Pull to refresh

Comments 347

К сожалению, в банкоматах Сбера очень неудобно получать деньги даже через NFC. Нужно два раза приложить карту/телефон, ввести пин-код… А ведь внедрение NFC в картах/телефонах позиционируется, как «оплата в одно касание»…
На банкоматах первое касание необходимо для для идентификации клиента. Иначе невозможно предоставить доступ к счетам и услугам. Второе — как описано в статье.
Я это прекрасно понимаю. Но сама идея «прикоснуться картой», убрать, ввести пин-код, потом опять коснуться (т.е. карту/смарт надо постоянно держать в руках и не убирать никуда) мне кажется не совсем удобной.
UFO just landed and posted this here
Т.е. теряется весь смысл. Мало того что при бесконтактном считывании всё равно нужно вводить пин код(причем дважды), так ещё и карту можно забыть т.к. если карта выезжает из банкомата, то он предупреждает сигналом о том чтобы не забыть её забрать.
Я несколько раз пользовался бесконтактным методом, но это действительно менее удобно и медленнее(если не класть карту в выемку) чем воткнуть карту ввести пин код и положить/снять денег.
Да и не везде выемка есть и нужно её куда то положить чтобы вытащить/засунуть в банкомат деньги, с ненулевым шансом уронить/потерять/забыть. И на каждое действие требуется прикладывать карту и вводить пароль.
upd. Ладно ещё снятие, там двойное подтверждение ещё обосновано(и то можно было бы одним обойтись непосредственно перед снятием денег), но зачем оно при проверке баланса или пополнении счёта?
Т.е. сначала прошёл по меню, выбрал сумму и тогда прикладываешь карту и вводишь пин код. Так же при пополнении или оплате услуг.
И подвоха то никто не заметил:
С использованием NFC за год (с октября 2019 по октябрь 2020) число оставленных в банкомате карт сократилось более чем в два раза.
Не забываем, что люди много месяцев сидели дома, и пользовались банкоматами точно реже, чем раньше.
Плюс по NFC карту Физически забыть невозможно. Казалось бы — в 2 раза меньше забыли карт благодаря переходу всех на NFC!, но вчпоминаем что клиенты даже не знают что это такое. Поэтому это не NFC повлиял, а корона и карантин.
Не забываем, что люди много месяцев сидели дома, и пользовались банкоматами точно реже, чем раньше.

Может быть, где-то оно и так, но у нас точно не так. Как были до коронавируса толпы возле сберовских банкоматов и терминалов оплаты, так и остались после его прихода. Платить квартплату приходится вне зависимости от вируса.


Плюс по NFC карту Физически забыть невозможно.

Как показывает практика (не моя), очень даже возможно. Нет большой разницы в том, чтобы оставить карту на NFC приемнике или засунуть ее в обычный приемник. Если карточку выпустил из рук, то забыть не просто, а очень просто.
Тут в комментариях уже писали про предупреждение банкомата, но звуковой сигнал не всегда слышен в постоянном шуме зала с банкоматами, да и люди исхитряются его не заметить даже если его отлично слышат.


Сам предпочитаю пользоваться NFC, чтобы как раз иметь возможность не выпускать карту из рук, и нахожу это более удобным, несмотря на необходимость постоянно прикладывать карту для подтверждения действий. То, что карта в бумажнике, а в руке еще сумка, мешает не больше, чем при использовании традиционного метода.

Если вы не заберете карту из банкомата, он её заберет обратно, Итона будет посчитана, как оставленная в банкомата. А если вы оставили на банкомате — вы просто её потеряли, и она не считается, как оставленная.

Значит либо люди не забывают карты NFC, положенные на банкомат, либо «уменьшение числа забытых карт более чем 2 раза» связано с тем, что такие карты теперь просто забывают на банкоматах, а не внутри)
Сберу бы не помешало(если уже не сделали) при блокировке утерянной карты возможность выбрать пункт как именно посеял, для статистики и предупреждения.

имхо, NFC удобно, когда на телефоне/часах… его вы нигде не оставите и они всегда "на быстром доступе".
Я так уже едва помню, когда обычный пластик использовал.

Нет большой разницы в том, чтобы оставить карту на NFC приемнике или засунуть ее в обычный приемник.
Поэтому довольно часто пластина, к которой нужно прикладывать карту, не горизонтальна. Карту на ней оставить физически нельзя.
Например так:
image
image
UFO just landed and posted this here
я и не сказал «везде». Увы, не везде.
UFO just landed and posted this here
С вертикальным расположением всё же костыль. У меня шапочный знакомый их до устанавливал. Да и по банкомату это видно. Он как был потрёпанный и лагучий, так и остался, но добавилась коробочка, которая к тому же заработала лишь через несколько недель после установки.
Сначала подумал что вы про этот подвох «оставленных в банкомате», так как теперь появились карты отсавленные на банкомате.

Но карта же легко помещается в ладони, нажимать кнопки не мешает, а когда приходит время кормить банкомат, то все подтверждения уже получены, карту можно убирать в сумку с деньгами, которыми предполагается накормить банкомат.

Во первых есть полочка для NFC карт, где её теперь забывают. Во вторых у меня карта в кошельке. Т.е. или его тоже нужно держать в руке или убирать каждый раз, что гораздо менее удобно. И как я заметил это часто встречается.
Плюс руки могут быть не пустыми. Человек пришел с пакетом/сумкой. В одной руке она, во второй кошелёк. А набирать носом? Положить кошелёк на полочку для NFC карт и забыть его, ещё чудесней.
Со старым методом, достал кошелёк, воткнул карту(кошелёк пока убрал), сделал свои дела с банкоматом, получил карту, достал кошелёк заодно убрав туда деньги(если было снятие) и карту и пошёл. Удобнее и проще, может быть чуть медленнее и то не факт, т.к. банкоматы в своём большинстве долго думают и можно заранее достать кошелёк не теряя времени.
Если вы вставляете карту в банкомат, то вам придётся два раза доставать кошелёк при использовании банкомата, если вы не хотите держать его в руке. И ровно так же можно сделать, чтобы приложить карту дважды, разве нет?
Карту можно вытащить из банкомата, отойти и положить в кошелёк не копаясь возле него.

у нормальных банков нет полочек… это только у таких "гениев" с дырами в безопасности на всех уровнях, как у Сбера

Действительно, лучше всего если на банкомате вообще не будет ни одной горизонтальной поверхности. Все-таки даже если банкомат забрал карту — это безопаснее, чем если ее потом с этой полочки заберет какой-нибудь бомж и пойдет за водкой. Операции до 1000 рублей проходят без пин-кода.

Ну допустим, тяжёлый случай, руки не пустые — держим тяжёлый пакет (с деньгами? пакет выпускать из рук не безопасно?). Достаём свободной рукой кошелек и ловким движением пальцем вынимаем карту. Кошелек убираем, удерживая карту одной рукой. Внимание, NFC специфичные действия еще даже не начались. Теперь одной рукой с картой проходим все подтверждения и авторизации через NFC считыватель. Карту убераем к кошельку (не уверен что засунуть одной рукой карту в кошелек будет возможно не зависимо от типа считывателя), Одной рукой опустошаем устройство выдачи (незвисимо от типа считывателя) засовываем бабки к кошельку и карте и уходим. А если карту вставлять, то всё то же самое, только карта идет последней к кошельку и деньгам.

Ещё как поменялось,1 если вставленную карту не забрать в течении определенного времени (вроде как 30 сек) банкомат ее снова проглотит и поместит в специальный отсек забытых карт с деньгами тажа история а положив карту на считыватель все зависит только от самого 2 можно пользоваться телефоном

Я согласен, у Тинькофф нужно просто один раз приложить карту, ну или Apple Pay, убрать телефон и спокойно совершать операции. Как же бесит в Сбере это делать два раза, просто вымораживает. Почему когда раньше люди вставляли один раз карту, авторизовались и делали, что хотят, то почему-то вы не думали о проблеме, что человек может авторизоваться, забыть карту и уйти, то теперь вы это вдруг решили это делать. В общем лишнее это… Сейчас я чаще вставляю карту по старинке, чтобы не прикладывать ее или телефон по сто раз. А вы потом удивляетесь, почему же мы не пользуемся NFC...? Все просто…
Как вариант, сделайте это опционально. Если я смогу в приложении включить опцию, по которой я смогу все делать при одном касании, то это будет хорошим решением. Спрячьте это все очень далеко в настройках, как и включение Системы Быстрых Платежей :) и на этом проблема решена. А бабушки и менее продвинутые люди в плане технологий пусть пользуются по умолчанию двойным касанием.
А если вы забудете завершить сеанс и следующий клиент снимет с вашей карты все деньги — вы побежите в банк с требованием вернуть потерянное? Ладно если бы перед каждой транзакцией требовалось вводить пароль (не менее 8 символов с буквами разных регистров), но коснуться картой — это же совсем не напрягает.
Вы серьёзно? В банкомате есть фронтальная камера, нужен далеко не самый умный даже по вчерашним меркам ИИ, чтобы догадаться, что клиент отошел и следующий подошел. Или пара датчиков дистанции и вообще без ИИ можно обойтись.
Сдается мне, все куда проще. Учитывая описанный в статье дикий колхозинг при оснащении всех имеющихся банкоматов через подключение модуля nfc к клавиатуре — это просто костыльно-велосипедный баг, вынужденно выдаваемый за фичу. Поэтому в нормальных банкоматах его просто нет, причем нет от рождения.
Но случаев мошенничества когда человек долго возится в банкомате, потом следующий подходит прикладывает или суёт карту и у него списывают деньги было по крайней мере несколько(ставших публичными и не известно сколько ещё осталось за кадром). Это если в конце карту подносить для оплаты. А если в начале, то следующий человек может снять денег с чужой карты и такие случаи тоже были.

А просто "введите сумму", "поднесите карту" что мешает сделать?

Да в общем-то ничего. «Так принято». Но например в моём случае есть требование банка показывать (в ряде случаев) информационные сообщения клиенту сразу, до выполнения им каких-то действий.

Тут я с вами не соглашусь. Комиссию за операцию надо посчитать заранее. А без номера карты ее не посчитать и пользователю о ней никак не сообщить.

В данном случае (VolCh — выдача наличных в одно касание) комиссия считается на хосте и клиент о ней оповещается после начала обмена с хостом, т.е. после чтения и ввода всех данных. Банкомат вообще устройство подневольное. По требованиям безопасности его ПО никаких финансовых решений принимать не может, только сбор данных и выполнение команд хоста. А вот до закручивания гаек была полная свобода, любую хотелку бизнеса можно было реализовать.
Однако банкоматы Тинькофф выдают наличность за одно касание, вторичного не требуют.

