Не так давно нормой на кассах были импринтеры (ручные считыватели карт). Покупатель ждал, пока кассир с помощью этого громоздкого устройства снимет данные о карте и оформит заказ. Сегодня у нас есть бесконтактные платежи, и с ними оплачивать покупки гораздо проще и быстрее. Но новая технология вызывает немало споров.
В сети разместили видео, на котором мужчина с помощью карточного терминала незаметно списал средства с карты ничего не подозревающего покупателя. Он расположил устройство близко к карману жертвы, а оно зафиксировало близость карты и обработало платеж. Это видео стало поводом для серьезной дискуссии в платежной сфере.
Технологии бесконтактных платежей используют радиочастотную идентификацию, реализуемую в смартфонах, часах и других компактных устройствах, которые у людей всегда с собой. В связи с этим многие, посмотревшие видео, обеспокоились по поводу возможности мошенничества с применением платежных терминалов. Если злоумышленники могут воспользоваться таким устройством для снятия средств с карты, спрятанной в бумажнике в заднем кармане, то наверняка с телефоном или часами дело будет обстоять еще проще. Считыватели карт сканируют радиопространство на расстоянии от 4 до 10 см, поэтому вполне вероятно, что кто-то захочет применить технологию для кражи денег у владельцев смартфонов.
Но, хотя случаи хищения средств зафиксированы ранее, волна мошенничеств с использованием бесконтактных технологий нам не грозит. Мерчанты уже предприняли дополнительные меры защиты.
Проверка репутации и других сведений о новых мерчантах
Провайдеры платежных терминалов, также известные как поставщики мерчант-услуг (MSPs), часто выступают посредниками между мерчантами и компаниями по обработке платежей, такими как Visa и Mastercard. Они требуют мерчантов пройти через строгие проверки, прежде чем те получат доступ к оборудованию и ПО для терминалов.
Прием мерчанта в провайдерскую сеть — долгий и тщательный процесс. Он включает в себя как минимум несколько, а в идеале все из перечисленных шагов:
- Проверка личности владельцев бизнеса (данные о регистрации бизнеса, личные документы).
- Проверка истории счетов, если она есть.
- Анализ работы компании (проверка веб-сайта, бизнес-модели, операций).
- Уточнение, следует ли бизнес правилам безопасности карточных сетей.
- Оценка кредитной платежеспособности бизнеса.
В случае халатности или серьезного нарушения юридическую ответственность может понести любая сторона, но, как правило, ее несут банк-эмитент карты или мерчант. Многие мерчант-сервисы предоставляют оборудование бесплатно и наперед, а мерчанты оплачивают его стоимость с помощью транзакций. И в каждом случае проводится проверка. Без тщательного контроля мерчант-сервисы рискуют своей репутацией и могут быть привлечены к юридической ответственности, если предоставят услуги мошеннической организации, действующей, например, с целью отмывания денег.
Мерчант-сервисы также рискуют потерять прибыль с каждой транзакции, возвращенной потребителям, если мерчант совершит ошибку. Комиссии по транзакциям возврату не подлежат, и это создает ощутимый прибыльный риск.
В конечном счете мошенническим бизнесам становится невероятно сложно попасть в эту систему.
Мерчант-сервисы используют строгий процесс проверки кредитоспособности
Кроме одобрения новых клиентов мерчант-сервисы также строго оценивают их кредитоспособность, что дает больше возможностей для выявления мошенников. Эту процедуру можно поделить на три этапа:
Источник: Provenir
В рамках первого этапа (проверка данных клиента) анализируется основная информация, подтверждающая личность заявителя. Сюда входит сбор удостоверяющих и регистрационных документов. Также принимаются во внимание статические данные, такие как местоположение и адрес офиса, информация о счетах. Кроме того, проверяется коммерческая история и черные списки. А в электронной коммерции для обнаружения вредоносного трафика используются поисковые роботы.
