Pull to refresh

Comments 39

Качество и глубина статей не выдерживает никакого сравнения.
Вы пытаетесь сравнивать разные жанры. Это как сравнивать авторскую колонку с журналистским расследованием.
Так в Android NFC выключен при заблокированном экране.
Какой же бред…
1) Подключают крупные банки всех, кому не лень. Оставили заявку в альфе, в тот же день позвонили нам, на следующий же привезли терминал и обучили. Клиент — ИП открытое неделю назад, место — подвал в стадии ремонта.
2) Любые проверки ip и всякого такого — бред, защита от школьников и тех, кто стащил терминал у курьера. Простейший роутер с прокси — и проверка ничего не надёт. Защитить может только gps модуль в самом терминале, например. Но тогда стоимость обхода просто станет не 5 баксов, в 500.
3) Платежи через smsungPay, androidPay, applePay — всё требует разблокировки и авторизации пользователя, поводить антенкой у кармана в метро не получится. Для обычных карт достаточно держать 2 карты с бесконтактными платежами вплотную, чтобы невозможно было провести оплату. Для остальных есть кошельки с фольгой.
Для обычных карт достаточно держать 2 карты с бесконтактными платежами вплотную,

Ну это хум хау, у меня один раз из пачки в 8 карт сработало и проплатилось.

Зависит от терминала и его настройки.
Большинство терминалов при обнаружении нескольких карт, просто матюгаются на это и просят дать одну из них, некоторые рандомно выбирают из всех обнаруженных и пытаются провести платёж.
Да, подключают всех. Только если операция без пинкода, то она легко оспаривается. И отвечает этот ИП в подвале, если его уже не найти — банк подключивший такого ИП. Потому, снять сразу всю сумму налом со счета типичному ИП не так и просто.

А в чем профит «стащил терминал у курьера»? Украсть у случайного человека в пользу курьерской службы??

Шапочки из фольги для карт — параноикам!

Куда более интересно, что защищает от переделки терминала в терминал-сборщик данных карт, или в терминал который на экране и чеке убирает два-три ноля, то есть покупатель подтвержлает пинкодом 300р, получает чек на 300р, списывается 30000р. В суде это будет как то очень непросто доказать.
покупатель подтвержлает пинкодом 300р, получает чек на 300р, списывается 30000р. В суде это будет как то очень непросто доказать.

Разве это нельзя доказать тем самым чеком?
Ну вот смотрите, вы покупаете пиццу за 300р, видите на терминале 300р и запрос пина. Вы логично его вводите, курьер говорит что так настроено. Вылазит чек на 300р. Курьер уходит, вы получаете смс на 300р и 30000р. При запросе в банк, у вас есть транзакция неподтвержденная на 300р (от которой чек) и подтвержденная пином на 30000р. Как вам поможет чек?

Это один вариант. Второй вариант — транзакция одна, сумма разная. Предположим вы чек скопировали и заверили или он не выцвел до суда. Что докажет подлинность чека? ИП скажет что продал вам айфон за 30000р, покажет со своей стороны накладную и свои бухгалтерские документы, уплаченый налог и т.п. У вас есть лишь чек, который напечатан, предположим, специально не по правилам, чтоб быть похожим на чек с одной стороны, и быть очевидно поддельным с другой. Терминал ИП сменил по поломке/утере, экспертизу не провести.

Была здесь статья про эти терминалы, там говорили, что при попытке вскрытия терминал забывает все свои ключи и сертификаты, и становится просто "калькулятором" с NFC модулем, принтером, магнитофоном и слотом для смарт-карт.

Если у вас лимит на оплату без пин-кода в 1000р, а вас просят подтвердить покупку пин-кодом на 300р, то я это прям явный повод не оплачивать такую покупку.
У меня в одной сети терминал просит вставить карту и ввести пинкод. Продавцы говорят что это из-за того что карта MIR
Во-первых в соседней статье объяснили, что при такого рода мошенничестве (транзакции на неправильные суммы или левые транзакции) после пары жалоб пользователей (потому что такие вещи очень заметны) терминал и мерчанта блокируют до выяснения, причем как правило еще до того, как злоумышленник успеет вывести деньги. Учитывая что соответствующее оборудование стоит довольно дорого, такое мошенничество просто не окупается.
Во-вторых вы просто не сможете так просто взять и переделать терминал. Вы можете сделать такой терминал сам с нуля (чисто железо собрать и софт написать), но у вас не будет ключей для подписи транзакций банка. Они будут только в терминале полученном от банка. Но такой терминал вы не сможете расковырять и вытащить их, либо заменить какие-то принципиальные части оборудования, так как при попытке вскрытия там все превращается в тыкву (мы как-то продолбали целую партию терминалов при транспортировке — их там похоже хорошенько пороняли, в итоге они приехали уже тыквами, так как решили что их пытаются вскрыть и уничтожили все данные внутри себя).

