Комментарии 79
У вас там сверху ссылка на статью про стандарт EMV потерялась.
А нельзя ли обновлять информацию о картах с некоторой периодичностью, хранить этот кеш в памяти терминала?
Хорошая идея! Но как всегда есть трудность — информация о карте — информация приватная. В РФ — ее по закону обработать можно только с согласия субъекта. Но если отбросить этот факт, кто сказал, что платежная система или банк отдадут эту информацию? И наконец третий момент — чтобы хранить, а тем более обновлять информацию обо ВСЕХ картах — потребуются гигабайты памяти, и что важнее — время обработки одной транзакции вырастет до неприличных значений.
Я понимаю, что сумма рисков невелика, но уязвимость настолько проста в эксплуатации, что воспользоваться могут всеКак минимум раз в день (если брать срок внесения в черный список за день, а возможно и чаще) будет необходимо переподключать карту к Apple/Samsung/Google Pay. Не факт, что это не повлечёт за собой включение каких-нибудь анти-фрод триггеров у банка-эмитента.
Да и как вы сами сказали, сумма рисков невелика (к примеру, в нашем городе это 20 рублей). И очевидно, что этим будет заниматься ничтожно малое количество людей (от общего числа поездок). Так что «уязвимость» вряд ли представляет собой какую-то реальную проблему для перевозчика.
Тем не менее, она есть и это нехорошо. Уязвимость не является критичной, да. Одной из следующих у меня будет статья об уязвимости, найденой мной в некоторых прошивках кардиостимуляторов Medtronic. Там инструкции по воспроизведению по понятным причинам не выложу, но так же собираюсь обратить внимание производителя и сообщества.
Ну в магазине тоже куча «уязвимостей» есть. Колбасу в карман можно засунуть и выйти, не заплатив.
К слову сказать, я сам уже пользовался этой «уязвимостью» — но исключительно из-за того, что не нашёл иного способа вывести карту из блэк-листа после того, как не прошла оплата за одну из поездок (номера-то карты нет, какую карту выводить). Сейчас вроде бы варианты в таком случае придумали.
К слову сказать, я сам уже пользовался этой «уязвимостью» — но исключительно из-за того, что не нашёл иного способа вывести карту из блэк-листа после того, как не прошла оплата за одну из поездок (номера-то карты нет, какую карту выводить). Сейчас вроде бы варианты в таком случае придумали.
В магазине есть антифрод-система модели «Охранник». А в общественном транспорте такой нет. Как я и сказал — пост носит информационно-познавательный характер и является отражением моего личного мнения касательно этого вопроса. Антифрод банка? Да, возможно. Только совершенно на халяву можно создать анонимный Яндекс кошелёк, и юзать Apple/Google Pay.
В ОТ она тоже может быть — контролёр называется.
И если у него есть сомнения валидности проездного — человек высаживается и начинается проверка в спокойном режиме, где можно и на сервер сходить, и хэш посчитать, и прочие проверки подлинности провести.
Это так работает в некоторых из лучших систем траспорта.
Вполне верно. Но в данном сценарии у человека на руках остаётся билет. И если его снять с транспорта и он куда-либо опоздает, а билет ещё и валидным окажется — вот тогда уже перевозчик отхватить рискует.
расскажите, а как вы себе представляете процесс высаживания пассажира? применение физической силы?
Зааметил, что люди любят считать чужие потери ничтожными, но если речь касается конкретно них — то из-за копейки готовы удавиться.
Даже если 0,1 процент будет регулярно пользоваться такой уязвимостью, то в городе-миллионнике это может обернуться потерями в 10 и более миллионнов в год. Уже как-то не ничтожно мало, да?
Откуда брать возмещение этих потерь? Не понятно. Как обычно делают? Повышают тариф, чтобы покрыть потери. В итоге, за технологические недостатки заплатят пассажиры из своего кармана. И уже как-то платить 25 руб., а не 20 из своего кармана как-то не каждому захочется. Пусть это и «невеликая сумма рисков», но в месяц на 220 руб. набегает, а за год и все 2500+.
Даже если 0,1 процент будет регулярно пользоваться такой уязвимостью, то в городе-миллионнике это может обернуться потерями в 10 и более миллионнов в год. Уже как-то не ничтожно мало, да?
