Как украсть деньги с бесконтактной карты и Apple Pay

    Как украсть деньги с бесконтактной карты из кармана? Насколько безопасен PayPass и Apple Pay?

    В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

    Рассматриваемые темы:

    • Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
    • В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
    • Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
    • Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
    • Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

    Внимание!

    В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

    Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.

    Как это работает?


    Для начала рассмотрим базовые понятия: любые движения денег с использованием платежных карт возможны только через посредников, подключенных к платежной системе, например VISA или MasterCard. В отличие от переводов между физическими лицами, списание денег с карты доступно только юридическому лицу (мерчанту), имеющему договор эквайринга с банком.


    Этапы транзакции при оплате через POS-терминал

    На иллюстрации выше изображена классическая схема оплаты через POS-терминал. Именно эта последовательность действий происходит, когда после оплаты на кассе вы ожидаете подтверждения на терминале.

    1. Покупатель прикладывает/проводит/вставляет карту в POS-терминал;
    2. POS-терминал по интернету передает данные в банк-эквайер;
    3. Банк-эквайер через международную платежную систему (МПС) обращается в банк-эмитент и запрашивает, может ли конкретный держатель карты оплатить покупку;
    4. Банк-эмитент подтверждает или отклоняет покупку, после чего печатается слип (второй чек).

    Бывают исключения из этой схемы, например оффлайн транзакции, их мы рассмотрим далее. Также, если банк-эквайер и банк-эмитент являются одним и тем же банком, шаги 2 и 4 выполняются внутри одного банка.

    Продавец (Merchant) — лицо или организация, предоставляющая товары или услуги

    Банк-эквайер (Acquiring bank) — банк, который предоставляет продавцу услуги приема платежей через банковские карты. В этом банке, обычно, находится расчетный счет продавца, куда зачисляются списанные с карты деньги.

    Банк-эмитент (Issuing bank) — банк, выпустивший карту. В нем находится счет владельца карты, у которого списываются деньги.

    Международная платежная система (МПС) — международная система-посредник между банками по всему миру, позволяющая банкам производить расчеты между собой без заключения договора с каждым банком по отдельности. Все банки, подключенные к МПС, соглашаются работать по одним правилам, что значительно упрощает взаимодействие. Например, Visa, MasterCard, UnionPay, American Express, МИР (нет, МИР не работает заграницей).

    Владелец карты (Cardholder) — человек, заключивший с банком-эмитентом договор обслуживания карты.

    Чем отличается обычная карта от Apple Pay или Google Pay?


    Процедура привязки банковской карты к системе Apple Pay или Google Pay из-за непонятности процесса часто порождает заблуждения даже у профессионалов в IT. Мне приходилось слышать много разных мифов об этой технологии.

    Популярные мифы об Apple Pay


    • Карта копируется в телефон
      Это не так, в микропроцессорной карте содержится защищенная область памяти с криптографической информацией, которая после выпуска карты не может быть извлечена. Из-за этого чипованную карту нельзя скопировать, никак, вообще. Справедливости ради нужно сказать, что подобные атаки возможны, но стоимость их превышает суммарное количество денег, которые потратят за всю жизнь большинство читателей этой статьи.
    • Телефон каждый раз подключается к интернету во время оплаты
      Google Pay/Apple Pay не подключаются к интернету во время оплаты через POS-терминал. Вся нужная информация хранится локально в телефоне.
    • На каждую оплату генерируется новый номер карты (PAN)
      Так может показаться, если читать пресс-релизы Apple о технологии Apple Pay. Но это ошибочное трактование понятия токена. На самом деле, реквизиты виртуальной карты остаются неизменными достаточно долго, вы можете это проверить по последним цифрам номера карты в слипе (банковском чеке) при оплате покупок.
    • При оплате через Apple Pay/Google Pay взымается дополнительная комиссия
      Это не так, вы заплатите ровно столько, сколько указано на ценнике, и согласно условиям вашего договора с банком-эмитентом, чью карту вы привязали.
    • Деньги могут списаться два раза
      Этот миф касается не только Google Pay/Apple Pay, но и обычных банковских карт. Полагаю, что он появился из-за систем оплаты общественного транспорта, в которых терминал списывает деньги с проездного билета каждый раз при поднесении, так что можно списать средства два или более раз, если неаккуратно поднести карту. В случае с POS-терминалами этого риска не существует, так как терминал прекращает обмен с картой, как только получил нужные данные.



    Связывание физической карты с «токеном» в телефоне

    Системы, подобные Apple Pay, работают на основе EMV Payment Tokenisation Specification. Процедура связывания физической карты и телефона с Apple Pay не описана публично, поэтому разберем процесс на основе известных данных:

    1. Поставщик (Google, Apple, Samsung) получает информацию о карте;
    2. Через МПС поставщик запрашивает, поддерживает ли данная карта (данный банк-эмитент) работу с EMV Tokenisation;
    3. На стороне МПС генерируется виртуальная карта (токен), который загружается в защищенное хранилище в телефоне. Мне неизвестно, где именно генерируется приватный ключ от виртуальной карты, передается ли он по интернету или генерируется локально на телефоне, в данном случае это не имеет значения.
    4. В телефоне появляется сгенерированная виртуальная карта-токен, операции по которой банк-эмитент интерпретирует как операции по первой физической карте. В случае блокировки физической карты, токен тоже блокируется.


    Apple Pay позволяет считать реквизиты виртуальной карты. PAN номер и expire date отличаются от привязанной карты российского Альфа-Банка. По BIN виртуальной карты (480099) определяется MBNA AMERICA BANK.

    При оплате телефоном, POS-терминал видит обычную карту VISA или MasterCard, и общается с ней точно так же, как и с физической картой. Виртуальная карта-токен содержит все атрибуты обычной карты: PAN-номер, срок действия и прочее. При этом номер виртуальной карты и срок действия отличаются от привязанной оригинальной карты.

    Сценарий 1 — обычный POS-терминал



    Мошенник, вооруженный POS-терминалом

    Самый популярный сюжет мошенничества в головах обывателей: к ним в толпе прижимается мошенник с включенным терминалом и списывает деньги. Мы попытаемся воспроизвести этот сценарий в реальности.

    Условия следующие:

    • У мошенника полностью рабочий обыкновенный POS-терминал, подключенный к банку-эквайеру, такой же, как в магазинах и у курьеров. Прошивка терминала не модифицирована. В нашем случае — Ingenico iWL250. Это портативный POS-терминал с GPRS модемом, который поддерживает бесконтактную оплату, работает от батарейки и полностью мобилен.
    • Мошенник не использует дополнительные технические средства, только POS-терминал
    • Списанные средства зачисляются на расчетный счет мошенника, по всем правилам банковских систем

    Юридическое лицо




    Для начала нам потребуется юридическое лицо с расчетным счетом и подключенным эквайрингом. Мы, как настоящие мошенники, не будем ничего оформлять на свое имя, а попытаемся купить готовое юр. лицо на сайте для таких же мошенников. Для этого посмотрим объявления с первой страницы гугла по запросу «купить ип» и «купить ооо».


    Предложения о продаже готовых компаний от мошенников (кликабельно)

    Цена компании на черном рынке с расчетным счетом колеблется от 20 до 300 тысяч рублей. Мне удалось найти несколько предложений ООО с POS-терминалом от 200 тысяч рублей. Такие компании оформлены на подставных лиц, и покупатель получает весь пакет документов, вместе с «кеш-картой» — это банковская карта, привязанная к расчетному счету подставной компании. С такой картой мошенник может обналичивать деньги в банкомате.

    Для простоты будем считать, что ООО + расчетный счет + эквайринг и POS-терминал обойдутся мошеннику в 100 000 рублей. На самом деле больше, но мы упростим жизнь нашему гипотетическому мошеннику, снизив себестоимость атаки. Ведь чем ниже себестоимость атаки, тем проще ее реализовать.

    Идем воровать деньги


    Итак, мошенник получил POS-терминал и готов отправиться в людное место, чтобы прислоняться к жертвам и воровать деньги из карманов. В нашем эксперименте все жертвы были предварительно проинструктированы о наших намерениях, и все попытки списания денег проводились с их согласия. В случаях, когда испытуемые не имели собственных бесконтактных банковских карт, им предлагалось положить в кошелек нашу карту. Предварительно у испытуемых выяснялось, где именно и как они хранят свои карты, поэтому мошенник заранее знал, где в сумке/кармане находится бесконтактная карта.


    Видео: мошенник разбушевался в торговом центре

    В случае успешного списания, транзакция отменялась через меню терминала, и деньги возвращались на счет испытуемых. За все время эксперимента мы попытались «украсть» деньги у 20 испытуемых в здании торгового центра и на улице. Результат испытаний описан далее.

    Проблема: Лимит на транзакции без PIN-кода


    Лимит на максимальную сумму операции без подтверждения ПИН-кодом может быть установлен как на самом POS-терминале (CVM Required Limit), так и на стороне банка. В России это ограничение равно 1000₽.



    UPD В настройках карты, может быть установлен тип авторизации Cardholder verification methods (CVMs) в виде подписи на чеке. В таком случае, бесконтактная транзакция пройдет на любую сумму без ПИН-кода.



    Наш мошенник принимает решение списывать по 999.99 рублей за раз. Если будет запрошена повторная попытка списания суммы ниже лимита в короткий временной промежуток, будет также запрошен ввод ПИН-кода и, в большинстве случаев, не получится несколько раз подряд списать по 999.99 рублей. Поэтому наиболее оптимальной стратегией будет не более одного списания с одной карты.

    POS-терминал с суммой 999.99

    В России максимальная сумма списания без PIN-кода равна 1000 руб.

    В действительности, множество списаний с суммой 999.99 рублей за короткий промежуток времени могут спровоцировать срабатывание антифрод-системы на стороне банка-экваера, поэтому такая стратегия не является оптимальной для мошенника. Так что, в реальной жизни ему бы пришлось выбирать более разнообразные суммы, тем самым снижая потенциальный доход.

    Кстати, во многих статьях по данной теме на русском языке говорится, что можно вручную установить собственный лимит на бесконтактные операции без ПИН-кода. Мне не удалось найти такой опции в основных российских банках. Может, вы знаете о такой возможности? Речь именно о бесконтактных платежах, а не любых chip&pin-транзакциях.

    Проблема: Несколько карт в кошельке


    Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит одну единственную карту в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.

    Распухший от карт кошелек

    Конкретно мой терминал Igenico iWL250 при обнаружении в поле действия более одной карты с SAK, обозначающим поддержку протокола 14443-4, возвращает ошибку: «предъявите одну карту».

    Но так поступают не все терминалы. Например, сбербанковские POS-терминалы VeriFone выбирают случайную карту из нескольких. Некоторые терминалы просто игнорируют все карты, если их более одной, не показывая сообщений об ошибке.


    Попытка считать несколько карт в кошельке. POS-терминал возвращает ошибку.

    Антиколлизии ISO 14443-3


    Чтение одной конкретной карты из нескольких — непростая задача на физическом уровне. Для решения этой проблемы существует механизм антиколлизий. Он позволяет выбрать одну карту, если был получен ответ от нескольких карт сразу. Это самый первый этап установления связи с бесконтактной картой в протоколе ISO-14443A. На данном этапе считыватель не в состоянии выяснить, какая из представленных карт банковская. Единственный вариант — выбрать более-менее похожую на банковскую карту, на основании ответа SAK (Select Acknowledge).

    Значение бит в ответе SAK

    Так, например, используемая в московском общественном транспорте карта «Тройка» (стандарта Mifare) имеет значение SAK=0x08 (b00001000), в котором шестой бит равен нулю. В то время как у всех банковских карт в ответах SAK шестой бит равен 1, что означает поддержку протокола ISO 14443-4.

    Поэтому все, что может сделать терминал при обнаружении нескольких карт одновременно — исключить карты, не поддерживающие ISO 14443-4, и выбрать одну из похожих на банковскую. Поддержка протокола ISO 14443-4, кстати, не гарантирует, что эта карта будет банковской, однако вероятнее всего, в кошельке обычного человека не будет карт другого типа, поддерживающих ISO 14443-4.


    Блок-схема работы протокола антиколлизий

    Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.

    Однако мы будем считать, что нашему мошеннику очень везёт, и это ограничение его не беспокоит.

    Оффлайн vs Онлайн транзакции


    В устрашающих сюжетах новостей рассказывают о мошенниках с POS-терминалами в вагонах метро, которые прямо в пути списывают у вас из карманов деньги. В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро. Возможно, его терминал поддерживает оффлайн-транзакции?

