Как украсть деньги с бесконтактной карты из кармана? Насколько безопасен PayPass и Apple Pay?

В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

Рассматриваемые темы:

  • Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
  • В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
  • Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
  • Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
  • Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

Внимание!

В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.

Как это работает?


Для начала рассмотрим базовые понятия: любые движения денег с использованием платежных карт возможны только через посредников, подключенных к платежной системе, например VISA или MasterCard. В отличие от переводов между физическими лицами, списание денег с карты доступно только юридическому лицу (мерчанту), имеющему договор эквайринга с банком.


Этапы транзакции при оплате через POS-терминал

На иллюстрации выше изображена классическая схема оплаты через POS-терминал. Именно эта последовательность действий происходит, когда после оплаты на кассе вы ожидаете подтверждения на терминале.

  1. Покупатель прикладывает/проводит/вставляет карту в POS-терминал;
  2. POS-терминал по интернету передает данные в банк-эквайер;
  3. Банк-эквайер через международную платежную систему (МПС) обращается в банк-эмитент и запрашивает, может ли конкретный держатель карты оплатить покупку;
  4. Банк-эмитент подтверждает или отклоняет покупку, после чего печатается слип (второй чек).

Бывают исключения из этой схемы, например оффлайн транзакции, их мы рассмотрим далее. Также, если банк-эквайер и банк-эмитент являются одним и тем же банком, шаги 2 и 4 выполняются внутри одного банка.

Продавец (Merchant) — лицо или организация, предоставляющая товары или услуги

Банк-эквайер (Acquiring bank) — банк, который предоставляет продавцу услуги приема платежей через банковские карты. В этом банке, обычно, находится расчетный счет продавца, куда зачисляются списанные с карты деньги.

Банк-эмитент (Issuing bank) — банк, выпустивший карту. В нем находится счет владельца карты, у которого списываются деньги.

Международная платежная система (МПС) — международная система-посредник между банками по всему миру, позволяющая банкам производить расчеты между собой без заключения договора с каждым банком по отдельности. Все банки, подключенные к МПС, соглашаются работать по одним правилам, что значительно упрощает взаимодействие. Например, Visa, MasterCard, UnionPay, American Express, МИР (нет, МИР не работает заграницей).

Владелец карты (Cardholder) — человек, заключивший с банком-эмитентом договор обслуживания карты.

Чем отличается обычная карта от Apple Pay или Google Pay?


Процедура привязки банковской карты к системе Apple Pay или Google Pay из-за непонятности процесса часто порождает заблуждения даже у профессионалов в IT. Мне приходилось слышать много разных мифов об этой технологии.

Популярные мифы об Apple Pay


  • Карта копируется в телефон
    Это не так, в микропроцессорной карте содержится защищенная область памяти с криптографической информацией, которая после выпуска карты не может быть извлечена. Из-за этого чипованную карту нельзя скопировать, никак, вообще. Справедливости ради нужно сказать, что подобные атаки возможны, но стоимость их превышает суммарное количество денег, которые потратят за всю жизнь большинство читателей этой статьи.
  • Телефон каждый раз подключается к интернету во время оплаты
    Google Pay/Apple Pay не подключаются к интернету во время оплаты через POS-терминал. Вся нужная информация хранится локально в телефоне.
  • На каждую оплату генерируется новый номер карты (PAN)
    Так может показаться, если читать пресс-релизы Apple о технологии Apple Pay. Но это ошибочное трактование понятия токена. На самом деле, реквизиты виртуальной карты остаются неизменными достаточно долго, вы можете это проверить по последним цифрам номера карты в слипе (банковском чеке) при оплате покупок.
  • При оплате через Apple Pay/Google Pay взымается дополнительная комиссия
    Это не так, вы заплатите ровно столько, сколько указано на ценнике, и согласно условиям вашего договора с банком-эмитентом, чью карту вы привязали.
  • Деньги могут списаться два раза
    Этот миф касается не только Google Pay/Apple Pay, но и обычных банковских карт. Полагаю, что он появился из-за систем оплаты общественного транспорта, в которых терминал списывает деньги с проездного билета каждый раз при поднесении, так что можно списать средства два или более раз, если неаккуратно поднести карту. В случае с POS-терминалами этого риска не существует, так как терминал прекращает обмен с картой, как только получил нужны данные.



Связывание физической карты с «токеном» в телефоне

Системы, подобные Apple Pay, работают на основе EMV Payment Tokenisation Specification. Процедура связывания физической карты и телефона с Apple Pay не описана публично, поэтому разберем процесс на основе известных данных:

  1. Поставщик (Google, Apple, Samsung) получает информацию о карте;
  2. Через МПС поставщик запрашивает, поддерживает ли данная карта (данный банк-эмитент) работу с EMV Tokenisation;
  3. На стороне МПС генерируется виртуальная карта (токен), который загружается в защищенное хранилище в телефоне. Мне неизвестно, где именно генерируется приватный ключ от виртуальной карты, передается ли он по интернету или генерируется локально на телефоне, в данном случае это не имеет значения.
  4. В телефоне появляется сгенерированная виртуальная карта-токен, операции по которой банк-эмитент интерпретирует как операции по первой физической карте. В случае блокировки физической карты, токен тоже блокируется.


Apple Pay позволяет считать реквизиты виртуальной карты. PAN номер и expire date отличаются от привязанной карты российского Альфа-Банка. По BIN виртуальной карты (480099) определяется MBNA AMERICA BANK.

При оплате телефоном, POS-терминал видит обычную карту VISA или MasterCard, и общается с ней точно так же, как и с физической картой. Виртуальная карта-токен содержит все атрибуты обычной карты: PAN-номер, срок действия и прочее. При этом номер виртуальной карты и срок действия отличаются от привязанной оригинальной карты.

Сценарий 1 — обычный POS-терминал



Мошенник, вооруженный POS-терминалом

Самый популярный сюжет мошенничества в головах обывателей: к ним в толпе прижимается мошенник с включенным терминалом и списывает деньги. Мы попытаемся воспроизвести этот сценарий в реальности.

Условия следующие:

  • У мошенника полностью рабочий обыкновенный POS-терминал, подключенный к банку-эквайеру, такой же, как в магазинах и у курьеров. Прошивка терминала не модифицирована. В нашем случае — Ingenico iWL250. Это портативный POS-терминал с GPRS модемом, который поддерживает бесконтактную оплату, работает от батарейки и полностью мобилен.
  • Мошенник не использует дополнительные технические средства, только POS-терминал
  • Списанные средства зачисляются на расчетный счет мошенника, по всем правилам банковских систем

Юридическое лицо




Для начала нам потребуется юридическое лицо с расчетным счетом и подключенным эквайрингом. Мы, как настоящие мошенники, не будем ничего оформлять на свое имя, а попытаемся купить готовое юр. лицо на сайте для таких же мошенников. Для этого посмотрим объявления с первой страницы гугла по запросу «купить ип» и «купить ооо».


Предложения о продаже готовых компаний от мошенников (кликабельно)

Цена компании на черном рынке с расчетным счетом колеблется от 20 до 300 тысяч рублей. Мне удалось найти несколько предложений ООО с POS-терминалом от 200 тысяч рублей. Такие компании оформлены на подставных лиц, и покупатель получает весь пакет документов, вместе с «кеш-картой» — это банковская карта, привязанная к расчетному счету подставной компании. С такой картой мошенник может обналичивать деньги в банкомате.

Для простоты будем считать, что ООО + расчетный счет + эквайринг и POS-терминал обойдутся мошеннику в 100 000 рублей. На самом деле больше, но мы упростим жизнь нашему гипотетическому мошеннику, снизив себестоимость атаки. Ведь чем ниже себестоимость атаки, тем проще ее реализовать.

Идем воровать деньги


Итак, мошенник получил POS-терминал и готов отправиться в людное место, чтобы прислоняться к жертвам и воровать деньги из карманов. В нашем эксперименте все жертвы были предварительно проинструктированы о наших намерениях, и все попытки списания денег проводились с их согласия. В случаях, когда испытуемые не имели собственных бесконтактных банковских карт, им предлагалось положить в кошелек нашу карту. Предварительно у испытуемых выяснялось, где именно и как они хранят свои карты, поэтому мошенник заранее знал, где в сумке/кармане находится бесконтактная карта.


Видео: мошенник разбушевался в торговом центре

В случае успешного списания, транзакция отменялась через меню терминала, и деньги возвращались на счет испытуемых. За все время эксперимента мы попытались «украсть» деньги у 20 испытуемых в здании торгового центра и на улице. Результат испытаний описан далее.

Проблема: Лимит на транзакции без PIN-кода


Лимит на максимальную сумму операции без подтверждения ПИН-кодом может быть установлен как на самом POS-терминале (CVM Required Limit), так и на стороне банка. В России это ограничение равно 1000?.



UPD В настройках карты, может быть установлен тип авторизации Cardholder verification methods (CVMs) в виде росписи. В таком случае, бесконтактная транзакция пройдет на любую сумму без ПИН-кода.



Наш мошенник принимает решение списывать по 999.99 рублей за раз. Если будет запрошена повторная попытка списания суммы ниже лимита в короткий временной промежуток, будет также запрошен ввод ПИН-кода и, в большинстве случаев, не получится несколько раз подряд списать по 999.99 рублей. Поэтому наиболее оптимальной стратегией будет не более одного списания с одной карты.

POS-терминал с суммой 999.99

В России максимальная сумма списания без PIN-кода равна 1000 руб.

В действительности, множество списаний с суммой 999.99 рублей за короткий промежуток времени могут спровоцировать срабатывание антифрод-системы на стороне банка-экваера, поэтому такая стратегия не является оптимальной для мошенника. Так что, в реальной жизни ему бы пришлось выбирать более разнообразные суммы, тем самым снижая потенциальный доход.

Кстати, во многих статьях по данной теме на русском языке говорится, что можно вручную установить собственный лимит на бесконтактные операции без ПИН-кода. Мне не удалось найти такой опции в основных российских банках. Может, вы знаете о такой возможности? Речь именно о бесконтактных платежах, а не любых chip&pin-транзакциях.

Проблема: Несколько карт в кошельке


Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит одну единственную карту в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.

Распухший от карт кошелек

Конкретно мой терминал Igenico iWL250 при обнаружении в поле действия более одной карты с SAK, обозначающим поддержку протокола 14443-4, возвращает ошибку: «предъявите одну карту».

Но так поступают не все терминалы. Например, сбербанковские POS-терминалы VeriFone выбирают случайную карту из нескольких. Некоторые терминалы просто игнорируют все карты, если их более одной, не показывая сообщений об ошибке.


Попытка считать несколько карт в кошельке. POS-терминал возвращает ошибку.

Антиколлизии ISO 14443-3


Чтение одной конкретной карты из нескольких — непростая задача на физическом уровне. Для решения этой проблемы существует механизм антиколлизий. Он позволяет выбрать одну карту, если был получен ответ от нескольких карт сразу. Это самый первый этап установления связи с бесконтактной картой в протоколе ISO-14443A. На данном этапе считыватель не в состоянии выяснить, какая из представленных карт банковская. Единственный вариант — выбрать более-менее похожую на банковскую карту, на основании ответа SAK (Select Acknowledge).

Значение бит в ответе SAK

Так, например, используемая в московском общественном транспорте карта «Тройка» (стандарта Mifare) имеет значение SAK=0x08 (b00001000), в котором шестой бит равен нулю. В то время как у всех банковских карт в ответах SAK шестой бит равен 1, что означает поддержку протокола ISO 14443-4.

Поэтому все, что может сделать терминал при обнаружении нескольких карт одновременно — исключить карты, не поддерживающие ISO 14443-4, и выбрать одну из похожих на банковскую. Поддержка протокола ISO 14443-4, кстати, не гарантирует, что эта карта будет банковской, однако вероятнее всего, в кошельке обычного человека не будет карт другого типа, поддерживающих ISO 14443-4.


Блок-схема работы протокола антиколлизий

Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.

Однако мы будем считать, что нашему мошеннику очень везёт, и это ограничение его не беспокоит.

Оффлайн vs Онлайн транзакции


В устрашающих сюжетах новостей рассказывают о мошенниках с POS-терминалами в вагонах метро, которые прямо в пути списывают у вас из карманов деньги. В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро. Возможно, его терминал поддерживает оффлайн-транзакции?

Спецификации EMV допускают оффлайн-транзакции. В таком режиме списание происходит без онлайн-подтверждения со стороны банка-эмитента. Это работает, например, в общественном транспорте в Москве и Санкт-Петербурге. Чтобы не занимать очередь на входе в автобус, пока терминал выполнит онлайн-подтверждение, вас пропускают сразу, не проверяя, достаточно ли у вас денег на счету для оплаты проезда. В конце дня, когда на терминале появляется интернет, подписанные транзакции отправляются в банк-эмитент. Если окажется, что в этот момент у вас нет денег на оплату проезда, карта будет добавлена в стоп-лист на всех терминалах в городе. Долг можно погасить через личный кабинет по номеру карты. Подробнее об оплате проезда в автобуса Санкт-Петербурга.

Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний. Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.
Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя.

Подсчитываем прибыль


В нашем сценарии себестоимость атаки была 100 000 рублей. Это значит, что для того, чтобы хотя бы вернуть вложения, нашему герою нужно выполнить минимум 100 транзакций по 1 тысяче рублей. Представим, что он был достаточно проворным и весь день бегал по городу, прижимаясь ко всем подряд, так, что к концу для сделал 120 успешных списаний. Мы не будем учитывать комиссию эквайринга (в среднем 2%), комиссию на обналичивание (4-10%) и другие комиссии.

Может ли он успешно обналичить деньги, используя карту, привязанную к расчетному счету?

В реальности не все так просто. Зачисление денег на счет мошенника произойдет только через несколько дней! За это время, наш мошенник должен надеяться, что никто из ста двадцати жертв не оспорит транзакцию, что крайне маловероятно. Поэтому в реальности, счет мошенника будет заблокирован еще до зачисления на него денег.

Если человек заметил, что по его карте была проведена покупка, которую он не совершал, ему следует обратиться к банку-эмитенту и подать претензию. На рассмотрение спорных операций на территории России уходит до 30 дней, а по операциям, совершенным за рубежом — до 60 дней. За это время банк-эмитент направляет запрос банку-эквайеру, и если банк-эквайер подтверждает факт совершения сомнительных операций, то блокируется терминал и средства на расчетном счете владельца терминала.

Александр Падерин, управляющий директор центра информационной безопасности Уральского банка реконструкции и развития (УБРиР)

Вывод


Себестоимость атаки в нашем сценарии — 100 000р. В действительности, она будет в несколько раз выше, поэтому мошеннику потребуется намного больше усилий для того, чтобы получить прибыль.

В нашем сценарии мошенник всегда списывает по 999.99 рублей, что, вероятнее всего, повлечет за собой срабатывание системы антифрода на стороне банка-эквайера. В реальности мошеннику потребуется списывать меньшие суммы.

Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв. Если даже десяток из них обратится банк-эмитент и оспорит транзакцию, счет мошенника, скорее всего, будет заблокирован. Сценарий, в котором банк-эквайер находится в сговоре с мошенником маловероятен, потому как лицензия для работы с МПС стоит сильно больше, чем любые потенциальные прибыли от такого вида мошенничества.

Из 20 испытуемых только у трех удалось списать деньги с карты, что составляет 15% успеха от всех попыток. Это были те искусственные случаи, когда в кармане находилась одна единственная карта. В случаях же с кошельком и несколькими картами, терминал возвращал ошибку. В сценарии с терминалом, который использует модифицированную прошивку и реализует механизм антиколлизий, процент успешных списаний, возможно, будет выше. Однако, даже в случае использования антиколлизий, в реальных условиях на бегу, считать одну карту из нескольких настолько сложно, что успешное списание в таких условиях можно считать везением. В реальности, доля успешных списаний будет едва ли выше 10% от числа попыток.

Итак, несмотря на то, что в теории такая атака возможна, на практике она оказывается невыгодна и крайне тяжело осуществима. Шанс получить хоть какую-либо прибыль настолько мал, что лишает смысла всю затею.

Сценарий 2 — злой POS-терминал


Допустим, наш мошенник работает на кассе в магазине или курьером с мобильным POS-терминалом. В таком случае, у него появляется возможность вылавливать данные карты, которых, в некотором случае, может быть достаточно для оплаты в интернете.

Для начала разберемся, как именно выглядит бесконтактная транзакция, и какими данными обменивается карта с POS-терминалом. Так как нам лень читать тысячи страниц документации EMV Contactless Specifications , мы просто перехватим обмен на физическом уровне с помощью сниффера HydraNFC.

Есть некоторая разница между EMV-спецификацией для MasterCard PayPass и Visa payWave. Это разница в формате подписи и некоторых данных. Но для нас это несущественно.

NFC-сниффер



HydraNFC — полностью опенсорсный автономный сниффер ISO-14443A, который сохраняет перехваченные APDU-команды на SD-карту. Антенна сниффера размещается между терминалом и картой, и пассивно захватывает всю передаваемую информацию.

> Сайт о HydraBus и шилде HydraNFC
> Исходники прошивки


Демонстрация перехвата обмена между POS-терминалом и телефоном с Apple Pay

Забегая вперед, нужно сказать, что на этом уровне оплата телефоном и обычной пластиковой картой не отличается. Для POS-терминала это обычная карта VISA. Однако, оплата телефоном намного безопаснее, чем физической картой, и дальше мы разберем, почему.

Разбор протокола EMV


Вот как выглядит записанный дамп при оплате шоколадки и бутылки воды общей стоимостью 142.98 рублей с помощью Apple Pay:

Сырые данные, полученные со сниффера (раскрыть спойлер)

Кассовый чек и слип от транзакции (кликабельно)

R (READER) — POS-терминал
T (TAG) — карта (в нашем случае телефон)
R>> 52
R>> 52
R>> 52
R>> 52
R>> 52
R>> 52
R>> 52
T<< 04 00
R>> 93 20
T<< 08 fe e4 ec fe
R>> 93 70 08 fe e4 ec fe dd 6e
T<< 20 fc 70
R>> 50 00 57 cd
R>> 26
R>> 52
T<< 04 00
R>> 93 70 08 fe e4 ec fe dd 6e
T<< 20 fc 70
R>> e0 80 31 73
T<< 05 78 80 70 02 a5 46
R>> 02 00 a4 04 00 0e 32 50 41 59 2e 53 59 53 2e 44 44 46 30 31 00 e0 42
T<< 02 6f 23 84 0e 32 50 41 59 2e 53 59 53 2e 44 44 46 30 31 a5 11 bf 0c 0e 61 0c 4f 07 a0 00 00 00 03 10 10 87 01 01 90 00 4b b3
R>> 03 00 a4 04 00 07 a0 00 00 00 03 10 10 00 bc 41
T<< 03 6f 31 84 07 a0 00 00 00 03 10 10 a5 26 9f 38 18 9f 66 04 9f 02 06 9f 03 06 9f 1a 02 95 05 5f 2a 02 9a 03 9c 01 9f 37 04 bf 0c 08 9f 5a 05 60 08 40 06 43 90 00 1d 66
R>> 02 80 a8 00 00 23 83 21 36 a0 40 00 00 00 00 01 42 98 00 00 00 00 00 00 06 43 00 00 00 00 00 06 43 18 09 18 00 e0 11 01 03 00 f9 14
T<< 02 77 62 82 02 00 40 94 04 18 01 01 00 9f 36 02 02 06 9f 26 08 d6 f5 6b 8a be d7 8f 23 9f 10 20 1f 4a ff 32 a0 00 00 00 00 10 03 02 73 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 9f 6c 02 00 80 57 13 48 00 99 72 50 51 17 56 d2 31 22 01 00 00 05 20 99 99 5f 9f 6e 04 23 88 00 00 9f 27 01 80 90 00 af c8
R>> 03 00 b2 01 1c 00 c9 05
T<< 03 70 37 5f 28 02 06 43 9f 07 02 c0 00 9f 19 06 04 00 10 03 02 73 5f 34 01 00 9f 24 1d 56 30 30 31 30 30 31 34 36 31 38 30 34 30 31 37 37 31 30 31 33 39 36 31 36 37 36 32 35 90 00 a7 7b


Разберем каждую строку строку из перехваченного дампа в отдельности.

