Комментарии 394

Есть платная версия это же программы от другого разработчика play.google.com/store/apps/details?id=nfc.credit.card.reader.pro2
Я попытаюсь извлечь APK бесплатной версии со своего телефона и выложить.
На самом деле вируса там нет, но я считаю практику установки программ на телефон из APK-файлов мимо официального магазина вредной. Поэтому рекомендую воспринимать все такие файлы как вирусы.
По примеру антенны Wifi или 4G по типу тех, что делает Креосан www.youtube.com/watch?v=nCIDvrs5UzI
На aliexpress есть несколько таких ридеров, но в описании у них заявлены 5-10см дальность, что с трудом можно назвать long range.
П.С.: ну и данный вариант антены ни в коем случае не разработка Креосана, это облучатель offset'ки от Bester. на lan23 уже давно были варианты под что угодно расчитаные).
П.С. Понятно, что это не его изобретение, это я так, для наглядности
Кроме того мы работаем не с радиоизлучением, а с магнитным полем — нужна магнитная антенна, а это конструкция несколько иная чем у электрической антенны.
Я себе представляю фургон с пластиковым кузовом и шаращий таким «усилителем» в направлении держателей пластиковых карт…
У креосана голимая постанова с "пушкой из магнетронов".
Самая большая сложность будет с направленностью — сия халабуда читает со всех карт в округе и сильно подвержена влиянию помех (особенно учитывая, что у там всегда симметричная диаграмма направленности и «назад» она будет работать точно так же, как и «вперёд»). Но практическое использование вполне возможно — например, если жертва находится на открытом пространстве рядом с мошенником (улица, остановка, малолюдное место торгового центра).
Там, кстати, не антенна, не как её большинство представляет (как у WiFI, например), а плоская катушка индуктивности, которая создаёт вокруг себя поле от которого питается карта. Размер этого поля непосредственно зависит от размера самой катушки (можно даже считать, что примерно равен размеру самой катушки). Катушка размером с лист А4 создаст поле, достаточное для чтения с пары десятков сантиметров.
Можно, кстати, сделать неподвижную большую «стационарную» катушку, которую можно скрытно разместить в местах, где находятся/проходит много потенциальных жертв. Все же видели рамки на входе в магазины. Вот такая хреновина сможет читать с расстояния в метры. Можно даже представить ситуацию, когда злоумышленники модифицируют магазинную систему RFID, чтобы она работала с платёжными картами. Последствия будут захватывающими.
Довольно тривиальная задача для расстояний в десятки сантиметров. Если нужно читать с метра-двух, то там уже всё сложнее, но, скорее всего, ещё можно уложиться в размер дипломата.
Не хотите попробовать реализовать? Я бы поучаствовал.
В принципе там всё тривиально — поле для катушки размером с дипломат и саму катушку можно множеством программ посчитать. Самая большая сложность будет с чувствительностью приёма, ведь можность «передачика» (карты) остаётся прежней. Как мне кажется, любые изменения среды и наводки будут очень сильно влиять возможность успешного чтения. Но как минимум дважды такая штука уже была продемнстрирована.
Однажды пытался оспорить операцию проведенную просто бесконтактной картой. Гор. траспорт одно время тупил и проводил транзакции толи с большой задержкой (более 1-2 недель), толи повторно. В один день пришла СМС о списании за проезд, а я уже как месяц не ездил на ОТ. Я отправил заявление в банк (тогда ещё не знал информации о запоздалых\повтрорных списаниях). Спустя 3 дня из банка пришёл ответ, что отмену операции они не сделают, т.к. была бесконтактная оплата, а это что-то там значит и всё такое.
Под дурачков удобно косить. Когда этот разговор развернется в сторону, что они обязаны доказать, что транзакция была (а не что вы как клиент идите и догадывайтесь, почему она не была) — тогда все эти «легкие деньги» перестанут им светить, и они начнут делать то, за что уже сегодня берут свою денежку — охранять, а не помогать тратить, деньги клиентов.
Просто я такое видел. Я получал карту (сам, не зарплатную, а именно за деньги), мне звонил чувак из СБ банка с целью удостовериться, что я сознаю риски. И среди прочего мне прямо было скзаано, что, расплачиваясь через интернет, я автоматом отказываюсь от шанса вернуть бабки, т.к. (именно) я сообщаю третьим лицам данные карты, которые обязан хранить в секрете.
Так что вы можете жаловаться, но дело, случись что, спустят на тормозах.
Если нет, и попадантся вменяемый банк, дайте знать!

В видео показана родная антенна от hydranfc, однако ничто не мешает вам заменить синий текстолит на прозрачный пластик, наклеить такую антенну поверх экрана и спрятать снифер за терминал снизу.
UPD прозрачная антенна может выглядеть примерно так или еще более незаметно

А я вот думаю, что вскоре будут массовые случаи, когда специально обученные люди будут воровать деньги описанным способом у граждан, а любые попытки опротестовать транзакцию, наказать воров и т.д. будут упираться в глухую стену бюрократии, круговой поруки и отписок. Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно, и деньги будут тем или иным способом обналичиваться, и мошенники не будут нести никакого наказания.
Так что, наверное, придётся или носить пяток бесконтактных карт вместе (спрятав важную банковскую в глубину пачки), или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать.
А неосуществимо потому, что такие хорошие банки так тщательно проверяют всё перед выдачей POS-терминала, так трудно получить лицензию и т.д.
В статье как раз говорится, что получить POS-терминал достаточно легко, но у этого есть цена из которой складывается себестоимость всей схемы. Вывод в том, что такая атака просто не выгодна.