    Спецификации EMV допускают оффлайн-транзакции. В таком режиме списание происходит без онлайн-подтверждения со стороны банка-эмитента. Это работает, например, в общественном транспорте в Москве и Санкт-Петербурге. Чтобы не занимать очередь на входе в автобус, пока терминал выполнит онлайн-подтверждение, вас пропускают сразу, не проверяя, достаточно ли у вас денег на счету для оплаты проезда. В конце дня, когда на терминале появляется интернет, подписанные транзакции отправляются в банк-эмитент. Если окажется, что в этот момент у вас нет денег на оплату проезда, карта будет добавлена в стоп-лист на всех терминалах в городе. Долг можно погасить через личный кабинет по номеру карты. Подробнее об оплате проезда в автобуса Санкт-Петербурга.

    Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний. Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.
    Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя.

    Подсчитываем прибыль


    В нашем сценарии себестоимость атаки была 100 000 рублей. Это значит, что для того, чтобы хотя бы вернуть вложения, нашему герою нужно выполнить минимум 100 транзакций по 1 тысяче рублей. Представим, что он был достаточно проворным и весь день бегал по городу, прижимаясь ко всем подряд, так, что к концу для сделал 120 успешных списаний. Мы не будем учитывать комиссию эквайринга (в среднем 2%), комиссию на обналичивание (4-10%) и другие комиссии.

    Может ли он успешно обналичить деньги, используя карту, привязанную к расчетному счету?

    В реальности не все так просто. Зачисление денег на счет мошенника произойдет только через несколько дней! За это время, наш мошенник должен надеяться, что никто из ста двадцати жертв не оспорит транзакцию, что крайне маловероятно. Поэтому в реальности, счет мошенника будет заблокирован еще до зачисления на него денег.

    Если человек заметил, что по его карте была проведена покупка, которую он не совершал, ему следует обратиться к банку-эмитенту и подать претензию. На рассмотрение спорных операций на территории России уходит до 30 дней, а по операциям, совершенным за рубежом — до 60 дней. За это время банк-эмитент направляет запрос банку-эквайеру, и если банк-эквайер подтверждает факт совершения сомнительных операций, то блокируется терминал и средства на расчетном счете владельца терминала.

    Александр Падерин, управляющий директор центра информационной безопасности Уральского банка реконструкции и развития (УБРиР)

    Вывод


    Себестоимость атаки в нашем сценарии — 100 000р. В действительности, она будет в несколько раз выше, поэтому мошеннику потребуется намного больше усилий для того, чтобы получить прибыль.

    В нашем сценарии мошенник всегда списывает по 999.99 рублей, что, вероятнее всего, повлечет за собой срабатывание системы антифрода на стороне банка-эквайера. В реальности мошеннику потребуется списывать меньшие суммы.

    Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв. Если даже десяток из них обратится банк-эмитент и оспорит транзакцию, счет мошенника, скорее всего, будет заблокирован. Сценарий, в котором банк-эквайер находится в сговоре с мошенником маловероятен, потому как лицензия для работы с МПС стоит сильно больше, чем любые потенциальные прибыли от такого вида мошенничества.

    Из 20 испытуемых только у трех удалось списать деньги с карты, что составляет 15% успеха от всех попыток. Это были те искусственные случаи, когда в кармане находилась одна единственная карта. В случаях же с кошельком и несколькими картами, терминал возвращал ошибку. В сценарии с терминалом, который использует модифицированную прошивку и реализует механизм антиколлизий, процент успешных списаний, возможно, будет выше. Однако, даже в случае использования антиколлизий, в реальных условиях на бегу, считать одну карту из нескольких настолько сложно, что успешное списание в таких условиях можно считать везением. В реальности, доля успешных списаний будет едва ли выше 10% от числа попыток.

    Итак, несмотря на то, что в теории такая атака возможна, на практике она оказывается невыгодна и крайне тяжело осуществима. Шанс получить хоть какую-либо прибыль настолько мал, что лишает смысла всю затею.

    Сценарий 2 — злой POS-терминал


    Допустим, наш мошенник работает на кассе в магазине или курьером с мобильным POS-терминалом. В таком случае, у него появляется возможность вылавливать данные карты, которых, в некотором случае, может быть достаточно для оплаты в интернете.

    Для начала разберемся, как именно выглядит бесконтактная транзакция, и какими данными обменивается карта с POS-терминалом. Так как нам лень читать тысячи страниц документации EMV Contactless Specifications , мы просто перехватим обмен на физическом уровне с помощью сниффера HydraNFC.

    Есть некоторая разница между EMV-спецификацией для MasterCard PayPass и Visa payWave. Это разница в формате подписи и некоторых данных. Но для нас это несущественно.

    NFC-сниффер



    HydraNFC — полностью опенсорсный автономный сниффер ISO-14443A, который сохраняет перехваченные APDU-команды на SD-карту. Антенна сниффера размещается между терминалом и картой, и пассивно захватывает всю передаваемую информацию.

    Сайт о HydraBus и шилде HydraNFC
    Исходники прошивки


    Демонстрация перехвата обмена между POS-терминалом и телефоном с Apple Pay

    Забегая вперед, нужно сказать, что на этом уровне оплата телефоном и обычной пластиковой картой не отличается. Для POS-терминала это обычная карта VISA. Однако, оплата телефоном намного безопаснее, чем физической картой, и дальше мы разберем, почему.

    Разбор протокола EMV


    Вот как выглядит записанный дамп при оплате шоколадки и бутылки воды общей стоимостью 142.98 рублей с помощью Apple Pay:

    Сырые данные, полученные со сниффера (раскрыть спойлер)

    Кассовый чек и слип от транзакции (кликабельно)

    R (READER) — POS-терминал
    T (TAG) — карта (в нашем случае телефон)
    R>> 52
    R>> 52
    R>> 52
    R>> 52
    R>> 52
    R>> 52
    R>> 52
    T<< 04 00
    R>> 93 20
    T<< 08 fe e4 ec fe
    R>> 93 70 08 fe e4 ec fe dd 6e
    T<< 20 fc 70
    R>> 50 00 57 cd
    R>> 26
    R>> 52
    T<< 04 00
    R>> 93 70 08 fe e4 ec fe dd 6e
    T<< 20 fc 70
    R>> e0 80 31 73
    T<< 05 78 80 70 02 a5 46
    R>> 02 00 a4 04 00 0e 32 50 41 59 2e 53 59 53 2e 44 44 46 30 31 00 e0 42
    T<< 02 6f 23 84 0e 32 50 41 59 2e 53 59 53 2e 44 44 46 30 31 a5 11 bf 0c 0e 61 0c 4f 07 a0 00 00 00 03 10 10 87 01 01 90 00 4b b3
    R>> 03 00 a4 04 00 07 a0 00 00 00 03 10 10 00 bc 41
    T<< 03 6f 31 84 07 a0 00 00 00 03 10 10 a5 26 9f 38 18 9f 66 04 9f 02 06 9f 03 06 9f 1a 02 95 05 5f 2a 02 9a 03 9c 01 9f 37 04 bf 0c 08 9f 5a 05 60 08 40 06 43 90 00 1d 66
    R>> 02 80 a8 00 00 23 83 21 36 a0 40 00 00 00 00 01 42 98 00 00 00 00 00 00 06 43 00 00 00 00 00 06 43 18 09 18 00 e0 11 01 03 00 f9 14
    T<< 02 77 62 82 02 00 40 94 04 18 01 01 00 9f 36 02 02 06 9f 26 08 d6 f5 6b 8a be d7 8f 23 9f 10 20 1f 4a ff 32 a0 00 00 00 00 10 03 02 73 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 9f 6c 02 00 80 57 13 48 00 99 72 50 51 17 56 d2 31 22 01 00 00 05 20 99 99 5f 9f 6e 04 23 88 00 00 9f 27 01 80 90 00 af c8
    R>> 03 00 b2 01 1c 00 c9 05
    T<< 03 70 37 5f 28 02 06 43 9f 07 02 c0 00 9f 19 06 04 00 10 03 02 73 5f 34 01 00 9f 24 1d 56 30 30 31 30 30 31 34 36 31 38 30 34 30 31 37 37 31 30 31 33 39 36 31 36 37 36 32 35 90 00 a7 7b


    Разберем каждую строку строку из перехваченного дампа в отдельности.

    R>> — данные, переданные POS-терминалом
    T>> — данные, переданные картой (в нашем случае телефон с Apple Pay)

    14443-A Select


    В начале обмена терминал устанавливает соединение с картой на канальном уровне. Для тех, кто знаком с сетями и моделью OSI, будет удобно представить это в качестве уровня L2, а UID (Unique Identifier) карты как MAC-адрес узла.

    В терминологии стандарта ISO-14443:
    PCD (proximity coupling device) — название считывателя, в нашем случае это POS-терминал
    PICC (proximity integrated circuit card) — карта, в нашем случае эту роль выполняет телефон

    Важное отличие обычной платежной карты от Apple Pay в том, что в карта всегда доступна для считывания и никак не позволяет управлять процессом считывания. Ее можно бесконтрольно считать через одежду, в то время как телефон, попадая в поле действия считывателя, предлагает пользователю активировать виртуальную карту. До подтверждения пользователя телефон не передает никакие данные, и считыватель даже не знает, что рядом находится виртуальная карта.

    R>> 52 // WUPA (wake up)
    R>> 52 // WUPA
    R>> 52 // WUPA
    R>> 52 // WUPA
    R>> 52 // WUPA
    R>> 52 // WUPA
    R>> 52 // WUPA
    T<< 04 00 // ATQA (Answer To Request type A) 
    R>> 93 20 // Select cascade 1 (Anti Collision CL1 SEL)
    T<< 08 fe e4 ec fe // UID (4 bytes) + BCC (Bit Count Check)
    R>> 93 70 08 fe e4 ec fe dd 6e // SEL (select tag 0x9370) + UID + CRC16
    T<< 20 fc 70  // SAK (Select Acknowledge 0x20) + CRC16 
    R>> 50 00 57 cd // HALT (Disable communocaion 0x5000) + CRC16
    R>> 26 // REQA
    R>> 52 // WUPA
    T<< 04 00 // ATQA
    R>> 93 70 08 fe e4 ec fe dd 6e // SELECT
    T<< 20 fc 70 // SAK
    R>> e0 80 31 73 // RATS (Request Answer to Select 0xE080) + CRC16
    T<< 05 78 80 70 02 a5 46 // ATS (Answer to select response)
    

    Терминал постоянно передает команду 0x52 Wake-up (WUPA), и как только в поле действия появляется карта, она отвечает командой Answer To Request type A (ATQA), в нашем случае это 0x04 0x00. Ответ ATQA может различаться в зависимости от производителей чипа.

    Получив ответ ATQA, терминал начинает процедуру выявления коллизий, чтобы определить, есть ли в поле действия более одной карты. Команда 0x93 0x20 Select cascade level 1 (SEL CL1) запрашивает у всех карт в поле действия сообщить первую часть своих идентификаторов UID.

    Карта отвечает 0x08 0xFE 0xE4 0xEC 0xFE, первые четыре байта — UID виртуальной карты Apple Pay и контрольная сумма 0xFE Bit Count Check (BCC) в конце.

    Получив идентификаторы карт, считыватель обращается к конкретной карте командой 0x93 0x70 (SELECT). За командой следует UID карты 0x08 0xfe 0xe4 0xec + 0xfe BCC + 0xdd 0x6e CRC16.

    Карта отвечает 0x20 Select Acknowledge (SAK) + 0xfc 0x70 CRC16.

    Если на этом шаге получено несколько ответов SAK, ридер может уменьшить длину UID в команде SELECT, пока не ответит единственная карта. Однако, как показано выше, некоторые POS-терминалы отказываются продолжать, если на этом этапе выявлены коллизии, то есть присутствие нескольких карт одновременно.

    Длина UID может быть 4, 7 или 10 байт. У всех банковских карт, что я встречал, в том числе и в Apple Pay, UID был равен 4 байтам. Интересно, что Apple Pay генерирует разный UID на каждое считывание, в отличие от физических карт, где UID обычно постоянный. Уверен, что это сделано для того, чтобы айфоны не использовали в качестве примитивных карт доступа, так как системы СКУД на основе UID до сих пор очень популярны.

    Ридер посылает команду 0x50 0x00 HALT + 0x57 0xcd CRC16. Это команда завершения связи.

    Дальше процедура повторяется заново, ридер снова пробуждает карту (WUPA), но уже без проверки коллизий, сразу выполняется SELECT. Зачем так сделано — не знаю, возможно, это какой-то более надежный способ определения коллизий.