R>> — данные, переданные POS-терминалом
T>> — данные, переданные картой (в нашем случае телефон с Apple Pay)

14443-A Select


В начале обмена терминал устанавливает соединение с картой на канальном уровне. Для тех, кто знаком с сетями и моделью OSI, будет удобно представить это в качестве уровня L2, а UID (Unique Identifier) карты как MAC-адрес узла.

В терминологии стандарта ISO-14443:
PCD (proximity coupling device) — название считывателя, в нашем случае это POS-терминал
PICC (proximity integrated circuit card) — карта, в нашем случае эту роль выполняет телефон

Важное отличие обычной платежной карты от Apple Pay в том, что в карта всегда доступна для считывания и никак не позволяет управлять процессом считывания. Ее можно бесконтрольно считать через одежду, в то время как телефон, попадая в поле действия считывателя, предлагает пользователю активировать виртуальную карту. До подтверждения пользователя телефон не передает никакие данные, и считыватель даже не знает, что рядом находится виртуальная карта.

R>> 52 // WUPA (wake up)
R>> 52 // WUPA
R>> 52 // WUPA
R>> 52 // WUPA
R>> 52 // WUPA
R>> 52 // WUPA
R>> 52 // WUPA
T<< 04 00 // ATQA (Answer To Request type A) 
R>> 93 20 // Select cascade 1 (Anti Collision CL1 SEL)
T<< 08 fe e4 ec fe // UID (4 bytes) + BCC (Bit Count Check)
R>> 93 70 08 fe e4 ec fe dd 6e // SEL (select tag 0x9370) + UID + CRC16
T<< 20 fc 70  // SAK (Select Acknowledge 0x20) + CRC16 
R>> 50 00 57 cd // HALT (Disable communocaion 0x5000) + CRC16
R>> 26 // REQA
R>> 52 // WUPA
T<< 04 00 // ATQA
R>> 93 70 08 fe e4 ec fe dd 6e // SELECT
T<< 20 fc 70 // SAK
R>> e0 80 31 73 // RATS (Request Answer to Select 0xE080) + CRC16
T<< 05 78 80 70 02 a5 46 // ATS (Answer to select response)

Терминал постоянно передает команду 0x52 Wake-up (WUPA), и как только в поле действия появляется карта, она отвечает командой Answer To Request type A (ATQA), в нашем случае это 0x04 0x00. Ответ ATQA может различаться в зависимости от производителей чипа.

Получив ответ ATQA, терминал начинает процедуру выявления коллизий, чтобы определить, есть ли в поле действия более одной карты. Команда 0x93 0x20 Select cascade level 1 (SEL CL1) запрашивает у всех карт в поле действия сообщить первую часть своих идентификаторов UID.

Карта отвечает 0x08 0xFE 0xE4 0xEC 0xFE, первые четыре байта — UID виртуальной карты Apple Pay и контрольная сумма 0xFE Bit Count Check (BCC) в конце.

Получив идентификаторы карт, считыватель обращается к конкретной карте командой 0x93 0x70 (SELECT). За командой следует UID карты 0x08 0xfe 0xe4 0xec + 0xfe BCC + 0xdd 0x6e CRC16.

Карта отвечает 0x20 Select Acknowledge (SAK) + 0xfc 0x70 CRC16.

Если на этом шаге получено несколько ответов SAK, ридер может уменьшить длину UID в команде SELECT, пока не ответит единственная карта. Однако, как показано выше, некоторые POS-терминалы отказываются продолжать, если на этом этапе выявлены коллизии, то есть присутствие нескольких карт одновременно.

Длина UID может быть 4, 7 или 10 байт. У всех банковских карт, что я встречал, в том числе и в Apple Pay, UID был равен 4 байтам. Интересно, что Apple Pay генерирует разный UID на каждое считывание, в отличие от физических карт, где UID обычно постоянный. Уверен, что это сделано для того, чтобы айфоны не использовали в качестве примитивных карт доступа, так как системы СКУД на основе UID до сих пор очень популярны.

Ридер посылает команду 0x50 0x00 HALT + 0x57 0xcd CRC16. Это команда завершения связи.

Дальше процедура повторяется заново, ридер снова пробуждает карту (WUPA), но уже без проверки коллизий, сразу выполняется SELECT. Зачем так сделано — не знаю, возможно, это какой-то более надежный способ определения коллизий.

Во второй раз ридер уже посылает команду 0xE0 0x80 Request Answer to Select (RATS) + 0x31 0x73 CRC16.

Карта отвечает 0x05 0x78 0x80 0x70 0x02 Answer to select response (ATS) + 0xA5 0x46 CRC16.

Answer to select — ответ аналогичный Answer To Reset (ATR) для контактных карт. В нем содержится информация о максимальном размере кадра и параметрах канального уровня.

На этом этапе «канальный» уровень завершен, далее начинается обмен на более высокоуровневом протоколе, в зависимости от приложения, содержащегося на карте. Операция SELECT одинакова для всех бесконтактных карт стандарта ISO 14443A, в том числе NFC-меток, билетов на общественный транспорт, и т.д.

Запрос доступных приложений — SELECT PPSE


Официальное описание: EMV Contactless Specifications — PPSE and Application Management for Secure Element

Начало общения с EMV-картой всегда происходит с чтения PPSE (Payment System Environment). Терминал спрашивает у карты, какие платежные приложения на ней есть.

Чаще всего это одно приложение, как в нашем примере — VISA. Однако бывают карты с несколькими платежными приложениями, например, есть специальные отечественные карты МИР с двумя платежными приложениями внутри. Так как платежная система МИР не работает заграницей, в карту интегрируется второе платежное приложение, по сути вторая карта. Это может быть приложение платежной системы JCB или UnionPay. Такие карты называются кобейджинговыми.

APDU-команда SELECT PPSE

'00 A4 04 00 0E 32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 00'
  00 A4 04 00 // команда select 
   0E // длина command data (14 байт)
    32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 // command data 2PAY.SYS.DDF01
    00 // завершающий маркер

Ответ на SELECT PPSE

'6F 23 84 0E 32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 A5 11 BF 0C 0E 61 0C 4F 07 A0 00 00 00 03 10 10 87 01 01 90 00'

Для удобства проанализируем ответ с помощью онлайн-парсера формата TVL iso8583.info/lib/EMV/TLVs. Тот же ответ, обработанный парсером:

EMV SELECT PPSE VISA RESPONE parsed
Из всего этого нас интересует только идентификатор платежного приложения (AID). В данном случае, это значение A0000000031010, означающее Visa International.

AID помечается маркером 4F. Вторым битом после маркера следует длина данных, в нем содержащихся. Несмотря на то, что длина AID может варьироваться от 5 до 16 байт, в большинстве случаев она равна 7 байтам.

Большой список AID: eftlab.co.uk/knowledge-base/211-emv-aid-rid-pix

Некоторые популярные AID

A0000000031010 Visa International
A0000000032020 Visa International
A0000000041010 Mastercard International
A0000000043060 Mastercard International United States Maestro (Debit)

Application Priority Indicator — указывает приоритет платежных приложений. Например, в кобейджинговых картах МИР, имеющих внутри несколько платежных приложений, это поле указывает, какое из двух приложений приоритетнее. Так как у нас только одно приложение Visa International, оно указывает на него, и приоритет отсутствует.

Запуск платежного приложения — SELECT AID

'00 A4 04 00 07 A0 00 00 00 03 10 10'
  00 A4 04 00 // команда select 
   07 // длина command data (7 байт)
    A0 00 00 00 03 10 10 // AID Visa International

Выбрав нужное платежное приложение, терминал запускает его.

PDOL (Processing Options Data Object List)


'6f 31 84 07 a0 00 00 00 03 10 10 a5 26 9f 38 18 9f 66 04 9f 02 06 9f 03 06 9f 1a 02 95 05 5f 2a 02 9a 03 9c 01 9f 37 04 bf 0c 08 9f 5a 05 60 08 40 06 43 90 00'

Разберем ответ парсером


В ответ на запуск платежного приложения карта сообщает набор параметров, которые ожидает получить от терминала — PDOL (Processing Options Data Object List). Терминал обязан ответить в строгом соответствии с этой последовательностью.

PDOL у разных карт может различаться. Общее число параметров PDOL — несколько десятков. Полный список параметров PDOL можно посмотреть здесь.

Разберем PDOL внимательнее. Длина, указанная после маркера — строго ожидаемая длина ответа от терминала на данный запрос. Пустой ответ заполняется нулями до нужной длины.

Разбор запроса PDOL:

9F 38 18 // Маркер начала PDOL. Длина 18 (24 байта) 
 9F 66 (длина 04) // Terminal Transaction Qualifiers (TTQ). Набор поддерживаемых терминалом протоколов. 
  9F 02 (длина 06) // Сумма списания
   9F 03 (длина 06) // вторая сумма
   9F 1A (длина 02) // Код страны в формате ISO3166-1
   95 (длина 05) // Terminal Verification Results
    5F 2A (длина 02) // Код валюты, в которой работает терминал, в формате ISO4217
     9A (длина 03) // Дата в формате YYMMDD
      9C (длина 01) // Тип транзакции 
       9F 37 (длина 04) // Случайное число 

До этого момента все передаваемые данные идентичны для любых транзакций по этой карте.

Запрос на списание — GET PROCESSING OPTIONS


'80A8000023832136A0400000000001429800000000000006430000000000064318091800E011010300'
 80 A8 00 00 // Команда GET PROCESSING OPTIONS (GPO)
  23 // длина всего запроса (35 байт)
   83 // маркер PDOL-ответ
    21 // длина PDOL-ответа (33 байта)
     36 A0 40 00 // Terminal Transaction Qualifiers (TTQ)
      00 00 00 01 42 98 // Сумма списания (142,98 рублей)
       00 00 00 00 00 00 // Вторая сумма 
        06 43 // Код страны экваера (643 - россия)
         00 00 00 00 00 // Terminal Verification Results (TVR)
          06 43 // Валюта (643 - russian ruble) 
           18 09 18 // дата (18 сентября 2018 года)
            00 // тип транзакции
             E0 11 01 03 // Случайное число 

В этом ответе наглядно видно, как терминал, который находится в России, запрашивает списание с карты на сумму 142,98 рублей. Обращаем внимание на случайное число в конце (E0110103). Это параметр 9F37 Unpredictable Number. Это первое упоминание криптографии. В дальнейшем это число вместе с данными транзакции карта должна будет подписать криптографической подписью. Это дает терминалу контроль над актуальностью подписи от карты и защищает от replay атак.

Ответ карты на GET PROCESSING OPTIONS


'7762820200409404180101009F360202069F2608D6F56B8ABED78F239F10201F4AFF32A00000000010030273000000004000000000000000000000000000009F6C02008057134800997250511756D23122010000052099995F9F6E04238800009F2701809000'

В данном ответе содержатся специфичные для VISA поля данных, поэтому я использовал парсер c поддержкой VISA Contactless Payment Specification (VCSP).



Application Interchange Profile (AIP) — содержит информацию о параметрах платежного приложения. В нашем случае AIP равен 00 40. Рассмотрим значения данного параметра из EMV 4.3 Book 3.


В нашем случае установлен один бит во втором байте, который, если верить этой таблице, Reserved For Future Use (RFU). Что это значит, и какой смысл в это вкладывает Apple Pay, я не знаю.

В AIP содержится важная информация о поддерживаемых методах аутентификации (SDA,CDA,DDA) платежа. Почему в моем случае все эти флаги равны нулю — я не понимаю.

Application File Locator (AFL) — Содержит информацию о расположении записей (SFI range of records) в конкретном AID. На основании этого ответа терминал сформирует запрос READ RECORD.

Разберем ответ AFL подробнее:

Short File Identifier (SFI) равно 0x18. Этот параметр кодируется пятью битами вместо восьми. Соответственно значение 0x18 (b00011000) преобразовываем в b00000011, и получаем 0x3.
First record = 1
Last record = 1
Т.е. в «папке» №3 есть записи с 1 по 1, то есть одна запись.

Application Transaction Counter (ATC) — инкрементный счетчик транзакций, который увеличивается каждый раз на единицу при запросе GET PROCESSING OPTIONS. Под достижению значения 0xFFFF или 0x7FFF, платежное приложение безвозвратно заблокируется. Полагаю, что это сделано для защиты от брутфорса приватного ключа карты. В нашем случае видно, что данный айфон с Apple Pay использовался для оплаты уже 518 (0x206) раз.

Application Cryptogram (AC) — криптографическая подпись, которая вычисляется картой с использованием ее приватного ключа. Данная подпись передается вместе с остальными данными банку-эмитенту, и на ее основании проверяется подлинность транзакции. Так как приватный ключ карты невозможно (доступными средствами) извлечь из карты, это позволяет исключить возможность копирования карты.

Issuer Application Data (IAD) — Содержит проприетарные данные, специфичные для VISA. Я не осилил разбор этой структуры, помогите.

Card Transaction Qualifiers (CTQ) — специфичный для VISA cписок поддерживаемых картой спецификаций. Например, можно ли использовать эту бесконтактную карту для операций в банкомате или нет, и какие подтверждения при этом потребуются.

Track 2 Equivalent Data — Оппа! В этом поле содержится номер карты и expiration date, подробнее эта информация будет разобрана далее.

Form Facto Indicator (FFI) — специфичное для VISA поле. Описывает форм-фактор и характеристики платежного устройства. В нашем случае видно, что это мобильный телефон.

Cryptogram Information Data (CID) — Я не осилил разбор этой структуры, помогите.

Запрос READ DATA RECORD


'00 b2 01 1c 00'

Терминал посылает запрос на чтение записей, полученных из AFL:


В данном случае, начиная с байта 0x1C следует читать как два значения, где первые пять бит равны 0x18 (b000011), и составляют SFI, а последующие три бита равны 0x04 (d100), и составляют номер записи.

Ответ на READ RECORD


'70375F280206439F0702C0009F19060400100302735F3401009F241D5630303130303134363138303430313737313031333936313637363235'



Application Usage Control (AUC) — определяет, разрешено ли платить картой заграницей, и разрешенные виды операций.

9F19 — что-то непонятное, судя по всему — устаревший Dynamic Data Authentication Data Object List (DDOL)

EMV Tokenisation, Payment Account Reference (PAR) — специфичный для токенезированных (виртуальных) карт параметр. Я не осилил разбор этой структуры, помогите.

Что можно извлечь из перехваченой транзакции?


Мы разобрали один конкретный пример перехваченного трафика бесконтактной транзакции Apple Pay c привязанной картой VISA. Протокол MasterCard немного отличается, но в целом похож. Из разбора видно, что транзакция защищена криптоподписью, и протокол защищен от replay-атаки. Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe (MSD), который намного хуже защищен от replay-атак, но в данной статье я его разбирать не буду, потому что, насколько мне известно, он почти не поддерживается в СНГ, возможно я ошибаюсь.


Из перехваченных данных можно извлечь номер карты (PAN) и срок действия (expiration date)

Как видно, из перехваченного трафика можно извлечь полный номер карты и expiration date. Хоть CVV в этом дампе и нет, этих данных уже достаточно для оплаты в некоторых интернет-магазинах. В случае с обычной физической пластиковой картой, в перехваченных данных будет содержаться тот же PAN и срок действия, который выбит на самой карте!

Оплата в интернете без CVV (CNP, MO/TO)


В моей предыдущей статье «Используем Apple Pay и карту Тройка в качестве пропуска на работу» про СКУД на базе Apple Pay меня раскритиковали в комментариях, рассказывая, что имея только последние 10 цифр карты можно украсть деньги. В дампе выше указан не только полный номер моей карты, но также и expiration date. Этих данных вполне достаточно, чтобы платить в некоторых магазинах в интернете. Что ж, попробуем это сделать.


Форма добавления карты в Amazon не требует CVV

Будь это номер физической карты, деньги действительно можно было бы украсть, но данные токена Apple Pay можно использовать ТОЛЬКО для операций Client Present (CP), когда карта подписывает транзакцию криптографический подписью. Эти данные нельзя использовать для оплаты в интернете и других операций типа Card not present (CNP), то есть по телефону или имейлу. То-то же!

Всем желающим убедиться в этом, сообщаю, что реквизиты из перехваченного выше дампа Apple Pay на данный момент актуальны и привязаны к действующей карте, на которой есть деньги. На момент написания статьи это 5 тысяч рублей. Предлагаю попробовать их украсть :)

Почему Apple Pay безопаснее обычной карты



Apple Pay vs обычная бесконтактная карта

  • Apple Pay требует авторизацию (отпечаток или пароль) на каждую проведенную транзакцию. Обычная карта не позволяет управлять количеством подписанных транзакций при поднесении к POS-терминалу. В теории, «злой» терминал с модифицированной прошивкой может провести одну транзакцию, а пока клиент держит карту возле считывателя, запросить несколько подписаний, но не проводить их сразу, а провести позже, когда клиент уйдет. С Apple Pay такое невозможно, после проведения транзакции пользователь видит значок успешно выполненной операции и приложение закрывается, новый запрос потребует повторный ввод отпечатка пальца.
  • Не позволяет считывать данные до авторизации — когда телефон с Apple Pay попадает в поле действия считывателя (13,56 МГц), пользователю предлагается авторизоваться, и только после успешной авторизации телефон начинает обнаруживаться как бесконтактная карта. До этого момента считыватель не видит ничего. Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты.
  • Нельзя использовать перехваченные данные для оплаты в интернете — обычная карта может быть использована для операций типа Card not present (CNP), то есть для оплаты в интернете, по телефону и т.д. Данные из виртуальной карты Apple Pay нельзя использовать подобным образом.
  • Не раскрывает данные владельца — обычные бесконтактные карты могут передавать имя владельца (Cardholder name) и историю последних покупок. По номеру карты, в некоторых случаях, можно установить ФИО владельца. С Apple Pay ничего подобного сделать нельзя.

