В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.
Рассматриваемые темы:
- Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
- В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
- Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
- Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
- Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.
Внимание!
В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.
Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.
Как это работает?
Для начала рассмотрим базовые понятия: любые движения денег с использованием платежных карт возможны только через посредников, подключенных к платежной системе, например VISA или MasterCard. В отличие от переводов между физическими лицами, списание денег с карты доступно только юридическому лицу (мерчанту), имеющему договор эквайринга с банком.
Этапы транзакции при оплате через POS-терминал
На иллюстрации выше изображена классическая схема оплаты через POS-терминал. Именно эта последовательность действий происходит, когда после оплаты на кассе вы ожидаете подтверждения на терминале.
- Покупатель прикладывает/проводит/вставляет карту в POS-терминал;
- POS-терминал по интернету передает данные в банк-эквайер;
- Банк-эквайер через международную платежную систему (МПС) обращается в банк-эмитент и запрашивает, может ли конкретный держатель карты оплатить покупку;
- Банк-эмитент подтверждает или отклоняет покупку, после чего печатается слип (второй чек).
Бывают исключения из этой схемы, например оффлайн транзакции, их мы рассмотрим далее. Также, если банк-эквайер и банк-эмитент являются одним и тем же банком, шаги 2 и 4 выполняются внутри одного банка.
Продавец (Merchant) — лицо или организация, предоставляющая товары или услуги
Банк-эквайер (Acquiring bank) — банк, который предоставляет продавцу услуги приема платежей через банковские карты. В этом банке, обычно, находится расчетный счет продавца, куда зачисляются списанные с карты деньги.
Банк-эмитент (Issuing bank) — банк, выпустивший карту. В нем находится счет владельца карты, у которого списываются деньги.
Международная платежная система (МПС) — международная система-посредник между банками по всему миру, позволяющая банкам производить расчеты между собой без заключения договора с каждым банком по отдельности. Все банки, подключенные к МПС, соглашаются работать по одним правилам, что значительно упрощает взаимодействие. Например, Visa, MasterCard, UnionPay, American Express,
Владелец карты (Cardholder) — человек, заключивший с банком-эмитентом договор обслуживания карты.
Чем отличается обычная карта от Apple Pay или Google Pay?
Процедура привязки банковской карты к системе Apple Pay или Google Pay из-за непонятности процесса часто порождает заблуждения даже у профессионалов в IT. Мне приходилось слышать много разных мифов об этой технологии.
Популярные мифы об Apple Pay
- Карта копируется в телефон
Это не так, в микропроцессорной карте содержится защищенная область памяти с криптографической информацией, которая после выпуска карты не может быть извлечена. Из-за этого чипованную карту нельзя скопировать, никак, вообще. Справедливости ради нужно сказать, что подобные атаки возможны, но стоимость их превышает суммарное количество денег, которые потратят за всю жизнь большинство читателей этой статьи. - Телефон каждый раз подключается к интернету во время оплаты
Google Pay/Apple Pay не подключаются к интернету во время оплаты через POS-терминал. Вся нужная информация хранится локально в телефоне. - На каждую оплату генерируется новый номер карты (PAN)
Так может показаться, если читать пресс-релизы Apple о технологии Apple Pay. Но это ошибочное трактование понятия токена. На самом деле, реквизиты виртуальной карты остаются неизменными достаточно долго, вы можете это проверить по последним цифрам номера карты в слипе (банковском чеке) при оплате покупок. - При оплате через Apple Pay/Google Pay взымается дополнительная комиссия
Это не так, вы заплатите ровно столько, сколько указано на ценнике, и согласно условиям вашего договора с банком-эмитентом, чью карту вы привязали. - Деньги могут списаться два раза
Этот миф касается не только Google Pay/Apple Pay, но и обычных банковских карт. Полагаю, что он появился из-за систем оплаты общественного транспорта, в которых терминал списывает деньги с проездного билета каждый раз при поднесении, так что можно списать средства два или более раз, если неаккуратно поднести карту. В случае с POS-терминалами этого риска не существует, так как терминал прекращает обмен с картой, как только получил нужны данные.
Связывание физической карты с «токеном» в телефоне
Системы, подобные Apple Pay, работают на основе EMV Payment Tokenisation Specification. Процедура связывания физической карты и телефона с Apple Pay не описана публично, поэтому разберем процесс на основе известных данных:
- Поставщик (Google, Apple, Samsung) получает информацию о карте;
- Через МПС поставщик запрашивает, поддерживает ли данная карта (данный банк-эмитент) работу с EMV Tokenisation;
- На стороне МПС генерируется виртуальная карта (токен), который загружается в защищенное хранилище в телефоне. Мне неизвестно, где именно генерируется приватный ключ от виртуальной карты, передается ли он по интернету или генерируется локально на телефоне, в данном случае это не имеет значения.
- В телефоне появляется сгенерированная виртуальная карта-токен, операции по которой банк-эмитент интерпретирует как операции по первой физической карте. В случае блокировки физической карты, токен тоже блокируется.
Apple Pay позволяет считать реквизиты виртуальной карты. PAN номер и expire date отличаются от привязанной карты российского Альфа-Банка. По BIN виртуальной карты (480099) определяется MBNA AMERICA BANK.
При оплате телефоном, POS-терминал видит обычную карту VISA или MasterCard, и общается с ней точно так же, как и с физической картой. Виртуальная карта-токен содержит все атрибуты обычной карты: PAN-номер, срок действия и прочее. При этом номер виртуальной карты и срок действия отличаются от привязанной оригинальной карты.
Сценарий 1 — обычный POS-терминал
Мошенник, вооруженный POS-терминалом
Самый популярный сюжет мошенничества в головах обывателей: к ним в толпе прижимается мошенник с включенным терминалом и списывает деньги. Мы попытаемся воспроизвести этот сценарий в реальности.
Условия следующие:
- У мошенника полностью рабочий обыкновенный POS-терминал, подключенный к банку-эквайеру, такой же, как в магазинах и у курьеров. Прошивка терминала не модифицирована. В нашем случае — Ingenico iWL250. Это портативный POS-терминал с GPRS модемом, который поддерживает бесконтактную оплату, работает от батарейки и полностью мобилен.
- Мошенник не использует дополнительные технические средства, только POS-терминал
- Списанные средства зачисляются на расчетный счет мошенника, по всем правилам банковских систем
Юридическое лицо
Для начала нам потребуется юридическое лицо с расчетным счетом и подключенным эквайрингом. Мы, как настоящие мошенники, не будем ничего оформлять на свое имя, а попытаемся купить готовое юр. лицо на сайте для таких же мошенников. Для этого посмотрим объявления с первой страницы гугла по запросу «купить ип» и «купить ооо».
Предложения о продаже готовых компаний от мошенников (кликабельно)
Цена компании на черном рынке с расчетным счетом колеблется от 20 до 300 тысяч рублей. Мне удалось найти несколько предложений ООО с POS-терминалом от 200 тысяч рублей. Такие компании оформлены на подставных лиц, и покупатель получает весь пакет документов, вместе с «кеш-картой» — это банковская карта, привязанная к расчетному счету подставной компании. С такой картой мошенник может обналичивать деньги в банкомате.
Для простоты будем считать, что ООО + расчетный счет + эквайринг и POS-терминал обойдутся мошеннику в 100 000 рублей. На самом деле больше, но мы упростим жизнь нашему гипотетическому мошеннику, снизив себестоимость атаки. Ведь чем ниже себестоимость атаки, тем проще ее реализовать.
Идем воровать деньги
Итак, мошенник получил POS-терминал и готов отправиться в людное место, чтобы прислоняться к жертвам и воровать деньги из карманов. В нашем эксперименте все жертвы были предварительно проинструктированы о наших намерениях, и все попытки списания денег проводились с их согласия. В случаях, когда испытуемые не имели собственных бесконтактных банковских карт, им предлагалось положить в кошелек нашу карту. Предварительно у испытуемых выяснялось, где именно и как они хранят свои карты, поэтому мошенник заранее знал, где в сумке/кармане находится бесконтактная карта.
Видео: мошенник разбушевался в торговом центре
В случае успешного списания, транзакция отменялась через меню терминала, и деньги возвращались на счет испытуемых. За все время эксперимента мы попытались «украсть» деньги у 20 испытуемых в здании торгового центра и на улице. Результат испытаний описан далее.
Проблема: Лимит на транзакции без PIN-кода
Лимит на максимальную сумму операции без подтверждения ПИН-кодом может быть установлен как на самом POS-терминале (CVM Required Limit), так и на стороне банка. В России это ограничение равно 1000?.
UPD В настройках карты, может быть установлен тип авторизации Cardholder verification methods (CVMs) в виде росписи. В таком случае, бесконтактная транзакция пройдет на любую сумму без ПИН-кода.
Наш мошенник принимает решение списывать по 999.99 рублей за раз. Если будет запрошена повторная попытка списания суммы ниже лимита в короткий временной промежуток, будет также запрошен ввод ПИН-кода и, в большинстве случаев, не получится несколько раз подряд списать по 999.99 рублей. Поэтому наиболее оптимальной стратегией будет не более одного списания с одной карты.
В России максимальная сумма списания без PIN-кода равна 1000 руб.
В действительности, множество списаний с суммой 999.99 рублей за короткий промежуток времени могут спровоцировать срабатывание антифрод-системы на стороне банка-экваера, поэтому такая стратегия не является оптимальной для мошенника. Так что, в реальной жизни ему бы пришлось выбирать более разнообразные суммы, тем самым снижая потенциальный доход.
Кстати, во многих статьях по данной теме на русском языке говорится, что можно вручную установить собственный лимит на бесконтактные операции без ПИН-кода. Мне не удалось найти такой опции в основных российских банках. Может, вы знаете о такой возможности? Речь именно о бесконтактных платежах, а не любых chip&pin-транзакциях.
Проблема: Несколько карт в кошельке
Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит одну единственную карту в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.
Конкретно мой терминал Igenico iWL250 при обнаружении в поле действия более одной карты с SAK, обозначающим поддержку протокола 14443-4, возвращает ошибку: «предъявите одну карту».
Но так поступают не все терминалы. Например, сбербанковские POS-терминалы VeriFone выбирают случайную карту из нескольких. Некоторые терминалы просто игнорируют все карты, если их более одной, не показывая сообщений об ошибке.
Попытка считать несколько карт в кошельке. POS-терминал возвращает ошибку.
Антиколлизии ISO 14443-3
Чтение одной конкретной карты из нескольких — непростая задача на физическом уровне. Для решения этой проблемы существует механизм антиколлизий. Он позволяет выбрать одну карту, если был получен ответ от нескольких карт сразу. Это самый первый этап установления связи с бесконтактной картой в протоколе ISO-14443A. На данном этапе считыватель не в состоянии выяснить, какая из представленных карт банковская. Единственный вариант — выбрать более-менее похожую на банковскую карту, на основании ответа SAK (Select Acknowledge).
Так, например, используемая в московском общественном транспорте карта «Тройка» (стандарта Mifare) имеет значение SAK=0x08 (b00001000), в котором шестой бит равен нулю. В то время как у всех банковских карт в ответах SAK шестой бит равен 1, что означает поддержку протокола ISO 14443-4.
Поэтому все, что может сделать терминал при обнаружении нескольких карт одновременно — исключить карты, не поддерживающие ISO 14443-4, и выбрать одну из похожих на банковскую. Поддержка протокола ISO 14443-4, кстати, не гарантирует, что эта карта будет банковской, однако вероятнее всего, в кошельке обычного человека не будет карт другого типа, поддерживающих ISO 14443-4.
Блок-схема работы протокола антиколлизий
Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.
Однако мы будем считать, что нашему мошеннику очень везёт, и это ограничение его не беспокоит.
Оффлайн vs Онлайн транзакции
В устрашающих сюжетах новостей рассказывают о мошенниках с POS-терминалами в вагонах метро, которые прямо в пути списывают у вас из карманов деньги. В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро. Возможно, его терминал поддерживает оффлайн-транзакции?
Спецификации EMV допускают оффлайн-транзакции. В таком режиме списание происходит без онлайн-подтверждения со стороны банка-эмитента. Это работает, например, в общественном транспорте в Москве и Санкт-Петербурге. Чтобы не занимать очередь на входе в автобус, пока терминал выполнит онлайн-подтверждение, вас пропускают сразу, не проверяя, достаточно ли у вас денег на счету для оплаты проезда. В конце дня, когда на терминале появляется интернет, подписанные транзакции отправляются в банк-эмитент. Если окажется, что в этот момент у вас нет денег на оплату проезда, карта будет добавлена в стоп-лист на всех терминалах в городе. Долг можно погасить через личный кабинет по номеру карты. Подробнее об оплате проезда в автобуса Санкт-Петербурга.
Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний. Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.
Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя.
Подсчитываем прибыль
В нашем сценарии себестоимость атаки была 100 000 рублей. Это значит, что для того, чтобы хотя бы вернуть вложения, нашему герою нужно выполнить минимум 100 транзакций по 1 тысяче рублей. Представим, что он был достаточно проворным и весь день бегал по городу, прижимаясь ко всем подряд, так, что к концу для сделал 120 успешных списаний. Мы не будем учитывать комиссию эквайринга (в среднем 2%), комиссию на обналичивание (4-10%) и другие комиссии.
Может ли он успешно обналичить деньги, используя карту, привязанную к расчетному счету?
В реальности не все так просто. Зачисление денег на счет мошенника произойдет только через несколько дней! За это время, наш мошенник должен надеяться, что никто из ста двадцати жертв не оспорит транзакцию, что крайне маловероятно. Поэтому в реальности, счет мошенника будет заблокирован еще до зачисления на него денег.
Если человек заметил, что по его карте была проведена покупка, которую он не совершал, ему следует обратиться к банку-эмитенту и подать претензию. На рассмотрение спорных операций на территории России уходит до 30 дней, а по операциям, совершенным за рубежом — до 60 дней. За это время банк-эмитент направляет запрос банку-эквайеру, и если банк-эквайер подтверждает факт совершения сомнительных операций, то блокируется терминал и средства на расчетном счете владельца терминала.
Александр Падерин, управляющий директор центра информационной безопасности Уральского банка реконструкции и развития (УБРиР)
Вывод
Себестоимость атаки в нашем сценарии — 100 000р. В действительности, она будет в несколько раз выше, поэтому мошеннику потребуется намного больше усилий для того, чтобы получить прибыль.
В нашем сценарии мошенник всегда списывает по 999.99 рублей, что, вероятнее всего, повлечет за собой срабатывание системы антифрода на стороне банка-эквайера. В реальности мошеннику потребуется списывать меньшие суммы.
Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв. Если даже десяток из них обратится банк-эмитент и оспорит транзакцию, счет мошенника, скорее всего, будет заблокирован. Сценарий, в котором банк-эквайер находится в сговоре с мошенником маловероятен, потому как лицензия для работы с МПС стоит сильно больше, чем любые потенциальные прибыли от такого вида мошенничества.
Из 20 испытуемых только у трех удалось списать деньги с карты, что составляет 15% успеха от всех попыток. Это были те искусственные случаи, когда в кармане находилась одна единственная карта. В случаях же с кошельком и несколькими картами, терминал возвращал ошибку. В сценарии с терминалом, который использует модифицированную прошивку и реализует механизм антиколлизий, процент успешных списаний, возможно, будет выше. Однако, даже в случае использования антиколлизий, в реальных условиях на бегу, считать одну карту из нескольких настолько сложно, что успешное списание в таких условиях можно считать везением. В реальности, доля успешных списаний будет едва ли выше 10% от числа попыток.
Итак, несмотря на то, что в теории такая атака возможна, на практике она оказывается невыгодна и крайне тяжело осуществима. Шанс получить хоть какую-либо прибыль настолько мал, что лишает смысла всю затею.
Сценарий 2 — злой POS-терминал
Допустим, наш мошенник работает на кассе в магазине или курьером с мобильным POS-терминалом. В таком случае, у него появляется возможность вылавливать данные карты, которых, в некотором случае, может быть достаточно для оплаты в интернете.
Для начала разберемся, как именно выглядит бесконтактная транзакция, и какими данными обменивается карта с POS-терминалом. Так как нам лень читать тысячи страниц документации EMV Contactless Specifications , мы просто перехватим обмен на физическом уровне с помощью сниффера HydraNFC.
Есть некоторая разница между EMV-спецификацией для MasterCard PayPass и Visa payWave. Это разница в формате подписи и некоторых данных. Но для нас это несущественно.
NFC-сниффер
HydraNFC — полностью опенсорсный автономный сниффер ISO-14443A, который сохраняет перехваченные APDU-команды на SD-карту. Антенна сниффера размещается между терминалом и картой, и пассивно захватывает всю передаваемую информацию.
> Сайт о HydraBus и шилде HydraNFC
> Исходники прошивки
Демонстрация перехвата обмена между POS-терминалом и телефоном с Apple Pay
Забегая вперед, нужно сказать, что на этом уровне оплата телефоном и обычной пластиковой картой не отличается. Для POS-терминала это обычная карта VISA. Однако, оплата телефоном намного безопаснее, чем физической картой, и дальше мы разберем, почему.