Откуда брать возмещение этих потерь? Не понятно. Как обычно делают? Повышают тариф, чтобы покрыть потери. В итоге, за технологические недостатки заплатят пассажиры из своего кармана. И уже как-то платить 25 руб., а не 20 из своего кармана как-то не каждому захочется. Пусть это и «невеликая сумма рисков», но в месяц на 220 руб. набегает, а за год и все 2500+.
НЛО прилетело и опубликовало эту надпись здесь
Классические оффлайн-транзакции, те что описаны в стандарте EMV, у нас в стране не разрешены. На транспорте работает другой алгоритм оплаты, примерно как оплата через интернет.
Во-первых в новых nfc-модулях добавляется оригинальный PAN карты. Дело только за распространением этих модулей и софтом терминалов умеющим читать его.
Во-вторых все платежные системы предоставили сервис для экваеров для получения оригинального PAN-а на этапе авторизации. Как только для экваера сумма убытков станет чувствительной(а риски неплатежей лежат именно на них) поддержку введут.
Есть еще и другие способы, которые могут загнать даже пустую карту в минус и дальше проблема получения денег с клиент ляжет на плечи эмитента, а у того свои способы.
Соответственно — передобавляем карту в устройство — и мы вылезли из стоп-листа не заплатив ни копейкиДа, за проезд перевозчику вы не заплатили, но заплатили вы «ресурсом» своего телефона: количество таких «передобавлений» не бесконечно (насколько я помню — около 100)
Как бороться? Оффлайн — никак. Совсем.Это временно.
Во-первых в новых nfc-модулях добавляется оригинальный PAN карты. Дело только за распространением этих модулей и софтом терминалов умеющим читать его.
Во-вторых все платежные системы предоставили сервис для экваеров для получения оригинального PAN-а на этапе авторизации. Как только для экваера сумма убытков станет чувствительной(а риски неплатежей лежат именно на них) поддержку введут.
Есть еще и другие способы, которые могут загнать даже пустую карту в минус и дальше проблема получения денег с клиент ляжет на плечи эмитента, а у того свои способы.
NFC модуль тут не причём. Это просто железка, исполняющая команды. Количество «передобавлений» определяется ресурсом Secure Element (если есть) и находится в районе 1000000 раз перезаписи или флеш-памятью устройства (при использовании Android Host-based Card Emulation, например).
Где можно прочитать про запрет оффлайн-транзакций?
Получается все преимущества токенизации открутили назад?
Получается все преимущества токенизации открутили назад?
Где можно прочитать про запрет оффлайн-транзакций?
Да нигде особо не прочитать, все это живет на уровне платежных систем. Не любят банкиры оффлайн, и в итоге внедрение оффлайнового кошелька описанного в стандарте EMV так и осталось на бумаге.
Получается все преимущества токенизации открутили назад?Не, я неправильно выразился, пишется не PAN карты, а так называемый PAR, который будет единый для всех токенов одной карты.
в подавляющем большинстве случаев риски перекладываются на перевозчиков — это удобно, они не разбираются, но испытывают пиетет перед технологиями.
Нет, это не так. Перевозчик и так не хочет брать терминал, т.к. приходится отдавать часть заработка в виде комиссии. А если ему еще поппытаются убытки повесить, то он предложит засунуть терминал в другие места.
Риски принимает на себя экваер.
А по поводу пиетета — вы сталкивались вообще с перевозчиками? Мы с ними больше десятка лет работаем. Пиетет там никто не испытывает, зато деньги считать умеют.
Риски принимает на себя экваер.
А по поводу пиетета — вы сталкивались вообще с перевозчиками? Мы с ними больше десятка лет работаем. Пиетет там никто не испытывает, зато деньги считать умеют.
Да, более 15 лет и участие в половине подобных проектов в России. Приведите пример проекта, где риски эквайрер берет на себя. Или только слышали звон?
В подавляющем количестве проектов все риски на перевозчике, либо заложены в комиссию, что, по сути, тоже означает риск на перевозчике.