На втором этапе (проверка кредитоспособности) проверяется история коммерческой деятельности менеджеров компании: например, как долго они работают в отрасли. Информация сверяется с кодом категории продавца (Merchant category code, MCC). Также здесь оцениваются объем транзакций, географический охват и кредитный рейтинг компании.
На последнем, третьем шаге мерчант-сервис проводит итоговую проверку всех предоставленных документов.
Мошенникам придется изрядно потрудиться, чтобы преодолеть все юридические препятствия и процедуры, учитывая количество тестов и объем собираемой информации. Им придется сфабриковать целый бизнес, и любой из описанных выше шагов может вывести их на чистую воду или вызвать серьезные подозрения.
IP-трекеры помогают обнаружить мошеннические заявки
Какими бы строгими ни были процессы приема и проверки мерчантов, всегда есть процент нарушителей, которым удалось перехитрить систему. Для их поиска мерчант-сервисы пользуются IP-трекерами.
Когда какой-либо компьютер подключается к серверу, последнему становится известен его IP-адрес. Трекер IP-адресов определяет географическое положение и другую информацию компьютера, что и позволяет мерчант-сервису обнаружить заявки мошенников.
Трекеры сопоставляют информацию об IP-адресах бизнесов, подающих заявки. Так легко обнаруживается, что потенциальный клиент подключается из другой страны, представляясь при этом мерчантом из Огайо. Если самозванец попытается получить доступ к онлайн-порталу мерчант-сервиса, IP-трекер немедленно определит его местоположение.
Также современное ПО и машинное обучение позволяют определить, использовались ли ранее те или иные последовательности предоставленных данных в других аналогичных заявках. Собранная информация сверяется с данными об отозванных или подозрительных аккаунтах мерчантов. Такие инструменты анализа все больше распространяются в отрасли.
Помимо активной помощи со стороны мерчантов, которые следят за безопасностью бесконтактных платежей для своего бизнеса, индустрия вводит новые стандарты, снижающие риск мошенничества. В большинстве систем бесконтактной оплаты установлен лимит на сумму одной транзакции. А если кому-либо удастся украсть эту сумму денег у клиента, большинство кредитных компаний будут действовать в рамках договора о нулевой ответственности, предполагающего возврат всех украденных средств пострадавшему.
Несмотря на то, что видео с мошенничеством обеспокоило зрителей, в действительности клиенты надежно защищены от подобных махинаций.
Комментарии (33)
ebragim
03.10.2018 22:17Какой же бред…
1) Подключают крупные банки всех, кому не лень. Оставили заявку в альфе, в тот же день позвонили нам, на следующий же привезли терминал и обучили. Клиент — ИП открытое неделю назад, место — подвал в стадии ремонта.
2) Любые проверки ip и всякого такого — бред, защита от школьников и тех, кто стащил терминал у курьера. Простейший роутер с прокси — и проверка ничего не надёт. Защитить может только gps модуль в самом терминале, например. Но тогда стоимость обхода просто станет не 5 баксов, в 500.
3) Платежи через smsungPay, androidPay, applePay — всё требует разблокировки и авторизации пользователя, поводить антенкой у кармана в метро не получится. Для обычных карт достаточно держать 2 карты с бесконтактными платежами вплотную, чтобы невозможно было провести оплату. Для остальных есть кошельки с фольгой.Wesha
03.10.2018 23:09Для обычных карт достаточно держать 2 карты с бесконтактными платежами вплотную,
Ну это хум хау, у меня один раз из пачки в 8 карт сработало и проплатилось.
POS_troi
04.10.2018 20:39Зависит от терминала и его настройки.
Большинство терминалов при обнаружении нескольких карт, просто матюгаются на это и просят дать одну из них, некоторые рандомно выбирают из всех обнаруженных и пытаются провести платёж.
DGN
04.10.2018 04:13Да, подключают всех. Только если операция без пинкода, то она легко оспаривается. И отвечает этот ИП в подвале, если его уже не найти — банк подключивший такого ИП. Потому, снять сразу всю сумму налом со счета типичному ИП не так и просто.