Разбор протокола EMV
Вот как выглядит записанный дамп при оплате шоколадки и бутылки воды общей стоимостью 142.98 рублей с помощью Apple Pay:
Кассовый чек и слип от транзакции (кликабельно)
R (READER) — POS-терминал
T (TAG) — карта (в нашем случае телефон)
R>> 52
R>> 52
R>> 52
R>> 52
R>> 52
R>> 52
R>> 52
T<< 04 00
R>> 93 20
T<< 08 fe e4 ec fe
R>> 93 70 08 fe e4 ec fe dd 6e
T<< 20 fc 70
R>> 50 00 57 cd
R>> 26
R>> 52
T<< 04 00
R>> 93 70 08 fe e4 ec fe dd 6e
T<< 20 fc 70
R>> e0 80 31 73
T<< 05 78 80 70 02 a5 46
R>> 02 00 a4 04 00 0e 32 50 41 59 2e 53 59 53 2e 44 44 46 30 31 00 e0 42
T<< 02 6f 23 84 0e 32 50 41 59 2e 53 59 53 2e 44 44 46 30 31 a5 11 bf 0c 0e 61 0c 4f 07 a0 00 00 00 03 10 10 87 01 01 90 00 4b b3
R>> 03 00 a4 04 00 07 a0 00 00 00 03 10 10 00 bc 41
T<< 03 6f 31 84 07 a0 00 00 00 03 10 10 a5 26 9f 38 18 9f 66 04 9f 02 06 9f 03 06 9f 1a 02 95 05 5f 2a 02 9a 03 9c 01 9f 37 04 bf 0c 08 9f 5a 05 60 08 40 06 43 90 00 1d 66
R>> 02 80 a8 00 00 23 83 21 36 a0 40 00 00 00 00 01 42 98 00 00 00 00 00 00 06 43 00 00 00 00 00 06 43 18 09 18 00 e0 11 01 03 00 f9 14
T<< 02 77 62 82 02 00 40 94 04 18 01 01 00 9f 36 02 02 06 9f 26 08 d6 f5 6b 8a be d7 8f 23 9f 10 20 1f 4a ff 32 a0 00 00 00 00 10 03 02 73 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 9f 6c 02 00 80 57 13 48 00 99 72 50 51 17 56 d2 31 22 01 00 00 05 20 99 99 5f 9f 6e 04 23 88 00 00 9f 27 01 80 90 00 af c8
R>> 03 00 b2 01 1c 00 c9 05
T<< 03 70 37 5f 28 02 06 43 9f 07 02 c0 00 9f 19 06 04 00 10 03 02 73 5f 34 01 00 9f 24 1d 56 30 30 31 30 30 31 34 36 31 38 30 34 30 31 37 37 31 30 31 33 39 36 31 36 37 36 32 35 90 00 a7 7b
Разберем каждую строку строку из перехваченного дампа в отдельности.
R>> — данные, переданные POS-терминалом
T>> — данные, переданные картой (в нашем случае телефон с Apple Pay)
14443-A Select
В начале обмена терминал устанавливает соединение с картой на канальном уровне. Для тех, кто знаком с сетями и моделью OSI, будет удобно представить это в качестве уровня L2, а UID (Unique Identifier) карты как MAC-адрес узла.
В терминологии стандарта ISO-14443:
PCD (proximity coupling device) — название считывателя, в нашем случае это POS-терминал
PICC (proximity integrated circuit card) — карта, в нашем случае эту роль выполняет телефон
Важное отличие обычной платежной карты от Apple Pay в том, что в карта всегда доступна для считывания и никак не позволяет управлять процессом считывания. Ее можно бесконтрольно считать через одежду, в то время как телефон, попадая в поле действия считывателя, предлагает пользователю активировать виртуальную карту. До подтверждения пользователя телефон не передает никакие данные, и считыватель даже не знает, что рядом находится виртуальная карта.
R>> 52 // WUPA (wake up)
R>> 52 // WUPA
R>> 52 // WUPA
R>> 52 // WUPA
R>> 52 // WUPA
R>> 52 // WUPA
R>> 52 // WUPA
T<< 04 00 // ATQA (Answer To Request type A)
R>> 93 20 // Select cascade 1 (Anti Collision CL1 SEL)
T<< 08 fe e4 ec fe // UID (4 bytes) + BCC (Bit Count Check)
R>> 93 70 08 fe e4 ec fe dd 6e // SEL (select tag 0x9370) + UID + CRC16
T<< 20 fc 70 // SAK (Select Acknowledge 0x20) + CRC16
R>> 50 00 57 cd // HALT (Disable communocaion 0x5000) + CRC16
R>> 26 // REQA
R>> 52 // WUPA
T<< 04 00 // ATQA
R>> 93 70 08 fe e4 ec fe dd 6e // SELECT
T<< 20 fc 70 // SAK
R>> e0 80 31 73 // RATS (Request Answer to Select 0xE080) + CRC16
T<< 05 78 80 70 02 a5 46 // ATS (Answer to select response)
Терминал постоянно передает команду 0x52 Wake-up (WUPA), и как только в поле действия появляется карта, она отвечает командой Answer To Request type A (ATQA), в нашем случае это 0x04 0x00. Ответ ATQA может различаться в зависимости от производителей чипа.
Получив ответ ATQA, терминал начинает процедуру выявления коллизий, чтобы определить, есть ли в поле действия более одной карты. Команда 0x93 0x20 Select cascade level 1 (SEL CL1) запрашивает у всех карт в поле действия сообщить первую часть своих идентификаторов UID.
Карта отвечает 0x08 0xFE 0xE4 0xEC 0xFE, первые четыре байта — UID виртуальной карты Apple Pay и контрольная сумма 0xFE Bit Count Check (BCC) в конце.
Получив идентификаторы карт, считыватель обращается к конкретной карте командой 0x93 0x70 (SELECT). За командой следует UID карты 0x08 0xfe 0xe4 0xec + 0xfe BCC + 0xdd 0x6e CRC16.
Карта отвечает 0x20 Select Acknowledge (SAK) + 0xfc 0x70 CRC16.
Если на этом шаге получено несколько ответов SAK, ридер может уменьшить длину UID в команде SELECT, пока не ответит единственная карта. Однако, как показано выше, некоторые POS-терминалы отказываются продолжать, если на этом этапе выявлены коллизии, то есть присутствие нескольких карт одновременно.
Длина UID может быть 4, 7 или 10 байт. У всех банковских карт, что я встречал, в том числе и в Apple Pay, UID был равен 4 байтам. Интересно, что Apple Pay генерирует разный UID на каждое считывание, в отличие от физических карт, где UID обычно постоянный. Уверен, что это сделано для того, чтобы айфоны не использовали в качестве примитивных карт доступа, так как системы СКУД на основе UID до сих пор очень популярны.
Ридер посылает команду 0x50 0x00 HALT + 0x57 0xcd CRC16. Это команда завершения связи.
Дальше процедура повторяется заново, ридер снова пробуждает карту (WUPA), но уже без проверки коллизий, сразу выполняется SELECT. Зачем так сделано — не знаю, возможно, это какой-то более надежный способ определения коллизий.
Во второй раз ридер уже посылает команду 0xE0 0x80 Request Answer to Select (RATS) + 0x31 0x73 CRC16.
Карта отвечает 0x05 0x78 0x80 0x70 0x02 Answer to select response (ATS) + 0xA5 0x46 CRC16.
Answer to select — ответ аналогичный Answer To Reset (ATR) для контактных карт. В нем содержится информация о максимальном размере кадра и параметрах канального уровня.
На этом этапе «канальный» уровень завершен, далее начинается обмен на более высокоуровневом протоколе, в зависимости от приложения, содержащегося на карте. Операция SELECT одинакова для всех бесконтактных карт стандарта ISO 14443A, в том числе NFC-меток, билетов на общественный транспорт, и т.д.
Запрос доступных приложений — SELECT PPSE
Официальное описание: EMV Contactless Specifications — PPSE and Application Management for Secure Element
Начало общения с EMV-картой всегда происходит с чтения PPSE (Payment System Environment). Терминал спрашивает у карты, какие платежные приложения на ней есть.
Чаще всего это одно приложение, как в нашем примере — VISA. Однако бывают карты с несколькими платежными приложениями, например, есть специальные отечественные карты МИР с двумя платежными приложениями внутри. Так как платежная система МИР не работает заграницей, в карту интегрируется второе платежное приложение, по сути вторая карта. Это может быть приложение платежной системы JCB или UnionPay. Такие карты называются кобейджинговыми.
APDU-команда SELECT PPSE
'00 A4 04 00 0E 32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 00'
00 A4 04 00 // команда select
0E // длина command data (14 байт)
32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 // command data 2PAY.SYS.DDF01
00 // завершающий маркер
Ответ на SELECT PPSE
'6F 23 84 0E 32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 A5 11 BF 0C 0E 61 0C 4F 07 A0 00 00 00 03 10 10 87 01 01 90 00'Для удобства проанализируем ответ с помощью онлайн-парсера формата TVL iso8583.info/lib/EMV/TLVs. Тот же ответ, обработанный парсером:
Из всего этого нас интересует только идентификатор платежного приложения (AID). В данном случае, это значение A0000000031010, означающее Visa International.
AID помечается маркером 4F. Вторым битом после маркера следует длина данных, в нем содержащихся. Несмотря на то, что длина AID может варьироваться от 5 до 16 байт, в большинстве случаев она равна 7 байтам.
Большой список AID: eftlab.co.uk/knowledge-base/211-emv-aid-rid-pix
Некоторые популярные AID
A0000000031010 Visa International
A0000000032020 Visa International
A0000000041010 Mastercard International
A0000000043060 Mastercard International United States Maestro (Debit)
Application Priority Indicator — указывает приоритет платежных приложений. Например, в кобейджинговых картах МИР, имеющих внутри несколько платежных приложений, это поле указывает, какое из двух приложений приоритетнее. Так как у нас только одно приложение Visa International, оно указывает на него, и приоритет отсутствует.
Запуск платежного приложения — SELECT AID
'00 A4 04 00 07 A0 00 00 00 03 10 10'
00 A4 04 00 // команда select
07 // длина command data (7 байт)
A0 00 00 00 03 10 10 // AID Visa International
Выбрав нужное платежное приложение, терминал запускает его.
PDOL (Processing Options Data Object List)
'6f 31 84 07 a0 00 00 00 03 10 10 a5 26 9f 38 18 9f 66 04 9f 02 06 9f 03 06 9f 1a 02 95 05 5f 2a 02 9a 03 9c 01 9f 37 04 bf 0c 08 9f 5a 05 60 08 40 06 43 90 00'
Разберем ответ парсером
В ответ на запуск платежного приложения карта сообщает набор параметров, которые ожидает получить от терминала — PDOL (Processing Options Data Object List). Терминал обязан ответить в строгом соответствии с этой последовательностью.
PDOL у разных карт может различаться. Общее число параметров PDOL — несколько десятков. Полный список параметров PDOL можно посмотреть здесь.
Разберем PDOL внимательнее. Длина, указанная после маркера — строго ожидаемая длина ответа от терминала на данный запрос. Пустой ответ заполняется нулями до нужной длины.
Разбор запроса PDOL:
9F 38 18 // Маркер начала PDOL. Длина 18 (24 байта)
9F 66 (длина 04) // Terminal Transaction Qualifiers (TTQ). Набор поддерживаемых терминалом протоколов.
9F 02 (длина 06) // Сумма списания
9F 03 (длина 06) // вторая сумма
9F 1A (длина 02) // Код страны в формате ISO3166-1
95 (длина 05) // Terminal Verification Results
5F 2A (длина 02) // Код валюты, в которой работает терминал, в формате ISO4217
9A (длина 03) // Дата в формате YYMMDD
9C (длина 01) // Тип транзакции
9F 37 (длина 04) // Случайное число
До этого момента все передаваемые данные идентичны для любых транзакций по этой карте.
Запрос на списание — GET PROCESSING OPTIONS
'80A8000023832136A0400000000001429800000000000006430000000000064318091800E011010300'
80 A8 00 00 // Команда GET PROCESSING OPTIONS (GPO)
23 // длина всего запроса (35 байт)
83 // маркер PDOL-ответ
21 // длина PDOL-ответа (33 байта)
36 A0 40 00 // Terminal Transaction Qualifiers (TTQ)
00 00 00 01 42 98 // Сумма списания (142,98 рублей)
00 00 00 00 00 00 // Вторая сумма
06 43 // Код страны экваера (643 - россия)
00 00 00 00 00 // Terminal Verification Results (TVR)
06 43 // Валюта (643 - russian ruble)
18 09 18 // дата (18 сентября 2018 года)
00 // тип транзакции
E0 11 01 03 // Случайное число
В этом ответе наглядно видно, как терминал, который находится в России, запрашивает списание с карты на сумму 142,98 рублей. Обращаем внимание на случайное число в конце (E0110103). Это параметр 9F37 Unpredictable Number. Это первое упоминание криптографии. В дальнейшем это число вместе с данными транзакции карта должна будет подписать криптографической подписью. Это дает терминалу контроль над актуальностью подписи от карты и защищает от replay атак.
Ответ карты на GET PROCESSING OPTIONS
'7762820200409404180101009F360202069F2608D6F56B8ABED78F239F10201F4AFF32A00000000010030273000000004000000000000000000000000000009F6C02008057134800997250511756D23122010000052099995F9F6E04238800009F2701809000'
В данном ответе содержатся специфичные для VISA поля данных, поэтому я использовал парсер c поддержкой VISA Contactless Payment Specification (VCSP).
Application Interchange Profile (AIP) — содержит информацию о параметрах платежного приложения. В нашем случае AIP равен 00 40. Рассмотрим значения данного параметра из EMV 4.3 Book 3.
В нашем случае установлен один бит во втором байте, который, если верить этой таблице, Reserved For Future Use (RFU). Что это значит, и какой смысл в это вкладывает Apple Pay, я не знаю.
В AIP содержится важная информация о поддерживаемых методах аутентификации (SDA,CDA,DDA) платежа. Почему в моем случае все эти флаги равны нулю — я не понимаю.
Application File Locator (AFL) — Содержит информацию о расположении записей (SFI range of records) в конкретном AID. На основании этого ответа терминал сформирует запрос READ RECORD.
Разберем ответ AFL подробнее:
Short File Identifier (SFI) равно 0x18. Этот параметр кодируется пятью битами вместо восьми. Соответственно значение 0x18 (b00011000) преобразовываем в b00000011, и получаем 0x3.
First record = 1
Last record = 1
Т.е. в «папке» №3 есть записи с 1 по 1, то есть одна запись.
Application Transaction Counter (ATC) — инкрементный счетчик транзакций, который увеличивается каждый раз на единицу при запросе GET PROCESSING OPTIONS. Под достижению значения 0xFFFF или 0x7FFF, платежное приложение безвозвратно заблокируется. Полагаю, что это сделано для защиты от брутфорса приватного ключа карты. В нашем случае видно, что данный айфон с Apple Pay использовался для оплаты уже 518 (0x206) раз.
Application Cryptogram (AC) — криптографическая подпись, которая вычисляется картой с использованием ее приватного ключа. Данная подпись передается вместе с остальными данными банку-эмитенту, и на ее основании проверяется подлинность транзакции. Так как приватный ключ карты невозможно (доступными средствами) извлечь из карты, это позволяет исключить возможность копирования карты.
Issuer Application Data (IAD) — Содержит проприетарные данные, специфичные для VISA. Я не осилил разбор этой структуры, помогите.
Card Transaction Qualifiers (CTQ) — специфичный для VISA cписок поддерживаемых картой спецификаций. Например, можно ли использовать эту бесконтактную карту для операций в банкомате или нет, и какие подтверждения при этом потребуются.
Track 2 Equivalent Data — Оппа! В этом поле содержится номер карты и expiration date, подробнее эта информация будет разобрана далее.Form Facto Indicator (FFI) — специфичное для VISA поле. Описывает форм-фактор и характеристики платежного устройства. В нашем случае видно, что это мобильный телефон.
Cryptogram Information Data (CID) — Я не осилил разбор этой структуры, помогите.
Запрос READ DATA RECORD
'00 b2 01 1c 00'
Терминал посылает запрос на чтение записей, полученных из AFL:
В данном случае, начиная с байта 0x1C следует читать как два значения, где первые пять бит равны 0x18 (b000011), и составляют SFI, а последующие три бита равны 0x04 (d100), и составляют номер записи.
Ответ на READ RECORD
'70375F280206439F0702C0009F19060400100302735F3401009F241D5630303130303134363138303430313737313031333936313637363235'
Application Usage Control (AUC) — определяет, разрешено ли платить картой заграницей, и разрешенные виды операций.
9F19 — что-то непонятное, судя по всему — устаревший Dynamic Data Authentication Data Object List (DDOL)
EMV Tokenisation, Payment Account Reference (PAR) — специфичный для токенезированных (виртуальных) карт параметр. Я не осилил разбор этой структуры, помогите.
Что можно извлечь из перехваченой транзакции?
Мы разобрали один конкретный пример перехваченного трафика бесконтактной транзакции Apple Pay c привязанной картой VISA. Протокол MasterCard немного отличается, но в целом похож. Из разбора видно, что транзакция защищена криптоподписью, и протокол защищен от replay-атаки. Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe (MSD), который намного хуже защищен от replay-атак, но в данной статье я его разбирать не буду, потому что, насколько мне известно, он почти не поддерживается в СНГ, возможно я ошибаюсь.
Из перехваченных данных можно извлечь номер карты (PAN) и срок действия (expiration date)
Как видно, из перехваченного трафика можно извлечь полный номер карты и expiration date. Хоть CVV в этом дампе и нет, этих данных уже достаточно для оплаты в некоторых интернет-магазинах. В случае с обычной физической пластиковой картой, в перехваченных данных будет содержаться тот же PAN и срок действия, который выбит на самой карте!