Можно пытаться воровать данные Track2 — там номер карты, срок действия — то что написано на самой карте. И затем пытаться платить онлайн там где нет подтверждения по смс. Вот это более-менее реальный вектор атаки.
Да, затруднить вывод денег, это самое эффективное препятствие.

Что касаемо вскрытия терминала… Позвольте не поверить. У меня был терминал, у него съемная батарея, он много раз разряжался и тем не менее продолжал снова работать. Я технически не могу представить систему контроля целостности корпуса, успешно противостоящую лабораторному взлому.
Снятие батареи как и открытие крышки принтера предусмотрено штатно, открытая крышка и изъятая батарея доступа к ключам и пр. не дает. У нас случаи бывали что при сильном резком похолодании температуры воздуха (т.е. резком изменении атм. давления) в день с большой сети пару тройку терминалов вышибало в tampered. После ремонта подобного оборудования в хороших конторах, с качественным сервисом, опытным персоналом терминалы возвращаются скомпрометированными. Защита есть и она хороша.
Внутренняя батарейка, как у биоса. Простейшая микруха, которая выводится из сна вскрытием корпуса.Хватит на 2-3 года, потом можно дать в банк на плановую замену, например.
Можно пытаться воровать данные Track2 — там номер карты, срок действия — то что написано на самой карте. И затем пытаться платить онлайн там где нет подтверждения по смс. Вот это более-менее реальный вектор атаки.


Тоже не выйдет — CVV на магнитной полосе, iCVV в Track 2 Equivalent Data на чипе и CVV2/CVC2, который написан на обороте карты и обычно требуется для онлайн платежей, — это три разные криптовеличины, посчитанные на разных ключах.
У бесконтактной карты платёж до 1000 рублей без ввода пинкода, если мне память не изменяет. И если сумма в 300 рублей вдруг запросит пин-код, то это будет как минимум странно
Моя карта (белорусская) живёт своей жизнью. То за 1 рубль пинкод просит, то 50 списывает без вопросов. Причём, в одном и том же магазине порой. Так что никакой задней мысли бы не возникло.
Ввод пина зависит от банков и условий для магазинов. Если магазин не готов брать на себя риски по транзакции без пина, то пин будет хоть с копейки.

Даже если это будет выглядеть странно, многие пин введут, не вникая в подробности.

Все эти условия порой похожи на абсурд. Молодежная карта Сбера. Оплачиваю общий счёт в кафе на 15000 никакого пина. Кофе в KFC — будьте добры пин код.
Ничего в личном кабинете и с менеджером банка не перенастраивал.

По всякому бывает.
У меня в местном супермаркете на одной из касс снимает любую сумму с первой попытки.
А на другой сперва пара неудач, потом запрашивает пинкод, и после этого тоже раза с третьего только всё получается (независимо от суммы).
Ещё лично попал в транспорте (в троллейбусе). С двух попыток оплата не прошла, кондукторша стала жаловаться, что ещё одна попытка — и всё, что-то там у неё заблокируется. Я поменял активную карту (android pay), и после этого всё получилось.
Но! На следующий день внезапно получаю чек от старой (вчерашней) попытки, датированный сегодняшним числом. И эти деньги по итогу снялись.
Не знаю, как она это сделала; специально или просто сбой — но если специально, то система явно несовершенна. В этом случае нашедший лазейку сможет пользоваться ей ещё достаточно долго (банально — вряд ли кто-то будет заморачиваться и связываться с банком из-за 18 рублей...)

То есть по сути никакой ТЕХНИЧЕСКОЙ защиты нет, а есть лишь "страшные юридические договора".
О-кей, все бесконтактные карты переводим в гугл и платим только смартфоном (там оплата зависит только от разблокировки устройства, а не от сотни пунктов юридического договора).

Другое дело если у тебя карту стащили или ты её потерял и узнал об этом не сразу, злоумышленнику ничего не помешает понаделать покупок с чеком <1000р вплоть до опустошения карты.

"В случае халатности или серьезного нарушения юридическую ответственность может понести любая сторона, но, как правило, ее несут банк-эмитент карты"… Чего-чего может банк-эмитент? Вы про какую страну вообще говорите? К слову в комментах к http://habr.com/post/422551 люди рассказывают что как-то из банка ответили в стиле "бесконтактная оплата не опротестовывается по определению"...