Если что-то сулит прибыль, наверняка организуется преступная группа со связями на верхах, которые и терминалы будут получать без проблем, и транзакцию откатить для обывателя будет крайне сложно
В таком случае можно просто допустить, что банк будет напрямую воровать у вас деньги со счета без всяких терминалов. Такой сценарий в вашей моделе угроз реален?
или придумать какой-то жёсткий кошелёк для карточек из листовой меди, ну или купить винтажный портсигар, по идее он должен хорошо экранировать
Кстати, для этого существует интересное решение: специальная карта, которая попадая в поле действия считывателя начинает активно слать мусорные данные ломая взаимодействие с любыми картами рядом cdn.shopify.com/s/files/1/2175/8571/products/ARD-Active-RFID-Defence_1024x1024@2x.png?v=1505461389

Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.
И как говорил Остап Бендер есть 400 сравнительно честных способов отъема денег у населения. Поэтому рисковать и пользоваться незаконными методами просто невыгодно.
Банк получит в десятки раз больше денег с кэшбэка по картам его клиентов и платы за эквайринг, чем с сомнительных махинаций с прикрытием мелкого воровства.
Насчет банков врать не буду, не знаю.
Но есть такие организации коммерческие — платежные системы.
Мы с вами используем их сплошь и рядом, например, через них проходят платежи на сотовые платежи. Или ящики-терминалы стоят в общественных местах для оплаты сотового, коммунальных платежей (не банкоматы).
Подобные системы открываются и закрываются пачками. Вот только некоторые из них pay2.ru/dirs/systems
И вот для платежных систем утверждение насчет — честно работать получишь в десятки раз больше — категорически не верно. Если будут действовать честно, то будут существовать на мизерную комиссию. Для любопытства поинтересуйтесь правилами сотовых операторов. Помниться, Теле2 вообще категорически запрещал (а может и сейчас запрещает) брать комиссию с плательщика (комиссию, смешную правда, платит посреднику сам оператор). Но найти терминал приема платежей, принимающий Теле2 без комиссии — это еще нужно было в те времена побегать.
Но мошенничество не в этом. У данных платежных систем есть такой замечательный способ мошенничества — не проводить, скажем, каждый десятый платеж на телефон. Как показывает практика, большая часть людей не будет из-за 50 рублей напрягаться даже звонить и ругаться. А кто будет — тому эти деньги все же до телефона доведут. И вот такая «комиссия в 100%, но зато с каждого 10-го платежа» — это огромные деньги, есть смысл для мошенников.
Считайте:
2000 платежей в день с терминала по средней сумме 300 рублей. Оборот 600 000 рублей в день с точки. Это для не-Москвы довольно-таки хороший терминал, очень хорошее «проходимое» место.
Комиссионное вознаграждение честное — 0,1%. То есть 600 рублей с точки. 18000 рублей с терминала в месяц. Их которых только одна аренда места может стоить 5 000 — 10 000 рублей (торговые центры же тоже не дураки, понимают, что если место «проходное», то нужно зарабатывать по полной). Да, торговые центры за такие терминалы берут не за формальные 2 кв. метра как с обычного магазина, а по полной.
Терминал нужно обслуживать, он жрет электроэнергию, интернет. Фирме-владельцу нужно платить налоги, тратиться на бензин (их же нужно регулярно объезжать, снимая выручку и заряжая принтера) и т.п. Даже такая операция как пересчет мелких наличных денег 600 000 рублей с терминала в день — это огромная проблема. Это реально горы налички.
Получается, что 1 терминал это уже не бизнес. Чтобы более-менее существовать за счет терминал — тебе нужно их ставить как минимум десятками (и обслуживать самому, чтобы не платить зарплату никому; и еще решить проблему воровства налички персоналом).
Ну а теперь берем каждый 10 платеж. Это 60 000 в месяц. И делаем иммитацию технического сбоя. Практика показывает, что порядка 5% людей звонят, возмущаются. Остальные просто забивают.
Ну и сравните — честный доход 18 000 рублей с точки.
Мошеннический доход — 18 000 + 57 000 рублей с точки.
Платежные системы лет пять назад по этой схеме открывались пачками, работали по полгода и закрывались.
И если у вас когда-то не доходил платеж — то это вовсе не случайный технический сбой... А, скажем мягко, запланированный технический сбой.
Только если гастарбайтерами, которые неофициально здесь работают.
- не стал устанавливать банковское приложение на умный телевизор
- скорее всего, не смог это сделать
- поленился преодолевать все трудности как с установкой, так и с использованием
P.S. А я уже IT-шник, но ещё ещё не пенсионер
P.P.S. Чуть-чуть объясню: вменяемые банковские приложения требуют включения авторизации на устройстве, которой умные телевизоры, которые в первую очередь телевизоры, и лишь во вторую умные, чаще всего не обладают. Отчасти по этой причине банковские приложения просто недоступны в магазинах приложений на телевизорах
Что-то мне подсказывает, что ваш коммент не противоречит моему… Но я, как я уже говорил, говорил о том, что "терминалами" пользуются в осносвном гастрарбайтеры с соседней стройки. "Местные" — все решают через интернет и приложения на мобильном. Некоторым это удается делать через "умный телевизор". Но тут у меня нет данных, какой модели, какого производителя тот телевизор.
Ну я вообще, честно говоря, не очень понимаю зачем в современном мире пользоваться этими терминалами
Дык платежные системы — это отнюдь не только терминалы.
Вторая линия так сказать — терминалы и банки вовсе не напрямую подключены к операторам связи и коммунальщикам. (крупные банки к крупным операторам связи напрямую, ну а прочим путь заказан/неудобен напрямую).