это небезопасно.
Можно отвлечь человека после ввода пина и снять деньги за него

С обычной пластиковой картой в классическом варианте, когда карту вставляют, так же можно сделать.

Да, что лишь означает, что это так же небезопасно.

А какая разница, где подсчитывается комиссия? Пока банкомат не узнает номер карты, он не сможет передать эту информацию на хост. И не сможет показать размер комиссии на экране перед выполнением операции.

UFO just landed and posted this here

Не совсем так. Просто возможны две комиссии за снятие налички:


  1. Комиссия банка владельца банкомата
  2. Комиссия банка владельца карты

Размер комиссии 1 считается на хосте заранее и эту инфу надо отобразить до операции.
Размер комиссии 2 да, банкомат не посчитает, так как не может ее знать.

Персональные в смысле сообщения, типа "верни кредит!"? )

А вот это уже комтайна :)
Возьми новый кредит чтобы погасить старый и заплатить еще больше процентов )

Банкомат сбера вроде не показывает каких-то персон инфицированных данных при входе.
Меню, как меню: снять/оплатить/ информация/штрафы

Вроде бы показывает еще шаблоны операций (по крайней мере мне показывал добавленные через онлайн банк).

А нельзя сначала, без авторизации, узнать, зачем пришёл клиент, и лишь потом запросить карту?
Я думаю, 90℅ событий — это снять денег, перевести денег. Зачем дважды спрашивать, кто пришёл?
Почему платежные терминалы это могут делать в одно касание? А банкломату нужно два?

Тиньков выдает деньги по QR.
Без карты, NFC, регистрации и СМС.
У них все плохо или хорошо?
У райфа например одно касание и очень удобно. Никакого чувства опасности не вызывает. Те кто пользуется NFC точно знают что это такое и будут осторожны. Люди старшего возраста, на которых заточено это дополнительное подтверждение — не используют современные технологии в большинстве своем. Зеленый банк, пожалуйста, уберите второе касание, вы портите саму идею быстрых платажей.
Не только сбербанка, остальные также. Поэтому проще её засунуть в приемник, особенно если операцию не одну делаешь.
Неудобство предназначено для повышения безопасности, но мы постоянно работаем над оптимизацией — чтобы было так же секьюрно, но при этом удобнее.
В каждом банкомате все равно стоит камера. Можно распознавать наличие человека перед банкоматом, если он авторизовался и отошел — запрашивать авторизацию еще раз. Если стоит на месте — не запрашивать. У тинькова, если не ошибаюсь, именно так и реализовано.
Так повышается вероятность ошибки ради удобства пользователя. Я, например, не готов оплачивать несовершенство системы в угоду удобству.
Как уже сказали — первое касание «инициализирует подключение», позволяет узнать статус клиента и его услуги, размер комиссии. Повторное нажатие подтверждает выбор и решает проблему «ушел, но не вышел из системы».
Если Тинек реально работает с камерой, как написали выше, и аннулирует авторизацию, когда человек отходит — то их решение как раз совершенное, еще и удобное.

А невозможно не авторизовываться совсем, кроме как для транзакции? Как в платежном терминале?

мне прям стало интересно как это сертифицировали. Это ж банкомат должен общаться с камерой. Всё время от ввода пина до принятия решения о выдаче денег

Почему нельзя сначала выбрать услугу(к примеру выдача наличных), а потом приложить карту, банкомат выведет информацию о комиссии с предложением продолжить или отказаться. Так достаточно будет одного касания и ввода пин кода.
А то первое касание даёт доступ в меню с которого всё равно без второго ничего не сделаешь, даже баланс не узнать.
UFO just landed and posted this here
Но базовые то(снять/положить) на любых должны быть доступны. А это основная масса сценариев, потом оплата платёжек(жкх/гибдд и т.п.).
С них и можно начать. Это заметно сократит время в ожидании очереди.

вы слишком упрощаете. А если карта из Европы и счет у неё в евро? И нужна конвертация. А может и автоматически поменять язык интерфейса с русского на английский. Это всё на лету делать?
А для ознакомления с информацией нужно время. И банкомату, и человеку. И для обработки информации тоже нужно время.

А как переключают язык все терминалы? Там наверное Id прикладывают. Или может они все же догадались в уголке сделать выбор языка? Но в банкомата так, конечно, нельзя делать, это ж карту всего один раз прикладыать надо.

А если карта из Европы и счет у неё в евро? И нужна конвертация

Это решается показом короткого описания транзакции прямо перед её выполнением.
Нажал "снять деньги", ввёл сумму, приложил карту, ввёл пин, банкомат показывает "сейчас мы снимем деньги с такой-то комиссией и такой-то конвертацией" и кнопки "ок" и "отмена".
В итоге всю информацию показали, а карта приложена только один раз.

И человек может уйти с незавершённой операцией, а деньги снимет кто то другой. Такое уже было. Потому переделали.

Уже упомянули косвенно, но хочу уточнить — с некоторых кредитных карт Сбера невозможно производить оплату ЖКХ, связи и т.п. через банкомат/интернет-мобильный банк Сбера. Хотя можно через сторонние сервисы (Киберплат, ЛК оператора и т.п.). Доступно только 3 базовые услуги (снять/внести/показать баланс) и дополнительные (открыть новый продукт, почитать тарифы и т.п.).

Так в статье про это как раз и сказано — почему так.
И это "неудобство" перекрывает большее удобство того что карту теперь носить с собой не нужно вообще.

Это наоборот хорошо. К примеру, возможна ситуация когда клиент идентифицировался и не вышел из сеанса по каким-либо причинам. Второе прикладывание исключает снятие денег проходящим мимо банкомата человека.

Вместо второго прикладывания можно требовать пин непосредственно перед выдачей нала или переводом денег.
Это, конечно, позволяет укравшим карту жуликам узнать баланс без пина, но тут уже вступают в действие камеры и прочее.

Для того, чтобы посчитать ARQC транзакции, нужно знать данные транзакции, которые при первом касании неизвестны (ARQC считает чип карты. Есть хорошая статья на хабре). Конечно, стандарт EMV не обязывает включать какие-то конкретные данные в ARQC, однако ее смысл — криптографически подписать данные транзакции, чтобы ее нельзя было подделать. Так что она должна содержать то, что клиент ввел, и содержит.


Так что если у убирать, то первое касание, убирая второй вы возвращаетесь к эпохе магнитных карт (в смысле — никакой дополнительной защиты от наличия чипа не получаете)

Я чаще не снимаю, а вношу деньги на карту. И всегда недоумевал — почему нет возможности внести деньги на карту без ПИН-кода и прочих ухищрений — подошёл, нажал "внести деньги", ввёл номер карты (с пин-пада или с NFC), положил деньги, ушёл. Зачем на операцию внесения наличных такие заморочки с авторизацией? Ведь оплата квитанции по штрих-коду есть (на "тумбочках" "внесение и оплата").

Это борьба с отмывом денег.
Необходима идентификация человека, вносящего наличные на счет.
Если класть деньги в условной Евросети, там должны попросить паспорт.
До 15 тысяч рублей можно и без этого. Но в банкоматах нельзя.
Внесение наличных на банковский счет и до 15000 только с идентификацией.
Послабление только для всяких суррогатов, типа средств на счете мобильного телефона, и для чисто электронных операций до 15 тыр.
Я не раз пополнял свою карту через терминалы в Связном никак себя не идентифицируя.
В банкоматах Тинькофф можно вносить на счёт любого клиента до 15 тыр в рублях без идентификации.
Каким образом это может помочь? В российских банкоматах можно пополнять только карты российских банков. Все российские банки при выпуске физической карты идентифицируют пользователя. Если по счёту клиента проходят мутные операции, то счёт блокируют и к клиенту возникают вопросы, вне зависимости от того каким образом были занесены средства. Каким образом на этот механизм влияет идентификация в банкомате?

Есть три варианта событий с анонимным пополнением:
— Клиент осознанно участвует в преступной схеме. В этом случае он просто отдаёт карту злоумышленнику, либо лично выполнит все операции по его указаниям. В этом случае идентификация по карте ничего не даёт — человек у банкомата будет иметь карту, а то и паспорт с нужными данными.
— Пополнять карту случайным людям, а потом просить перевести на нужный счёт. Нет никаких гарантий, что владелец карты отреагирует на «я нечаянно пополнил не ту карту, переведите куда надо» (как из-за опасений, что это какой-то вид мошенничества, так и из корыстных побуждений — зачем возвращать халявные деньги). Процент потерь денег будет слишком высок. Вернуть ошибочно отправленные деньги можно только через суд или какие-нибудь особые заявления в банк, но это полная деанонимизация злоумышленника, что делает затею бессмысленной.
— Владелец карты и есть окончательный получатель денег. Ничто не мешает передать ему деньги наличкой, перевести биткойны и т. д. Опять же, регулярные крупные пополнения карты (даже со всеми идентификациям) без информации о происхождении средств — потенциальная блокировка счёта и разбирательство. Положил деньги сам клиент или кто-то знающий его номер карты значения мало имеет.

По факту идентификация вносящего деньги позволяет только защититься от варианта «насолить недругу, положив ему на счёт пару миллионов, чтобы он потом мучался и объяснял откуда они». Очень сомнительный вариант, с учётом того, что деньги вернуть без деанона не получится, да и имея круглую сумму можно насолить иначе (например, купить краденные кредитки и устроить массовые безналичные переводы денег с них на счёт жертвы — проблемы у неё будут даже более серьёзные, ибо у нала просто будет неизвестный источник, а кредитки заведомо краденные).
В российских банкоматах можно пополнять только карты российских банков. Все российские банки при выпуске физической карты идентифицируют пользователя.

Вот тут ошибка. В банкомате, терминале и Евросети можно пополнить не только карту, привязанную к банковскому счету.
Существуют карты типа Кукурузы, которые не привязаны к банковскому счету конкретного человека. Они вообще не банковские, хотя и работают в рамках какой-то платежной системы. Не следует путать понятия платежные карты и банковский счет. В общем случае они связанные, но по сути разные. Карта может быть привязана ко счету, открытому на конкретного человека, а может быть и нет.
Все деньги клиентов этой условной Кукурузы лежат на одном счете юрлица, которое эту Кукурузу процессит. И подробностей движения денег между этими клиентами без дополнительных идентификаций и т.д. регулятор не видит, т.к. нет движения денег на счете.
Несколько раз пробовал прикладывать свою МИРскую карту к бесконтактной области зелёных банкоматов (разных), надеясь сэкономить время на переваривание оной картридером, но банкомат прикидывается шлангом и никак на это не реагирует.
Может я был недостаточно настойчив, но я к банкомату прихожу не для работы бета-тестером.
С бесконтактной оплатой данной картой нигде никаких проблем ни разу не было, пользуюсь регулярно.

