Ходить по вагонам метро с POS-терминалом и снимать деньги. Можно?

image Ходить можно, снимать, думаю, нельзя. Это моя первая публикация, взяться ее написать меня побудили особо уверенные комментарии о том, что «можно снимать деньги» в статьях про развитие бесконтактных платежей PayPass, PayWave и всей технологии NFC в целом. В своих размышлениях я опираюсь на собственные наблюдения работы банковских систем, на общение с сотрудниками банков и на общие материалы, которые доступны в Сети. Попробуем для начала описать ситуацию, как можно, подробнее, а потом разберем ее на этапы пост-обработки уже внутри банковской системы.

Итак, предполагается, что некий «нехороший» человек, неким путем получает мобильный POS-терминал с технологией PayPass, способный принимать платежи. Этот человек пользуется общественным транспортом, наверняка, в час-пик, проходит по салону и прикладывая терминал к сумкам, карманам пассажиров, списывая с банковских карточек хозяев суммы не более 1000 руб., чтобы не вызывать ввод пин-кода. Вскоре он должен получить эти деньги на расчетный счет и вывести их. Вроде бы ничего не забыл.

Начнем по-порядку. Человеку нужно иметь действующее юр.лицо. Дальше он должен открыть счет в одном из банков, которые предоставляют платежные терминалы. Исходя из того, что я вижу в магазинах, все терминалы представлены банками входящими в ТОР30 банков России, и вероятно, эти банки имеют значительную службу безопасности. Другими словами подлог документов будет затруднительным. Потом, при открытии счета, директор компании должен лично явиться в отделение банка и оставить образец подписи. Это я к тому, что можно было бы открыть контору на бомжа, но нужен реальный, живой человек-директор. Плюс ко всему, кому-то лично всё-таки придется «светиться» в банке как минимум для получения терминала. Идем дальше.

Далее, наверняка, потребуется глубокая модернизация терминала. Ведь нужно заставить его делать и не делать некоторые операции:

1. Автоматически вводить сумму платежа, ждать оплаты и после оплаты снова вводить сумму платежа и так по кругу. А может быть, вводить каждый раз разные суммы.
2. ВАЖНО!!! Не пищать и не издавать вообще никаких звуков ни при каких условиях!!!
3. Не печатать слип (чек) в двух экземплярах.
4. Наверняка, нужно будет модифицировать антенну NFC, возможно вынести ее за габариты устройства и присобачить к рукаву куртки, чтобы было удобно незаметно сканировать.

Кроме того, нужно придумать способ иметь обратную связь с терминалом, не вызывающий подозрений у пассажиров, чтобы знать, что платеж прошел и можно двигаться дальше. Будем считать, что на все переделки терминал отреагирует молча, будет работать штатно и без ошибок.

Я не стану описывать этап хождения по вагонам, аккуратные взмахи руками в ожидании «знаков» и прочие уловки человека, дабы его действия не вызывали подозрения. Хочется только напомнить, что в массе своей, у всех держателей платежных карт услуга СМС-оповещения подключена по-умолчанию, и этот момент является первым серьезным препятствием нашего «героя». Ведь отвлечь внимание одного человека еще можно, но отвлекать целый вагон от звуков приходящих СМС будет практически невозможно. Мало того, приходить СМС будут не самого доброго-желанного содержания, и народ начнет оглядываться по сторонам в поисках причин. Но пусть удача улыбнется нашему «герою», и он будет работать только в тоннелях, где связь не работает, и покидать вагон до того, как начнут приходить оповещения. Но без связи и терминал не сможет обработать платеж. Хочу добавить свои размышления, т.к терминал мобильный и работает на базе сотовой сети, не удивлюсь, что где-то в логах он пишет и передает данные о своем местоположении куда следует. И очень может быть, что СБ этими данными очень быстро заинтересуется.

И вот теперь мы переходим к самому интересному — пост-обработка платежей. Как всем нам известно, операции с картами делятся на несколько этапов. В момент транзакции банк-экваер (тот, что дал нам терминал) отправляет запрос через НСПК (мы же в России) в банк-эмитент (тот, что выпустил карту). Запрос об остатке средств на карте достаточных для платежа. После положительного ответа, наш терминал (в обычных условиях) выдает нам слип (2 чека) об успешной платеже, а банк-эмитент блокирует сумму (вешает на hold) до полного подтверждения транзакции. Одним из таких подтверждений обычно служит как раз второй экземпляр слипа, который продавец оставляет у себя. Раньше, когда не было чип-карт и не было запроса пин-кода, на нем нас просили оставить свой автограф. И только когда все формальности соблюдены, заветная сумма списывается со счета банка-эмитента и уходит на расчетный счет конторы. Но у нас терминал особенный и слипы не печатает, а значит могут возникнуть вопросы. Кроме того, сумма удерживается в среднем 2-3 дня до полного списания, а этого времени, мне кажется, достаточно для того, чтобы наши пассажиры метро, позвонили в свой банк и зло спросили о странных списаниях средств. В таком случае, банк-эмитент продлевает удерживать сумму до тех пор, пока банк-экваер и наш «герой» не докажут, что платеж был взят в честном бою! (шучу). По моим наблюдениям, платежи без введения пин-кода (те самые через paypass) могут висеть на холде неделю и больше. И оспариваются эти платежи гораздо легче, чем которые подтвердили пин-кодом. Считается, что пин-код может знать только держатель карты, поэтому такие операции оспариваются гораздо сложнее.

Мне кажется, я описал все главные аспекты этого вопроса. Надеюсь в комментариях, мы увидим другую сторону медали и тогда статья станет более полной.

Мир финансов очень трепетно относится к деньгам, и всё что касается безопасности и репутационных рисков очень строго отслеживается. Уверен, что когда внедряли систему бесконтактных платежей, все варианты фрода с этой системой были продуманы. Почему-то до сих пор я не слышал ни одной новости, как хакеры сняли кучу денег с банковских карт используя PayPass. А новые Apple Pay, Samsung Pay, Google pay не оставляют шансов использовать это схему в будущем. Проще отнимать деньги у людей отходящих от банкомата )))

UPD. В комментарии@Anynet как раз описывает свои попытки с действующим терминалом.
Я в свою очередь забыл описать самый простой способ защиты от любых попыток удаленного сканирования ваших карт — просто держите карты с NFC рядом друг с другом. Проездной Тройка, даже билет на метро уже сойдет. Интерференция сигналов от разных карт сделает чтение нужной карты невозможным. Хотя, говорят что не всегда помогает.

UPD2. Двое хабравчан привнесли в статью недостающую информацию:
enalco внёс ясность в вопрос взлома терминала, а dr_begemot хорошо описал момент считывания нескольких карт за один раз
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 205

    +1
    А если терминал не российский а получен в непонятном островном государстве :)
      +2
      Это снимает только вопрос с «анонимностью» владельца терминала, все остальные проблемы возврата средств, как впрочем и вопрос привязки терминала к местным гсм сетям не решает. Терминал можно и по месту на бомжа оформить — всего расходов — купить пиджак и брюки с подворотами — любой бомж за хипстера проканает. Деньги же, в случае успешного снятия еще и снять как-то надо. Короче, либо счет заблокируют, либо, что гораздо интереснее, возьмут в разработку, вычислят и посадят.
        0
        вопрос привязки терминала к местным гсм сетям не решает

        Для этих целей не обязательно использовать терминал с GSM-модулем.
        –1
        тогда 99.999%, что транзакция просто не пройдет
          0
          А в терминалах МИР транзакция 100.000% пройдёт?
          +2
          А процессинг какой этот терминал будет использовать? Эльфийский?
            0
            Процессинг, это для терминала всего-лишь IP в настройках, IP может быть и за бугром, терминалу всеравно. Для банка — это будет просто считаться покупкой заграницей, как буд-то вы территориально переместились. Но тут Фрод-мониторинг очень быстро ловит такое.

            Знакомый рассказывал, когда имел работу с внезапными заграничными командировками + имея карту Альфабанка, очень часто внезапно улетев заграницу и расплатившись по карте там, сразу же поступал звонок от банка и вежливый человек интересуется действительно ли это он делал покупку.
              +2
              В целом вы правы, но я о том, что железка сама по себе не умеет деньги туда-сюда гонять, а мне кажется, что многие тут подумали именно так.

              Процессинг это не только IP адрес, это некая точка входа, которой вы раскрыли о себе все данные, чтобы они принимали ваши платежи. И эта точка входа из островного государства будет сильно удивлена, если вы внезапно начали гонять платежи по РФ. И мгновенно вас заблокирует — иначе к ней придёт Visa/Mastercard и её просто прикроет с огромными штрафными санкциями.
                0
                Вы берете за прописную истину, что за бугром только 100% доверенные точки входа. Могут и мошенникам принадлежать. И никто никому по башке ненастучит оперативно — это еще та клоака, поверьте.
                эта точка входа из островного государства будет сильно удивлена, если вы внезапно начали гонять платежи по РФ

                Опять же вы пишите так как буд-то мы не на geektimes, ну думаю не проблема же тунели сделать. Берем терминал работающий по wifi, цепляем его к смартфону, а там тунельчик до забугорного сервака и всё, все IP местные для процессинга.
                  +4
                  Точки входа, принадлежащие мошенникам? Которые долго и успешно обманывают Visa и Mastercard? Тогда, поверьте, им совершенно неинтересны несколько тысяч рублей, которые они смогут снять в московском метро.