Вывод


Бесконтактные платежные системы достаточно надежно защищены. Несмотря на теоретическую возможность мошенничества, на практике она оказывается нерентабельна и крайне тяжело осуществима. Нет никакой причины бояться бесконтактных карт или пытаться сломать антенну в карте.

При прочих равных, Apple Pay будет безопаснее обычной пластиковой карты. Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной бесконтактной карте, и завести вторую карту только для оплаты в интернете.



Выражаю благодарность:

  • Компании tehpos.ru за предоставленное оборудование.
  • Уральскому банку реконструкции и развития, и лично Александру Падерину (управляющему директору центра информационной безопасности) за консультации.
  • Магазину aj.ru за предоставленные айфоны для тестов.
  • Валерии Aquamine за иллюстрации для статьи.
  • Глебу JRun из Digital Security за технические консультации,
  • Александру AlexGre за консультации по протоколу EMV.
  • Хабраюзеру shape за отличный парсер EMV: iso8583.info

Комментарии (331)


  1. RainbowJose
    03.10.2018 18:35
    +1

    Что за приложене на телефоне Credit Card Reader? Это ведь Android? Не могу найти в playmarket.




    1. a1ien_n3t
      03.10.2018 18:39

      Его почему то удалили из маркета. Вот ссылка на github репозиторий.
      Есть собранный apk могу выложить.


      1. zhovner Автор
        03.10.2018 18:43
        +2

        На гитхабе только парсер, а не вся программа. Вот что мне ответил автор на вопрос почему она пропала из маркета:

        image


    1. zhovner Автор
      03.10.2018 18:40
      +2

      Автора этой программы забанили в google play и удалили все программы. Его библиотека-парсер EMV открыта на github.com/devnied/EMV-NFC-Paycard-Enrollment

      Есть платная версия это же программы от другого разработчика play.google.com/store/apps/details?id=nfc.credit.card.reader.pro2

      Я попытаюсь извлечь APK бесплатной версии со своего телефона и выложить.


      1. zhovner Автор
        03.10.2018 18:52
        +4

        Вытащил: Credit_Card_Reader.apk. Не качайте, там вирус!

        На самом деле вируса там нет, но я считаю практику установки программ на телефон из APK-файлов мимо официального магазина вредной. Поэтому рекомендую воспринимать все такие файлы как вирусы.


        1. ipswitch
          03.10.2018 21:43
          +5

          ну и warning… ещё б про брата и микроволновку дописать…


        1. id_potassium_chloride
          04.10.2018 02:13

          Ничто не мешает среверсить приложение (там же всего лишь Java) и убедиться, что всё хорошо. На полном серьёзе так делаю (и всем советую) со всеми хоть немного подозрительными apk (а иногда и со встроенными в прошивку приложениями).


          1. vsb
            04.10.2018 09:34
            +1

            Разве это не займёт слишком много времени для сколько-нибудь нетривиальных приложений?


            1. id_potassium_chloride
              04.10.2018 23:09

              Это уже зависит от соотношения сложности приложения, паранойи и надёжности источника =) В данном случае приложение небольшое, несмотря на использование пары библиотек, его можно за адекватное время изучить (а заодно и посмотреть, как на практике реализована работа с NFC)


  1. xorbot
    03.10.2018 18:46
    +5

    А, допустим, если сделать направленную антенну с усилителем на терминале, реально ли будет контактировать с картой на расстоянии? (Не учитывая прожарку паховой области направленным лучем, конечно)
    По примеру антенны Wifi или 4G по типу тех, что делает Креосан www.youtube.com/watch?v=nCIDvrs5UzI


    1. zhovner Автор
      03.10.2018 19:01
      +1

      Хороший вопрос. По запросу «long range 13,56 reader» есть несколько китайских железок. Некоторые из них обещают работать на расстоянии до 25см. Я плохо разбираюсь в радио, но полагаю, что здесь играет роль ограничение мощности передатчика в самой карте. Условно говоря, карта может и услышит считыватель, но ответ не долетит до него.

      На aliexpress есть несколько таких ридеров, но в описании у них заявлены 5-10см дальность, что с трудом можно назвать long range.


    1. zartarn
      03.10.2018 20:28
      +2

      Надо не только сильный сигнал чтоб достучаться до карты, но и еще услышать ответ, а это отдельная задача.
      П.С.: ну и данный вариант антены ни в коем случае не разработка Креосана, это облучатель offset'ки от Bester. на lan23 уже давно были варианты под что угодно расчитаные).


      1. xorbot
        04.10.2018 01:52

        Разве подобная антенна не усиливает сигнал с узкой области пространства?

        П.С. Понятно, что это не его изобретение, это я так, для наглядности


        1. bobcatt
          04.10.2018 11:54

          Он придёт к антенне уже сильно ослабленным, зависимость от расстояния квадратичная. Просто утонет в шумах и помехах.


        1. Alexeyslav
          04.10.2018 16:24
          +6

          Там несколько наоборот работает. КАРТОЧКА физически не отвечает радиоизлучением. Для этого недостаточно энергии. Вместо этого, карточка манипулирует полем излучателя путём замыкания своего контура в нужные моменты(поле излучателя замыкается — лог.1, не замыкается — лог.0), этим и ограничена максимальная дальность работы таких систем — насколько далеко мы сможем обнаружить источник потерь. Очень похоже на работу активного металлоискателя — практически те же физические процессы задействованы.
          Кроме того мы работаем не с радиоизлучением, а с магнитным полем — нужна магнитная антенна, а это конструкция несколько иная чем у электрической антенны.


    1. mirsev
      04.10.2018 01:32

      Считыватель не только «спрашивает» карту, но и обеспечивает её питанием на время сеанса связи. Навести индукцией достаточную мощность издалека — задача нетривиальная. А вот перехватить сигнал на большем расстоянии — наверное можно. Поэтому, штучки типа HydraNFC, наверное, можно располагать не только между картой/iPhone и терминалом, но и на некотором удалении. Только, возможно, антенну придётся переделать — из индукционной во что-то другое… Хотя, на частоте 13.56 MHz оптимальная антенна получится немаленькой :)


      1. xorbot
        04.10.2018 01:46

        Ну, не хочется упоминать опять креосана, но я так понимаю «пушку» на частоте 2ГГц которая выжигает на приличном расстоянии электронику собраться можно. С 13МГц по габаритам, я так понимаю, эта хреновина будет больше? Не силен в радиотехнике, но вроде достаточно чтобы длинна антенны была просто кратна длине волны и иметь узкую диаграмму направленности
        Я себе представляю фургон с пластиковым кузовом и шаращий таким «усилителем» в направлении держателей пластиковых карт…


        1. stanislavkulikov
          04.10.2018 09:41

          Длинна плеча антенны должна быть как минимум 1/4 от длинны волны (лучше конечно 1/2). 13МГц — это 23 метра, т.е. минимально антенна должна быть 5,75 метра. Можно конечно сделать её сложной изогнутой формы, но это подпортит характеристики антенны.


          1. Alexeyslav
            04.10.2018 16:29

            В таких случаях делают электрическое удлинение антенны с потерей её эффективности. Но это всё фигня, проблема в том что электрическая составляющая поля там практически отсутствует, нам нужно улавливать магнитное поле.


        1. xirahai
          05.10.2018 22:33

          У креосана голимая постанова с "пушкой из магнетронов".


      1. Alexeyslav
        04.10.2018 16:27

        Такой антенной мы не словим практически ничего — там работает магнитная составляющая а не электрическая. Нужна направленная МАГНИТНАЯ антенна. Что-то навскидку на ум не приходит ничего подобного.


    1. khim
      04.10.2018 01:40

      Всё возможно, но выглядеть будет немного похоже на стандарт 802.110v


    1. Sap_ru
      04.10.2018 03:13

      Да. Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.
      Самая большая сложность будет с направленностью — сия халабуда читает со всех карт в округе и сильно подвержена влиянию помех (особенно учитывая, что у там всегда симметричная диаграмма направленности и «назад» она будет работать точно так же, как и «вперёд»). Но практическое использование вполне возможно — например, если жертва находится на открытом пространстве рядом с мошенником (улица, остановка, малолюдное место торгового центра).
      Там, кстати, не антенна, не как её большинство представляет (как у WiFI, например), а плоская катушка индуктивности, которая создаёт вокруг себя поле от которого питается карта. Размер этого поля непосредственно зависит от размера самой катушки (можно даже считать, что примерно равен размеру самой катушки). Катушка размером с лист А4 создаст поле, достаточное для чтения с пары десятков сантиметров.
      Можно, кстати, сделать неподвижную большую «стационарную» катушку, которую можно скрытно разместить в местах, где находятся/проходит много потенциальных жертв. Все же видели рамки на входе в магазины. Вот такая хреновина сможет читать с расстояния в метры. Можно даже представить ситуацию, когда злоумышленники модифицируют магазинную систему RFID, чтобы она работала с платёжными картами. Последствия будут захватывающими.


      1. zhovner Автор
        04.10.2018 03:29

        Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.


        Не хотите попробовать реализовать? Я бы поучаствовал.


        1. Sap_ru
          04.10.2018 11:11

          Я много чего хочу и много идей, но на данный момент жизнь так повернулась, что просто не могу позволить себе работать не за деньги :( Что плохо. Мне гораздо интереснее глушилку «без мозгов» сделать с себестоимость в 1..2 бакса. Но тоже нет свободного времени под личные проекты.
          В принципе там всё тривиально — поле для катушки размером с дипломат и саму катушку можно множеством программ посчитать. Самая большая сложность будет с чувствительностью приёма, ведь можность «передачика» (карты) остаётся прежней. Как мне кажется, любые изменения среды и наводки будут очень сильно влиять возможность успешного чтения. Но как минимум дважды такая штука уже была продемнстрирована.


          1. Alexeyslav
            04.10.2018 16:34

            Нет в карте никакого передатчика. Там всё тривиально — карта умеет только замыкать свой собственный контур искажая поле передатчика и ничего более.


            1. Sap_ru
              06.10.2018 01:39

              Именно поэтому это слово в кавычках.Но чем больше размер катушки и, соответсвенно, контролируемый объём пространства, чем дальше второй контур, и чем больше разница в размерах катушек, тем ниже соотношение сигнал/шум.


      1. Alexeyslav
        04.10.2018 16:32

        Вот только… частоты там гораздо меньше и токи по рамке гуляют порядка 20А. Индуктивность самой рамки не позволит эффективно работать на частоте 13МГц.


        1. Sap_ru
          06.10.2018 01:43

          Дв, но до опредленного момента это решаемо (в крайнем случае можно родить монстра с несколькими катушками). Прототипы действующих конутров на 13 МГц, позволяющие читать банковские карты на заметном расстоянии уже создавались.


  1. RomanStrlcpy
    03.10.2018 18:47

    У «телефонизированного» способа оплаты есть ещё кажется и срок действия транзакции. Однажды оплатив проезд в транспорте телефоном (Google Pay) не обратил внимания на реальное списание. Потом спустя какое-то время Google Pay бомбил уведомлениями об отклоненной транзакции.

    Однажды пытался оспорить операцию проведенную просто бесконтактной картой. Гор. траспорт одно время тупил и проводил транзакции толи с большой задержкой (более 1-2 недель), толи повторно. В один день пришла СМС о списании за проезд, а я уже как месяц не ездил на ОТ. Я отправил заявление в банк (тогда ещё не знал информации о запоздалых\повтрорных списаниях). Спустя 3 дня из банка пришёл ответ, что отмену операции они не сделают, т.к. была бесконтактная оплата, а это что-то там значит и всё такое.


    1. achekalin
      04.10.2018 10:10

      Банки пока живут непуганными, как и сотовые компании: ответ «вы сами наверное за что-то заплатили и забыли» можно услышать и там, и там. Только на следующий вопрос «что же это было» первые отвечают голосом своей СБ, что, по соглашению на карту вы сами отвечаете за передачу данных карты третьим лицам (а вы же хотя бы однажды платили через интернет, вот к ним все вопросы), а вторые говорят, что это, мол, не мы продавали, а наши партнеры.
      Под дурачков удобно косить. Когда этот разговор развернется в сторону, что они обязаны доказать, что транзакция была (а не что вы как клиент идите и догадывайтесь, почему она не была) — тогда все эти «легкие деньги» перестанут им светить, и они начнут делать то, за что уже сегодня берут свою денежку — охранять, а не помогать тратить, деньги клиентов.


      1. marenkov
        04.10.2018 11:18

        Еще в договорах бывает пункт о стоимости расследования списания средств, в зависимости от ситуации от 50 до 500 USD. Что очень сильно помогает мошенникам.


        1. achekalin
          04.10.2018 11:38
          +1

          Причем расследование не предполагает, что ты будешь не виноват. Вишенкой будет взять $500 и привлечь за разглашение номера собственной карты, как некой секретной информации (о чем, конечно, в договоре есть пункт)!


          1. Arty_Fact
            04.10.2018 12:42

            Номер карты не может быть секретной информацией. Он же всем доступен. Включая девочку-оператора, которая эту карту вам выдает.


            1. DMGarikk
              04.10.2018 14:12
              +1

              ага, а также срок действия и CVC/CVV которые вроде как секретные но тоже доступны всем подряд


              1. Arty_Fact
                04.10.2018 16:03

                Их я рекомендую заклеивать или аккуратно затирать.


        1. menartIsH
          04.10.2018 15:33

          Есть закон «О НПС», в нем прописано, что БАНК должен доказывать, что транзакция проведена вами


          1. marenkov
            04.10.2018 15:50

            Чего вы сможете добиться через суд,… либо заплатив указанную выше сумму. В любом случае, сумма расходов будет превышать сумму транзакции без пин-кода. А с пин-кодом банк однозначно скажет что она ваша.

            Хотя, наверное, существуют банки которые действительно защищают своих клиентов.


  1. tvr
    03.10.2018 18:49

    Шикарный разбор возможных векторов атак!
    «Сценарий 2 — злой POS-терминал… Антенна сниффера размещается между терминалом и картой, и пассивно захватывает всю передаваемую информацию.» Что сводит возможность атаки к исчезающе малым вероятностям, ИМХО. Ну если только не передавать карту в руки курьеру/кассиру и упускать её из виду, что в принципе не приветствуется правилами МПС, насколько я помню.
    Спасибо за отличную статью!


    1. zhovner Автор
      03.10.2018 19:06
      +3

      Когда-то я пытался изготовить автономный снифер iso14443, который бы можно было наклеивать поверх оригинального считывателя. Я делал почти незаметную антенну на 13,56Мгц наклеенную на прозрачный пластик, может сфотографирую, если найду.

      hydranfc antenna

      В видео показана родная антенна от hydranfc, однако ничто не мешает вам заменить синий текстолит на прозрачный пластик, наклеить такую антенну поверх экрана и спрятать снифер за терминал снизу.

      UPD прозрачная антенна может выглядеть примерно так или еще более незаметно
      image


      1. ad1Dima
        04.10.2018 08:42

        Наверное можно попробовать заменить медь на ITO тогда вообще поверх экрана клеить. Только физический размер тоже измениться скорее всего…


  1. Alex_Q
    03.10.2018 19:03
    +2

    Реален ли вариант прокси атаки?
    К примеру, автор статьи покупает банку пива в магазине, подносит телефон к POS, данные передаются через интернет на телефон* сообщника, который едет в электричке. Сообщник заранее нашел пассажира, чья карта откликается, и проксировал данные с POS на карту этого пассажира. Далее передал ответ.
    Таким образом автор купил банку пива без риска засветиться, без ожидания банковского перевода, без инвестиции на покупку фирмы и терминала.

    * Телефон можно модифицировать направленной антенной для дальнобойности.


    1. zhovner Автор
      03.10.2018 19:16
      +1

      Подобный сценарий возможен, только здесь важны тайминги. По интернету скорее всего не получится, а вот по радиоканалу можно. Вот демонстрация такого концепта


    1. sena
      03.10.2018 23:29
      +1

      Да! Похожим образом открывают и заводят машины с бесконтактным ключом.


  1. stalinets
    03.10.2018 19:55
    +3

    Из статьи понятно только то, что это всё осуществимо. А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.
    А я вот думаю, что вскоре будут массовые случаи, когда специально обученные люди будут воровать деньги описанным способом у граждан, а любые попытки опротестовать транзакцию, наказать воров и т.д. будут упираться в глухую стену бюрократии, круговой поруки и отписок. Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно, и деньги будут тем или иным способом обналичиваться, и мошенники не будут нести никакого наказания.

    Так что, наверное, придётся или носить пяток бесконтактных карт вместе (спрятав важную банковскую в глубину пачки), или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать.


    1. OldFisher
      03.10.2018 20:37
      +1

      AliExpress уже давно заполонили разнообразные RFID-непрозрачные кошельки, зажимы для денег, чехлы, держатели кредитных карт и т.п. Можно не изобретать.


      1. sumanai
        05.10.2018 05:07

        А их кто-нибудь проверял?


        1. darkxanter
          05.10.2018 18:24

          Я купил такой кошелек. Ни как не получалось считать карты находящиеся в нем. Пробывал считывать с помощью телефона и ни банковская карта, ни карта тройка не считались. Так же пробывал в гостинице карту для входа в номер находящуюся в этом кошельке приложить, тоже не сработала.


    1. zhovner Автор
      04.10.2018 01:41

      А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.

      В статье как раз говорится, что получить POS-терминал достаточно легко, но у этого есть цена из которой складывается себестоимость всей схемы. Вывод в том, что такая атака просто не выгодна.

      Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно

      В таком случае можно просто допустить, что банк будет напрямую воровать у вас деньги со счета без всяких терминалов. Такой сценарий в вашей моделе угроз реален?

      или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать

      Кстати, для этого существует интересное решение: специальная карта, которая попадая в поле действия считывателя начинает активно слать мусорные данные ломая взаимодействие с любыми картами рядом cdn.shopify.com/s/files/1/2175/8571/products/ARD-Active-RFID-Defence_1024x1024@2x.png?v=1505461389
      image


      1. zhovner Автор
        04.10.2018 03:38

        Ой, ссылка неправильная. Вот lab401.com/collections/tags/products/rfid-blocker-nfc-jammer


    1. stanislavkulikov
      04.10.2018 11:19

      Банк — это коммерческая организация, которая работает только с целью получения выгоды. И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
      Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.


      1. DMGarikk
        04.10.2018 11:37

        банк платит штрафы в МПС по фроду, по этому он заинтересован в уменьшении количества воровства любыми способами в т.ч. и «уговариванием клиента» что это не фрод


      1. stul5tul
        04.10.2018 14:16
        +2

        И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
        Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.


        Насчет банков врать не буду, не знаю.
        Но есть такие организации коммерческие — платежные системы.

        Мы с вами используем их сплошь и рядом, например, через них проходят платежи на сотовые платежи. Или ящики-терминалы стоят в общественных местах для оплаты сотового, коммунальных платежей (не банкоматы).