Но они существуют и их много
Зарплату в конвертах налом люди получают. Не так часто, как в 90-х, но не так редко, как хотелось бы ФНС.
И да… 20 лет назад если кто-то доставал карточку, чтобы расплатиться в магазине, по очереди проносился стон… Сейчас такой же стон проносится по очереди, если кто-то достает наличные.
мы же все помним 2020-й?
Что именно вы этим хотели сказать? Что не все смотрели телевизор и не все бросились умирать от "ковид" при первых признаках простуды? Ну да. Не все.
Или вы о чем-то другом?
Работаю в компании, принимающей платежи через такие терминалы
Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними
За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились. Но вот чтоб 10% платежей — это что-то из области фантастики.
Правда пишу из Украины
Комиссия там не 0.1%, а вполне себе 2,5%, которые ещё нужно выторговать. Обычно хотят 4-5% (1-1,5% процессингу и остальное — владельцу терминала). Можно комиссию указать как с клиента, так и с получателя. И даже разделить между ними
Между вами и первичным приемом налички — цепочка из 2-3 посредников. Кушать хотят все.
В нашем регионе как раз одними из первых по России запускали. Так что у нас давно уже жесткая конкуренция. На самом деле никто не работает на 0,1-0,3%, как того требуют операторы связи, все нарушают требования операторов связи и накручивают больше — иначе только мошенничеством и можно выжить.
А когда-то было и 15 процентов. Тогда с одного терминала можно было весьма богато жить.
За примерно 5 лет приёма платежей через десяток различных сетей не припомню ни одного случая когда к нам не дошел платёж «просто так». Бывало что из-за сбоя у нас в системе, бывало что в процессинге сбой происходил. Все случаи расследовались и деньги возвращались клиенту или допроводились.
Разумеется никто не признается, зачем им уголовную статью на себя вешать.
Уверяю вас, не все из них технически сбои.
Но вот чтоб 10% платежей — это что-то из области фантастики.
Это работает только на массовых микроплатежах.
На платежах за сотовую связь — самое типичное.
Если у вас, скажем, местячковый интернет-провайдер, то никто не будет рисковать, оно же сразу выплывет.
В двух словах: используется снифер и глушилка, чтобы перехватить данные магнитной ленты и не дать пройти транзакции на терминале. Потом эти данные используются для оплаты.
Issuer Application Data (IAD)
Структура IAD различная на разных МПС. Описанна в EMV book 3 C7.2 «Issuer Application Data for Format Code ‘A’ ». Из интересного в ней можно найти «CVR» Card Verification Results, результаты проверок, проведенных картой.
Cryptogram Information Data (CID) — Я не осилил разбор этой структуры, помогите.
Описанна в EMV Book 3 «Table 14: Coding of Cryptogram Information Data ». Карта (телефон) вернула ARQC — что значит запрос на онлайн и без ошибок.
Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe (MSD)Стоит отметить что MSD и VSDC это варианты VISA приложения. MSD действительно устаревший и эмулирует магнитную карту. Ваше приложение — VSDC.
Протокол MasterCard немного отличается, но в целом похож.Интересно что бесконтактный MasterCard достаточно сильно отличается от безконтакной Visa и практически полностью идентичен контактному протоколу.
В AIP содержится важная информация о поддерживаемых методах аутентификации (SDA,CDA,DDA) платежа. Почему в моем случае все эти флаги равны нулю — я не понимаю.Т.к. используется технология токинизации и только онлайн, что подтверждается виртуальной картой и начиличем EMV Tokenisation (Payment Account Reference (PAR)), аутентификация по SDA,CDA,DDA похоже становится не нужной. Также как запрос пина и т.д.
Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основнойДанная блокировка не вызовет дополнительных проблем, например, с переводом с чужой карты на эту основную карту или, наоборот, с этой карты на карту в другом банке?
Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит одну единственную карту в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.
Многие носят в одном месте несколько карт из которых только одна бесконтактная.
Банки же заменяют все истекшие карты на бесконтактные. И способа отказаться я не нашел.
www.google.com/search?q=disable+rfid+on+credit+card
Карта — собственность банка.
Но всё равно спасибо, обязательно воспользуюсь.
В том случае интересно как у ApplePay проверятся аутентификация карты(телефона)?
Уникальность транзакции проверяется по AC криптограмме и можно понадется (а так говорят бывает) что AC криптограмму ApplePay процессинг не проверяет.
Если эквайер и мерчант в одном банке, то операция никуда не идёт, кроме самого банка и его процессингого центра (не у всех свой ПЦ).
Если эсквайр и мерчант в России, то операция пойдёт через НСПК. Это нововведение, появившееся после санкций со стороны Visa в 2014 году.
Ну и плюс МПС требуют квартальные отчёты по всем операциям с использованием их карт — сюда тоже попадают и ас-он-ас, и доместик, и все-все-все.
А лучше три, чтобы зарплатную вообще нигде не палить.можно просто отвязать карту от зарплатного счёта.
А теперь на остальные вопросы:
Карты разных банков удобно иметь для переводов со счета на счет без комиссии. Например, зарплатный проект в Райфайзен, а у огромного количества людей в России есть карта Сбера. Вот чтобы с друзьями перекидываться деньгами и иметь доступ к банкомату в любой момент пригождается сбер (его банкоматы на каждом углу). Второе «за» за разные банки — это блокировка карточки по желанию левой пятки банка. Подозрение на фрод, ошибка в документах, плохое настроение — все что угодно может привести к заморозке счета. Вероятность одновременной блокировки двух счетов в разных банках гораздо ниже.
