кастомный RDIF злоумышленника который инициировал обмен, будет его знать и расшифрует данные о карте. Проблема в том что карта отвечает всем подряд, а не как в случае чип-ов пихается владельцем только в реальные устройства которые можно пощупать, это вам не СамсунгПЭЙ и ЯблокоПэй, где надо подтвердить личность — кто спросил, тому и ответит.
jehy
09.12.2016 11:26+1Так вы сами сказали, что EMV тут причём. EMV генерирует код, и он одноразовый — скопировать карту и совершать с неё покупки нельзя. Это собственно был ответ на первый вопрос ветки
Надеюсь, их недостаточно, чтобы делать онлайн покупки или изготовить дубликат.
Видимо, вы это просто упустили.XLOR
09.12.2016 11:43Дак в том что и дело, что даже при наличие EMV, можно получить данные о карте которые можно использовать чтобы совершать покупки по ней. Что он есть, что его нет (этот EMV), перманентно в случае с бесконтактными картами.
jehy
09.12.2016 12:08+1Судя по всему, вы говорите про считывание номера и срока действия карты. Да, эти поля считать можно — но опять же — это отнюдь не создание дубликата карты. Это получение минимальных сведений о карте, которые дадут вам совершать покупки в том же амазоне. Но это легко оспариваемая транзакция. К тому же, для того, чтобы вы подверглись атаке, совершенно необязательно считывать данные вашей карты по NFC — точно так же эти данные могут получить перебором… Чем, кстати, до сих пор активно пользуются фродеры.
jehy
09.12.2016 12:16+2К слову, никто почему-то не упомянул, что многие карты до сих пор готовы отдать по NFC свой номер, срок действия и последние транзакции без всякого POS или MPOS терминала. Достаточно ни разу не модифицированного телефона, например вот так.
Fuzzyjammer
09.12.2016 16:23Вот только этих данных не хватит ни для онлайновой покупки, ни для изготовления магнитно-полосатого дубликата.
jehy
09.12.2016 17:28-1Да не, для некоторых вещей хватит вроде покупки на амазоне — но это несерьёзно, легко откатывается, и точно так же у вас могут этим способом украсть деньги методом подбора.
Jesting
09.12.2016 22:25+2Даже для Амазона не прокатит. Амазон не требует CVV2(на обороте карты) что совсем не означает того что платежная система не проверяет просто CVV, хранящийся на магнитной полосе карты. Для бесконтактных платежей по одной из самых простых технологий действительно применяется некая эмуляция магнитной полосы при которой после получения параметров транзакции от терминала карта выдаёт ему данные магнитной полосы НО элемент CVV(в этом случае он называется DCVV) меняется динамически и зависит от параметров транзакции, случайного числа и криптографии. То есть Трек2 дата каждый раз немного отличается от предыдущего и не может быть сгенерирован без участия некоторых секретов которые не покидают карту. Технология(стандарт или приложение — можно назвать по разному) называется MSD и используется для самых простых терминалов. Помимо MSD у Mastercard есть более надежный способ проведения транзакции который включает в себя комбинированную динамическую аутентификацию карты + запрос криптограммы.
У Визы помимо MSD есть qVSDC который примерно одинаков по скорости с вторым Мастеркардовским способом и есть VSDCfull который является полным аналогом стандартного EMV приложения (но карта должна быть в поле ридера в течении всей операции как и в случае контактных платежей).
XLOR
09.12.2016 09:37+1Дубликат карты делать бесмысленно.
Можно сделать кастомный RDIF ридер, и тырить номер карты и срок окончания действия карты. Впринципе иногда этого достаточно чтобы сделать онлайн покупки в некоторых забугорных магазинах.AVX
09.12.2016 09:56А если учесть, что существует приложение, которое по фотографии находит профиль человека в VK, то и ФИО не составит труда узнать и соотнести со считываемой картой. Останется подобрать CVV — тогда можно платить в любом магазине. Но и без него можно, Вы правы. Амазон вот не требует этого кода.
Naps
09.12.2016 10:26+2Насколько я знаю, имя фамилия на карте никак не проверяется. Ну по крайне мере везде где я оплачиваю онлайн, ввожу TEST TEST и платёж проходит.
Ну и как-то писал библиотеку, которая делает криптограмму для одного платёжного сервиса, так в криптограмме имя и фамилия никак не участвует.
Eklykti
09.12.2016 15:52+1имя фамилия на карте никак не проверяется. Ну по крайне мере везде где я оплачиваю онлайн, ввожу TEST TEST и платёж проходит.
Но когда потом хозяин карты оспорит транзакцию и там будет TEST TEST, деньги ему, скорее всего, вернут, а о покупателе сообщат куда надо.
LetsDanceToJoyDivision
09.12.2016 17:23+1Изготовить дубликат карты — точно нет, это как сделать клон человека имея только фотографию человека.
Из данных используемых для онлайн покупок можно получить номер карты и срок действия. Чисто теоретически это можно использовать для оплаты в онлайн магазинах, на практике такой магазин мгновенно разорится, потому что любые платежи будут возвращаться «покупателю» по любому чиху, плюс штрафы за возвраты платежей.
vkegdzoy
09.12.2016 08:07Не думаю что большинство использует такие карты. И терминал привязан к счету? Если менять нельзя, и хакнуть тоже. То не выгодно. Терминал дорого стоит, не успеете окупить так сказать.
XLOR
09.12.2016 08:35+3Терминал CTLS стоит 20-30к, в зависимости от модели/производителя, дорого для мошенников, есть риск не окупить. Краденый не подключишь к процессингу банка просто так по серийнику вскроется легко.
Самостоятельно купленный терминал — все равно влечет за собой потребность подключения его к какому-то банку/процессингу и сотрудничество с банком, проще уж бомжа в ИП впихнуть и чтобы банк дал терминал в аренду.
В принципе зарегистрировать ИП на бомжа и отправить его в банк на подпись документов — не проблема.
Если в банке описать профиль компании как курьерская служба, вопросов у СБ не возникнет.
Антенну обычно «помощнее» не сделать без разбора терминала, решается репитерами обычными. Выкрутили хотябы один шуруп у терминала, сделал отверстие в корпусе, срабатывает защита — терминал можно нести в авторизованный сервис, работать он не будет.