        Подобные системы открываются и закрываются пачками. Вот только некоторые из них pay2.ru/dirs/systems

        И вот для платежных систем утверждение насчет — честно работать получишь в десятки раз больше — категорически не верно. Если будут действовать честно, то будут существовать на мизерную комиссию. Для любопытства поинтересуйтесь правилами сотовых операторов. Помниться, Теле2 вообще категорически запрещал (а может и сейчас запрещает) брать комиссию с плательщика (комиссию, смешную правда, платит посреднику сам оператор). Но найти терминал приема платежей, принимающий Теле2 без комиссии — это еще нужно было в те времена побегать.

        Но мошенничество не в этом. У данных платежных систем есть такой замечательный способ мошенничества — не проводить, скажем, каждый десятый платеж на телефон. Как показывает практика, большая часть людей не будет из-за 50 рублей напрягаться даже звонить и ругаться. А кто будет — тому эти деньги все же до телефона доведут. И вот такая «комиссия в 100%, но зато с каждого 10-го платежа» — это огромные деньги, есть смысл для мошенников.

        Считайте:

        2000 платежей в день с терминала по средней сумме 300 рублей. Оборот 600 000 рублей в день с точки. Это для не-Москвы довольно-таки хороший терминал, очень хорошее «проходимое» место.
        Комиссионное вознаграждение честное — 0,1%. То есть 600 рублей с точки. 18000 рублей с терминала в месяц. Их которых только одна аренда места может стоить 5 000 — 10 000 рублей (торговые центры же тоже не дураки, понимают, что если место «проходное», то нужно зарабатывать по полной). Да, торговые центры за такие терминалы берут не за формальные 2 кв. метра как с обычного магазина, а по полной.
        Терминал нужно обслуживать, он жрет электроэнергию, интернет. Фирме-владельцу нужно платить налоги, тратиться на бензин (их же нужно регулярно объезжать, снимая выручку и заряжая принтера) и т.п. Даже такая операция как пересчет мелких наличных денег 600 000 рублей с терминала в день — это огромная проблема. Это реально горы налички.

        Получается, что 1 терминал это уже не бизнес. Чтобы более-менее существовать за счет терминал — тебе нужно их ставить как минимум десятками (и обслуживать самому, чтобы не платить зарплату никому; и еще решить проблему воровства налички персоналом).

        Ну а теперь берем каждый 10 платеж. Это 60 000 в месяц. И делаем иммитацию технического сбоя. Практика показывает, что порядка 5% людей звонят, возмущаются. Остальные просто забивают.
        Ну и сравните — честный доход 18 000 рублей с точки.
        Мошеннический доход — 18 000 + 57 000 рублей с точки.

        Платежные системы лет пять назад по этой схеме открывались пачками, работали по полгода и закрывались.

        И если у вас когда-то не доходил платеж — то это вовсе не случайный технический сбой... А, скажем мягко, запланированный технический сбой.


        1. stanislavkulikov
          04.10.2018 15:05
          +4

          Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами. Т.е. зарплаты сейчас у всех приходят на карту, у всех банков сейчас есть мобильные приложения из которых удобно и без комиссии можно и всё оплатить и деньги перевести. И вот зачем в таких условиях искать этот терминал (а к слову, я в Питере их уже давно не видел, думал уже совсем исчезли), и зачем платить через них с комиссией — вот этого я не понимаю.
          Только если гастарбайтерами, которые неофициально здесь работают.


          1. vlivyur
            04.10.2018 16:22

            Их в Питере всё ещё дофига, непонятно на чём живут, но людей перед ними я иногда вижу. А за мобильник можно с сайта оператора картой оплатить, помимо любого банкомата. Ну или через сберовские терминалы — там и наличкой можно оплатить.


          1. befart
            04.10.2018 18:51

            пенсионеры же) все с мобилами, но без компьютеров. они клиенты?


            1. Igor_O
              04.10.2018 20:57

              В нашей деревне — 99% пользователей терминалов — рабочие из стран ближнего и не очень зарубежья. Мобила нужна, а компьютер в бытовке на 20 койкомест, на которых спят в три смены, просто негде поставить. А у пенсионеров в нашей деревне почти у всех умные телевизоры с интернетом.


          1. stul5tul
            05.10.2018 00:13

            Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами


            Дык платежные системы — это отнюдь не только терминалы.

            Вторая линия так сказать — терминалы и банки вовсе не напрямую подключены к операторам связи и коммунальщикам. (крупные банки к крупным операторам связи напрямую, ну а прочим путь заказан/неудобен напрямую).


        1. makioro
          04.10.2018 21:14

          Как-то у Вас совсем плохо получается.
          Работаю в компании, принимающей платежи через такие терминалы
          Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними
          За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились. Но вот чтоб 10% платежей — это что-то из области фантастики.
          Правда пишу из Украины


          1. stul5tul
            05.10.2018 00:22

            Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними


            Между вами и первичным приемом налички — цепочка из 2-3 посредников. Кушать хотят все.

            В нашем регионе как раз одними из первых по России запускали. Так что у нас давно уже жесткая конкуренция. На самом деле никто не работает на 0,1-0,3%, как того требуют операторы связи, все нарушают требования операторов связи и накручивают больше — иначе только мошенничеством и можно выжить.
            А когда-то было и 15 процентов. Тогда с одного терминала можно было весьма богато жить.

            За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились.


            Разумеется никто не признается, зачем им уголовную статью на себя вешать.
            Уверяю вас, не все из них технически сбои.

            Но вот чтоб 10% платежей — это что-то из области фантастики.

            Это работает только на массовых микроплатежах.
            На платежах за сотовую связь — самое типичное.

            Если у вас, скажем, местячковый интернет-провайдер, то никто не будет рисковать, оно же сразу выплывет.


    1. Alexeyslav
      04.10.2018 16:40

      Экран должен быть от магнитного поля а не электрического, нужен магнитомягкий материал вроде феррита или железа.


  1. darkxanter
    03.10.2018 19:56
    +2

    А что насчет атаки на Samsung Pay, если используется MST?


    1. zhovner Автор
      04.10.2018 02:24

      Есть доклад на эту тему от Сальвадора Мендозы youtu.be/BqjyewIEFSc

      В двух словах: используется снифер и глушилка, чтобы перехватить данные магнитной ленты и не дать пройти транзакции на терминале. Потом эти данные используются для оплаты.


  1. AlexGre
    03.10.2018 20:09
    +4

    Issuer Application Data (IAD)

    Структура IAD различная на разных МПС. Описанна в EMV book 3 C7.2 «Issuer Application Data for Format Code ‘A’ ». Из интересного в ней можно найти «CVR» Card Verification Results, результаты проверок, проведенных картой.

    Cryptogram Information Data (CID) — Я не осилил разбор этой структуры, помогите.

    Описанна в EMV Book 3 «Table 14: Coding of Cryptogram Information Data ». Карта (телефон) вернула ARQC — что значит запрос на онлайн и без ошибок.

    Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe (MSD)
    Стоит отметить что MSD и VSDC это варианты VISA приложения. MSD действительно устаревший и эмулирует магнитную карту. Ваше приложение — VSDC.

    Протокол MasterCard немного отличается, но в целом похож.
    Интересно что бесконтактный MasterCard достаточно сильно отличается от безконтакной Visa и практически полностью идентичен контактному протоколу.

    В AIP содержится важная информация о поддерживаемых методах аутентификации (SDA,CDA,DDA) платежа. Почему в моем случае все эти флаги равны нулю — я не понимаю.
    Т.к. используется технология токинизации и только онлайн, что подтверждается виртуальной картой и начиличем EMV Tokenisation (Payment Account Reference (PAR)), аутентификация по SDA,CDA,DDA похоже становится не нужной. Также как запрос пина и т.д.


  1. onix74
    03.10.2018 20:11

    Статья отличная! Спасибо автору!

    Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной
    Данная блокировка не вызовет дополнительных проблем, например, с переводом с чужой карты на эту основную карту или, наоборот, с этой карты на карту в другом банке?


  1. balexa
    03.10.2018 20:29

    При оплате телефоном, POS-терминал видит обычную карту VISA или MasterCard, и общается с ней точно так же, как и с физической картой.

    Там явно еще что-то есть. Потому что у меня в «перекрестке», терминал при поднесении телефона(андроид) иногда пишет «посмотрите на экран телефона», когда к телефону надо приложить палец. Я так понимаю расширение протокола?


  1. pnetmon
    03.10.2018 20:31
    +3

    Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит одну единственную карту в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.

    Многие носят в одном месте несколько карт из которых только одна бесконтактная.


    1. AllexIn
      04.10.2018 08:50

      Скоро перестанут.
      Банки же заменяют все истекшие карты на бесконтактные. И способа отказаться я не нашел.


      1. sena
        04.10.2018 10:07

        Есть надёжный способ отказаться (помимо чехольчика из фольги)


        1. AllexIn
          04.10.2018 10:11

          Это не совсем законно.
          Карта — собственность банка.
          Но всё равно спасибо, обязательно воспользуюсь.


          1. JediPhilosopher
            04.10.2018 16:00

            Как будто это можно доказать. Просто карта «сломалась». У меня такое кстати было — сперва бесконтактные транзакции по карте начали работать плохо (со 2-3 раза), а потом и вовсе перестали, пришлось карту перевыпускать.


            1. AllexIn
              04.10.2018 16:09
              +1

              Я ничего не говорил про наказание или факт определения нарушения закона.
              Или для вас всё, что нельзя доказать автоматом можно ингорировать?


        1. vskv
          04.10.2018 15:33

          Зачем такие сложности, если банк (при контактном чтении чипа) может послать на карту команду «отключить contactless интерфейс»?


          1. zhovner Автор
            04.10.2018 15:34

            В теории, вероятно, может. Но вы знаете хоть один банк где можно такое сделать?


            1. Mikihiso
              05.10.2018 09:09

              Хз как отключить, но с уверенностью могу сказать, что некоторые банки для конкретной карты могут просто деклайнить весь контактлесс например.


    1. Dukat
      04.10.2018 15:34

      Например, в банке Авангард при выпуске карты можно выбрать, добавлять ли поддержку PayPass / PayWave.


  1. imotorin
    03.10.2018 20:38

    На первой схеме между банком эквайером и МПС не хвататет Национальной Системы Платёжных Карт (МИР)


    1. Mikihiso
      04.10.2018 00:16

      Ну это только вроде для карт российских банков-эмитентов и только если эквайер и эмитент не один и тот же банк(для пластиковых бесконтактных карт). Карты зарубежных банков идут напрямую в нужную МПС, а если банк эквайер заодно и эмитент то в МПС обычно ничего и не уходит.


  1. AlexGre
    03.10.2018 20:42
    +1

    Сценарий 3 — Послать сниференные данные еще раз эмулируя Apple Pay. Конечно терминал посылает 9F37 Unpredictable Number, но SDA, DDA, CDA аутентификации не поддерживаются.

    В том случае интересно как у ApplePay проверятся аутентификация карты(телефона)?

    Уникальность транзакции проверяется по AC криптограмме и можно понадется (а так говорят бывает) что AC криптограмму ApplePay процессинг не проверяет.


    1. shape
      04.10.2018 15:04
      +1

      процессинг ARQC не проверяет, просто форвардит/транслирует данные на следующий хост. а вот эмитент карты 2 одинаковые ARQC криптограммы не пропустит. В ARQC используется Тег 0x9F36: Application Transaction Counter


  1. sha4
    03.10.2018 21:00
    +1

    Правильно ли понял, если банк-эквайер = банк-эмитент, то обращение в МПС при проведении платежа не происходит?


    Хочу понять, насколько платежные системы могут мониторить объем безналичных операций.


    Например, в России большинство терминалов от Сбербанка и большинство карт от него же. Значит, информацию о платежах через терминалы Сбербанка по им выпущенным картам МПС не получают?


    1. ipswitch
      03.10.2018 21:47
      +1

      Технически есть возможность миновать МПС. Пример — работа MasterCard российских банков в Крыму, а также израильские процессинговые центры IsraCard, LeumiCard. Если карта «своя», то МПС не задействуется.


      1. vskv
        05.10.2018 10:37

        Для ApplePay и Samsung Pay без МПС (не важно, Виза, Мастеркард или НСПК) не получится.


        1. ipswitch
          05.10.2018 17:04

          А Samsung Pay даже при использовании магнитной полосы (MST) передаёт токенизированные данные? Или всё же реальные данные реальной карты (а не «подставной» номер)?


    1. archimed7592
      03.10.2018 22:00
      +1

      Если эквайер и мерчант в одном банке, то операция никуда не идёт, кроме самого банка и его процессингого центра (не у всех свой ПЦ).
      Если эсквайр и мерчант в России, то операция пойдёт через НСПК. Это нововведение, появившееся после санкций со стороны Visa в 2014 году.


    1. timothyha
      04.10.2018 01:45
      +1

      VISA уже давно заставляет POS-транзакции маршрутизировать через них («в целях контроля фрода»), так что даже транзакция «своей» карты пройдет через МПС, если только банк не настроит софт иначе, игнорируя требования МПС.


    1. eyellow
      04.10.2018 15:34
      +1

      При проведении платежа — обычно не происходит. Но Мастеркард, а с 19 года и Виза требуют формирование т.н. Collection Only сообщений. Это сообщение формируется эквайером и уходит в клиринговых файлах. Коллекшн онли формируется по us-on-us операциям (эмитент = эквайер), а также по domestic операциям (это когда внутри НСПК).
      Ну и плюс МПС требуют квартальные отчёты по всем операциям с использованием их карт — сюда тоже попадают и ас-он-ас, и доместик, и все-все-все.


      1. Mikihiso
        05.10.2018 09:13

        И еще небольшое дополнение, для некоторых партнерских программ МПС может требовать не только collection only, но и направление авторизационного on-us траффика через них, для мониторинга.


  1. semmaxim
    03.10.2018 21:20
    +1

    Т. е. как я понял, от сценария №1 защищает только наличие нескольких карт в кошельке? Тут такое дело, я не знаю никого, кто бы таскал в кошельке их больше одной. Есть банковская карта, куда падает зарплата и которой везде рассчитываются. И всё. Также, картой Тинькофф я бесконтактно платил и по 2, и по 3, и по 5 тысяч — никаких проблем, никто PIN не спрашивал.


    1. proton17
      03.10.2018 22:40

      У меня в кошельке 2 банковских карты с бесконтактной оплатой, бесконтактная карта газпромнефти и тройка. По обоим картам лимит строго 1к без pin. Кстати знакомый просто положил в секцию для купюр листок фольгированной бумаги от какой-то упаковки. В сложенном виде прекрасно экранирует от чтения — проверяли)


      1. semmaxim
        04.10.2018 09:07

        Тройка — это какой-то проездной для москвичей? Мы в нашей тьмутаракане не знаем такого :)


        1. redial
          04.10.2018 10:45

          Проезд в общественном транспорте, наземном и подземном. Можно активировать проездные. Очень удобная и не именная. Есть варианты брелока, кольца и браслета. Советую купить тем, кто наездами в столице.


          1. semmaxim
            04.10.2018 11:07

            Вообще это был сарказм. Практически всем не-столичным жителям достаточно иметь одну банковскую карту. И мне не приходят в голову ситуации, когда может понадобится вторая.


            1. ad1Dima
              04.10.2018 12:29
              +2

              Дебет и Кредит


            1. Arty_Fact
              04.10.2018 12:50
              +2

              Разные банки, разные платежные системы, зарплатная карта и карта для покупок. Две карты всем советую иметь. А лучше три, чтобы зарплатную вообще нигде не палить.


              1. ad1Dima
                04.10.2018 14:39

                А лучше три, чтобы зарплатную вообще нигде не палить.
                можно просто отвязать карту от зарплатного счёта.


                1. sh1kel
                  04.10.2018 15:54

                  Не все банки оперируют раздельными понятиями карта и счет. У сбера например заблокированная карта не позволяет оперировать счетом. А у Альфы наоборот, к одному счету можно привязать несколько карт. Все зависит от адекватности банка.


              1. semmaxim
                04.10.2018 14:44
                +1

                Опять же, а зачем разные банки? Зачем отдельно карту для покупок, а отдельно для зарплаты? Ну ладно, может прям действительно бывает надо. Но зачем их все в кошельке держать? В кошельке достаточно ежедневную носить. Да и для других целей необязательно иметь именно карту — достаточно просто дополнительные счета открывать. Я правда не понимаю.


                1. Arty_Fact
                  04.10.2018 15:09
                  +2

                  Про кошелек вы не уточняли, я отвечал зачем нужны несколько карт. В кошельке можно вообще ни одну не носить если есть поддержка %brandname% Pay в девайсах.
                  А теперь на остальные вопросы:
                  Карты разных банков удобно иметь для переводов со счета на счет без комиссии. Например, зарплатный проект в Райфайзен, а у огромного количества людей в России есть карта Сбера. Вот чтобы с друзьями перекидываться деньгами и иметь доступ к банкомату в любой момент пригождается сбер (его банкоматы на каждом углу). Второе «за» за разные банки — это блокировка карточки по желанию левой пятки банка. Подозрение на фрод, ошибка в документах, плохое настроение — все что угодно может привести к заморозке счета. Вероятность одновременной блокировки двух счетов в разных банках гораздо ниже.
                  Карта для покупок нужна, чтобы не светить зарплатную. Конечно, можно отвязать зарплатную и заморачиваться с перекидыванием денег со счета на счет, но проще иметь другую карту, которую не жалко дать продавцу в руки или светануть в интернет-магазине. В случае чего она просто блокируется, а вы можете снять необходимую сумму в банкомате со своей зарплатной карты.
                  Если у вас одна карта и вы ее заблокировали, вы сможете снять наличные только в банке по паспорту. При этом многие отделения не работают по выходным, например.
                  Зачем две карты в разных процессинговых системах не нужно рассказывать?


                  1. KorDen32
                    04.10.2018 23:41

                    Кроме всего вышеперечисленного (все описано логично) еще могут быть актуальны разные кэшбэки и прочие акции.

                    Условно:
                    В кошельке две карты «для покупок», Visa банка X и MC банка Y, обе бесконтактные, в разных половинках кошелька (можно платить не доставая, но открыв кошелек). На карте X у нас общий кэшбэк условно 1% и на операции A, B, C кэшбэк 5%, а по карте Y общий 0.5% и по D, E — 3%, так что в общем случае платим в зависимости от точки. Ну и есть пространство для маневра — где-то предлагают скидки «держателям Visa»/«только при оплате MC», плюс вероятные нештатные случаи.
                    Возможно еще добавить третью кредитную карту для определенных случаев.
                    Обе карты добавлены в смартфон, так что по большей части кошелек не нужен, но смарт может разрядиться и проч глюки.

                    Ну а дома лежит зарплатная карта, например Мир, возможно кредитная карта для поездок. Вероятно, карта третьего банка, или валютная.


                1. stanislavkulikov
                  04.10.2018 15:12

                  Вот сейчас открыл кошелёк, посчитал, у меня там 5 карт. Зачем они там лежат? Не знаю, ведь я всё-равно пользуюсь Apple Pay. Наверное просто для того, что бы всегда была возможность ими воспользоваться, хотя я и понимаю, что по факту такая необходимость вряд ли когда-либо настанет.