Оплата в интернете без CVV (CNP, MO/TO)
В моей предыдущей статье «Используем Apple Pay и карту Тройка в качестве пропуска на работу» про СКУД на базе Apple Pay меня раскритиковали в комментариях, рассказывая, что имея только последние 10 цифр карты можно украсть деньги. В дампе выше указан не только полный номер моей карты, но также и expiration date. Этих данных вполне достаточно, чтобы платить в некоторых магазинах в интернете. Что ж, попробуем это сделать.
Форма добавления карты в Amazon не требует CVV
Будь это номер физической карты, деньги действительно можно было бы украсть, но данные токена Apple Pay можно использовать ТОЛЬКО для операций Client Present (CP), когда карта подписывает транзакцию криптографический подписью. Эти данные нельзя использовать для оплаты в интернете и других операций типа Card not present (CNP), то есть по телефону или имейлу. То-то же!
Всем желающим убедиться в этом, сообщаю, что реквизиты из перехваченного выше дампа Apple Pay на данный момент актуальны и привязаны к действующей карте, на которой есть деньги. На момент написания статьи это 5 тысяч рублей. Предлагаю попробовать их украсть :)
Почему Apple Pay безопаснее обычной карты
Apple Pay vs обычная бесконтактная карта
- Apple Pay требует авторизацию (отпечаток или пароль) на каждую проведенную транзакцию. Обычная карта не позволяет управлять количеством подписанных транзакций при поднесении к POS-терминалу. В теории, «злой» терминал с модифицированной прошивкой может провести одну транзакцию, а пока клиент держит карту возле считывателя, запросить несколько подписаний, но не проводить их сразу, а провести позже, когда клиент уйдет. С Apple Pay такое невозможно, после проведения транзакции пользователь видит значок успешно выполненной операции и приложение закрывается, новый запрос потребует повторный ввод отпечатка пальца.
- Не позволяет считывать данные до авторизации — когда телефон с Apple Pay попадает в поле действия считывателя (13,56 МГц), пользователю предлагается авторизоваться, и только после успешной авторизации телефон начинает обнаруживаться как бесконтактная карта. До этого момента считыватель не видит ничего. Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты.
- Нельзя использовать перехваченные данные для оплаты в интернете — обычная карта может быть использована для операций типа Card not present (CNP), то есть для оплаты в интернете, по телефону и т.д. Данные из виртуальной карты Apple Pay нельзя использовать подобным образом.
- Не раскрывает данные владельца — обычные бесконтактные карты могут передавать имя владельца (Cardholder name) и историю последних покупок. По номеру карты, в некоторых случаях, можно установить ФИО владельца. С Apple Pay ничего подобного сделать нельзя.
Вывод
Бесконтактные платежные системы достаточно надежно защищены. Несмотря на теоретическую возможность мошенничества, на практике она оказывается нерентабельна и крайне тяжело осуществима. Нет никакой причины бояться бесконтактных карт или пытаться сломать антенну в карте.
При прочих равных, Apple Pay будет безопаснее обычной пластиковой карты. Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной бесконтактной карте, и завести вторую карту только для оплаты в интернете.
Выражаю благодарность:
- Компании tehpos.ru за предоставленное оборудование.
- Уральскому банку реконструкции и развития, и лично Александру Падерину (управляющему директору центра информационной безопасности) за консультации.
- Магазину aj.ru за предоставленные айфоны для тестов.
- Валерии Aquamine за иллюстрации для статьи.
- Глебу JRun из Digital Security за технические консультации,
- Александру AlexGre за консультации по протоколу EMV.
- Хабраюзеру shape за отличный парсер EMV: iso8583.info
Комментарии (331)
xorbot
03.10.2018 18:46+5А, допустим, если сделать направленную антенну с усилителем на терминале, реально ли будет контактировать с картой на расстоянии? (Не учитывая прожарку паховой области направленным лучем, конечно)
По примеру антенны Wifi или 4G по типу тех, что делает Креосан www.youtube.com/watch?v=nCIDvrs5UzIzhovner Автор
03.10.2018 19:01+1Хороший вопрос. По запросу «long range 13,56 reader» есть несколько китайских железок. Некоторые из них обещают работать на расстоянии до 25см. Я плохо разбираюсь в радио, но полагаю, что здесь играет роль ограничение мощности передатчика в самой карте. Условно говоря, карта может и услышит считыватель, но ответ не долетит до него.
На aliexpress есть несколько таких ридеров, но в описании у них заявлены 5-10см дальность, что с трудом можно назвать long range.
zartarn
03.10.2018 20:28+2Надо не только сильный сигнал чтоб достучаться до карты, но и еще услышать ответ, а это отдельная задача.
П.С.: ну и данный вариант антены ни в коем случае не разработка Креосана, это облучатель offset'ки от Bester. на lan23 уже давно были варианты под что угодно расчитаные).xorbot
04.10.2018 01:52Разве подобная антенна не усиливает сигнал с узкой области пространства?
П.С. Понятно, что это не его изобретение, это я так, для наглядностиbobcatt
04.10.2018 11:54Он придёт к антенне уже сильно ослабленным, зависимость от расстояния квадратичная. Просто утонет в шумах и помехах.
Alexeyslav
04.10.2018 16:24+6Там несколько наоборот работает. КАРТОЧКА физически не отвечает радиоизлучением. Для этого недостаточно энергии. Вместо этого, карточка манипулирует полем излучателя путём замыкания своего контура в нужные моменты(поле излучателя замыкается — лог.1, не замыкается — лог.0), этим и ограничена максимальная дальность работы таких систем — насколько далеко мы сможем обнаружить источник потерь. Очень похоже на работу активного металлоискателя — практически те же физические процессы задействованы.
Кроме того мы работаем не с радиоизлучением, а с магнитным полем — нужна магнитная антенна, а это конструкция несколько иная чем у электрической антенны.
mirsev
04.10.2018 01:32Считыватель не только «спрашивает» карту, но и обеспечивает её питанием на время сеанса связи. Навести индукцией достаточную мощность издалека — задача нетривиальная. А вот перехватить сигнал на большем расстоянии — наверное можно. Поэтому, штучки типа HydraNFC, наверное, можно располагать не только между картой/iPhone и терминалом, но и на некотором удалении. Только, возможно, антенну придётся переделать — из индукционной во что-то другое… Хотя, на частоте 13.56 MHz оптимальная антенна получится немаленькой :)
xorbot
04.10.2018 01:46Ну, не хочется упоминать опять креосана, но я так понимаю «пушку» на частоте 2ГГц которая выжигает на приличном расстоянии электронику собраться можно. С 13МГц по габаритам, я так понимаю, эта хреновина будет больше? Не силен в радиотехнике, но вроде достаточно чтобы длинна антенны была просто кратна длине волны и иметь узкую диаграмму направленности
Я себе представляю фургон с пластиковым кузовом и шаращий таким «усилителем» в направлении держателей пластиковых карт…stanislavkulikov
04.10.2018 09:41Длинна плеча антенны должна быть как минимум 1/4 от длинны волны (лучше конечно 1/2). 13МГц — это 23 метра, т.е. минимально антенна должна быть 5,75 метра. Можно конечно сделать её сложной изогнутой формы, но это подпортит характеристики антенны.
Alexeyslav
04.10.2018 16:29В таких случаях делают электрическое удлинение антенны с потерей её эффективности. Но это всё фигня, проблема в том что электрическая составляющая поля там практически отсутствует, нам нужно улавливать магнитное поле.
Alexeyslav
04.10.2018 16:27Такой антенной мы не словим практически ничего — там работает магнитная составляющая а не электрическая. Нужна направленная МАГНИТНАЯ антенна. Что-то навскидку на ум не приходит ничего подобного.
Sap_ru
04.10.2018 03:13Да. Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.
Самая большая сложность будет с направленностью — сия халабуда читает со всех карт в округе и сильно подвержена влиянию помех (особенно учитывая, что у там всегда симметричная диаграмма направленности и «назад» она будет работать точно так же, как и «вперёд»). Но практическое использование вполне возможно — например, если жертва находится на открытом пространстве рядом с мошенником (улица, остановка, малолюдное место торгового центра).
Там, кстати, не антенна, не как её большинство представляет (как у WiFI, например), а плоская катушка индуктивности, которая создаёт вокруг себя поле от которого питается карта. Размер этого поля непосредственно зависит от размера самой катушки (можно даже считать, что примерно равен размеру самой катушки). Катушка размером с лист А4 создаст поле, достаточное для чтения с пары десятков сантиметров.
Можно, кстати, сделать неподвижную большую «стационарную» катушку, которую можно скрытно разместить в местах, где находятся/проходит много потенциальных жертв. Все же видели рамки на входе в магазины. Вот такая хреновина сможет читать с расстояния в метры. Можно даже представить ситуацию, когда злоумышленники модифицируют магазинную систему RFID, чтобы она работала с платёжными картами. Последствия будут захватывающими.zhovner Автор
04.10.2018 03:29Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.
Не хотите попробовать реализовать? Я бы поучаствовал.Sap_ru
04.10.2018 11:11Я много чего хочу и много идей, но на данный момент жизнь так повернулась, что просто не могу позволить себе работать не за деньги :( Что плохо. Мне гораздо интереснее глушилку «без мозгов» сделать с себестоимость в 1..2 бакса. Но тоже нет свободного времени под личные проекты.
В принципе там всё тривиально — поле для катушки размером с дипломат и саму катушку можно множеством программ посчитать. Самая большая сложность будет с чувствительностью приёма, ведь можность «передачика» (карты) остаётся прежней. Как мне кажется, любые изменения среды и наводки будут очень сильно влиять возможность успешного чтения. Но как минимум дважды такая штука уже была продемнстрирована.Alexeyslav
04.10.2018 16:34Нет в карте никакого передатчика. Там всё тривиально — карта умеет только замыкать свой собственный контур искажая поле передатчика и ничего более.
Sap_ru
06.10.2018 01:39Именно поэтому это слово в кавычках.Но чем больше размер катушки и, соответсвенно, контролируемый объём пространства, чем дальше второй контур, и чем больше разница в размерах катушек, тем ниже соотношение сигнал/шум.
Alexeyslav
04.10.2018 16:32Вот только… частоты там гораздо меньше и токи по рамке гуляют порядка 20А. Индуктивность самой рамки не позволит эффективно работать на частоте 13МГц.
Sap_ru
06.10.2018 01:43Дв, но до опредленного момента это решаемо (в крайнем случае можно родить монстра с несколькими катушками). Прототипы действующих конутров на 13 МГц, позволяющие читать банковские карты на заметном расстоянии уже создавались.
RomanStrlcpy
03.10.2018 18:47У «телефонизированного» способа оплаты есть ещё кажется и срок действия транзакции. Однажды оплатив проезд в транспорте телефоном (Google Pay) не обратил внимания на реальное списание. Потом спустя какое-то время Google Pay бомбил уведомлениями об отклоненной транзакции.
Однажды пытался оспорить операцию проведенную просто бесконтактной картой. Гор. траспорт одно время тупил и проводил транзакции толи с большой задержкой (более 1-2 недель), толи повторно. В один день пришла СМС о списании за проезд, а я уже как месяц не ездил на ОТ. Я отправил заявление в банк (тогда ещё не знал информации о запоздалых\повтрорных списаниях). Спустя 3 дня из банка пришёл ответ, что отмену операции они не сделают, т.к. была бесконтактная оплата, а это что-то там значит и всё такое.achekalin
04.10.2018 10:10Банки пока живут непуганными, как и сотовые компании: ответ «вы сами наверное за что-то заплатили и забыли» можно услышать и там, и там. Только на следующий вопрос «что же это было» первые отвечают голосом своей СБ, что, по соглашению на карту вы сами отвечаете за передачу данных карты третьим лицам (а вы же хотя бы однажды платили через интернет, вот к ним все вопросы), а вторые говорят, что это, мол, не мы продавали, а наши партнеры.
Под дурачков удобно косить. Когда этот разговор развернется в сторону, что они обязаны доказать, что транзакция была (а не что вы как клиент идите и догадывайтесь, почему она не была) — тогда все эти «легкие деньги» перестанут им светить, и они начнут делать то, за что уже сегодня берут свою денежку — охранять, а не помогать тратить, деньги клиентов.marenkov
04.10.2018 11:18Еще в договорах бывает пункт о стоимости расследования списания средств, в зависимости от ситуации от 50 до 500 USD. Что очень сильно помогает мошенникам.
achekalin
04.10.2018 11:38+1Причем расследование не предполагает, что ты будешь не виноват. Вишенкой будет взять $500 и привлечь за разглашение номера собственной карты, как некой секретной информации (о чем, конечно, в договоре есть пункт)!
Arty_Fact
04.10.2018 12:42Номер карты не может быть секретной информацией. Он же всем доступен. Включая девочку-оператора, которая эту карту вам выдает.
menartIsH
04.10.2018 15:33Есть закон «О НПС», в нем прописано, что БАНК должен доказывать, что транзакция проведена вами
marenkov
04.10.2018 15:50Чего вы сможете добиться через суд,… либо заплатив указанную выше сумму. В любом случае, сумма расходов будет превышать сумму транзакции без пин-кода. А с пин-кодом банк однозначно скажет что она ваша.
Хотя, наверное, существуют банки которые действительно защищают своих клиентов.
tvr
03.10.2018 18:49Шикарный разбор возможных векторов атак!
«Сценарий 2 — злой POS-терминал… Антенна сниффера размещается между терминалом и картой, и пассивно захватывает всю передаваемую информацию.» Что сводит возможность атаки к исчезающе малым вероятностям, ИМХО. Ну если только не передавать карту в руки курьеру/кассиру и упускать её из виду, что в принципе не приветствуется правилами МПС, насколько я помню.
Спасибо за отличную статью!zhovner Автор
03.10.2018 19:06+3Когда-то я пытался изготовить автономный снифер iso14443, который бы можно было наклеивать поверх оригинального считывателя. Я делал почти незаметную антенну на 13,56Мгц наклеенную на прозрачный пластик, может сфотографирую, если найду.
В видео показана родная антенна от hydranfc, однако ничто не мешает вам заменить синий текстолит на прозрачный пластик, наклеить такую антенну поверх экрана и спрятать снифер за терминал снизу.
UPD прозрачная антенна может выглядеть примерно так или еще более незаметно
ad1Dima
04.10.2018 08:42Наверное можно попробовать заменить медь на ITO тогда вообще поверх экрана клеить. Только физический размер тоже измениться скорее всего…
Alex_Q
03.10.2018 19:03+2Реален ли вариант прокси атаки?
К примеру, автор статьи покупает банку пива в магазине, подносит телефон к POS, данные передаются через интернет на телефон* сообщника, который едет в электричке. Сообщник заранее нашел пассажира, чья карта откликается, и проксировал данные с POS на карту этого пассажира. Далее передал ответ.
Таким образом автор купил банку пива без риска засветиться, без ожидания банковского перевода, без инвестиции на покупку фирмы и терминала.
* Телефон можно модифицировать направленной антенной для дальнобойности.zhovner Автор
03.10.2018 19:16+1Подобный сценарий возможен, только здесь важны тайминги. По интернету скорее всего не получится, а вот по радиоканалу можно. Вот демонстрация такого концепта
stalinets
03.10.2018 19:55+3Из статьи понятно только то, что это всё осуществимо. А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.
А я вот думаю, что вскоре будут массовые случаи, когда специально обученные люди будут воровать деньги описанным способом у граждан, а любые попытки опротестовать транзакцию, наказать воров и т.д. будут упираться в глухую стену бюрократии, круговой поруки и отписок. Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно, и деньги будут тем или иным способом обналичиваться, и мошенники не будут нести никакого наказания.
Так что, наверное, придётся или носить пяток бесконтактных карт вместе (спрятав важную банковскую в глубину пачки), или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать.OldFisher
03.10.2018 20:37+1AliExpress уже давно заполонили разнообразные RFID-непрозрачные кошельки, зажимы для денег, чехлы, держатели кредитных карт и т.п. Можно не изобретать.
sumanai
05.10.2018 05:07А их кто-нибудь проверял?
darkxanter
05.10.2018 18:24Я купил такой кошелек. Ни как не получалось считать карты находящиеся в нем. Пробывал считывать с помощью телефона и ни банковская карта, ни карта тройка не считались. Так же пробывал в гостинице карту для входа в номер находящуюся в этом кошельке приложить, тоже не сработала.
zhovner Автор
04.10.2018 01:41А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.
В статье как раз говорится, что получить POS-терминал достаточно легко, но у этого есть цена из которой складывается себестоимость всей схемы. Вывод в том, что такая атака просто не выгодна.
Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно
В таком случае можно просто допустить, что банк будет напрямую воровать у вас деньги со счета без всяких терминалов. Такой сценарий в вашей моделе угроз реален?
или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать
Кстати, для этого существует интересное решение: специальная карта, которая попадая в поле действия считывателя начинает активно слать мусорные данные ломая взаимодействие с любыми картами рядом cdn.shopify.com/s/files/1/2175/8571/products/ARD-Active-RFID-Defence_1024x1024@2x.png?v=1505461389
zhovner Автор
04.10.2018 03:38Ой, ссылка неправильная. Вот lab401.com/collections/tags/products/rfid-blocker-nfc-jammer
stanislavkulikov
04.10.2018 11:19Банк — это коммерческая организация, которая работает только с целью получения выгоды. И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.DMGarikk
04.10.2018 11:37банк платит штрафы в МПС по фроду, по этому он заинтересован в уменьшении количества воровства любыми способами в т.ч. и «уговариванием клиента» что это не фрод
stul5tul
04.10.2018 14:16+2И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.