То же самое. Попробовал приложить карту – не реагирует, подумал, что бесконтактный считыватель только для использования в качестве платежного терминала.

Эта красивая зелёная бесконтактная область (с картинки в статье) вообще не знаю для чего, она у меня пока ни разу не срабатывала. А вот над ней (на вертикальной плоскости банкомата, недалеко от слота для карт) есть маленькая черная коробочка со светодиодом, и вот к ней-то и надо прикладывать на самом деле.

На банкоматах, таких как на первой картинке из поста — чёрных коробочек со светодиодом нету :(

Кстати, вдохновившись свежепрочитанным опытом из статьи, сделал ещё один набег на «знакомый» банкомат, и свершилось техническое чудо: после поднесения карты к стандартной области «Бесконтактные карты» он уверенно пикнул и запросил пинкод, после чего пустил в меню и даже благосклонно дал посмотреть баланс.
Хотя буквально неделю назад этот же банкомат мою бесконтактную карту проигнорировал.
Карту подносил как всегда: где-то на сантиметр до плоскости, может только немного ровнее спозиционировал, и специально на месте не задерживал, пикнуло почти сразу.
То ли я был настойчивей, и он понял, что в этот раз не отвертеться, то ли что-то в мозгах ему прошили.
UFO just landed and posted this here
Да, подтверждаю. Считыватель был и даже пиликал, но банкомат никак не реагировал. Потом до него видимо добралась очередь на перепрошивку и всё заработало.

Черная коробочка — на тех банкоматах, где изначально считыватель не установлен.
Зеленая область — установлен сразу.


И да — зеленая область по чувствительности бывает плоховата, особенно со смартфонами — периодически просто пищит, пытается считать, но безуспешно. Или телефон/карту надо идеально подносить, приближая сверху и тогда нормально считает, а если движение сбоку параллельно поверхности — не работает.

Данная функциональность стала доступна на всем парке в июле этого года, возможно, вы пользовались сервисом ранее.
На самом деле очень удобно — все карты в Google Pay, вообще не ношу с собой ни одной.
Что не удобно, так это что во многих банкоматах (не сбера) бесконтактного модуля нет, а у сбера ограничение на получение наличных по чужим картам (7500 максимум).
Если долго мучаться, можно снять и больше. Если конечно очередь по рогам не настучит.
Задавайте в комментариях, но учтите, что банкоматы — это тема с очень жёсткими ограничениями по тому, что я могу рассказывать из-за требований безопасности, поэтому ответы будут поступать медленно и, возможно, не на каждый вопрос.


Есть ли защита от атак следующего вида:
  • Злоумышленник находит (можно не находить, а написать свое… такое приложение относительно простое) на github приложение для android обеспечивающее канал между двумя телефонами (ссылки на github давать не буду). Один телефон как NFC ридер, другой как NFC эмулятор карты. Связь через Internet (VPS сервер арендовать не сложно)
  • Подглядеть в очереди к банкомату PIN и посмотреть куда человек положил карту — не так уже сложно. Прислонится к нему (к карману) в нужном месте в общественном месте то же не сложно.

Для этого карту воровать не нужно и прямого физического доступа к ней то же не нужно.

Есть ли в ридере защита (например, контроль таймаутов на ответы карты) от такой схемы?

(Сеть внесет минимум 150 ms задержки на ответы от карты при такой схеме)

Ладно покупки в магазине (риски не те), но вот выдача нала по бесконтакту (карта… пластик) меня лично, как пользователя, несколько напрягает.

А так же сумасшедшие идеи некоторых банков по выдачи наличных по биометрической информации.

Два раза прислониться незаметно прислониться несложно?
Тут еще такой момент, что лично я не представляю эту атаку на практике.
Можно подтвердить обоснованность опасения? Ну типа насколько реально считать карту из внутреннего кармана пуховика, если она там лежит отдельно, или если она там к кошельке.

Эта атака уже не раз демонстрировалсь на практике. И не нужно прислоняться — делается большой ридер в формате папки/чемодана с бОльшим радиусом чтения карт. И дальше карта читается прямо в кармане/сумке. В реальности всё осложняется тем, что может быть несколько карт и всё равно нужно поднести ридер достаточно близко, но в людных местах это выглядит вполне реальным.

Ну то есть получается, что если я хожу с тройкой и банковской картой, то уже нереально, потому что обе карты будут отвечать на дальних расстояниях. А в людных местах еще будут мешать карты соседей.
Имхо такая атака чисто теоретическая. В принципе возможна, но в невыполнимых условиях, когда всё стерильно.

Я специально с собой в кошельке ношу две карты с NFC. Пока кошелёк закрыт, нельзя прочитать одну. Если его раскрыть на 90 градусов и приложить нужной половинкой, то всё прекрасно считывается. Ещё не было ошибок при считывании. И удобно и безопасно.
Муа-ха-ха!
Карты NFC читаются с 50 сантиметров — такие ридеры уже демонстрировались.
Протокол NFC умеет в защиту от коллизий. Большинство банковских терминалов этого не поддерживает в целях безопасности, но в протоколе это есть и нет проблем сделать ридер, который может выбирать одну из доступных карт.
Я когда с банковским терминалом игрался, то он платежи при поднесении нескольких карты не принимал, но в режиме «читай, что поднесут» отлично читал одну случайную карту из нескольких поднесённых.
Если вы не плечём к плечу стоите в маршрутке, то карты соседей мешать не будут. Ридер же читает карты с одного направления. Вы садитесь в кафе, ставите рядом сумку/рюкзак. Злоумышленник садиться за соседний столик и ставит сумку с ридером рядом с вашей. Вы сидите в баре, злоумышленник стоит рядом и держит сумку с ридером. И т.д. и т.п. Никакой стерильности не нужно, нужны определённые условия, которые вполне достигаются в реальной жизни.
Для защиты продаются экранированные чехлы/кошельки и специальные карты, которые генерируют коллизии на любой запрос.
в нормальных банках можно отключить выдачу наличных банкоматом по карте одним движением, не мешает если что быстро включить. Вплоть до того, что в выписке появиться сообщение, «выдача запрещена, разрешить следующую выдачу?»

Насколько я знаю, в NFC протоколах банковских карт защита от проксирования заложена. Возможность атаки сохраняется, но тайминги суровы, и успешно воспроизвести её удаётся только в лабораторных условиях.

Уже демонстрировали это на практике. Причём, давно. Да, ещё и через интернет, кажется, т.е. с неограниченной дальностью. А до того — по радиоканалу. Делается радиоканал в реальном времени и всё. Нужно, конечно, чтобы клиент был на небольшом расстоянии от банкомата, но в условиях торговых центров, вокзалов и т.п. это не проблема.

Можно ссылку, где демонстрировались?

Много где уже. Прямо сходу нагуглилось. 2017 год. А какой-то профессор ещё в 2015 демонстрировал, но мне откровенно лень гуглить.
Кстати, именно на таком принципе основан один из реально применяющихся способов атаки на современные автомобильные охранные комплексы с двусторонней связью по радиоканалу — так называемая «удочка». Да, в случае NFC задача усложняется малым расстоянием действия, но принципиально вполне реализуема.
Еще пару лет назад на али продавались экранирующие чехлы для карт с NFC, мне кажется это не проблема. Но вообще карты с NFC это костыль, переходный вариант к платежам со смартфона, где можно подтвердить платеж отпечатком пальца.
UFO just landed and posted this here
Поддержу. У карты есть большое достоинство — она энергонезависима и ломается куда реже смартфона. Оказаться с разряженным/сдохшим смартом в командировке без карты очень неприятно. Поэтому как резервный вариант карта обязательна.
UFO just landed and posted this here
У карт есть ряд своих уязвимостей. Прямо на карте написаны реквизиты. Магнитная полоса уязвима для скимеров. NFC не отключается. И эти уязвимости вполне эксплуатируются. На данный момент физическую карту скомпрометировать гораздо проще, чем виртуальную, если не принимать защитных мер.
UFO just landed and posted this here
Да и обратимо — не проблема. Есть специальные экранирующие конвертики.
Есть карты без имени фамилии на ней.
Магнитная полоса в РФ осталась скорее по инерции, потому что терминалов которые не поддерживают NFC или хотя бы чип, остались единицы. И эта уязвимость соотв. давно не актуальна.
NFC имеет лишь теоретическую уязвимость. С терминалом в метро не поездишь, расчётный счёт быстро арестуют.
Карту поменять можно быстро и дёшево и при этом она надёжна(механически) и у неё не садится батарейка в самый не подходящий момент.

Как минимум у Визы магнитная полоса запрещена к использованию уже лет так 5.
Все карты без чипа, которые только с магнитной полосой, давно перевыпущены. На новых картах хоть магнитная полоса присутствует и в некоторых сценариях считывается, но авторизация только по чипу — требование платежной системы.
Тем не менее скопировать и использовать магнитную полосу всё ещё можно. Имя и фамилия не очень-то и нужны. Но да я же и написал, что можно принять меры, чтобы от этих уязвимостей защититься. Но это надо делать. При прочих равных в данный момент карта в телефоне безопаснее. Но потенциально, если найдётся уязвимость в протоколе, это резко станет очень серьёзной проблемой.
По настоящему резервный вариант это скорее наличка
По-настоящему? Тогда уж «Сайга»+боекомплект, консервы/крупы, антибиотики/жаропонижающее/антигистаминные/перевязочные материалы, запас одежды и обуви.

Но мы же здесь не выживанцы какие-то )
Я так привык к удобству смартфона, что разряженный смартфон драма в любом случае. Поэтому я стараюсь, чтобы такого не случалось. А карту просто ношу в рюкзаке. Если что, воспользуюсь ей, но давно не пригождалась.

Прорентгенить не смог. Стучал молотком с целью отключения NFC, но не вышло. Зато другая карта MasterCard к концу срока действия надломилась параллельно магнитной ленте, и перестала работать.
На некоторых смартфонах достаточно было касанием зажечь экран (без идентификации отпечатка пальца), чтобы совершить оплату (о чём пару лет назад писали в отзывах приложения GPay).