                1. pnetmon
                  04.10.2018 15:39

                  Конечно можно и у людей есть деньги для годового обслуживания этих карт


                  1. vlivyur
                    04.10.2018 16:42

                    Иногда годовое обслуживание бесплатно. Иногда совсем, иногда при каких-то условиях.


                    1. pnetmon
                      04.10.2018 18:54

                      Карты двух банков обе бесконтактные Сбера и Альфы, обе требуют денег. Только давайте без зарплатных проектов, карт.


                      1. vlivyur
                        05.10.2018 17:30

                        Давайте. Голдовая кредитная Visa от Сбера. Обслуживание бесплатно уже который год. Позвонили, спросили нужно ли на таких условиях. Зарплатного проекта в тот момент не было, была только обычная (ещё и Maestro) дебетовая карта.
                        Росбанк, к примеру, по классической кредитной карте — бесплатно при обороте за предыдущий год не менее 180 000.


                        1. pnetmon
                          06.10.2018 07:02

                          Ну так и я могу привести примеры даже у тогой же Альфы — порядочные обороты по карте, большие остатки на карте.


                          Кредитная от Сбера — интересно, на сайте информация разнится по второму и последующим годам. Снятие налички платная услуга, но для оплаты коммуналки может и подойти. Но то что кредитка — пугает разными возможностями ухода в минус чего не бывает у дебитной


                          1. grumbler66rus
                            06.10.2018 15:40

                            Кредитная карта как правило имеет grace-период. При уходе в минус просто пополняешь счёт карты до нуля. Кэшбек оплачивает стоимость обслуживания карты, если она есть.


                            1. pnetmon
                              06.10.2018 16:08

                              Я не уточнил. В случае несанкционированных списаний в том числе о чем эта статья.


            1. redial
              05.10.2018 01:10

              Сарказм проехали.
              Если вам не приходят в голову, это не значит, что не приходят другим в голову. Видимо вас обходят стороной. Причина мне неизвестна.
              6 карт для работы, 1 ИП, 2 кредитки, проездной дочери (тоже банковская) и безымянная тройка, так как паранойя. Где тут сарказм… фольгой перекладывать надо :)


              1. Alexeyslav
                05.10.2018 09:10

                Причем стальной фольгой, магнитомягкой.


            1. vmarunin
              06.10.2018 02:20

              1. Банки иногда падают и часто (раз в год точно) проводят апдейты. В это время их карты не работают совсем. Да, это на несколько часов в ночь с субботы на воскресенье, но! Очень полезно иметь карту другого банка (и другой системы)
              2. Совсем редко банки накрываются. Страховку выплатят через 2-3 недели, но это время как жить? Нестоличные банки неплохо падают.
              3. Дебетовая и кредитная. По кредитке, обычно, больше кешбэк, на дебетовую проценты начисляют и переводы с неё дешевле делать (садики, кружки и т.д.)
              4. Рублёвая и нерублёвая. Нестоличные жители тоже ездят за границу
              5. Можно не уследить за баллансом. И стоите вы в супермаркете с пробитой горой продуктов на кассе, а денег не хватает… Вторая карта спасёт. Можно сломать/потерять карту.


    1. DMGarikk
      04.10.2018 09:17

      Карты Тинькова ещё и по EMV бывает пин-коды не спрашивают, не знаю как сейчас но какое-то время назад это был единственный банк выпускающий EMV-карты без запрос пина по умолчанию


    1. shogunkub
      04.10.2018 11:54

      Очень странно, у меня тот же Тинькофф, и на любые операции свыше 1000 еще ни разу не было, чтобы какой-то терминал не спросил PIN. Аналогично Юникредит. Банковских карт других банков у меня нет.


      1. oshibka404
        05.10.2018 00:00

        В приложении Тинькофф
        Настройки -> ПИН-коды карт -> «Подтверждать покупки ПИН-кодом».
        Это можно включать и выключать


    1. vlivyur
      04.10.2018 16:34

      Дебетовая + кредитная. Или карта зарплатного банка + карта удобного банка. И что-то мне кажется что людей с единственной картой очень мало (разве что пенсионеры). А кошелёк это просто удобная штука, позволяющая потерять их все одновременно с наличкой.


    1. grumbler66rus
      06.10.2018 15:33

      У меня 2 EMV карты в обложках порткарде (кошелёк для карточек), для бесконтактной оплаты открываю нужную обложку, иначе оплата не проходит даже в описанном случае сбербанковского терминала.


  1. archimed7592
    03.10.2018 21:43
    +1

    На будущее: слип — это такая самокопирующаяся бумажка на которой выдавливают информацию о карте с помощью импринтера (для этого подходят только эмбоссированные карты… VISA electron, например, не подойдёт т.к. не имеет выпуклого рельефного номера).


    В России, мне кажется, импринтер сейчас не встретишь.


    А то что вылезает из pos-терминала — это просто чек.


    1. ValdikSS
      03.10.2018 21:48
      +1

      Slip это и есть чек или квитанция, любая. Русское сленговое слово, вероятно, ввели в употребление любители сленга.


    1. zhovner Автор
      04.10.2018 01:48

      Но как тогда различать кассовый чек и второй чек о результатах банковской транзакции?


  1. ipswitch
    03.10.2018 21:50
    +1

    Может быть кто-то сможет ответить.
    Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации? Сколько времени оно проработает без снюхивания с серверами?
    Зачем Google Pay дёргает данные GPS? Только ли ради точного времени со спутника и калибровки таймингов?


    1. visput
      03.10.2018 23:34
      +3

      Отвечу за Apple Pay: работает без симки и wi-fi. Часто оплачиваю через apple watch (без симке), не имея при себе iPhone.


    1. zhovner Автор
      04.10.2018 01:49
      +1

      Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?


      Если установить режим «самолета», то apple pay все равно работает.


      1. gecube
        04.10.2018 01:54

        ну, правильно, потому что сама виртуальная карта генерируется онлайн в момент подключения услуги apple pay.


    1. WraithOW
      04.10.2018 16:59
      +1

      Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?

      Да, но через какое-то время у вас закончатся ключи для подписи транзакций. У Google Pay ключей вроде меньше десятка, живут порядка недели.

      Только ли ради точного времени со спутника и калибровки таймингов?

      Для оплаты ничего калибровать не надо. Локацию дергают для аналитики, скорее всего.


      1. sumanai
        05.10.2018 05:15

        У Google Pay ключей вроде меньше десятка, живут порядка недели.

        А я то думал, почему мне оно не нужно. Оказывается вот почему.


  1. devlev
    03.10.2018 21:52
    -3

    А что с Google Pay? Там достаточно чтобы телефон был просто разблокирован и палец подносить не надо, идешь по улице и залипаешь в соц сети, с включенным NFC. К тебе терминал приложили и деньги улетели. И сумма не ограниченна 1000 рублей, можно списать и больше.
    Это вообще нормально?


    1. Irgen
      03.10.2018 23:27

      «А что с наличкой? Кошелек из рук выхватили и деньги улетели. И сумма ничем не ограничена.
      Это вообще нормально?»

      Вы статью-то читали? Заявление в банк и полицию, счет списавшего блокируется, деньги возвращаются


    1. befart
      04.10.2018 14:52
      -1

      Достали эти пешеходы-залипальщики в соцсетях((( Не рекомендуется на ходу есть, курить, думаю соцсети из этого списка. По тыщенке с каждого, в виде платы за обучения хорошим манерам)


    1. boingo-00
      04.10.2018 18:10

      Терминал крупнее телефона. Если вы не видите, что прямо перед вашими глазами чем-то размахивают, и если вы рукой не почувствовали, что к телефону пытаются чем-то прикоснуться, то это не проблемы системы


      1. Igor_O
        04.10.2018 23:35
        +1

        Я недавно видел в каком-то то ли ларьке, то ли кафе… Там терминал был примерно 5х5х1 см, в качестве экрана и связи с внешним миром использовалось приложение на мобильном телефоне по блю-тусу. Чек не печатался, чек отправляли на е-мейл или ссылкой в СМС…


        1. ad1Dima
          05.10.2018 08:52

          Вот так ещё делали:


          поговаривали даже, что именно из-за таких терминалов apple отказалась от аудиоджека


          1. DMGarikk
            05.10.2018 16:01
            +1

            такие терминалы не пошли из-за роста популярности чиповых карт
            сейчас каждая вторая служба доставки (в Мск) ездит с микротерминалами про которые Igor_O говорит


          1. zhovner Автор
            05.10.2018 16:10
            +1

            Сейчас самые дешевые мобильные терминалы подключаются по bluetooth к телефону, и на телефоне в интерфейсе клиент-банка вводится сумма и телефон обменивается данными с банком по интернету. Вот например русские продают такой терминал www.2can.ru/products/terminal

            Он достаточно навороченный, умеет и бесконтактную оплату и чипованные карты и магнитную полосу. Вот китайский OEM вариант этого же терминала dspread.manufacturer.globalsources.com/si/6008847651844/pdtl/Mobile-credit/1158842979/NFC-EMV-card-reader.htm Стоит <100$.
            image


            1. o4karek
              05.10.2018 16:14
              +1

              Недавно приезжал курьер с похожей девайсиной. Там требовалось физическое внедрение карты. Самсунговский MST не справился. Похоже внутри был просто контакт.
              По поводу картинок на морде (как на приведенной картинке, в правом верхнем углу терминала) — не помню, честно.


    1. vmarunin
      06.10.2018 02:32

      1. Должен быть недавно разблокирован. Таймаут не знаю, но он есть. Или попросит разблокировать (ввести пин, палец и т.д.) ещё раз. Несколько раз тупил перед кассой в телефон минут 5, этого хватало на повторный ввод.
      2. Если есть интернет, то телефон тут же квакнет и скажет про списание, вы заметите проблему сразу и сможете обжаловать.


  1. gecube
    03.10.2018 21:54

    В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.

    Видимо, Санкт-Петербург — исключение. В СПб в метро есть и мобильная связь, и мобильный интернет (хотя в перегонах он, конечно, работает хуже, чем на станциях).
    В Москве — мобильного интернета в метро практически нет, но есть WiFi (интересно, а POS терминалы через WiFi умеют работать!?)


    1. onix74
      04.10.2018 08:41

      Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя


    1. ad1Dima
      04.10.2018 08:47

      В НСК на самых посещаемых станциях стоит 4G и в глубь перегона тоже немного добивает.


    1. sh1kel
      04.10.2018 15:59

      В пределах кольцевой мобильный интернет в метро работает идеально у всех операторов (ну разве что про теле2 не знаю). По остальным веткам зависит от ветки и оператора. На станциях есть везде уже давно.


      1. gecube
        04.10.2018 16:08

        В пределах кольцевой = в центре Москвы? Или = ПО КОЛЬЦЕВОЙ?
        Потому что по Сокольнической линии — да, в целом связь есть.
        А вот по Арбатско-Покровской и Замоскворецкой (даже в пределах кольца) — ловит только на станциях.


        1. o4karek
          04.10.2018 16:19

          Это полностью от оператора зависит. У всей большой тройки покрытие в метро очень разное.


          1. K0styan
            05.10.2018 11:39

            Более того, раньше принципиально разные технологии использовались. ЕМНИП, МТС использовал кабели-антенны в тоннелях, Мегафон — направленные антенны у входа в тоннель.

            Но это было до прихода Максимы, сейчас, возможно, всё это унифицировалось.


        1. sh1kel
          04.10.2018 16:51

          В пределах кольцевой линии, в тч на самой кольцевой) Серая ветка — хорошо работает примерно по половине с каждой стороны от кольца, дальше только на станциях и не везде адекватно, но где-то и LTE есть.
          Видимо зависит от оператора, но я обращаю на такое внимание, потому что вайфай часто работает плохо, либо вообще не передаются данные либо сильно медленнее, чем по сотовой сети.


  1. SergeyMax
    03.10.2018 21:59

    Лимит на максимальную сумму операции без подтверждения ПИН-кодом может быть установлен как на самом POS-терминале (CVM Required Limit), так и на стороне банка. В России это ограничение равно 1000?.

    Ни разу не сталкивался с таким ограничением на терминале. Обычно без пин-кода проходят гораздо большие суммы, например 250 тысяч рублей.


    1. gecube
      03.10.2018 22:04
      +2

      А у меня ни одна операция свыше 1000 руб. при использовании PayPass не проходит без ввода ПИН-кода.
      Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.


      1. SergeyMax
        03.10.2018 22:15

        при контактной оплате (через чип) — ПИН-код запрашивается всегда

        Может быть в этом причина? На моей карте выставлен приоритет подписи. Но опять же получается, что в настройках терминалов нет ограничений (либо они очень большие).


        1. ad1Dima
          04.10.2018 08:49

          какое-то время назад большинство терминалов сбера требовало пин всегда, при бесконтактной оплате. Потом это убрали.


      1. nikolayv81
        03.10.2018 23:17

        С пин-ом при оплате чипом интересная ситуация, почти все терминалы требуют н при этом не все проверяют, был очень удивлён когда ввёл 100% неверный код а операция прошла :)


      1. ipswitch
        03.10.2018 23:31
        +1

        Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.

        ДАЛЕКО не всегда.
        Есть такие банки и карты, где ПИН вообще не запрашивается в терминале в принципе. На любую сумму. Только в банкоматах запрашивается.

        ДАЖЕ если найдётся терминал с жёсткой настройкой «требовать ПИН», можно обычно нажать на красную кнопку отмены, и транзакция пройдёт без ПИН-кода — по подписи.

        Карты уровня World Signia к примеру. Или Infinite. Многие карты США.
        Какой ПИН? Вы о чём? Непристойно это, как будто не чёрная Signia, а какая-то Maestro! Ещё и код набирать…

        Иногда клиент может управлять требованием ПИНа, меняя приоритет самостоятельно.


      1. grafstroganov
        03.10.2018 23:54

        карта Тинькофф. пин код при оплате пайпассом за все время запрашивал только терминал в метро на кассе и терминал по продажам билетов на электричку. а так и на 15 тысяч покупки проходил без запроса.


        1. grumbler66rus
          06.10.2018 15:45

          Настраивается в мобильном приложении или на сайте. В статье это упомянуто.


    1. andr1983
      03.10.2018 23:04
      +1

      Очень часто это как раз ограничение на терминале. Например, когда в Латвии ограничение по бесконтактной оплате было 15€, я в других странах без проблем делал покупки на большие суммы. Например, в Польше оплачивал и 20 и 25€. Т.е. ограничение в 15€ было не на стороне банка, а только в терминале.


      1. vlivyur
        04.10.2018 17:50

        В Финляндии и Эстонии натыкался на ограничение в 25EUR. Причём вообще нельзя бесконтактно оплатить большую сумму — только втыкать карточку и вводить пин.


        1. JC_IIB
          04.10.2018 18:02

          А кстати да, у нас точно так же, бесконтактные платежи ограничены 25 еврами, что-ли… или вообще 20-ю.


  1. springimport
    03.10.2018 22:03
    -2

    Я не понял

    Как украсть деньги с бесконтактной карты и Apple Pay
    Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты

    Ах да,
    В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты

    Это же просто очередной кликбейтный заголовок.


    1. id_potassium_chloride
      04.10.2018 02:25

      Как будто первый раз в Интернете. Прочитав заголовок, должно быть очевидно, что статья про вектора атак на безконтактную оплату и рассуждениям по поводу безопасности такой оплаты. Собственно, я и пошёл по ссылке, не чтобы научиться воровать деньги с карточек, а чтобы узнать, насколько это всё безопасно. Возможно, автор немного переборщил с заголовком, но содержимое статьи с головой это компенсирует


    1. zhovner Автор
      04.10.2018 02:28
      -2

      Вы правы, это кликбейтный заголовок для лохов. Сожалею, что вы попались на него.


      1. slonopotamus
        04.10.2018 09:12

        Тонко ;)


      1. ValdikSS
        04.10.2018 23:21
        +1

        deniskin, Boomburum, смотрите, было написано «кликбейтный заголовок для лохов», и комментарий поправили модераторы. Класс.


  1. Igor_O
    03.10.2018 22:06

    Деньги могут списаться два раза

    Не является мифом, а является грустной правдой жизни.
    Не далее как 1 августа сего года… На автозаправке (в самой что ни наесть цивилизованной Великобритании в 10 милях от ЛКАД), пока POS печатал мне чек, что транзакция не прошла, на телефон прилитело две СМС-ки, что деньги списаны. Т.е. даже круче, чем «списаться два раза», а «деньги списались два раза, а товар я получить не могу».
    Но тут есть еще один важный положительный момент — деньги с карты в момент транзакции — не списываются. Деньги — блокируются. Если за месяц не пришло правильное подтверждение, деньги разблокируются и снова доступны. При этом, если успеть до подтверждения транзакции сообщить в банк, что у вас пытаются стырить деньги, то вернуть все гораздо проще, чем если дождаться, пока деньги уйдут со счета. Но если не пытаются стырить, а просто сбой в системе… Приходится грустно ждать месяц…
    А, да, это я еще так однажды в Китае в гостинице попал. Они у меня на карте заблокировали какую-то несусветную сумму на случай, если я у них погром устрою (все командировочные и почти весь аванс, которые на карте были… и это при том, что проживание было уже оплачено по безналу из Москвы). А разблокировать эту сумму — они не сумели… А у меня перелет в Тайпей после Китая и я 2 недели до зарплаты в Тайпее на последние 2 тысячи рублей жил. Благо там тогда питаться можно было на 100-150 рублей в день.


    1. Losted
      03.10.2018 22:52
      +2

      Используйте кредитку в поездках — все авторизации (как раз заблокированные деньги) — это будут деньги банка. И пока они реально не спишутся — никаких процентов не будет. При дебетовых картах все эти авторизации блокируют ваши личные деньги


      1. Igor_O
        04.10.2018 00:07
        +1

        На кредитке на тот момент уже висело заблокированных под 4 килоевро из прокатов в двух странах… И кто ж знал, что в цивилизованной стране, на АЗС которая «Services» в 10 милях от M25 (которая кольцевая вокруг Лондона), практически в самом центре цивилизации, в уже не первом десятилетии 21-го века, в 50 метрах от батареи Тесла Суперчарджеров, плохая связь с банком?
        Но мой коммент был, в основном, о том, что деньги с карты могут списаться больше одного раза. Это не миф. Это жизнь. И такое может случиться даже если транзакция не прошла. Другое дело, что примерно всегда деньги через месяц вернутся.


        1. alexhustle
          04.10.2018 15:49

          даже 3 могут, у меня при покупке билетов на сайте ржд списали один раз, а потом, в течении часа, еще два раза. По двум лишним списаниям вернули через две недели.