                  Пишу, как будто мы не на гиктаймс, именно потому что возникают такие вопросы. Туннелями туннелями, но точка входа будет смотреть в том числе на страну выпуска карты. У нас даже в РФ срабатывает предупреждение антифрода, если начали проходить массово Украинские карты.
          –5
          В харьковском метро уже был замечен некий тип с POS-терминалом в руке.
            +15
            чаще всего так передвигаются курьеры, т.е. прогресс не стоит на месте и теперь оплату многие курьеры принимают по безналу
              +1
              в Харькове, мне кажется (как и в Минске, Самаре и куче других городов), могли бы и навешать мошеннику за такое, т.к. метро не так сильно разветвлено как в Москве (тоже — к примеру) и ходить по разным веткам и разным станциям бесконечно не получится
              +3
              Сам POS-терминал таскать не нужно. Можно соорудить репитер NFC. А подельник с второй частью репитера вполне легитимно покупает флэшки по ~900 рублей у ничего не подозревающего розничного ритэйлера.
                0
                Классная идея, кстати.
                  +4
                  Этой идее ужо сто лет в обед. Машины по этой схеме уже очень давно угоняют
                    0
                    О, напишите статью и фармите плюсики в карму!
                  0
                  Да. Только работать так не будет. Нельзя просто так взять и повторить emv транзакцию. Это вам не сигналка.
                    0
                    Там происходит не повтор. Это для обхода иммобилайзера, который хочет видеть ключ рядом с собой. Вот для этого ретранслятор и используется. Т.е. передает всю инфу что излучает ключ 1в1.
                    –1
                    А просто скопировать карту нельзя? Для дальнейшего, так сказать, пользования
                      +1

                      Нельзя. Капитан Очевидность подсказывает, что все карты, поддерживающие PayPass — чипованые.

                      +1
                      Насколько я знаю, там очень короткие тайминги на обмен данными, так что это удается только в лабораторных условиях. Уж точно не в метро, где со связью беда.
                        +1
                        Я вообще не понимаю — почему только о метро думают? Почему не рынок или хотя бы торговый центр?
                          0
                          википедия говорит что скорость nfc равна 106, 212, или 424 кбод. Репитер на wi-fi не создаст задержек вообще.
                            0
                            Хм, черт его знает, если честно. При минимальной скорости вроде это возможно. Но я помню, то ли здесь, то ли на Хабре была статья об использовании этой уязвимости применительно к платежным картам, вроде с какой-то хакерской конференции. И там получалось воспроизвести её только в лабораторных условиях. Не смог быстро нагуглить. Тут в комментариях давали ссылку на программу, вроде как реализующую этот подход, но проверять на себе не хочется.
                        –2
                        Так уже…

                        image
                          +2
                          это курьер ))
                            –2
                            А зачем ему включенный терминал в метро?
                            Курьерам выдаются терминалы под роспись. Сомневаюсь, что они их носят в руках в общественных местах.
                              +2
                              Да носят по всякому, каких я только не видел при оплате. Включен может быть элементарно — кнопку задел.
                                0
                                Элементарно мог принимать платёж у метро или прямо на станции. Или просто не парится и не выключает.
                                  +3
                                  В карман брюк (тем более задний) эта штука не помещается, нагрудного кармана нет, да и отвисать будет; вот и таскает в руках, чтобы не потерять. Человек в приметной зелёной куртке, шерстяных перчатках и с такой дурой в руках, по-моему, на технологичного карманника не тянет.
                                    0
                                    Человек в приметной зелёной куртке

                                    Как раз приметная яркая одежда и делает человека «невидимкой» — сознание запомнит не черты лица, а «человека в яркой куртке». А потом человек снимает (или выворачивает двустороннюю куртку другой стороной) — и никто его не опознает.
                                    0
                                    Инженер мог ехать на установку и прогружать терминал по пути.
                                      +1
                                      курьер зачастую лицо не отягощенное образованием или техническими знаниями и уж тем более заботой о ввереном оборудовании.
                                  +10
                                  Всегда ношу 2 карты (кредит/дебит) и обе с PayPass, как показала практика, если карты сложить вместе и поднести к терминалу, то списания не происходит :)
                                    –1

                                    Жаль не могу дать +.
                                    Сам использую такой же 'хардверный' способ защиты.

                                      +1

                                      Интересно, почему? Как же Anticollision?

                                        +1
                                        Да платежи не проходят уже когда «поджорожник» приложен или другая нфц-карта
                                          0
                                          Потому что когда видишь данные с 2 карт, то значит приложили 2 карты и это может быть случайностью или попыткой обмана (сверху карта для человека/камеры, а сработает по мнению прикладывающего ближайшая к устройству). Или вообще не понятно с какой из приложенных читать — пользователь должен совершить осмысленное действие — приложить нужную карту. При таком варианте — злобно пискнуть.
                                          PS. Речь о системе авторизации, но что-то общее есть, по крайней мере NFC.
                                            0
                                            сверху карта для человека/камеры

                                            Можно сверху без NFC приложить карту, сомневаюсь что человек или камера с пары метров разглядят значок поддержи NFC на карте.

                                            ИМХУ Скорее всего просто какой-то сбой идет когда обе карты одновременно отвечать начинают.

                                            Затестю на домофоне: RFID по такому же принципу работает что и NFC, есть два ключа от разных замков.
                                              +1
                                              Посмотрите комментарий ниже, там dr_begemot описал все детали работы считывания.
                                                +1
                                                Не сбой, в ответе чётко видны две карты. По крайней мере в некоторых считывателях. На тестах прикладывали одинаковые и политическим решением было «посылать, пусть одну прикладывают».
                                            0
                                            Ношу PayPass, подорожник, и метку от проходной. Подорожник с одной стороны бумажника, метка с другой. Подорожник хорошо срабатывает, метка тоже, для оплаты картой вынимаю ее. Между картами получается зазор ~5-8мм и друг другу уже не мешают.
                                              0
                                              у меня лежат вплотную две карты и если обе так же достать и попытаться расплатиться, терминал не распознает
                                                0
                                                Видимо только если вплотную. У меня получается есть минимальный зазор и карта что внутри посредине, не влияет на соседние метки.
                                            –4
                                            Честно говоря, не вижу смысла, зачем нужно было расписывать всё так подробно. Достаточно было выложить схему хождения денег со счета на счёт, согласно PCI DSS. Для вменяемых людей этого было бы достаточно, а идиоты не поверят даже такому количеству текста. Они поверят только опровержению в той же желтой прессе.
                                              +2
                                              Согласен! Я считал, что публика на GT имеет полное отношение к IT, но иногда складывается обратное ощущение. Я специально разжевал каждый шаг, чтобы в комментариях избежать похожих идей, а получить больше ответов по-существу. Но похоже трюк не сработал. Главную мысль, что платеж легко оспорить и тяжело доказать в нашей ситуации мало кто воспринял.
                                                0
                                                Всё правильно сделали — есть и такие, кто в IT не силён, а почитать интересно
                                                0
                                                А есть где-то эта схемка в красивом виде?
                                                  +2
                                                  Спешу вас разочаровать, но стандарт PCI DSS не имеет отношения к движению денежных средств. Это стандарт регламентирующий безопасные обработку, хранение и передачу карточных данных.
                                                  0
                                                  Антенну побольше приделать еще можно. Насколько я понял, размером с лист А3 — позволит до десятков сантиметров увеличить расстояние.
                                                    +1
                                                    Не приделаете к терминалу вы ничего. Только репитеры.
                                                    +3
                                                    Есть один нюанс, при попытке вскрытия терминала он превращается в «кирпич».
                                                      0
                                                      а вот тут можно по-подробнее? Превратится в кирпич, если вскрывать штатно, т.е. открутив винты? Как это реализовано? А если аккуратно выпилить пластик в нужном месте (предварительно изучив его конструкцию на другом экземпляре)?
                                                        +3
                                                        Да даже если просто сильно ударить, внутри датчик емкостный.
                                                          +1
                                                          Все важные части внутри обёрнуты в защитную сетку, прорыв которой вызывает окирпичивание. Гуглите по tamper mesh.
                                                          0
                                                          Это не остановит. Для такого случая можно взять два терминала, один разобрать и найти где датчик(и), а потом продумать способ вскрытия чтобы датчик не сработал. В принципе, можно и без вскрытия, думаю. Перепрошивка разве вскрытия требует? (не в курсе, как делается).
                                                          Вопрос с подтверждением и отзывом денег клиентом можно проигнорировать — отработал за день 300 «клиентов», а лишь половина позвонит в банк и будет разбираться, чтобы вернуть деньги. Остальные либо проморгают время, либо вовсе не заметят и не будут разбираться. Если же снимать, скажем, по 300 р — то не каждый будет долго разбираться, или может принять за какой-нибудь платёж на телефон или что-то ещё.
                                                          Проблема с писком терминала тоже решается — достаточно похожий и повторяющийся звук сделать у себя на телефоне, и включать его непосредственно перед сканированием (типа телефон звонит) — человек не разберёт, что источника такого звука два.
                                                            +4
                                                            два терминала это 40к, сбросить датчик вскрытия можно, в авторизованных центрах знают как. Полная смена ПО/перепрошивка часто влечет за собой сброс/затирку ключей — автоматически терминал больше не может проводить транзакции.
                                                              +1

                                                              Если деньги вернут половине — служба безопасности очень заинтересуется этим счётом. Тогда, кмк, велика вероятность, что вернут и остальные платежи даже без заявлений.