Насчет банков врать не буду, не знаю.
Но есть такие организации коммерческие — платежные системы.
Мы с вами используем их сплошь и рядом, например, через них проходят платежи на сотовые платежи. Или ящики-терминалы стоят в общественных местах для оплаты сотового, коммунальных платежей (не банкоматы).
Подобные системы открываются и закрываются пачками. Вот только некоторые из них pay2.ru/dirs/systems
И вот для платежных систем утверждение насчет — честно работать получишь в десятки раз больше — категорически не верно. Если будут действовать честно, то будут существовать на мизерную комиссию. Для любопытства поинтересуйтесь правилами сотовых операторов. Помниться, Теле2 вообще категорически запрещал (а может и сейчас запрещает) брать комиссию с плательщика (комиссию, смешную правда, платит посреднику сам оператор). Но найти терминал приема платежей, принимающий Теле2 без комиссии — это еще нужно было в те времена побегать.
Но мошенничество не в этом. У данных платежных систем есть такой замечательный способ мошенничества — не проводить, скажем, каждый десятый платеж на телефон. Как показывает практика, большая часть людей не будет из-за 50 рублей напрягаться даже звонить и ругаться. А кто будет — тому эти деньги все же до телефона доведут. И вот такая «комиссия в 100%, но зато с каждого 10-го платежа» — это огромные деньги, есть смысл для мошенников.
Считайте:
2000 платежей в день с терминала по средней сумме 300 рублей. Оборот 600 000 рублей в день с точки. Это для не-Москвы довольно-таки хороший терминал, очень хорошее «проходимое» место.
Комиссионное вознаграждение честное — 0,1%. То есть 600 рублей с точки. 18000 рублей с терминала в месяц. Их которых только одна аренда места может стоить 5 000 — 10 000 рублей (торговые центры же тоже не дураки, понимают, что если место «проходное», то нужно зарабатывать по полной). Да, торговые центры за такие терминалы берут не за формальные 2 кв. метра как с обычного магазина, а по полной.
Терминал нужно обслуживать, он жрет электроэнергию, интернет. Фирме-владельцу нужно платить налоги, тратиться на бензин (их же нужно регулярно объезжать, снимая выручку и заряжая принтера) и т.п. Даже такая операция как пересчет мелких наличных денег 600 000 рублей с терминала в день — это огромная проблема. Это реально горы налички.
Получается, что 1 терминал это уже не бизнес. Чтобы более-менее существовать за счет терминал — тебе нужно их ставить как минимум десятками (и обслуживать самому, чтобы не платить зарплату никому; и еще решить проблему воровства налички персоналом).
Ну а теперь берем каждый 10 платеж. Это 60 000 в месяц. И делаем иммитацию технического сбоя. Практика показывает, что порядка 5% людей звонят, возмущаются. Остальные просто забивают.
Ну и сравните — честный доход 18 000 рублей с точки.
Мошеннический доход — 18 000 + 57 000 рублей с точки.
Платежные системы лет пять назад по этой схеме открывались пачками, работали по полгода и закрывались.
И если у вас когда-то не доходил платеж — то это вовсе не случайный технический сбой... А, скажем мягко, запланированный технический сбой.stanislavkulikov
04.10.2018 15:05+4Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами. Т.е. зарплаты сейчас у всех приходят на карту, у всех банков сейчас есть мобильные приложения из которых удобно и без комиссии можно и всё оплатить и деньги перевести. И вот зачем в таких условиях искать этот терминал (а к слову, я в Питере их уже давно не видел, думал уже совсем исчезли), и зачем платить через них с комиссией — вот этого я не понимаю.
Только если гастарбайтерами, которые неофициально здесь работают.vlivyur
04.10.2018 16:22Их в Питере всё ещё дофига, непонятно на чём живут, но людей перед ними я иногда вижу. А за мобильник можно с сайта оператора картой оплатить, помимо любого банкомата. Ну или через сберовские терминалы — там и наличкой можно оплатить.
befart
04.10.2018 18:51пенсионеры же) все с мобилами, но без компьютеров. они клиенты?
Igor_O
04.10.2018 20:57В нашей деревне — 99% пользователей терминалов — рабочие из стран ближнего и не очень зарубежья. Мобила нужна, а компьютер в бытовке на 20 койкомест, на которых спят в три смены, просто негде поставить. А у пенсионеров в нашей деревне почти у всех умные телевизоры с интернетом.
stul5tul
05.10.2018 00:13Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами
Дык платежные системы — это отнюдь не только терминалы.
Вторая линия так сказать — терминалы и банки вовсе не напрямую подключены к операторам связи и коммунальщикам. (крупные банки к крупным операторам связи напрямую, ну а прочим путь заказан/неудобен напрямую).
makioro
04.10.2018 21:14Как-то у Вас совсем плохо получается.
Работаю в компании, принимающей платежи через такие терминалы
Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними
За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились. Но вот чтоб 10% платежей — это что-то из области фантастики.
Правда пишу из Украиныstul5tul
05.10.2018 00:22Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними
Между вами и первичным приемом налички — цепочка из 2-3 посредников. Кушать хотят все.
В нашем регионе как раз одними из первых по России запускали. Так что у нас давно уже жесткая конкуренция. На самом деле никто не работает на 0,1-0,3%, как того требуют операторы связи, все нарушают требования операторов связи и накручивают больше — иначе только мошенничеством и можно выжить.
А когда-то было и 15 процентов. Тогда с одного терминала можно было весьма богато жить.
За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились.
Разумеется никто не признается, зачем им уголовную статью на себя вешать.
Уверяю вас, не все из них технически сбои.
Но вот чтоб 10% платежей — это что-то из области фантастики.
Это работает только на массовых микроплатежах.
На платежах за сотовую связь — самое типичное.
Если у вас, скажем, местячковый интернет-провайдер, то никто не будет рисковать, оно же сразу выплывет.
Alexeyslav
04.10.2018 16:40Экран должен быть от магнитного поля а не электрического, нужен магнитомягкий материал вроде феррита или железа.
darkxanter
03.10.2018 19:56+2А что насчет атаки на Samsung Pay, если используется MST?
zhovner Автор
04.10.2018 02:24Есть доклад на эту тему от Сальвадора Мендозы youtu.be/BqjyewIEFSc
В двух словах: используется снифер и глушилка, чтобы перехватить данные магнитной ленты и не дать пройти транзакции на терминале. Потом эти данные используются для оплаты.
AlexGre
03.10.2018 20:09+4Issuer Application Data (IAD)
Структура IAD различная на разных МПС. Описанна в EMV book 3 C7.2 «Issuer Application Data for Format Code ‘A’ ». Из интересного в ней можно найти «CVR» Card Verification Results, результаты проверок, проведенных картой.
Cryptogram Information Data (CID) — Я не осилил разбор этой структуры, помогите.
Описанна в EMV Book 3 «Table 14: Coding of Cryptogram Information Data ». Карта (телефон) вернула ARQC — что значит запрос на онлайн и без ошибок.
Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe (MSD)
Стоит отметить что MSD и VSDC это варианты VISA приложения. MSD действительно устаревший и эмулирует магнитную карту. Ваше приложение — VSDC.
Протокол MasterCard немного отличается, но в целом похож.
Интересно что бесконтактный MasterCard достаточно сильно отличается от безконтакной Visa и практически полностью идентичен контактному протоколу.
В AIP содержится важная информация о поддерживаемых методах аутентификации (SDA,CDA,DDA) платежа. Почему в моем случае все эти флаги равны нулю — я не понимаю.
Т.к. используется технология токинизации и только онлайн, что подтверждается виртуальной картой и начиличем EMV Tokenisation (Payment Account Reference (PAR)), аутентификация по SDA,CDA,DDA похоже становится не нужной. Также как запрос пина и т.д.
onix74
03.10.2018 20:11Статья отличная! Спасибо автору!
Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной
Данная блокировка не вызовет дополнительных проблем, например, с переводом с чужой карты на эту основную карту или, наоборот, с этой карты на карту в другом банке?
balexa
03.10.2018 20:29При оплате телефоном, POS-терминал видит обычную карту VISA или MasterCard, и общается с ней точно так же, как и с физической картой.
Там явно еще что-то есть. Потому что у меня в «перекрестке», терминал при поднесении телефона(андроид) иногда пишет «посмотрите на экран телефона», когда к телефону надо приложить палец. Я так понимаю расширение протокола?
pnetmon
03.10.2018 20:31+3Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит одну единственную карту в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.
Многие носят в одном месте несколько карт из которых только одна бесконтактная.
AllexIn
04.10.2018 08:50Скоро перестанут.
Банки же заменяют все истекшие карты на бесконтактные. И способа отказаться я не нашел.sena
04.10.2018 10:07Есть надёжный способ отказаться (помимо чехольчика из фольги)
AllexIn
04.10.2018 10:11Это не совсем законно.
Карта — собственность банка.
Но всё равно спасибо, обязательно воспользуюсь.JediPhilosopher
04.10.2018 16:00Как будто это можно доказать. Просто карта «сломалась». У меня такое кстати было — сперва бесконтактные транзакции по карте начали работать плохо (со 2-3 раза), а потом и вовсе перестали, пришлось карту перевыпускать.
AllexIn
04.10.2018 16:09+1Я ничего не говорил про наказание или факт определения нарушения закона.
Или для вас всё, что нельзя доказать автоматом можно ингорировать?
vskv
04.10.2018 15:33Зачем такие сложности, если банк (при контактном чтении чипа) может послать на карту команду «отключить contactless интерфейс»?
Dukat
04.10.2018 15:34Например, в банке Авангард при выпуске карты можно выбрать, добавлять ли поддержку PayPass / PayWave.
imotorin
03.10.2018 20:38На первой схеме между банком эквайером и МПС не хвататет Национальной Системы Платёжных Карт (МИР)
Mikihiso
04.10.2018 00:16Ну это только вроде для карт российских банков-эмитентов и только если эквайер и эмитент не один и тот же банк(для пластиковых бесконтактных карт). Карты зарубежных банков идут напрямую в нужную МПС, а если банк эквайер заодно и эмитент то в МПС обычно ничего и не уходит.
AlexGre
03.10.2018 20:42+1Сценарий 3 — Послать сниференные данные еще раз эмулируя Apple Pay. Конечно терминал посылает 9F37 Unpredictable Number, но SDA, DDA, CDA аутентификации не поддерживаются.
В том случае интересно как у ApplePay проверятся аутентификация карты(телефона)?
Уникальность транзакции проверяется по AC криптограмме и можно понадется (а так говорят бывает) что AC криптограмму ApplePay процессинг не проверяет.shape
04.10.2018 15:04+1процессинг ARQC не проверяет, просто форвардит/транслирует данные на следующий хост. а вот эмитент карты 2 одинаковые ARQC криптограммы не пропустит. В ARQC используется Тег 0x9F36: Application Transaction Counter
sha4
03.10.2018 21:00+1Правильно ли понял, если банк-эквайер = банк-эмитент, то обращение в МПС при проведении платежа не происходит?
Хочу понять, насколько платежные системы могут мониторить объем безналичных операций.
Например, в России большинство терминалов от Сбербанка и большинство карт от него же. Значит, информацию о платежах через терминалы Сбербанка по им выпущенным картам МПС не получают?
ipswitch
03.10.2018 21:47+1Технически есть возможность миновать МПС. Пример — работа MasterCard российских банков в Крыму, а также израильские процессинговые центры IsraCard, LeumiCard. Если карта «своя», то МПС не задействуется.
archimed7592
03.10.2018 22:00+1Если эквайер и мерчант в одном банке, то операция никуда не идёт, кроме самого банка и его процессингого центра (не у всех свой ПЦ).
Если эсквайр и мерчант в России, то операция пойдёт через НСПК. Это нововведение, появившееся после санкций со стороны Visa в 2014 году.
timothyha
04.10.2018 01:45+1VISA уже давно заставляет POS-транзакции маршрутизировать через них («в целях контроля фрода»), так что даже транзакция «своей» карты пройдет через МПС, если только банк не настроит софт иначе, игнорируя требования МПС.
eyellow
04.10.2018 15:34+1При проведении платежа — обычно не происходит. Но Мастеркард, а с 19 года и Виза требуют формирование т.н. Collection Only сообщений. Это сообщение формируется эквайером и уходит в клиринговых файлах. Коллекшн онли формируется по us-on-us операциям (эмитент = эквайер), а также по domestic операциям (это когда внутри НСПК).
Ну и плюс МПС требуют квартальные отчёты по всем операциям с использованием их карт — сюда тоже попадают и ас-он-ас, и доместик, и все-все-все.Mikihiso
05.10.2018 09:13И еще небольшое дополнение, для некоторых партнерских программ МПС может требовать не только collection only, но и направление авторизационного on-us траффика через них, для мониторинга.
semmaxim
03.10.2018 21:20+1Т. е. как я понял, от сценария №1 защищает только наличие нескольких карт в кошельке? Тут такое дело, я не знаю никого, кто бы таскал в кошельке их больше одной. Есть банковская карта, куда падает зарплата и которой везде рассчитываются. И всё. Также, картой Тинькофф я бесконтактно платил и по 2, и по 3, и по 5 тысяч — никаких проблем, никто PIN не спрашивал.
proton17
03.10.2018 22:40У меня в кошельке 2 банковских карты с бесконтактной оплатой, бесконтактная карта газпромнефти и тройка. По обоим картам лимит строго 1к без pin. Кстати знакомый просто положил в секцию для купюр листок фольгированной бумаги от какой-то упаковки. В сложенном виде прекрасно экранирует от чтения — проверяли)
semmaxim
04.10.2018 09:07Тройка — это какой-то проездной для москвичей? Мы в нашей тьмутаракане не знаем такого :)
redial
04.10.2018 10:45Проезд в общественном транспорте, наземном и подземном. Можно активировать проездные. Очень удобная и не именная. Есть варианты брелока, кольца и браслета. Советую купить тем, кто наездами в столице.
semmaxim
04.10.2018 11:07Вообще это был сарказм. Практически всем не-столичным жителям достаточно иметь одну банковскую карту. И мне не приходят в голову ситуации, когда может понадобится вторая.
Arty_Fact
04.10.2018 12:50+2Разные банки, разные платежные системы, зарплатная карта и карта для покупок. Две карты всем советую иметь. А лучше три, чтобы зарплатную вообще нигде не палить.
ad1Dima
04.10.2018 14:39А лучше три, чтобы зарплатную вообще нигде не палить.
можно просто отвязать карту от зарплатного счёта.sh1kel
04.10.2018 15:54Не все банки оперируют раздельными понятиями карта и счет. У сбера например заблокированная карта не позволяет оперировать счетом. А у Альфы наоборот, к одному счету можно привязать несколько карт. Все зависит от адекватности банка.
semmaxim
04.10.2018 14:44+1Опять же, а зачем разные банки? Зачем отдельно карту для покупок, а отдельно для зарплаты? Ну ладно, может прям действительно бывает надо. Но зачем их все в кошельке держать? В кошельке достаточно ежедневную носить. Да и для других целей необязательно иметь именно карту — достаточно просто дополнительные счета открывать. Я правда не понимаю.
Arty_Fact
04.10.2018 15:09+2Про кошелек вы не уточняли, я отвечал зачем нужны несколько карт. В кошельке можно вообще ни одну не носить если есть поддержка %brandname% Pay в девайсах.
А теперь на остальные вопросы:
Карты разных банков удобно иметь для переводов со счета на счет без комиссии. Например, зарплатный проект в Райфайзен, а у огромного количества людей в России есть карта Сбера. Вот чтобы с друзьями перекидываться деньгами и иметь доступ к банкомату в любой момент пригождается сбер (его банкоматы на каждом углу). Второе «за» за разные банки — это блокировка карточки по желанию левой пятки банка. Подозрение на фрод, ошибка в документах, плохое настроение — все что угодно может привести к заморозке счета. Вероятность одновременной блокировки двух счетов в разных банках гораздо ниже.
Карта для покупок нужна, чтобы не светить зарплатную. Конечно, можно отвязать зарплатную и заморачиваться с перекидыванием денег со счета на счет, но проще иметь другую карту, которую не жалко дать продавцу в руки или светануть в интернет-магазине. В случае чего она просто блокируется, а вы можете снять необходимую сумму в банкомате со своей зарплатной карты.
Если у вас одна карта и вы ее заблокировали, вы сможете снять наличные только в банке по паспорту. При этом многие отделения не работают по выходным, например.
Зачем две карты в разных процессинговых системах не нужно рассказывать?KorDen32
04.10.2018 23:41Кроме всего вышеперечисленного (все описано логично) еще могут быть актуальны разные кэшбэки и прочие акции.
Условно:
В кошельке две карты «для покупок», Visa банка X и MC банка Y, обе бесконтактные, в разных половинках кошелька (можно платить не доставая, но открыв кошелек). На карте X у нас общий кэшбэк условно 1% и на операции A, B, C кэшбэк 5%, а по карте Y общий 0.5% и по D, E — 3%, так что в общем случае платим в зависимости от точки. Ну и есть пространство для маневра — где-то предлагают скидки «держателям Visa»/«только при оплате MC», плюс вероятные нештатные случаи.
Возможно еще добавить третью кредитную карту для определенных случаев.
Обе карты добавлены в смартфон, так что по большей части кошелек не нужен, но смарт может разрядиться и проч глюки.