В принципе софт терминала позволяет проводить операции оффлайн, т.е. печатать чеки не сразу и транзакцию проводить/ позже. Во многих банках этот параметр на терминалах открыт для модификации, можно и чеки не отключать и отойти подальше от цели чтобы СМС пришла не сразу.
Сверка итогов на терминале ускоряет процесс снятия «подвешенных» в воздухе денег и поступление их на расчетный счет юрика. Если у человека нет СМС информирования, может и прокатить. Человеку будет трудно доказать, что он реально не осуществил заказ/покупку чего-то у этого ИП. Но думается раскроют уже после прибыли 50к+ выведенных со счета и парочки претензий от клиента — и терминал можно будет выбрасывать. Далее новый бомж новое ИП и пр. что муторно, долго и дорого, проще уж просто данные воровать с карточек и не заморачиваться на POS терминалы.
Mimizavr
09.12.2016 10:24Спасибо, не знал про защиту терминалов от вскрытия. Максимальная сумма без ввода пин смехотворна, поэтому надеяться, что из 50-100 клиентов ни у кого не окажется СМС-информирования глупо. Бессмысленный и неэффективный риск.
Denkenmacht
09.12.2016 08:39+1По поводу регистрации юрлица и открытия счета + эквайринг. Это не составляет труда в России — один раз притащить номанала к нотариусу для оформления юрлица и заодно оформить доверенность на другое физлицо на осуществление всех остальных действий. Ну может в банк один раз сводить.
Bolt0278
09.12.2016 08:40-2А ничего, что тлф не постоянно находится в режиме передачи инф о карте, а чтобы запустить передачу нужно его разблокировать отпечатком или ввести пин код приложения. Во всяком случае самсунг пэй тае действует ( по эппл пэй не в курсе).
hp6812er
09.12.2016 08:40По поводу ответных СМС можно не переживать )
СМИ сообщили о возможном отключении сотовой связи в московском метро
Anynet
09.12.2016 08:52+9Как только у меня в магазине появился терминал с nfc, в тот же вечер с коллегой эту ситувцию проиграли. Скажу так, если терминал не "модернизироавать" то ничего не получится, либо карта должна лежать в непосредственной близости к краю кармана/сумки, либо терминал ее не увидит. А еще опытным путем установили что если рядом с картой лежит Тройка то как бы не старался, ничего не считается :) Кстати мои курьеры тоже ездят в метро и тоже не выключают терминалы, правда в руках их не держат, обычно в кармане или в рюкзаке. Если терминал выключить, он привключении долго грузится, а для курьера каждая минута на счету.
Structure
09.12.2016 11:48Более сильный сигнал и чувствительная антенна?
motpac
09.12.2016 11:51+1Не уверен, но чип в карте может это просечь. По стандарту мощность сигнала не должна превышать 1 ватт.
Anynet
09.12.2016 12:49+1Может и поможет, но у меня терминалы рабочие и разбирать и модернизировать их не могу :(
jehy
09.12.2016 08:52+3Ходить — можно! Легко и просто. И именно для этого существуют mpos терминалы, а не pos. И это дешево — например, у нас в pay me можно их купить за 8к.
Снимать — ну как не повезёт, все зависит от того, как у юзера карта лежит.
Уйти с деньгами — нельзя. На вас быстро накатают жалобу, вас найдёт антифрод система и безопасники банка, заблокируют терминал, не выдадут денег и откатят транзакции.
2PAE
09.12.2016 09:32+3Возвращаемся к старой истине: «Если украсть 100 рублей, ты вор, и тебя посадят, если украсть 100КК, то ты уважаемый бизнесмен и у нас спор хозяйствующих субъектов».
Leo7777
09.12.2016 09:51+1По поводу смс и звонков от банков, между станциями метро допустим, телефон ловит не у всех и не везде, к тому же есть глушашие устройства, так что оповещение от банка как проблема для вора снимаются.
А по поводу островного государства, в офшорных зонах юр.лицо и счет в банке можно открыть на местного жителя, на то она и офшорная зона, что там отмываются деньги, а визе или мастеркарду выгодно в любом случае чтобы оплата проходила через них, а не наличкой.
Из-за 100 снятых руб., у нас люди не будут бегать по банкам и писать заявления, я думаю что за месяц вполне можно успеть нарубить денег и закрыть всю фирму, она все равно будет оформлена на местного, деньги вывести через карту офшорного банка можно у нас в любом банкомате минус комиссия. Найти кто снимал в принципе не представляется возможным. Если это была разовая махинация, пусть даже и было выведено пару млн. руб, то не найдут.Iv38
09.12.2016 12:27+1Международным платежным системам не нравится, когда снижается их благонадежный индекс, поэтому они наказывают за фрод. Мне кажется, мошенники будут быстрее заблокированы, чем успеют заработать. Либо получат по каждой мошеннической транзакции такой штраф, что как бы в минус не уйти.
Leo7777
09.12.2016 13:14Можно взять к примеру скиммеры, производство должно быть крупносерийным, литье пластика, резины и пр. материалов не дешевое удовольствие, к тому же надо где-то заказать так, чтобы потом вопросов не возникло. Вложиться надо по крупному.
К тому же если бы так все просто и легко блокировалось и был тотальный контроль, то мошенничества у нас бы не было вообще в Мире.Iv38
09.12.2016 14:14Обычно мошенничество с платежными картами идет в другую сторону — попытки оплаты товаров в реальных магазинах ворованными картами. С этим сложнее бороться, так как злоумышленник не является ни одной из сторон. Получается, что и продавец и владелец карты правы, но деньги кто-то кому-то должен. Но даже в таких случаях платежная система наказывает продавцов за фрод, чтобы стимулировать повышение бдительности. В махинациях же с платежным терминалом однозначно виноват его владелец.
Скиммеры, кстати, весьма немало стоят, а отбить их стоимость гораздо проще. Если удалось сдампить карту и украсть пин — все деньги в пределах лимита снятия налички твои. По каждой украденной карте. Анонимно. Наличными. Оспорить такую транзакцию сложно. Холда никакого нет, деньги сразу у злоумышленника. И никаких ИП на левых лиц, офшоров и прочих проблем.Leo7777
09.12.2016 14:47-1Хорошо, допустим оформлено юр. лицо. магазин, ну пусть официально в нем куплено чехлы для телефона по 50 руб (силиконовые к примеру), а продаю я их по 900 руб, торговая точка будет реальная.