                                                              • UFO just landed and posted this here
                                                                +3
                                                                Да они без всякого вскрытия Tamper выдают )) Но да, после такой ошибки (насколько я помню) необходимо заново ввести ключи безопасности. И опять же, ЕМНИП, после смены конфигурации также требуется ввод ключей безопасности. Так что без инсайда со стороны банковских работников не обойтись.
                                                                  –1
                                                                  Это оборудование, должно быть предусмотрено его обслуживание. Значит вскрыть терминал можно, весь вопрос в том как можно модифицировать этот процесс.
                                                                    +2
                                                                    При вскрытии происходит сброс зашитых ключей, после обслуживания или перенастройки надо вводить ключи заново. Причем параноидальность датчиков такова, что терминалы сбрасываются сами по себе периодически от «наводок». Это и подразумевается под «превращением в кирпич». Ключи вводят только в банке.
                                                                      0
                                                                      А как происходит сброс?
                                                                        +1
                                                                        Где то просто один бит tampered выставляет в 0 в специальном регистре к которому можно только AND применить. Где-то Master-Vendor ключ стирает.
                                                                        Прикол в том, что EPP/PED (устройства ввода пин-кода) штука крайне секьюрная и те ключи что вводит банк при установке хоть и называются Master но они по сути на втором уровне иерархии. После ввода в устройство они шифруются Master-ключом производителя находящимся на верхнем уровне иерархии.
                                                                        Master-ключи(ключи потому что может быть несколько веток) от вендора как раз при «Tampered» и затираются. Таким образом удалив один ключ верхнего уровня пропадает доступ ко всем ключам что ниже потому как они зашифрованы по цепочке.

                                                                        +1
                                                                        Те ключи что сбрасываются при вскрытии, в банке не введешь.
                                                                      0
                                                                      Ну вот, столько стартапов запороли.
                                                                      –1

                                                                      А какие данные о держателе карты и о самой карте можно получить таким способом? Надеюсь, их недостаточно, чтобы делать онлайн покупки или изготовить дубликат.

                                                                        +1
                                                                          –3
                                                                          Причем тут EMV? Мы говорим о краже данных через PayWave, PayPass и пр.
                                                                            +1
                                                                            А бесконтактные платежи у нас гномы передают? И EMV тут не при чём, да? И ISO/IEC 14443 существует сферически в вакууме?
                                                                              0
                                                                              В данном конкретном случае EMV не причем, смысл её был в том что чип генерит одноразовый код между картой и устройством + к этому обладатель карты не будет пихать её куда попало, как следствие процесс перехвата бесполезен, код одноразовый. Тут дело в другом. Обмен происходит при помощи чипа RDIF, это можно перехватить. Ну вот EMV сгенерит ваш код, кастомный RDIF злоумышленника который инициировал обмен, будет его знать и расшифрует данные о карте. Проблема в том что карта отвечает всем подряд, а не как в случае чип-ов пихается владельцем только в реальные устройства которые можно пощупать, это вам не СамсунгПЭЙ и ЯблокоПэй, где надо подтвердить личность — кто спросил, тому и ответит.
                                                                                +1
                                                                                Так вы сами сказали, что EMV тут причём. EMV генерирует код, и он одноразовый — скопировать карту и совершать с неё покупки нельзя. Это собственно был ответ на первый вопрос ветки
                                                                                Надеюсь, их недостаточно, чтобы делать онлайн покупки или изготовить дубликат.

                                                                                Видимо, вы это просто упустили.
                                                                                  0
                                                                                  Дак в том что и дело, что даже при наличие EMV, можно получить данные о карте которые можно использовать чтобы совершать покупки по ней. Что он есть, что его нет (этот EMV), перманентно в случае с бесконтактными картами.
                                                                                    +1
                                                                                    Судя по всему, вы говорите про считывание номера и срока действия карты. Да, эти поля считать можно — но опять же — это отнюдь не создание дубликата карты. Это получение минимальных сведений о карте, которые дадут вам совершать покупки в том же амазоне. Но это легко оспариваемая транзакция. К тому же, для того, чтобы вы подверглись атаке, совершенно необязательно считывать данные вашей карты по NFC — точно так же эти данные могут получить перебором… Чем, кстати, до сих пор активно пользуются фродеры.
                                                                                      +2
                                                                                      К слову, никто почему-то не упомянул, что многие карты до сих пор готовы отдать по NFC свой номер, срок действия и последние транзакции без всякого POS или MPOS терминала. Достаточно ни разу не модифицированного телефона, например вот так.
                                                                                        0
                                                                                        Вот только этих данных не хватит ни для онлайновой покупки, ни для изготовления магнитно-полосатого дубликата.
                                                                                          –1
                                                                                          Да не, для некоторых вещей хватит вроде покупки на амазоне — но это несерьёзно, легко откатывается, и точно так же у вас могут этим способом украсть деньги методом подбора.
                                                                                            +2
                                                                                            Даже для Амазона не прокатит. Амазон не требует CVV2(на обороте карты) что совсем не означает того что платежная система не проверяет просто CVV, хранящийся на магнитной полосе карты. Для бесконтактных платежей по одной из самых простых технологий действительно применяется некая эмуляция магнитной полосы при которой после получения параметров транзакции от терминала карта выдаёт ему данные магнитной полосы НО элемент CVV(в этом случае он называется DCVV) меняется динамически и зависит от параметров транзакции, случайного числа и криптографии. То есть Трек2 дата каждый раз немного отличается от предыдущего и не может быть сгенерирован без участия некоторых секретов которые не покидают карту. Технология(стандарт или приложение — можно назвать по разному) называется MSD и используется для самых простых терминалов. Помимо MSD у Mastercard есть более надежный способ проведения транзакции который включает в себя комбинированную динамическую аутентификацию карты + запрос криптограммы.
                                                                                            У Визы помимо MSD есть qVSDC который примерно одинаков по скорости с вторым Мастеркардовским способом и есть VSDCfull который является полным аналогом стандартного EMV приложения (но карта должна быть в поле ридера в течении всей операции как и в случае контактных платежей).
                                                                            +1
                                                                            Дубликат карты делать бесмысленно.
                                                                            Можно сделать кастомный RDIF ридер, и тырить номер карты и срок окончания действия карты. Впринципе иногда этого достаточно чтобы сделать онлайн покупки в некоторых забугорных магазинах.
                                                                              0
                                                                              А если учесть, что существует приложение, которое по фотографии находит профиль человека в VK, то и ФИО не составит труда узнать и соотнести со считываемой картой. Останется подобрать CVV — тогда можно платить в любом магазине. Но и без него можно, Вы правы. Амазон вот не требует этого кода.
                                                                                +2
                                                                                Насколько я знаю, имя фамилия на карте никак не проверяется. Ну по крайне мере везде где я оплачиваю онлайн, ввожу TEST TEST и платёж проходит.

                                                                                Ну и как-то писал библиотеку, которая делает криптограмму для одного платёжного сервиса, так в криптограмме имя и фамилия никак не участвует.
                                                                                  0
                                                                                  Вот блин! А я вот мучаюсь, каждый раз ввожу полностью…
                                                                                    +1
                                                                                    имя фамилия на карте никак не проверяется. Ну по крайне мере везде где я оплачиваю онлайн, ввожу TEST TEST и платёж проходит.

                                                                                    Но когда потом хозяин карты оспорит транзакцию и там будет TEST TEST, деньги ему, скорее всего, вернут, а о покупателе сообщат куда надо.

                                                                                +1
                                                                                Изготовить дубликат карты — точно нет, это как сделать клон человека имея только фотографию человека.

                                                                                Из данных используемых для онлайн покупок можно получить номер карты и срок действия. Чисто теоретически это можно использовать для оплаты в онлайн магазинах, на практике такой магазин мгновенно разорится, потому что любые платежи будут возвращаться «покупателю» по любому чиху, плюс штрафы за возвраты платежей.
                                                                                0
                                                                                Не думаю что большинство использует такие карты. И терминал привязан к счету? Если менять нельзя, и хакнуть тоже. То не выгодно. Терминал дорого стоит, не успеете окупить так сказать.
                                                                                  +3
                                                                                  Терминал CTLS стоит 20-30к, в зависимости от модели/производителя, дорого для мошенников, есть риск не окупить. Краденый не подключишь к процессингу банка просто так по серийнику вскроется легко.
                                                                                  Самостоятельно купленный терминал — все равно влечет за собой потребность подключения его к какому-то банку/процессингу и сотрудничество с банком, проще уж бомжа в ИП впихнуть и чтобы банк дал терминал в аренду.

                                                                                  В принципе зарегистрировать ИП на бомжа и отправить его в банк на подпись документов — не проблема.
                                                                                  Если в банке описать профиль компании как курьерская служба, вопросов у СБ не возникнет.

                                                                                  Антенну обычно «помощнее» не сделать без разбора терминала, решается репитерами обычными. Выкрутили хотябы один шуруп у терминала, сделал отверстие в корпусе, срабатывает защита — терминал можно нести в авторизованный сервис, работать он не будет.

                                                                                  В принципе софт терминала позволяет проводить операции оффлайн, т.е. печатать чеки не сразу и транзакцию проводить/ позже. Во многих банках этот параметр на терминалах открыт для модификации, можно и чеки не отключать и отойти подальше от цели чтобы СМС пришла не сразу.

                                                                                  Сверка итогов на терминале ускоряет процесс снятия «подвешенных» в воздухе денег и поступление их на расчетный счет юрика. Если у человека нет СМС информирования, может и прокатить. Человеку будет трудно доказать, что он реально не осуществил заказ/покупку чего-то у этого ИП. Но думается раскроют уже после прибыли 50к+ выведенных со счета и парочки претензий от клиента — и терминал можно будет выбрасывать. Далее новый бомж новое ИП и пр. что муторно, долго и дорого, проще уж просто данные воровать с карточек и не заморачиваться на POS терминалы.