А в чем профит «стащил терминал у курьера»? Украсть у случайного человека в пользу курьерской службы??
Шапочки из фольги для карт — параноикам!
Куда более интересно, что защищает от переделки терминала в терминал-сборщик данных карт, или в терминал который на экране и чеке убирает два-три ноля, то есть покупатель подтвержлает пинкодом 300р, получает чек на 300р, списывается 30000р. В суде это будет как то очень непросто доказать.klubben
04.10.2018 07:58покупатель подтвержлает пинкодом 300р, получает чек на 300р, списывается 30000р. В суде это будет как то очень непросто доказать.
Разве это нельзя доказать тем самым чеком?DGN
04.10.2018 08:08Ну вот смотрите, вы покупаете пиццу за 300р, видите на терминале 300р и запрос пина. Вы логично его вводите, курьер говорит что так настроено. Вылазит чек на 300р. Курьер уходит, вы получаете смс на 300р и 30000р. При запросе в банк, у вас есть транзакция неподтвержденная на 300р (от которой чек) и подтвержденная пином на 30000р. Как вам поможет чек?
Это один вариант. Второй вариант — транзакция одна, сумма разная. Предположим вы чек скопировали и заверили или он не выцвел до суда. Что докажет подлинность чека? ИП скажет что продал вам айфон за 30000р, покажет со своей стороны накладную и свои бухгалтерские документы, уплаченый налог и т.п. У вас есть лишь чек, который напечатан, предположим, специально не по правилам, чтоб быть похожим на чек с одной стороны, и быть очевидно поддельным с другой. Терминал ИП сменил по поломке/утере, экспертизу не провести.kvazimoda24
04.10.2018 08:40Была здесь статья про эти терминалы, там говорили, что при попытке вскрытия терминал забывает все свои ключи и сертификаты, и становится просто "калькулятором" с NFC модулем, принтером, магнитофоном и слотом для смарт-карт.
sw0rl0k
04.10.2018 15:05Если у вас лимит на оплату без пин-кода в 1000р, а вас просят подтвердить покупку пин-кодом на 300р, то я это прям явный повод не оплачивать такую покупку.
kasiopei
04.10.2018 16:50У меня в одной сети терминал просит вставить карту и ввести пинкод. Продавцы говорят что это из-за того что карта MIR
JediPhilosopher
04.10.2018 18:05Во-первых в соседней статье объяснили, что при такого рода мошенничестве (транзакции на неправильные суммы или левые транзакции) после пары жалоб пользователей (потому что такие вещи очень заметны) терминал и мерчанта блокируют до выяснения, причем как правило еще до того, как злоумышленник успеет вывести деньги. Учитывая что соответствующее оборудование стоит довольно дорого, такое мошенничество просто не окупается.
Во-вторых вы просто не сможете так просто взять и переделать терминал. Вы можете сделать такой терминал сам с нуля (чисто железо собрать и софт написать), но у вас не будет ключей для подписи транзакций банка. Они будут только в терминале полученном от банка. Но такой терминал вы не сможете расковырять и вытащить их, либо заменить какие-то принципиальные части оборудования, так как при попытке вскрытия там все превращается в тыкву (мы как-то продолбали целую партию терминалов при транспортировке — их там похоже хорошенько пороняли, в итоге они приехали уже тыквами, так как решили что их пытаются вскрыть и уничтожили все данные внутри себя).
Можно пытаться воровать данные Track2 — там номер карты, срок действия — то что написано на самой карте. И затем пытаться платить онлайн там где нет подтверждения по смс. Вот это более-менее реальный вектор атаки.DGN
05.10.2018 02:44Да, затруднить вывод денег, это самое эффективное препятствие.