Допускаю, что в некоторых небольших проектах может быть по-другому. Но там, например, оператор берет с перевозчика в другом месте («за обслуживание»), что только еще раз подтверждает тезис — за все платит перевозчик, и, в конечном итоге, пассажир. Все недостатки притянутых за уши технологий оплачивает потребитель. И так везде. Или для вас это новость? А банкиры они такие альтруисты, на себя риски берут? Не смешно даже.
В подавляющем количестве проектов все риски на перевозчике, либо заложены в комиссию, что, по сути, тоже означает риск на перевозчике.
Допускаю, что в некоторых небольших проектах может быть по-другому. Но там, например, оператор берет с перевозчика в другом месте («за обслуживание»), что только еще раз подтверждает тезис — за все платит перевозчик, и, в конечном итоге, пассажир. Все недостатки притянутых за уши технологий оплачивает потребитель. И так везде. Или для вас это новость? А банкиры они такие альтруисты, на себя риски берут? Не смешно даже.
Во время привязки Google pay списывает с карты кажется 1$, потом зачисляет обратно. Это значит, что в такие моменты карта должна быть активной и иметь положительный баланс. При наличии задолженности по оплате проезда вы попадаете на технический овердрафт в счёт которого будут списываться деньги сразу как только появятся на карте. Разве не так?
Объясните, пожалуйста, технический момент. После "оплаты" пустой картой с телефона в момент синхронизации терминал пытается осуществить оплату в банке. Получает отказ. Что в этот момент происходит в банке? Разве не существует способа уже внутри банка повесить долг на привязанную карту? Оспорить и отменить эту транзакцию моржно с таким же "успехом", как если бы она была совершена онлайн, т.е. откатить нереально, все идентификации есть.
Далее жулик передобавляет карту, ехать он может, но в банке долг по карте продолжает расти. Проблема со стороны транспортной компании переселяется на отношения банк-клиент. Через некоторое время желание жульничать пропадет совсем.
Где в системе по цепочке "предъявление токена — банк" теряется информация о банковском счете?
Там же, где начинается политика конфиденциальности платежной системы. А ну как VISA и MasterCard каждому перевозчику и банку начнёт выдавать историю номеров карт и токенов. Доступ к этой информации имеет только Центробанк и то, очень избирательно. Если токен был аннулирован прежде, чем началась синхронизация, то платежная система вернёт ошибку «PAN некорректен». А чтобы был смысл подключить Центробанк — ущерб должен будет стать ну очень огромным.
А где написано, что платёжные системы передают в ЦБ номера карт и токенов?
Они и не передают. ЦБ имеет полномочия запросить информацию — а дать или не дать — это решает сама платежная система, причём ЦБ вполне могут и отказать. Отчасти поэтому у нас правительство активно форсирует «Мир».
Не совсем понятно зачем так действовать. Если речь о секретном расследовании, то может это и имеет смысл, но кому может быть нужна информация о связке в большинстве случаев? Вероятно следствию. Если есть уголовное дело, то следователь и так может получить всё законно непосредственно у участников и ЦБ ему не нужно.
Опять же НСПК процессит вообще все карты внутри страны поэтому «Мир» в данном вопросе не выделяется.
Опять же НСПК процессит вообще все карты внутри страны поэтому «Мир» в данном вопросе не выделяется.
Таким образом мы ушли в сторону от «есть уязвимость и ее можно использовать» до «хакерствовать в противозаконных целях — плохо». В самом начале статьи жирным шрифтом написано, что за это карают. Несмотря на то, что заходить в чужую квартиру и воровать из неё деньги — противозаконно, дырку в стене все же лучше заделать.
Это не дырка, а дверь. Из неё иногда дует поэтому мы используем уплотнители (лимиты на операции), но продолжаем ей пользоваться вместо того чтобы заложить проход кирпичём.
Кроме того даже если лично вы хотите заложить этот проход вы не сможете. Сейчас наверно все карты идут бесконтактные. Вряд ли есть банки у которых NFC можно отключить или изменить стандартный лимит. Получается или физически портить карту, или носить в изолирующем кармашке.
Сделать максимум операций онлайн это правильно, но «проблему» оффлайн транзакций никак не исправит т.к. у неё нет решения. Воровство таким способом всегда было. И до NFC тоже было. Пару лет назад некий гражданин летел в нашей стране на самолёте и в полёте отоварился на несколько тысяч евро по пустой карте. Посадили через некоторое время.