                                                                                    0
                                                                                    Спасибо, не знал про защиту терминалов от вскрытия. Максимальная сумма без ввода пин смехотворна, поэтому надеяться, что из 50-100 клиентов ни у кого не окажется СМС-информирования глупо. Бессмысленный и неэффективный риск.
                                                                                    +1

                                                                                    По поводу регистрации юрлица и открытия счета + эквайринг. Это не составляет труда в России — один раз притащить номанала к нотариусу для оформления юрлица и заодно оформить доверенность на другое физлицо на осуществление всех остальных действий. Ну может в банк один раз сводить.

                                                                                      0
                                                                                      А может мошенник клонировать карту, и потом покупать на нее в обычных магазинах?
                                                                                        +2

                                                                                        Склонировать можно только магнитную ленту. Но явно не бесконтактным способом.

                                                                                        –2

                                                                                        А ничего, что тлф не постоянно находится в режиме передачи инф о карте, а чтобы запустить передачу нужно его разблокировать отпечатком или ввести пин код приложения. Во всяком случае самсунг пэй тае действует ( по эппл пэй не в курсе).

                                                                                          0

                                                                                          Зато карты находятся.

                                                                                          0
                                                                                            +9

                                                                                            Как только у меня в магазине появился терминал с nfc, в тот же вечер с коллегой эту ситувцию проиграли. Скажу так, если терминал не "модернизироавать" то ничего не получится, либо карта должна лежать в непосредственной близости к краю кармана/сумки, либо терминал ее не увидит. А еще опытным путем установили что если рядом с картой лежит Тройка то как бы не старался, ничего не считается :) Кстати мои курьеры тоже ездят в метро и тоже не выключают терминалы, правда в руках их не держат, обычно в кармане или в рюкзаке. Если терминал выключить, он привключении долго грузится, а для курьера каждая минута на счету.

                                                                                              0
                                                                                              Отлично! Могу я вас процитировать в статье? Как раз готовлю UPD на счет защиты от такого вида фрода.
                                                                                                +2
                                                                                                Да, конечно, если нужны какие-то подробности, или сами хотите потестировать, всегда жду в гости :)
                                                                                                0
                                                                                                Более сильный сигнал и чувствительная антенна?
                                                                                                  +1
                                                                                                  Не уверен, но чип в карте может это просечь. По стандарту мощность сигнала не должна превышать 1 ватт.
                                                                                                    +1

                                                                                                    Может и поможет, но у меня терминалы рабочие и разбирать и модернизировать их не могу :(

                                                                                                  +3
                                                                                                  Ходить — можно! Легко и просто. И именно для этого существуют mpos терминалы, а не pos. И это дешево — например, у нас в pay me можно их купить за 8к.

                                                                                                  Снимать — ну как не повезёт, все зависит от того, как у юзера карта лежит.

                                                                                                  Уйти с деньгами — нельзя. На вас быстро накатают жалобу, вас найдёт антифрод система и безопасники банка, заблокируют терминал, не выдадут денег и откатят транзакции.
                                                                                                    +3
                                                                                                    Возвращаемся к старой истине: «Если украсть 100 рублей, ты вор, и тебя посадят, если украсть 100КК, то ты уважаемый бизнесмен и у нас спор хозяйствующих субъектов».
                                                                                                      +1
                                                                                                      По поводу смс и звонков от банков, между станциями метро допустим, телефон ловит не у всех и не везде, к тому же есть глушашие устройства, так что оповещение от банка как проблема для вора снимаются.

                                                                                                      А по поводу островного государства, в офшорных зонах юр.лицо и счет в банке можно открыть на местного жителя, на то она и офшорная зона, что там отмываются деньги, а визе или мастеркарду выгодно в любом случае чтобы оплата проходила через них, а не наличкой.

                                                                                                      Из-за 100 снятых руб., у нас люди не будут бегать по банкам и писать заявления, я думаю что за месяц вполне можно успеть нарубить денег и закрыть всю фирму, она все равно будет оформлена на местного, деньги вывести через карту офшорного банка можно у нас в любом банкомате минус комиссия. Найти кто снимал в принципе не представляется возможным. Если это была разовая махинация, пусть даже и было выведено пару млн. руб, то не найдут.
                                                                                                        +1
                                                                                                        Международным платежным системам не нравится, когда снижается их благонадежный индекс, поэтому они наказывают за фрод. Мне кажется, мошенники будут быстрее заблокированы, чем успеют заработать. Либо получат по каждой мошеннической транзакции такой штраф, что как бы в минус не уйти.
                                                                                                          0
                                                                                                          Можно взять к примеру скиммеры, производство должно быть крупносерийным, литье пластика, резины и пр. материалов не дешевое удовольствие, к тому же надо где-то заказать так, чтобы потом вопросов не возникло. Вложиться надо по крупному.

                                                                                                          К тому же если бы так все просто и легко блокировалось и был тотальный контроль, то мошенничества у нас бы не было вообще в Мире.
                                                                                                            0
                                                                                                            Обычно мошенничество с платежными картами идет в другую сторону — попытки оплаты товаров в реальных магазинах ворованными картами. С этим сложнее бороться, так как злоумышленник не является ни одной из сторон. Получается, что и продавец и владелец карты правы, но деньги кто-то кому-то должен. Но даже в таких случаях платежная система наказывает продавцов за фрод, чтобы стимулировать повышение бдительности. В махинациях же с платежным терминалом однозначно виноват его владелец.

                                                                                                            Скиммеры, кстати, весьма немало стоят, а отбить их стоимость гораздо проще. Если удалось сдампить карту и украсть пин — все деньги в пределах лимита снятия налички твои. По каждой украденной карте. Анонимно. Наличными. Оспорить такую транзакцию сложно. Холда никакого нет, деньги сразу у злоумышленника. И никаких ИП на левых лиц, офшоров и прочих проблем.
                                                                                                              –1
                                                                                                              Хорошо, допустим оформлено юр. лицо. магазин, ну пусть официально в нем куплено чехлы для телефона по 50 руб (силиконовые к примеру), а продаю я их по 900 руб, торговая точка будет реальная.
                                                                                                              Мошенник выходит на улицу и бесконтактным терминалом крадет деньги, как жертве доказать что она не покупала этот чехол? Запись с камер недоступны, кража денег происходит рядом с торговой точкой. Чеки пробиваются после кражи.
                                                                                                              Получается только проверка росписи на этих чеках и все?
                                                                                                                0
                                                                                                                Да, при таких раскладах только проверка росписи.
                                                                                                                  +1
                                                                                                                  Обильные жалобы «покупателей чехлов», проверка слипов, статья за мошенничество, турьма.
                                                                                                                    +1
                                                                                                                    В уголовных делах достаточно заявления и как-то доказать где покупатель был в момент покупки. Если таких заявлений будет пачка, то УК РФ, Статья 159. Мошенничество
                                                                                                                      +1

                                                                                                                      Если парочка клиентов будет откатывать транзакции одного и того же магазина, то банк будет сомневаться. Но если транзакции будут откатывать сотни клиентов, а магазин мелкий, то однозначно станет на сторону клиентов — вероятность того, что незнакомые друг с другом люди сговорятся, чтобы обанкротить никому неизвестный мелкий магазин — крайне мала. К тому же по теории вероятность хоть у одного клиента, да и найдётся юридически значимое доказательство, что он не подходил в это время к ларьку.

                                                                                                                    0
                                                                                                                    Это ж совершенно разные схемы. Как можно их сравнивать.
                                                                                                                +1
                                                                                                                Контр пример: в Дублине в местном трамвае (luas) как раз именно такой случай и произошел.
                                                                                                                Некто ходил с POS терминалом и собирал денежки, по €30 за раз.
                                                                                                                Так что такой вариант работает.
                                                                                                                  +3
                                                                                                                  Контролёр?
                                                                                                                    0
                                                                                                                    Сумма в 30 евро явно потянет на запрос пин-кода, если судить по аналогии с нашими банками.
                                                                                                                      0
                                                                                                                      Ну не обязательно, вон у меня сейчас как раз в интернет-банке висит выбор какую сумму вы поставите на бесконтактный платеж без запроса ПИН, там варианты 10, 20 и 30. Так что если клиенту дают выбор он может и такое выбрать. Ну или может посчитали, что средний чек в том же продуктовом в районе 30 евро и поставили такой лимит.
                                                                                                                        +1
                                                                                                                        Я живу в Канаде и в моем банке стандартный лимит для оплаты касанием без пин-кода 50 канадских долларов. 30 евро это 42 канадских доллара.
                                                                                                                        +1
                                                                                                                        Вопрос в том, каков итог этой акции? В принципе, какой-нибудь не очень умный владелец MPOS-терминала может внезапно подумать, что он изобрел хитрый способ заработать кучу денег и красиво укатить в закат. И у него даже получится провести несколько платежей. Но сможет ли он получить деньги, а владельцы карт их потерять?
                                                                                                                          0
                                                                                                                          Смысл в том, что тут в Ирландии большинство людей просто не заметят разовую пропажу 30 евро с карты, это так, «карманные деньги». Так что если этим не промышлять регулярно, а разово — то более чем может прокатить.
                                                                                                                          0
                                                                                                                          А ссылочки есть на первоисточники?
                                                                                                                            +1
                                                                                                                            Точно в Дублине, а не в Тель-Авиве? Точно 30 евро, а не 10 шекелей? Точно POS-терминал, а не наличка? Точно собирали, а не раздавали?