Мошенник выходит на улицу и бесконтактным терминалом крадет деньги, как жертве доказать что она не покупала этот чехол? Запись с камер недоступны, кража денег происходит рядом с торговой точкой. Чеки пробиваются после кражи.
Получается только проверка росписи на этих чеках и все?Iv38
09.12.2016 14:59+1Обильные жалобы «покупателей чехлов», проверка слипов, статья за мошенничество, турьма.
D_T
09.12.2016 15:36+1В уголовных делах достаточно заявления и как-то доказать где покупатель был в момент покупки. Если таких заявлений будет пачка, то УК РФ, Статья 159. Мошенничество
KivApple
09.12.2016 19:18+1Если парочка клиентов будет откатывать транзакции одного и того же магазина, то банк будет сомневаться. Но если транзакции будут откатывать сотни клиентов, а магазин мелкий, то однозначно станет на сторону клиентов — вероятность того, что незнакомые друг с другом люди сговорятся, чтобы обанкротить никому неизвестный мелкий магазин — крайне мала. К тому же по теории вероятность хоть у одного клиента, да и найдётся юридически значимое доказательство, что он не подходил в это время к ларьку.
qrck13
09.12.2016 09:56+1Контр пример: в Дублине в местном трамвае (luas) как раз именно такой случай и произошел.
Некто ходил с POS терминалом и собирал денежки, по €30 за раз.
Так что такой вариант работает.motpac
09.12.2016 10:47Сумма в 30 евро явно потянет на запрос пин-кода, если судить по аналогии с нашими банками.
sptor
09.12.2016 10:50Ну не обязательно, вон у меня сейчас как раз в интернет-банке висит выбор какую сумму вы поставите на бесконтактный платеж без запроса ПИН, там варианты 10, 20 и 30. Так что если клиенту дают выбор он может и такое выбрать. Ну или может посчитали, что средний чек в том же продуктовом в районе 30 евро и поставили такой лимит.
Fearz
10.12.2016 00:57+1Я живу в Канаде и в моем банке стандартный лимит для оплаты касанием без пин-кода 50 канадских долларов. 30 евро это 42 канадских доллара.
Iv38
09.12.2016 12:36+1Вопрос в том, каков итог этой акции? В принципе, какой-нибудь не очень умный владелец MPOS-терминала может внезапно подумать, что он изобрел хитрый способ заработать кучу денег и красиво укатить в закат. И у него даже получится провести несколько платежей. Но сможет ли он получить деньги, а владельцы карт их потерять?
qrck13
10.12.2016 15:11Смысл в том, что тут в Ирландии большинство людей просто не заметят разовую пропажу 30 евро с карты, это так, «карманные деньги». Так что если этим не промышлять регулярно, а разово — то более чем может прокатить.
LetsDanceToJoyDivision
10.12.2016 22:48+1Точно в Дублине, а не в Тель-Авиве? Точно 30 евро, а не 10 шекелей? Точно POS-терминал, а не наличка? Точно собирали, а не раздавали?
Одним словом, когда читаешь очередную страшилку, то хочется увидеть адекватный источник информации, потому что жизненный опыт подсказывает, что девять из десяти страшилок даже близко не соответствуют действительности.
DancingOnWater
09.12.2016 10:21Безопасность конкретного человека строящаяся на реакции целый кучу людей???
Знаете, есть такая пословица: у семи нянек дитя без глаза.
Безопасность должна исходить из того, что злоумышленник получил доступ к устройству и сумел его модифицировать.
Давайте посмотрим, как тогда выглядит этот абзац:
В момент транзакции банк-экваер (тот, что дал нам терминал) отправляет запрос через НСПК (мы же в России) в банк-эмитент (тот, что выпустил карту). Запрос об остатке средств на карте достаточных для платежа. После положительного ответа, наш терминал (в обычных условиях) выдает нам слип (2 чека) об успешной платеже, а банк-эмитент блокирует сумму (вешает на hold) до полного подтверждения транзакции. Одним из таких подтверждений обычно служит как раз второй экземпляр слипа, который продавец оставляет у себя.
Единственное препятствие это слип. Помним, что у нас модифицированное устройство и мы сможем их распечатать. Т.е. оказывается весь вопрос примет банк или не примет слип. Слабовато…jehy
09.12.2016 10:43Банк? Примет? Слип? Слип это препятствие? Боже мой.
Это вы говорите о гипотетическом случае, когда мошенник будет меряться бумажками с невольным покупателем? Или вы считаете, что подтверждение транзакции проходит в момент, когда вы приходите в банк с бумажным слипом?DancingOnWater
09.12.2016 11:05Или вы считаете, что подтверждение транзакции
Как тогда банк подтверждает транзакцию?jehy
09.12.2016 11:21+1Транзакция подтверждается по подписи, пину или бесконтакту. Транзакции по пину практически не оспариваются, транзакции по подписи и бесконтакту оспорить можно.
Как только вы подтвердили транзакцию, ваши деньги на какое-то время (обычно 1-3 суток) зависают в лимбе. Если никто не нажаловался и если на вас не сработала антифрод система, то по истечению этого времени вы радостно получаете денежки на свой счёт.
А слип существует чтобы обезопасить продавца — когда к нему придут претензии о нечестном списании, он сможет помахать этой бумажкой и показать, что у него всё в порядке.DancingOnWater
09.12.2016 11:31Т.е. все упирается в немодифицируемость устройства, м-да…
XLOR
09.12.2016 11:39Нужно просто делать свое устройство и тырить не деньги, а данные карт. Привязываться к банку или их POS терминалами — тупиковая ветка мошенничества.
jehy
09.12.2016 12:11Этими данными нужно потом ещё как-то воспользоваться. Можно их задумчиво писать на морском песке — но в деньги они от этого не превратятся. А на попытке использования вас как раз заблокируют. Если не повезёт — найдут и посадят.
vvatest
09.12.2016 15:25-1В теории, если вы сможете ретранслировать сигнал от владельца до легального считывателя магазина, то можно получать недорогие предметы за счет владельцев карт. Как получит деньги за товары владелец магазина — вам безразлично. Ваша задача будет заключаться в монетизации этих самых мелочей, что сложно но решаемо. Проблема только до терминала дотянуться, но она немаленькая…
jehy
09.12.2016 12:12Что именно упирается? Попробуйте привести кейс успешного фрода с предположением, что вы модифицировали ридер во все отверстия.