P.S. Зачем в этом всём ЦБ и его возможность запросить информацию непонятно.
Кроме того даже если лично вы хотите заложить этот проход вы не сможете. Сейчас наверно все карты идут бесконтактные. Вряд ли есть банки у которых NFC можно отключить или изменить стандартный лимит. Получается или физически портить карту, или носить в изолирующем кармашке.
Сделать максимум операций онлайн это правильно, но «проблему» оффлайн транзакций никак не исправит т.к. у неё нет решения. Воровство таким способом всегда было. И до NFC тоже было. Пару лет назад некий гражданин летел в нашей стране на самолёте и в полёте отоварился на несколько тысяч евро по пустой карте. Посадили через некоторое время.
P.S. Зачем в этом всём ЦБ и его возможность запросить информацию непонятно.
Не надо транспортной компании передавать данные клиента. Это она передает банку подтвержденную клиентом операцию. Банк отдает деньги перевозчику. И дальше забота банка взыскать деньги с клиента, ибо вся информация у него есть. Почему это не работает?
потому что есть банк эквайрер и банк-эмитент — и, зачастую, это разные банки.
Эквайер ведь тоже не в курсе о балансе карты как и о личности владельца. Запрос далее, эмитенту. Сумма и категория платежа должны допускать вывести карту в технический овердрафт, но провести платеж. Проблему надо довести до эмитента, все остальные в цепочке не должны страдать. А уже эмитент лично знакомый с зайцем имеет на него рычаги воздействия.
Все верно. Так и должно быть, но сейчас это так не работает.
А как оно работает?
У меня был случай проезда по карте без средств (даже две поездки подряд). Терминал выдал чек, но сообщения о списании так и не поступило (обычно-то такое сообщение приходило не позже вечера, а чаще всего в пределах минут 10-15). Что на карте кончились деньги, я обнаружил в тот же день при попытке расплатиться в магазине.
В личном кабинете в истории транзакций списания за проезд также не появилось ни в тот же день, ни после пополнения карты на следующий день, ни через несколько дней. Ездить по этой карте я при этом продолжал.
Но наконец, баланс всё же уменьшился на соответствующую сумму — ровно через месяц после факта проезда.
У меня был случай проезда по карте без средств (даже две поездки подряд). Терминал выдал чек, но сообщения о списании так и не поступило (обычно-то такое сообщение приходило не позже вечера, а чаще всего в пределах минут 10-15). Что на карте кончились деньги, я обнаружил в тот же день при попытке расплатиться в магазине.
В личном кабинете в истории транзакций списания за проезд также не появилось ни в тот же день, ни после пополнения карты на следующий день, ни через несколько дней. Ездить по этой карте я при этом продолжал.
Но наконец, баланс всё же уменьшился на соответствующую сумму — ровно через месяц после факта проезда.
Сама транзакция никуда не потеряется. Она придёт на счёт к которому привязана карта. Даже если счёт закрыт и клиент удалился из банка это всё равно не означает невозможность предъявить претензии. Но получать деньги придётся через суд, а это долго и дорого. Кроме того, если в процессе выяснится якобы это не клиент совершил операцию (не знаю как он сможет это доказать), то банк эмитент может и не заплатить возмещение. Вот этой ситуации и боятся.
Чем отложенная оффлайн операция (которая совершится, как только появятся деньги на карте через пару дней) отличается от онлайн операции, где деньги снимаются сразу? Именно в разрезе возмущения клиента оспаривающего операцию. Который через день после снятия (онлайн или оффлайн) заявляет, что это не он катался в трамвае.
Она отличается тем, что может придти с большой задержкой. Кроме того вроде как бесконтактный транзакции на подлимитные суммы не получится опротестовать в рамках обычной процедуры. Если банк не будет добр придётся судиться.
И деньги не снимаются сразу. Сразу они только блокируются.
Любые принятые банком эмитентом операции сразу совершаются. Если на счёте нет денег — технический овердрафт. При этом экваер не зависит от наличия денег на счёте в такой ситуации (при соблюдении лимитов переносящих ответственность на эмитента) т.к. своё он получит от платёжной системы которая сама разберётся с эмитентом.