Карта для покупок нужна, чтобы не светить зарплатную. Конечно, можно отвязать зарплатную и заморачиваться с перекидыванием денег со счета на счет, но проще иметь другую карту, которую не жалко дать продавцу в руки или светануть в интернет-магазине. В случае чего она просто блокируется, а вы можете снять необходимую сумму в банкомате со своей зарплатной карты.
Если у вас одна карта и вы ее заблокировали, вы сможете снять наличные только в банке по паспорту. При этом многие отделения не работают по выходным, например.
Зачем две карты в разных процессинговых системах не нужно рассказывать?
Условно:
В кошельке две карты «для покупок», Visa банка X и MC банка Y, обе бесконтактные, в разных половинках кошелька (можно платить не доставая, но открыв кошелек). На карте X у нас общий кэшбэк условно 1% и на операции A, B, C кэшбэк 5%, а по карте Y общий 0.5% и по D, E — 3%, так что в общем случае платим в зависимости от точки. Ну и есть пространство для маневра — где-то предлагают скидки «держателям Visa»/«только при оплате MC», плюс вероятные нештатные случаи.
Возможно еще добавить третью кредитную карту для определенных случаев.
Обе карты добавлены в смартфон, так что по большей части кошелек не нужен, но смарт может разрядиться и проч глюки.
Ну а дома лежит зарплатная карта, например Мир, возможно кредитная карта для поездок. Вероятно, карта третьего банка, или валютная.
Конечно можно и у людей есть деньги для годового обслуживания этих карт
Карты двух банков обе бесконтактные Сбера и Альфы, обе требуют денег. Только давайте без зарплатных проектов, карт.
Росбанк, к примеру, по классической кредитной карте — бесплатно при обороте за предыдущий год не менее 180 000.
Ну так и я могу привести примеры даже у тогой же Альфы — порядочные обороты по карте, большие остатки на карте.
Кредитная от Сбера — интересно, на сайте информация разнится по второму и последующим годам. Снятие налички платная услуга, но для оплаты коммуналки может и подойти. Но то что кредитка — пугает разными возможностями ухода в минус чего не бывает у дебитной
Кредитная от Сбера — индивидуальное предложение, такую нельзя прийти и заказать. За какие заслуги примерно понятно, но это скорее косяк их системы оценки (хорошо что лимит другая система выписывала, там такого косяка не наблюдалось).
Дебетовая карта пугает неожиданными возможностями ухода в минус на ровном месте. Пару раз уже попадал так. А овердрафт по ней дороже, чем кредит по кредитке.
Я правильно понимаю, что в вашем представлении электрическая компонента отражается от алюминия, и только магнитная проходит?
Амплитуда электромагнитной волны в проводнике падает по экспоненте. Характерную глубину «проникновения» (падение интенсивности в е раз) можно посчитать, она называется толщиной скин-слоя. В вики есть пример для меди, для 10 МГц это 21 микрон. Т.е. уже обычного проводника вполне достаточно. Магнитная проницаемость уменьшает толщину, безусловно, но это не обязательно. Прошу заметить, именно это я и написал.
50 мкм алюминиевая фольга уже примерно в 8 раз снизит поле, толстая в 100 микрон в 55 раз.
P.S. Мой кошелёк из однослойного углеволокна без проблем защищает карты от считывания.
Кошелёк защищает вашу карту за счет формирования короткозамкнутых контуров, на которых магнитное поле переходит в электрическое и рассеивается на активном сопротивлении самих контуров.
2. Совсем редко банки накрываются. Страховку выплатят через 2-3 недели, но это время как жить? Нестоличные банки неплохо падают.
3. Дебетовая и кредитная. По кредитке, обычно, больше кешбэк, на дебетовую проценты начисляют и переводы с неё дешевле делать (садики, кружки и т.д.)
4. Рублёвая и нерублёвая. Нестоличные жители тоже ездят за границу
5. Можно не уследить за баллансом. И стоите вы в супермаркете с пробитой горой продуктов на кассе, а денег не хватает… Вторая карта спасёт. Можно сломать/потерять карту.
На будущее: слип — это такая самокопирующаяся бумажка на которой выдавливают информацию о карте с помощью импринтера (для этого подходят только эмбоссированные карты… VISA electron, например, не подойдёт т.к. не имеет выпуклого рельефного номера).
В России, мне кажется, импринтер сейчас не встретишь.
А то что вылезает из pos-терминала — это просто чек.
Импринтеры, на самом деле, до сих пор иногда выдаются мерчам, но уже лет 10 кассиров не учат с ними работать, хотя порой менеджеры при форс-мажорах (авария у оператора связи, а клиент очень вкусный) и вспоминают про них… но чаще — да, про них никто не помнит, даже при наличии — пару лет назад закрывалась одна подшефная торговая точка и директор магазина звонил мне с вопросом "А что такое ЭПЛИНТОР? На ответхранении числится 3 штуки, надо отдавать банку, а что отдавать — непонятно..." только на словах "банку" я понял, что речь про импринтеры.
Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации? Сколько времени оно проработает без снюхивания с серверами?
Зачем Google Pay дёргает данные GPS? Только ли ради точного времени со спутника и калибровки таймингов?
Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?
Если установить режим «самолета», то apple pay все равно работает.
Возможна ли полностью ОФФЛАЙН работа Apple Pay или Google Pay (к примеру, девайс без симки и без WiFi) после завершения токенизации?
Да, но через какое-то время у вас закончатся ключи для подписи транзакций. У Google Pay ключей вроде меньше десятка, живут порядка недели.
Только ли ради точного времени со спутника и калибровки таймингов?
Для оплаты ничего калибровать не надо. Локацию дергают для аналитики, скорее всего.
Это вообще нормально?
Это вообще нормально?»