Google Pay действительно позволяет совершать небольшие транзакции без разблокировки экрана. Максимальный размер такой транзакции зависит от страны. Для России это 1000 рублей (похоже на оплату картой без ввода пина). В справке также указано, что количество таких транзакций ограничено, но само ограничение не указано. Также там написано, что терминал может не пропустить такую транзакцию по своей воле, и нужно будет разблокировать экран.
«то же не сложно» у ме ня о щущение, что сей час мо дно пи сать, вста вляя как мо жно бо льше ран домных про белов в сло ва
(Сеть внесет минимум 150 ms задержки на ответы от карты при такой схеме)

Тайминги ответа тоже учитываются, неответ более 30 мс (точную цифру назвать не могу) делают операцию невалидной.
Второй уровень защиты — небольшое расстояние считывания.
Таймаут 30 мс, позволяет использовать в качестве канала обычный интернет через WiFi. Пинг 15..20 мс достижим даже на 4G интернете.
Тайминги ответа тоже учитываются, неответ более 30 мс (точную цифру назвать не могу) делают операцию невалидной.

Ну за все ридеры не скажу… Но некоторые (не буду называть конкретные модели POS) тайминги не учитывают (не учитывали… давно не пробовал. Может и исправлено)
Вот поэтому собственно и вопрос был про защиту от «проксинга карт».

Второй уровень защиты — небольшое расстояние считывания.

Небольшое — это всегда «относительно».
в ISO 14443 (NCF «стандарт» появился попозже… да и нифига не стандарт в классичеком понимании, а скорее обобщение) упоминается 10 см.
Например ACR123 эти 10 см гарантировано дает. Модуль в смартфоне — фактически 2 см устойчивой работы с картой.
Но это условность. Реально, относительно небольшими доделками можно и до 15 см поднять дальность для настольного ридера.
Стандарт ISO 14443-2/3 старый и известный. На современной элементной базе можно и самому ридер сделать. Ничего там принципиально сложного нет. 13Мгц это простой для DIY диапазон.

Так что жду публикаций о том что такие «ограбления» имели место.
Хотя… банки такую информацию в СМИ не пропустят.

Пока что гораздо проще грабить людей на сотни тысяч/миллионы представляясь сотрудниками техподдержки, зачем все эти технические сложности с воровством копеек?
Из того что читал/знаю — сделать так можно и оно сработает но смысла особого нет: сложно масштабировать (наладить массовое «прислонение»), довольно легко вычислить исполнителей и доказать факт причастности к преступлению, минимальная прибыль…
довольно легко вычислить исполнителей и доказать факт причастности к преступлению, минимальная прибыль…

Все это относилось к рассуждениям о проксировании для совершения покупок товаров в магазине. И именно такие доводы я слышал когда демонстрировались схемы с проксированием.

Когда речь и дет о нале в банкомате, то тут совсем другой расклад.
И деньги сразу обезличенные и исполнителя не вычислишь и за руку не поймаешь. Это не карманник, которого можно схватить «на горячем».

Минимальная прибыль…
Лимит в 100 тыс. за раз в банкомате где купюры в 5 т. загружены — это не так что бы мало.

UFO just landed and posted this here
Вроде бы специально выделил, что речь идет о проксировании обычных пластиковых карт. НЕ платежного приложения в смартфоне эмулирующего contactless карту.
у меня бесконтакт на карте перестал работать спустя пару месяцев после выпуска карты… хз что произошло, но идти менять лень.

Первое что приходит в голову, это размагничивание карты на деактиваторе антикражек в магазине..

Бесконтактная оплата никак не связана с «магнитными» свойствами чего-либо. Если она не работает, варианта два: либо что-то с чипом, либо повреждена антенна (которая по сути по спирали накручена по краю карты).

NFC — активный протокол с микрочипом внутри. Он вроде как не подвержен размагничиванию (не более подвержен, чем ROM, установленный внутри). Разве что сжечь его можно, но тогда и оплата при вставке карты проходить не будет.

UFO just landed and posted this here

Деактиваторы, которые используются в магазинах, не деактиваторы, а просто магниты, которые механически отпирают защелку.


Наверное, есть именно деактиваторы, которые, вероятно, испускают импульс, значительно превышающий допустимые для чипа и сжигают усилитель или антенно-фидерный тракт, но в магазинах их использование было бы нерациональным.

ПС, хотя да, бывает что просто сканируют одежду над специальным устройством и деактивируют датчики. Вообще не знаю как оно работает, может и правда выжигают, интересно будет почитать.

Там не датчик выжигают, а заносят код с него в локальную базу проданных вещей. Рамка на выходе опрашивает метку, получает код, сверяет его с базой. И если код в базу занесли — молчит. Собственно, по этой причине если вы придёте в другой магазин не сняв метку с одежды — есть все шансы услышать сигнал и увидеть бегущего к вам охранника.


добавлено
Есть ещё несколько типов меток. В одном из них метку можно намагнитить/размагнитить для (де)активации и такие метки многоразовые. В другом — метка уничтожается в магнитном поле необратимо.

Ответил ниже. Тоже сперва так подумал, но в других магазинах то не пищит, если просканировать, но пищит, если не сканировать. Там есть комманда kill, которая что-то делает аппаратно.

UFO just landed and posted this here

Я сталкивался с подобной технологией в библиотечном деле — у нас rfid метки были уникальные для каждой книги.

UFO just landed and posted this here
UFO just landed and posted this here

Да, я уже понял. Полез гуглить — у них есть kill command (https://itlaw.wikia.org/wiki/Kill_command#:~:text=Definition,responding%20to%20any%20additional%20commands.) (для выжигания электромагнитным импульсом нужно использовать магнитрон из микроволновки, что не есть хорошо в магазине, покуда он выжгет все, на что попадет). Вряд ли NFC поддерживает эту команду.


Обратно к оригинальному вопросу — больше похоже на механическое повреждение, брак или что-то в этом духе, чем что его выжгли этой машиной или, тем более, размагнитили.

UFO just landed and posted this here

Я нашел множество разных вариантов, в том числе — специальный конденсатор в схеме питания RFID метки, который выводится из строя полем определенной частоты и продолжительности. Такое ощущение, что есть тысячи разных способов. Пробемы с электромагнитным прожиганием заключаются в том, что либо нужен достаточно сильное поле, либо специальная конструкция.


Хорошая статья на вики, где сказано про специальные конденсаторы. Насколько я понял, это все же не относится к RFID, который реально просто деактивируется командой килл (которая, внутри, прожигает EEPROM или что она там делает).

Я занимаюсь пластиковыми картами. Бывает, что антенна плохо припаяна к чипу, и при механической деформации, изгибе карты, контакт отходит, заводской брак. Например держали карту в заднем кармане джинсов, или в руках крутили и согнули слегка.
или в руках крутили и согнули слегка.

Слегка — это насколько?
RFID карты(для прохода в школах/на работу) же подвержены этому? Сгибал её на 90 градусов, и работала. Так же проездной немного погнут, так же работает :)

Если карта качественная, то изгибы в разумных пределах в районе 30градусов не страшны.
Отключаются только карты в которых заранее был дефект. Я ради эксперимента клал карту на тиски, и лупил по ней железным молотком. Пока до состояния мяса не довел — работала. (Проверял, можно ли на ней тиснение делать)

а починить карту сможете?

Нет, это не возможно. Только перевыпустить. Это заводской брак.
Забудьте вы уже этот бред про размагничивание, это актуально было для магнитной полосы, а не для чипа. И чтобы сжечь чип облучатель достаточно мощный должен быть.
что? это вообще две абсолютно разных вещи. Термин «размагнитилась» карта вообще не верен. Это просто как фигура речи, для обозначения, что «бесконтакт» не работает.
Появилась ли защита от мошенничества на незавершенной операции?

Меня лично попытались так обмануть — южный товарищ долго мучил банкомат NFC картой, прикрывая его собой, а потом отошел. Я подхожу, внимательно смотрю на экран — а там текст типа «приложите карту для подтверждения» — как я понимаю, если бы я не глядя приложил карту и ввел пин — то выполнилась бы операция, заданная злыднем — но с моей карты. Я, конечно, нажал несколько раз «cancel» и отменил все к чертякам, но судя по banki.ru — такая схема успешно работала…
UFO just landed and posted this here
Скорее всего, имеется в виду какая-то оплата услуг. Например, как в терминале оплаты. При этом карта прикладывается после выбора услуги и суммы.
Правда, не знаю, такой же принцип или нет в банкоматах Сбербанка.

Похоже на проблему на заправках (только в обратную сторону) — кто-то может приложить NFC карту, но потом просто уехать, следующий тогда на этой помпе может заправиться "бесплатно". (Circle K пишет что у них там камеры установлены, они считывают номер и могут определять такие ситуации. А еще могут отказывать в заправке, если у вашего номера есть недобросовестная история. Но я склонен не доверять этому)

А еще могут отказывать в заправке, если у вашего номера есть недобросовестная история.

Вообще закон такое запрещает.
Но в меню банкомата не попасть без первого прикладывания карты, а второе уже будет другой. Если это разрешается, то большой прокол.
Подобные случаи исключены, при повторном прикладывании карты происходит проверка авторизованного клиента.
С использованием NFC за год (с октября 2019 по октябрь 2020) число оставленных в банкомате карт сократилось более чем в два раза.

А на сколько выросло число оставленных на банкомате карт? Лично дважды напоминала отходящим от банкомата людям, что их карта осталась на считывателе.
Ещё раз скажу: лучше прикладывать карту/гаджет, потому что это как минимум удобнее и безопаснее.

три кейса с картой:
  • вставить карту, ввести пин, получить/положить деньги, забрать карту.
  • положить карту на считыватель, ввести пин, получить/положить деньги, забрать карту
  • приложить карту, ввести пин, выбрать операцию, приложить карту, убрать карту, забрать/положить деньги

в каком из кейсов NFC на банкомате удобнее при работе с картой?
модуль NFC в банкомате удобнее только тем, что можно платить гаджетом. при работе с картой он не более чем игрушка.
UFO just landed and posted this here
Нужно не только карту приложить, но и пароль каждый раз вводить.
UFO just landed and posted this here

Вы что-то путаете. При снятии налички через бесконтакт в банкоматах сбера нужно два раза приложить карту и один раз ввести пароль. Во второй раз не надо вводить пароль

Может прошивка разная, но у меня каждый раз требовал пин код помимо прикладывания карты.
И что пин вы вводите ~ за 0,6 сек. во всяком случае мой.
в каком из кейсов NFC на банкомате удобнее при работе с картой?