vkegdzoy
09.12.2016 12:541-3 суток? Прощайте денежки. У меня были траблы с известным банком в недополучении денег, так заявление банк отказывался принимать поскольку не прошло 24 часов. На телефонной линии заявление приняли и рассматривали чуть ли не неделю пока деньги не вернули, так что ничего мгновенно не возвращается и не рассматривается по моему опыту.
jehy
09.12.2016 13:04Так сразу заявление в полицию. Если не успевают сделать reversal, то банку придётся провести за свои деньги refund. Тиньков после заявления в полицию мгновенно всё вернул.
kvazimoda24
09.12.2016 11:31+2Да тут основная проблема будет в том, что на конкретный терминал слишком повышенный процент жалоб. Этот процент будет стремиться к сотне. Т.к. просто позвонить в банк и сказать, что транзакция мною не проводилась не занимает много времени. И, скорее всего, такую мелкую сумму банк сразу же вернёт на счёт своему клиенту. По крайней мере, когда мне терминал для покупки билетов на электричку списал 200 рублей и ничего после этого не выдал, ни чека, ни билета, сразу после обращения в банк мне вернули эти 200 рублей.
А сам банк будет уже разбираться с тем банком, который запросил эту сумму. Т.к. банком у нас не так много в России, то у всех банков очень быстро появится большой процент жалоб по конкретному типу платежей. Я думаю, что этот терминал перестанет работать в течении нескольких часов. Причём, даже если выпустивший его банк никак не будет реагировать на жалобы. Эти платежи тупо будут блочить со стороны банков владельцев карт.
KivApple
09.12.2016 19:36+1Так разве подобные вопросы не рассматриваются с учётом количества жалоб? В том смысле, что если на какой-то терминал поступило 100500 жалоб, то было бы логично послать продавца нафиг и откатить все транзакции (даже если формально у продавца всё чисто), а уже потом продавец в суде пусть доказывает, что не верблюд. Потому что вероятность, что сотни клиентов будут банкротить продавца (при этом в одно и то же время) ничтожно мала.
alexhott
09.12.2016 10:51Вижу новый бизнес — кошельки с металлическими вставками и металлические картхолдеры
Наладил выпуск, запустил утку про то как то у Васи то у Пети деньги в метро угнали и понесласьsptor
09.12.2016 10:58Так уже есть, летел тут недавно в командировку в самолетном журнальчике вовсю рекламировалось — типа будьте спокойны ваши данные никто не считает и не украдет, как раз и кошелек с металлическими вставками и картхолдер металлический :).
sets
09.12.2016 12:07Кошельками не пользуюсь, а внутренний карман куртки оснастил самодельной клеткой Фарадея, да.
Объяснения топикстартера не убедили. Все держится на том, что
1. злоумышленники не смогут модифицировать терминал
2. такая транзакция если все-таки пройдет может быть легко оспоренаIv38
09.12.2016 12:48+3Все сложнее. Защита держится на том, что злоумышленнику для успешной операции нужно проделать множество дорогих и сложных операций: регистрация юрлиц на подставных людей, регистрация терминала, модификация терминала. При этом он может проводить операции лишь на небольшие суммы, не требующие ввода пина. Третий фактор заключается в том, что он вероятно будет весьма быстро заблокирован, не успеет отбить вложения. Если вообще получит хоть что-то. Это приводит к тому, что схема вообще маловероятно будет привлекательной для злоумышленников.
sets
10.12.2016 15:21-1К сожалению, все эти операции за исключением модификации терминала не являются ни дорогими, ни сложными. Я бы назвал их налаженными и тривиальными.
Самая большая покупка, которую я оплачивал картой, стоила тысяч 15 и пин не спрашивался. Правда карта вставлялась в терминал. Бесконтактно оплачивал тысяч на несколько, также без пина.
В целом для рядового злоумышленника не очень понятно как организовать процесс, с кем налаживать производственные цепочки и самое пока главное — где взять модифицированные терминалы. Как только наладится индустрия как у скиммеров, проблема сразу же появится.
А пока беспокоиться об этой теме настолько, чтобы отключать бесконтактную оплату и линчевать людей с терминалами наголо в метро, не представляется разумным. Иметь металлизированную ячейку в кошельке/кармане — почему бы и нет?
D_T
09.12.2016 11:31суммы менее 1000 руб.
Вопрос немного не по теме: эта сумма кем задается?
Недавно появилась карта с NFC, заметил что на мелкие покупки не просит пин-код, если через NFC (т.е. приложить), а если через чип (вставлять в терминал), то просит пин-код. Карта недавно, еще не затестил один и тот же способ в одном месте. Интересно через чип такое же ограничение или отдельно настраивается?sptor
09.12.2016 11:44Интересно через чип такое же ограничение или отдельно настраивается?
Сильно подозреваю, что теоретически можно, но не факт что этим будут заморачиваться, или же есть какие-то возможные препятствия в правилах безопасности, так как чип влюбом случае может авторизовываться иначе чем бесконтакт.
motpac
09.12.2016 11:57+1Эта сумма задана самой платежной системой VISA или МС. И это касается только бесконтакных платежей. Запрос или НЕзапрос пин-кода при контакте терминала с чипом уже зависит от настроек безопасности карты и терминала. На ГТ есть огромная статья на эту тему, где подробно описан механизм взаимодействия карты с терминалом.
К примеру, карты Тинькофф вообще не требуют пин-код и всегда выходит слип на подпись, чему я очень рад, т.к. не рискую засветить свой пин-код.D_T
09.12.2016 12:16Тинькофф вообще не требуют пин-код
У меня Тинькофф. Везде просит пин если чипом вставить. На любые суммы. Как понимаю это уже настройка терминала.
чему я очень рад, т.к. не рискую засветить свой пин-код.
Тоже хочется пореже светить, потому и спросил.
jehy
09.12.2016 12:19+2К примеру, карты Тинькофф вообще не требуют пин-код и всегда выходит слип на подпись, чему я очень рад, т.к. не рискую засветить свой пин-код.