Вы статью-то читали? Заявление в банк и полицию, счет списавшего блокируется, деньги возвращаются

поговаривали даже, что именно из-за таких терминалов apple отказалась от аудиоджека
сейчас каждая вторая служба доставки (в Мск) ездит с микротерминалами про которые Igor_O говорит
Он достаточно навороченный, умеет и бесконтактную оплату и чипованные карты и магнитную полосу. Вот китайский OEM вариант этого же терминала dspread.manufacturer.globalsources.com/si/6008847651844/pdtl/Mobile-credit/1158842979/NFC-EMV-card-reader.htm Стоит <100$.

По поводу картинок на морде (как на приведенной картинке, в правом верхнем углу терминала) — не помню, честно.
2. Если есть интернет, то телефон тут же квакнет и скажет про списание, вы заметите проблему сразу и сможете обжаловать.
В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.
Видимо, Санкт-Петербург — исключение. В СПб в метро есть и мобильная связь, и мобильный интернет (хотя в перегонах он, конечно, работает хуже, чем на станциях).
В Москве — мобильного интернета в метро практически нет, но есть WiFi (интересно, а POS терминалы через WiFi умеют работать!?)
Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя
Потому что по Сокольнической линии — да, в целом связь есть.
А вот по Арбатско-Покровской и Замоскворецкой (даже в пределах кольца) — ловит только на станциях.
Видимо зависит от оператора, но я обращаю на такое внимание, потому что вайфай часто работает плохо, либо вообще не передаются данные либо сильно медленнее, чем по сотовой сети.
Лимит на максимальную сумму операции без подтверждения ПИН-кодом может быть установлен как на самом POS-терминале (CVM Required Limit), так и на стороне банка. В России это ограничение равно 1000₽.
Ни разу не сталкивался с таким ограничением на терминале. Обычно без пин-кода проходят гораздо большие суммы, например 250 тысяч рублей.
Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.
при контактной оплате (через чип) — ПИН-код запрашивается всегда
Может быть в этом причина? На моей карте выставлен приоритет подписи. Но опять же получается, что в настройках терминалов нет ограничений (либо они очень большие).
С пин-ом при оплате чипом интересная ситуация, почти все терминалы требуют н при этом не все проверяют, был очень удивлён когда ввёл 100% неверный код а операция прошла :)
Я уж не говорю о том, что при контактной оплате (через чип) — ПИН-код запрашивается всегда.
ДАЛЕКО не всегда.
Есть такие банки и карты, где ПИН вообще не запрашивается в терминале в принципе. На любую сумму. Только в банкоматах запрашивается.
ДАЖЕ если найдётся терминал с жёсткой настройкой «требовать ПИН», можно обычно нажать на красную кнопку отмены, и транзакция пройдёт без ПИН-кода — по подписи.
Карты уровня World Signia к примеру. Или Infinite. Многие карты США.
Какой ПИН? Вы о чём? Непристойно это, как будто не чёрная Signia, а какая-то Maestro! Ещё и код набирать…
Иногда клиент может управлять требованием ПИНа, меняя приоритет самостоятельно.
Как украсть деньги с бесконтактной карты и Apple Pay
Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты
Ах да,
В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты
Это же просто очередной кликбейтный заголовок.
Деньги могут списаться два раза
Не является мифом, а является грустной правдой жизни.
Не далее как 1 августа сего года… На автозаправке (в самой что ни наесть цивилизованной Великобритании в 10 милях от ЛКАД), пока POS печатал мне чек, что транзакция не прошла, на телефон прилитело две СМС-ки, что деньги списаны. Т.е. даже круче, чем «списаться два раза», а «деньги списались два раза, а товар я получить не могу».
Но тут есть еще один важный положительный момент — деньги с карты в момент транзакции — не списываются. Деньги — блокируются. Если за месяц не пришло правильное подтверждение, деньги разблокируются и снова доступны. При этом, если успеть до подтверждения транзакции сообщить в банк, что у вас пытаются стырить деньги, то вернуть все гораздо проще, чем если дождаться, пока деньги уйдут со счета. Но если не пытаются стырить, а просто сбой в системе… Приходится грустно ждать месяц…
А, да, это я еще так однажды в Китае в гостинице попал. Они у меня на карте заблокировали какую-то несусветную сумму на случай, если я у них погром устрою (все командировочные и почти весь аванс, которые на карте были… и это при том, что проживание было уже оплачено по безналу из Москвы). А разблокировать эту сумму — они не сумели… А у меня перелет в Тайпей после Китая и я 2 недели до зарплаты в Тайпее на последние 2 тысячи рублей жил. Благо там тогда питаться можно было на 100-150 рублей в день.
Но мой коммент был, в основном, о том, что деньги с карты могут списаться больше одного раза. Это не миф. Это жизнь. И такое может случиться даже если транзакция не прошла. Другое дело, что примерно всегда деньги через месяц вернутся.
есть некоторые умники которые говорят «Полный бак», и идут оплачивать… на кассе покупают шоколадку без заправки, выходят садятся в машину и уезжают… АЗС потом досписывает с карты бабло за бензин (правда для карт electron/maestro не прокатывает… к великой печали кассиров)… используя код авторизации от купленной шоколадки
но вообще такая функция есть точно у отелей которые очень часто проводят операции CNP… более того именно для отелей есть много исключений в процессинге для таких дел, и совершенно точно заправки шелл пользуются такой схемой которую я описал выше
Про заправки — вы не путаете резерв с возвратом? Когда холдируется заведомо большая сумма и потом (по факту заправки) лишние деньги возвращаются? При этом при возврате карта не нужна. Такое и сейчас есть (из свежего — январь в Белоруссии, июль на Лукошках на М4).