Что касаемо вскрытия терминала… Позвольте не поверить. У меня был терминал, у него съемная батарея, он много раз разряжался и тем не менее продолжал снова работать. Я технически не могу представить систему контроля целостности корпуса, успешно противостоящую лабораторному взлому.
ranebull
04.10.2018 06:36У бесконтактной карты платёж до 1000 рублей без ввода пинкода, если мне память не изменяет. И если сумма в 300 рублей вдруг запросит пин-код, то это будет как минимум странно
Rikkitik
04.10.2018 07:44Моя карта (белорусская) живёт своей жизнью. То за 1 рубль пинкод просит, то 50 списывает без вопросов. Причём, в одном и том же магазине порой. Так что никакой задней мысли бы не возникло.
DGN
04.10.2018 08:11Ввод пина зависит от банков и условий для магазинов. Если магазин не готов брать на себя риски по транзакции без пина, то пин будет хоть с копейки.
Даже если это будет выглядеть странно, многие пин введут, не вникая в подробности.Sokol666
04.10.2018 09:52Все эти условия порой похожи на абсурд. Молодежная карта Сбера. Оплачиваю общий счёт в кафе на 15000 никакого пина. Кофе в KFC — будьте добры пин код.
Ничего в личном кабинете и с менеджером банка не перенастраивал.
klirichek
04.10.2018 08:50По всякому бывает.
У меня в местном супермаркете на одной из касс снимает любую сумму с первой попытки.
А на другой сперва пара неудач, потом запрашивает пинкод, и после этого тоже раза с третьего только всё получается (независимо от суммы).
Ещё лично попал в транспорте (в троллейбусе). С двух попыток оплата не прошла, кондукторша стала жаловаться, что ещё одна попытка — и всё, что-то там у неё заблокируется. Я поменял активную карту (android pay), и после этого всё получилось.
Но! На следующий день внезапно получаю чек от старой (вчерашней) попытки, датированный сегодняшним числом. И эти деньги по итогу снялись.
Не знаю, как она это сделала; специально или просто сбой — но если специально, то система явно несовершенна. В этом случае нашедший лазейку сможет пользоваться ей ещё достаточно долго (банально — вряд ли кто-то будет заморачиваться и связываться с банком из-за 18 рублей...)
klirichek
04.10.2018 08:52То есть по сути никакой ТЕХНИЧЕСКОЙ защиты нет, а есть лишь "страшные юридические договора".
О-кей, все бесконтактные карты переводим в гугл и платим только смартфоном (там оплата зависит только от разблокировки устройства, а не от сотни пунктов юридического договора).
NetWormKido
04.10.2018 09:04Другое дело если у тебя карту стащили или ты её потерял и узнал об этом не сразу, злоумышленнику ничего не помешает понаделать покупок с чеком <1000р вплоть до опустошения карты.
DonAlPAtino
04.10.2018 09:44"В случае халатности или серьезного нарушения юридическую ответственность может понести любая сторона, но, как правило, ее несут банк-эмитент карты"… Чего-чего может банк-эмитент? Вы про какую страну вообще говорите? К слову в комментах к http://habr.com/post/422551 люди рассказывают что как-то из банка ответили в стиле "бесконтактная оплата не опротестовывается по определению"...
mmMike
04.10.2018 11:14Не очень понятно..
на мошенничеств с использованием бесконтактных технологий нам не грозит. Мерчанты уже предприняли дополнительные меры защиты
И тут же статья переключается на другое. И причем здесь то, как банк регистрирует merchant и какие у него административные процедуры для этого.
И как обычный продавец может определить что конкретно "прислонили" к ридеру терминала?
Единственная защита "порядочный человек из за мелкой выгоды большой пакости не сделает"
Ну и порог вхождения.
Мелкий гопник (два минимум) из за 1000 руб должен уметь собрать android приложение, иметь свой VPS что бы не в пределах прямой видимости хотя бы работал (не локальный WiFi между телефонами)…
Да проще мелочь по карманам тырить!