Несколько лет назад банкомат без объяснения причин «сожрал» мою карту при попытке снять деньги. Просто булькнул стандартный звук виндовой ошибки и сеанс обслуживания прервался. Долгие переговоры с ТП и их инструкции что нажать и что зажать, чтобы он вернул карту ни к чему не привели, пришлось перевыпускать (как на зло это было в канун НГ и отдали ее мне аж через три недели).
Новая была уже бесконтактной и с тех пор я стараюсь никогда не вставлять карту в ридер без крайней необходимости.
банкомат без объяснения причин «сожрал» мою карту при попытке снять деньги

Карта, кстати, не ваша, а банка. Что собственно на ней и написано)
Ну да, ну да, каюсь, впредь буду всегда писать не «моя карта», а «карта банка, привязанная к моему банковскому счету», чтобы ни один зануда не докопался.
Собственно в этом недопонимании (что банк никому ничего не должен по своим картам, может в любой момент изъять или заблокировать по своему усмотрению) и кроется весь негатив подобных ситуаций.
Если есть хоть какая-то потенциальная возможность, что утрата карты нанесёт какой-либо серьезный ущерб, лучше «сделать бэкап». И заказать заранее дубликат карты (дополнительную карту к одному счету). Еще лучше, если у неё будет срок окончания отличный от основной и держателем карты будет указан муж/жена.
Второй вариант — премиумные золотые карты с обслуживанием вне очереди.
Проще тогда держать две карты. У сбера к примеру есть виртуальная или мгновенной выдачи(без имени, но с ограничением выдачи). Первая бесплатная, вторая стоит какие то копейки в год. У других банков наверняка тоже есть альтернативы. К виртуальной можно подключить устройство с NFC(кольцо, телефон) и пользоваться как пластиком.
Через приложение в случае утери можно легко и быстро перебросить деньги. лимитов и комиссий для внутренних операций вроде бы нет.

Во-первых, банкоматы спокойно "жрут" в том числе и карты других банков, так что отмазка "это карта банка, что хочет то и делает" не работает.


Во-вторых, выпуск карты и её обслуживание, вообще-то, стоит денег. И не банку.

вставить карту, ввести пин, получить/положить деньги, забрать карту.

Дважды оказывался в ситуации, когда «забрать карту» не получилось по причине кривого устройства: щель корпуса не очень точно совпадала с картоприемным механизмом и при выдаче карта уперлась в корпус банкомата. Конец.
Первый раз это случилось, когда я был в другом городе, это очень неприятно. Второй раз — в день зарплаты) В общем удовольствие так себе, поэтому nfc-ридер — это прям отлично.
Ещё на холоде механизм любит замерзать и карта очень медленно выползает или даже едва торчит.

Я предпочитаю NFC при использовании физической карты для защиты от скиммеров, чтобы банкомат не сожрал мою карту, чтобы не забыть карту в банкомате. А то что карту там надо два раза приложить, меня вообще не парит.

Анастасия, спасибо, что обратили на это внимание. Мы всегда делаем акцент на том, что бесконтактное обслуживание — это возможность не выпускать карту или гаджет из рук, сохраняя их безопасность. Мы делаем всё возможное, чтобы информировать клиентов о правилах безопасного обслуживания.
> Люди всё ещё продолжают вставлять карту в банкоматах, несмотря на то, что бесконтактное обслуживание имеет преимущества перед привычным всем способом.

Я вот в сберовский банкомат вставляю карту, потому что карты чужого банка он не хочет обслуживать через NFC. И я так понимаю это не техническое ограничение, а политическое — попытка сделать жизнь пользователей других банков сложнее, чтоб они не ходили в ваши банкоматы. Так например терминалы сбера для оплаты всяких пошлин не принимают оплату с карты другого банка, лимиты в банкоматах на карты других банков стоят смешные и т.п.
Я вот в сберовский банкомат вставляю карту, потому что карты чужого банка ...

Опасная практика: сберовские банкоматы способны "сожрать" карточку чужого банка с концами.

Да. По этому я их стараюсь избегать по возможности. Но у меня рядом с домом к сожалению с банкоматами не фонтан.
UFO just landed and posted this here

Так это же совсем близко! Как вам 4,7 км до банкомата?

UFO just landed and posted this here
Типичная для этой страны «естественная монополия», которую нельзя было допускать.
Но она возникла в результате корупции.

Коммисия на перевод в рамках одного банка это грабеж в чистом виде.
Сбер на это решился по одной причине — они стали держать слишком большую долю рынка.
Чтобы не делал сбер это супер не эффективная трата денег, полученных не очень то и честным путем.
карты чужого банка он не хочет обслуживать через NFC
Все банкоматы сбера прекрасно обслуживают не сберовские карты у меня в Google Pay — я регулярно там снимаю деньги с чужих карт. Претензию по поводу лимитов поддерживаю
В основном это особенности платежных систем, а не банка.

У жены карта МИР, по NFC с банкоматом не работает.
Сбер с MirPAY и GPay карты подружить не смог.
Вам подкинуть мануал?

Может просто не стали платить им за ненужный функционал.
Там приличные комиссии за каждое устройство.

А разве карту МИР можно в принципе привязывать к Google Pay?
Какой банк так умеет?

Нельзя, просто некоторые банки прозрачно вам привязывают виртуальную визу или мастеркард а это говно остается только для интерфейса и оплаты в российских магазинах.

Карту МИР можно привязать только к Самсунг Пэй.
Ну или использовать их приложеньку, если она кому интересна.
Более того, к Самсунгу можно привязать даже ЕКП (для петербуржцев) и пользоваться максимальной скидкой в метро. Этот токен выпускается туда с правильным БИНом.
Сделайте, еще, пожалуйста, чтобы управлять банкоматом можно было не прикасаясь к нему. Ну или минимально касаясь.
В свете пандемии ковида, имхо, это актуально. Да и вообще не очень приятно трогать экран, который перед тобой тысячи людей трогали без какой-либо очистки/дезинфекции.

В некоторых POS-ах, например, можно на тачскрине делать нажатия углом той же карты и у кассиров довольно шустро получается (у них своя, мою для этого не берут). Т.е. технически задача реализуема.
В таком случае это будет уже не емкостной, а резистивный сенсорный экран, который гораздо менее вандалоустойчивый, да и в принципе он менее надежный.

Если так уж неприятно трогать экран, всегда можно воспользоваться перчатками, либо обработать после этого руки антисептиком. В любом случае, банкомат нужен, как правило, для того, чтобы снять или положить наличные, а их тоже неизвестно кто трогал.
В моих перчатках экран банкомата не срабатывает, я пробовал.
Не знаю, может, это перчатки неправильные, но в них же смартфон нормально управляется.

Про наличные — обычно выдаются наличные, привезенные из хранилища, а там вроде как есть какая-то санитарная обработка, видел про нее упоминания в новостях во время первой волны. Ну и просто длительное время проходит, тот же ковид за это время сам помирает.

А вы уверены, что ковид настолько жизнеспособнее обычного гриппа?
Вроде бы сейчас прошла паника неизвестности, и можно говорить, что основной пусть заражения — воздушно-капельный, а контактным путем почти никто не заражается.


Чисто имхо: если в помещении был больной ковидом, то вы скорее заразитесь через воздух, чем через контакт с сухой поверхностью.

UFO just landed and posted this here

Есть большая разница между "отстатки генома вируса можно обнаружить на поверхности" и "вирус сохраняется на поверхности и способен инфицировать".
Имхо если отбросить теорию заговора и воспользоваться принципом бритвы Оккама, то нет никаких оснований считать, что сохранившийся на поверхности вирус может инфицировать кого-нибудь.

Свежая (не менее получаса, как мне кажется, если она достаточно большая) сопля на поверхности вполне может содержать боеспособный вирус.
Далее эту соплю с вирусом вполне можно сгрести рукой и невзначай транспортировать в нос или рот.
От этого, конечно, можно легко защититься, выработав всего две привычки: не трогать лицо без необходимости и мыть руки перед едой или троганием лица (если такая необходимость возникла, лицо там помыть, прыща задавить или еще чего такого).
Но, как говорится, и на старуху бывает проруха, да и есть иногда приходится в антисанитарных условиях, чтобы не протянуть ноги (особенно при некоторых заболеваниях).

Правильно. Если и говорят, что коронавирус живет на поверхности сколько-то минут или даже часов, но к полноценному заражению он не способен. Коронавирусы на поверхностях уже через неск. минут практически не способны заразить, да и их концентрация на поверхности недостаточна для заражения. А вот если рядом чихнет коронавирусник, то тогда шансы заразиться есть. И вообще, жить в стерильных условиях — гробить свой иммунитет.
UFO just landed and posted this here
Попробуйте маленький «мизинчиковый стилус». Возможно, Вам такое решение подойдет.
Проще монетку, она всегда с собой и прекрасно эмулирует палец (если брать руками без перчаток).
Особо мнительные и выкинуть потом могут, либо «в карантин» поместить.
Кстати, необязательно это делать на экране. Можно на клавиатуре продублировать.
Например, 1 — выдача наличных, 2- внести наличные и т.п.
Тогда это можно сделать программно, без аппаратных изменений.

Был похожий функционал… до сенсорных экранов. Были железные кнопки по бокам экрана.
Имхо нет смысла возвращаться

UFO just landed and posted this here

Не так уж они отлично работали. Максимальное количество вариантов выбора с кнопками было 8.
Дизайн надо было привязывать к этим кнопкам.


P.S. Я тоже хочу вернуть физические кнопки принять/отклонить вызов. Они так хорошо работали. Можно было в перчатках телефоном пользоваться. и мелкие капельки во время дождя не мешали управлять телефоном. А теперь разве что стилусом во время мороза пользоваться. А для дождя так ничего и не придумали

С кнопками нельзя было набирать текст на экране банкомата где нет тачскрина, при каких-то платежах, где нужна квитанция была эти банкоматы становились бесполезными и очередь выстраивалась к банкомату с тачскрином, особенно во всяких МФЦ (где нужно приложить квитанцию об оплате со своей фамилией)
UFO just landed and posted this here
Там не платежки были, а просто бумажки с реквизитами, насколько помню.
Но это было года три назад, может что-то уже поменялось в тех же МФЦ.
Опять же чеки электронные появились, тогда их не было.
Кнопки по бокам экрана нередко не совпадали с надписями на экране, поэтому ими пользоваться было неудобно.

А еще использование физических кнопок поможет плоховидящим. Кнопки намного легче нащупать и на них есть специальная рельефная маркировка.

