Comments 36
То есть в автобусе теперь можно просто ходить с терминалом и обчищать людей. Человеческая лень не знает предела
>Я ничего не забыл?
Да, паяльник, пару метров проводов и ардуину-кнопкодав (а некоторые терминалы имеют даже API реализацию для обратной связи и управления с компа). Разобрать терминал не так сложно. А делать юр-лицо и получать терминал можно на бомжа, или за бугром, или пособника иметь.
Да, паяльник, пару метров проводов и ардуину-кнопкодав (а некоторые терминалы имеют даже API реализацию для обратной связи и управления с компа). Разобрать терминал не так сложно. А делать юр-лицо и получать терминал можно на бомжа, или за бугром, или пособника иметь.
Я, как один из тех кто занимается POS и терминалами, к веду тому, что такие банальные придирки не состоятельны и отмахиваться таким образом, ослабляя настороженность окружающих — только помогать потенциальным ворам.
Короче — ВОЗМОЖНО ходить по автобусу и обчищать людей. Особенно с массовым входом в эксплуатацию бесконтактных карточек (или прочих токенов) как карточек «по умолчанию». Так что храните карточки поглубже в кошельке, предварительно проверив его в банке/магазине на терминале, чтобы через него нельзя было пробить транзакцию бесконтактно.
Короче — ВОЗМОЖНО ходить по автобусу и обчищать людей. Особенно с массовым входом в эксплуатацию бесконтактных карточек (или прочих токенов) как карточек «по умолчанию». Так что храните карточки поглубже в кошельке, предварительно проверив его в банке/магазине на терминале, чтобы через него нельзя было пробить транзакцию бесконтактно.
Придирки, придирки, придирки. Можно их долго разбирать оттачивая идеальный вариант грабежа толпы народа бесконтактным терминалом, даже добавить социальной инженерии, но я не буду. «Спокойно засовывайте карточку в ту подозрительную штуку на банкомате», «введите номер телефона чтобы скачать файл», «откройте дверь, я ваш сосед с этажа ниже», «на форексе действительно можно заработать, попробуйте сами», «я случайно перевел вам на телефон 1000р, переведите обратно». Просто не недооценивайте изворотливость криминалитета и силу человеческой глупости.
Ну вот вы уже осознали реальность такой атаки? Просто напомню что смс крайне ненадежный метод доставки и его можно просто глушить, оповещения — их опциональность, от какой суммы перевода и есть ли они вообще — зависит только от банка.
А разбор последствий мало чем отличается от последствий действий кардера. «Плюсы» грабежа через бесконтакт меньшая заметность чем действия кардера — платеж одноразовый, не обязательно большой, описание платежа может быть убедительным или маскироваться под «типичные для региона», правильно подобранное место атаки тоже поможет замаскировать платеж (маршрут к крупному торговому центру в час пик после окончания рабочего дня, например).
Что самое плохое — банки могут просто начать выдавать карточки с бесконтактом, включенным по умолчанию. И не факт что отключаемым.
А разбор последствий мало чем отличается от последствий действий кардера. «Плюсы» грабежа через бесконтакт меньшая заметность чем действия кардера — платеж одноразовый, не обязательно большой, описание платежа может быть убедительным или маскироваться под «типичные для региона», правильно подобранное место атаки тоже поможет замаскировать платеж (маршрут к крупному торговому центру в час пик после окончания рабочего дня, например).
Что самое плохое — банки могут просто начать выдавать карточки с бесконтактом, включенным по умолчанию. И не факт что отключаемым.
>Описание платежа выдает система банка, к которой привязан терминал, в том числе и категорию покупки.
Создавая фирму можно придумать достаточно нейтральное название услуги которую она якобы будет предоставлять и получить соответствующее описание к транзакции, нет? А еще не всегда терминал от банка, зачастую есть payment ( service) provider который предоставляет терминал/кассу и работает сервисной прослойкой, что-бы мерчанту не заниматься технической частью самому.
>Что значит «включенный бесконтакт»?
То и значит — банк в котором у меня счет и карточка позволяет включить на ней запрет на использование ее заграницей, на своей стороне, без необходимости что-то менять физически в карточке или ее чипе. Не вижу причин почему не может быть реализован аналогичный банковский запрет на транзакции используя paypass.
>Смс о списании средств приходят при ЛЮБОЙ покупке, от 1 копейки.
Нет. Прямая цитата со страницы услуг банка —
Вы можете заказать уведомление о следующих событиях:
Поступления на счет, начиная с установленной Вами суммы
Выплата со счета или кредитной карточки, начиная с установленной Вами суммы
Поступление э-счета в интернет-банк
И т.д. СМС уведомления — не являются какой-то стандартной опцией и их работа отличается от банка к банку.
Чтобы мне не копипастить куски договора — банк называется SEB и живет в доменной зоне EE — можно ознакомиться с договорами и особенностями работы карточек, оповещений и бизнес-интеграции, и сравнить с тем что предоставляет российский банк.
>если в кошельке больше одной карты с paypass, то сканировать карты вообще не получится.
Опять же может в России и нормально иметь по счету в каждом банке и по карточке из него, но это как-то не катит на стандартный случай. Плюс заводить еще один счет в банке что-бы получить вторую карточку для защиты первой интерференцией это какой-то оверкилл.