Ну а дома лежит зарплатная карта, например Мир, возможно кредитная карта для поездок. Вероятно, карта третьего банка, или валютная.
stanislavkulikov
04.10.2018 15:12Вот сейчас открыл кошелёк, посчитал, у меня там 5 карт. Зачем они там лежат? Не знаю, ведь я всё-равно пользуюсь Apple Pay. Наверное просто для того, что бы всегда была возможность ими воспользоваться, хотя я и понимаю, что по факту такая необходимость вряд ли когда-либо настанет.
pnetmon
04.10.2018 15:39Конечно можно и у людей есть деньги для годового обслуживания этих карт
vlivyur
04.10.2018 16:42Иногда годовое обслуживание бесплатно. Иногда совсем, иногда при каких-то условиях.
pnetmon
04.10.2018 18:54Карты двух банков обе бесконтактные Сбера и Альфы, обе требуют денег. Только давайте без зарплатных проектов, карт.
vlivyur
05.10.2018 17:30Давайте. Голдовая кредитная Visa от Сбера. Обслуживание бесплатно уже который год. Позвонили, спросили нужно ли на таких условиях. Зарплатного проекта в тот момент не было, была только обычная (ещё и Maestro) дебетовая карта.
Росбанк, к примеру, по классической кредитной карте — бесплатно при обороте за предыдущий год не менее 180 000.pnetmon
06.10.2018 07:02Ну так и я могу привести примеры даже у тогой же Альфы — порядочные обороты по карте, большие остатки на карте.
Кредитная от Сбера — интересно, на сайте информация разнится по второму и последующим годам. Снятие налички платная услуга, но для оплаты коммуналки может и подойти. Но то что кредитка — пугает разными возможностями ухода в минус чего не бывает у дебитной
grumbler66rus
06.10.2018 15:40Кредитная карта как правило имеет grace-период. При уходе в минус просто пополняешь счёт карты до нуля. Кэшбек оплачивает стоимость обслуживания карты, если она есть.
pnetmon
06.10.2018 16:08Я не уточнил. В случае несанкционированных списаний в том числе о чем эта статья.
redial
05.10.2018 01:10Сарказм проехали.
Если вам не приходят в голову, это не значит, что не приходят другим в голову. Видимо вас обходят стороной. Причина мне неизвестна.
6 карт для работы, 1 ИП, 2 кредитки, проездной дочери (тоже банковская) и безымянная тройка, так как паранойя. Где тут сарказм… фольгой перекладывать надо :)
vmarunin
06.10.2018 02:201. Банки иногда падают и часто (раз в год точно) проводят апдейты. В это время их карты не работают совсем. Да, это на несколько часов в ночь с субботы на воскресенье, но! Очень полезно иметь карту другого банка (и другой системы)
2. Совсем редко банки накрываются. Страховку выплатят через 2-3 недели, но это время как жить? Нестоличные банки неплохо падают.
3. Дебетовая и кредитная. По кредитке, обычно, больше кешбэк, на дебетовую проценты начисляют и переводы с неё дешевле делать (садики, кружки и т.д.)
4. Рублёвая и нерублёвая. Нестоличные жители тоже ездят за границу
5. Можно не уследить за баллансом. И стоите вы в супермаркете с пробитой горой продуктов на кассе, а денег не хватает… Вторая карта спасёт. Можно сломать/потерять карту.
DMGarikk
04.10.2018 09:17Карты Тинькова ещё и по EMV бывает пин-коды не спрашивают, не знаю как сейчас но какое-то время назад это был единственный банк выпускающий EMV-карты без запрос пина по умолчанию
shogunkub
04.10.2018 11:54Очень странно, у меня тот же Тинькофф, и на любые операции свыше 1000 еще ни разу не было, чтобы какой-то терминал не спросил PIN. Аналогично Юникредит. Банковских карт других банков у меня нет.
oshibka404
05.10.2018 00:00В приложении Тинькофф
Настройки -> ПИН-коды карт -> «Подтверждать покупки ПИН-кодом».
Это можно включать и выключать
vlivyur
04.10.2018 16:34Дебетовая + кредитная. Или карта зарплатного банка + карта удобного банка. И что-то мне кажется что людей с единственной картой очень мало (разве что пенсионеры). А кошелёк это просто удобная штука, позволяющая потерять их все одновременно с наличкой.
grumbler66rus
06.10.2018 15:33У меня 2 EMV карты в обложках порткарде (кошелёк для карточек), для бесконтактной оплаты открываю нужную обложку, иначе оплата не проходит даже в описанном случае сбербанковского терминала.
archimed7592
03.10.2018 21:43+1На будущее: слип — это такая самокопирующаяся бумажка на которой выдавливают информацию о карте с помощью импринтера (для этого подходят только эмбоссированные карты… VISA electron, например, не подойдёт т.к. не имеет выпуклого рельефного номера).
В России, мне кажется, импринтер сейчас не встретишь.
А то что вылезает из pos-терминала — это просто чек.
ValdikSS
03.10.2018 21:48+1Slip это и есть чек или квитанция, любая. Русское сленговое слово, вероятно, ввели в употребление любители сленга.
zhovner Автор
04.10.2018 01:48Но как тогда различать кассовый чек и второй чек о результатах банковской транзакции?
ipswitch
03.10.2018 21:50+1Может быть кто-то сможет ответить.
Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации? Сколько времени оно проработает без снюхивания с серверами?
Зачем Google Pay дёргает данные GPS? Только ли ради точного времени со спутника и калибровки таймингов?visput
03.10.2018 23:34+3Отвечу за Apple Pay: работает без симки и wi-fi. Часто оплачиваю через apple watch (без симке), не имея при себе iPhone.
zhovner Автор
04.10.2018 01:49+1Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?
Если установить режим «самолета», то apple pay все равно работает.gecube
04.10.2018 01:54ну, правильно, потому что сама виртуальная карта генерируется онлайн в момент подключения услуги apple pay.
WraithOW
04.10.2018 16:59+1Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?
Да, но через какое-то время у вас закончатся ключи для подписи транзакций. У Google Pay ключей вроде меньше десятка, живут порядка недели.
Только ли ради точного времени со спутника и калибровки таймингов?
Для оплаты ничего калибровать не надо. Локацию дергают для аналитики, скорее всего.sumanai
05.10.2018 05:15У Google Pay ключей вроде меньше десятка, живут порядка недели.
А я то думал, почему мне оно не нужно. Оказывается вот почему.
devlev
03.10.2018 21:52-3А что с Google Pay? Там достаточно чтобы телефон был просто разблокирован и палец подносить не надо, идешь по улице и залипаешь в соц сети, с включенным NFC. К тебе терминал приложили и деньги улетели. И сумма не ограниченна 1000 рублей, можно списать и больше.
Это вообще нормально?Irgen
03.10.2018 23:27«А что с наличкой? Кошелек из рук выхватили и деньги улетели. И сумма ничем не ограничена.
Это вообще нормально?»
Вы статью-то читали? Заявление в банк и полицию, счет списавшего блокируется, деньги возвращаются
befart
04.10.2018 14:52-1Достали эти пешеходы-залипальщики в соцсетях((( Не рекомендуется на ходу есть, курить, думаю соцсети из этого списка. По тыщенке с каждого, в виде платы за обучения хорошим манерам)
boingo-00
04.10.2018 18:10Терминал крупнее телефона. Если вы не видите, что прямо перед вашими глазами чем-то размахивают, и если вы рукой не почувствовали, что к телефону пытаются чем-то прикоснуться, то это не проблемы системы
Igor_O
04.10.2018 23:35+1Я недавно видел в каком-то то ли ларьке, то ли кафе… Там терминал был примерно 5х5х1 см, в качестве экрана и связи с внешним миром использовалось приложение на мобильном телефоне по блю-тусу. Чек не печатался, чек отправляли на е-мейл или ссылкой в СМС…
ad1Dima
05.10.2018 08:52Вот так ещё делали:
поговаривали даже, что именно из-за таких терминалов apple отказалась от аудиоджекаDMGarikk
05.10.2018 16:01+1такие терминалы не пошли из-за роста популярности чиповых карт
сейчас каждая вторая служба доставки (в Мск) ездит с микротерминалами про которые Igor_O говорит
zhovner Автор
05.10.2018 16:10+1Сейчас самые дешевые мобильные терминалы подключаются по bluetooth к телефону, и на телефоне в интерфейсе клиент-банка вводится сумма и телефон обменивается данными с банком по интернету. Вот например русские продают такой терминал www.2can.ru/products/terminal
Он достаточно навороченный, умеет и бесконтактную оплату и чипованные карты и магнитную полосу. Вот китайский OEM вариант этого же терминала dspread.manufacturer.globalsources.com/si/6008847651844/pdtl/Mobile-credit/1158842979/NFC-EMV-card-reader.htm Стоит <100$.
o4karek
05.10.2018 16:14+1Недавно приезжал курьер с похожей девайсиной. Там требовалось физическое внедрение карты. Самсунговский MST не справился. Похоже внутри был просто контакт.
По поводу картинок на морде (как на приведенной картинке, в правом верхнем углу терминала) — не помню, честно.
vmarunin
06.10.2018 02:321. Должен быть недавно разблокирован. Таймаут не знаю, но он есть. Или попросит разблокировать (ввести пин, палец и т.д.) ещё раз. Несколько раз тупил перед кассой в телефон минут 5, этого хватало на повторный ввод.
2. Если есть интернет, то телефон тут же квакнет и скажет про списание, вы заметите проблему сразу и сможете обжаловать.
gecube
03.10.2018 21:54В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.
Видимо, Санкт-Петербург — исключение. В СПб в метро есть и мобильная связь, и мобильный интернет (хотя в перегонах он, конечно, работает хуже, чем на станциях).
В Москве — мобильного интернета в метро практически нет, но есть WiFi (интересно, а POS терминалы через WiFi умеют работать!?)onix74
04.10.2018 08:41Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя
ad1Dima
04.10.2018 08:47В НСК на самых посещаемых станциях стоит 4G и в глубь перегона тоже немного добивает.
sh1kel
04.10.2018 15:59В пределах кольцевой мобильный интернет в метро работает идеально у всех операторов (ну разве что про теле2 не знаю). По остальным веткам зависит от ветки и оператора. На станциях есть везде уже давно.
gecube
04.10.2018 16:08В пределах кольцевой = в центре Москвы? Или = ПО КОЛЬЦЕВОЙ?
Потому что по Сокольнической линии — да, в целом связь есть.
А вот по Арбатско-Покровской и Замоскворецкой (даже в пределах кольца) — ловит только на станциях.o4karek
04.10.2018 16:19Это полностью от оператора зависит. У всей большой тройки покрытие в метро очень разное.
K0styan
05.10.2018 11:39Более того, раньше принципиально разные технологии использовались. ЕМНИП, МТС использовал кабели-антенны в тоннелях, Мегафон — направленные антенны у входа в тоннель.
Но это было до прихода Максимы, сейчас, возможно, всё это унифицировалось.
sh1kel
04.10.2018 16:51В пределах кольцевой линии, в тч на самой кольцевой) Серая ветка — хорошо работает примерно по половине с каждой стороны от кольца, дальше только на станциях и не везде адекватно, но где-то и LTE есть.
Видимо зависит от оператора, но я обращаю на такое внимание, потому что вайфай часто работает плохо, либо вообще не передаются данные либо сильно медленнее, чем по сотовой сети.
SergeyMax
03.10.2018 21:59Лимит на максимальную сумму операции без подтверждения ПИН-кодом может быть установлен как на самом POS-терминале (CVM Required Limit), так и на стороне банка. В России это ограничение равно 1000?.
Ни разу не сталкивался с таким ограничением на терминале. Обычно без пин-кода проходят гораздо большие суммы, например 250 тысяч рублей.gecube
03.10.2018 22:04+2А у меня ни одна операция свыше 1000 руб. при использовании PayPass не проходит без ввода ПИН-кода.
Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.SergeyMax
03.10.2018 22:15при контактной оплате (через чип) — ПИН-код запрашивается всегда
Может быть в этом причина? На моей карте выставлен приоритет подписи. Но опять же получается, что в настройках терминалов нет ограничений (либо они очень большие).ad1Dima
04.10.2018 08:49какое-то время назад большинство терминалов сбера требовало пин всегда, при бесконтактной оплате. Потом это убрали.
nikolayv81
03.10.2018 23:17С пин-ом при оплате чипом интересная ситуация, почти все терминалы требуют н при этом не все проверяют, был очень удивлён когда ввёл 100% неверный код а операция прошла :)
ipswitch
03.10.2018 23:31+1Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.
ДАЛЕКО не всегда.
Есть такие банки и карты, где ПИН вообще не запрашивается в терминале в принципе. На любую сумму. Только в банкоматах запрашивается.
ДАЖЕ если найдётся терминал с жёсткой настройкой «требовать ПИН», можно обычно нажать на красную кнопку отмены, и транзакция пройдёт без ПИН-кода — по подписи.
Карты уровня World Signia к примеру. Или Infinite. Многие карты США.
Какой ПИН? Вы о чём? Непристойно это, как будто не чёрная Signia, а какая-то Maestro! Ещё и код набирать…
Иногда клиент может управлять требованием ПИНа, меняя приоритет самостоятельно.
grafstroganov
03.10.2018 23:54карта Тинькофф. пин код при оплате пайпассом за все время запрашивал только терминал в метро на кассе и терминал по продажам билетов на электричку. а так и на 15 тысяч покупки проходил без запроса.
grumbler66rus
06.10.2018 15:45Настраивается в мобильном приложении или на сайте. В статье это упомянуто.
andr1983
03.10.2018 23:04+1Очень часто это как раз ограничение на терминале. Например, когда в Латвии ограничение по бесконтактной оплате было 15€, я в других странах без проблем делал покупки на большие суммы. Например, в Польше оплачивал и 20 и 25€. Т.е. ограничение в 15€ было не на стороне банка, а только в терминале.
springimport
03.10.2018 22:03-2Я не понял
Как украсть деньги с бесконтактной карты и Apple Pay
Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты
Ах да,
В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты
Это же просто очередной кликбейтный заголовок.id_potassium_chloride
04.10.2018 02:25Как будто первый раз в Интернете. Прочитав заголовок, должно быть очевидно, что статья про вектора атак на безконтактную оплату и рассуждениям по поводу безопасности такой оплаты. Собственно, я и пошёл по ссылке, не чтобы научиться воровать деньги с карточек, а чтобы узнать, насколько это всё безопасно. Возможно, автор немного переборщил с заголовком, но содержимое статьи с головой это компенсирует
zhovner Автор
04.10.2018 02:28-2Вы правы, это кликбейтный заголовок для лохов. Сожалею, что вы попались на него.
Igor_O
03.10.2018 22:06Деньги могут списаться два раза
Не является мифом, а является грустной правдой жизни.
Не далее как 1 августа сего года… На автозаправке (в самой что ни наесть цивилизованной Великобритании в 10 милях от ЛКАД), пока POS печатал мне чек, что транзакция не прошла, на телефон прилитело две СМС-ки, что деньги списаны. Т.е. даже круче, чем «списаться два раза», а «деньги списались два раза, а товар я получить не могу».
Но тут есть еще один важный положительный момент — деньги с карты в момент транзакции — не списываются. Деньги — блокируются. Если за месяц не пришло правильное подтверждение, деньги разблокируются и снова доступны. При этом, если успеть до подтверждения транзакции сообщить в банк, что у вас пытаются стырить деньги, то вернуть все гораздо проще, чем если дождаться, пока деньги уйдут со счета. Но если не пытаются стырить, а просто сбой в системе… Приходится грустно ждать месяц…
А, да, это я еще так однажды в Китае в гостинице попал. Они у меня на карте заблокировали какую-то несусветную сумму на случай, если я у них погром устрою (все командировочные и почти весь аванс, которые на карте были… и это при том, что проживание было уже оплачено по безналу из Москвы). А разблокировать эту сумму — они не сумели… А у меня перелет в Тайпей после Китая и я 2 недели до зарплаты в Тайпее на последние 2 тысячи рублей жил. Благо там тогда питаться можно было на 100-150 рублей в день.Losted
03.10.2018 22:52+2Используйте кредитку в поездках — все авторизации (как раз заблокированные деньги) — это будут деньги банка. И пока они реально не спишутся — никаких процентов не будет. При дебетовых картах все эти авторизации блокируют ваши личные деньги
Igor_O
04.10.2018 00:07+1На кредитке на тот момент уже висело заблокированных под 4 килоевро из прокатов в двух странах… И кто ж знал, что в цивилизованной стране, на АЗС которая «Services» в 10 милях от M25 (которая кольцевая вокруг Лондона), практически в самом центре цивилизации, в уже не первом десятилетии 21-го века, в 50 метрах от батареи Тесла Суперчарджеров, плохая связь с банком?
Но мой коммент был, в основном, о том, что деньги с карты могут списаться больше одного раза. Это не миф. Это жизнь. И такое может случиться даже если транзакция не прошла. Другое дело, что примерно всегда деньги через месяц вернутся.alexhustle
04.10.2018 15:49даже 3 могут, у меня при покупке билетов на сайте ржд списали один раз, а потом, в течении часа, еще два раза. По двум лишним списаниям вернули через две недели.
DMGarikk
04.10.2018 16:39например часто на АЗС используется такой фокус:
есть некоторые умники которые говорят «Полный бак», и идут оплачивать… на кассе покупают шоколадку без заправки, выходят садятся в машину и уезжают… АЗС потом досписывает с карты бабло за бензин (правда для карт electron/maestro не прокатывает… к великой печали кассиров)… используя код авторизации от купленной шоколадкиo4karek
04.10.2018 16:45Есть подозрение, что и для обычной карты это не прокатит. Минимум потому, что софт на POS-е должен уметь такое делать, а сам кассир такого не может сделать. И надо понимать (по протоколу) можно один код авторизации два раз использовать или нельзя. И что-то подсказывает, что нельзя.