Написал и задумался, а как сейчас слепые/плоховидящие пользуются банкоматами с тачскрином?
UFO just landed and posted this here
Спасибо за предложение. Заботясь о безопасности клиентов, мы развиваем бесконтактное обслуживание не только в рамках данного сервиса.
Чтобы клиенты чаще пользовались NFC попробуйте использовать более «агрессивную» подсказку на экране. А вот чтобы надёжно переломить привычку вставлять карту, нужны дисплеи с NFC-ридером или антенной (правда я о таких даже не слышал). Вот тогда рефлекс «протянул карту и вставил» работать перестанет.
У игровой консоли как раз NFC для считывания интерактивных фигурок AMIIBO встроен в нижний сенсорный экран)
Да, именно об этом и речь. Но, к сожалению тема банкоматов крайне консервативная.
Например, ещё лет 15 назад я крутил видеоролики на тестовом банкомате (just4fun), но их в продакшн так и не внедрили.
Спасибо за идею, но мы придерживаемся философии естественного развития пользовательских привычек.
Было бы интересно поучаствовать в обмене опытом по банкоматной теме. Но это я сейчас говорю как частное лицо. Сбер такие публичные семинары проводит?
Как-то приложил карту к считывателю и попал в сервисное меню о_О банкомата. Теперь эта операция вызывает легкое чувство волнения =).
Здорово что ввели NFC на банкоматах, теперь я не боюсь что карту зажует (был однажды прецедент в неподходящий момент)
Да, это важный момент, минус одно механическое устройство, которое может дать сбой в самый нужный момент. Пару раз попадал в такую ситуацию, жевали сберовский Hyosung и старенький Wincor Nixdorf местного банка.
С NFC вместо карты обычно использую телефон, карта стала резервным средством.

Да у меня тоже лет 8 назад зажевало кредитку, на которую я как раз вносил платеж. Деньги вернули в тот же день по заявлению, а кредитку тогда три недели восстанавливали (тут я конечно сам виноват, поверил что ее привезут в центральный офис,
а надо было сразу закрывать), платеж за это время успешно просрочился и банк начал звонить чтоб узнать почему я деньги на карту не вношу.
Короче NFC это на проблему меньше, чем без него

очень понравилось заключение о nfc в европе — «не очень много»
Ну а я, видимо, постоянно во сне карточку прикладываю. Хотя бы уж посмотрели на положение дел в отдельных странах…
Когда сделаете лимит на оплату NFC регулируемым, как у известного банка с названием на Т? Спрашивал в поддержке, мне ответили в стиле «Ну и что что у других можно? Мы не они»
так как раз вот в Европе это уже давно, а они и это не могут сделать??? :\

В нынешних сберовских банкоматах очень раздражает говорящая барышня, которая громко сообщает всем окружающим что я собираюсь сделать и сколько снять.
Понятно, зачем это сделано, но нельзя ли где-то в самом начале её отключать кнопочкой?
А NFC, конечно, удобно

Мне непонятно, зачем это сделано, расскажете?

Может оказаться полезным, если у человека проблемы со зрением. На кнопках банкоматов и шрифт брайля часто встречается
Но для этого там уже предусмотрен разъем под наушники.

PS: Интересно, кто то пробовал им пользоваться, работает?

Пес его знает, но кроме "операция выполняется", "введите пин-код" и "введите сумму" ничего пока не слышал. Хотя и это раздражает, ибо слишком громко, особенно когда куча банкоматов начинает вразнобой одновременно орать что-нибудь.
Было бы логичнее, если бы озвучка включалась или выключалась в личном кабинете, на банкомате или в офисе банка, чтобы раз и навсегда установить правильное поведение (слабовидящим оно удобно может быть, а остальным не очень).


Еще бы хорошо было, чтобы банкоматы стояли в отдельных нишах и с таким расчетом, чтобы за спиной клиента была бы стена. Люди за спиной и у соседних банкоматов, которые могут увидеть, что творится на экране, вызывают сильный дискомфорт. Но что-то мне подсказывает, что банки на такое не пойдут.

Или экран, изображение с которого видно в коротком фокусе и с малым углом по горизонту.
После «введите сумму» 5-6 озвучиваний нажатых клавиш (от 10 до 200 тысяч рублей, судя по скрину в статье) небезопасно приводят к тому, что могут найтись желающие тут же по голове на отходе от банкомата тюкнуть. Хотя вряд ли они читают хабр и сами догадаются о такой нестандартной дырке в безопасности.
Когда только получил такую карту, пробовал разные банкоматы, но к сожалению тогда работала успешно где-то четверть, чаще банкомат никак не реагировал на карту, увы(
UFO just landed and posted this here
Иногда удается воспользоваться NFC, но к сожалению есть и недостатки, например повторное подтверждение операции — так как раньше физически находилась в банкомате — он мог без запроса считать данные, а теперь нужно запросить, возможно стоит как-то пересмотреть данный метод, запрашивать пин повторно или вовсе отказаться от запроса и хранить данные во время сессии пока пользователь не завершит работу с банкоматом, но всплывает другая проблема, один забыл завершить, второй подошел и может бесконтрольно работать?.. Есть над чем подумать
Ложишь карту на считыватель и совершаешь операции =).

А так подтверждение не зря сделано. К примеру защита от мошенничества. Если авторизовались в банкомат одной картой, а списание денег подтверждается другой, то что-то тут нечисто =).

Обычно это связано с техническими ограничениями — на чип в ответ могут прилететь какие-то команды (например, обновление оффлайн-лимита, при смене PIN-а — обновление PIN-а). Возможно кое-что можно было бы пересылать при последующей операции, но банки обычно хотят определенности сразу :)

Была волна скандалов, что можно было ввести данные платежа без вставки карты и покинуть банкомат при появлении запроса подтверждения. Следующий клиент в очереди подтверждал платёж, вставив карту и введя пин-код. Теперь подтверждение двойное.
Можно было сделать доп. защиту в виде вывода на экран предупреждения после прикладывания карты в виде: Будет оплачена такая та услуга, для согласия нажмите «ОК/Enter» и после неё снимать деньги с карты. А сделали так что пользоваться nfc стало менее удобно чем старым способом.
Тогда клиент может уйти не завершив операцию.
И так уходят, оставив карту/кошелёк/телефон/голову на считывателе.
Для оплаты уже 3 года не достаю карту из кошелька, даже кошелька часто нет с собой. Все делаю телефоном. Но на банкомате всегда вставляю карту. NFC отталкивает тем, что не понятно, то ли нужно чтобы карта все время лежала на «нужном месте» то ли нет. Проходит квест и прикладывать карту еще раз не хочется, для этого она должна быть все время пока пользуешся банкоматом в руках, в отличии от варианта «по старинке». Это «новое» условие делает процесс использования банкоматом неудобным. А класть ей на место считывания на все время кажется сомнительным, она может упасть, её могут «выхватить», особенно если использовать телефон вместо карты.

Я просто активирую gpay "кидаю" телефон на nfc приемник и делаю операции в конце забираю. Очень удобно стало.
Но вопрос такой, для защиты от спама, например если мошенники положат "списыватель денег" на nfc было бы не плохо какое то меню в Сбербанк онлайн, типа sberpay, только для "безопасной" работы с банкоматом. Т.е. операции с банкоматом проводить можно, а списывание средств, как за покупки нельзя. Тогда любой Скам не получится.

Если вы пользуетесь смартфоном, то проще сразу в приложении заказать списание средств, подойти к нужному банкомату и получить все в одно касание. Впрочем, для этого постоянный интернет нужен

Именно так их и забывают. Как и карты. Причём даже больше, т.к. в старом варианте банкомат верещит чтобы карту забрали.
Списыватель денег… Есть популярная страшилка про карты с NFC, что тебе в метро кто-нибудь к карману приложит терминал оплаты и спишет деньги в рамках лимита не требующего ввода пина. Возможно? В принципе да, но на практике такая атака малопригодна. Терминал для банковских операций нельзя просто сделать. Его надо получить на юрлицо у банка. Мошенничество с подобным терминалом вскроется ну очень быстро, и очень маловероятно, что преступник сумеет вывести деньги. А после этого ему будет нужно новое подставное юрлицо.
«Можно ли прикладывать к банкомату часы или телефон, как при оплате?»

Первое, о чем подумал, глядя на банкомат и часы на руке: можно, но правшам неудобно. Зато левши в кои-то веки торжествуют! )))
А не все ли равно на какой руке современные часы? У них управление все равно сверху, а время смотреть с любой руки можно.
В принципе любые наручные часы всегда можно было носить на любой руке, но на практике правши предпочитают носить их на левой. Я не раз пытался надевать часы на правую руку — неудобно до жути. Они всё время за что-то цепляются при работе, при использовании мыши браслет мешает руке лежать на запястьи. Я даже крошечный фитнес-браслет так носить не могу, а хотелось, чтобы носить на левой обычные часы.

Основное неудобство скорее в том, что если ты правша, то большинство действий ты выполняешь правой рукой (пишишь ручкой, вводишь пин-код, держишь телефон при разговоре и т.д.) соответственно, когда часы надеты на левую руку, то смотреть время можно в любой ситуации, одновременно с выполнением какого-то действия правой рукой.

Да, это тоже. Но мне больше мешает как раз то, что часы на правой руке цепляются за всё подряд, когда ей что-то делаешь. Пока не наденешь часы на правую руку даже и не замечаешь как много действий делается ей и как мало левой.
У каких это часов управление сверху? Мир часов не ограничивается AppleWatch и аналогичным Самсунгом.
Мои что Tissot, что Garmin явно заточены для ношения на левой руке, потому что основные управляющие кнопки сделаны с правой стороны.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
терминалы все зареганы — деньги идут на счёт который тоже привязан к конкретным людям. Окей, вы насобираете бабла — но как его отмыть?
Снять в банкомате? Они(по крайней мере пока) не просят снять капюшон, если плохо видно лицо.
Снять откуда, с счёта торговой точки, к которому привязан терминал? Что вы в банкомат собираетесь вставлять?
Вместе со счётом к которому привязана касса выдают карту(по желанию), да и деньги можно переводить на счёт физ. лица.
UFO just landed and posted this here
Сразу видно — вы на бомжа счёт не открывали.
И деньги физику от юрика не выплачивали
UFO just landed and posted this here
Те кто имеет связи воруют сразу миллиарды, а не сотни тысяч рублей до блокировки терминала.
UFO just landed and posted this here
Терминал не снимает деньги «на себя». Терминал лишь отправляет в банк подписанную картой клиента команду «отправить деньги на счёт ХХХ», где ХХХ — обязательно счёт юрлица, на которое оформлен терминал. Таким образом сиюминутно конвертировать деньги в нал нельзя, нужно ещё как-то обналичить их со счёта юрлица, а это бывает не просто даже при более легальном источнике денег (к тому же деньги реально падают на счёт со значительной задержкой). Что бы не случилось с терминалом, всегда будет конкретно юрлицо с конкретным учередителем, которое можно прессовать.

Это если вы используете терминал без модификации. Банк может принимать операции просто по протоколу терминала, не выдавая его физически. Например, сразу делать перевод через НСПК СБП. Остается только добыть где-то сам терминал (и даже не весь)

А ключи где взять?

Там же, где вы берете их для легальной деятельности.

Нигде не беру. Они в терминале вшиты, который банк выдал.