==
ну к слову сказать что такая операция легко опротестовывается, но в случае с АЗС недовольные не обращаются обычно
но в случае с АЗС недовольные не обращаются обычно
Людям настолько деньги не нужны?! эххх…
ну к слову сказать что такая операция легко опротестовывается, но в случае с АЗС недовольные не обращаются обычно
Где здесь есть про то, что вы написали?
В данном случае все равно, кто пострадавший: заправка или покупатель.
Я работал в торговой сети и знаю, насколько часто банковские терминалы сбоят из-за:
— внутренних глюков GSM-модуля (привет одному банку, техподдержка которого ОЧЕНЬ любила вместо детальных разбирательств отмазываться «идите проверяйте баланс на своей симке». К слову, это были те же Ingenico 220 модели),
— глюков в системах, к которым они подключены (привет другому банку и одновременно известной желтой компании, софт которых друг с другом уживается в абсолютных «гармонии» и «взаимопонимании», отчего приходилось ломать голову, как быть, когда оплата прошла, а операция по онлайн-кассе — нет, ибо драйвер решил «пошутить»)
— или банального отсутствия связи (привет нашим закрытым городам, где глушилки мобильной связи понатыканы за каждым забором).
Поэтому вообще оплачиваю что-либо отдельной картой, на которой лежит строго определенная сумма, только в крупных торговых сетях, если того требует значительная сумма операции или вынужденное отсутствие наличности, но ни в коем случае не в каком-нибудь магазинчике или ларьке на углу.
Если карта предоставляет номер и дату, то можно просто собирать данные карт и продавать их на черном рынке, не заморачиваясь с ООО.
> Проблема: Несколько карт в кошельке
Делаем/покупаем ридер, который умеет списывать со всех карт по очереди.
> Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний.
Если вам не удалось, это не значит, что это невозможно.
> Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.
Не вижу проблемы немного доработать терминал.
> В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро
В метро есть WiFI, также моб. связь ловится на станциях, также на некоторых ветках поезда едут над землей.
> За это время банк-эмитент направляет запрос банку-эквайеру, и если банк-эквайер подтверждает факт совершения сомнительных операций, то блокируется терминал и средства на расчетном счете владельца терминала.
Вряд ли. Иначе можно было бы легко заблокировать все терминалы конкурента.
> Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв.
Пара вагонов метро.
В общем, ничего не меняется: у банков, как и раньше, все на доверии, а не на математике и криптографии.
Да, статья не говорит о Google Pay, но ведь там что-то всё аналогичное. Так что китайские телефоны всё ещё в студии.
Непонятно, то ли это реклама Эппл, то ли антиреклама бесконтактной оплаты. Я например Эппл не покупал и не собираюсь переплачивать за яблоко на корпусе когда есть китайские смартфоны за 200 долларов.
Основное отличие apple от android в том, что в пером случае, все заявленные функции работают. Android же настолько разнороден, что предсказать как будет сломана та или иная функция в конкретном телефоне невозможно.
Если карта предоставляет номер и дату, то можно просто собирать данные карт и продавать их на черном рынке, не заморачиваясь с ООО.
Верно, но цена таких дампов примерно 2-3$. Так что раздавать листовки на улице, возможно, будет даже выгоднее.
Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.Я тоже так думал, пока друг не посоветовал проверить.
Я проверил несколько раз. Один раз из двух терминал удачно списывает деньги. И это при наличии в стопке трёх карт, две от одного европейского банка, третья от другого.
Сейчас у Тинькова можно самому ставить ограничение в личном кабинете, но раньше, когда такой функции не было, а ограничение по-умолчанию менялось только по телефону, то лимит был совсем не тысяча рублей.
Сервис в банках бывает разный, но уж терминала, который бы автоматически запросил пин, обнаружив превышение лимита в 1000 рублей, за много лет не встречал ни разу.
Когда на хабре эта тема обсуждалась в предыдущий раз пришел к выводу, что никаких технических проблем для воровства нет, если только организационные. Неоткуда взяться левым терминалам. Теперь, похоже, есть откуда. Ну значит придется перейти на оплату телефоном.
Сейчас у Тинькова можно самому ставить ограничение в личном кабинете,
Покажите пожалуйста как это выглядит.

Наличие такой настройки (возможно, вкупе с какими-то другими, сходу в ЛК не нашёл) позволяет покупать на суммы до 10к точно без пинкода, бесконтактно. Иногда позволяет больше, иногда начинает требовать пин-код.
При оплате покупки на сумму СВЫШЕ 1 000 рублей:
Операция осуществляется с авторизацией, ТРЕБУЕТСЯ подписание чека или введение ПИН-кода.
Ограничение является настройкой ТСП. Сумма 1000 рублей является рекомендацией МПС. По факту ТСП может выставить лимит больше рекомендуемого.
То есть это настройка Cardholder verification methods (CVMs) на самой карте, и в случаях когда в терминале установлен лимит на запрос CVM в тысячу рублей, от вас требуется авторизация в виде росписи.
- Может ли сама карта устанавливать лимит на бесконтактную операцию без подтверждения? Под подтверждением имеется в виду любой CVM, подпись или ПИН-код.
- Что будет, если в качестве CVM установлена подпись, но клиент не расписывался на чеке?
1. Мы можем установить приоритет авторизации по подписи или по ПИН-коду. Лимит на авторизацию без дополнительного подтверждения стандартно составляет 1 000 руб. После 1 000 руб. терминал требует ввода ПИН-кода или подпись на чеке. В любом случае, банк-эквайер может применить свои настройки терминала и тогда терминал будет запрашивать подпись, вне зависимости от суммы и установленного лимита.