    Во второй раз ридер уже посылает команду 0xE0 0x80 Request Answer to Select (RATS) + 0x31 0x73 CRC16.

    Карта отвечает 0x05 0x78 0x80 0x70 0x02 Answer to select response (ATS) + 0xA5 0x46 CRC16.

    Answer to select — ответ аналогичный Answer To Reset (ATR) для контактных карт. В нем содержится информация о максимальном размере кадра и параметрах канального уровня.

    На этом этапе «канальный» уровень завершен, далее начинается обмен на более высокоуровневом протоколе, в зависимости от приложения, содержащегося на карте. Операция SELECT одинакова для всех бесконтактных карт стандарта ISO 14443A, в том числе NFC-меток, билетов на общественный транспорт, и т.д.

    Запрос доступных приложений — SELECT PPSE


    Официальное описание: EMV Contactless Specifications — PPSE and Application Management for Secure Element

    Начало общения с EMV-картой всегда происходит с чтения PPSE (Payment System Environment). Терминал спрашивает у карты, какие платежные приложения на ней есть.

    Чаще всего это одно приложение, как в нашем примере — VISA. Однако бывают карты с несколькими платежными приложениями, например, есть специальные отечественные карты МИР с двумя платежными приложениями внутри. Так как платежная система МИР не работает заграницей, в карту интегрируется второе платежное приложение, по сути вторая карта. Это может быть приложение платежной системы JCB или UnionPay. Такие карты называются кобейджинговыми.

    APDU-команда SELECT PPSE

    '00 A4 04 00 0E 32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 00'
      00 A4 04 00 // команда select 
       0E // длина command data (14 байт)
        32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 // command data 2PAY.SYS.DDF01
        00 // завершающий маркер
    

    Ответ на SELECT PPSE

    '6F 23 84 0E 32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 A5 11 BF 0C 0E 61 0C 4F 07 A0 00 00 00 03 10 10 87 01 01 90 00'

    Для удобства проанализируем ответ с помощью онлайн-парсера формата TVL iso8583.info/lib/EMV/TLVs. Тот же ответ, обработанный парсером:

    EMV SELECT PPSE VISA RESPONE parsed
    Из всего этого нас интересует только идентификатор платежного приложения (AID). В данном случае, это значение A0000000031010, означающее Visa International.

    AID помечается маркером 4F. Вторым битом после маркера следует длина данных, в нем содержащихся. Несмотря на то, что длина AID может варьироваться от 5 до 16 байт, в большинстве случаев она равна 7 байтам.

    Большой список AID: eftlab.co.uk/knowledge-base/211-emv-aid-rid-pix

    Некоторые популярные AID

    A0000000031010 Visa International
    A0000000032020 Visa International
    A0000000041010 Mastercard International
    A0000000043060 Mastercard International United States Maestro (Debit)
    

    Application Priority Indicator — указывает приоритет платежных приложений. Например, в кобейджинговых картах МИР, имеющих внутри несколько платежных приложений, это поле указывает, какое из двух приложений приоритетнее. Так как у нас только одно приложение Visa International, оно указывает на него, и приоритет отсутствует.

    Запуск платежного приложения — SELECT AID

    '00 A4 04 00 07 A0 00 00 00 03 10 10'
      00 A4 04 00 // команда select 
       07 // длина command data (7 байт)
        A0 00 00 00 03 10 10 // AID Visa International
    

    Выбрав нужное платежное приложение, терминал запускает его.

    PDOL (Processing Options Data Object List)


    '6f 31 84 07 a0 00 00 00 03 10 10 a5 26 9f 38 18 9f 66 04 9f 02 06 9f 03 06 9f 1a 02 95 05 5f 2a 02 9a 03 9c 01 9f 37 04 bf 0c 08 9f 5a 05 60 08 40 06 43 90 00'
    

    Разберем ответ парсером


    В ответ на запуск платежного приложения карта сообщает набор параметров, которые ожидает получить от терминала — PDOL (Processing Options Data Object List). Терминал обязан ответить в строгом соответствии с этой последовательностью.

    PDOL у разных карт может различаться. Общее число параметров PDOL — несколько десятков. Полный список параметров PDOL можно посмотреть здесь.

    Разберем PDOL внимательнее. Длина, указанная после маркера — строго ожидаемая длина ответа от терминала на данный запрос. Пустой ответ заполняется нулями до нужной длины.

    Разбор запроса PDOL:

    9F 38 18 // Маркер начала PDOL. Длина 18 (24 байта) 
     9F 66 (длина 04) // Terminal Transaction Qualifiers (TTQ). Набор поддерживаемых терминалом протоколов. 
      9F 02 (длина 06) // Сумма списания
       9F 03 (длина 06) // вторая сумма
       9F 1A (длина 02) // Код страны в формате ISO3166-1
       95 (длина 05) // Terminal Verification Results
        5F 2A (длина 02) // Код валюты, в которой работает терминал, в формате ISO4217
         9A (длина 03) // Дата в формате YYMMDD
          9C (длина 01) // Тип транзакции 
           9F 37 (длина 04) // Случайное число 
    

    До этого момента все передаваемые данные идентичны для любых транзакций по этой карте.

    Запрос на списание — GET PROCESSING OPTIONS


    '80A8000023832136A0400000000001429800000000000006430000000000064318091800E011010300'
     80 A8 00 00 // Команда GET PROCESSING OPTIONS (GPO)
      23 // длина всего запроса (35 байт)
       83 // маркер PDOL-ответ
        21 // длина PDOL-ответа (33 байта)
         36 A0 40 00 // Terminal Transaction Qualifiers (TTQ)
          00 00 00 01 42 98 // Сумма списания (142,98 рублей)
           00 00 00 00 00 00 // Вторая сумма 
            06 43 // Код страны экваера (643 - россия)
             00 00 00 00 00 // Terminal Verification Results (TVR)
              06 43 // Валюта (643 - russian ruble) 
               18 09 18 // дата (18 сентября 2018 года)
                00 // тип транзакции
                 E0 11 01 03 // Случайное число 
    

    В этом ответе наглядно видно, как терминал, который находится в России, запрашивает списание с карты на сумму 142,98 рублей. Обращаем внимание на случайное число в конце (E0110103). Это параметр 9F37 Unpredictable Number. Это первое упоминание криптографии. В дальнейшем это число вместе с данными транзакции карта должна будет подписать криптографической подписью. Это дает терминалу контроль над актуальностью подписи от карты и защищает от replay атак.

    Ответ карты на GET PROCESSING OPTIONS


    '7762820200409404180101009F360202069F2608D6F56B8ABED78F239F10201F4AFF32A00000000010030273000000004000000000000000000000000000009F6C02008057134800997250511756D23122010000052099995F9F6E04238800009F2701809000'
    

    В данном ответе содержатся специфичные для VISA поля данных, поэтому я использовал парсер c поддержкой VISA Contactless Payment Specification (VCSP).



    Application Interchange Profile (AIP) — содержит информацию о параметрах платежного приложения. В нашем случае AIP равен 00 40. Рассмотрим значения данного параметра из EMV 4.3 Book 3.


    В нашем случае установлен один бит во втором байте, который, если верить этой таблице, Reserved For Future Use (RFU). Что это значит, и какой смысл в это вкладывает Apple Pay, я не знаю.

    В AIP содержится важная информация о поддерживаемых методах аутентификации (SDA,CDA,DDA) платежа. Почему в моем случае все эти флаги равны нулю — я не понимаю.

    Application File Locator (AFL) — Содержит информацию о расположении записей (SFI range of records) в конкретном AID. На основании этого ответа терминал сформирует запрос READ RECORD.

    Разберем ответ AFL подробнее:

    Short File Identifier (SFI) равно 0x18. Этот параметр кодируется пятью битами вместо восьми. Соответственно значение 0x18 (b00011000) преобразовываем в b00000011, и получаем 0x3.
    First record = 1
    Last record = 1
    Т.е. в «папке» №3 есть записи с 1 по 1, то есть одна запись.

    Application Transaction Counter (ATC) — инкрементный счетчик транзакций, который увеличивается каждый раз на единицу при запросе GET PROCESSING OPTIONS. Под достижению значения 0xFFFF или 0x7FFF, платежное приложение безвозвратно заблокируется. Полагаю, что это сделано для защиты от брутфорса приватного ключа карты. В нашем случае видно, что данный айфон с Apple Pay использовался для оплаты уже 518 (0x206) раз.

    Application Cryptogram (AC) — криптографическая подпись, которая вычисляется картой с использованием ее приватного ключа. Данная подпись передается вместе с остальными данными банку-эмитенту, и на ее основании проверяется подлинность транзакции. Так как приватный ключ карты невозможно (доступными средствами) извлечь из карты, это позволяет исключить возможность копирования карты.

    Issuer Application Data (IAD) — Содержит проприетарные данные, специфичные для VISA. Я не осилил разбор этой структуры, помогите.

    Card Transaction Qualifiers (CTQ) — специфичный для VISA cписок поддерживаемых картой спецификаций. Например, можно ли использовать эту бесконтактную карту для операций в банкомате или нет, и какие подтверждения при этом потребуются.

    Track 2 Equivalent Data — Оппа! В этом поле содержится номер карты и expiration date, подробнее эта информация будет разобрана далее.

    Form Facto Indicator (FFI) — специфичное для VISA поле. Описывает форм-фактор и характеристики платежного устройства. В нашем случае видно, что это мобильный телефон.

    Cryptogram Information Data (CID) — Я не осилил разбор этой структуры, помогите.

    Запрос READ DATA RECORD


    '00 b2 01 1c 00'
    

    Терминал посылает запрос на чтение записей, полученных из AFL:


    В данном случае, начиная с байта 0x1C следует читать как два значения, где первые пять бит равны 0x18 (b000011), и составляют SFI, а последующие три бита равны 0x04 (d100), и составляют номер записи.

    Ответ на READ RECORD


    '70375F280206439F0702C0009F19060400100302735F3401009F241D5630303130303134363138303430313737313031333936313637363235'
    



    Application Usage Control (AUC) — определяет, разрешено ли платить картой заграницей, и разрешенные виды операций.

    9F19 — что-то непонятное, судя по всему — устаревший Dynamic Data Authentication Data Object List (DDOL)

    EMV Tokenisation, Payment Account Reference (PAR) — специфичный для токенезированных (виртуальных) карт параметр. Я не осилил разбор этой структуры, помогите.

    Что можно извлечь из перехваченой транзакции?


    Мы разобрали один конкретный пример перехваченного трафика бесконтактной транзакции Apple Pay c привязанной картой VISA. Протокол MasterCard немного отличается, но в целом похож. Из разбора видно, что транзакция защищена криптоподписью, и протокол защищен от replay-атаки. Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe (MSD), который намного хуже защищен от replay-атак, но в данной статье я его разбирать не буду, потому что, насколько мне известно, он почти не поддерживается в СНГ, возможно я ошибаюсь.


    Из перехваченных данных можно извлечь номер карты (PAN) и срок действия (expiration date)

    Как видно, из перехваченного трафика можно извлечь полный номер карты и expiration date. Хоть CVV в этом дампе и нет, этих данных уже достаточно для оплаты в некоторых интернет-магазинах. В случае с обычной физической пластиковой картой, в перехваченных данных будет содержаться тот же PAN и срок действия, который выбит на самой карте!

    Оплата в интернете без CVV (CNP, MO/TO)


    В моей предыдущей статье «Используем Apple Pay и карту Тройка в качестве пропуска на работу» про СКУД на базе Apple Pay меня раскритиковали в комментариях, рассказывая, что имея только последние 10 цифр карты можно украсть деньги. В дампе выше указан не только полный номер моей карты, но также и expiration date. Этих данных вполне достаточно, чтобы платить в некоторых магазинах в интернете. Что ж, попробуем это сделать.


    Форма добавления карты в Amazon не требует CVV

    Будь это номер физической карты, деньги действительно можно было бы украсть, но данные токена Apple Pay можно использовать ТОЛЬКО для операций Client Present (CP), когда карта подписывает транзакцию криптографический подписью. Эти данные нельзя использовать для оплаты в интернете и других операций типа Card not present (CNP), то есть по телефону или имейлу. То-то же!