В моём комментарии часть про «банк эмитент может и не заплатить возмещение» касается транзакций по которым ответственность на экваере (допустим продали что-то на большую сумму, а пина не взяли и по правилам платёжной системы сами в ответе за эту сумму).
И деньги не снимаются сразу. Сразу они только блокируются.
Любые принятые банком эмитентом операции сразу совершаются. Если на счёте нет денег — технический овердрафт. При этом экваер не зависит от наличия денег на счёте в такой ситуации (при соблюдении лимитов переносящих ответственность на эмитента) т.к. своё он получит от платёжной системы которая сама разберётся с эмитентом.
В моём комментарии часть про «банк эмитент может и не заплатить возмещение» касается транзакций по которым ответственность на экваере (допустим продали что-то на большую сумму, а пина не взяли и по правилам платёжной системы сами в ответе за эту сумму).
Мне как простому обывателю кажется, что два действия сдвинут ситуацию с места. Первое — ввести определенную категорию платежей (лимит суммы и категория оплаты), на которую распространяются исключительные условия. Второе — перевести проблему неоплаты с транспортной компании на сторону банка. И это второе более действенное. Тогда сразу появятся механизмы выявления подобных злоупотреблений и способы борьбы с ними.
На текущий момент, таких механизмов достоверно нет. И я верю что это пока. Но сейчас, проблема существует.
Так у транспортных организаций и нет проблем с бесконтактными платёжными картами. Кто-то читал их просьбы о помощи? Им всё платится. Проблемы, при малых суммах операций укладывающихся в лимит без проверки пин, могли бы быть у эмитентов. Но они тоже не в убытках т.к. конечный клиент по факту лишён возможности удобно опротестовать мошенническую операцию.
Финансовый смысл ставить онлайн терминалы мне не очень понятен т.к. потерь ни у кого нет, а финальный пострадавший этим организациям не очень интересен.
Другое дело если фрода станет много. Владельцы карт начнут уходить или много судиться. Тогда убытки эмитентов вырастут и они начнут задавать неприятные вопросы платёжной системе. Та будет крутить гайки для эквайеров. Которые в свою очередь будут выдумывать новые терминалы и отказываться от проблемных точек.
Самое главное, что вы упускаете, подобное мошенничество не имеет экономического смысла. Объёмно украсть можно только через легальный терминал который зарегистрирован на конкретных людей. К ним придут с вопросами. Красть поездки со своей личной карты тоже удел узкого круга любителей. Где здесь возможность украсть хотя бы на поддержание жизни в течение месяца?
Финансовый смысл ставить онлайн терминалы мне не очень понятен т.к. потерь ни у кого нет, а финальный пострадавший этим организациям не очень интересен.
Другое дело если фрода станет много. Владельцы карт начнут уходить или много судиться. Тогда убытки эмитентов вырастут и они начнут задавать неприятные вопросы платёжной системе. Та будет крутить гайки для эквайеров. Которые в свою очередь будут выдумывать новые терминалы и отказываться от проблемных точек.
Самое главное, что вы упускаете, подобное мошенничество не имеет экономического смысла. Объёмно украсть можно только через легальный терминал который зарегистрирован на конкретных людей. К ним придут с вопросами. Красть поездки со своей личной карты тоже удел узкого круга любителей. Где здесь возможность украсть хотя бы на поддержание жизни в течение месяца?
Вполне с вами соглашусь.
Мы немного отклонились от первоначальной проблемы. Она заключалась в "обнулении" проездного токена, что давало возможность условно-неограниченно ездить бесплатно одному человеку.
Полагаю борьбу с «обнулением» токенов должен вести банк эмитент путём блокировки основной карты при поступлении какого-то количества оффлайн операций по пустому счёту или если операции опротестовал клиент.
Мне представляется проблемы от мошеннических операций меньших лимита по авторизации скорее у держателя карты.
Мне представляется проблемы от мошеннических операций меньших лимита по авторизации скорее у держателя карты.
а откуда у вас информация, что у транспортных организаций нет проблем? только потому, что Вы об этом не слышали?
Проблемы есть и они серьезные.
Проблемы есть и они серьезные.
Не понял, почему это проблема.