Создавая фирму можно придумать достаточно нейтральное название услуги которую она якобы будет предоставлять и получить соответствующее описание к транзакции, нет? А еще не всегда терминал от банка, зачастую есть payment ( service) provider который предоставляет терминал/кассу и работает сервисной прослойкой, что-бы мерчанту не заниматься технической частью самому.
>Что значит «включенный бесконтакт»?
То и значит — банк в котором у меня счет и карточка позволяет включить на ней запрет на использование ее заграницей, на своей стороне, без необходимости что-то менять физически в карточке или ее чипе. Не вижу причин почему не может быть реализован аналогичный банковский запрет на транзакции используя paypass.
>Смс о списании средств приходят при ЛЮБОЙ покупке, от 1 копейки.
Нет. Прямая цитата со страницы услуг банка —
Вы можете заказать уведомление о следующих событиях:
Поступления на счет, начиная с установленной Вами суммы
Выплата со счета или кредитной карточки, начиная с установленной Вами суммы
Поступление э-счета в интернет-банк
И т.д. СМС уведомления — не являются какой-то стандартной опцией и их работа отличается от банка к банку.
Чтобы мне не копипастить куски договора — банк называется SEB и живет в доменной зоне EE — можно ознакомиться с договорами и особенностями работы карточек, оповещений и бизнес-интеграции, и сравнить с тем что предоставляет российский банк.
>если в кошельке больше одной карты с paypass, то сканировать карты вообще не получится.
Опять же может в России и нормально иметь по счету в каждом банке и по карточке из него, но это как-то не катит на стандартный случай. Плюс заводить еще один счет в банке что-бы получить вторую карточку для защиты первой интерференцией это какой-то оверкилл.
Имею Мастеркард с PayPass и привязанныое к ней же платёжное приложение в мобильнике.
В одном строймаге касса не читает мою карту PayPass, но читает бесконтактный платёж с мобильника. В другом строймаге читает карту, но бесконтактный с мобильника принимается, но не проходит. В сетевом продуктовом кассир отказывается включать оплату по карте, пока не продемонстрируешь карту, так что мобильником оплатить может быть и можно, но со скандалом. В другом продуктовом при использовании бесконтактного платежа всегда сумма снимается 2 раза, потом через неделю лишнее возвращается. На Ж/Д платформе торговый автомат принимает и карты и мобильники, но прислонять надо пару минут, попутно отмахиваясь от опаздывающей очереди.
Удобно, чего уж там. Новый век, чего уж там.
В одном строймаге касса не читает мою карту PayPass, но читает бесконтактный платёж с мобильника. В другом строймаге читает карту, но бесконтактный с мобильника принимается, но не проходит. В сетевом продуктовом кассир отказывается включать оплату по карте, пока не продемонстрируешь карту, так что мобильником оплатить может быть и можно, но со скандалом. В другом продуктовом при использовании бесконтактного платежа всегда сумма снимается 2 раза, потом через неделю лишнее возвращается. На Ж/Д платформе торговый автомат принимает и карты и мобильники, но прислонять надо пару минут, попутно отмахиваясь от опаздывающей очереди.
Удобно, чего уж там. Новый век, чего уж там.
А нет аксессуаров, где был бы физический переключатель, чтобы снятие средств было возможно только при его активации?
И хотелось бы что-нибудь такое-же для смартфонов, чтобы доступ к деньгам был только через физически изолированный режим, с предварительным подтверждением снимаемой суммы.
И хотелось бы что-нибудь такое-же для смартфонов, чтобы доступ к деньгам был только через физически изолированный режим, с предварительным подтверждением снимаемой суммы.
Ряд аксессуаров, перечисленных в этом материале, носят пилотный «характер», если можно так выразиться. Платежная функция в каждом из них предназначена для соответствующей POS-инфраструктуры. Поэтому тут вопрос настраиваемой активации и выбора других опций — это, вероятно, следующий этап после того, как носимые девайсы укоренятся в потребительском обиходе. Пока эти технологии находятся на стадии развития во всем мире, а в России в особенности.
Недавно услышал, что бомжи в Бразилии каким-то образом обладают терминалами и попрошайничают таким образом, предлагают перечислить им денег через карточку. Так что есть возможности снимать деньги с помощью таких терминалов незаметно в транспорте. Во всяком случае не стоит исключать это, если скимеры и целые накладки на банкоматы не стесняются делать.
Сервис «Мобильный билет» к вашим услугам — http://moskva.beeline.ru/customers/products/mobile/services/details/mobilnyy-bilet/
Бесконтактные метки еще интересны в плане авторизации и открытия всяких замков\блокировки девайсов. Но есть два но:
1) нет защиты от несанкционированного считывания и копирования в большинстве своем
2) еще реже попадаются девайсы с защитой от кражи вроде дополнительного пина\пароля\биометрии
1) нет защиты от несанкционированного считывания и копирования в большинстве своем
2) еще реже попадаются девайсы с защитой от кражи вроде дополнительного пина\пароля\биометрии
Sign up to leave a comment.
Бесконтактные платежные аксессуары: от стикеров до фитнес-трекеров