    Всем желающим убедиться в этом, сообщаю, что реквизиты из перехваченного выше дампа Apple Pay на данный момент актуальны и привязаны к действующей карте, на которой есть деньги. На момент написания статьи это 5 тысяч рублей. Предлагаю попробовать их украсть :)

    Почему Apple Pay безопаснее обычной карты



    Apple Pay vs обычная бесконтактная карта

    • Apple Pay требует авторизацию (отпечаток или пароль) на каждую проведенную транзакцию. Обычная карта не позволяет управлять количеством подписанных транзакций при поднесении к POS-терминалу. В теории, «злой» терминал с модифицированной прошивкой может провести одну транзакцию, а пока клиент держит карту возле считывателя, запросить несколько подписаний, но не проводить их сразу, а провести позже, когда клиент уйдет. С Apple Pay такое невозможно, после проведения транзакции пользователь видит значок успешно выполненной операции и приложение закрывается, новый запрос потребует повторный ввод отпечатка пальца.
    • Не позволяет считывать данные до авторизации — когда телефон с Apple Pay попадает в поле действия считывателя (13,56 МГц), пользователю предлагается авторизоваться, и только после успешной авторизации телефон начинает обнаруживаться как бесконтактная карта. До этого момента считыватель не видит ничего. Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты.
    • Нельзя использовать перехваченные данные для оплаты в интернете — обычная карта может быть использована для операций типа Card not present (CNP), то есть для оплаты в интернете, по телефону и т.д. Данные из виртуальной карты Apple Pay нельзя использовать подобным образом.
    • Не раскрывает данные владельца — обычные бесконтактные карты могут передавать имя владельца (Cardholder name) и историю последних покупок. По номеру карты, в некоторых случаях, можно установить ФИО владельца. С Apple Pay ничего подобного сделать нельзя.

    Вывод


    Бесконтактные платежные системы достаточно надежно защищены. Несмотря на теоретическую возможность мошенничества, на практике она оказывается нерентабельна и крайне тяжело осуществима. Нет никакой причины бояться бесконтактных карт или пытаться сломать антенну в карте.

    При прочих равных, Apple Pay будет безопаснее обычной пластиковой карты. Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной бесконтактной карте, и завести вторую карту только для оплаты в интернете.



    Выражаю благодарность:

    • Компании tehpos.ru за предоставленное оборудование.
    • Уральскому банку реконструкции и развития, и лично Александру Падерину (управляющему директору центра информационной безопасности) за консультации.
    • Магазину aj.ru за предоставленные айфоны для тестов.
    • Валерии Aquamine за иллюстрации для статьи.
    • Глебу JRun из Digital Security за технические консультации.
    • Александру AlexGre за консультации по протоколу EMV.
    • Хабраюзеру shape за отличный парсер EMV: iso8583.info
    Поделиться публикацией
    Комментарии 386
      +1
      Что за приложене на телефоне Credit Card Reader? Это ведь Android? Не могу найти в playmarket.



        0
        Его почему то удалили из маркета. Вот ссылка на github репозиторий.
        Есть собранный apk могу выложить.
          +3
          На гитхабе только парсер, а не вся программа. Вот что мне ответил автор на вопрос почему она пропала из маркета:

          image
          +3
          Автора этой программы забанили в google play и удалили все программы. Его библиотека-парсер EMV открыта на github.com/devnied/EMV-NFC-Paycard-Enrollment

          Есть платная версия это же программы от другого разработчика play.google.com/store/apps/details?id=nfc.credit.card.reader.pro2

          Я попытаюсь извлечь APK бесплатной версии со своего телефона и выложить.
            +14
            Вытащил: Credit_Card_Reader.apk. Не качайте, там вирус!

            На самом деле вируса там нет, но я считаю практику установки программ на телефон из APK-файлов мимо официального магазина вредной. Поэтому рекомендую воспринимать все такие файлы как вирусы.
              +17
              ну и warning… ещё б про брата и микроволновку дописать…
                +1
                Ничто не мешает среверсить приложение (там же всего лишь Java) и убедиться, что всё хорошо. На полном серьёзе так делаю (и всем советую) со всеми хоть немного подозрительными apk (а иногда и со встроенными в прошивку приложениями).
                  +6
                  Разве это не займёт слишком много времени для сколько-нибудь нетривиальных приложений?
                    0
                    Это уже зависит от соотношения сложности приложения, паранойи и надёжности источника =) В данном случае приложение небольшое, несмотря на использование пары библиотек, его можно за адекватное время изучить (а заодно и посмотреть, как на практике реализована работа с NFC)
            +7
            А, допустим, если сделать направленную антенну с усилителем на терминале, реально ли будет контактировать с картой на расстоянии? (Не учитывая прожарку паховой области направленным лучем, конечно)
            По примеру антенны Wifi или 4G по типу тех, что делает Креосан www.youtube.com/watch?v=nCIDvrs5UzI
              +2
              Хороший вопрос. По запросу «long range 13,56 reader» есть несколько китайских железок. Некоторые из них обещают работать на расстоянии до 25см. Я плохо разбираюсь в радио, но полагаю, что здесь играет роль ограничение мощности передатчика в самой карте. Условно говоря, карта может и услышит считыватель, но ответ не долетит до него.

              На aliexpress есть несколько таких ридеров, но в описании у них заявлены 5-10см дальность, что с трудом можно назвать long range.
                +3
                Надо не только сильный сигнал чтоб достучаться до карты, но и еще услышать ответ, а это отдельная задача.
                П.С.: ну и данный вариант антены ни в коем случае не разработка Креосана, это облучатель offset'ки от Bester. на lan23 уже давно были варианты под что угодно расчитаные).
                  0
                  Разве подобная антенна не усиливает сигнал с узкой области пространства?

                  П.С. Понятно, что это не его изобретение, это я так, для наглядности
                    0
                    Он придёт к антенне уже сильно ослабленным, зависимость от расстояния квадратичная. Просто утонет в шумах и помехах.
                      +6
                      Там несколько наоборот работает. КАРТОЧКА физически не отвечает радиоизлучением. Для этого недостаточно энергии. Вместо этого, карточка манипулирует полем излучателя путём замыкания своего контура в нужные моменты(поле излучателя замыкается — лог.1, не замыкается — лог.0), этим и ограничена максимальная дальность работы таких систем — насколько далеко мы сможем обнаружить источник потерь. Очень похоже на работу активного металлоискателя — практически те же физические процессы задействованы.
                      Кроме того мы работаем не с радиоизлучением, а с магнитным полем — нужна магнитная антенна, а это конструкция несколько иная чем у электрической антенны.
                    0
                    Считыватель не только «спрашивает» карту, но и обеспечивает её питанием на время сеанса связи. Навести индукцией достаточную мощность издалека — задача нетривиальная. А вот перехватить сигнал на большем расстоянии — наверное можно. Поэтому, штучки типа HydraNFC, наверное, можно располагать не только между картой/iPhone и терминалом, но и на некотором удалении. Только, возможно, антенну придётся переделать — из индукционной во что-то другое… Хотя, на частоте 13.56 MHz оптимальная антенна получится немаленькой :)
                      0
                      Ну, не хочется упоминать опять креосана, но я так понимаю «пушку» на частоте 2ГГц которая выжигает на приличном расстоянии электронику собраться можно. С 13МГц по габаритам, я так понимаю, эта хреновина будет больше? Не силен в радиотехнике, но вроде достаточно чтобы длинна антенны была просто кратна длине волны и иметь узкую диаграмму направленности
                      Я себе представляю фургон с пластиковым кузовом и шаращий таким «усилителем» в направлении держателей пластиковых карт…
                        0
                        Длинна плеча антенны должна быть как минимум 1/4 от длинны волны (лучше конечно 1/2). 13МГц — это 23 метра, т.е. минимально антенна должна быть 5,75 метра. Можно конечно сделать её сложной изогнутой формы, но это подпортит характеристики антенны.
                          0
                          В таких случаях делают электрическое удлинение антенны с потерей её эффективности. Но это всё фигня, проблема в том что электрическая составляющая поля там практически отсутствует, нам нужно улавливать магнитное поле.
                          0

                          У креосана голимая постанова с "пушкой из магнетронов".

                          0
                          Такой антенной мы не словим практически ничего — там работает магнитная составляющая а не электрическая. Нужна направленная МАГНИТНАЯ антенна. Что-то навскидку на ум не приходит ничего подобного.
                          0
                          Всё возможно, но выглядеть будет немного похоже на стандарт 802.110v
                            +2
                            Да. Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.
                            Самая большая сложность будет с направленностью — сия халабуда читает со всех карт в округе и сильно подвержена влиянию помех (особенно учитывая, что у там всегда симметричная диаграмма направленности и «назад» она будет работать точно так же, как и «вперёд»). Но практическое использование вполне возможно — например, если жертва находится на открытом пространстве рядом с мошенником (улица, остановка, малолюдное место торгового центра).
                            Там, кстати, не антенна, не как её большинство представляет (как у WiFI, например), а плоская катушка индуктивности, которая создаёт вокруг себя поле от которого питается карта. Размер этого поля непосредственно зависит от размера самой катушки (можно даже считать, что примерно равен размеру самой катушки). Катушка размером с лист А4 создаст поле, достаточное для чтения с пары десятков сантиметров.
                            Можно, кстати, сделать неподвижную большую «стационарную» катушку, которую можно скрытно разместить в местах, где находятся/проходит много потенциальных жертв. Все же видели рамки на входе в магазины. Вот такая хреновина сможет читать с расстояния в метры. Можно даже представить ситуацию, когда злоумышленники модифицируют магазинную систему RFID, чтобы она работала с платёжными картами. Последствия будут захватывающими.
                              0
                              Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.


                              Не хотите попробовать реализовать? Я бы поучаствовал.
                                0
                                Я много чего хочу и много идей, но на данный момент жизнь так повернулась, что просто не могу позволить себе работать не за деньги :( Что плохо. Мне гораздо интереснее глушилку «без мозгов» сделать с себестоимость в 1..2 бакса. Но тоже нет свободного времени под личные проекты.
                                В принципе там всё тривиально — поле для катушки размером с дипломат и саму катушку можно множеством программ посчитать. Самая большая сложность будет с чувствительностью приёма, ведь можность «передачика» (карты) остаётся прежней. Как мне кажется, любые изменения среды и наводки будут очень сильно влиять возможность успешного чтения. Но как минимум дважды такая штука уже была продемнстрирована.
                                  0
                                  Нет в карте никакого передатчика. Там всё тривиально — карта умеет только замыкать свой собственный контур искажая поле передатчика и ничего более.
                                    0
                                    Именно поэтому это слово в кавычках.Но чем больше размер катушки и, соответсвенно, контролируемый объём пространства, чем дальше второй контур, и чем больше разница в размерах катушек, тем ниже соотношение сигнал/шум.
                                      0
                                      Есть предел размера катушки для выбранной частоты — настанет такой момент когда индуктивность катушки будет слишком велика чтобы вкачать в неё энергию на заданной частоте.
                                      Противокражные рамки работают на частоте примерно 500кГц.
                                0
                                Вот только… частоты там гораздо меньше и токи по рамке гуляют порядка 20А. Индуктивность самой рамки не позволит эффективно работать на частоте 13МГц.
                                  0
                                  Дв, но до опредленного момента это решаемо (в крайнем случае можно родить монстра с несколькими катушками). Прототипы действующих конутров на 13 МГц, позволяющие читать банковские карты на заметном расстоянии уже создавались.
                              0
                              У «телефонизированного» способа оплаты есть ещё кажется и срок действия транзакции. Однажды оплатив проезд в транспорте телефоном (Google Pay) не обратил внимания на реальное списание. Потом спустя какое-то время Google Pay бомбил уведомлениями об отклоненной транзакции.

                              Однажды пытался оспорить операцию проведенную просто бесконтактной картой. Гор. траспорт одно время тупил и проводил транзакции толи с большой задержкой (более 1-2 недель), толи повторно. В один день пришла СМС о списании за проезд, а я уже как месяц не ездил на ОТ. Я отправил заявление в банк (тогда ещё не знал информации о запоздалых\повтрорных списаниях). Спустя 3 дня из банка пришёл ответ, что отмену операции они не сделают, т.к. была бесконтактная оплата, а это что-то там значит и всё такое.
                                +4
                                Банки пока живут непуганными, как и сотовые компании: ответ «вы сами наверное за что-то заплатили и забыли» можно услышать и там, и там. Только на следующий вопрос «что же это было» первые отвечают голосом своей СБ, что, по соглашению на карту вы сами отвечаете за передачу данных карты третьим лицам (а вы же хотя бы однажды платили через интернет, вот к ним все вопросы), а вторые говорят, что это, мол, не мы продавали, а наши партнеры.
                                Под дурачков удобно косить. Когда этот разговор развернется в сторону, что они обязаны доказать, что транзакция была (а не что вы как клиент идите и догадывайтесь, почему она не была) — тогда все эти «легкие деньги» перестанут им светить, и они начнут делать то, за что уже сегодня берут свою денежку — охранять, а не помогать тратить, деньги клиентов.
                                  0
                                  Еще в договорах бывает пункт о стоимости расследования списания средств, в зависимости от ситуации от 50 до 500 USD. Что очень сильно помогает мошенникам.
                                    +2
                                    Причем расследование не предполагает, что ты будешь не виноват. Вишенкой будет взять $500 и привлечь за разглашение номера собственной карты, как некой секретной информации (о чем, конечно, в договоре есть пункт)!
                                      0
                                      Номер карты не может быть секретной информацией. Он же всем доступен. Включая девочку-оператора, которая эту карту вам выдает.
                                        +1
                                        ага, а также срок действия и CVC/CVV которые вроде как секретные но тоже доступны всем подряд
                                          0
                                          Их я рекомендую заклеивать или аккуратно затирать.
                                          0
                                          Вы мой коммент-то прочитали? Вот эту часть «о чем в договоре есть пункт»?