                                                                                                                            Одним словом, когда читаешь очередную страшилку, то хочется увидеть адекватный источник информации, потому что жизненный опыт подсказывает, что девять из десяти страшилок даже близко не соответствуют действительности.
                                                                                                                            0
                                                                                                                            Безопасность конкретного человека строящаяся на реакции целый кучу людей???

                                                                                                                            Знаете, есть такая пословица: у семи нянек дитя без глаза.

                                                                                                                            Безопасность должна исходить из того, что злоумышленник получил доступ к устройству и сумел его модифицировать.

                                                                                                                            Давайте посмотрим, как тогда выглядит этот абзац:

                                                                                                                            В момент транзакции банк-экваер (тот, что дал нам терминал) отправляет запрос через НСПК (мы же в России) в банк-эмитент (тот, что выпустил карту). Запрос об остатке средств на карте достаточных для платежа. После положительного ответа, наш терминал (в обычных условиях) выдает нам слип (2 чека) об успешной платеже, а банк-эмитент блокирует сумму (вешает на hold) до полного подтверждения транзакции. Одним из таких подтверждений обычно служит как раз второй экземпляр слипа, который продавец оставляет у себя.

                                                                                                                            Единственное препятствие это слип. Помним, что у нас модифицированное устройство и мы сможем их распечатать. Т.е. оказывается весь вопрос примет банк или не примет слип. Слабовато…
                                                                                                                              0
                                                                                                                              Банк? Примет? Слип? Слип это препятствие? Боже мой.

                                                                                                                              Это вы говорите о гипотетическом случае, когда мошенник будет меряться бумажками с невольным покупателем? Или вы считаете, что подтверждение транзакции проходит в момент, когда вы приходите в банк с бумажным слипом?
                                                                                                                                0
                                                                                                                                Или вы считаете, что подтверждение транзакции

                                                                                                                                Как тогда банк подтверждает транзакцию?
                                                                                                                                  +1
                                                                                                                                  Транзакция подтверждается по подписи, пину или бесконтакту. Транзакции по пину практически не оспариваются, транзакции по подписи и бесконтакту оспорить можно.

                                                                                                                                  Как только вы подтвердили транзакцию, ваши деньги на какое-то время (обычно 1-3 суток) зависают в лимбе. Если никто не нажаловался и если на вас не сработала антифрод система, то по истечению этого времени вы радостно получаете денежки на свой счёт.

                                                                                                                                  А слип существует чтобы обезопасить продавца — когда к нему придут претензии о нечестном списании, он сможет помахать этой бумажкой и показать, что у него всё в порядке.
                                                                                                                                    0
                                                                                                                                    Т.е. все упирается в немодифицируемость устройства, м-да…
                                                                                                                                      0
                                                                                                                                      Нужно просто делать свое устройство и тырить не деньги, а данные карт. Привязываться к банку или их POS терминалами — тупиковая ветка мошенничества.
                                                                                                                                        0
                                                                                                                                        Этими данными нужно потом ещё как-то воспользоваться. Можно их задумчиво писать на морском песке — но в деньги они от этого не превратятся. А на попытке использования вас как раз заблокируют. Если не повезёт — найдут и посадят.
                                                                                                                                          –1
                                                                                                                                          В теории, если вы сможете ретранслировать сигнал от владельца до легального считывателя магазина, то можно получать недорогие предметы за счет владельцев карт. Как получит деньги за товары владелец магазина — вам безразлично. Ваша задача будет заключаться в монетизации этих самых мелочей, что сложно но решаемо. Проблема только до терминала дотянуться, но она немаленькая…
                                                                                                                                        0
                                                                                                                                        Что именно упирается? Попробуйте привести кейс успешного фрода с предположением, что вы модифицировали ридер во все отверстия.
                                                                                                                                        0
                                                                                                                                        1-3 суток? Прощайте денежки. У меня были траблы с известным банком в недополучении денег, так заявление банк отказывался принимать поскольку не прошло 24 часов. На телефонной линии заявление приняли и рассматривали чуть ли не неделю пока деньги не вернули, так что ничего мгновенно не возвращается и не рассматривается по моему опыту.
                                                                                                                                          0
                                                                                                                                          Так сразу заявление в полицию. Если не успевают сделать reversal, то банку придётся провести за свои деньги refund. Тиньков после заявления в полицию мгновенно всё вернул.
                                                                                                                                    +2
                                                                                                                                    Да тут основная проблема будет в том, что на конкретный терминал слишком повышенный процент жалоб. Этот процент будет стремиться к сотне. Т.к. просто позвонить в банк и сказать, что транзакция мною не проводилась не занимает много времени. И, скорее всего, такую мелкую сумму банк сразу же вернёт на счёт своему клиенту. По крайней мере, когда мне терминал для покупки билетов на электричку списал 200 рублей и ничего после этого не выдал, ни чека, ни билета, сразу после обращения в банк мне вернули эти 200 рублей.
                                                                                                                                    А сам банк будет уже разбираться с тем банком, который запросил эту сумму. Т.к. банком у нас не так много в России, то у всех банков очень быстро появится большой процент жалоб по конкретному типу платежей. Я думаю, что этот терминал перестанет работать в течении нескольких часов. Причём, даже если выпустивший его банк никак не будет реагировать на жалобы. Эти платежи тупо будут блочить со стороны банков владельцев карт.
                                                                                                                                      +1

                                                                                                                                      Так разве подобные вопросы не рассматриваются с учётом количества жалоб? В том смысле, что если на какой-то терминал поступило 100500 жалоб, то было бы логично послать продавца нафиг и откатить все транзакции (даже если формально у продавца всё чисто), а уже потом продавец в суде пусть доказывает, что не верблюд. Потому что вероятность, что сотни клиентов будут банкротить продавца (при этом в одно и то же время) ничтожно мала.

                                                                                                                                      0
                                                                                                                                      Вижу новый бизнес — кошельки с металлическими вставками и металлические картхолдеры
                                                                                                                                      Наладил выпуск, запустил утку про то как то у Васи то у Пети деньги в метро угнали и понеслась
                                                                                                                                        +1
                                                                                                                                        уже давно есть
                                                                                                                                          0

                                                                                                                                          Китайцы уже наладили, в али продаются пачками.

                                                                                                                                            0
                                                                                                                                            Так уже есть, летел тут недавно в командировку в самолетном журнальчике вовсю рекламировалось — типа будьте спокойны ваши данные никто не считает и не украдет, как раз и кошелек с металлическими вставками и картхолдер металлический :).
                                                                                                                                              0
                                                                                                                                              Кошельками не пользуюсь, а внутренний карман куртки оснастил самодельной клеткой Фарадея, да.
                                                                                                                                              Объяснения топикстартера не убедили. Все держится на том, что
                                                                                                                                              1. злоумышленники не смогут модифицировать терминал
                                                                                                                                              2. такая транзакция если все-таки пройдет может быть легко оспорена
                                                                                                                                                +3
                                                                                                                                                Все сложнее. Защита держится на том, что злоумышленнику для успешной операции нужно проделать множество дорогих и сложных операций: регистрация юрлиц на подставных людей, регистрация терминала, модификация терминала. При этом он может проводить операции лишь на небольшие суммы, не требующие ввода пина. Третий фактор заключается в том, что он вероятно будет весьма быстро заблокирован, не успеет отбить вложения. Если вообще получит хоть что-то. Это приводит к тому, что схема вообще маловероятно будет привлекательной для злоумышленников.
                                                                                                                                                  –1
                                                                                                                                                  К сожалению, все эти операции за исключением модификации терминала не являются ни дорогими, ни сложными. Я бы назвал их налаженными и тривиальными.
                                                                                                                                                  Самая большая покупка, которую я оплачивал картой, стоила тысяч 15 и пин не спрашивался. Правда карта вставлялась в терминал. Бесконтактно оплачивал тысяч на несколько, также без пина.
                                                                                                                                                  В целом для рядового злоумышленника не очень понятно как организовать процесс, с кем налаживать производственные цепочки и самое пока главное — где взять модифицированные терминалы. Как только наладится индустрия как у скиммеров, проблема сразу же появится.
                                                                                                                                                  А пока беспокоиться об этой теме настолько, чтобы отключать бесконтактную оплату и линчевать людей с терминалами наголо в метро, не представляется разумным. Иметь металлизированную ячейку в кошельке/кармане — почему бы и нет?
                                                                                                                                              0
                                                                                                                                              суммы менее 1000 руб.

                                                                                                                                              Вопрос немного не по теме: эта сумма кем задается?
                                                                                                                                              Недавно появилась карта с NFC, заметил что на мелкие покупки не просит пин-код, если через NFC (т.е. приложить), а если через чип (вставлять в терминал), то просит пин-код. Карта недавно, еще не затестил один и тот же способ в одном месте. Интересно через чип такое же ограничение или отдельно настраивается?
                                                                                                                                                0
                                                                                                                                                Интересно через чип такое же ограничение или отдельно настраивается?