Не очень понятно..


на мошенничеств с использованием бесконтактных технологий нам не грозит. Мерчанты уже предприняли дополнительные меры защиты

И тут же статья переключается на другое. И причем здесь то, как банк регистрирует merchant и какие у него административные процедуры для этого.
И как обычный продавец может определить что конкретно "прислонили" к ридеру терминала?


Единственная защита "порядочный человек из за мелкой выгоды большой пакости не сделает"


Ну и порог вхождения.
Мелкий гопник (два минимум) из за 1000 руб должен уметь собрать android приложение, иметь свой VPS что бы не в пределах прямой видимости хотя бы работал (не локальный WiFi между телефонами)…
Да проще мелочь по карманам тырить!


Ссылку на Github на приложение не даю. кому интересно — найдут. Ничего в этом сложно в организации bridge по TCP/IP между двумя NFC телефонами один из которых как ридер работает, а другой как "карта".


Вот когда банкоматы начнут выдавать нал по бесконтакту… Вот тут то волна и пойдет.
Посмотреть PIN не сложно. А нал это не товар на 1000 руб.

Вот когда банкоматы начнут выдавать нал по бесконтакту…


Уже выдают, в полный рост. Альфа даже на старые банкоматы какие-то NFC-ридеры приколхозила.
Ведомости, 16 августа 2018 года
Visa ужесточит требования к банкоматам в России
Они должны будут принимать бесконтактные карты

Все там будем, причём очень скоро :)
Ну и порог вхождения.
«Почему Робин Гуд грабил богатых?
Потому что для того, чтобы грабить бедных, нужно быть государством/организацией/богатым.»
большинство кредитных компаний будут действовать в рамках договора о нулевой ответственности, предполагающего возврат всех украденных средств пострадавшему.

Подскажите пожалуйста какие банки в России так будут действовать?
Краткое содержание статьи: Что защищает от мошенничества с бесконтактными платежами? Ну, мы очень стараемся, что бы с бесконтактными платежами работали достойные люди, заслуживающие доверия.
Ну здорово. Как люди раньше до такого не догадывались? Это же универсальная методика — хочешь защитится от засланных казачков на работе — нанимай хороших людей. Не хочешь отдать деньги мошенникам — веди дела с порядочными людьми. Не хочешь попасть под колеса на переходе? Переходи дорогу, когда по ней едут законопослушные водители, все просто!

Сарказм понятен, но, тем не менее, это всё работает.


Если у какого-нибудь продавца расплатятся ворованной кредиткой, владелец карты скорее всего (*) оспорит операцию, и продавец получит серьёзный штраф за недостаточное качество идентификации личности покупателя. В следующий раз будет просить ввести пин или показать паспорт вместе с картой.
Если продавец сам решит скопировать карту и снять с неё немного денег, то ему опять же вкатят как минимум штраф, или вообще заведут уголовное дело. Всё отслеживается.
Такая вот принудительная честность.


Более того, это всё как-то работает (сейчас в основном работало) даже без кодов по sms или цифровых подписей, сделанных чипом карты. Достаточно легко копируемых данных карты.


* — в ряде сценариев не оспорит, но вероятность этого меньше.

Заметил по этой и недавней статье, что схема безопасности основывается на рациональном поведении вора (стоимость вхождения больше, чем доход).
То есть некий неразумный гопник, тюкнувший продавщицу бутылкой и отнявший у неё терминал, может какое-то время бегать и "обилечивать" прохожих во имя хаоса, но воспользоваться украденными деньгами не сможет.

в принципе — на это рассчитаны все современные массовые системы безопасности (ибо если во имя хаоса, то иногда это случается даже с теми, кто по идее должен порядок сторожить).
Вот, может, разве что ракеты и АЭС сторожат с учетом этого. А остальное — одиночки системе большого ущерба не смогут причинить.
По-моему, модель гарминовских часов с КДПВ не поддерживает бесконтактных методов оплаты.
интересно, а есть возможность прописать в карте (а лучше в банке-эмитенте) опцию запрашивания пинкода всегда, вне зависимости от суммы операции.
Ну разве нет в русском языке достаточного количества слов, чтобы перевести «merchant»? При том что
Информация сверяется с кодом категории продавца (Merchant category code, MCC).
UFO just landed and posted this here
Only those users with full accounts are able to leave comments. Log in, please.