                                          Просто я такое видел. Я получал карту (сам, не зарплатную, а именно за деньги), мне звонил чувак из СБ банка с целью удостовериться, что я сознаю риски. И среди прочего мне прямо было скзаано, что, расплачиваясь через интернет, я автоматом отказываюсь от шанса вернуть бабки, т.к. (именно) я сообщаю третьим лицам данные карты, которые обязан хранить в секрете.

                                          Так что вы можете жаловаться, но дело, случись что, спустят на тормозах.

                                          Если нет, и попадантся вменяемый банк, дайте знать!
                                            +1
                                            Да, я читал. А можете процитировать и указать банк? А-то безумие какое-то.
                                        +1
                                        Есть закон «О НПС», в нем прописано, что БАНК должен доказывать, что транзакция проведена вами
                                          +1
                                          Чего вы сможете добиться через суд,… либо заплатив указанную выше сумму. В любом случае, сумма расходов будет превышать сумму транзакции без пин-кода. А с пин-кодом банк однозначно скажет что она ваша.

                                          Хотя, наверное, существуют банки которые действительно защищают своих клиентов.
                                    +1
                                    Шикарный разбор возможных векторов атак!
                                    «Сценарий 2 — злой POS-терминал… Антенна сниффера размещается между терминалом и картой, и пассивно захватывает всю передаваемую информацию.» Что сводит возможность атаки к исчезающе малым вероятностям, ИМХО. Ну если только не передавать карту в руки курьеру/кассиру и упускать её из виду, что в принципе не приветствуется правилами МПС, насколько я помню.
                                    Спасибо за отличную статью!
                                      +4
                                      Когда-то я пытался изготовить автономный снифер iso14443, который бы можно было наклеивать поверх оригинального считывателя. Я делал почти незаметную антенну на 13,56Мгц наклеенную на прозрачный пластик, может сфотографирую, если найду.

                                      hydranfc antenna

                                      В видео показана родная антенна от hydranfc, однако ничто не мешает вам заменить синий текстолит на прозрачный пластик, наклеить такую антенну поверх экрана и спрятать снифер за терминал снизу.

                                      UPD прозрачная антенна может выглядеть примерно так или еще более незаметно
                                      image
                                        0
                                        Наверное можно попробовать заменить медь на ITO тогда вообще поверх экрана клеить. Только физический размер тоже измениться скорее всего…
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        +4
                                        Подобный сценарий возможен, только здесь важны тайминги. По интернету скорее всего не получится, а вот по радиоканалу можно. Вот демонстрация такого концепта

                                          +4
                                          Да! Похожим образом открывают и заводят машины с бесконтактным ключом.
                                          0
                                          Из статьи понятно только то, что это всё осуществимо. А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.
                                          А я вот думаю, что вскоре будут массовые случаи, когда специально обученные люди будут воровать деньги описанным способом у граждан, а любые попытки опротестовать транзакцию, наказать воров и т.д. будут упираться в глухую стену бюрократии, круговой поруки и отписок. Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно, и деньги будут тем или иным способом обналичиваться, и мошенники не будут нести никакого наказания.

                                          Так что, наверное, придётся или носить пяток бесконтактных карт вместе (спрятав важную банковскую в глубину пачки), или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать.
                                            +1
                                            AliExpress уже давно заполонили разнообразные RFID-непрозрачные кошельки, зажимы для денег, чехлы, держатели кредитных карт и т.п. Можно не изобретать.
                                              0
                                              А их кто-нибудь проверял?
                                                0
                                                Я купил такой кошелек. Ни как не получалось считать карты находящиеся в нем. Пробывал считывать с помощью телефона и ни банковская карта, ни карта тройка не считались. Так же пробывал в гостинице карту для входа в номер находящуюся в этом кошельке приложить, тоже не сработала.
                                              +5
                                              А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.

                                              В статье как раз говорится, что получить POS-терминал достаточно легко, но у этого есть цена из которой складывается себестоимость всей схемы. Вывод в том, что такая атака просто не выгодна.

                                              Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно

                                              В таком случае можно просто допустить, что банк будет напрямую воровать у вас деньги со счета без всяких терминалов. Такой сценарий в вашей моделе угроз реален?

                                              или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать

                                              Кстати, для этого существует интересное решение: специальная карта, которая попадая в поле действия считывателя начинает активно слать мусорные данные ломая взаимодействие с любыми картами рядом cdn.shopify.com/s/files/1/2175/8571/products/ARD-Active-RFID-Defence_1024x1024@2x.png?v=1505461389
                                              image
                                              +2
                                              Банк — это коммерческая организация, которая работает только с целью получения выгоды. И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
                                              Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.
                                                0
                                                банк платит штрафы в МПС по фроду, по этому он заинтересован в уменьшении количества воровства любыми способами в т.ч. и «уговариванием клиента» что это не фрод
                                                  +3
                                                  И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
                                                  Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.


                                                  Насчет банков врать не буду, не знаю.
                                                  Но есть такие организации коммерческие — платежные системы.

                                                  Мы с вами используем их сплошь и рядом, например, через них проходят платежи на сотовые платежи. Или ящики-терминалы стоят в общественных местах для оплаты сотового, коммунальных платежей (не банкоматы).

                                                  Подобные системы открываются и закрываются пачками. Вот только некоторые из них pay2.ru/dirs/systems

                                                  И вот для платежных систем утверждение насчет — честно работать получишь в десятки раз больше — категорически не верно. Если будут действовать честно, то будут существовать на мизерную комиссию. Для любопытства поинтересуйтесь правилами сотовых операторов. Помниться, Теле2 вообще категорически запрещал (а может и сейчас запрещает) брать комиссию с плательщика (комиссию, смешную правда, платит посреднику сам оператор). Но найти терминал приема платежей, принимающий Теле2 без комиссии — это еще нужно было в те времена побегать.

                                                  Но мошенничество не в этом. У данных платежных систем есть такой замечательный способ мошенничества — не проводить, скажем, каждый десятый платеж на телефон. Как показывает практика, большая часть людей не будет из-за 50 рублей напрягаться даже звонить и ругаться. А кто будет — тому эти деньги все же до телефона доведут. И вот такая «комиссия в 100%, но зато с каждого 10-го платежа» — это огромные деньги, есть смысл для мошенников.

                                                  Считайте:

                                                  2000 платежей в день с терминала по средней сумме 300 рублей. Оборот 600 000 рублей в день с точки. Это для не-Москвы довольно-таки хороший терминал, очень хорошее «проходимое» место.
                                                  Комиссионное вознаграждение честное — 0,1%. То есть 600 рублей с точки. 18000 рублей с терминала в месяц. Их которых только одна аренда места может стоить 5 000 — 10 000 рублей (торговые центры же тоже не дураки, понимают, что если место «проходное», то нужно зарабатывать по полной). Да, торговые центры за такие терминалы берут не за формальные 2 кв. метра как с обычного магазина, а по полной.
                                                  Терминал нужно обслуживать, он жрет электроэнергию, интернет. Фирме-владельцу нужно платить налоги, тратиться на бензин (их же нужно регулярно объезжать, снимая выручку и заряжая принтера) и т.п. Даже такая операция как пересчет мелких наличных денег 600 000 рублей с терминала в день — это огромная проблема. Это реально горы налички.

                                                  Получается, что 1 терминал это уже не бизнес. Чтобы более-менее существовать за счет терминал — тебе нужно их ставить как минимум десятками (и обслуживать самому, чтобы не платить зарплату никому; и еще решить проблему воровства налички персоналом).

                                                  Ну а теперь берем каждый 10 платеж. Это 60 000 в месяц. И делаем иммитацию технического сбоя. Практика показывает, что порядка 5% людей звонят, возмущаются. Остальные просто забивают.
                                                  Ну и сравните — честный доход 18 000 рублей с точки.
                                                  Мошеннический доход — 18 000 + 57 000 рублей с точки.

                                                  Платежные системы лет пять назад по этой схеме открывались пачками, работали по полгода и закрывались.

                                                  И если у вас когда-то не доходил платеж — то это вовсе не случайный технический сбой... А, скажем мягко, запланированный технический сбой.
                                                    +5
                                                    Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами. Т.е. зарплаты сейчас у всех приходят на карту, у всех банков сейчас есть мобильные приложения из которых удобно и без комиссии можно и всё оплатить и деньги перевести. И вот зачем в таких условиях искать этот терминал (а к слову, я в Питере их уже давно не видел, думал уже совсем исчезли), и зачем платить через них с комиссией — вот этого я не понимаю.
                                                    Только если гастарбайтерами, которые неофициально здесь работают.
                                                      +1
                                                      Их в Питере всё ещё дофига, непонятно на чём живут, но людей перед ними я иногда вижу. А за мобильник можно с сайта оператора картой оплатить, помимо любого банкомата. Ну или через сберовские терминалы — там и наличкой можно оплатить.
                                                        0
                                                        пенсионеры же) все с мобилами, но без компьютеров. они клиенты?
                                                          0
                                                          В нашей деревне — 99% пользователей терминалов — рабочие из стран ближнего и не очень зарубежья. Мобила нужна, а компьютер в бытовке на 20 койкомест, на которых спят в три смены, просто негде поставить. А у пенсионеров в нашей деревне почти у всех умные телевизоры с интернетом.
                                                          0
                                                          Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами


                                                          Дык платежные системы — это отнюдь не только терминалы.

                                                          Вторая линия так сказать — терминалы и банки вовсе не напрямую подключены к операторам связи и коммунальщикам. (крупные банки к крупным операторам связи напрямую, ну а прочим путь заказан/неудобен напрямую).
                                                          0
                                                          Как-то у Вас совсем плохо получается.
                                                          Работаю в компании, принимающей платежи через такие терминалы
                                                          Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними
                                                          За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились. Но вот чтоб 10% платежей — это что-то из области фантастики.
                                                          Правда пишу из Украины
                                                            0
                                                            Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними


                                                            Между вами и первичным приемом налички — цепочка из 2-3 посредников. Кушать хотят все.

                                                            В нашем регионе как раз одними из первых по России запускали. Так что у нас давно уже жесткая конкуренция. На самом деле никто не работает на 0,1-0,3%, как того требуют операторы связи, все нарушают требования операторов связи и накручивают больше — иначе только мошенничеством и можно выжить.
                                                            А когда-то было и 15 процентов. Тогда с одного терминала можно было весьма богато жить.

                                                            За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились.


                                                            Разумеется никто не признается, зачем им уголовную статью на себя вешать.
                                                            Уверяю вас, не все из них технически сбои.

                                                            Но вот чтоб 10% платежей — это что-то из области фантастики.

                                                            Это работает только на массовых микроплатежах.
                                                            На платежах за сотовую связь — самое типичное.

                                                            Если у вас, скажем, местячковый интернет-провайдер, то никто не будет рисковать, оно же сразу выплывет.

                                                        0
                                                        Экран должен быть от магнитного поля а не электрического, нужен магнитомягкий материал вроде феррита или железа.
                                                        +2
                                                        А что насчет атаки на Samsung Pay, если используется MST?
                                                          +1
                                                          Есть доклад на эту тему от Сальвадора Мендозы youtu.be/BqjyewIEFSc

                                                          В двух словах: используется снифер и глушилка, чтобы перехватить данные магнитной ленты и не дать пройти транзакции на терминале. Потом эти данные используются для оплаты.
                                                          +7
                                                          Issuer Application Data (IAD)

                                                          Структура IAD различная на разных МПС. Описанна в EMV book 3 C7.2 «Issuer Application Data for Format Code ‘A’ ». Из интересного в ней можно найти «CVR» Card Verification Results, результаты проверок, проведенных картой.