DMGarikk
04.10.2018 16:50гдето в 15-16 годах сильно ограничили такие фокусы (после большой серии фрода по кодам авторизации с чеков от банкоматов)
но вообще такая функция есть точно у отелей которые очень часто проводят операции CNP… более того именно для отелей есть много исключений в процессинге для таких дел, и совершенно точно заправки шелл пользуются такой схемой которую я описал вышеo4karek
04.10.2018 16:53Про отели не в курсе.
Про заправки — вы не путаете резерв с возвратом? Когда холдируется заведомо большая сумма и потом (по факту заправки) лишние деньги возвращаются? При этом при возврате карта не нужна. Такое и сейчас есть (из свежего — январь в Белоруссии, июль на Лукошках на М4).DMGarikk
04.10.2018 16:56нет, не путаю, это данные от человека который работал в техподдержке куда звонили опечаленные кассиры у которых владелец карты maestro упер 60 литров бензина… и это не единичный случай
==
ну к слову сказать что такая операция легко опротестовывается, но в случае с АЗС недовольные не обращаются обычноo4karek
04.10.2018 16:57но в случае с АЗС недовольные не обращаются обычно
Людям настолько деньги не нужны?! эххх…DMGarikk
04.10.2018 18:55типа пришел в банк и скзал «я был на азс, заправился и не заплатил за бензин, а с меня бабло списали, вот чек без бензина, верните бабло»? :) слабоумие и отвага конечно
o4karek
04.10.2018 19:01ну к слову сказать что такая операция легко опротестовывается, но в случае с АЗС недовольные не обращаются обычно
Где здесь есть про то, что вы написали?
В данном случае все равно, кто пострадавший: заправка или покупатель.DMGarikk
04.10.2018 19:05Банку то всеравно он бабло вернет, но этим действием «пострадавший» однозначно распишется в умышленном деянии, а не просто «забыл бензин оплатить»
o4karek
04.10.2018 19:09Вы явно о чем-то другом думаете :)
Я вполне осознанно не ставлю кавычек вокруг слова пострадавший, ибо он тут есть: например кассир, которого нагрели на 60 литров (или заправка).
stanislavkulikov
04.10.2018 16:55Подождите, но там же везде камеры. Можно же тут же подать заявление в полицию на него.
DMGarikk
04.10.2018 16:58можно, но проще же сразу… и не надо отчитываться за недостачу (и лишатся премии, а то и платить из собственного кармана)
SilverHorse
06.10.2018 15:18В этой стране может действовать, и действует еще одно правило — деньги вернутся вам спустя месяц, если вы хорошо побегаете по отделениям своего эмитента, тряся чеком с надписью «Отказ», написав три заявления, и при условии, что вам повезет и банк смилостивится, а не скажет «проблемы не у нас, эквайер все подтвердил, идите к ним и с ними и разбирайтесь», как это бывает при ошибочных списаниях при снятии денег в сторонних банкоматах.
Я работал в торговой сети и знаю, насколько часто банковские терминалы сбоят из-за:
— внутренних глюков GSM-модуля (привет одному банку, техподдержка которого ОЧЕНЬ любила вместо детальных разбирательств отмазываться «идите проверяйте баланс на своей симке». К слову, это были те же Ingenico 220 модели),
— глюков в системах, к которым они подключены (привет другому банку и одновременно известной желтой компании, софт которых друг с другом уживается в абсолютных «гармонии» и «взаимопонимании», отчего приходилось ломать голову, как быть, когда оплата прошла, а операция по онлайн-кассе — нет, ибо драйвер решил «пошутить»)
— или банального отсутствия связи (привет нашим закрытым городам, где глушилки мобильной связи понатыканы за каждым забором).
Поэтому вообще оплачиваю что-либо отдельной картой, на которой лежит строго определенная сумма, только в крупных торговых сетях, если того требует значительная сумма операции или вынужденное отсутствие наличности, но ни в коем случае не в каком-нибудь магазинчике или ларьке на углу.
Sabubu
03.10.2018 22:24Непонятно, то ли это реклама Эппл, то ли антиреклама бесконтактной оплаты. Я например Эппл не покупал и не собираюсь переплачивать за яблоко на корпусе когда есть китайские смартфоны за 200 долларов.
Если карта предоставляет номер и дату, то можно просто собирать данные карт и продавать их на черном рынке, не заморачиваясь с ООО.
> Проблема: Несколько карт в кошельке
Делаем/покупаем ридер, который умеет списывать со всех карт по очереди.
> Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний.
Если вам не удалось, это не значит, что это невозможно.
> Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.
Не вижу проблемы немного доработать терминал.
> В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро
В метро есть WiFI, также моб. связь ловится на станциях, также на некоторых ветках поезда едут над землей.
> За это время банк-эмитент направляет запрос банку-эквайеру, и если банк-эквайер подтверждает факт совершения сомнительных операций, то блокируется терминал и средства на расчетном счете владельца терминала.
Вряд ли. Иначе можно было бы легко заблокировать все терминалы конкурента.
> Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв.
Пара вагонов метро.
В общем, ничего не меняется: у банков, как и раньше, все на доверии, а не на математике и криптографии.ElegantBoomerang
04.10.2018 01:09Да, статья не говорит о Google Pay, но ведь там что-то всё аналогичное. Так что китайские телефоны всё ещё в студии.
zhovner Автор
04.10.2018 02:00+2Непонятно, то ли это реклама Эппл, то ли антиреклама бесконтактной оплаты. Я например Эппл не покупал и не собираюсь переплачивать за яблоко на корпусе когда есть китайские смартфоны за 200 долларов.
Основное отличие apple от android в том, что в пером случае, все заявленные функции работают. Android же настолько разнороден, что предсказать как будет сломана та или иная функция в конкретном телефоне невозможно.
Если карта предоставляет номер и дату, то можно просто собирать данные карт и продавать их на черном рынке, не заморачиваясь с ООО.
Верно, но цена таких дампов примерно 2-3$. Так что раздавать листовки на улице, возможно, будет даже выгоднее.
Revertis
03.10.2018 22:28Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.
Я тоже так думал, пока друг не посоветовал проверить.
Я проверил несколько раз. Один раз из двух терминал удачно списывает деньги. И это при наличии в стопке трёх карт, две от одного европейского банка, третья от другого.zhovner Автор
04.10.2018 01:14Вы правы, некоторые терминалы, например сбербанковские Verifone выбирают случайную карту из пачки и списывают с нее. Это работает достаточно хорошо в обычных условиях на кассе, но намного менее стабильно в полевых, при попытке считать карту через одежду или из сумки. В случае наличия нескольких карт, процесс считывания становится намного менее стабильным и предсказуемым. Я экспериментировал с USB ридером и телефоном в качестве считывателя.
sets
03.10.2018 22:47+1История про ограничение в 1000 рублей очень странная и выглядит скопированной из каких-то доисторических статей на тему.
Сейчас у Тинькова можно самому ставить ограничение в личном кабинете, но раньше, когда такой функции не было, а ограничение по-умолчанию менялось только по телефону, то лимит был совсем не тысяча рублей.
Сервис в банках бывает разный, но уж терминала, который бы автоматически запросил пин, обнаружив превышение лимита в 1000 рублей, за много лет не встречал ни разу.
Когда на хабре эта тема обсуждалась в предыдущий раз пришел к выводу, что никаких технических проблем для воровства нет, если только организационные. Неоткуда взяться левым терминалам. Теперь, похоже, есть откуда. Ну значит придется перейти на оплату телефоном.zhovner Автор
04.10.2018 01:54+1Сейчас у Тинькова можно самому ставить ограничение в личном кабинете,
Покажите пожалуйста как это выглядит.
NiPh
04.10.2018 09:08
Наличие такой настройки (возможно, вкупе с какими-то другими, сходу в ЛК не нашёл) позволяет покупать на суммы до 10к точно без пинкода, бесконтактно. Иногда позволяет больше, иногда начинает требовать пин-код.zhovner Автор
04.10.2018 16:20Вот что ответил Тинькофф:
При оплате покупки на сумму СВЫШЕ 1 000 рублей:
Операция осуществляется с авторизацией, ТРЕБУЕТСЯ подписание чека или введение ПИН-кода.
Ограничение является настройкой ТСП. Сумма 1000 рублей является рекомендацией МПС. По факту ТСП может выставить лимит больше рекомендуемого.
То есть это настройка Cardholder verification methods (CVMs) на самой карте, и в случаях когда в терминале установлен лимит на запрос CVM в тысячу рублей, от вас требуется авторизация в виде росписи.zhovner Автор
04.10.2018 17:25Вообще будет интересно послушать ответ от сотрудников Тинькофф, которые есть на хабре: kolxo3nick NikolaiKobzev sergey_belyakov RISENT xotta6bl4
- Может ли сама карта устанавливать лимит на бесконтактную операцию без подтверждения? Под подтверждением имеется в виду любой CVM, подпись или ПИН-код.
- Что будет, если в качестве CVM установлена подпись, но клиент не расписывался на чеке?
tinkoff_bank
04.10.2018 17:57Здравствуйте!
1. Мы можем установить приоритет авторизации по подписи или по ПИН-коду. Лимит на авторизацию без дополнительного подтверждения стандартно составляет 1 000 руб. После 1 000 руб. терминал требует ввода ПИН-кода или подпись на чеке. В любом случае, банк-эквайер может применить свои настройки терминала и тогда терминал будет запрашивать подпись, вне зависимости от суммы и установленного лимита.
2. Если на чеке не будет подписи клиента, то оспорить эту операцию будет проще.
Кстати, мы делали выпуск по этой теме — www.youtube.com/watch?v=nzs6D2Wyfq0&t=31szhovner Автор
04.10.2018 18:03А вы точно настоящий тинькоф-банк? Ваш комментарий мне пришлось апрувить, так как вы только что зарегистрировали. Здесь есть официальный блог Тинькофф и список сотрудников зарегистрированных на хабре habr.com/company/tinkoff
В любом случае, банк-эквайер может применить свои настройки терминала и тогда терминал будет запрашивать подпись, вне зависимости от суммы и установленного лимита.
Выше несколько ваших клиентов утверждаю, что оплачивают покупки на десятки тысяч рублей без подтверждения вообще. Нет причин им не верить. Верно ли, что экваер может сам управлять этим лимитом?
Кстати, мы делали выпуск по этой теме — www.youtube.com/watch?v=nzs6D2Wyfq0&t=31s
В вашем видео на 2:02 говорится, что данных считанных с бесконтактной карты недостаточно для оплаты в интернете. Это не так.sets
04.10.2018 18:54На всякий случай уточню — под «без подтверждения» имелось ввиду «без пина». Подпись изредка просят, гораздо реже, чем расплачиваюсь на сумму >1k, но бывает.
KorDen32
04.10.2018 23:22Выше несколько ваших клиентов утверждаю, что оплачивают покупки на десятки тысяч рублей без подтверждения вообще
Спросить бы у этих клиентов, что написано на чеке.
Из личных наблюдений в провинциях:
1) До массового появления бесконтактной оплаты, ориентировочно ознаменованной приходом Apple Pay, как сама бесконтактная оплата, так и нестандартные методы подтверждения («до 1000 рублей») вызывали у кассиров разрыв шаблона. Некоторые упорно пытались затребовать подпись где не требовалось, потенциально из-за этого банки начали вместо пропуска поля «подпись клиента» печатать «подпись клиента не требуется». И всё равно находились индивидумы…
А уж сам факт бесконтактной оплаты в 2015 году на внезапно поддерживающем терминале, когда о ней никто в провинции не знал, мог спровоцировать что угодно вплоть до разборок с охраной. Джедайский жест «вам не нужна моя карта» бесценен, для остального есть мастеркард :D
2) Ну а сейчас рвущими шаблон действиями являются:
— собственно требование подписи клиента на чеке. Часть кассиров уже привыкли к различной экзотике, и не смотрят на чек, отдавая всё на откуп терминалу. Написало на кассе что оплата успешна — а больше и не требуется. Проведи оплату просто посмотрев на терминал джедайским взглядом — никто и бровью не поведет. На вопросительное «но там же нужна моя подпись» отмахиваются.
— оплата полосой (для некоторых карт без чипа, действующих, внезапно, 5 лет). Обычно объединяется с предыдущим и добавляет лулзов, ведь всем вроде известно что по полосе операция не проводится при наличии чипа, а где вы сейчас видели карту без чипа? Ну вот она, да. Ой.semmaxim
05.10.2018 11:39Написано обычно «требуется подпись». Но кассиры в супермаркетах, к которым стоят полдюжины человек, обычно забивают на это и никакой подписи не требуют. Хотя пару раз просили расписаться, когда я был последний в очереди и клиентов в супермаркете было немного.
ipswitch
05.10.2018 17:10АШАН, терминал «распишись на экране»
www.retail-loyalty.org/news/kompaniya-ARCOM-postavila-platejnie-terminali-dlya-gipermarketov-seti-ashan-rossiya
grumbler66rus
06.10.2018 15:56Я буквально вчера оплатил карточкой ТКС, у котороу указано подтверждение подписью, покупку на сумму больше 3 тыс. руб. и не ставил свою подпись.
Обобщая: по моим наблюдениям, мало продавцов читают надписи на экране POS-терминала. Те, кто требуют мою подпись на чеке, получают от меня ободряющий комментарий :), и это бывает редко.
sets
04.10.2018 09:10Сейчас это просто формы на сайте, как и смена пина
www.dropbox.com/s/4tw0a0k4pivg65h/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202018-10-04%2009.08.50.png?dl=0
В давние времена это можно было сделать по телефону.
RaphZak
04.10.2018 09:17Тоже интересно как это сделать. Поискал, что на сайте в ЛК, что в приложении — не нашел как увеличить сумму бесконтактного списания.
А так лимит в 1000 рублей без пин кода, неоднократно замечал.
altone
04.10.2018 15:35Карта Тинькова с «умолчальными» настройками позволяет списывать достаточно большие суммы без пин-кода, как минимум 40+ тысяч суммы проходят без запроса. Поэтому речь даже не о настройке в кабинете, а о неверности утверждения — «В России это ограничение равно 1000?».
grumbler66rus
06.10.2018 15:58У тинькова в последние пару лет карта не активируется, если не создать для неё пинкод.
alexhustle
04.10.2018 15:55если выставить подтверждение по пинкоду, то именно так все и происходит с дебитовой безконтактной картой Тинькова — покупка в макдаке на 500р проходит прикладыванием карты, при покупке в продуктовом на сумму больше 1000р терминал требует пин
DarkByte
04.10.2018 23:19Это лимиты конкретного продуктового магазина (их терминала/процессинга). Оплачивал картой ТКС куда большие суммы, чем 1000руб, и проходило без пинкода.
alaskanebraska
04.10.2018 18:50Буквально на прошлой неделе оплачивала картой Сбера счет в ресторане на сумму чуть больше тысячи. Терминал запросил пин ? \ _ (?) _ / ?
Alexeyslav
05.10.2018 09:27Чай чтоли заказывали?
Arty_Fact
05.10.2018 09:37Может она в Саратове в ресторане была, какая вам разница?
ad1Dima
05.10.2018 10:59Что сразу в Саратове? Вон НСК — третий город в стране. Много где можно ужин на двоих уложить в «чуть больше тыщи»
Arty_Fact
05.10.2018 11:47Да и в Питере и в Москве я могу в ресторане на чуть больше тысячи покушать, тем более про двоих ничего не было сказано. Я просто не понял претензии alexeyslav
ad1Dima
05.10.2018 11:51ну вероятно в заведениях, которые посещает он, за 1000р подают только чай (из талой воды Альпийского высокогорья, растопленный теплом тел девственниц, собиравших чайные листья голыми в полнолуние...)
vlivyur
05.10.2018 17:40Жена как-то позавтракать зашла в кафешку — чайник чая и пирожное. Итого чуть меньше тыщи, а чай оказался 680 рублей. Так что чай чаю рознь, как и «Ресторан» на своих заведениях пишут все подряд, тот же Бургер Кинг и Макдоналдс.
kalininmr
03.10.2018 23:24В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.
связь в метро хорошо так продвинулась. на кольцевой уже всё есть.
ну а около почти всез станций и уже очень давно
Drebin893
04.10.2018 00:07+1Спасибо за скриншот с информацией о покупке готовых ООО. Сильно рад, что вы осветили эту часть темы, для меня она отчасти наболевшая. Видел такие объявления постоянно, когда изучал материалы, вошедшие в мою статью о персональных данных. Но сейчас речь не о ПД.
Торговля ООО и даже ИП действительно имеет место быть в огромных масштабах. Обычно эти карманные организации оформлены на «номиналов», то есть бомжей, алкоголиков, наркоманов. Активную агитацию стать «номиналом» преступники проводят в мутных российских пансионатах «лечения от наркозависимости», ведь там люди абсолютно манипулируемы и управляемы, так что соглашаются и не на такие махинации.
Есть и исключения. Очень редко, но все же мне попадались объявления, где предлагали зарегистрировать организацию на предоставленный скан паспорта без личного присутствия человека (это и правда редкость, отдельные предложения по регионам).