Неправда, у тинькова этот параметр настраивается через личный кабинет и прошивается на карту при следующем обращении к банкомату.motpac
09.12.2016 12:23+1Опа! Видимо они эту функцию закопали ну очень глубоко в ЛК. Впервые об этом слышу, хотя картой пользуюсь уже много лет. Спасибо за наводку.
shifttstas
09.12.2016 11:45т.е Apple Pay решает все эти проблемы на 100%
Кстати недавно заметил — при Apple Pay пинкод перестал запрашиваться при любой цене покупки (ранее как и NFC не давал больше 1000-1500)motpac
09.12.2016 11:59Как я написал выше, это зависит от настроек терминала. Недавно покупал в большом магазины одежды на 5000 и после оплаты через Apple Pay, терминал дополнительно попросил у меня пин-код.
navion
11.12.2016 04:26Для терминала Apple Pay выглядит как карта с беспроводной оплатой и он может потребовать пин-код для любой суммы из-за кривых насипрек терминала или карты.
Заметил такую дурь у Сбербанка: на одной кассе PayPass работает как положено, а на соседней (с другой моделью терминала) просит пин-код.
Evengard
09.12.2016 11:51У меня раньше была карточка — запрашивала Пин-код при каждой покупке. Потом мне её по некоторым причинам заменили — перестала запрашивать, чему я очень сильно удивился. Т.е. это задаётся банком получается.
motpac
09.12.2016 12:00+2Это задается банком-эмитентом и настройками терминала. Мой комментарий чуть выше.
Gorodnya
09.12.2016 12:30Смотрите, какая ситуация. Множественные мошеннические списания с помощью такого терминала не совершить.
Однако можно копировать данные карт (полный номер и срок действия), чтобы потом оплачивать такими картами в Интернете, пример: https://xakep.ru/2016/01/23/rfid-card-readers/.
А вот пример приложения на Android в Google Play, которое позволяет узнать полный номер карты, срок действия и последние транзакции.LetsDanceToJoyDivision
10.12.2016 23:11+1Статья в Хакере слишком уж безграмотная с технической точки зрения. Для уровня Рен-ТВ сойдёт, но не более того.
А насчёт того, что можно совершать покупки сугубо по номеру карты и сроку действия, у меня есть большие сомнения. В том смысле, что наверняка упускается какой-то небольшой, но крайне важный момент, когда пользователь карты на самом деле аутентифицируется до момента покупки. Номер карты и срок действия — это атрибуты идентификации карты, но никак не аутентификации пользователя, соответственно, любые претензии по таким платежам будут практически автоматически трактоваться в пользу владельца карты, деньги будут в 100% случаев возвращены, продавец лишится своего товара, денег ноль и сверху штрафы за чарджбэки. Любого конкурента так можно разорить. Либо это какие-то специфические продажи, например так можно продавать игровую валюту и подобные виртуальные ценности. Откатили платёж — откатили виртуальные плюшки.
serafims
09.12.2016 12:31+1В общем, выводы:
— затраты на полную цепочку (терминалы, исследования, бомжи-хипстеры и тп.) слишком велики при потенциально небольших объемах «сбора» денег с карточек.
— слишком много звеньев в цепочке получения терминала и денег со счета.
— есть вероятность, что несколько карточек не дадут друг друга прочитать, что, учитывая их распространенность, усложняет криминальные действия.
— обычный физический грабеж средств связи и наличных с фразой «есть прикурить?» пока что для упырей актуальнее.
DEM_dwg
09.12.2016 12:55Было время и обыкновенные карты считались очень защищенными.
Было время и «640КБ должно быть достаточно для каждого»…
Время идет и данную технологию тоже взломают, ставят же граберы на банкоматах, так же будут ставить граберы или еще какие нибудь технические устройства для снятия наличности.
T-362
09.12.2016 14:23«Ходить по вагонам метро с POS-терминалом и снимать деньги. Можно?» — вердикт остался тем-же, сложно но МОЖНО.
Статья — компиляция тех-же утверждений из старого спора что можно воровать с бесконтактных карт, хорошо что теперь не так категорично как в них — «Смс о списании средств приходят при ЛЮБОЙ покупке, от 1 копейки».
Опять-же опущена тема что терминалы и их услуги выдают не только банки но и «payment service providers».
Кстати на закуску — для оплаты есть терминальчики-гаджеты для смартфонов, типа ACR35 NFC MobileMate Card Reader, даже пейпал предоставляет услугу в комплекте с NFC мини-терминалом (без всяких чеков) или сканером втыкающимся в телефон (в этом случае свайповым) — https://www.paypal.com/us/webapps/mpp/credit-card-reader
Так что все далеко не так секьюрно как хотелось бы, и 'шапочка из фольги' в виде непробиваемого для NFC кошелька до сих пор единственная вещь которая надежно защитит карточку от злонамеренного считывания левыми людьми.
D_T
09.12.2016 14:39Еще вопрос не совсем в тему, в продолжение предыдущего, т.к., как понял выше, при NFC за покупки до 1000 р ни пин, ни подпись не надо. В отличие от чипа.
Как-то можно по терминалу понять поддерживает он NFC или нет? Значок какой-то нарисован или еще что.
Чтобы там где услужливый кассир сам карту чипом втыкает, попросить не втыкать, а безконтактно оплатить.
Также чтобы не вызывать улыбки кассиров пока трешь картой об экран терминала, там где не поддерживается.
Может кто в курсе сколько процентов (примерно) терминалов с NFC в магазинах стоит?T-362
09.12.2016 14:52Обычно нестандартный значок типа радио, еще бывает заметное прямоугольное утолщение примерно форматом с карточку на боку, если терминал стационарен. Девайсы от ingenico, и прочие схожим дизайном могут быть каварнее — без обозначений на корпусе и с опциональным обозначением на экране (пишется что-то в роде «свайпните, вставьте или приложите карточку» — порой со значком на экране). По магазинам сложно сказать — зависит от страны и терминалов, те-же типичные ингенико могут с одинаковым дизайном и уметь и не уметь бесконтакт.
motpac
09.12.2016 17:34Наша страна и наш народ привносят свои коррективы в этот вопрос. Часто бывает, что терминал принимают paypass, но продавец об этом не знает и не собирается даже пробовать.
НО! Я заметил один терминал об Сбера, у него в правом верхнем углу написано VX 820 — на нем нет никакой маркировки и на экране заставки тоже нет логотипа трех дуг, НО он отлично принимает PayPass.