          1. DMGarikk
            04.10.2018 16:39

            например часто на АЗС используется такой фокус:
            есть некоторые умники которые говорят «Полный бак», и идут оплачивать… на кассе покупают шоколадку без заправки, выходят садятся в машину и уезжают… АЗС потом досписывает с карты бабло за бензин (правда для карт electron/maestro не прокатывает… к великой печали кассиров)… используя код авторизации от купленной шоколадки


            1. o4karek
              04.10.2018 16:45

              Есть подозрение, что и для обычной карты это не прокатит. Минимум потому, что софт на POS-е должен уметь такое делать, а сам кассир такого не может сделать. И надо понимать (по протоколу) можно один код авторизации два раз использовать или нельзя. И что-то подсказывает, что нельзя.


              1. DMGarikk
                04.10.2018 16:50

                гдето в 15-16 годах сильно ограничили такие фокусы (после большой серии фрода по кодам авторизации с чеков от банкоматов)
                но вообще такая функция есть точно у отелей которые очень часто проводят операции CNP… более того именно для отелей есть много исключений в процессинге для таких дел, и совершенно точно заправки шелл пользуются такой схемой которую я описал выше


                1. o4karek
                  04.10.2018 16:53

                  Про отели не в курсе.
                  Про заправки — вы не путаете резерв с возвратом? Когда холдируется заведомо большая сумма и потом (по факту заправки) лишние деньги возвращаются? При этом при возврате карта не нужна. Такое и сейчас есть (из свежего — январь в Белоруссии, июль на Лукошках на М4).


                  1. DMGarikk
                    04.10.2018 16:56

                    нет, не путаю, это данные от человека который работал в техподдержке куда звонили опечаленные кассиры у которых владелец карты maestro упер 60 литров бензина… и это не единичный случай
                    ==
                    ну к слову сказать что такая операция легко опротестовывается, но в случае с АЗС недовольные не обращаются обычно


                    1. o4karek
                      04.10.2018 16:57

                      но в случае с АЗС недовольные не обращаются обычно

                      Людям настолько деньги не нужны?! эххх…


                      1. DMGarikk
                        04.10.2018 18:55

                        типа пришел в банк и скзал «я был на азс, заправился и не заплатил за бензин, а с меня бабло списали, вот чек без бензина, верните бабло»? :) слабоумие и отвага конечно


                        1. o4karek
                          04.10.2018 19:01

                          ну к слову сказать что такая операция легко опротестовывается, но в случае с АЗС недовольные не обращаются обычно

                          Где здесь есть про то, что вы написали?
                          В данном случае все равно, кто пострадавший: заправка или покупатель.


                          1. DMGarikk
                            04.10.2018 19:05

                            Банку то всеравно он бабло вернет, но этим действием «пострадавший» однозначно распишется в умышленном деянии, а не просто «забыл бензин оплатить»


                            1. o4karek
                              04.10.2018 19:09

                              Вы явно о чем-то другом думаете :)
                              Я вполне осознанно не ставлю кавычек вокруг слова пострадавший, ибо он тут есть: например кассир, которого нагрели на 60 литров (или заправка).


            1. stanislavkulikov
              04.10.2018 16:55

              Подождите, но там же везде камеры. Можно же тут же подать заявление в полицию на него.


              1. DMGarikk
                04.10.2018 16:58

                можно, но проще же сразу… и не надо отчитываться за недостачу (и лишатся премии, а то и платить из собственного кармана)


    1. SilverHorse
      06.10.2018 15:18

      В этой стране может действовать, и действует еще одно правило — деньги вернутся вам спустя месяц, если вы хорошо побегаете по отделениям своего эмитента, тряся чеком с надписью «Отказ», написав три заявления, и при условии, что вам повезет и банк смилостивится, а не скажет «проблемы не у нас, эквайер все подтвердил, идите к ним и с ними и разбирайтесь», как это бывает при ошибочных списаниях при снятии денег в сторонних банкоматах.

      Я работал в торговой сети и знаю, насколько часто банковские терминалы сбоят из-за:
      — внутренних глюков GSM-модуля (привет одному банку, техподдержка которого ОЧЕНЬ любила вместо детальных разбирательств отмазываться «идите проверяйте баланс на своей симке». К слову, это были те же Ingenico 220 модели),
      — глюков в системах, к которым они подключены (привет другому банку и одновременно известной желтой компании, софт которых друг с другом уживается в абсолютных «гармонии» и «взаимопонимании», отчего приходилось ломать голову, как быть, когда оплата прошла, а операция по онлайн-кассе — нет, ибо драйвер решил «пошутить»)
      — или банального отсутствия связи (привет нашим закрытым городам, где глушилки мобильной связи понатыканы за каждым забором).

      Поэтому вообще оплачиваю что-либо отдельной картой, на которой лежит строго определенная сумма, только в крупных торговых сетях, если того требует значительная сумма операции или вынужденное отсутствие наличности, но ни в коем случае не в каком-нибудь магазинчике или ларьке на углу.


  1. Sabubu
    03.10.2018 22:24

    Непонятно, то ли это реклама Эппл, то ли антиреклама бесконтактной оплаты. Я например Эппл не покупал и не собираюсь переплачивать за яблоко на корпусе когда есть китайские смартфоны за 200 долларов.

    Если карта предоставляет номер и дату, то можно просто собирать данные карт и продавать их на черном рынке, не заморачиваясь с ООО.

    > Проблема: Несколько карт в кошельке

    Делаем/покупаем ридер, который умеет списывать со всех карт по очереди.

    > Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний.

    Если вам не удалось, это не значит, что это невозможно.

    > Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.

    Не вижу проблемы немного доработать терминал.

    > В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро

    В метро есть WiFI, также моб. связь ловится на станциях, также на некоторых ветках поезда едут над землей.

    > За это время банк-эмитент направляет запрос банку-эквайеру, и если банк-эквайер подтверждает факт совершения сомнительных операций, то блокируется терминал и средства на расчетном счете владельца терминала.

    Вряд ли. Иначе можно было бы легко заблокировать все терминалы конкурента.

    > Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв.

    Пара вагонов метро.

    В общем, ничего не меняется: у банков, как и раньше, все на доверии, а не на математике и криптографии.


    1. ElegantBoomerang
      04.10.2018 01:09

      Да, статья не говорит о Google Pay, но ведь там что-то всё аналогичное. Так что китайские телефоны всё ещё в студии.


    1. zhovner Автор
      04.10.2018 02:00
      +2

      Непонятно, то ли это реклама Эппл, то ли антиреклама бесконтактной оплаты. Я например Эппл не покупал и не собираюсь переплачивать за яблоко на корпусе когда есть китайские смартфоны за 200 долларов.


      Основное отличие apple от android в том, что в пером случае, все заявленные функции работают. Android же настолько разнороден, что предсказать как будет сломана та или иная функция в конкретном телефоне невозможно.

      Если карта предоставляет номер и дату, то можно просто собирать данные карт и продавать их на черном рынке, не заморачиваясь с ООО.


      Верно, но цена таких дампов примерно 2-3$. Так что раздавать листовки на улице, возможно, будет даже выгоднее.


  1. Revertis
    03.10.2018 22:28

    Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.
    Я тоже так думал, пока друг не посоветовал проверить.
    Я проверил несколько раз. Один раз из двух терминал удачно списывает деньги. И это при наличии в стопке трёх карт, две от одного европейского банка, третья от другого.


    1. zhovner Автор
      04.10.2018 01:14

      Вы правы, некоторые терминалы, например сбербанковские Verifone выбирают случайную карту из пачки и списывают с нее. Это работает достаточно хорошо в обычных условиях на кассе, но намного менее стабильно в полевых, при попытке считать карту через одежду или из сумки. В случае наличия нескольких карт, процесс считывания становится намного менее стабильным и предсказуемым. Я экспериментировал с USB ридером и телефоном в качестве считывателя.


  1. sets
    03.10.2018 22:47
    +1

    История про ограничение в 1000 рублей очень странная и выглядит скопированной из каких-то доисторических статей на тему.
    Сейчас у Тинькова можно самому ставить ограничение в личном кабинете, но раньше, когда такой функции не было, а ограничение по-умолчанию менялось только по телефону, то лимит был совсем не тысяча рублей.
    Сервис в банках бывает разный, но уж терминала, который бы автоматически запросил пин, обнаружив превышение лимита в 1000 рублей, за много лет не встречал ни разу.

    Когда на хабре эта тема обсуждалась в предыдущий раз пришел к выводу, что никаких технических проблем для воровства нет, если только организационные. Неоткуда взяться левым терминалам. Теперь, похоже, есть откуда. Ну значит придется перейти на оплату телефоном.


    1. zhovner Автор
      04.10.2018 01:54
      +1

      Сейчас у Тинькова можно самому ставить ограничение в личном кабинете,

      Покажите пожалуйста как это выглядит.


      1. NiPh
        04.10.2018 09:08

        image
        Наличие такой настройки (возможно, вкупе с какими-то другими, сходу в ЛК не нашёл) позволяет покупать на суммы до 10к точно без пинкода, бесконтактно. Иногда позволяет больше, иногда начинает требовать пин-код.


        1. zhovner Автор
          04.10.2018 16:20

          Вот что ответил Тинькофф:

          При оплате покупки на сумму СВЫШЕ 1 000 рублей:
          Операция осуществляется с авторизацией, ТРЕБУЕТСЯ подписание чека или введение ПИН-кода.
          Ограничение является настройкой ТСП. Сумма 1000 рублей является рекомендацией МПС. По факту ТСП может выставить лимит больше рекомендуемого.


          То есть это настройка Cardholder verification methods (CVMs) на самой карте, и в случаях когда в терминале установлен лимит на запрос CVM в тысячу рублей, от вас требуется авторизация в виде росписи.


          1. zhovner Автор
            04.10.2018 17:25

            Вообще будет интересно послушать ответ от сотрудников Тинькофф, которые есть на хабре: kolxo3nick NikolaiKobzev sergey_belyakov RISENT xotta6bl4

            1. Может ли сама карта устанавливать лимит на бесконтактную операцию без подтверждения? Под подтверждением имеется в виду любой CVM, подпись или ПИН-код.
            2. Что будет, если в качестве CVM установлена подпись, но клиент не расписывался на чеке?


            1. tinkoff_bank
              04.10.2018 17:57

              Здравствуйте!

              1. Мы можем установить приоритет авторизации по подписи или по ПИН-коду. Лимит на авторизацию без дополнительного подтверждения стандартно составляет 1 000 руб. После 1 000 руб. терминал требует ввода ПИН-кода или подпись на чеке. В любом случае, банк-эквайер может применить свои настройки терминала и тогда терминал будет запрашивать подпись, вне зависимости от суммы и установленного лимита.
              2. Если на чеке не будет подписи клиента, то оспорить эту операцию будет проще.

              Кстати, мы делали выпуск по этой теме — www.youtube.com/watch?v=nzs6D2Wyfq0&t=31s


              1. zhovner Автор
                04.10.2018 18:03

                А вы точно настоящий тинькоф-банк? Ваш комментарий мне пришлось апрувить, так как вы только что зарегистрировали. Здесь есть официальный блог Тинькофф и список сотрудников зарегистрированных на хабре habr.com/company/tinkoff

                В любом случае, банк-эквайер может применить свои настройки терминала и тогда терминал будет запрашивать подпись, вне зависимости от суммы и установленного лимита.

                Выше несколько ваших клиентов утверждаю, что оплачивают покупки на десятки тысяч рублей без подтверждения вообще. Нет причин им не верить. Верно ли, что экваер может сам управлять этим лимитом?

                Кстати, мы делали выпуск по этой теме — www.youtube.com/watch?v=nzs6D2Wyfq0&t=31s


                В вашем видео на 2:02 говорится, что данных считанных с бесконтактной карты недостаточно для оплаты в интернете. Это не так.


                1. sets
                  04.10.2018 18:54

                  На всякий случай уточню — под «без подтверждения» имелось ввиду «без пина». Подпись изредка просят, гораздо реже, чем расплачиваюсь на сумму >1k, но бывает.


                1. KorDen32
                  04.10.2018 23:22

                  Выше несколько ваших клиентов утверждаю, что оплачивают покупки на десятки тысяч рублей без подтверждения вообще

                  Спросить бы у этих клиентов, что написано на чеке.

                  Из личных наблюдений в провинциях:
                  1) До массового появления бесконтактной оплаты, ориентировочно ознаменованной приходом Apple Pay, как сама бесконтактная оплата, так и нестандартные методы подтверждения («до 1000 рублей») вызывали у кассиров разрыв шаблона. Некоторые упорно пытались затребовать подпись где не требовалось, потенциально из-за этого банки начали вместо пропуска поля «подпись клиента» печатать «подпись клиента не требуется». И всё равно находились индивидумы…
                  А уж сам факт бесконтактной оплаты в 2015 году на внезапно поддерживающем терминале, когда о ней никто в провинции не знал, мог спровоцировать что угодно вплоть до разборок с охраной. Джедайский жест «вам не нужна моя карта» бесценен, для остального есть мастеркард :D

                  2) Ну а сейчас рвущими шаблон действиями являются:
                  — собственно требование подписи клиента на чеке. Часть кассиров уже привыкли к различной экзотике, и не смотрят на чек, отдавая всё на откуп терминалу. Написало на кассе что оплата успешна — а больше и не требуется. Проведи оплату просто посмотрев на терминал джедайским взглядом — никто и бровью не поведет. На вопросительное «но там же нужна моя подпись» отмахиваются.

                  — оплата полосой (для некоторых карт без чипа, действующих, внезапно, 5 лет). Обычно объединяется с предыдущим и добавляет лулзов, ведь всем вроде известно что по полосе операция не проводится при наличии чипа, а где вы сейчас видели карту без чипа? Ну вот она, да. Ой.


                  1. semmaxim
                    05.10.2018 11:39

                    Написано обычно «требуется подпись». Но кассиры в супермаркетах, к которым стоят полдюжины человек, обычно забивают на это и никакой подписи не требуют. Хотя пару раз просили расписаться, когда я был последний в очереди и клиентов в супермаркете было немного.



                1. grumbler66rus
                  06.10.2018 15:56

                  Я буквально вчера оплатил карточкой ТКС, у котороу указано подтверждение подписью, покупку на сумму больше 3 тыс. руб. и не ставил свою подпись.
                  Обобщая: по моим наблюдениям, мало продавцов читают надписи на экране POS-терминала. Те, кто требуют мою подпись на чеке, получают от меня ободряющий комментарий :), и это бывает редко.


      1. sets
        04.10.2018 09:10

        Сейчас это просто формы на сайте, как и смена пина
        www.dropbox.com/s/4tw0a0k4pivg65h/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202018-10-04%2009.08.50.png?dl=0
        В давние времена это можно было сделать по телефону.


      1. RaphZak
        04.10.2018 09:17

        Тоже интересно как это сделать. Поискал, что на сайте в ЛК, что в приложении — не нашел как увеличить сумму бесконтактного списания.
        А так лимит в 1000 рублей без пин кода, неоднократно замечал.


        1. sets
          04.10.2018 11:58

          Скриншоты из двух комментариев перед вами не помогли? У вас кредитная карта или дебетовая?


          1. RaphZak
            04.10.2018 16:54

            Не пробовал еще так сделать. Да и не намечается в ближайшее время покупок больше чем на 1000


      1. altone
        04.10.2018 15:35

        Карта Тинькова с «умолчальными» настройками позволяет списывать достаточно большие суммы без пин-кода, как минимум 40+ тысяч суммы проходят без запроса. Поэтому речь даже не о настройке в кабинете, а о неверности утверждения — «В России это ограничение равно 1000?».


        1. grumbler66rus
          06.10.2018 15:58

          У тинькова в последние пару лет карта не активируется, если не создать для неё пинкод.


    1. alexhustle
      04.10.2018 15:55

      если выставить подтверждение по пинкоду, то именно так все и происходит с дебитовой безконтактной картой Тинькова — покупка в макдаке на 500р проходит прикладыванием карты, при покупке в продуктовом на сумму больше 1000р терминал требует пин


      1. DarkByte
        04.10.2018 23:19

        Это лимиты конкретного продуктового магазина (их терминала/процессинга). Оплачивал картой ТКС куда большие суммы, чем 1000руб, и проходило без пинкода.


    1. alaskanebraska
      04.10.2018 18:50

      Буквально на прошлой неделе оплачивала картой Сбера счет в ресторане на сумму чуть больше тысячи. Терминал запросил пин ? \ _ (?) _ / ?


      1. Alexeyslav
        05.10.2018 09:27

        Чай чтоли заказывали?


        1. Arty_Fact
          05.10.2018 09:37

          Может она в Саратове в ресторане была, какая вам разница?


          1. ad1Dima
            05.10.2018 10:59

            Что сразу в Саратове? Вон НСК — третий город в стране. Много где можно ужин на двоих уложить в «чуть больше тыщи»


            1. Arty_Fact
              05.10.2018 11:47

              Да и в Питере и в Москве я могу в ресторане на чуть больше тысячи покушать, тем более про двоих ничего не было сказано. Я просто не понял претензии alexeyslav


              1. ad1Dima
                05.10.2018 11:51

                ну вероятно в заведениях, которые посещает он, за 1000р подают только чай (из талой воды Альпийского высокогорья, растопленный теплом тел девственниц, собиравших чайные листья голыми в полнолуние...)


        1. vlivyur
          05.10.2018 17:40

          Жена как-то позавтракать зашла в кафешку — чайник чая и пирожное. Итого чуть меньше тыщи, а чай оказался 680 рублей. Так что чай чаю рознь, как и «Ресторан» на своих заведениях пишут все подряд, тот же Бургер Кинг и Макдоналдс.


  1. kalininmr
    03.10.2018 23:24

    В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.


    связь в метро хорошо так продвинулась. на кольцевой уже всё есть.
    ну а около почти всез станций и уже очень давно


  1. Drebin893
    04.10.2018 00:07
    +1

    Спасибо за скриншот с информацией о покупке готовых ООО. Сильно рад, что вы осветили эту часть темы, для меня она отчасти наболевшая. Видел такие объявления постоянно, когда изучал материалы, вошедшие в мою статью о персональных данных. Но сейчас речь не о ПД.

    Торговля ООО и даже ИП действительно имеет место быть в огромных масштабах. Обычно эти карманные организации оформлены на «номиналов», то есть бомжей, алкоголиков, наркоманов. Активную агитацию стать «номиналом» преступники проводят в мутных российских пансионатах «лечения от наркозависимости», ведь там люди абсолютно манипулируемы и управляемы, так что соглашаются и не на такие махинации.

    Есть и исключения. Очень редко, но все же мне попадались объявления, где предлагали зарегистрировать организацию на предоставленный скан паспорта без личного присутствия человека (это и правда редкость, отдельные предложения по регионам).

    Используются такие ООО и ИП для «обнала» и противозаконных действий: классические фирмы-однодневки. Однако иной раз они могут использоваться и для вполне легальной деятельности с той лишь разницей, что реальный владелец бизнеса (не исключено, что набивший шишек в прошлом) сильно не хочет привлекать внимание и идти на риски, связанные с владением компанией. Условия бизнеса в России породили традицию открывать отдельное юрлицо «под каждый чих», иной раз даже с оформлением на noname-личностей.