2. Если на чеке не будет подписи клиента, то оспорить эту операцию будет проще.
Кстати, мы делали выпуск по этой теме — www.youtube.com/watch?v=nzs6D2Wyfq0&t=31s
В любом случае, банк-эквайер может применить свои настройки терминала и тогда терминал будет запрашивать подпись, вне зависимости от суммы и установленного лимита.
Выше несколько ваших клиентов утверждаю, что оплачивают покупки на десятки тысяч рублей без подтверждения вообще. Нет причин им не верить. Верно ли, что экваер может сам управлять этим лимитом?
Кстати, мы делали выпуск по этой теме — www.youtube.com/watch?v=nzs6D2Wyfq0&t=31s
В вашем видео на 2:02 говорится, что данных считанных с бесконтактной карты недостаточно для оплаты в интернете. Это не так.
Выше несколько ваших клиентов утверждаю, что оплачивают покупки на десятки тысяч рублей без подтверждения вообще
Спросить бы у этих клиентов, что написано на чеке.
Из личных наблюдений в провинциях:
1) До массового появления бесконтактной оплаты, ориентировочно ознаменованной приходом Apple Pay, как сама бесконтактная оплата, так и нестандартные методы подтверждения («до 1000 рублей») вызывали у кассиров разрыв шаблона. Некоторые упорно пытались затребовать подпись где не требовалось, потенциально из-за этого банки начали вместо пропуска поля «подпись клиента» печатать «подпись клиента не требуется». И всё равно находились индивидумы…
А уж сам факт бесконтактной оплаты в 2015 году на внезапно поддерживающем терминале, когда о ней никто в провинции не знал, мог спровоцировать что угодно вплоть до разборок с охраной. Джедайский жест «вам не нужна моя карта» бесценен, для остального есть мастеркард :D
2) Ну а сейчас рвущими шаблон действиями являются:
— собственно требование подписи клиента на чеке. Часть кассиров уже привыкли к различной экзотике, и не смотрят на чек, отдавая всё на откуп терминалу. Написало на кассе что оплата успешна — а больше и не требуется. Проведи оплату просто посмотрев на терминал джедайским взглядом — никто и бровью не поведет. На вопросительное «но там же нужна моя подпись» отмахиваются.
— оплата полосой (для некоторых карт без чипа, действующих, внезапно, 5 лет). Обычно объединяется с предыдущим и добавляет лулзов, ведь всем вроде известно что по полосе операция не проводится при наличии чипа, а где вы сейчас видели карту без чипа? Ну вот она, да. Ой.
www.retail-loyalty.org/news/kompaniya-ARCOM-postavila-platejnie-terminali-dlya-gipermarketov-seti-ashan-rossiya
Создаётся впечатление, что решение делали, просто «чтобы было». Подпись по определению ставится на ровной плоской устойчивой поверхности, на которую можно положить кисть руки, ручкой более-менее стандартного диаметра, требующей нажим не более обычного. Если среднего человека заставить расписаться мелом на доске, или двухметровой палкой на песке — у него получится фигня. А тут ещё и вся эта арт-инсталляция шатается и стремится уйти из-под стилуса.
Обобщая: по моим наблюдениям, мало продавцов читают надписи на экране POS-терминала. Те, кто требуют мою подпись на чеке, получают от меня ободряющий комментарий :), и это бывает редко.
www.dropbox.com/s/4tw0a0k4pivg65h/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202018-10-04%2009.08.50.png?dl=0
В давние времена это можно было сделать по телефону.
А так лимит в 1000 рублей без пин кода, неоднократно замечал.
А если обратиться к ГОСТу, то кафешка со скатертями и туалетом — тоже ресторан. Так что уже хватит придумывать какую-то привязку к ценам. Ресторан в центре Москвы и в спальном районе города за Уралом будут отличаться по уровню цен, но и тот и другой имеют право себя называть рестораном.
В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро.
связь в метро хорошо так продвинулась. на кольцевой уже всё есть.
ну а около почти всез станций и уже очень давно
Вопрос автору: правильно ли я понимаю, что если использовать данные вашей карты от эпл пэй из статьи для регистрации на booking .com то тогда данные карты будут квалифицироваться как CP? Ведь они там данные карты по факсу пересылают в отель и отель снимает с вас деньги. Ну по крайней мере по моей последней информации.
Как же она будет подписана ключём карты если я просто вбиваю все данные на сайте, PAN и прочее и эти данные букинг просто передает и их дальше девочка вводит на терминале. Или вы имеете ввиду как раз в этот момент оно должно было бы быть подписано картой? (И нет, спасибо, пускай другой кто-нибудь попробует :) )
CP (карта предоставлена) — транзакция подписана криптографической подписью с помощью микропроцессора внутри карты, ну или не подписана и просто считаны данные с магнитной ленты.
Так что в вашем примере это будет CNP операция, так как оплата будет происходит удаленно по реквизитам карты.
Во-первых, это не позволит просканировать наличие карт, а во-вторых, при правильной реализации, такая карта будет искажать сигнал реальной карты, если злоумышленник каким-то образом всё же сумеет определить наличие и идентификатор настоящей банковской карты. Чувствительность же глушилки можно сделать несколько выше чем у обычных карт (это возможно даже при работе от без источника питания), чтобы гарантировать её срабатывание с обычными картами. А так как карта-глушилка находится в кошельке вместе с платёжными картами, то никаким образом ничего удалённо не прочитаешь, пока не разнесёшь глушилку и карту в пространстве (вытащим карту или открыв кошелёк).
В принципе для этого специальный чип нужен (либо очень кастомная прошивка по стандартые программируемые чипы), но можно и на гибкой печатной плате сварганить.