Ссылку на Github на приложение не даю. кому интересно — найдут. Ничего в этом сложно в организации bridge по TCP/IP между двумя NFC телефонами один из которых как ридер работает, а другой как "карта".
Вот когда банкоматы начнут выдавать нал по бесконтакту… Вот тут то волна и пойдет.
Посмотреть PIN не сложно. А нал это не товар на 1000 руб.tvr
04.10.2018 11:59Вот когда банкоматы начнут выдавать нал по бесконтакту…
Уже выдают, в полный рост. Альфа даже на старые банкоматы какие-то NFC-ридеры приколхозила.
vmarunin
06.10.2018 01:43Ведомости, 16 августа 2018 года
Visa ужесточит требования к банкоматам в России
Они должны будут принимать бесконтактные карты
Все там будем, причём очень скоро :)
vikarti
04.10.2018 11:42большинство кредитных компаний будут действовать в рамках договора о нулевой ответственности, предполагающего возврат всех украденных средств пострадавшему.
Подскажите пожалуйста какие банки в России так будут действовать?
Lexxnech
04.10.2018 12:12Краткое содержание статьи: Что защищает от мошенничества с бесконтактными платежами? Ну, мы очень стараемся, что бы с бесконтактными платежами работали достойные люди, заслуживающие доверия.
Ну здорово. Как люди раньше до такого не догадывались? Это же универсальная методика — хочешь защитится от засланных казачков на работе — нанимай хороших людей. Не хочешь отдать деньги мошенникам — веди дела с порядочными людьми. Не хочешь попасть под колеса на переходе? Переходи дорогу, когда по ней едут законопослушные водители, все просто!Akon32
04.10.2018 13:21Сарказм понятен, но, тем не менее, это всё работает.
Если у какого-нибудь продавца расплатятся ворованной кредиткой, владелец карты скорее всего (*) оспорит операцию, и продавец получит серьёзный штраф за недостаточное качество идентификации личности покупателя. В следующий раз будет просить ввести пин или показать паспорт вместе с картой.
Если продавец сам решит скопировать карту и снять с неё немного денег, то ему опять же вкатят как минимум штраф, или вообще заведут уголовное дело. Всё отслеживается.
Такая вот принудительная честность.
Более того, это всё как-то работает (сейчас в основном работало) даже без кодов по sms или цифровых подписей, сделанных чипом карты. Достаточно легко копируемых данных карты.
* — в ряде сценариев не оспорит, но вероятность этого меньше.
Akon32
04.10.2018 13:32Заметил по этой и недавней статье, что схема безопасности основывается на рациональном поведении вора (стоимость вхождения больше, чем доход).
То есть некий неразумный гопник, тюкнувший продавщицу бутылкой и отнявший у неё терминал, может какое-то время бегать и "обилечивать" прохожих во имя хаоса, но воспользоваться украденными деньгами не сможет.vassabi
04.10.2018 15:10в принципе — на это рассчитаны все современные массовые системы безопасности (ибо если во имя хаоса, то иногда это случается даже с теми, кто по идее должен порядок сторожить).
Вот, может, разве что ракеты и АЭС сторожат с учетом этого. А остальное — одиночки системе большого ущерба не смогут причинить.
Boba_Fett
04.10.2018 14:39По-моему, модель гарминовских часов с КДПВ не поддерживает бесконтактных методов оплаты.
ISVLabs
04.10.2018 22:25интересно, а есть возможность прописать в карте (а лучше в банке-эмитенте) опцию запрашивания пинкода всегда, вне зависимости от суммы операции.
NetNazgul
05.10.2018 09:06Ну разве нет в русском языке достаточного количества слов, чтобы перевести «merchant»? При том что
Информация сверяется с кодом категории продавца (Merchant category code, MCC).
zhovner
Забавно, что мы почти одновременно опубликовали статьи на одинаковые темы habr.com/post/422551
Art3
Качество и глубина статей не выдерживает никакого сравнения.