                                                                                                                                                Сильно подозреваю, что теоретически можно, но не факт что этим будут заморачиваться, или же есть какие-то возможные препятствия в правилах безопасности, так как чип влюбом случае может авторизовываться иначе чем бесконтакт.
                                                                                                                                                  +1
                                                                                                                                                  Эта сумма задана самой платежной системой VISA или МС. И это касается только бесконтакных платежей. Запрос или НЕзапрос пин-кода при контакте терминала с чипом уже зависит от настроек безопасности карты и терминала. На ГТ есть огромная статья на эту тему, где подробно описан механизм взаимодействия карты с терминалом.
                                                                                                                                                  К примеру, карты Тинькофф вообще не требуют пин-код и всегда выходит слип на подпись, чему я очень рад, т.к. не рискую засветить свой пин-код.
                                                                                                                                                    0
                                                                                                                                                    Тинькофф вообще не требуют пин-код

                                                                                                                                                    У меня Тинькофф. Везде просит пин если чипом вставить. На любые суммы. Как понимаю это уже настройка терминала.
                                                                                                                                                    чему я очень рад, т.к. не рискую засветить свой пин-код.

                                                                                                                                                    Тоже хочется пореже светить, потому и спросил.
                                                                                                                                                      +2
                                                                                                                                                      К примеру, карты Тинькофф вообще не требуют пин-код и всегда выходит слип на подпись, чему я очень рад, т.к. не рискую засветить свой пин-код.


                                                                                                                                                      Неправда, у тинькова этот параметр настраивается через личный кабинет и прошивается на карту при следующем обращении к банкомату.
                                                                                                                                                        +1
                                                                                                                                                        Опа! Видимо они эту функцию закопали ну очень глубоко в ЛК. Впервые об этом слышу, хотя картой пользуюсь уже много лет. Спасибо за наводку.
                                                                                                                                                          0
                                                                                                                                                          В интернет банке выглядит вот так (в настройках карты).
                                                                                                                                                            0
                                                                                                                                                            сняли вопрос с языка, только не пойму в каком это разделе сайта найти.
                                                                                                                                                              +1
                                                                                                                                                              Справа ткнуть в карту, затем «настройки» во втором меню.
                                                                                                                                                    0
                                                                                                                                                    т.е Apple Pay решает все эти проблемы на 100%
                                                                                                                                                    Кстати недавно заметил — при Apple Pay пинкод перестал запрашиваться при любой цене покупки (ранее как и NFC не давал больше 1000-1500)
                                                                                                                                                      0
                                                                                                                                                      Как я написал выше, это зависит от настроек терминала. Недавно покупал в большом магазины одежды на 5000 и после оплаты через Apple Pay, терминал дополнительно попросил у меня пин-код.
                                                                                                                                                        0
                                                                                                                                                        Для терминала Apple Pay выглядит как карта с беспроводной оплатой и он может потребовать пин-код для любой суммы из-за кривых насипрек терминала или карты.
                                                                                                                                                        Заметил такую дурь у Сбербанка: на одной кассе PayPass работает как положено, а на соседней (с другой моделью терминала) просит пин-код.
                                                                                                                                                      0
                                                                                                                                                      У меня раньше была карточка — запрашивала Пин-код при каждой покупке. Потом мне её по некоторым причинам заменили — перестала запрашивать, чему я очень сильно удивился. Т.е. это задаётся банком получается.
                                                                                                                                                        +2
                                                                                                                                                        Это задается банком-эмитентом и настройками терминала. Мой комментарий чуть выше.
                                                                                                                                                        0
                                                                                                                                                        Смотрите, какая ситуация. Множественные мошеннические списания с помощью такого терминала не совершить.

                                                                                                                                                        Однако можно копировать данные карт (полный номер и срок действия), чтобы потом оплачивать такими картами в Интернете, пример: https://xakep.ru/2016/01/23/rfid-card-readers/.

                                                                                                                                                        А вот пример приложения на Android в Google Play, которое позволяет узнать полный номер карты, срок действия и последние транзакции.
                                                                                                                                                          +1
                                                                                                                                                          Статья в Хакере слишком уж безграмотная с технической точки зрения. Для уровня Рен-ТВ сойдёт, но не более того.

                                                                                                                                                          А насчёт того, что можно совершать покупки сугубо по номеру карты и сроку действия, у меня есть большие сомнения. В том смысле, что наверняка упускается какой-то небольшой, но крайне важный момент, когда пользователь карты на самом деле аутентифицируется до момента покупки. Номер карты и срок действия — это атрибуты идентификации карты, но никак не аутентификации пользователя, соответственно, любые претензии по таким платежам будут практически автоматически трактоваться в пользу владельца карты, деньги будут в 100% случаев возвращены, продавец лишится своего товара, денег ноль и сверху штрафы за чарджбэки. Любого конкурента так можно разорить. Либо это какие-то специфические продажи, например так можно продавать игровую валюту и подобные виртуальные ценности. Откатили платёж — откатили виртуальные плюшки.
                                                                                                                                                          +1
                                                                                                                                                          В общем, выводы:
                                                                                                                                                          — затраты на полную цепочку (терминалы, исследования, бомжи-хипстеры и тп.) слишком велики при потенциально небольших объемах «сбора» денег с карточек.
                                                                                                                                                          — слишком много звеньев в цепочке получения терминала и денег со счета.
                                                                                                                                                          — есть вероятность, что несколько карточек не дадут друг друга прочитать, что, учитывая их распространенность, усложняет криминальные действия.
                                                                                                                                                          — обычный физический грабеж средств связи и наличных с фразой «есть прикурить?» пока что для упырей актуальнее.
                                                                                                                                                            0
                                                                                                                                                            Хотите, поставлю ваш комментарий в UPD к статье с вашим ©? ))
                                                                                                                                                            0
                                                                                                                                                            Было время и обыкновенные карты считались очень защищенными.
                                                                                                                                                            Было время и «640КБ должно быть достаточно для каждого»…
                                                                                                                                                            Время идет и данную технологию тоже взломают, ставят же граберы на банкоматах, так же будут ставить граберы или еще какие нибудь технические устройства для снятия наличности.
                                                                                                                                                              0
                                                                                                                                                              «Ходить по вагонам метро с POS-терминалом и снимать деньги. Можно?» — вердикт остался тем-же, сложно но МОЖНО.
                                                                                                                                                              Статья — компиляция тех-же утверждений из старого спора что можно воровать с бесконтактных карт, хорошо что теперь не так категорично как в них — «Смс о списании средств приходят при ЛЮБОЙ покупке, от 1 копейки».

                                                                                                                                                              Опять-же опущена тема что терминалы и их услуги выдают не только банки но и «payment service providers».
                                                                                                                                                              Кстати на закуску — для оплаты есть терминальчики-гаджеты для смартфонов, типа ACR35 NFC MobileMate Card Reader, даже пейпал предоставляет услугу в комплекте с NFC мини-терминалом (без всяких чеков) или сканером втыкающимся в телефон (в этом случае свайповым) — https://www.paypal.com/us/webapps/mpp/credit-card-reader

                                                                                                                                                              Так что все далеко не так секьюрно как хотелось бы, и 'шапочка из фольги' в виде непробиваемого для NFC кошелька до сих пор единственная вещь которая надежно защитит карточку от злонамеренного считывания левыми людьми.
                                                                                                                                                                0
                                                                                                                                                                Еще вопрос не совсем в тему, в продолжение предыдущего, т.к., как понял выше, при NFC за покупки до 1000 р ни пин, ни подпись не надо. В отличие от чипа.

                                                                                                                                                                Как-то можно по терминалу понять поддерживает он NFC или нет? Значок какой-то нарисован или еще что.

                                                                                                                                                                Чтобы там где услужливый кассир сам карту чипом втыкает, попросить не втыкать, а безконтактно оплатить.
                                                                                                                                                                Также чтобы не вызывать улыбки кассиров пока трешь картой об экран терминала, там где не поддерживается.

                                                                                                                                                                Может кто в курсе сколько процентов (примерно) терминалов с NFC в магазинах стоит?
                                                                                                                                                                  0
                                                                                                                                                                  Обычно нестандартный значок типа радио, еще бывает заметное прямоугольное утолщение примерно форматом с карточку на боку, если терминал стационарен. Девайсы от ingenico, и прочие схожим дизайном могут быть каварнее — без обозначений на корпусе и с опциональным обозначением на экране (пишется что-то в роде «свайпните, вставьте или приложите карточку» — порой со значком на экране). По магазинам сложно сказать — зависит от страны и терминалов, те-же типичные ингенико могут с одинаковым дизайном и уметь и не уметь бесконтакт.
                                                                                                                                                                    0
                                                                                                                                                                    на большинстве ctls терминалов есть 4 лампочки сверху экрана
                                                                                                                                                                      0
                                                                                                                                                                      Наша страна и наш народ привносят свои коррективы в этот вопрос. Часто бывает, что терминал принимают paypass, но продавец об этом не знает и не собирается даже пробовать.
                                                                                                                                                                      НО! Я заметил один терминал об Сбера, у него в правом верхнем углу написано VX 820 — на нем нет никакой маркировки и на экране заставки тоже нет логотипа трех дуг, НО он отлично принимает PayPass.
                                                                                                                                                                      image
                                                                                                                                                                        0
                                                                                                                                                                        Ох, с верифонами все сложно. Они все (новые модели) умеют безконтакт, но там доп лицензия нужна на сколько мне известно. Хотите подешевле устройство, бесконтакт из коробки есть, только он не активируется без лицухи. Хотите с бесконтактом, то же самое устройство чуть дороже. Поэтому и не делают на корпусе маркировок.
                                                                                                                                                                      –1
                                                                                                                                                                      Ребятки, ну в самом деле, ну какой POS-терминал?
                                                                                                                                                                      image
                                                                                                                                                                      https://sourceforge.net/p/nfcproxy/wiki/Home/
                                                                                                                                                                      Только считывающий смартфон чуть модернизировать — вынести антенну, добавить усилитель.
                                                                                                                                                                      +Вместо wi-fi дальнобойный 3g, а терминал находится где-то в Гондурасе…
                                                                                                                                                                        +1
                                                                                                                                                                        И что, это работает? Между платежной картой и терминалом минимальное время на обмен, нельзя так просто взять и проксировать эти запросы.
                                                                                                                                                                          0
                                                                                                                                                                          Почитайте комментарии прямо на страничке, ну и на XDA-developers тоже говорят, что работает…
                                                                                                                                                                            +1
                                                                                                                                                                            Только непонятно что именно работает. Я, например, видел множество страниц в интернете где можно было скачать программу для просмотра профилей ВК, под ними тоже комментарии, что работает. Бесплатно и без СМС.