    1. Rohan66
      04.10.2018 10:31

      Я видел продажу ООО с лицензией на гос.тайну! Цена начиналась от 1 млн. (это ещё году в 10-м). Приносишь свои документы и контору в тот же день перерегистрируют на тебя. Правда, не знаю, насколько это работает и не кидалово ли.


      1. sets
        04.10.2018 11:55

        Лихо. Хотя с немалой долей вероятности продает товарищ майор.


        1. Rohan66
          04.10.2018 12:37

          А кто его знает… Просто сейчас оооооочень большие проблемы с получением лицензии на го.тайну «с нуля». Может и помогают (есть и такие предложения).


  1. visput
    04.10.2018 00:13
    +1

    Шикарная статья, спасибо за разбор протокола.
    Небольшое замечание: CNP все-таки Card Not Present, а не Client Not Present.


    1. zhovner Автор
      04.10.2018 01:53

      Да, ошибся.


  1. korotovsky
    04.10.2018 02:32

    Вопрос автору: правильно ли я понимаю, что если использовать данные вашей карты от эпл пэй из статьи для регистрации на booking .com то тогда данные карты будут квалифицироваться как CP? Ведь они там данные карты по факсу пересылают в отель и отель снимает с вас деньги. Ну по крайней мере по моей последней информации.


    1. zhovner Автор
      04.10.2018 02:35

      Нет, это будет CNP операция, так как транзакция не будет подписана ключом карты. Можете попробовать, кстати.


      1. korotovsky
        04.10.2018 02:38

        Как же она будет подписана ключём карты если я просто вбиваю все данные на сайте, PAN и прочее и эти данные букинг просто передает и их дальше девочка вводит на терминале. Или вы имеете ввиду как раз в этот момент оно должно было бы быть подписано картой? (И нет, спасибо, пускай другой кто-нибудь попробует :) )


        1. zhovner Автор
          04.10.2018 02:44
          +1

          CNP (карта не предоставлена) — оплата по реквизитам карты, просто по номеру, то есть удаленно.

          CP (карта предоставлена) — транзакция подписана криптографической подписью с помощью микропроцессора внутри карты, ну или не подписана и просто считаны данные с магнитной ленты.

          Так что в вашем примере это будет CNP операция, так как оплата будет происходит удаленно по реквизитам карты.


          1. korotovsky
            04.10.2018 02:47

            Ага, ясно. Ваши денежки точно в безопасности тогда (наверное)


  1. Sap_ru
    04.10.2018 03:34
    +1

    Кстати, самая надёжная защита в данном случае — специальная карта в кошельке, которая будет «откликаться» на все возможные идентификаторы стандарта 14443-4.
    Во-первых, это не позволит просканировать наличие карт, а во-вторых, при правильной реализации, такая карта будет искажать сигнал реальной карты, если злоумышленник каким-то образом всё же сумеет определить наличие и идентификатор настоящей банковской карты. Чувствительность же глушилки можно сделать несколько выше чем у обычных карт (это возможно даже при работе от без источника питания), чтобы гарантировать её срабатывание с обычными картами. А так как карта-глушилка находится в кошельке вместе с платёжными картами, то никаким образом ничего удалённо не прочитаешь, пока не разнесёшь глушилку и карту в пространстве (вытащим карту или открыв кошелёк).
    В принципе для этого специальный чип нужен (либо очень кастомная прошивка по стандартые программируемые чипы), но можно и на гибкой печатной плате сварганить.
    Более того, там физический принцип чтения такой, что можно подобрать примитивный безмозглый резонатор на гибкой печатный плате (буквально с десяток копеечных деталей с общей себестоимостью в $2), который не вообще не позволит установить связь с картами стандартным способом если они находятся в общем с ним поле. Теоретически, конечно, можно будет сделать ридер, которому такое примитивное противодействие не страшно, но это сильно удорожает атаку и принципиально снижает вероятность успешного чтения в реальных условиях — для успешного чтения злоумышленнику нужны будут такие условия, что проще уже кошелёк украсть.
    Пора пилить стартап?


    1. zhovner Автор
      04.10.2018 03:38
      +1

      Такая карта уже есть, я упоминал ее в комментариях выше: lab401.com/collections/tags/products/rfid-blocker-nfc-jammer


      1. Sap_ru
        04.10.2018 03:52
        +1

        20 евро (30 без скидки)?!!! Они опухли. Если сделать тупо резонатор (а там, похоже, именно оно, т.к. глушит всё без разботра), то ему красная цена $5..$10 даже если автор сильно разбогатеть хочет.


        1. zhovner Автор
          04.10.2018 04:07

          Но там еще есть СВЕТОДИОД который светится попадая в поле 13Мгц.


          1. Sap_ru
            04.10.2018 04:41

            Я заметил, и это настораживает. Лучше бы они эту энергию на глушение использовали. Откуда у них энергии на целый светодиод? Ощущение, что можно сделать «правильные» пиратские ридер (или они уже существуют), которые смогут за счёт подбора мощности поля обходит из глушилку.


            1. balexa
              04.10.2018 10:00

              Откуда у них энергии на целый светодиод?

              а почему бы и нет? Микропроцессору на обычной карте этой энергии вполне хватает, думаю светодиоду нужно гораздо меньше.


              1. Sap_ru
                04.10.2018 12:35

                Микропроцессор потребляет не более 300 мкА. Это для него максимум. Для светодиода это минимум, чтобы еле светился.


        1. achekalin
          04.10.2018 11:41

          20 евро (30 без скидки)?!!! Они опухли.

          А если сделать конвертик из фольги, а фольгу взять от скушанной до того конфеты, то цена вопроса будет равна цене конфеты минус удовольствие от её съедания. В общем, не все так плохо, можно срезать уголок-другой, если действительно хочешь заплатить не за разработку, а только себестоимость материалов.


          1. Sap_ru
            04.10.2018 12:36

            Конвертики от из фольги не удобны использовании. Каждый раз доставать и заворачивать карту?! А если карт несколько. А всякие пластинки и листы фольги, вложенные в кошелёк, не обеспечивают 100% защиты.


          1. befart
            04.10.2018 15:08
            +3

            Карту приклеивать скотчем ко дну кастрюльки, кастрюльку на голову. Устройство 5 в 1, защищает карту, защищает от дождя и ветра, защищает мозг от пришельцев и правительства, защищает от дубинки омоновца, работает как униформа революционеров. Пора пилить кастрюльковый стартап. Запускаем краундфандинг на покупку модных итальянских дизайнеров для раскраски кастрюлек.
            Шутка)


            1. Arty_Fact
              04.10.2018 15:59
              +1

              Замените кастрюльку на хороший дуршлаг и можете даже на паспорт фотографироваться.


  1. raliev
    04.10.2018 05:01

    Спасибо, очень интересно
    А я правильно понимаю, что у вас номер карты 4800 9972 5051 1756 exp date 12/23? Так, для лучшего понимания предмета статьи интересуюсь


    1. foal
      04.10.2018 09:53

      Деньги хотите перевести на неё? :) А статью читали?

      «Будь это номер физической карты, деньги действительно можно было бы украсть»


  1. gjf
    04.10.2018 08:59

    Ради таких статей хочется читать Хабр.
    Браво!


  1. McDermott
    04.10.2018 09:58

    Кстати, во многих статьях по данной теме на русском языке говорится, что можно вручную установить собственный лимит на бесконтактные операции без ПИН-кода. Мне не удалось найти такой опции в основных российских банках. Может, вы знаете о такой возможности? Речь именно о бесконтактных платежах, а не любых chip&pin-транзакциях.

    Около года назад, получив карту NFC Сбербанка, я попытался установить лимит на бесконтактные операции равным 0. В контакт-центре сообщили, что лимит можно установить самому, но не менее 1000.


  1. YouHim
    04.10.2018 11:07

    В некоторых магазинах терминалы просят приложить карту повторно. Никто не знает, зачем? Поначалу было страшновато прикладывать еще раз после того как увидел галочку успешной оплаты.


    1. ad1Dima
      04.10.2018 12:34

      никогда такого не видел…


      1. YouHim
        04.10.2018 12:37

        Такое было после старта GooglePay и у отдельных магазинов. Например, в магазинах Watsons. Да сейчас уже и не встречается. Просто интересно стало что это было…


    1. sets
      04.10.2018 12:43

      Встретил такое однажды в столовой, кассиром трактовалось как не вполне исправный терминал. Продолжалось где-то месяц, потом прошло.


  1. stanislavkulikov
    04.10.2018 11:39

    Спасибо за статью. Покупки через терминал, особенно с помощью Apple Pay действительно вполне безопасные. Но что вы скажете про снифферы на банкоматах и интернет платежи? Особенно самую болезненную тему про Booking.com, когда они просто в открытом виде передают все реквизиты карты.


  1. Master255
    04.10.2018 12:10

    на практике она оказывается невыгодна и крайне тяжело осуществима. Шанс получить хоть какую-либо прибыль настолько мал, что лишает смысла всю затею.

    Всё это хорошо до тех пор пока хотя бы одно условие не поменялось. Например: у злоумышленника стечением обстоятельств уже есть склад терминалов. Т.е. ему не надо покупать терминал. И есть армия людей, готовых ходить по вагонам и списывать деньги.
    Если есть хоть одна возможность украсть таким способом деньги, то все этого будут бояться.
    По моему статья только подтверждает наличие уязвимости и лишний раз напоминает всем, где раздобыть деньги :-)


    1. ad1Dima
      04.10.2018 12:36
      +2

      Важна не сама тушка терминала, а наличие привязки этого терминала к банку, оформленное на подставное лицо. Мошенник вряд ли захочет светить свои личные данные.


    1. kudryavy
      04.10.2018 12:54
      +1

      Там главное не наличие терминала, а наличие договора с банком-эквайером и два-три дня задержки от момента покупки до момента зачисления денег на счет юрлица.
      Чем больше покупок, тем больше вероятность, что кто-то оспорит транзакцию и все деньги протухнут на заблокированном счете.
      Так что Ваша армия людей с парком терминалов ничего не меняет.
      При этом вы забыли, что нужно ЗНАТЬ, где находится бесконтактная карта, и после любой ошибки считывания перед КАЖДОЙ оплатой вручную вводить сумму покупки.
      А потом вся эта армия людей по камерам в метро относительно легко отслеживается.


    1. arthur_veber
      04.10.2018 13:26

      и ещё в статье эти 100т. руб. рассматриваются как выброшенные деньги. но ведь это не так: эту компанию с терминалом можно потом продать. То есть это не себестоимость.
      поэтому то что удалось намайнить это идёт только плюсом.


      1. Jestertim
        04.10.2018 13:31
        +2

        И что, кто-то захочет покупать компанию, с заблокированным счетом и уличенную в сомнительных операция?


  1. Akdmeh
    04.10.2018 12:45

    Может кто-то подскажет — какая выгода Apple Pay и Google Pay в этой технологии, если они не берут комиссию. Все та же — сбор рекламных данных?


    1. lavmax
      04.10.2018 12:53
      +1

      Они берут комиссию (как и другие платежные системы типа Visa), просто не с покупателей.


      1. YouHim
        04.10.2018 13:19

        В конечном счете все-таки с покупателей. Хоть и не напрямую.


        1. lavmax
          04.10.2018 14:37

          В конечном счете все покупатели это вообще единственный источник дохода для кого бы то ни было.


    1. sindrom
      04.10.2018 12:56

      Бесценная информация о твоем покупательском профиле. Если онлайн гуглом уже покрыт, то Google Pay — это возможность узнать куда ты ходишь и что покупаешь в оффлайне.


    1. Arty_Fact
      04.10.2018 12:58

      Как минимум — конкурентное преимущество. Вы же не спрашиваете какая выгода Apple и Samsung от установки процессора в телефон?


  1. lavmax
    04.10.2018 12:49
    +1

    В Польше набирает популярность сервис оплаты БЛИК. Все оплаты производятся через одноразовые 6-тицифровые токены которые генерятся на мобильнике и на нем же подтверждается транзакция (пальцем или паролем). Можно использовать в магазинах, банкоматах и покупках в интернете. Никаких сведений о карте, владельце или чем-либо еще никуда не передается — только токен.

    Я лично в магазинах по прежнему использую бесконтактную карту. А вот в банкоматы и интернеты вообще перестал давать карту если принимают Блик.


    1. krokodily
      04.10.2018 15:35

      Классная штука. Еще можно привязать телефон к БЛИКу и переводить деньги физлицам. Приходит сразу в отличии от традиционного перевода


    1. JC_IIB
      04.10.2018 16:14

      Похоже на нидерландский iDeal. Тоже такая удобная штука для оплаты местных сервисов. Практически все онлайн-магазины (а иногда и зарубежники, типа Blizzard) принимают этим айдилом оплату. Выглядит так — тыкаешь в кнопку «оплатить айдилом», открывается окно. Выбираешь там свой банк, вводишь номер карты (только номер, больше ничего). И ниже в этом окне написано 8 цифр. Берешь специальный хардварный аутентификатор (выдают в банке вместе с картой, выглядит как небольшой калькулятор), вставляешь в него карту — на экранчике появляется меню. Выбираешь опцию «оплатить», вбиваешь пин, ввод, а потом вот эти 8 цифр из окна в браузере. Получаешь другие цифры, вводишь их в бразузер. Ентер. Все, оплата завершена.

      Поверх этого iDeal работает удобнейший сервис Tikkie — там можно создать короткую ссылку, в которую «зашита» сумма, и послать ее кому-нибудь, кто должен вам эту сумму денег. Пройдя по ссылке, этот кто-то совершит оплату (разумеется, с соблюдением всех плясок с бубном), деньги мгновенно упадут вам на счет.

      p.s. Нет в Нидерландах ApplePay :(


      1. stork_teadfort
        05.10.2018 18:26

        Это я так плохо распознаю сарказм, или вы действительно считаете описанное удобным?
        То есть махнуть за секунду телефоном, на ходу приложив палец к сканеру, при равном (как следует из статьи) уровне безопасности — это менее удобно?


        1. JC_IIB
          06.10.2018 16:24

          Я-то говорил об оплате онлайн. Понятное дело, что махнуть телефоном удобнее, но iDeal-ом платят на сайтах. И вот это удобно, да.


  1. arthur_veber
    04.10.2018 13:29

    комментарии и их авторы прям находка для ФСБ
    статья-приманка


    1. tvr
      04.10.2018 13:34

      Поздравляю, вас тоже посчитали!


  1. asmrnv777
    04.10.2018 14:47

    Справедливости ради нужно заметить, что в некоторых случаях мне удавалось обойти ограничение и выполнить бесконтактную оплату на сумму больше 1000? без ввода ПИН-кода.

    Хм, последний год в 99% случаев плачу только через Apple Pay, несколько раз в неделю транзакции сильно выше 1000 рублей, а пинкод вводил только пару раз за всё это время.


    1. kudryavy
      05.10.2018 00:08

      В статье идет речь про бесконтактную оплату физической картой.
      При оплате телефоном считается, что для оплаты вы авторизовались пальчиком в приложении оплаты, что равноценно вводу пин-кода при оплате физической картой


      1. asmrnv777
        05.10.2018 00:10

        Спасибо, не знал.


  1. amarao
    04.10.2018 15:19

    А как же сценарий недобросовестного сотрудника?

    Я пришёл купить что-то в магазине. Ввёл пин (я в это время вижу сумму на терминале), после чего продавец забрал назад терминал и пикнул по ней меньшую сумму чтобы покрыть украденное из магазина.

    Доказывать потом, что первая транзация по делу, а воторая нет — задолбаешься. Особенно, если продавец потом ещё и чек пробъёт.

    Чек есть? Есть. Ходили ли вы этот магазин? Ходили. Покупали на 100500? Да. А на 990? Нет? Как нет, когда у нас есть и запись в кассе, и инвентаризация как раз на 990 сходится?

    Инвестиции злоумышленника:
    * Устроиться продавцом
    * Наворовать у клиентов (товара)
    * Уволиться

    В этой схеме инвестиций копейки, а профит прямо прёт.


    1. stanislavkulikov
      04.10.2018 15:28

      Владельцы этого магазина будут на вашей стороне. А сотрудника даже искать не нужно, всё пишется. Поэтому такая схема проработает максимум день.


      1. amarao
        04.10.2018 15:49
        +1

        На самом деле больше, потому что «30 дней» и всё такое. Я делал chargeback за ошибочно списанные деньги по CNP. Деньги вернули, но через примерно пол-года, и мне пришлось писать заявление от руки, и вести долгую унылую переписку с банком. С одним.

        С другим банком, когда у меня была двойная транзация в ресторане (как раз такая схема, только без всяких fancy wireless, просто по свайпу карты без пина и подписи) мне сказали «chargeback стоит 30 баксов вне зависимости от результатов, а у вас там 16 баксов списано» (поразумевая — «утритесь и не выступайте»).

        Так что все эти схемы, в которых кто-то что-то может списать без явного «да» со стороны клиента — всё это работает удобно для всех, кроме клиента.

        Ну почему нельзя иметь устройство, на котором я (авторизованный я) говорю «да» или «нет» для операции, видя сумму операции на trusted device?


        1. stanislavkulikov
          04.10.2018 16:01

          Судя по всему, это было с европейскими банками? В России с этим всё намного лучше (ну или мне везло). У меня было 3 случая: один раз отменял покупку тут же на кассе, один раз у меня украли аккаунт в ЛитРес к которому была привязана карта (чисто Питерское преступление, на ворованную кредитку накупили книг), и один раз неправильно ввёл номер счёта (хотя уже не очень к теме относится). И во всех случаях деньги возвращали в течение пары дней.


          1. sh1kel
            04.10.2018 16:43

            Ага, мне как то курьер привез пицу и дал терминал. Я ввел пин, а это оказалось поле для суммы. Заплатил за пиццу тыщ 5. Откатили сразу правда, прямо на терминале.


            1. Arty_Fact
              04.10.2018 16:52

              Карточку-то потом перевыпустили, я надеюсь?
              И вас не смутило, что вам пришлось два раза пин вводить?


              1. sh1kel
                04.10.2018 16:57

                Мне не пришлось вообще вводить пин. Курьер не умел с терминалом обращаться, вставил карту и дал мне. Я и ввел пин, как обычно в таких ситуациях, а оказывается сам курьер должен был ввести сумму покупки. И списали с меня 4-х значную сумму, без ввода пина. Потом он уже позвонил в панике в пицекомпанию и ему объяснили как откатить покупку.


                1. Arty_Fact
                  04.10.2018 17:52

                  Я бы на вашем месте обратился в банк, как это без подтверждения у вас на 5 с лишним тысяч платеж проходит.


                  1. sh1kel
                    04.10.2018 18:00

                    Альфабанк при оплате кредиткой пин не требует практически никогда. С дебетовыми — стандартные 1000 лимита. Наверное, это неспроста)


                    1. ad1Dima
                      04.10.2018 20:59

                      У меня альфа требует пин при оплате кредиткой через paypass больше 1000. при оплате чипом — вообще каждый раз…


        1. o4karek
          04.10.2018 16:14

          Ну почему нельзя иметь устройство, на котором я (авторизованный я) говорю «да» или «нет» для операции, видя сумму операции на trusted device?