Используются такие ООО и ИП для «обнала» и противозаконных действий: классические фирмы-однодневки. Однако иной раз они могут использоваться и для вполне легальной деятельности с той лишь разницей, что реальный владелец бизнеса (не исключено, что набивший шишек в прошлом) сильно не хочет привлекать внимание и идти на риски, связанные с владением компанией. Условия бизнеса в России породили традицию открывать отдельное юрлицо «под каждый чих», иной раз даже с оформлением на noname-личностей.Rohan66
04.10.2018 10:31Я видел продажу ООО с лицензией на гос.тайну! Цена начиналась от 1 млн. (это ещё году в 10-м). Приносишь свои документы и контору в тот же день перерегистрируют на тебя. Правда, не знаю, насколько это работает и не кидалово ли.
korotovsky
04.10.2018 02:32Вопрос автору: правильно ли я понимаю, что если использовать данные вашей карты от эпл пэй из статьи для регистрации на booking .com то тогда данные карты будут квалифицироваться как CP? Ведь они там данные карты по факсу пересылают в отель и отель снимает с вас деньги. Ну по крайней мере по моей последней информации.
zhovner Автор
04.10.2018 02:35Нет, это будет CNP операция, так как транзакция не будет подписана ключом карты. Можете попробовать, кстати.
korotovsky
04.10.2018 02:38Как же она будет подписана ключём карты если я просто вбиваю все данные на сайте, PAN и прочее и эти данные букинг просто передает и их дальше девочка вводит на терминале. Или вы имеете ввиду как раз в этот момент оно должно было бы быть подписано картой? (И нет, спасибо, пускай другой кто-нибудь попробует :) )
zhovner Автор
04.10.2018 02:44+1CNP (карта не предоставлена) — оплата по реквизитам карты, просто по номеру, то есть удаленно.
CP (карта предоставлена) — транзакция подписана криптографической подписью с помощью микропроцессора внутри карты, ну или не подписана и просто считаны данные с магнитной ленты.
Так что в вашем примере это будет CNP операция, так как оплата будет происходит удаленно по реквизитам карты.
Sap_ru
04.10.2018 03:34+1Кстати, самая надёжная защита в данном случае — специальная карта в кошельке, которая будет «откликаться» на все возможные идентификаторы стандарта 14443-4.
Во-первых, это не позволит просканировать наличие карт, а во-вторых, при правильной реализации, такая карта будет искажать сигнал реальной карты, если злоумышленник каким-то образом всё же сумеет определить наличие и идентификатор настоящей банковской карты. Чувствительность же глушилки можно сделать несколько выше чем у обычных карт (это возможно даже при работе от без источника питания), чтобы гарантировать её срабатывание с обычными картами. А так как карта-глушилка находится в кошельке вместе с платёжными картами, то никаким образом ничего удалённо не прочитаешь, пока не разнесёшь глушилку и карту в пространстве (вытащим карту или открыв кошелёк).
В принципе для этого специальный чип нужен (либо очень кастомная прошивка по стандартые программируемые чипы), но можно и на гибкой печатной плате сварганить.
Более того, там физический принцип чтения такой, что можно подобрать примитивный безмозглый резонатор на гибкой печатный плате (буквально с десяток копеечных деталей с общей себестоимостью в $2), который не вообще не позволит установить связь с картами стандартным способом если они находятся в общем с ним поле. Теоретически, конечно, можно будет сделать ридер, которому такое примитивное противодействие не страшно, но это сильно удорожает атаку и принципиально снижает вероятность успешного чтения в реальных условиях — для успешного чтения злоумышленнику нужны будут такие условия, что проще уже кошелёк украсть.
Пора пилить стартап?zhovner Автор
04.10.2018 03:38+1Такая карта уже есть, я упоминал ее в комментариях выше: lab401.com/collections/tags/products/rfid-blocker-nfc-jammer
Sap_ru
04.10.2018 03:52+120 евро (30 без скидки)?!!! Они опухли. Если сделать тупо резонатор (а там, похоже, именно оно, т.к. глушит всё без разботра), то ему красная цена $5..$10 даже если автор сильно разбогатеть хочет.
zhovner Автор
04.10.2018 04:07Но там еще есть СВЕТОДИОД который светится попадая в поле 13Мгц.
Sap_ru
04.10.2018 04:41Я заметил, и это настораживает. Лучше бы они эту энергию на глушение использовали. Откуда у них энергии на целый светодиод? Ощущение, что можно сделать «правильные» пиратские ридер (или они уже существуют), которые смогут за счёт подбора мощности поля обходит из глушилку.
balexa
04.10.2018 10:00Откуда у них энергии на целый светодиод?
а почему бы и нет? Микропроцессору на обычной карте этой энергии вполне хватает, думаю светодиоду нужно гораздо меньше.Sap_ru
04.10.2018 12:35Микропроцессор потребляет не более 300 мкА. Это для него максимум. Для светодиода это минимум, чтобы еле светился.
achekalin
04.10.2018 11:4120 евро (30 без скидки)?!!! Они опухли.
А если сделать конвертик из фольги, а фольгу взять от скушанной до того конфеты, то цена вопроса будет равна цене конфеты минус удовольствие от её съедания. В общем, не все так плохо, можно срезать уголок-другой, если действительно хочешь заплатить не за разработку, а только себестоимость материалов.Sap_ru
04.10.2018 12:36Конвертики от из фольги не удобны использовании. Каждый раз доставать и заворачивать карту?! А если карт несколько. А всякие пластинки и листы фольги, вложенные в кошелёк, не обеспечивают 100% защиты.
befart
04.10.2018 15:08+3Карту приклеивать скотчем ко дну кастрюльки, кастрюльку на голову. Устройство 5 в 1, защищает карту, защищает от дождя и ветра, защищает мозг от пришельцев и правительства, защищает от дубинки омоновца, работает как униформа революционеров. Пора пилить кастрюльковый стартап. Запускаем краундфандинг на покупку модных итальянских дизайнеров для раскраски кастрюлек.
Шутка)Arty_Fact
04.10.2018 15:59+1Замените кастрюльку на хороший дуршлаг и можете даже на паспорт фотографироваться.
raliev
04.10.2018 05:01Спасибо, очень интересно
А я правильно понимаю, что у вас номер карты 4800 9972 5051 1756 exp date 12/23? Так, для лучшего понимания предмета статьи интересуюсьfoal
04.10.2018 09:53Деньги хотите перевести на неё? :) А статью читали?
«Будь это номер физической карты, деньги действительно можно было бы украсть»
McDermott
04.10.2018 09:58Кстати, во многих статьях по данной теме на русском языке говорится, что можно вручную установить собственный лимит на бесконтактные операции без ПИН-кода. Мне не удалось найти такой опции в основных российских банках. Может, вы знаете о такой возможности? Речь именно о бесконтактных платежах, а не любых chip&pin-транзакциях.
Около года назад, получив карту NFC Сбербанка, я попытался установить лимит на бесконтактные операции равным 0. В контакт-центре сообщили, что лимит можно установить самому, но не менее 1000.
YouHim
04.10.2018 11:07В некоторых магазинах терминалы просят приложить карту повторно. Никто не знает, зачем? Поначалу было страшновато прикладывать еще раз после того как увидел галочку успешной оплаты.
sets
04.10.2018 12:43Встретил такое однажды в столовой, кассиром трактовалось как не вполне исправный терминал. Продолжалось где-то месяц, потом прошло.
stanislavkulikov
04.10.2018 11:39Спасибо за статью. Покупки через терминал, особенно с помощью Apple Pay действительно вполне безопасные. Но что вы скажете про снифферы на банкоматах и интернет платежи? Особенно самую болезненную тему про Booking.com, когда они просто в открытом виде передают все реквизиты карты.
Master255
04.10.2018 12:10на практике она оказывается невыгодна и крайне тяжело осуществима. Шанс получить хоть какую-либо прибыль настолько мал, что лишает смысла всю затею.
Всё это хорошо до тех пор пока хотя бы одно условие не поменялось. Например: у злоумышленника стечением обстоятельств уже есть склад терминалов. Т.е. ему не надо покупать терминал. И есть армия людей, готовых ходить по вагонам и списывать деньги.
Если есть хоть одна возможность украсть таким способом деньги, то все этого будут бояться.
По моему статья только подтверждает наличие уязвимости и лишний раз напоминает всем, где раздобыть деньги :-)ad1Dima
04.10.2018 12:36+2Важна не сама тушка терминала, а наличие привязки этого терминала к банку, оформленное на подставное лицо. Мошенник вряд ли захочет светить свои личные данные.
kudryavy
04.10.2018 12:54+1Там главное не наличие терминала, а наличие договора с банком-эквайером и два-три дня задержки от момента покупки до момента зачисления денег на счет юрлица.
Чем больше покупок, тем больше вероятность, что кто-то оспорит транзакцию и все деньги протухнут на заблокированном счете.
Так что Ваша армия людей с парком терминалов ничего не меняет.
При этом вы забыли, что нужно ЗНАТЬ, где находится бесконтактная карта, и после любой ошибки считывания перед КАЖДОЙ оплатой вручную вводить сумму покупки.
А потом вся эта армия людей по камерам в метро относительно легко отслеживается.
arthur_veber
04.10.2018 13:26и ещё в статье эти 100т. руб. рассматриваются как выброшенные деньги. но ведь это не так: эту компанию с терминалом можно потом продать. То есть это не себестоимость.
поэтому то что удалось намайнить это идёт только плюсом.Jestertim
04.10.2018 13:31+2И что, кто-то захочет покупать компанию, с заблокированным счетом и уличенную в сомнительных операция?
Akdmeh
04.10.2018 12:45Может кто-то подскажет — какая выгода Apple Pay и Google Pay в этой технологии, если они не берут комиссию. Все та же — сбор рекламных данных?
lavmax
04.10.2018 12:53+1Они берут комиссию (как и другие платежные системы типа Visa), просто не с покупателей.
sindrom
04.10.2018 12:56Бесценная информация о твоем покупательском профиле. Если онлайн гуглом уже покрыт, то Google Pay — это возможность узнать куда ты ходишь и что покупаешь в оффлайне.
Arty_Fact
04.10.2018 12:58Как минимум — конкурентное преимущество. Вы же не спрашиваете какая выгода Apple и Samsung от установки процессора в телефон?
lavmax
04.10.2018 12:49+1В Польше набирает популярность сервис оплаты БЛИК. Все оплаты производятся через одноразовые 6-тицифровые токены которые генерятся на мобильнике и на нем же подтверждается транзакция (пальцем или паролем). Можно использовать в магазинах, банкоматах и покупках в интернете. Никаких сведений о карте, владельце или чем-либо еще никуда не передается — только токен.
Я лично в магазинах по прежнему использую бесконтактную карту. А вот в банкоматы и интернеты вообще перестал давать карту если принимают Блик.krokodily
04.10.2018 15:35Классная штука. Еще можно привязать телефон к БЛИКу и переводить деньги физлицам. Приходит сразу в отличии от традиционного перевода
JC_IIB
04.10.2018 16:14Похоже на нидерландский iDeal. Тоже такая удобная штука для оплаты местных сервисов. Практически все онлайн-магазины (а иногда и зарубежники, типа Blizzard) принимают этим айдилом оплату. Выглядит так — тыкаешь в кнопку «оплатить айдилом», открывается окно. Выбираешь там свой банк, вводишь номер карты (только номер, больше ничего). И ниже в этом окне написано 8 цифр. Берешь специальный хардварный аутентификатор (выдают в банке вместе с картой, выглядит как небольшой калькулятор), вставляешь в него карту — на экранчике появляется меню. Выбираешь опцию «оплатить», вбиваешь пин, ввод, а потом вот эти 8 цифр из окна в браузере. Получаешь другие цифры, вводишь их в бразузер. Ентер. Все, оплата завершена.
Поверх этого iDeal работает удобнейший сервис Tikkie — там можно создать короткую ссылку, в которую «зашита» сумма, и послать ее кому-нибудь, кто должен вам эту сумму денег. Пройдя по ссылке, этот кто-то совершит оплату (разумеется, с соблюдением всех плясок с бубном), деньги мгновенно упадут вам на счет.
p.s. Нет в Нидерландах ApplePay :(stork_teadfort
05.10.2018 18:26Это я так плохо распознаю сарказм, или вы действительно считаете описанное удобным?
То есть махнуть за секунду телефоном, на ходу приложив палец к сканеру, при равном (как следует из статьи) уровне безопасности — это менее удобно?JC_IIB
06.10.2018 16:24Я-то говорил об оплате онлайн. Понятное дело, что махнуть телефоном удобнее, но iDeal-ом платят на сайтах. И вот это удобно, да.
asmrnv777
04.10.2018 14:47Справедливости ради нужно заметить, что в некоторых случаях мне удавалось обойти ограничение и выполнить бесконтактную оплату на сумму больше 1000? без ввода ПИН-кода.
Хм, последний год в 99% случаев плачу только через Apple Pay, несколько раз в неделю транзакции сильно выше 1000 рублей, а пинкод вводил только пару раз за всё это время.
amarao
04.10.2018 15:19А как же сценарий недобросовестного сотрудника?
Я пришёл купить что-то в магазине. Ввёл пин (я в это время вижу сумму на терминале), после чего продавец забрал назад терминал и пикнул по ней меньшую сумму чтобы покрыть украденное из магазина.
Доказывать потом, что первая транзация по делу, а воторая нет — задолбаешься. Особенно, если продавец потом ещё и чек пробъёт.
Чек есть? Есть. Ходили ли вы этот магазин? Ходили. Покупали на 100500? Да. А на 990? Нет? Как нет, когда у нас есть и запись в кассе, и инвентаризация как раз на 990 сходится?
Инвестиции злоумышленника:
* Устроиться продавцом
* Наворовать у клиентов (товара)
* Уволиться
В этой схеме инвестиций копейки, а профит прямо прёт.stanislavkulikov
04.10.2018 15:28Владельцы этого магазина будут на вашей стороне. А сотрудника даже искать не нужно, всё пишется. Поэтому такая схема проработает максимум день.
amarao
04.10.2018 15:49+1На самом деле больше, потому что «30 дней» и всё такое. Я делал chargeback за ошибочно списанные деньги по CNP. Деньги вернули, но через примерно пол-года, и мне пришлось писать заявление от руки, и вести долгую унылую переписку с банком. С одним.
С другим банком, когда у меня была двойная транзация в ресторане (как раз такая схема, только без всяких fancy wireless, просто по свайпу карты без пина и подписи) мне сказали «chargeback стоит 30 баксов вне зависимости от результатов, а у вас там 16 баксов списано» (поразумевая — «утритесь и не выступайте»).
Так что все эти схемы, в которых кто-то что-то может списать без явного «да» со стороны клиента — всё это работает удобно для всех, кроме клиента.
Ну почему нельзя иметь устройство, на котором я (авторизованный я) говорю «да» или «нет» для операции, видя сумму операции на trusted device?stanislavkulikov
04.10.2018 16:01Судя по всему, это было с европейскими банками? В России с этим всё намного лучше (ну или мне везло). У меня было 3 случая: один раз отменял покупку тут же на кассе, один раз у меня украли аккаунт в ЛитРес к которому была привязана карта (чисто Питерское преступление, на ворованную кредитку накупили книг), и один раз неправильно ввёл номер счёта (хотя уже не очень к теме относится). И во всех случаях деньги возвращали в течение пары дней.
sh1kel
04.10.2018 16:43Ага, мне как то курьер привез пицу и дал терминал. Я ввел пин, а это оказалось поле для суммы. Заплатил за пиццу тыщ 5. Откатили сразу правда, прямо на терминале.
Arty_Fact
04.10.2018 16:52Карточку-то потом перевыпустили, я надеюсь?
И вас не смутило, что вам пришлось два раза пин вводить?sh1kel
04.10.2018 16:57Мне не пришлось вообще вводить пин. Курьер не умел с терминалом обращаться, вставил карту и дал мне. Я и ввел пин, как обычно в таких ситуациях, а оказывается сам курьер должен был ввести сумму покупки. И списали с меня 4-х значную сумму, без ввода пина. Потом он уже позвонил в панике в пицекомпанию и ему объяснили как откатить покупку.
Arty_Fact
04.10.2018 17:52Я бы на вашем месте обратился в банк, как это без подтверждения у вас на 5 с лишним тысяч платеж проходит.
o4karek
04.10.2018 16:14Ну почему нельзя иметь устройство, на котором я (авторизованный я) говорю «да» или «нет» для операции, видя сумму операции на trusted device?
Можно пообсуждать, какое количество народу захочет таким образом возвращать деньги за купленные вещи, не возвращая сами вещи.
Помнится в одном магазине около дома был весьма странный POS, который иногда совершал два идентичных списания подряд. Банк возвращал без звука, требовали только заявление и копию чека. Возвращали примерно по 2 недели каждый раз.amarao
04.10.2018 16:31Отгружать после оплаты, делов-то. paypal прекрасно справляется.
o4karek
04.10.2018 16:33А потом я подхожу к этому trusted device и говорю — «нет», я не платил.
Вы ведь про оспаривание сделанной транзакции?amarao
04.10.2018 16:35Нет, я про оплату.
Когда нужно оплатить, мне продавец предъявляет что-то для оплаты, я на своём устройстве вижу сумму и получателя, и нажимаю «да».
Потому что сейчас вся эта штука строится на доверии, и если оно нарушено в какой-то момент, то крайний — клиент.Arty_Fact
04.10.2018 16:56Почему вы вообще кому-то передаете свою карту, тем более если она поддерживает бесконтактную оплату?
amarao
04.10.2018 16:57Потому что первая транзакция на 100500 и всё равно потребует пин. Почему передаю? Потому что таковы обычаи делового оборота в магазине — карта передаётся продавцу.