Ну прямо так и вшиты. Просто вы их сами обновить не можете и ваш банк не предполагает, что к нему будут стучатся не с его ПОСов. Но так не везде.

"У нас самая широкая сеть банкоматов в России"
Самая большая сеть у Тинькова, а вы лишь её подмножество. Одни из самых неудобных банкоматов с лимитом 7500р за раз.

Вы простите с какого региона будете?

С дефолтного. Речь про лимит, который сбер установил чтобы подпортить жизнь сторонним банкам.

Сбер за каждую операцию берет комиссию (до 100-200р) со стороннего банка.
Просто оплачиваете её не вы, а ваш банк. Который зашивает эту комиссию потом через тарифы на другие услуги.
Но в итоге тарифы у Тинька намного выгоднее. Наверно, потому что больше тратит на компенсацию комиссий для клиентов и меньше на рекламу с престарелыми знаменитостями.
А также на зарплаты 300 000 сотрудников, офисы и прочее.
Кому-то ведь нужно заниматься «грязной» работой: развозить наличку по банкоматам, обслуживать «неликвидных» клиентов (получатели пенсий, пособий, у которых нет денег на минимальный остаток в Тиньке для того, чтоб карта была «бесплатной»). А не только сливки снимать с состоятельных клиентов.
Половину сотрудников можно уволить habr.com/ru/post/438514
У меня в радиусе 1.5км четыре(!) офиса сбера. Зачем? Когда можно сделать ни одного.
Чтобы обслуживание карты тинька стало бесплатным, надо написать в чате «хочу перейти на тариф 6.2». Одной плюшкой в виде процента на остаток станет меньше, зато все остальные, вроде бесплатных и безлимитных переводов в любой банк, останутся. Можно и пенсии хранить. Только кто ж такой сладкий кусок оторвёт от монополиста.

У меня в радиусе 1.5км четыре(!) офиса сбера. Зачем?

"Зачем им какие-то козырьки?" — задал себе вопрос чиновник, скручивая винтовую пробку.

UFO just landed and posted this here
3*50 000 = 150 000 за раз + 150 000 через кассира в сутки. МИР зарплатный проект.
И зачем Вам наличка — даже 7,500? Везде карты принимают, кроме школьных столовых :(
Наличка нужна в основном на авито, там народ запуганный мошенниками не любит карты.
Со сбера снять 50к целый квест — стоишь 10 минут и по 7500 снимаешь. Снимаю я с тинька, на самой карте сбера хранить деньги бессмысленно, т.к. нет процента на остаток и еще кучи других плюшек вроде человеческого отношения к своим клиентам.

3*50 000 как-то снимал в офисе сбера с карты сбера. Проконсультировался с тремя местными работниками, чтобы было без комиссии. Сделал всё в точности, как они сказали — попал на 500р. Вопиющая некомпетентность в кадрах.
Разделите пожалуйста цветами и большими буквами, подтверждение пин-кодом, для фин. операций и для аутентификации.
Чтобы не было старого мошеничества. Когда мошенник выбирает операцию перевода средств, банкомат просит ввести пин-код, и мошенник уходит от банкомата.
А какой сценарий этого мошенничествао?
Нельзя же подтвердить операцию от другой карты.
Есть банкоматы без выдачи денег. Там можно выбрать операцию без вставки карты.
Хороший аргумент против идеи делать все операции с одним прикладыванием карты.
Сделайте пожалуйста возможность соврешения операций без предварительного подтверждения.
Условно: хочу снять 1000 рублей.
Сначала прошу банкомат выдать 1000 рубле йи только после этого он просит карту и пин код.
Большинству людей ваши плюшки, для которых нужен первоначальный логин — нафиг не сдались, т.к. типовая операция это снятие или пополнение.
Поддерживаю обеими руками за, почему не разделить интерфейс так, чтобы были операции не требующие авторизации на первоначальном этапе были доступны сразу.

Отличный пример со съемом налички:
1. подходим к банкомату
2. выбираем снять/положить наличку
4. выбираем сумма
5. просит приложить NFC устройство
6. вводим пин код карты, если нужно
7. наличка выдается/внесенные средства зачисляются на счет / сообщение, что карта заблочена/недостаточно средств

P.S. понимаю что внесенные в банкомат средства придется вернуть, но какова статистика, что человек пытается положить деньги на заблокированную карту (думаю минимальна)
Так можно положить денег на карту другого человека. Была уже серия мошенничества, потому и добавили двойное подтверждение с проверкой на одинаковость(я надеюсь) данных карты.
ок, идею это не меняет. просто тогда внесение наличности относим к категории операций требующих двойного подтверждения. Съем налички, насколько я понимаю, таких проблем не создаст.
И снять деньги с чужой карты, если человек вдруг передумал и ушёл. Такое тоже было.
Без хорошей камеры с ИК подсветкой и распознованием образа(не обязательно конкретной личности), такое вызовет новую волну мошенничества.
не получится снять деньги с чужой карты, так как карта прикладывается в самый последний момент, до этого человек может передумать/уйти в любой момент и ничего не изменится. Максимум, следующий в очереди невнимательный человек со своей карты снимет сумму что вбил предыдущий.
Если карта прикладывается в самый последний момент и сразу начинается снятие денег, то нельзя вывести информацию о комиссии.
А если выводить информацию о комиссии после прикладывания с предложением таки снять или отменить, то см. выше.
а что у нас снятие наличных до сих пор с комиссией? Лимиты на снятие, да, разные, но превышение лимита приведет к ошибке в конце и завершению сеанса. Мне уже давно такие банкоматы не попадались
Карта другого банка к примеру. Или бизнес карта. У меня к примеру бесплатный лимит 150тыр, дальше 1% от суммы.
Правда по бизнес карте я деньги не снимаю(а пол года назад и вовсе её заблокировал, зачем платить 4тыр. за ежегодное обслуживание), т.к. дешевле и удобней перевести на счёт физ. лица. А если приспичит положить, то это можно сделать по логину и паролю через банкомат(кнопка самоинкасация).
Хм, например, если комиссия 0, то можно вообще не показывать, а сразу выдавать наличку. Если не 0, то можно запросить повторное подтвеждение через NFC. Будет своеобразный бонус тем кто является клиентом того же банка/банка партнера что и банкомат.
Т.е. разное поведение банкомата в разных условиях. Кмк это ещё хуже, т.к. у людей быстро набивается рефлекс, потом они действуют по инерции и тупят или забывают если процесс пошел не так.
Плюс кто то обязательно будет возмущаться что банкомат не выводит инфу о комиссии даже если это ноль, думая что и в других сценариях банкомат сначала выдаст деньги, а потом напишет о снятой комиссии.
Те кто жалуются есть всегда, вопрос какой это процент, тут без полевых испытаний не обойтись, к сожалению.

по поводу разного поведения кодить такую логику сложнее, но чтобы получать кайф от использования порой приходится напрягаться при написании кода.
Жаловаться они порой начинают громко, плюс это могут подхватить журнашлюги, переврать для эффекта и устроить панику среди населения, заодно нанеся урон репутации банка.
Я сам выше или ниже приводил подобные предложения, но понял что двойное подтверждение для nfc это лучший из вариантов, пока нет распознавания изображения.
А тот же сбер над ним давно работает, собирает биометрию и делает новые модные банкоматы.
А тот же сбер над ним давно работает, собирает биометрию и делает новые модные банкоматы.


Биометрия не выход совсем… я уже молчу что у людей меняется ДНК, когда они проходят процедуру замены костного мозга. Практически любой датчик можно обмануть, кроме пароля в голове.

По поводу СМИ — банки давно научились с ними работать, не вижу проблем. Темболее черный пиар тоже пиар.
Я не говорю про идентификацию конкретного человека(это наоборот затруднит жизнь владельцам карт).
А о распознании и удержании образа человека, т.е. пока эта конкретная личность(без опознания и пробития по базе) не отойдёт от банкомата, то она может делать любые операции без подтверждения на каждый чих.
Как только лицо перед камерой сменилось, то сессия завершается. Так нельзя будет совершать мошеннические действия(порой не специально) и не нужно использовать распознание конкретной личности с установкой имяфамилии(что не надёжно). Т.е. карта всё равно будет нужна, но её будет достаточно предъявить один раз.
Я думаю локально это тяжело сделать, все-таки железо в банкоматах не блещет производительностью. А к тому моменту как появятся asic'и под эти цели, я думаю народ уже перестанет наличкой пользоваться (ее чем-то заменят).
Фиксация одного образа для сессии куда менее ресурсозатратная и более быстрая, чем надёжное распознание личности. А банкоматы и так будут массово заменять(в новых заявлено распознание и оплата по лицу). Т.е. новые будут аппаратно готовы.
Есть альтернативный подход. Суть его в том что вы в приложении банка заказываете снятие наличных, указывая сумму. Приложение генерирует qr-код, который показываешь банкомату и получаешь наличку без прикладывания карты/смартфона, без ввода пинкода. Систему можно доработать и передавать инфорацию из QR-кода через NFC вместе с идентификационными данными (если уж так хочется идентифицировать человека). Тинькофф дает такую возможность, но через qr-код.
Это и так уже где то реализовано(только проще), видел в коментах тут.
Двойное прикладывание — крайне неудобно.

Почему бы не сделать ввод пин кода для подтверждения операции, вместо того чтобы вводить его сразу?

а вы можете отключить звук у банкоматов? "операция выполняется" задолбала больше чем аудио реклама вконтакте

У меня часы от самсунга с оплатой по nfc — перед тем как я активирую nfс в нем я должен ввести пинкод на экране. А теперь представьте какую боль создает двойное подтверждение:
1. выбрать карту на часах
2. ввести пин на часах (тут есть задержки по 3-7 секунд, железо часов тупит)
3. приложить часы к банкомату
4. найти в меню банкомата, например, съем налички
5. опять ввести пин на часах
6. приложить часы к считывателю

UX на телефоне в этом плане сильно быстрее и проще.

Почему-бы просто не сделать таймаут, на подтверждение по NFC — например, если между подтверждением прошло меньше 20-30 секунд, не запрашивать повторное прикладывание девайса? или вы в серьез думаете, что у грабителей через 20-30 секунд карта/телефон/часы испарятся?
Только банкомат может тупить по 20-30 секунд(а может не тупить), всегда раздражает эта их задумчивость.
да, это бы так не возмущало, если бы на рынке не было банкоматов без такой проблемы… но тот же тинькофф как-то умудрился сделать нормальный с точки зрения отзывчивости банкомат, значит это возможно…
Не могу не согласиться, Сбер в погоне за безопасностью сделал боль для пользователей, я думал я один такой, кому это не удобно, а в Т. удобно.