          Можно пообсуждать, какое количество народу захочет таким образом возвращать деньги за купленные вещи, не возвращая сами вещи.

          Помнится в одном магазине около дома был весьма странный POS, который иногда совершал два идентичных списания подряд. Банк возвращал без звука, требовали только заявление и копию чека. Возвращали примерно по 2 недели каждый раз.


          1. amarao
            04.10.2018 16:31

            Отгружать после оплаты, делов-то. paypal прекрасно справляется.


            1. o4karek
              04.10.2018 16:33

              А потом я подхожу к этому trusted device и говорю — «нет», я не платил.
              Вы ведь про оспаривание сделанной транзакции?


              1. amarao
                04.10.2018 16:35

                Нет, я про оплату.

                Когда нужно оплатить, мне продавец предъявляет что-то для оплаты, я на своём устройстве вижу сумму и получателя, и нажимаю «да».

                Потому что сейчас вся эта штука строится на доверии, и если оно нарушено в какой-то момент, то крайний — клиент.


                1. Arty_Fact
                  04.10.2018 16:56

                  Почему вы вообще кому-то передаете свою карту, тем более если она поддерживает бесконтактную оплату?


                  1. amarao
                    04.10.2018 16:57

                    Потому что первая транзакция на 100500 и всё равно потребует пин. Почему передаю? Потому что таковы обычаи делового оборота в магазине — карта передаётся продавцу.


                    1. JC_IIB
                      04.10.2018 17:03

                      таковы обычаи делового оборота в магазине — карта передаётся продавцу


                      А при оплате налом ему передается кошелек, ага. Никогда ни в одном магазине не давал своей карты в руки. Там, где я сейчас — в принципе за картой руку не тянут, сразу протягивают тебе терминал, чтобы ты сам вставил и забрал.


                      1. amarao
                        04.10.2018 17:26

                        А там где я, номер карточки диктуют по телефону, чтобы 300 евро за страховку чарджнуть.


                        1. JC_IIB
                          04.10.2018 17:31

                          Дичь какая-то, если честно. А другие способы есть?


                          1. amarao
                            04.10.2018 17:47

                            Скататься лично в Пафос из Лимассола (~50км). На самом деле не дичь. Тот же Аэрофлот, при случае, может принять вашу карточку по номеру телефона. Все терминалы позволяют это сделать, достаточно вбить номер карты, дату, CVV.


                            1. JC_IIB
                              04.10.2018 17:56

                              Все-таки дичь, потому, что либо по телефону, либо ногами. В онлайне они платежи принимать не научились, видимо.


                              1. DMGarikk
                                04.10.2018 18:29

                                Это кажется дичью потому что РФ карточная сфера гораздо более развита (из-за молодости) чем в остальном мире
                                буквально 5-10 лет назад были правила что карту нужно было давать в руки продавцу и он должен был проверить её подлинность (этому до сих пор учат, и экзаменуют… как отличить подделку и куда бежать если появится код изъятия)
                                из-за реактивного внедрения пейпаса и выноса терминала из рук кассиров это уже устарело… ни в одной крупной стране так быстро карточная отрасль не развивалась… в США до сих пор полосы катают, а у нас уже EMV устарел


                                1. JC_IIB
                                  04.10.2018 19:41

                                  Нет, это не кажется дичью, а это и есть дичь — страховая компания, не умеющая в 2018 году принимать платежи онлайн.


                                  1. DMGarikk
                                    05.10.2018 16:30

                                    Это не дичь, это особенности разных стран.
                                    то что вы привыкли к чемуто современному — это еще не значит что весь мир так живет.
                                    «вы не модные, сейчас 2018 год!!» — это только у хипстеров прокатывает, а не в огромных фирмах с огромной историей и бюрократией… а тем более в странх с большой бизнес историей


                                    1. JC_IIB
                                      05.10.2018 16:57

                                      то что вы привыкли к чемуто современному — это еще не значит что весь мир так живет.


                                      Согласен абсолютно, но это никак не противоречит тому, что в 2018 году диктовать какому-то левому человеку реквизиты карты по телефону — это дичь. Кое-где и на телегах до сих пор ездят, например.

                                      а тем более в странх с большой бизнес историей


                                      На самом деле дело не в «бизнес-истории» (в Европе есть страны, где все без проблем платится онлайном), «модности» и «хипстерстве», а в том, что кто-то просто поленился подключить свой сайт к системе процессинга. Или решил поэкономить за счет безопасности клиентов.


                    1. tvr
                      04.10.2018 17:11

                      Потому что таковы обычаи делового оборота в магазине


                      Да ну. Значит это неправильный магазин и работает с нарушением правил МПС/банков эмитентов карты (по крайней мере в РФ, в нескольких банках, карты/счета в которых у меня были и есть сейчас, в договорах БО везде был пункт о запрете передачи карты третьим лицам).
                      Хорошо хоть, что он не один и вполне можно проголосовать ногами.


                      1. Arty_Fact
                        04.10.2018 17:53

                        Человек не из России.


                        1. tvr
                          04.10.2018 18:02

                          Да я в курсе, Кипр расслабленный.


    1. o4karek
      04.10.2018 16:17

      Я пришёл купить что-то в магазине. Ввёл пин (я в это время вижу сумму на терминале), после чего продавец забрал назад терминал и пикнул по ней меньшую сумму чтобы покрыть украденное из магазина.

      А можно поподробнее?
      Ведь ввод ПИНа заканчивается нажатием «зеленой кнопки», которая запускает процесс обмена с эквайером. Т.е. там уже лишнюю сумму не вставишь.
      Или я что-то не понимаю в описанной вами схеме?


      1. amarao
        04.10.2018 16:32

        Терминал печатает чек (продавцу), потом покупателю, потом продавец возвращает карту и чек клиенту. Вот в этот момент можно бесконтактно пикнуть на меньшую сумму — чеки-то напечатаются, но клиент этого уже может не видеть (задвинуть терминал в ящик и т.д.).

        А потом распечатанный чек кладётся в кассу, как нормальный, пробивается чек, а продавец себе набирает товара на пикнутую сумму.


        1. o4karek
          04.10.2018 16:37
          +1

          А что в чеке будет написано? А что скажет покупатель, которому прилетит SMS/PUSH с очередным расходом? А почему покупатель не заметит задержку возврата карты и внезапно заработавший чековый принтер?
          Ну и да, в России такой чек опротестуют очень быстро, и что сделает директор/хозяин точки с таким продавцом — в общем понятно.


          1. amarao
            04.10.2018 16:43

            SMS — вопрос открытый. Задержку не заметит, потому что пикнут быстро. Принтера не услышит, потому что его в ящик стола задвинут. Более того, есть большая задержка между пиком и авторизацией платежа, который можно затянуть нарушив связь (будет retry, для которого связь можно будет предоставить).

            Т.е. последовательность такая: взять карту, дать машинку для пина, провести транзакцию, пробить чек, пока бъётся чек, спрятать машинку в стол, пикнуть вторую транзакцию, отдать карту, чеки первой операции, улыбаться. В это время в столе печатается вторая транзакция.


            1. o4karek
              04.10.2018 16:50

              Быстро проведенная карта — не сработает (проверял на себе много раз).
              Без вставленной карты транзакцию не начать. А без начатой транзакции ПИН некуда вводить. После оформления первой транзакции все, что вы можете — транзакция, которая не требует подтверждения. НО! Бесконтактная оплата не предполагает передачи карты в руки кассира. Все операции делает клиент.
              Ну т.е. в идеальном мире такое (наверное) можно попробовать провернуть, но в реальном — сильно вряд-ли. Уж слишком «дубовым» должен быть покупатель (в плохом смысле этого слова).


              1. amarao
                04.10.2018 16:54

                Повторяю схему: контактная оплата легальной транзакции (100500) — и так и так пин вводить, так что карту втыкают сразу в девайс. После этого, пока чек печатается, бесконтактая нелегальная транзакция на меньшую сумму. Процесс печати запускается уже после того, как поднесённая карта убрана, так что машинка может в столе печатать, в это время карту и чеки (легальные) отдают покупателю.


                1. o4karek
                  04.10.2018 16:56
                  +1

                  1. Если у меня бесконтактная карта — зачем использовать контактную оплату?
                  2. Пока чек печатается, скорее всего софт кассы печально ожидает завершения процесса и не дает ничего лишнего делать.


                  1. amarao
                    04.10.2018 16:59

                    1. Потому что продавец ожидал карту. До сих пор есть куча контактных теримналов и заранее увидеть какой там часто невозможно.
                    2. Это только если есть интеграция. Опять же, есть куча магазинов, в которых сумму на терминале продавец вбивает самостоятельно.


                    1. o4karek
                      04.10.2018 17:03

                      Ок.
                      Попробуйте этот способ сами, потом расскажете результат, хорошо? ;)


                      1. amarao
                        04.10.2018 17:48

                        Вы мне предлагаете совершить уголовное преступление?

                        Спасибо, не надо.


        1. eps
          04.10.2018 16:43
          +1

          потом продавец возвращает карту

          Не давайте продавцу карту в руки. Я стараюсь платить с часов, там этот вариант просто сразу отпадает.


          И перед оплатой проверяйте сумму, написанную на экране терминала


  1. Starkom
    04.10.2018 15:35

    Подскажите, пожалуйста, в чём может быть проблема? Ношу в кошельке две бесконтактные карты PayPass и одна PayWave. Так вот, спустя какое-то небольшое время (месяц?), как в кошельке появилась вторая карта PayPass, первая PayPass карта перестала работать бесконтактно. Ну сломалась и сломалась, особо не обратил внимания. Менять было лень, так и пользовался ею, вставляя в терминал каждый раз.
    Спустя год она заэкспайрилась и банк прислал новую. И вот спустя опять примерно месяц перестал работать PayPass уже на второй карте. Она подключена к Google Pay, так что опять проблемы особой нет.

    Кто или что их ломает?


    1. zhovner Автор
      04.10.2018 15:38

      А как именно выглядит поломка? Терминал вообще не реагирует на карту или возвращает ошибку? Если первое, возможно карта треснула и переломилась антенна внутри. Во втором случае, могу предположить исчерпание Application Transaction Counter (ATC), возможно вы заплатили уже 65 тысяч раз :)


      1. Starkom
        05.10.2018 11:37

        Вообще не реагирует. Про механическую поломку я и подумал, когда сломалась первая карта. А второй случай уже насторожил.


  1. flastir
    04.10.2018 15:38

    Для полного покрытия темы не хватает попытки считать данные с карты, находящейся в NFC-непрозрачном чехле наподобие такого:
    image


  1. OlegSochi
    04.10.2018 15:38

    А как быть в случае с Apple Watch? С помощью них можно расплачиваться не вводя никаких данных(отпечаток-фейс id). Вот они на руке у меня, ко мне подходит такой чувак и совершает транзакцию на ЛЮБУЮ сумму, так?


    1. stanislavkulikov
      04.10.2018 15:44
      +4

      Т.е. к вам кто-то подходит, берёт руку, нажимает 2 раза кнопку на часах, подносит к ним терминал, а вы такой: «Да всё ОК, люди каждый день так делают»


      1. Igor_O
        04.10.2018 16:19

        Скорее, кто-то подходит, снимает с вас часы, идет в магазин, нажимает сколько надо раз кнопку, подносит их к терминалу и т.п. А если снять с вас часы в момент входа в поезд метро, то вы только через час обнаружите, что часов у вас на руке нет, а на карточках денег нет, т.к. обычно сигнал о приходе СМС в метро не слышно… И да, такие умельцы, которые незаметно снимают часы с руки, все еще не повывелись, несмотря на уменьшение количеств народа с часами.


        1. o4karek
          04.10.2018 16:21

          Самсунговские часы после снятия с руки и попытки заплатить — потребуют ввести пин-код часов. И без ввода пин-кода для часов не дадут активировать Samsung Pay. Думается, что у Эппла примерно тоже самое должно быть.


        1. stanislavkulikov
          04.10.2018 16:25
          +1

          Есть проблема: как только снимаешь часы с руки, они тут же блокируются. И, насколько мне известно, новую прошивку ещё никому не удалось взломать. Т.е. без кода часы превращаются в бесполезный браслет.


      1. OlegSochi
        04.10.2018 16:53

        Кстати, верно, я что-то затупил: там же дважды кнопку нажать надо.


    1. eps
      04.10.2018 16:41

      На новых Watch, может, это быстрее, но на Series 0 задержка между двойным нажатием кнопки и готовностью карты — секунд 5. Нажать дважды на кнопку, и через 5 секунд поднести терминал к штуке, висящей на руке — довольно сложно, я считаю.


      Зато это легко сделать со спящим человеком.


      Если есть подозрение, что вот-вот произойдёт что-то скверное — снимайте часы с руки. Пропадёт пульс — отпадёт аутентификация. Если собрались вздремнуть в аэропорту — снимите и снова наденьте.


  1. sh1kel
    04.10.2018 15:38

    По кредиткам(!) альфабанка терминалы проводят оплату без ввода пина. Так что тут как повезет мошеннику)


    1. ad1Dima
      04.10.2018 21:06

      По моей кредитке только до 1000р. (чипом вообще всегда)


  1. Semy
    04.10.2018 18:46

    Деньги могут списаться два раза
    Этот миф касается не только Google Pay/Apple Pay, но и обычных банковских карт.


    Ну как же миф? Со мной такое случилось. Терминал завис во время оплаты. Его перезагрузили и я еще раз поднес к нему карту. Мне пришли две СМС о списании. Справедливости ради, сотрудники магазина перепугались намного больше, чем я и сами звонили в банк отменять транзакцию.
    Чек распечатался только для второй транзакции.


    1. zhovner Автор
      04.10.2018 18:56

      Ну это не совсем корректный пример, по сути вы два раза заплатили, просто в первый раз не увидели подтверждения оплаты.


      1. DMGarikk
        04.10.2018 19:07

        скорее не увидели смс об отмене оплаты… такое часто бывает при зависании терминалов.
        тут надо сверять итоги у терминала чтобы там не записалась первая оплата… иначе действительно их будет две.


        1. stork_teadfort
          05.10.2018 18:40

          Тоже недавно такое было. Платил Google Pay, первый раз после минутного раздумья из-за плохого Wi-Fi у терминала операция не прошла. Ввели сумму еще раз, приложил, все ок. Приходит 2 пуша от Google Pay, в приложении 2 оплаты.
          Уже хотел возвращаться, но потом увидел в банковском приложении отмену первого платежа (гугл эту отмену не показывал упорно).


  1. befart
    04.10.2018 19:26

    В целом выводы из автора — ломать ваши карты и смартфоны тяжело и бессмысленно. Но, раз весь Алиэкспресс завалин противовзломными гаджетами, значит в Китае проблема стоит остро? Их карты массово ломают? Или это все на параноиков рассчитано?


    1. Alexeyslav
      05.10.2018 09:33
      +1

      Играют на страхе. точно такая же фишка с чехлами для мобилок. очень редко они действительно спасают, больше добавляют неудобств.


    1. semmaxim
      05.10.2018 16:22

      По-моему, автор как раз подтвердил, что если носите в бумажнике одну карту и не защищаете её дополнительно, то украсть деньги не проблема. А при некоторых вариантах можно списать и если их 2.


  1. nikitasius
    04.10.2018 21:40

    Почему-то забыли модифицированные чемоданы. Миф или нет? Далее есть конвертики из фольги.


    Следом безконтактные не только банковские карты, но и прочие rfid, например с биткоин ключами. Удобно — нужно кому-то передать биткоины, передаешь карточку (мы такие оформлять себе будем для проекта).


    Лично для себя:


    • карта с чипом, обычная, для оплат и для китайцев
    • карта без чипа, на подпись — для большим оплат и там деньги лежат.

    Кстати, безконтактный платеж во Франции с 30 до 50 евро повысят. А на картах без чипа дофига времени на откат бабла без чека (поэтому их редко принимают в засранных магазинчиках, и поэтому подпись обязательна).


  1. shape
    05.10.2018 00:37

    Автору респект. Написал такой труд. Заполнил технической информацией, скринами, протоколами обмена с картой. Тэги EMV-шные попарсил чтобы уж не совсем магия была в дампах.
    За нежданный пиар — спасибо, но хаброэффекта словить не удалось.
    В общем-то никто и не ожидал что все сразу ломанутся изучать ворох платежных стандартов и протоколов.
    К сожалению комментарии ушли от технической стороны перехвата данных в сторону бытовухи — обсуждения лимита 1000 рублей, каких-то сложных вариантов противоправного использования терминалов и шапочек из фольги…
    Сценарий 1 — ну бред же для поднятия хайпа.
    Сценарий 2 — про пассивный перехват и сбор карточных данный уже писалось неоднократно.
    Только тут надо чуток технических знаний чтобы копнуть глубже.
    Для тех кто работает в сфере карточного процесинга и терминального софта тут мало нового.

    Ну а кто сует свои карты куда ни попадя или держит большие остатки на карточных счетах — это все до поры до времени. Пока Банк, Процессинг или магазин в торговом центре не сольет очередную порцию ваших данных.
    Вот уж совсем недавняя история с извинениями от British Airways — www.bbc.com/news/uk-england-london-45440850


    1. zhovner Автор
      05.10.2018 00:43

      Ухты, iso8583.info ваше оказывается, спасибо за отличный парсер! Я попробовал несколько разных, и ваш был самый полный.


  1. Krysnik
    05.10.2018 06:41

    Так аплпай передает свои номер карты и дату. А просто карта, что тоже передает в открытом виде номер и дату окончания?


    1. zhovner Автор
      05.10.2018 16:02

      Карта тоже передает данные, при чем те же самые, которые выбиты на самой карте. Вы можете самостоятельно попробовать считать карту телефоном на Android как показано в первом комментарии.


  1. Markscheider
    05.10.2018 12:38

    Вот засада! Только себя убедил, что мне не нужен NFC в новом смарте, решил не переплачивать и пр. А тут такая статья шикарная.
    Теперь с помощью автора осознал, что в Pay-приложении бесконтактная карта безопаснее, чем в кармане. Теперь надо смотреть на модели с NFC, а они дороже. Одни расходы… :)
    </юмор>
    Автору еще раз спасибо за системный подход и желание разобраться.


  1. ludachris
    05.10.2018 16:01

    Целый алгоритм для воров)


  1. and7ey
    05.10.2018 18:09

    Уверен, что это сделано для того, чтобы айфоны не использовали в качестве примитивных карт доступа, так как системы СКУД на основе UID до сих пор очень популярны

    А что в этом плохого?


  1. masiandr
    06.10.2018 09:53

    никто не мешает написать приложение для Android, которое будет из трек2 получать реальный номер карты (а не токен) и срок действия, а потом эти данные использовать для MOTO платежей


    1. zhovner Автор
      06.10.2018 09:59

      Вот как раз такое приложение habr.com/post/422551/#comment_19188391


      1. masiandr
        06.10.2018 10:11

        или например наше приложение, которое легально позволяет в рамках МОТО лимита мерчанту списывать по NFC github.com/cloudipsp/android-sdk-nfc