JC_IIB
04.10.2018 17:03таковы обычаи делового оборота в магазине — карта передаётся продавцу
А при оплате налом ему передается кошелек, ага. Никогда ни в одном магазине не давал своей карты в руки. Там, где я сейчас — в принципе за картой руку не тянут, сразу протягивают тебе терминал, чтобы ты сам вставил и забрал.amarao
04.10.2018 17:26А там где я, номер карточки диктуют по телефону, чтобы 300 евро за страховку чарджнуть.
JC_IIB
04.10.2018 17:31Дичь какая-то, если честно. А другие способы есть?
amarao
04.10.2018 17:47Скататься лично в Пафос из Лимассола (~50км). На самом деле не дичь. Тот же Аэрофлот, при случае, может принять вашу карточку по номеру телефона. Все терминалы позволяют это сделать, достаточно вбить номер карты, дату, CVV.
JC_IIB
04.10.2018 17:56Все-таки дичь, потому, что либо по телефону, либо ногами. В онлайне они платежи принимать не научились, видимо.
DMGarikk
04.10.2018 18:29Это кажется дичью потому что РФ карточная сфера гораздо более развита (из-за молодости) чем в остальном мире
буквально 5-10 лет назад были правила что карту нужно было давать в руки продавцу и он должен был проверить её подлинность (этому до сих пор учат, и экзаменуют… как отличить подделку и куда бежать если появится код изъятия)
из-за реактивного внедрения пейпаса и выноса терминала из рук кассиров это уже устарело… ни в одной крупной стране так быстро карточная отрасль не развивалась… в США до сих пор полосы катают, а у нас уже EMV устарелJC_IIB
04.10.2018 19:41Нет, это не кажется дичью, а это и есть дичь — страховая компания, не умеющая в 2018 году принимать платежи онлайн.
DMGarikk
05.10.2018 16:30Это не дичь, это особенности разных стран.
то что вы привыкли к чемуто современному — это еще не значит что весь мир так живет.
«вы не модные, сейчас 2018 год!!» — это только у хипстеров прокатывает, а не в огромных фирмах с огромной историей и бюрократией… а тем более в странх с большой бизнес историейJC_IIB
05.10.2018 16:57то что вы привыкли к чемуто современному — это еще не значит что весь мир так живет.
Согласен абсолютно, но это никак не противоречит тому, что в 2018 году диктовать какому-то левому человеку реквизиты карты по телефону — это дичь. Кое-где и на телегах до сих пор ездят, например.
а тем более в странх с большой бизнес историей
На самом деле дело не в «бизнес-истории» (в Европе есть страны, где все без проблем платится онлайном), «модности» и «хипстерстве», а в том, что кто-то просто поленился подключить свой сайт к системе процессинга. Или решил поэкономить за счет безопасности клиентов.
tvr
04.10.2018 17:11Потому что таковы обычаи делового оборота в магазине
Да ну. Значит это неправильный магазин и работает с нарушением правил МПС/банков эмитентов карты (по крайней мере в РФ, в нескольких банках, карты/счета в которых у меня были и есть сейчас, в договорах БО везде был пункт о запрете передачи карты третьим лицам).
Хорошо хоть, что он не один и вполне можно проголосовать ногами.
o4karek
04.10.2018 16:17Я пришёл купить что-то в магазине. Ввёл пин (я в это время вижу сумму на терминале), после чего продавец забрал назад терминал и пикнул по ней меньшую сумму чтобы покрыть украденное из магазина.
А можно поподробнее?
Ведь ввод ПИНа заканчивается нажатием «зеленой кнопки», которая запускает процесс обмена с эквайером. Т.е. там уже лишнюю сумму не вставишь.
Или я что-то не понимаю в описанной вами схеме?amarao
04.10.2018 16:32Терминал печатает чек (продавцу), потом покупателю, потом продавец возвращает карту и чек клиенту. Вот в этот момент можно бесконтактно пикнуть на меньшую сумму — чеки-то напечатаются, но клиент этого уже может не видеть (задвинуть терминал в ящик и т.д.).
А потом распечатанный чек кладётся в кассу, как нормальный, пробивается чек, а продавец себе набирает товара на пикнутую сумму.o4karek
04.10.2018 16:37+1А что в чеке будет написано? А что скажет покупатель, которому прилетит SMS/PUSH с очередным расходом? А почему покупатель не заметит задержку возврата карты и внезапно заработавший чековый принтер?
Ну и да, в России такой чек опротестуют очень быстро, и что сделает директор/хозяин точки с таким продавцом — в общем понятно.amarao
04.10.2018 16:43SMS — вопрос открытый. Задержку не заметит, потому что пикнут быстро. Принтера не услышит, потому что его в ящик стола задвинут. Более того, есть большая задержка между пиком и авторизацией платежа, который можно затянуть нарушив связь (будет retry, для которого связь можно будет предоставить).
Т.е. последовательность такая: взять карту, дать машинку для пина, провести транзакцию, пробить чек, пока бъётся чек, спрятать машинку в стол, пикнуть вторую транзакцию, отдать карту, чеки первой операции, улыбаться. В это время в столе печатается вторая транзакция.o4karek
04.10.2018 16:50Быстро проведенная карта — не сработает (проверял на себе много раз).
Без вставленной карты транзакцию не начать. А без начатой транзакции ПИН некуда вводить. После оформления первой транзакции все, что вы можете — транзакция, которая не требует подтверждения. НО! Бесконтактная оплата не предполагает передачи карты в руки кассира. Все операции делает клиент.
Ну т.е. в идеальном мире такое (наверное) можно попробовать провернуть, но в реальном — сильно вряд-ли. Уж слишком «дубовым» должен быть покупатель (в плохом смысле этого слова).amarao
04.10.2018 16:54Повторяю схему: контактная оплата легальной транзакции (100500) — и так и так пин вводить, так что карту втыкают сразу в девайс. После этого, пока чек печатается, бесконтактая нелегальная транзакция на меньшую сумму. Процесс печати запускается уже после того, как поднесённая карта убрана, так что машинка может в столе печатать, в это время карту и чеки (легальные) отдают покупателю.
o4karek
04.10.2018 16:56+11. Если у меня бесконтактная карта — зачем использовать контактную оплату?
2. Пока чек печатается, скорее всего софт кассы печально ожидает завершения процесса и не дает ничего лишнего делать.amarao
04.10.2018 16:591. Потому что продавец ожидал карту. До сих пор есть куча контактных теримналов и заранее увидеть какой там часто невозможно.
2. Это только если есть интеграция. Опять же, есть куча магазинов, в которых сумму на терминале продавец вбивает самостоятельно.
eps
04.10.2018 16:43+1потом продавец возвращает карту
Не давайте продавцу карту в руки. Я стараюсь платить с часов, там этот вариант просто сразу отпадает.
И перед оплатой проверяйте сумму, написанную на экране терминала
Starkom
04.10.2018 15:35Подскажите, пожалуйста, в чём может быть проблема? Ношу в кошельке две бесконтактные карты PayPass и одна PayWave. Так вот, спустя какое-то небольшое время (месяц?), как в кошельке появилась вторая карта PayPass, первая PayPass карта перестала работать бесконтактно. Ну сломалась и сломалась, особо не обратил внимания. Менять было лень, так и пользовался ею, вставляя в терминал каждый раз.
Спустя год она заэкспайрилась и банк прислал новую. И вот спустя опять примерно месяц перестал работать PayPass уже на второй карте. Она подключена к Google Pay, так что опять проблемы особой нет.
Кто или что их ломает?zhovner Автор
04.10.2018 15:38А как именно выглядит поломка? Терминал вообще не реагирует на карту или возвращает ошибку? Если первое, возможно карта треснула и переломилась антенна внутри. Во втором случае, могу предположить исчерпание Application Transaction Counter (ATC), возможно вы заплатили уже 65 тысяч раз :)
Starkom
05.10.2018 11:37Вообще не реагирует. Про механическую поломку я и подумал, когда сломалась первая карта. А второй случай уже насторожил.
flastir
04.10.2018 15:38Для полного покрытия темы не хватает попытки считать данные с карты, находящейся в NFC-непрозрачном чехле наподобие такого:
OlegSochi
04.10.2018 15:38А как быть в случае с Apple Watch? С помощью них можно расплачиваться не вводя никаких данных(отпечаток-фейс id). Вот они на руке у меня, ко мне подходит такой чувак и совершает транзакцию на ЛЮБУЮ сумму, так?
stanislavkulikov
04.10.2018 15:44+4Т.е. к вам кто-то подходит, берёт руку, нажимает 2 раза кнопку на часах, подносит к ним терминал, а вы такой: «Да всё ОК, люди каждый день так делают»
Igor_O
04.10.2018 16:19Скорее, кто-то подходит, снимает с вас часы, идет в магазин, нажимает сколько надо раз кнопку, подносит их к терминалу и т.п. А если снять с вас часы в момент входа в поезд метро, то вы только через час обнаружите, что часов у вас на руке нет, а на карточках денег нет, т.к. обычно сигнал о приходе СМС в метро не слышно… И да, такие умельцы, которые незаметно снимают часы с руки, все еще не повывелись, несмотря на уменьшение количеств народа с часами.
o4karek
04.10.2018 16:21Самсунговские часы после снятия с руки и попытки заплатить — потребуют ввести пин-код часов. И без ввода пин-кода для часов не дадут активировать Samsung Pay. Думается, что у Эппла примерно тоже самое должно быть.
stanislavkulikov
04.10.2018 16:25+1Есть проблема: как только снимаешь часы с руки, они тут же блокируются. И, насколько мне известно, новую прошивку ещё никому не удалось взломать. Т.е. без кода часы превращаются в бесполезный браслет.
eps
04.10.2018 16:41На новых Watch, может, это быстрее, но на Series 0 задержка между двойным нажатием кнопки и готовностью карты — секунд 5. Нажать дважды на кнопку, и через 5 секунд поднести терминал к штуке, висящей на руке — довольно сложно, я считаю.
Зато это легко сделать со спящим человеком.
Если есть подозрение, что вот-вот произойдёт что-то скверное — снимайте часы с руки. Пропадёт пульс — отпадёт аутентификация. Если собрались вздремнуть в аэропорту — снимите и снова наденьте.
Semy
04.10.2018 18:46Деньги могут списаться два раза
Этот миф касается не только Google Pay/Apple Pay, но и обычных банковских карт.
Ну как же миф? Со мной такое случилось. Терминал завис во время оплаты. Его перезагрузили и я еще раз поднес к нему карту. Мне пришли две СМС о списании. Справедливости ради, сотрудники магазина перепугались намного больше, чем я и сами звонили в банк отменять транзакцию.
Чек распечатался только для второй транзакции.zhovner Автор
04.10.2018 18:56Ну это не совсем корректный пример, по сути вы два раза заплатили, просто в первый раз не увидели подтверждения оплаты.
DMGarikk
04.10.2018 19:07скорее не увидели смс об отмене оплаты… такое часто бывает при зависании терминалов.
тут надо сверять итоги у терминала чтобы там не записалась первая оплата… иначе действительно их будет две.stork_teadfort
05.10.2018 18:40Тоже недавно такое было. Платил Google Pay, первый раз после минутного раздумья из-за плохого Wi-Fi у терминала операция не прошла. Ввели сумму еще раз, приложил, все ок. Приходит 2 пуша от Google Pay, в приложении 2 оплаты.
Уже хотел возвращаться, но потом увидел в банковском приложении отмену первого платежа (гугл эту отмену не показывал упорно).
befart
04.10.2018 19:26В целом выводы из автора — ломать ваши карты и смартфоны тяжело и бессмысленно. Но, раз весь Алиэкспресс завалин противовзломными гаджетами, значит в Китае проблема стоит остро? Их карты массово ломают? Или это все на параноиков рассчитано?
Alexeyslav
05.10.2018 09:33+1Играют на страхе. точно такая же фишка с чехлами для мобилок. очень редко они действительно спасают, больше добавляют неудобств.
semmaxim
05.10.2018 16:22По-моему, автор как раз подтвердил, что если носите в бумажнике одну карту и не защищаете её дополнительно, то украсть деньги не проблема. А при некоторых вариантах можно списать и если их 2.
nikitasius
04.10.2018 21:40Почему-то забыли модифицированные чемоданы. Миф или нет? Далее есть конвертики из фольги.
Следом безконтактные не только банковские карты, но и прочие rfid, например с биткоин ключами. Удобно — нужно кому-то передать биткоины, передаешь карточку (мы такие оформлять себе будем для проекта).
Лично для себя:
- карта с чипом, обычная, для оплат и для китайцев
- карта без чипа, на подпись — для большим оплат и там деньги лежат.
Кстати, безконтактный платеж во Франции с 30 до 50 евро повысят. А на картах без чипа дофига времени на откат бабла без чека (поэтому их редко принимают в засранных магазинчиках, и поэтому подпись обязательна).
shape
05.10.2018 00:37Автору респект. Написал такой труд. Заполнил технической информацией, скринами, протоколами обмена с картой. Тэги EMV-шные попарсил чтобы уж не совсем магия была в дампах.
За нежданный пиар — спасибо, но хаброэффекта словить не удалось.
В общем-то никто и не ожидал что все сразу ломанутся изучать ворох платежных стандартов и протоколов.
К сожалению комментарии ушли от технической стороны перехвата данных в сторону бытовухи — обсуждения лимита 1000 рублей, каких-то сложных вариантов противоправного использования терминалов и шапочек из фольги…
Сценарий 1 — ну бред же для поднятия хайпа.
Сценарий 2 — про пассивный перехват и сбор карточных данный уже писалось неоднократно.
Только тут надо чуток технических знаний чтобы копнуть глубже.
Для тех кто работает в сфере карточного процесинга и терминального софта тут мало нового.
Ну а кто сует свои карты куда ни попадя или держит большие остатки на карточных счетах — это все до поры до времени. Пока Банк, Процессинг или магазин в торговом центре не сольет очередную порцию ваших данных.
Вот уж совсем недавняя история с извинениями от British Airways — www.bbc.com/news/uk-england-london-45440850zhovner Автор
05.10.2018 00:43Ухты, iso8583.info ваше оказывается, спасибо за отличный парсер! Я попробовал несколько разных, и ваш был самый полный.
Krysnik
05.10.2018 06:41Так аплпай передает свои номер карты и дату. А просто карта, что тоже передает в открытом виде номер и дату окончания?
zhovner Автор
05.10.2018 16:02Карта тоже передает данные, при чем те же самые, которые выбиты на самой карте. Вы можете самостоятельно попробовать считать карту телефоном на Android как показано в первом комментарии.
Markscheider
05.10.2018 12:38Вот засада! Только себя убедил, что мне не нужен NFC в новом смарте, решил не переплачивать и пр. А тут такая статья шикарная.
Теперь с помощью автора осознал, что в Pay-приложении бесконтактная карта безопаснее, чем в кармане. Теперь надо смотреть на модели с NFC, а они дороже. Одни расходы… :)
</юмор>
Автору еще раз спасибо за системный подход и желание разобраться.
and7ey
05.10.2018 18:09Уверен, что это сделано для того, чтобы айфоны не использовали в качестве примитивных карт доступа, так как системы СКУД на основе UID до сих пор очень популярны
А что в этом плохого?
masiandr
06.10.2018 09:53никто не мешает написать приложение для Android, которое будет из трек2 получать реальный номер карты (а не токен) и срок действия, а потом эти данные использовать для MOTO платежей
zhovner Автор
06.10.2018 09:59Вот как раз такое приложение habr.com/post/422551/#comment_19188391
masiandr
06.10.2018 10:11или например наше приложение, которое легально позволяет в рамках МОТО лимита мерчанту списывать по NFC github.com/cloudipsp/android-sdk-nfc
RainbowJose
Что за приложене на телефоне Credit Card Reader? Это ведь Android? Не могу найти в playmarket.
a1ien_n3t
Его почему то удалили из маркета. Вот ссылка на github репозиторий.
Есть собранный apk могу выложить.
zhovner Автор
На гитхабе только парсер, а не вся программа. Вот что мне ответил автор на вопрос почему она пропала из маркета:
zhovner Автор
Автора этой программы забанили в google play и удалили все программы. Его библиотека-парсер EMV открыта на github.com/devnied/EMV-NFC-Paycard-Enrollment
Есть платная версия это же программы от другого разработчика play.google.com/store/apps/details?id=nfc.credit.card.reader.pro2
Я попытаюсь извлечь APK бесплатной версии со своего телефона и выложить.
zhovner Автор
Вытащил: Credit_Card_Reader.apk. Не качайте, там вирус!
На самом деле вируса там нет, но я считаю практику установки программ на телефон из APK-файлов мимо официального магазина вредной. Поэтому рекомендую воспринимать все такие файлы как вирусы.
ipswitch
ну и warning… ещё б про брата и микроволновку дописать…
id_potassium_chloride
Ничто не мешает среверсить приложение (там же всего лишь Java) и убедиться, что всё хорошо. На полном серьёзе так делаю (и всем советую) со всеми хоть немного подозрительными apk (а иногда и со встроенными в прошивку приложениями).
vsb
Разве это не займёт слишком много времени для сколько-нибудь нетривиальных приложений?
id_potassium_chloride
Это уже зависит от соотношения сложности приложения, паранойи и надёжности источника =) В данном случае приложение небольшое, несмотря на использование пары библиотек, его можно за адекватное время изучить (а заодно и посмотреть, как на практике реализована работа с NFC)