                                                                                                                                                                            Там еще в фичах какие-то совершенно сомнительные утверждения вроде:
                                                                                                                                                                            Replay the Tag/Credit card (for a reader)
                                                                                                                                                                            Replay the PCD/Reader (to read credit card)
                                                                                                                                                                        +3
                                                                                                                                                                        «Интерференция сигналов от разных карт сделает чтение нужной карты невозможным.»

                                                                                                                                                                        Нет. Считыватель карт работает следующим образом:
                                                                                                                                                                        — Обнаружение карт в поле. При этом он получает UID каждой карты в поле, количество обнаруженных карт ограничивается только фантазией разработчика прошивки, это может быть как одна, так и 5 и более карт.
                                                                                                                                                                        — Далее получив список UID-ов карт, можно активировать какую либо из них, либо активируя их по порядку найти нужную (например нам нужна Тройка, мы можем прочитать нужный блок определенным ключем и таким образом, если чтение было успешным, то далее работаем с этой картой, иначе продолжаем поиск).

                                                                                                                                                                        Что касается стопки карт. Возможно, тут имеет место следующее: девайс детектирует карты и работает с той, которая обнаружилась первой. Какого-либо порядка тут нет, может первой обнаружится карта, лежащяя снизу, а в другой раз следующая.
                                                                                                                                                                        Другой момент, что пачка карт может снижать возможность обнаружения «плохих» карт. К примеру карты от NXP очень хорошие, они могут детектироваться на расстоянии вплоть до 10 см. от считывателя, а когда я работал с картами отечественного производства, приходилось отправлять считыватель на доработку, чтобы увеличить мощность антенны, т.к. обнаружение таких карт было очень не стабильно.

                                                                                                                                                                        P.S. И, кстати, в метро так и работает, иногда можно поднести кошелек и тут же пройти, а иногда это не срабатывает и приходится открывать кошелек, доставать карту и прикладывать ее отдельно.
                                                                                                                                                                          0
                                                                                                                                                                          Благодарю за шикарный комментарий! Но сколько не пробовал, ни разу не читались карты в кошельке. Карты разных банков.
                                                                                                                                                                            +1

                                                                                                                                                                            Ну помимо подбора карты разработчик может давать отказ если в поле несколько карт, и нужно получить уверенность, какую именно карту пользователь хочет приложить. Обычно это актуально для банковских карт.
                                                                                                                                                                            В метро так работало полтора года назад, если не вру, может сейчас они ввели ограничение, что только одна карта из-за введения возможности оплатой PayPas.

                                                                                                                                                                              0

                                                                                                                                                                              А что, разве теперь любой турникет поддерживает оплату paypass?

                                                                                                                                                                            0
                                                                                                                                                                            Сделал UPD с ссылкой на ваш комментарий. Спасибо!
                                                                                                                                                                            0
                                                                                                                                                                            в пивнушке рядом с домом POS-терминал оснащён выносной приблудой для NFC, Она небольшая, без проблем прячется в рукаве зимней куртки, например. По рукаву провод до терминала, который лежит в сумке с жетскими стенками — и пусть обпечатается чеками.

                                                                                                                                                                            А остальные проблемы еще надо как-то решать.
                                                                                                                                                                            Согласен с тем, что дешевле гопануть у банкомата.
                                                                                                                                                                              –1
                                                                                                                                                                              Все технические вопросы с модификацией решаются элементарно. Единственный серьёзный аргумент: оспаривание платежа. Но процесс оспаривания — то ещё развлечение, до полугода.
                                                                                                                                                                                0

                                                                                                                                                                                Многие пишут про элементарность взлома.
                                                                                                                                                                                Какие-то сниферы и тому подобное. Вы серьёзно думаете, что обмен идёт в открытом виде?


                                                                                                                                                                                Да, есть понятие открытых ключей, которыми можно прочитать некоторые поля.
                                                                                                                                                                                В основном в картах для обмена секретной информацией используется PKI. И я даже не уверен, расшифровывается ли информация на терминале, скорее всего просто подписывается и отправляется на сервер.
                                                                                                                                                                                Чипованная карта представляет из себя чёрный ящик, из которой можно прочитать блоки, обратится к java-аплету на чипе итд. Ключи для доступа в считывателе тоже нельзя считать, только записать новый.
                                                                                                                                                                                Возможно чип можно взломать в лабораторных условиях и сделать дубликат, не изучал этот вопрос, но это не возможно просто сканируя карты ридером.

                                                                                                                                                                                  0
                                                                                                                                                                                  Всё там открыто передаётся. Кроме офлайн-пин кода, у операции проверки которого есть опция с передачей в шифрованном виде.
                                                                                                                                                                                  Чипованная карта это отнюдь не черный ящик для тех кто знаком с ISO7816.
                                                                                                                                                                                  Ключи и некоторая другая чувствительная информация действительно неизвлекаема.
                                                                                                                                                                                  Вся информация которую терминал считывает с карты и отправляет на сервер — известна терминалу, потому что именно терминал предоставил данные карты на подпись/генерацию криптограммы.
                                                                                                                                                                                    0

                                                                                                                                                                                    Вам нужно смотреть ISO14443)

                                                                                                                                                                                      +1
                                                                                                                                                                                      У вас в голове каша.
                                                                                                                                                                                      ISO 14443 это описания физических характеристик карт, ридера, протокола передачи данных и т.д. Поверх этого всего работает EMC Contactless.
                                                                                                                                                                                      Кстати, «хак» с двумя NCF картами как способ защиты от случайного чтения — совсем не хак, а ситуация описанная в стандарте (опять же EMV): в идеальном случае ридер должен сообщить о нахождении нескольких карт в зоне чтения и предложить убрать лишние. Самовольно обрабатывать транзакции по одной из карт в таком случае ридеру запрещено.
                                                                                                                                                                                        –1

                                                                                                                                                                                        Есть несколько типов бесконтактных карт, например java-карты и mifare classic, в mifare картах действительно нет неизвлекпемых данных, достаточно, чтобы в nfc-чипе ридера были записаны нужные ключи.
                                                                                                                                                                                        В java-карты, помимо всего того, что есть у mifare, можно записать апплет, который будет неизвлекпемым. С помощью этих апплетов можно реализовать, к примеру, инфраструктуру PKI. В случае банковских карт это EMV.


                                                                                                                                                                                        PS стандарт ISO/IEC 7816 для контактных карт, стандарт ISO/IEC 14443 для бесконтактных карт.

                                                                                                                                                                                          +1
                                                                                                                                                                                          Вы открывали эти ISO? Если бы открывали то наверняка поняли свою ошибку. 14443 это только физические характеристики и протокол обмена, но не система команд. 7816 это всё вместе взятое. EMV построен на 7816, но содержит расширенный набор команд. В качестве транспорта там действительно ISO 7816. EMV contactless это те же команды(с небольшими изменениями и дополнениями) что и в EMV но в качестве транспорта тут либо Mifare ISO14443 либо NFC ISO/IEC 18092, который по большей части совместим с ISO14443. В ISO14443 нет не слова о проведении бесконтактых платежей. Вся эта информация это исключительно EMV (и основанные на EMV) спецификации.

                                                                                                                                                                                          По поводу неизвлекаемой информации — она никак не зависит от протокола передачи данных. В картах Paypass и Paywave используется чип с параметрами безопасности неотличимыми от таковых в чип. картах стандарта EMV. Даже больше — в силу беспроводной природы технологии, некоторые параметры ужесточены — как например команда Verify в контактном EMV принимает на вход как Plain Pin так и Enchipered, однаков в бесконтактном остался только Enchipered чтобы исключить любые возможности перехвата.
                                                                                                                                                                                      0

                                                                                                                                                                                      Ну и встречный вопрос, что мы хотим подделать?
                                                                                                                                                                                      Использовать терминал в корыстных целях конечно можно, но что это даст, если терминал вскоре заблокируют?