                                                          Cryptogram Information Data (CID) — Я не осилил разбор этой структуры, помогите.

                                                          Описанна в EMV Book 3 «Table 14: Coding of Cryptogram Information Data ». Карта (телефон) вернула ARQC — что значит запрос на онлайн и без ошибок.

                                                          Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe (MSD)
                                                          Стоит отметить что MSD и VSDC это варианты VISA приложения. MSD действительно устаревший и эмулирует магнитную карту. Ваше приложение — VSDC.

                                                          Протокол MasterCard немного отличается, но в целом похож.
                                                          Интересно что бесконтактный MasterCard достаточно сильно отличается от безконтакной Visa и практически полностью идентичен контактному протоколу.

                                                          В AIP содержится важная информация о поддерживаемых методах аутентификации (SDA,CDA,DDA) платежа. Почему в моем случае все эти флаги равны нулю — я не понимаю.
                                                          Т.к. используется технология токинизации и только онлайн, что подтверждается виртуальной картой и начиличем EMV Tokenisation (Payment Account Reference (PAR)), аутентификация по SDA,CDA,DDA похоже становится не нужной. Также как запрос пина и т.д.
                                                            0
                                                            Статья отличная! Спасибо автору!
                                                            Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной
                                                            Данная блокировка не вызовет дополнительных проблем, например, с переводом с чужой карты на эту основную карту или, наоборот, с этой карты на карту в другом банке?
                                                              0
                                                              При оплате телефоном, POS-терминал видит обычную карту VISA или MasterCard, и общается с ней точно так же, как и с физической картой.

                                                              Там явно еще что-то есть. Потому что у меня в «перекрестке», терминал при поднесении телефона(андроид) иногда пишет «посмотрите на экран телефона», когда к телефону надо приложить палец. Я так понимаю расширение протокола?
                                                                +2
                                                                Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит одну единственную карту в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.

                                                                Многие носят в одном месте несколько карт из которых только одна бесконтактная.

                                                                  0
                                                                  Скоро перестанут.
                                                                  Банки же заменяют все истекшие карты на бесконтактные. И способа отказаться я не нашел.
                                                                    +2
                                                                    Есть надёжный способ отказаться (помимо чехольчика из фольги)

                                                                    www.google.com/search?q=disable+rfid+on+credit+card
                                                                      0
                                                                      Это не совсем законно.
                                                                      Карта — собственность банка.
                                                                      Но всё равно спасибо, обязательно воспользуюсь.
                                                                        0
                                                                        Как будто это можно доказать. Просто карта «сломалась». У меня такое кстати было — сперва бесконтактные транзакции по карте начали работать плохо (со 2-3 раза), а потом и вовсе перестали, пришлось карту перевыпускать.
                                                                          0
                                                                          Я ничего не говорил про наказание или факт определения нарушения закона.
                                                                          Или для вас всё, что нельзя доказать автоматом можно ингорировать?
                                                                        0
                                                                        Зачем такие сложности, если банк (при контактном чтении чипа) может послать на карту команду «отключить contactless интерфейс»?
                                                                          0
                                                                          В теории, вероятно, может. Но вы знаете хоть один банк где можно такое сделать?
                                                                            0
                                                                            Хз как отключить, но с уверенностью могу сказать, что некоторые банки для конкретной карты могут просто деклайнить весь контактлесс например.
                                                                              0
                                                                              Да, знаю. Правда это не российский банк. Но технически это очень просто.
                                                                                0
                                                                                Видел вот такую реализацию в одном из западноевропейских «банков 2.0»:



                                                                                Кажется, N26.
                                                                          0
                                                                          Например, в банке Авангард при выпуске карты можно выбрать, добавлять ли поддержку PayPass / PayWave.
                                                                          +2
                                                                          На первой схеме между банком эквайером и МПС не хвататет Национальной Системы Платёжных Карт (МИР)
                                                                            0

                                                                            Ну это только вроде для карт российских банков-эмитентов и только если эквайер и эмитент не один и тот же банк(для пластиковых бесконтактных карт). Карты зарубежных банков идут напрямую в нужную МПС, а если банк эквайер заодно и эмитент то в МПС обычно ничего и не уходит.

                                                                            +1
                                                                            Сценарий 3 — Послать сниференные данные еще раз эмулируя Apple Pay. Конечно терминал посылает 9F37 Unpredictable Number, но SDA, DDA, CDA аутентификации не поддерживаются.

                                                                            В том случае интересно как у ApplePay проверятся аутентификация карты(телефона)?

                                                                            Уникальность транзакции проверяется по AC криптограмме и можно понадется (а так говорят бывает) что AC криптограмму ApplePay процессинг не проверяет.
                                                                              +1
                                                                              процессинг ARQC не проверяет, просто форвардит/транслирует данные на следующий хост. а вот эмитент карты 2 одинаковые ARQC криптограммы не пропустит. В ARQC используется Тег 0x9F36: Application Transaction Counter
                                                                                0
                                                                                да, в процессингах ведутся свои счетчики чиповых транзакций, которые и участвуют в отправке запроса на HSM при валидации ARQC, два подряд одинаковых ARQC <> два корректных ARQC (за исключением запросов информации — баланса/выписки и т.д.)
                                                                              +1

                                                                              Правильно ли понял, если банк-эквайер = банк-эмитент, то обращение в МПС при проведении платежа не происходит?


                                                                              Хочу понять, насколько платежные системы могут мониторить объем безналичных операций.


                                                                              Например, в России большинство терминалов от Сбербанка и большинство карт от него же. Значит, информацию о платежах через терминалы Сбербанка по им выпущенным картам МПС не получают?

                                                                                +1
                                                                                Технически есть возможность миновать МПС. Пример — работа MasterCard российских банков в Крыму, а также израильские процессинговые центры IsraCard, LeumiCard. Если карта «своя», то МПС не задействуется.
                                                                                  +1
                                                                                  Для ApplePay и Samsung Pay без МПС (не важно, Виза, Мастеркард или НСПК) не получится.
                                                                                    0
                                                                                    А Samsung Pay даже при использовании магнитной полосы (MST) передаёт токенизированные данные? Или всё же реальные данные реальной карты (а не «подставной» номер)?
                                                                                      0
                                                                                      Samsung pay передает токенезированные данные
                                                                                  +2

                                                                                  Если эквайер и мерчант в одном банке, то операция никуда не идёт, кроме самого банка и его процессингого центра (не у всех свой ПЦ).
                                                                                  Если эсквайр и мерчант в России, то операция пойдёт через НСПК. Это нововведение, появившееся после санкций со стороны Visa в 2014 году.

                                                                                    0
                                                                                    А до НСПК существовал другой обходной вариант — ОРС (правда членство в нем было по желанию)
                                                                                    +2
                                                                                    VISA уже давно заставляет POS-транзакции маршрутизировать через них («в целях контроля фрода»), так что даже транзакция «своей» карты пройдет через МПС, если только банк не настроит софт иначе, игнорируя требования МПС.
                                                                                      +1
                                                                                      При проведении платежа — обычно не происходит. Но Мастеркард, а с 19 года и Виза требуют формирование т.н. Collection Only сообщений. Это сообщение формируется эквайером и уходит в клиринговых файлах. Коллекшн онли формируется по us-on-us операциям (эмитент = эквайер), а также по domestic операциям (это когда внутри НСПК).
                                                                                      Ну и плюс МПС требуют квартальные отчёты по всем операциям с использованием их карт — сюда тоже попадают и ас-он-ас, и доместик, и все-все-все.
                                                                                        0
                                                                                        И еще небольшое дополнение, для некоторых партнерских программ МПС может требовать не только collection only, но и направление авторизационного on-us траффика через них, для мониторинга.
                                                                                      +1
                                                                                      Т. е. как я понял, от сценария №1 защищает только наличие нескольких карт в кошельке? Тут такое дело, я не знаю никого, кто бы таскал в кошельке их больше одной. Есть банковская карта, куда падает зарплата и которой везде рассчитываются. И всё. Также, картой Тинькофф я бесконтактно платил и по 2, и по 3, и по 5 тысяч — никаких проблем, никто PIN не спрашивал.
                                                                                        0
                                                                                        У меня в кошельке 2 банковских карты с бесконтактной оплатой, бесконтактная карта газпромнефти и тройка. По обоим картам лимит строго 1к без pin. Кстати знакомый просто положил в секцию для купюр листок фольгированной бумаги от какой-то упаковки. В сложенном виде прекрасно экранирует от чтения — проверяли)
                                                                                          0
                                                                                          Тройка — это какой-то проездной для москвичей? Мы в нашей тьмутаракане не знаем такого :)
                                                                                            0
                                                                                            Проезд в общественном транспорте, наземном и подземном. Можно активировать проездные. Очень удобная и не именная. Есть варианты брелока, кольца и браслета. Советую купить тем, кто наездами в столице.
                                                                                              +1
                                                                                              Вообще это был сарказм. Практически всем не-столичным жителям достаточно иметь одну банковскую карту. И мне не приходят в голову ситуации, когда может понадобится вторая.
                                                                                                +3
                                                                                                Дебет и Кредит
                                                                                                  +2
                                                                                                  Разные банки, разные платежные системы, зарплатная карта и карта для покупок. Две карты всем советую иметь. А лучше три, чтобы зарплатную вообще нигде не палить.
                                                                                                    0
                                                                                                    А лучше три, чтобы зарплатную вообще нигде не палить.
                                                                                                    можно просто отвязать карту от зарплатного счёта.
                                                                                                      0
                                                                                                      Не все банки оперируют раздельными понятиями карта и счет. У сбера например заблокированная карта не позволяет оперировать счетом. А у Альфы наоборот, к одному счету можно привязать несколько карт. Все зависит от адекватности банка.
                                                                                                      +1
                                                                                                      Опять же, а зачем разные банки? Зачем отдельно карту для покупок, а отдельно для зарплаты? Ну ладно, может прям действительно бывает надо. Но зачем их все в кошельке держать? В кошельке достаточно ежедневную носить. Да и для других целей необязательно иметь именно карту — достаточно просто дополнительные счета открывать. Я правда не понимаю.
                                                                                                        +2
                                                                                                        Про кошелек вы не уточняли, я отвечал зачем нужны несколько карт. В кошельке можно вообще ни одну не носить если есть поддержка %brandname% Pay в девайсах.
                                                                                                        А теперь на остальные вопросы:
                                                                                                        Карты разных банков удобно иметь для переводов со счета на счет без комиссии. Например, зарплатный проект в Райфайзен, а у огромного количества людей в России есть карта Сбера. Вот чтобы с друзьями перекидываться деньгами и иметь доступ к банкомату в любой момент пригождается сбер (его банкоматы на каждом углу). Второе «за» за разные банки — это блокировка карточки по желанию левой пятки банка. Подозрение на фрод, ошибка в документах, плохое настроение — все что угодно может привести к заморозке счета. Вероятность одновременной блокировки двух счетов в разных банках гораздо ниже.
                                                                                                        Карта для покупок нужна, чтобы не светить зарплатную. Конечно, можно отвязать зарплатную и заморачиваться с перекидыванием денег со счета на счет, но проще иметь другую карту, которую не жалко дать продавцу в руки или светануть в интернет-магазине. В случае чего она просто блокируется, а вы можете снять необходимую сумму в банкомате со своей зарплатной карты.
                                                                                                        Если у вас одна карта и вы ее заблокировали, вы сможете снять наличные только в банке по паспорту. При этом многие отделения не работают по выходным, например.
                                                                                                        Зачем две карты в разных процессинговых системах не нужно рассказывать?
                                                                                                          0
                                                                                                          Кроме всего вышеперечисленного (все описано логично) еще могут быть актуальны разные кэшбэки и прочие акции.

                                                                                                          Условно:
                                                                                                          В кошельке две карты «для покупок», Visa банка X и MC банка Y, обе бесконтактные, в разных половинках кошелька (можно платить не доставая, но открыв кошелек). На карте X у нас общий кэшбэк условно 1% и на операции A, B, C кэшбэк 5%, а по карте Y общий 0.5% и по D, E — 3%, так что в общем случае платим в зависимости от точки. Ну и есть пространство для маневра — где-то предлагают скидки «держателям Visa»/«только при оплате MC», плюс вероятные нештатные случаи.
                                                                                                          Возможно еще добавить третью кредитную карту для определенных случаев.
                                                                                                          Обе карты добавлены в смартфон, так что по большей части кошелек не нужен, но смарт может разрядиться и проч глюки.