Более того, там физический принцип чтения такой, что можно подобрать примитивный безмозглый резонатор на гибкой печатный плате (буквально с десяток копеечных деталей с общей себестоимостью в $2), который не вообще не позволит установить связь с картами стандартным способом если они находятся в общем с ним поле. Теоретически, конечно, можно будет сделать ридер, которому такое примитивное противодействие не страшно, но это сильно удорожает атаку и принципиально снижает вероятность успешного чтения в реальных условиях — для успешного чтения злоумышленнику нужны будут такие условия, что проще уже кошелёк украсть.
Пора пилить стартап?
20 евро (30 без скидки)?!!! Они опухли.
А если сделать конвертик из фольги, а фольгу взять от скушанной до того конфеты, то цена вопроса будет равна цене конфеты минус удовольствие от её съедания. В общем, не все так плохо, можно срезать уголок-другой, если действительно хочешь заплатить не за разработку, а только себестоимость материалов.
Шутка)
А я правильно понимаю, что у вас номер карты 4800 9972 5051 1756 exp date 12/23? Так, для лучшего понимания предмета статьи интересуюсь
Ради таких статей хочется читать Хабр.
Браво!
Кстати, во многих статьях по данной теме на русском языке говорится, что можно вручную установить собственный лимит на бесконтактные операции без ПИН-кода. Мне не удалось найти такой опции в основных российских банках. Может, вы знаете о такой возможности? Речь именно о бесконтактных платежах, а не любых chip&pin-транзакциях.
Около года назад, получив карту NFC Сбербанка, я попытался установить лимит на бесконтактные операции равным 0. В контакт-центре сообщили, что лимит можно установить самому, но не менее 1000.
на практике она оказывается невыгодна и крайне тяжело осуществима. Шанс получить хоть какую-либо прибыль настолько мал, что лишает смысла всю затею.
Всё это хорошо до тех пор пока хотя бы одно условие не поменялось. Например: у злоумышленника стечением обстоятельств уже есть склад терминалов. Т.е. ему не надо покупать терминал. И есть армия людей, готовых ходить по вагонам и списывать деньги.
Если есть хоть одна возможность украсть таким способом деньги, то все этого будут бояться.
По моему статья только подтверждает наличие уязвимости и лишний раз напоминает всем, где раздобыть деньги :-)
Там главное не наличие терминала, а наличие договора с банком-эквайером и два-три дня задержки от момента покупки до момента зачисления денег на счет юрлица.
Чем больше покупок, тем больше вероятность, что кто-то оспорит транзакцию и все деньги протухнут на заблокированном счете.
Так что Ваша армия людей с парком терминалов ничего не меняет.
При этом вы забыли, что нужно ЗНАТЬ, где находится бесконтактная карта, и после любой ошибки считывания перед КАЖДОЙ оплатой вручную вводить сумму покупки.
А потом вся эта армия людей по камерам в метро относительно легко отслеживается.
поэтому то что удалось намайнить это идёт только плюсом.
Я лично в магазинах по прежнему использую бесконтактную карту. А вот в банкоматы и интернеты вообще перестал давать карту если принимают Блик.
Поверх этого iDeal работает удобнейший сервис Tikkie — там можно создать короткую ссылку, в которую «зашита» сумма, и послать ее кому-нибудь, кто должен вам эту сумму денег. Пройдя по ссылке, этот кто-то совершит оплату (разумеется, с соблюдением всех плясок с бубном), деньги мгновенно упадут вам на счет.
p.s. Нет в Нидерландах ApplePay :(
То есть махнуть за секунду телефоном, на ходу приложив палец к сканеру, при равном (как следует из статьи) уровне безопасности — это менее удобно?
статья-приманка
Справедливости ради нужно заметить, что в некоторых случаях мне удавалось обойти ограничение и выполнить бесконтактную оплату на сумму больше 1000₽ без ввода ПИН-кода.
Хм, последний год в 99% случаев плачу только через Apple Pay, несколько раз в неделю транзакции сильно выше 1000 рублей, а пинкод вводил только пару раз за всё это время.
Я пришёл купить что-то в магазине. Ввёл пин (я в это время вижу сумму на терминале), после чего продавец забрал назад терминал и пикнул по ней меньшую сумму чтобы покрыть украденное из магазина.
Доказывать потом, что первая транзация по делу, а воторая нет — задолбаешься. Особенно, если продавец потом ещё и чек пробъёт.
Чек есть? Есть. Ходили ли вы этот магазин? Ходили. Покупали на 100500? Да. А на 990? Нет? Как нет, когда у нас есть и запись в кассе, и инвентаризация как раз на 990 сходится?
Инвестиции злоумышленника:
* Устроиться продавцом
* Наворовать у клиентов (товара)
* Уволиться
В этой схеме инвестиций копейки, а профит прямо прёт.
С другим банком, когда у меня была двойная транзация в ресторане (как раз такая схема, только без всяких fancy wireless, просто по свайпу карты без пина и подписи) мне сказали «chargeback стоит 30 баксов вне зависимости от результатов, а у вас там 16 баксов списано» (поразумевая — «утритесь и не выступайте»).
Так что все эти схемы, в которых кто-то что-то может списать без явного «да» со стороны клиента — всё это работает удобно для всех, кроме клиента.
Ну почему нельзя иметь устройство, на котором я (авторизованный я) говорю «да» или «нет» для операции, видя сумму операции на trusted device?
И вас не смутило, что вам пришлось два раза пин вводить?
Ну почему нельзя иметь устройство, на котором я (авторизованный я) говорю «да» или «нет» для операции, видя сумму опера
Как украсть деньги с бесконтактной карты и Apple Pay