Ситуация же ничем не отличается от ситуации в тех местах, где банковские карты традиционно именно кредитные и оплата происходит в долг? Человек как-то потратил те деньги, которых у него нет, продавец свои деньги получил. А потом уже банк, когда до него все платежки дойдут, разбирается с тем, чтобы все долги взять.
Много лет так живут, все системы на подобное заточены, так что не вижу проблемы.
Проблема не в «уязвимости токенов» как кто-то тут выразился. Проблема в том, что можно выпускать множество виртуальных карт, не имеющих изначально средств на них. И можно бесплатно ездить. А если карта поставлена в стоп-лист — выпустить новую.
Также есть проблема, что сейчас на карте средств нет, а услуга оказана (пассажир уже проехал). И когда на карте появятся деньги — не известно и не понятно. Это пярмые риски и убытки перевозчиков.
На самом деле, вся беда в том, что пытаются скрестить «ужа с ежом».
Оплата банковскими картами в транспорте подается как нечто инновационное, замена оплаты наличными деньгами, как новый массовый продукт.
А на самом деле, инновационность должна быть в том, чтобы сводить к минимуму сам процесс оплаты в транспорте. пассажир уже должен заходить в транспорт с электронным билетом, который был приобретен заранее по той же самой банковской карте, но в онлайне.
И тогда риски будут сведены к минимуму. А оплта банковской картой в транспорте — это нишевый прордукт, для тех, кто ездит редко — тому нет смысла покупать электронный билет, но разовая поездка должна быть дороже, а риски перекладываются уже на пассажира — хочешь платить здесь и сейчас — плати дороже.
А для часто ездящих пассажиров — долгосрочный билет, проибретенный заранее, за который еще и скидка предоставляется, и по которому рисков неплатежа нет (покупка в онлайне проиводится).
А у нас, как обычно, мнимая цифровизация: взяли и дали кондуктору pos-терминал. раньше платил наличкой, покупая разовые поездки, теперь банковской картой.
Принципиально ничего не поменялось, выгоды для перевозчика нет, зато есть реальные затраты (на эквайринг) и реальные риски неплатежей.
В итоге, как написал выше, за такую мнимую цифровизацию платит пассажир — так как в конечном итоге все риски выливаются в повышение тарифа.
Также есть проблема, что сейчас на карте средств нет, а услуга оказана (пассажир уже проехал). И когда на карте появятся деньги — не известно и не понятно. Это пярмые риски и убытки перевозчиков.
На самом деле, вся беда в том, что пытаются скрестить «ужа с ежом».
Оплата банковскими картами в транспорте подается как нечто инновационное, замена оплаты наличными деньгами, как новый массовый продукт.
А на самом деле, инновационность должна быть в том, чтобы сводить к минимуму сам процесс оплаты в транспорте. пассажир уже должен заходить в транспорт с электронным билетом, который был приобретен заранее по той же самой банковской карте, но в онлайне.
И тогда риски будут сведены к минимуму. А оплта банковской картой в транспорте — это нишевый прордукт, для тех, кто ездит редко — тому нет смысла покупать электронный билет, но разовая поездка должна быть дороже, а риски перекладываются уже на пассажира — хочешь платить здесь и сейчас — плати дороже.
А для часто ездящих пассажиров — долгосрочный билет, проибретенный заранее, за который еще и скидка предоставляется, и по которому рисков неплатежа нет (покупка в онлайне проиводится).
А у нас, как обычно, мнимая цифровизация: взяли и дали кондуктору pos-терминал. раньше платил наличкой, покупая разовые поездки, теперь банковской картой.
Принципиально ничего не поменялось, выгоды для перевозчика нет, зато есть реальные затраты (на эквайринг) и реальные риски неплатежей.
В итоге, как написал выше, за такую мнимую цифровизацию платит пассажир — так как в конечном итоге все риски выливаются в повышение тарифа.
Существуют ли более-менее доступные устройства, способные прикидываться картами и выполнять EMV, подставляя произвольный валидный номер? Или такое и мобильники могут по NFC?
Тогда берём подобную штуку, глушилку мобильного интернета — и катаемся, сколько пожелаем.
Тогда берём подобную штуку, глушилку мобильного интернета — и катаемся, сколько пожелаем.