                                                                                                          Ну а дома лежит зарплатная карта, например Мир, возможно кредитная карта для поездок. Вероятно, карта третьего банка, или валютная.
                                                                                                          0
                                                                                                          Вот сейчас открыл кошелёк, посчитал, у меня там 5 карт. Зачем они там лежат? Не знаю, ведь я всё-равно пользуюсь Apple Pay. Наверное просто для того, что бы всегда была возможность ими воспользоваться, хотя я и понимаю, что по факту такая необходимость вряд ли когда-либо настанет.
                                                                                                            0

                                                                                                            Конечно можно и у людей есть деньги для годового обслуживания этих карт

                                                                                                              0
                                                                                                              Иногда годовое обслуживание бесплатно. Иногда совсем, иногда при каких-то условиях.
                                                                                                                0

                                                                                                                Карты двух банков обе бесконтактные Сбера и Альфы, обе требуют денег. Только давайте без зарплатных проектов, карт.

                                                                                                                  0
                                                                                                                  Давайте. Голдовая кредитная Visa от Сбера. Обслуживание бесплатно уже который год. Позвонили, спросили нужно ли на таких условиях. Зарплатного проекта в тот момент не было, была только обычная (ещё и Maestro) дебетовая карта.
                                                                                                                  Росбанк, к примеру, по классической кредитной карте — бесплатно при обороте за предыдущий год не менее 180 000.
                                                                                                                    0

                                                                                                                    Ну так и я могу привести примеры даже у тогой же Альфы — порядочные обороты по карте, большие остатки на карте.


                                                                                                                    Кредитная от Сбера — интересно, на сайте информация разнится по второму и последующим годам. Снятие налички платная услуга, но для оплаты коммуналки может и подойти. Но то что кредитка — пугает разными возможностями ухода в минус чего не бывает у дебитной

                                                                                                                      0
                                                                                                                      Кредитная карта как правило имеет grace-период. При уходе в минус просто пополняешь счёт карты до нуля. Кэшбек оплачивает стоимость обслуживания карты, если она есть.
                                                                                                                        0

                                                                                                                        Я не уточнил. В случае несанкционированных списаний в том числе о чем эта статья.

                                                                                                                        0
                                                                                                                        у дебетовой карты тоже может быть минус и немаленький.
                                                                                                                          0
                                                                                                                          Просили примеры, я их привёл. По остальным банкам подобного тоже можно найти.
                                                                                                                          Кредитная от Сбера — индивидуальное предложение, такую нельзя прийти и заказать. За какие заслуги примерно понятно, но это скорее косяк их системы оценки (хорошо что лимит другая система выписывала, там такого косяка не наблюдалось).
                                                                                                                          Дебетовая карта пугает неожиданными возможностями ухода в минус на ровном месте. Пару раз уже попадал так. А овердрафт по ней дороже, чем кредит по кредитке.
                                                                                                              0
                                                                                                              Сарказм проехали.
                                                                                                              Если вам не приходят в голову, это не значит, что не приходят другим в голову. Видимо вас обходят стороной. Причина мне неизвестна.
                                                                                                              6 карт для работы, 1 ИП, 2 кредитки, проездной дочери (тоже банковская) и безымянная тройка, так как паранойя. Где тут сарказм… фольгой перекладывать надо :)
                                                                                                                0
                                                                                                                Причем стальной фольгой, магнитомягкой.
                                                                                                                  0
                                                                                                                  Любой, это электромагнитное излучение.
                                                                                                                    0
                                                                                                                    Алюминиевая фольга не задерживает магнитное излучение. В метало искателях, к примеру, катушка полностью экранирована алюминиевой фольгой и это не препятствует работе катушки. Алюминиевая фольга способна экранировать только электрическую составляющую поля, а на ближнем расстоянии она и так практически равна нулю. Остаётся только использовать стальную фольгу или организовать систему короткозамкнутых контуров которые погасят высокочастотное магнитное поле.
                                                                                                                      0

                                                                                                                      Я правильно понимаю, что в вашем представлении электрическая компонента отражается от алюминия, и только магнитная проходит?

                                                                                                                        0
                                                                                                                        Нет. Когда говорят об электромагнитном излучении это означает что одно без другого существовать не может, они связаны. Но тут какое дело — связаны они друг с другом через переход из одного вида энергии в другой — магнитное поле переходит в электрическое когда тормозится в замкнутом контуре, и электрическое поле переходит в магнитное когда его замыкают на катушку. Так вот с катушки выходит магнитная составляющая поля, рассеятся она может только на соответствующем контуре, и фольга алюминиевая хоть и представляет собой контур но практически не влияет на магнитное поле, отсекая только электрическое будучи заземлённой т.к. имеет малую магнитную проницаемость. Причем в момент разряда на землю вокруг проводника возникает… магнитное поле. Ну это мелочи. Алюминий толщиной в несколько сантиметров, пожалуй может значительно ослабить магнитное поле так что это можно заметить… но это не фольга. А вот магнитомягкие материалы, вроде железа, обладают высокой магнитной проницаемостью и создают определённое сопротивление магнитному полю, препятствуя его росту и кроме того вызывая высокие потери за счет перемагничивания магнитных доменов. В итоге магнитное поле в таких материалах быстро вязнет, и чем выше частота изменения поля, тем лучше оно гасится.
                                                                                                                          0
                                                                                                                          Прошу прощения за прямоту, но мне ваши объяснения кажутся ненаучными, либо я не понимаю вашей терминологии. Я не исключаю этого.
                                                                                                                          Амплитуда электромагнитной волны в проводнике падает по экспоненте. Характерную глубину «проникновения» (падение интенсивности в е раз) можно посчитать, она называется толщиной скин-слоя. В вики есть пример для меди, для 10 МГц это 21 микрон. Т.е. уже обычного проводника вполне достаточно. Магнитная проницаемость уменьшает толщину, безусловно, но это не обязательно. Прошу заметить, именно это я и написал.
                                                                                                                          50 мкм алюминиевая фольга уже примерно в 8 раз снизит поле, толстая в 100 микрон в 55 раз.

                                                                                                                          P.S. Мой кошелёк из однослойного углеволокна без проблем защищает карты от считывания.
                                                                                                                            0
                                                                                                                            Это касается электрического поля. Магнитное поле через алюминий проходит без проблем, иначе магнитные экраны делали бы из алюминиевой фольги.
                                                                                                                            Кошелёк защищает вашу карту за счет формирования короткозамкнутых контуров, на которых магнитное поле переходит в электрическое и рассеивается на активном сопротивлении самих контуров.
                                                                                                                0
                                                                                                                1. Банки иногда падают и часто (раз в год точно) проводят апдейты. В это время их карты не работают совсем. Да, это на несколько часов в ночь с субботы на воскресенье, но! Очень полезно иметь карту другого банка (и другой системы)
                                                                                                                2. Совсем редко банки накрываются. Страховку выплатят через 2-3 недели, но это время как жить? Нестоличные банки неплохо падают.
                                                                                                                3. Дебетовая и кредитная. По кредитке, обычно, больше кешбэк, на дебетовую проценты начисляют и переводы с неё дешевле делать (садики, кружки и т.д.)
                                                                                                                4. Рублёвая и нерублёвая. Нестоличные жители тоже ездят за границу
                                                                                                                5. Можно не уследить за баллансом. И стоите вы в супермаркете с пробитой горой продуктов на кассе, а денег не хватает… Вторая карта спасёт. Можно сломать/потерять карту.
                                                                                                          0
                                                                                                          Карты Тинькова ещё и по EMV бывает пин-коды не спрашивают, не знаю как сейчас но какое-то время назад это был единственный банк выпускающий EMV-карты без запрос пина по умолчанию
                                                                                                            0
                                                                                                            Очень странно, у меня тот же Тинькофф, и на любые операции свыше 1000 еще ни разу не было, чтобы какой-то терминал не спросил PIN. Аналогично Юникредит. Банковских карт других банков у меня нет.
                                                                                                              0
                                                                                                              В приложении Тинькофф
                                                                                                              Настройки -> ПИН-коды карт -> «Подтверждать покупки ПИН-кодом».
                                                                                                              Это можно включать и выключать
                                                                                                              0
                                                                                                              Дебетовая + кредитная. Или карта зарплатного банка + карта удобного банка. И что-то мне кажется что людей с единственной картой очень мало (разве что пенсионеры). А кошелёк это просто удобная штука, позволяющая потерять их все одновременно с наличкой.
                                                                                                                0
                                                                                                                У меня 2 EMV карты в обложках порткарде (кошелёк для карточек), для бесконтактной оплаты открываю нужную обложку, иначе оплата не проходит даже в описанном случае сбербанковского терминала.
                                                                                                                +1

                                                                                                                На будущее: слип — это такая самокопирующаяся бумажка на которой выдавливают информацию о карте с помощью импринтера (для этого подходят только эмбоссированные карты… VISA electron, например, не подойдёт т.к. не имеет выпуклого рельефного номера).


                                                                                                                В России, мне кажется, импринтер сейчас не встретишь.


                                                                                                                А то что вылезает из pos-терминала — это просто чек.

                                                                                                                  +2
                                                                                                                  Slip это и есть чек или квитанция, любая. Русское сленговое слово, вероятно, ввели в употребление любители сленга.
                                                                                                                    0
                                                                                                                    Но как тогда различать кассовый чек и второй чек о результатах банковской транзакции?
                                                                                                                      +1

                                                                                                                      Импринтеры, на самом деле, до сих пор иногда выдаются мерчам, но уже лет 10 кассиров не учат с ними работать, хотя порой менеджеры при форс-мажорах (авария у оператора связи, а клиент очень вкусный) и вспоминают про них… но чаще — да, про них никто не помнит, даже при наличии — пару лет назад закрывалась одна подшефная торговая точка и директор магазина звонил мне с вопросом "А что такое ЭПЛИНТОР? На ответхранении числится 3 штуки, надо отдавать банку, а что отдавать — непонятно..." только на словах "банку" я понял, что речь про импринтеры.

                                                                                                                      +1
                                                                                                                      Может быть кто-то сможет ответить.
                                                                                                                      Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации? Сколько времени оно проработает без снюхивания с серверами?
                                                                                                                      Зачем Google Pay дёргает данные GPS? Только ли ради точного времени со спутника и калибровки таймингов?
                                                                                                                        +5
                                                                                                                        Отвечу за Apple Pay: работает без симки и wi-fi. Часто оплачиваю через apple watch (без симке), не имея при себе iPhone.
                                                                                                                          +2
                                                                                                                          Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?


                                                                                                                          Если установить режим «самолета», то apple pay все равно работает.
                                                                                                                            0
                                                                                                                            ну, правильно, потому что сама виртуальная карта генерируется онлайн в момент подключения услуги apple pay.
                                                                                                                            +1
                                                                                                                            Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?

                                                                                                                            Да, но через какое-то время у вас закончатся ключи для подписи транзакций. У Google Pay ключей вроде меньше десятка, живут порядка недели.

                                                                                                                            Только ли ради точного времени со спутника и калибровки таймингов?

                                                                                                                            Для оплаты ничего калибровать не надо. Локацию дергают для аналитики, скорее всего.
                                                                                                                              +1
                                                                                                                              У Google Pay ключей вроде меньше десятка, живут порядка недели.

                                                                                                                              А я то думал, почему мне оно не нужно. Оказывается вот почему.
                                                                                                                                0
                                                                                                                                Google Pay использует GPS, как минимум, для определения магазина, в котором вы находитесь — если добавить туда скидочные карты, он сам предложит в шторке карту условной пятёрочки, в которую вы зашли, чтобы её можно было показать кассиру, ничего дополнительно не открывая и не нажимая. Кстати, удобная штука.
                                                                                                                              –5
                                                                                                                              А что с Google Pay? Там достаточно чтобы телефон был просто разблокирован и палец подносить не надо, идешь по улице и залипаешь в соц сети, с включенным NFC. К тебе терминал приложили и деньги улетели. И сумма не ограниченна 1000 рублей, можно списать и больше.
                                                                                                                              Это вообще нормально?
                                                                                                                                +6
                                                                                                                                «А что с наличкой? Кошелек из рук выхватили и деньги улетели. И сумма ничем не ограничена.
                                                                                                                                Это вообще нормально?»