XLOR
10.12.2016 07:16Ох, с верифонами все сложно. Они все (новые модели) умеют безконтакт, но там доп лицензия нужна на сколько мне известно. Хотите подешевле устройство, бесконтакт из коробки есть, только он не активируется без лицухи. Хотите с бесконтактом, то же самое устройство чуть дороже. Поэтому и не делают на корпусе маркировок.
g0dlike
09.12.2016 14:47-1Ребятки, ну в самом деле, ну какой POS-терминал?
https://sourceforge.net/p/nfcproxy/wiki/Home/
Только считывающий смартфон чуть модернизировать — вынести антенну, добавить усилитель.
+Вместо wi-fi дальнобойный 3g, а терминал находится где-то в Гондурасе…Iv38
09.12.2016 15:05+1И что, это работает? Между платежной картой и терминалом минимальное время на обмен, нельзя так просто взять и проксировать эти запросы.
g0dlike
09.12.2016 15:13Почитайте комментарии прямо на страничке, ну и на XDA-developers тоже говорят, что работает…
Iv38
09.12.2016 15:21+1Только непонятно что именно работает. Я, например, видел множество страниц в интернете где можно было скачать программу для просмотра профилей ВК, под ними тоже комментарии, что работает. Бесплатно и без СМС.
Там еще в фичах какие-то совершенно сомнительные утверждения вроде:
Replay the Tag/Credit card (for a reader)
Replay the PCD/Reader (to read credit card)
dr_begemot
09.12.2016 17:17+3«Интерференция сигналов от разных карт сделает чтение нужной карты невозможным.»
Нет. Считыватель карт работает следующим образом:
— Обнаружение карт в поле. При этом он получает UID каждой карты в поле, количество обнаруженных карт ограничивается только фантазией разработчика прошивки, это может быть как одна, так и 5 и более карт.
— Далее получив список UID-ов карт, можно активировать какую либо из них, либо активируя их по порядку найти нужную (например нам нужна Тройка, мы можем прочитать нужный блок определенным ключем и таким образом, если чтение было успешным, то далее работаем с этой картой, иначе продолжаем поиск).
Что касается стопки карт. Возможно, тут имеет место следующее: девайс детектирует карты и работает с той, которая обнаружилась первой. Какого-либо порядка тут нет, может первой обнаружится карта, лежащяя снизу, а в другой раз следующая.
Другой момент, что пачка карт может снижать возможность обнаружения «плохих» карт. К примеру карты от NXP очень хорошие, они могут детектироваться на расстоянии вплоть до 10 см. от считывателя, а когда я работал с картами отечественного производства, приходилось отправлять считыватель на доработку, чтобы увеличить мощность антенны, т.к. обнаружение таких карт было очень не стабильно.
P.S. И, кстати, в метро так и работает, иногда можно поднести кошелек и тут же пройти, а иногда это не срабатывает и приходится открывать кошелек, доставать карту и прикладывать ее отдельно.motpac
09.12.2016 17:37Благодарю за шикарный комментарий! Но сколько не пробовал, ни разу не читались карты в кошельке. Карты разных банков.
dr_begemot
09.12.2016 17:53+1Ну помимо подбора карты разработчик может давать отказ если в поле несколько карт, и нужно получить уверенность, какую именно карту пользователь хочет приложить. Обычно это актуально для банковских карт.
В метро так работало полтора года назад, если не вру, может сейчас они ввели ограничение, что только одна карта из-за введения возможности оплатой PayPas.
AmberSP
09.12.2016 17:23в пивнушке рядом с домом POS-терминал оснащён выносной приблудой для NFC, Она небольшая, без проблем прячется в рукаве зимней куртки, например. По рукаву провод до терминала, который лежит в сумке с жетскими стенками — и пусть обпечатается чеками.
А остальные проблемы еще надо как-то решать.
Согласен с тем, что дешевле гопануть у банкомата.
amarao
09.12.2016 17:38-1Все технические вопросы с модификацией решаются элементарно. Единственный серьёзный аргумент: оспаривание платежа. Но процесс оспаривания — то ещё развлечение, до полугода.
dr_begemot
09.12.2016 18:11Многие пишут про элементарность взлома.
Какие-то сниферы и тому подобное. Вы серьёзно думаете, что обмен идёт в открытом виде?
Да, есть понятие открытых ключей, которыми можно прочитать некоторые поля.
В основном в картах для обмена секретной информацией используется PKI. И я даже не уверен, расшифровывается ли информация на терминале, скорее всего просто подписывается и отправляется на сервер.
Чипованная карта представляет из себя чёрный ящик, из которой можно прочитать блоки, обратится к java-аплету на чипе итд. Ключи для доступа в считывателе тоже нельзя считать, только записать новый.
Возможно чип можно взломать в лабораторных условиях и сделать дубликат, не изучал этот вопрос, но это не возможно просто сканируя карты ридером.Jesting
09.12.2016 19:02Всё там открыто передаётся. Кроме офлайн-пин кода, у операции проверки которого есть опция с передачей в шифрованном виде.
Чипованная карта это отнюдь не черный ящик для тех кто знаком с ISO7816.
Ключи и некоторая другая чувствительная информация действительно неизвлекаема.
Вся информация которую терминал считывает с карты и отправляет на сервер — известна терминалу, потому что именно терминал предоставил данные карты на подпись/генерацию криптограммы.dr_begemot
09.12.2016 19:58Вам нужно смотреть ISO14443)
Jesting
09.12.2016 20:58+1У вас в голове каша.
ISO 14443 это описания физических характеристик карт, ридера, протокола передачи данных и т.д. Поверх этого всего работает EMC Contactless.
Кстати, «хак» с двумя NCF картами как способ защиты от случайного чтения — совсем не хак, а ситуация описанная в стандарте (опять же EMV): в идеальном случае ридер должен сообщить о нахождении нескольких карт в зоне чтения и предложить убрать лишние. Самовольно обрабатывать транзакции по одной из карт в таком случае ридеру запрещено.dr_begemot
10.12.2016 12:53-1Есть несколько типов бесконтактных карт, например java-карты и mifare classic, в mifare картах действительно нет неизвлекпемых данных, достаточно, чтобы в nfc-чипе ридера были записаны нужные ключи.