Это, скорее, странное требование часов от Самсунга. Все остальные спрашивают пин-код, когда надеваешь часы на запястье. И блокируют экран, когда часы снимаешь.
Все остальное время, когда часы детектят нахождение часов на руке, пин-код не запрашивается.
Кроме того, в часах на WearOS можно заменить пин на более удобный для мелкого экоана графический ключ.

Garmin запрашивает пин-код при обращении к кошельку. Некоторое время после этого можно платить без повторного ввода пин, но через пару часов (за временной интервал не ручаюсь) нужно вводить снова

Хорошая реклама NFC — лишний раз не касаться банкомата (но денег всё равно придётся касаться). Ещё с тачем можно работать не снимая перчаток (что недоступно у многих других банков).

В чём проблема с прикасанием к деньгам?
Есть указание ЦБ, что купюры должны отлежаться 3 суток (максимальный срок жизни ковида на предметах) до выдачи клиенту. Даже без его намеренного соблюдения чисто технически от получения денег банком и их укладки в кассеты до доставки их в банкоматы проходит не меньше двух дней.
Ресайклинг без отлеживания денег в течении 3 дней запрещен тем же постановлением.
и кто-то выполняет это постановление??
пытался через сбер положить и снять купюру т.к. не принималась в терминале — выдал мне обратно ту же самую.
с месяц назад такая же ситуация была с банкоматом Тинькова и долларовой купюрой (выдал с штампом, хотел заменить на другую, после пополнения — выдаёт ту же самую, без всякого отлеживания)

Не представляю, как вы реализуете ресайклинг с отлеживанием. Это значит, что выдачу в нем придется просто отключить. Физически купюры входят и выходят из одного отверстия в кассете или барабане и представляют то, что программисты называют "стек".

поставить дорогой и ненадёжный резистивный экран вместо ёмкостного и можно в него тыкать любым протезом

Ну, тут ещё могут пожаловаться люди с кнопочными телефонами :)
А вообще выдача карт без NFC в 2020 очень редкий кейс. Это либо совсем простые, неименные карты, либо даже не знаю.

у того же МИР NFC еще очень глючный… к примеру, даже банкомат Тинькова вылетает с ошибкой при попытке авторизации по карте МИР через NFC (по мастеркарду без проблем работает)

Не знаю. Пока что у меня карты трех платежных систем (МИР, VISA и MasterCard) по NFC работают примерно (отказы поштучно не подсчитывал) одинаково. Количество отказов, похоже, никак не зависит от платежной системы (если она в принципе на данном конкретном терминале поддерживается).
Возможно, вам просто бракованная карта попалась (что у меня, например, случилось однажды с картой VISA — NFC срабатывал только один раз из пяти).

Я стараюсь пользоваться только банкоматами с NFC, но сила привычки с запихиванием нет-нет да даёт о себе знать. Было разок — запихнул. Потом одумался. Отменил без ввода пина. Приложил. :D


P.S. Но есть случаи, когда первый раз запихивать всё же необходимо — это когда новую карту получаешь (у нас их по почте шлют).

А как такие банкоматы работают с Samsung pay\Apple pay с (виртуальными картами)?

Все в комментариях ругают сбербанк, а в это время в США редкие банки выпускают карты с NFC, банкоматов с NFC почти нет, зато на многих банкоматах есть слот для вставки платёжных чеков :)

У нас огромный серый и чёрный рынок. И гос-ву это совсем не выгодно, потому оно подталкивает людей к электронной валюте, т.к. так гораздо сложнее вести не зарегистрированный бизнес.
Вот мы и имеем NFC, онлайн кассы, маркировку и прочие радости.
Я что-то упускаю, но есть скиммеры, есть накладки на клавиатуры и скрытые камеры для пина. Думаю, можно также сделать накладку для считывателя NFC.
Чем тогда этот способ безопаснее?
UFO just landed and posted this here
Хотел бы отметить ряд особенностей:
1. не совсем корректно писать про прикладывание карты, можно прикладывать и устройство с NFC;
2. не всегда удобен алгоритм в части необходимости 2-х прикладываний, для операций снятия или оплаты с этим можно согласиться, но, например, для операций пополнения счёта наличными это не совсем удобно. Как это происходит у меня: подхожу к банкомату, достаю смартфон, разблокирую смартфон, прикладываю палец к смартфону для активации режима оплаты, прикладываю смартфон к считывателю в банкомате, блокирую смартфон, убираю в карман смартфон, выбираю на экране операцию пополнения, банкомат требует повторно приложить устройство, достаю смартфон из кармана, разблокирую смартфон для активации режима оплаты, прикладываю палец к смартфону, прикладываю смартфон к считывателю в банкомате, блокирую смартфон, убираю в карман смартфон, достаю деньги и вкладываю в банкомат. Часто бывает, что карманов нет, деньги в одной руке, смартфон в другой, и это второе прикладывание, бесполезное на мой взгляд, сильно портит картину использования, благо у другого не менее популярного банка требуется всего 1 авторизация для пополнения.
— предложение по п.2 — для операций пополнения или для операций выбранных в банкомате в течение 5-10 секунд не требовать повторного прикладывания.

Заголовок спойлера
Сейчас при бесконтактном обслуживании карту к банкомату нужно приложить дважды: в первый раз при авторизации, во второй раз — при подтверждении операции.
Немного оффтоп, но хотелось бы узнать про недавний твит с паролями независимыми от регистра и что это безопасно. Систему так и не поправили?
UFO just landed and posted this here
Повторно всплыло недавно.
image
На случайном пароле из 8 цифробуквенных символов (минимальная длина, простейший набор) это снижает энтропию в 100 раз. Это не так уж много, учитывая, что речь идёт о разнице между 10¹² и 10¹⁴ вариантов. На словарных паролях хуже, но там ведь есть ещё и второй фактор в виде СМС. Плюс защита от перебора. Мне кажется, это довольно надёжно. Зато пользователи не насилуют сапорт, когда случайно нажали капс-лок.

Но смешно, что в требованиях к паролю указывается на необходимость обязательно использовать буквы разного регистра.

Там ещё ниже по треду было эпичное


— То есть вы пароли не хешируете, что ли?
— Нет, надёжный пароль вам придётся придумать самостоятельно.

Понятно, что СММщика запутали терминами, но в каждой шутке всегда есть доля шутки :-)

Ой, ну уж регистронезависимый хеш-то сделать вообще не проблема.

Больше всего в банкоматах Сбера напрягает их «нерасторопность».
Вставил карту, положил/снял деньги, забрал карту и деньги, идёшь к выходу, а тебе в спину:
— Заберите карту!
Напрягаешься, оборачиваешься, проверяешь, вроде забрал, двигаешься дальше, прилетает контрольный:
— Заберите деньги!
C NFC было бы удобно в других странах, когда к примеру, твоя карта протухла по сроку или что-то с ней случается. В сожалению, в двух разных странах, банкоматы не хотят принимать карту/телефон не от своего банка
А из каких соображений проверка введенного ПИН проводится уже после выбора операции? Для меня как клиента это неудобно: ошибся при вводе ПИНа, нащелкал свою операцию и тут опа, ПИН неверный, введите снова. Причем карта выплевывается, набранная операция сбрасывается, продолжить с того же места после ввода правильного ПИНа уже нельзя, начинай по новой.
UFO just landed and posted this here
Очень много клиентов просто не знают о технологии NFC

Ладно бы клиентов. До сих пор помню глаза продавца в маленьком магазине(США), когда я карточку прикладываю к терминалу. Он мысленно уже в полицию позвонил, и только чек, вылезший из кассы, его убедил что «так можно было».
В РФ первые годы ввода NFC такое массово было. Особенно когда не карту прикладывали, а браслет или смартфон. Вплоть до криков: «Охрана, хацкеры грабють». И сам видел и даже таким хацкером был. :-)
Да, но в 18м году!
В США до сих пор много где принимают только по магнитной полосе. У нас такое давно запрещено.
NVMakarova, вы вот намекаете на безопасность, а расскажите, в отдельной статье например, как ВАШ банк борется с такими например случаями — смена доступов к онлайн банкингу и перевод всей суммы куда то вдаль? У моего знакомого недавно так и произошло — некто сменил доступы к онлайн банкингу и перевел все куда то, притом двухфакторка стояла, но смс не пикнула даже и сейчас банк (ВТБ) делает фэйспалм лицо и говорит человеку 70+ лет что типа он сам это сделал. Как у вас с этим? Каков шанс возврата средств, блокировки транзакций, сроков и т.д.?
карточка заходит в устройство медленно, так как совершаются колебательные движения с целью предотвращения считывания данных с магнитной полосы

Я думал это с механикой плохо, моторчик не тянет.

А можно же технически сделать функцию размагничивания/намагничивания?
Размагнитил — и содержимое магнитной полосы стёрлось, остались только микропроцессор/nfc?
Захотел поехать в регион, где микропроцессорные карты не в ходу — вставил в банкомат и намагнитил снова (если информация полосы хранится так же в микропроцессоре карты — чисто технически что мешает её считать из процессора и записать на полосу?)

У меня телефон скатывается с банкомата

Меня другое удивляет, почему я не могу снять деньги в банкомате сбербанка, пользуясь картой другого банка через NFC в телефоне? То есть, если я карту другого банка физически вставляю в банкомат сбера, то всё нормально, если я эту же карту вношу в samsung-pay и в телефоне выбираю карточку подношу к NFC банкомата, он не хочет с ней работать. Пробовал несколько раз на разных банкоматах. Правда сейчас срок действия этой карточки закончился, я получил другую, но еще не пробовал. При этом карта сбербанка внесена в этот же телефон — работает хорошо.
Я периодически снимаю деньги в сберовских банкоматах с карты другого банка с использованием NFC на телефоне (Google Pay). Это работает. Однако я сталкивался пару раз с невозможностью это сделать, причём при использовании физической карты. Не знаю с чем это было связано: старое ПО или, может, неисправный считыватель. В целом это явно возможно.
ну то есть это не системное явление, а скорее локальное?
Здесь в комментариях не раз на это пожаловались, но закономерности не выявлены. В целом, похоже, что так быть не должно, карты других банков должны работать и по NFC.
Добрый день.
У меня вопрос по самой технологии NFC и ее безопасности. Ранее пользователи писали о возможности считать NFC и бесполезности этого.
Так вот хотелось бы увидеть более точные ответы (если будут конкретные кейсы, сделаюсь самым счастливым человеком) на следующие вопросы:
-правда ли, что NFC не шифруется и не будут;
-насколько безопасна нешифрованная передача NFC?
Заранее благодарю.
Что именно не шифруется? Конечно же, при общении между терминалом и картой для осуществления платежа используется криптография. Но некоторые данные с карты можно считать свободно. Например номер и срок действия.