                                                                                                                                Вы статью-то читали? Заявление в банк и полицию, счет списавшего блокируется, деньги возвращаются
                                                                                                                                  –3
                                                                                                                                  Достали эти пешеходы-залипальщики в соцсетях((( Не рекомендуется на ходу есть, курить, думаю соцсети из этого списка. По тыщенке с каждого, в виде платы за обучения хорошим манерам)
                                                                                                                                    0
                                                                                                                                    Терминал крупнее телефона. Если вы не видите, что прямо перед вашими глазами чем-то размахивают, и если вы рукой не почувствовали, что к телефону пытаются чем-то прикоснуться, то это не проблемы системы
                                                                                                                                      +1
                                                                                                                                      Я недавно видел в каком-то то ли ларьке, то ли кафе… Там терминал был примерно 5х5х1 см, в качестве экрана и связи с внешним миром использовалось приложение на мобильном телефоне по блю-тусу. Чек не печатался, чек отправляли на е-мейл или ссылкой в СМС…
                                                                                                                                        +1
                                                                                                                                        Вот так ещё делали:


                                                                                                                                        поговаривали даже, что именно из-за таких терминалов apple отказалась от аудиоджека
                                                                                                                                          +1
                                                                                                                                          такие терминалы не пошли из-за роста популярности чиповых карт
                                                                                                                                          сейчас каждая вторая служба доставки (в Мск) ездит с микротерминалами про которые Igor_O говорит
                                                                                                                                            +1
                                                                                                                                            Сейчас самые дешевые мобильные терминалы подключаются по bluetooth к телефону, и на телефоне в интерфейсе клиент-банка вводится сумма и телефон обменивается данными с банком по интернету. Вот например русские продают такой терминал www.2can.ru/products/terminal

                                                                                                                                            Он достаточно навороченный, умеет и бесконтактную оплату и чипованные карты и магнитную полосу. Вот китайский OEM вариант этого же терминала dspread.manufacturer.globalsources.com/si/6008847651844/pdtl/Mobile-credit/1158842979/NFC-EMV-card-reader.htm Стоит <100$.
                                                                                                                                            image
                                                                                                                                              +1
                                                                                                                                              Недавно приезжал курьер с похожей девайсиной. Там требовалось физическое внедрение карты. Самсунговский MST не справился. Похоже внутри был просто контакт.
                                                                                                                                              По поводу картинок на морде (как на приведенной картинке, в правом верхнем углу терминала) — не помню, честно.
                                                                                                                                                0
                                                                                                                                                СДЭК был. телефоном (Huawei) не получилось расплатиться, пришлось сходить за карточкой (Сбер).
                                                                                                                                        +1
                                                                                                                                        1. Должен быть недавно разблокирован. Таймаут не знаю, но он есть. Или попросит разблокировать (ввести пин, палец и т.д.) ещё раз. Несколько раз тупил перед кассой в телефон минут 5, этого хватало на повторный ввод.
                                                                                                                                        2. Если есть интернет, то телефон тут же квакнет и скажет про списание, вы заметите проблему сразу и сможете обжаловать.
                                                                                                                                        0
                                                                                                                                        В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.

                                                                                                                                        Видимо, Санкт-Петербург — исключение. В СПб в метро есть и мобильная связь, и мобильный интернет (хотя в перегонах он, конечно, работает хуже, чем на станциях).
                                                                                                                                        В Москве — мобильного интернета в метро практически нет, но есть WiFi (интересно, а POS терминалы через WiFi умеют работать!?)
                                                                                                                                          0
                                                                                                                                          Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя
                                                                                                                                            0
                                                                                                                                            В НСК на самых посещаемых станциях стоит 4G и в глубь перегона тоже немного добивает.
                                                                                                                                              0
                                                                                                                                              В пределах кольцевой мобильный интернет в метро работает идеально у всех операторов (ну разве что про теле2 не знаю). По остальным веткам зависит от ветки и оператора. На станциях есть везде уже давно.
                                                                                                                                                0
                                                                                                                                                В пределах кольцевой = в центре Москвы? Или = ПО КОЛЬЦЕВОЙ?
                                                                                                                                                Потому что по Сокольнической линии — да, в целом связь есть.
                                                                                                                                                А вот по Арбатско-Покровской и Замоскворецкой (даже в пределах кольца) — ловит только на станциях.
                                                                                                                                                  0
                                                                                                                                                  Это полностью от оператора зависит. У всей большой тройки покрытие в метро очень разное.
                                                                                                                                                    0
                                                                                                                                                    Более того, раньше принципиально разные технологии использовались. ЕМНИП, МТС использовал кабели-антенны в тоннелях, Мегафон — направленные антенны у входа в тоннель.

                                                                                                                                                    Но это было до прихода Максимы, сейчас, возможно, всё это унифицировалось.
                                                                                                                                                    0
                                                                                                                                                    В пределах кольцевой линии, в тч на самой кольцевой) Серая ветка — хорошо работает примерно по половине с каждой стороны от кольца, дальше только на станциях и не везде адекватно, но где-то и LTE есть.
                                                                                                                                                    Видимо зависит от оператора, но я обращаю на такое внимание, потому что вайфай часто работает плохо, либо вообще не передаются данные либо сильно медленнее, чем по сотовой сети.
                                                                                                                                                0
                                                                                                                                                Лимит на максимальную сумму операции без подтверждения ПИН-кодом может быть установлен как на самом POS-терминале (CVM Required Limit), так и на стороне банка. В России это ограничение равно 1000₽.

                                                                                                                                                Ни разу не сталкивался с таким ограничением на терминале. Обычно без пин-кода проходят гораздо большие суммы, например 250 тысяч рублей.
                                                                                                                                                  +3
                                                                                                                                                  А у меня ни одна операция свыше 1000 руб. при использовании PayPass не проходит без ввода ПИН-кода.
                                                                                                                                                  Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.
                                                                                                                                                    0
                                                                                                                                                    при контактной оплате (через чип) — ПИН-код запрашивается всегда

                                                                                                                                                    Может быть в этом причина? На моей карте выставлен приоритет подписи. Но опять же получается, что в настройках терминалов нет ограничений (либо они очень большие).
                                                                                                                                                      0
                                                                                                                                                      какое-то время назад большинство терминалов сбера требовало пин всегда, при бесконтактной оплате. Потом это убрали.
                                                                                                                                                      +1

                                                                                                                                                      С пин-ом при оплате чипом интересная ситуация, почти все терминалы требуют н при этом не все проверяют, был очень удивлён когда ввёл 100% неверный код а операция прошла :)

                                                                                                                                                        +1
                                                                                                                                                        Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.

                                                                                                                                                        ДАЛЕКО не всегда.
                                                                                                                                                        Есть такие банки и карты, где ПИН вообще не запрашивается в терминале в принципе. На любую сумму. Только в банкоматах запрашивается.

                                                                                                                                                        ДАЖЕ если найдётся терминал с жёсткой настройкой «требовать ПИН», можно обычно нажать на красную кнопку отмены, и транзакция пройдёт без ПИН-кода — по подписи.

                                                                                                                                                        Карты уровня World Signia к примеру. Или Infinite. Многие карты США.
                                                                                                                                                        Какой ПИН? Вы о чём? Непристойно это, как будто не чёрная Signia, а какая-то Maestro! Ещё и код набирать…

                                                                                                                                                        Иногда клиент может управлять требованием ПИНа, меняя приоритет самостоятельно.
                                                                                                                                                          +1
                                                                                                                                                          карта Тинькофф. пин код при оплате пайпассом за все время запрашивал только терминал в метро на кассе и терминал по продажам билетов на электричку. а так и на 15 тысяч покупки проходил без запроса.
                                                                                                                                                            0
                                                                                                                                                            Настраивается в мобильном приложении или на сайте. В статье это упомянуто.
                                                                                                                                                          +1
                                                                                                                                                          Очень часто это как раз ограничение на терминале. Например, когда в Латвии ограничение по бесконтактной оплате было 15€, я в других странах без проблем делал покупки на большие суммы. Например, в Польше оплачивал и 20 и 25€. Т.е. ограничение в 15€ было не на стороне банка, а только в терминале.
                                                                                                                                                            0
                                                                                                                                                            В Финляндии и Эстонии натыкался на ограничение в 25EUR. Причём вообще нельзя бесконтактно оплатить большую сумму — только втыкать карточку и вводить пин.
                                                                                                                                                              0
                                                                                                                                                              А кстати да, у нас точно так же, бесконтактные платежи ограничены 25 еврами, что-ли… или вообще 20-ю.
                                                                                                                                                          –5
                                                                                                                                                          Я не понял
                                                                                                                                                          Как украсть деньги с бесконтактной карты и Apple Pay
                                                                                                                                                          Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты

                                                                                                                                                          Ах да,
                                                                                                                                                          В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты

                                                                                                                                                          Это же просто очередной кликбейтный заголовок.
                                                                                                                                                            +7
                                                                                                                                                            Как будто первый раз в Интернете. Прочитав заголовок, должно быть очевидно, что статья про вектора атак на безконтактную оплату и рассуждениям по поводу безопасности такой оплаты. Собственно, я и пошёл по ссылке, не чтобы научиться воровать деньги с карточек, а чтобы узнать, насколько это всё безопасно. Возможно, автор немного переборщил с заголовком, но содержимое статьи с головой это компенсирует
                                                                                                                                                              +29
                                                                                                                                                              Вы правы, это кликбейтный заголовок. Сожалею, что вы попались на него.
                                                                                                                                                                0

                                                                                                                                                                Тонко ;)

                                                                                                                                                                  +1
                                                                                                                                                                  deniskin, Boomburum, смотрите, было написано «кликбейтный заголовок для лохов», и комментарий поправили модераторы. Класс.
                                                                                                                                                                    0
                                                                                                                                                                    Я бы ещё и заголовок поправил
                                                                                                                                                                0
                                                                                                                                                                Деньги могут списаться два раза

                                                                                                                                                                Не является мифом, а является грустной правдой жизни.
                                                                                                                                                                Не далее как 1 августа сего года… На автозаправке (в самой что ни наесть цивилизованной Великобритании в 10 милях от ЛКАД), пока POS печатал мне чек, что транзакция не прошла, на телефон прилитело две СМС-ки, что деньги списаны. Т.е. даже круче, чем «списаться два раза», а «деньги списались два раза, а товар я получить не могу».
                                                                                                                                                                Но тут есть еще один важный положительный момент — деньги с карты в момент транзакции — не списываются. Деньги — блокируются. Если за месяц не пришло правильное подтверждение, деньги разблокируются и снова доступны. При этом, если успеть до подтверждения транзакции сообщить в банк, что у вас пытаются стырить деньги, то вернуть все гораздо проще, чем если дождаться, пока деньги уйдут со счета. Но если не пытаются стырить, а просто сбой в системе… Приходится грустно ждать месяц…
                                                                                                                                                                А, да, это я еще так однажды в Китае в гостинице попал. Они у меня на карте заблокировали какую-то несусветную сумму на случай, если я у них погром устрою (все командировочные и почти весь аванс, которые на карте были… и это при том, что проживание было уже оплачено по безналу из Москвы). А разблокировать эту сумму — они не сумели… А у меня перелет в Тайпей после Китая и я 2 недели до зарплаты в Тайпее на последние 2 тысячи рублей жил. Благо там тогда питаться можно было на 100-150 рублей в день.
                                                                                                                                                                  +7
                                                                                                                                                                  Используйте кредитку в поездках — все авторизации (как раз заблокированные деньги) — это будут деньги банка. И пока они реально не спишутся — никаких процентов не будет. При дебетовых картах все эти авторизации блокируют ваши личные деньги
                                                                                                                                                                    +1
                                                                                                                                                                    На кредитке на тот момент уже висело заблокированных под 4 килоевро из прокатов в двух странах… И кто ж знал, что в цивилизованной стране, на АЗС которая «Services» в 10 милях от M25 (которая кольцевая вокруг Лондона), практически в самом центре цивилизации, в уже не первом десятилетии 21-го века, в 50 метрах от батареи Тесла Суперчарджеров, плохая связь с банком?
                                                                                                                                                                    Но мой коммент был, в основном, о том, что деньги с карты могут списаться больше одного раза. Это не миф. Это жизнь. И такое может случиться даже если транзакция не прошла. Другое дело, что примерно всегда деньги через месяц вернутся.
                                                                                                                                                                      0
                                                                                                                                                                      даже 3 могут, у меня при покупке билетов на сайте ржд списали один раз, а потом, в течении часа, еще два раза. По двум лишним списаниям вернули через две недели.
                                                                                                                                                                        +1
                                                                                                                                                                        например часто на АЗС используется такой фокус:
                                                                                                                                                                        есть некоторые умники которые говорят «Полный бак», и идут оплачивать… на кассе покупают шоколадку без заправки, выходят садятся в машину и уезжают… АЗС потом досписывает с карты бабло за бензин (правда для карт electron/maestro не прокатывает… к великой печали кассиров)… используя код авторизации от купленной шоколадки