В java-карты, помимо всего того, что есть у mifare, можно записать апплет, который будет неизвлекпемым. С помощью этих апплетов можно реализовать, к примеру, инфраструктуру PKI. В случае банковских карт это EMV.
PS стандарт ISO/IEC 7816 для контактных карт, стандарт ISO/IEC 14443 для бесконтактных карт.
Jesting
10.12.2016 13:46+1Вы открывали эти ISO? Если бы открывали то наверняка поняли свою ошибку. 14443 это только физические характеристики и протокол обмена, но не система команд. 7816 это всё вместе взятое. EMV построен на 7816, но содержит расширенный набор команд. В качестве транспорта там действительно ISO 7816. EMV contactless это те же команды(с небольшими изменениями и дополнениями) что и в EMV но в качестве транспорта тут либо Mifare ISO14443 либо NFC ISO/IEC 18092, который по большей части совместим с ISO14443. В ISO14443 нет не слова о проведении бесконтактых платежей. Вся эта информация это исключительно EMV (и основанные на EMV) спецификации.
По поводу неизвлекаемой информации — она никак не зависит от протокола передачи данных. В картах Paypass и Paywave используется чип с параметрами безопасности неотличимыми от таковых в чип. картах стандарта EMV. Даже больше — в силу беспроводной природы технологии, некоторые параметры ужесточены — как например команда Verify в контактном EMV принимает на вход как Plain Pin так и Enchipered, однаков в бесконтактном остался только Enchipered чтобы исключить любые возможности перехвата.
dr_begemot
09.12.2016 20:04Ну и встречный вопрос, что мы хотим подделать?
Использовать терминал в корыстных целях конечно можно, но что это даст, если терминал вскоре заблокируют?
dvb_des
10.12.2016 13:30Так думали разработчики из france telecom, а что в результате? Не просто дырка — пропасть в виде BC 52 и стали извлекаемы ключи, возможность заливки и запуска на карте произвольного кода, а также был вычитан ROM, хотя при попытке чтения оного из инструкции выполняемой из RAM срабатывало не маскируемое прерывание, обработчик которого состояло из одной команда JMP на саму себя. Это версия Viaccess PC2.3. Напомню использовался просто ридер подключенный к компу. Со следующей версией разбирались целых полгода. Опять была найдена ошибка, и тоже стандартным ридером. В последствии стали применять так называемые глючеры, которые отслеживали время с спада ресет, и количество тактов, и просаживали питание, модифицировали clock для того чтобы повлиять на условный переход. Правда прошло уже много лет, но криворуких программистов не стало меньше, наоборот с удешевлением стоимости чипов, и памяти, происходит рост строк кода в них, а значит рост количества возможных багов. А что, имеем тут, бесконтактный доступ к карте и к Ваши деньгам соответственно, и к заверениям, что это выгодно и безопасно как минимум стоит относится и настороженностью.
motpac
10.12.2016 13:32А что скажете на счет последнего этапа — вывод средств и обход оспаривания фрода? У меня складывается ощущения, что этот момент все попросту игнорируют в своих рассуждениях.
dvb_des
10.12.2016 13:49Если кто нибудь найдет дырку к микропрограмме карты и может прочитать содержимое еепром бесконтактным способом, сможет делать чипованые клоны на белом пластике и снимать их в банкомате. А Вы там уже оспаривайте, и возвращать будет уже страховая компания банку. А если рассматривать просто проведение бесконтактного платежа, вариантов масса, например терминал зарегистрированный в Египте, если конечно антифрод не настроен проверять последнюю транзакцию и смотреть способен ли клиент добраться за это время в Египет…
motpac
10.12.2016 13:57Нет конечно, не настроен, ведь платежным система глубоко пофигу!
dvb_des
10.12.2016 15:02Я бы не стал бы так снисходительно относится к атифрод системам, их алгоритмы после небезызвестного зевса, стали сложны, и мало кто их знает, и уж тем более никто не станет их публиковать. Ибо знание антифрода банка это 80 проц успеха при махинациях с кредитными картами и банковскими аками.
KivApple
11.12.2016 07:20Деньги реально уходят продавцу только через несколько часов после оплаты. И если клиент в течении этого времени заявит о краже, то банку будет очень легко вернуть ему деньги — просто не закончить транзакцию и всё.
Rampages
09.12.2016 22:57-1Так давно же продают всякие кошельки для карт с защитой от NFC, т.е. блокируется NFC. Для примера можете в поисковике набрать что-нибудь наподобие: «nfc blocking wallet».
enalco
10.12.2016 12:17+1Работал с посами чуть больше года. Внесу свой коммент по этому поводу:
— Датчик вскрытия, Tamper. Хакается в принципе легко, в инете можно найти софт на эту тему и перед тем как отдать пос в банк на заливку ключей стоит позаботиться об этом) Чаще всего срабатывает от хорошего удара или от того, что внутри поса села батарейка, которая нужна для работы датчика, когда пос отключен от сети (самый частый случай в моей практике).
— У некоторых банков можно практически на лету перепрыгивать с одного счета на другой, но к сожалению не знаю какие данные от поса передаются в процессинговый центр. К примеру сбер, можно оплатить на счет бомжа1, а через пару минут настроек и удаления сессионных ключей уже оплачивать на счет бомжа2.
— В метро реально использовать только offline-транзакции. Большинство посов что я видел, очень долго проводят платеж по мобильным сетям. В среднем от 30 секунд и выше. Может все зависнуть и платеж не пройдет) Ну и потом выйдя на поверхность отправлять все платежи в банк, но скорее всего мониторинг завернет все операции, в большинстве банков возможность проведения offline-транзакций выдаются очень неохотно и с походами через все инстанции СБ.
— Wifi сразу отпадает, пос не пройдет через страницу авторизации.
— Звук кнопок выпиливается легко. Чтобы не печатать чек, достаточно заклеить чем-нибудь датчик бумаги и пос будет просто крутить моторчик)
Небольшой вердикт: идея «Ходить с посом и тащить деньги у пассажиров в метро/автобусах» на самом деле выглядит не очень. Даже дело не в затратах и сложности. Идея реальна, но:
Во-первых очень помешает факт физического присутствия, в большинстве вагонов/автобусах уже давно стоят камеры и отследить непонятного парня, который притирается к каждому пассажиру, будет очень легко.