                                                                                                                                                                                        0
                                                                                                                                                                                        Так думали разработчики из france telecom, а что в результате? Не просто дырка — пропасть в виде BC 52 и стали извлекаемы ключи, возможность заливки и запуска на карте произвольного кода, а также был вычитан ROM, хотя при попытке чтения оного из инструкции выполняемой из RAM срабатывало не маскируемое прерывание, обработчик которого состояло из одной команда JMP на саму себя. Это версия Viaccess PC2.3. Напомню использовался просто ридер подключенный к компу. Со следующей версией разбирались целых полгода. Опять была найдена ошибка, и тоже стандартным ридером. В последствии стали применять так называемые глючеры, которые отслеживали время с спада ресет, и количество тактов, и просаживали питание, модифицировали clock для того чтобы повлиять на условный переход. Правда прошло уже много лет, но криворуких программистов не стало меньше, наоборот с удешевлением стоимости чипов, и памяти, происходит рост строк кода в них, а значит рост количества возможных багов. А что, имеем тут, бесконтактный доступ к карте и к Ваши деньгам соответственно, и к заверениям, что это выгодно и безопасно как минимум стоит относится и настороженностью.
                                                                                                                                                                                          0
                                                                                                                                                                                          А что скажете на счет последнего этапа — вывод средств и обход оспаривания фрода? У меня складывается ощущения, что этот момент все попросту игнорируют в своих рассуждениях.
                                                                                                                                                                                            0
                                                                                                                                                                                            Если кто нибудь найдет дырку к микропрограмме карты и может прочитать содержимое еепром бесконтактным способом, сможет делать чипованые клоны на белом пластике и снимать их в банкомате. А Вы там уже оспаривайте, и возвращать будет уже страховая компания банку. А если рассматривать просто проведение бесконтактного платежа, вариантов масса, например терминал зарегистрированный в Египте, если конечно антифрод не настроен проверять последнюю транзакцию и смотреть способен ли клиент добраться за это время в Египет…
                                                                                                                                                                                              0
                                                                                                                                                                                              Нет конечно, не настроен, ведь платежным система глубоко пофигу!
                                                                                                                                                                                                0
                                                                                                                                                                                                Я бы не стал бы так снисходительно относится к атифрод системам, их алгоритмы после небезызвестного зевса, стали сложны, и мало кто их знает, и уж тем более никто не станет их публиковать. Ибо знание антифрода банка это 80 проц успеха при махинациях с кредитными картами и банковскими аками.
                                                                                                                                                                                                0

                                                                                                                                                                                                Деньги реально уходят продавцу только через несколько часов после оплаты. И если клиент в течении этого времени заявит о краже, то банку будет очень легко вернуть ему деньги — просто не закончить транзакцию и всё.

                                                                                                                                                                                        –1
                                                                                                                                                                                        Так давно же продают всякие кошельки для карт с защитой от NFC, т.е. блокируется NFC. Для примера можете в поисковике набрать что-нибудь наподобие: «nfc blocking wallet».
                                                                                                                                                                                          0
                                                                                                                                                                                          «Я всегда читаю все комментарии прежде чем писать свой»!
                                                                                                                                                                                            +1
                                                                                                                                                                                            Работал с посами чуть больше года. Внесу свой коммент по этому поводу:
                                                                                                                                                                                            — Датчик вскрытия, Tamper. Хакается в принципе легко, в инете можно найти софт на эту тему и перед тем как отдать пос в банк на заливку ключей стоит позаботиться об этом) Чаще всего срабатывает от хорошего удара или от того, что внутри поса села батарейка, которая нужна для работы датчика, когда пос отключен от сети (самый частый случай в моей практике).
                                                                                                                                                                                            — У некоторых банков можно практически на лету перепрыгивать с одного счета на другой, но к сожалению не знаю какие данные от поса передаются в процессинговый центр. К примеру сбер, можно оплатить на счет бомжа1, а через пару минут настроек и удаления сессионных ключей уже оплачивать на счет бомжа2.
                                                                                                                                                                                            — В метро реально использовать только offline-транзакции. Большинство посов что я видел, очень долго проводят платеж по мобильным сетям. В среднем от 30 секунд и выше. Может все зависнуть и платеж не пройдет) Ну и потом выйдя на поверхность отправлять все платежи в банк, но скорее всего мониторинг завернет все операции, в большинстве банков возможность проведения offline-транзакций выдаются очень неохотно и с походами через все инстанции СБ.
                                                                                                                                                                                            — Wifi сразу отпадает, пос не пройдет через страницу авторизации.
                                                                                                                                                                                            — Звук кнопок выпиливается легко. Чтобы не печатать чек, достаточно заклеить чем-нибудь датчик бумаги и пос будет просто крутить моторчик)

                                                                                                                                                                                            Небольшой вердикт: идея «Ходить с посом и тащить деньги у пассажиров в метро/автобусах» на самом деле выглядит не очень. Даже дело не в затратах и сложности. Идея реальна, но:
                                                                                                                                                                                            Во-первых очень помешает факт физического присутствия, в большинстве вагонов/автобусах уже давно стоят камеры и отследить непонятного парня, который притирается к каждому пассажиру, будет очень легко.
                                                                                                                                                                                            Во-вторых как уже писал выше, мониторинг быстро прикроет Offline-транзакции.
                                                                                                                                                                                            В третьих как уже писали выше, все транзакции, которые не подтверждены вводом пин-кода очень легко вернуть и оспорить.
                                                                                                                                                                                            А и четвертое. Тоже уже было написано об этом, но продублирую. При оплате деньги замораживаются на счетах (клиента и продавца), если вам пришло СМС, что у вас списали деньги, это еще не значит что они тут же ушли в карман продавца. После, как правило, вечерней «сверки итогов» все транзакции подтверждаются и только после этого деньги поступают на счет (и то не сразу, до 2-3 дней).

                                                                                                                                                                                            Как-то раз проверял работу NFC на 30 пин-падах vx820 в Hamley's в ЦДМ, карта была тинькофф, пробивали какой-то гироскутер с ценой 50к и оплачивал бесконтактом на недостаточно средств. После 2й попытки мне звонит чел из мониторинга и спрашивает чем мы там занимаемся...)
                                                                                                                                                                                              0
                                                                                                                                                                                              Прекрасное дополнение статьи! Большое вам спасибо!
                                                                                                                                                                                                0
                                                                                                                                                                                                Сделал UPD с ссылкой на ваш комментарий.
                                                                                                                                                                                                  0
                                                                                                                                                                                                  — Wifi сразу отпадает, пос не пройдет через страницу авторизации.

                                                                                                                                                                                                  В чём проблема держать в рюкзаке Wi-Fi роутер, который будет перераздавать Wi-Fi? При этом страницу авторизации можно пройти самостоятельно и заранее.


                                                                                                                                                                                                  По остальным пунктам полностью согласен.

                                                                                                                                                                                                    0
                                                                                                                                                                                                    Заметил, что авторизация разрывается примерно каждые 4-5 станций(по-крайней мере у меня так, катаюсь на работу с Тимирязевской до Тульской и прохожу авторизацию 2 раза). Приходится перелогиниваться вновь. Опять же лишние движения и минимум анонимности. Максима-телеком привязывает номер телефона к mac адресу устройства, при смене мака придется снова авторизовать его с помощью смс)
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Если узнать mac-адрес терминала, то можно с помощью спуфинга и ноутбука его проплатить, после чего терминал сможет заходить в интернет без авторизации.
                                                                                                                                                                                                        0
                                                                                                                                                                                                        Ага и провайдер будет точно знать в каком составе/вагоне этот терминал перемещается) придется раз в какой-то промежуток времени менять мак, регать еще раз и оплачивать опцию без авторизации.
                                                                                                                                                                                                    0
                                                                                                                                                                                                    Не удивительно, что на техническом сайте обсуждаются технические подробности вопроса. Можно ли сделать ретранслятор для POS-терминала, можно ли модифицировать POS-терминал, какую информацию можно считать с бесконтактной карты и т.п.

                                                                                                                                                                                                    Но если рассматривать вопрос с подобной схемой мошенничества в целом, то есть несколько нерешённых вопросов:
                                                                                                                                                                                                    — Как мошеннику вывести деньги со счёта? Ведь счёт будет заблокирован гораздо раньше чем даже просто окупится организация схемы.
                                                                                                                                                                                                    — Как мошеннику избежать уголовного преследования? Буквально каждый эпизод мошенничества досконально запротоколирован, личность мошенника очевидна, всё на радость следователя. Причём, добавление соучастников, типа, «на бомжа фирму оформим», это такой мгновенный апгрейд статьи (части статьи, пункта статьи) до «совершенное группой лиц по предварительному сговору» и без особых дополнительных сложностей для следователя.
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Ещё немного карты разжиреют (по доступным программистам ресурсам) и будет эпидемия вирусов на пластике, распространяемая во всяких метро :)
                                                                                                                                                                                                        0
                                                                                                                                                                                                        В интернет-магазинах уже продают кошельки с защитой от RFID.
                                                                                                                                                                                                        После прочтения статьи я все еще хочу такой себе купить.
                                                                                                                                                                                                          0
                                                                                                                                                                                                          СМС о бесконтактных транзакциях до 1000 рублей может прийти только спустя пару дней, в момент подтверждения транзакции. Более того, не всегда по таким транзакциям блокируются средства на счёте.
                                                                                                                                                                                                          Только что разбирался с этим вопросом с Тинькофф-банком, потому что внезапно карта ушла в минус, да и вообще остатки не сводились. Свели в итоге, конечно, но осадочек от такой лихой бухгалтерии остался.
                                                                                                                                                                                                            0
                                                                                                                                                                                                            Сории, если было выше, я с год назад примерно слышал байку про доставщика пиццы-не-пиццы, чего-то там, который снимал сумму доставки заказа с левых людей в толкучке у метро (это важно, как я понимаю, а не в метро), а у клиента брал кэш на карман себе уже. С третьих рук куплено, продано как куплено, и в оригинале было сказано, что чела быстро поймали и дали условно что-то там.
                                                                                                                                                                                                              0
                                                                                                                                                                                                              Думаю, что это фейк.
                                                                                                                                                                                                              Если уж человек додумался до этой схемы, то и о том, что легко попадется, скорее всего догадается.

                                                                                                                                                                                                            Only users with full accounts can post comments. Log in, please.