Во-вторых как уже писал выше, мониторинг быстро прикроет Offline-транзакции.
В третьих как уже писали выше, все транзакции, которые не подтверждены вводом пин-кода очень легко вернуть и оспорить.
А и четвертое. Тоже уже было написано об этом, но продублирую. При оплате деньги замораживаются на счетах (клиента и продавца), если вам пришло СМС, что у вас списали деньги, это еще не значит что они тут же ушли в карман продавца. После, как правило, вечерней «сверки итогов» все транзакции подтверждаются и только после этого деньги поступают на счет (и то не сразу, до 2-3 дней).
Как-то раз проверял работу NFC на 30 пин-падах vx820 в Hamley's в ЦДМ, карта была тинькофф, пробивали какой-то гироскутер с ценой 50к и оплачивал бесконтактом на недостаточно средств. После 2й попытки мне звонит чел из мониторинга и спрашивает чем мы там занимаемся...)KivApple
11.12.2016 07:24— Wifi сразу отпадает, пос не пройдет через страницу авторизации.
В чём проблема держать в рюкзаке Wi-Fi роутер, который будет перераздавать Wi-Fi? При этом страницу авторизации можно пройти самостоятельно и заранее.
По остальным пунктам полностью согласен.
enalco
11.12.2016 12:04Заметил, что авторизация разрывается примерно каждые 4-5 станций(по-крайней мере у меня так, катаюсь на работу с Тимирязевской до Тульской и прохожу авторизацию 2 раза). Приходится перелогиниваться вновь. Опять же лишние движения и минимум анонимности. Максима-телеком привязывает номер телефона к mac адресу устройства, при смене мака придется снова авторизовать его с помощью смс)
Disasm
11.12.2016 15:20Если узнать mac-адрес терминала, то можно с помощью спуфинга и ноутбука его проплатить, после чего терминал сможет заходить в интернет без авторизации.
enalco
11.12.2016 16:36Ага и провайдер будет точно знать в каком составе/вагоне этот терминал перемещается) придется раз в какой-то промежуток времени менять мак, регать еще раз и оплачивать опцию без авторизации.
LetsDanceToJoyDivision
11.12.2016 00:01Не удивительно, что на техническом сайте обсуждаются технические подробности вопроса. Можно ли сделать ретранслятор для POS-терминала, можно ли модифицировать POS-терминал, какую информацию можно считать с бесконтактной карты и т.п.
Но если рассматривать вопрос с подобной схемой мошенничества в целом, то есть несколько нерешённых вопросов:
— Как мошеннику вывести деньги со счёта? Ведь счёт будет заблокирован гораздо раньше чем даже просто окупится организация схемы.
— Как мошеннику избежать уголовного преследования? Буквально каждый эпизод мошенничества досконально запротоколирован, личность мошенника очевидна, всё на радость следователя. Причём, добавление соучастников, типа, «на бомжа фирму оформим», это такой мгновенный апгрейд статьи (части статьи, пункта статьи) до «совершенное группой лиц по предварительному сговору» и без особых дополнительных сложностей для следователя.
sonik_spb
14.12.2016 10:49Ещё немного карты разжиреют (по доступным программистам ресурсам) и будет эпидемия вирусов на пластике, распространяемая во всяких метро :)
Crevice
15.12.2016 06:47В интернет-магазинах уже продают кошельки с защитой от RFID.
После прочтения статьи я все еще хочу такой себе купить.
kernel24
А если терминал не российский а получен в непонятном островном государстве :)
ThunderCat
Это снимает только вопрос с «анонимностью» владельца терминала, все остальные проблемы возврата средств, как впрочем и вопрос привязки терминала к местным гсм сетям не решает. Терминал можно и по месту на бомжа оформить — всего расходов — купить пиджак и брюки с подворотами — любой бомж за хипстера проканает. Деньги же, в случае успешного снятия еще и снять как-то надо. Короче, либо счет заблокируют, либо, что гораздо интереснее, возьмут в разработку, вычислят и посадят.
pwrlnd
Для этих целей не обязательно использовать терминал с GSM-модулем.
DeadKnight
тогда 99.999%, что транзакция просто не пройдет
Lamaster
А в терминалах МИР транзакция 100.000% пройдёт?
jehy
А процессинг какой этот терминал будет использовать? Эльфийский?
XLOR
Процессинг, это для терминала всего-лишь IP в настройках, IP может быть и за бугром, терминалу всеравно. Для банка — это будет просто считаться покупкой заграницей, как буд-то вы территориально переместились. Но тут Фрод-мониторинг очень быстро ловит такое.
Знакомый рассказывал, когда имел работу с внезапными заграничными командировками + имея карту Альфабанка, очень часто внезапно улетев заграницу и расплатившись по карте там, сразу же поступал звонок от банка и вежливый человек интересуется действительно ли это он делал покупку.
jehy
В целом вы правы, но я о том, что железка сама по себе не умеет деньги туда-сюда гонять, а мне кажется, что многие тут подумали именно так.
Процессинг это не только IP адрес, это некая точка входа, которой вы раскрыли о себе все данные, чтобы они принимали ваши платежи. И эта точка входа из островного государства будет сильно удивлена, если вы внезапно начали гонять платежи по РФ. И мгновенно вас заблокирует — иначе к ней придёт Visa/Mastercard и её просто прикроет с огромными штрафными санкциями.
XLOR
Вы берете за прописную истину, что за бугром только 100% доверенные точки входа. Могут и мошенникам принадлежать. И никто никому по башке ненастучит оперативно — это еще та клоака, поверьте.
Опять же вы пишите так как буд-то мы не на geektimes, ну думаю не проблема же тунели сделать. Берем терминал работающий по wifi, цепляем его к смартфону, а там тунельчик до забугорного сервака и всё, все IP местные для процессинга.
jehy
Точки входа, принадлежащие мошенникам? Которые долго и успешно обманывают Visa и Mastercard? Тогда, поверьте, им совершенно неинтересны несколько тысяч рублей, которые они смогут снять в московском метро.
Пишу, как будто мы не на гиктаймс, именно потому что возникают такие вопросы. Туннелями туннелями, но точка входа будет смотреть в том числе на страну выпуска карты. У нас даже в РФ срабатывает предупреждение антифрода, если начали проходить массово Украинские карты.