Правильный вопрос. Таки да, существуют. Мобильники могут, а из аппаратных эмуляторов, например ChameleonMini.
Платёжная система не подписывает ключи банков? Прям можно вот так просто реализовать протокол и терминал не проверит валидный у карты сертификат?
Как он его проверит? Надо связаться с эквайером, чтобы тот связался с эмитентом чтобы тот подтвердил или опроверг валидность сертификата. В локальный доступ приватный ключ для проверки никто не даст — это раз. Банков-эмитентов кучи, сертификатов для различных типов карт — ещё больше, вы предлагаете это бедному аппаратику все это проверять? А если ключ сменился? А если политика банка поменялась? Банки не будут подстраиваться по перевозчиков, это головняк перевозчиков. Нужна проверка подлинности? Добро пожаловать в онлайн.
Платёжная система не подписывает цепочку доверия сертификата?
Отчего же. Подписывает. Только карта ключ самой платёжной системы не отдаст без шифрованного запроса эмитента — такое возможно только в онлайне. Для вашего же понимания скажу прямо — я работал над этим вопросом и поставив в известность компанию-подрядчика, внедрившую это в Красноярске, проверил экспериментально. Эмуляторы тоже работают. Если мои слова вас не убеждают — могу завтра скинуть в ЛС справочник по внедрению EMV. Там подробно описаны тонкости и ограничения.
Вы уверены, что разбираетесь в том, как работают банковские карты? Вы криптограмму как собрались на эмуляторе формировать? Любой pos-терминал имеет сертификаты ПС для проверки криптограммы
Я уверен что разбираюсь в том, как работает система оплаты проезда. Работоспособность эмулятора EMV с произвольным номером проверена экспериментально. И оно — работает. А еще я уверен что я читал документацию API для конкретных POS-терминалов. И я просто описал ограничения, описанные этой документацией. Я не зря сказал, что если нужна проверка подлинности — то только в онлайне.
Вы говорите о какой-то системе, сделанной на коленке и неправильно. Как написал ниже, таких разработчиков надо гнать взашей. Если они не проводят аутентификацию карты — это значит, что они нарушили кучу требований. Но мне что-то подсказывает, что кто-то фантазирует. Или кто-то с нарушениями проводит CNP транзакции.
А кто разработчик системы в Красноярске? К ним появились вопросы.
А кто разработчик системы в Красноярске? К ним появились вопросы.
А можно чуть подробнее раскрыть тему эмуляции EMV, или по эмуляцией здесь имеется в виду выпуск токенизированной сущности через Apple/Google Pay?
Какие выводы? А выводы простые.
Полный Off-Line. Деньги списываются и стоп-листы качаются каждую смену. Нет денег на карте — больше не проедешь, пока не оплатишь. Риски — минимальные (вот прям так и вижу объявления гадких хакеров о продаже банковских карт с нулевыми остатками на одну поездку).
Я это решение (от Сбера) два года назад тестировал. Вещь!
Полный Off-Line. Деньги списываются и стоп-листы качаются каждую смену. Нет денег на карте — больше не проедешь, пока не оплатишь. Риски — минимальные (вот прям так и вижу объявления гадких хакеров о продаже банковских карт с нулевыми остатками на одну поездку).
Я это решение (от Сбера) два года назад тестировал. Вещь!
Вы статью читали? В ней же говорится, что эти стоп-листы без проблем обходятся токенами, создаваемыми GPay/APay
Не совсем. Человек толкует про систему Сбербанка, которая раз в сутки будет блэклистить все известные токены у карт с непрошедшей оффлайн транзакцией. Это не поможет если токен был создан за 5 минут до транзакции, но все же. Система работает не везде, и не спасёт от эмуляторов/левых карт/анонимных кошельков.
эмуляции «левых» карт не существует. Или поделитесь, как сэмулировать несуществующую, а «выпущенную» хакером псевдобанковскую карту. Есть relay атака или если утекли приватные ключи. Без этого никак.
То что называется «эмуляцией», на самом деле подсовываение левого PAN терминалу. Для тех, кто в танке — терминалы в ОТ не проверяют сертификаты. Никак. Совсем не проверяют. Почему они этого не делают, вопрос другой. В текущей конфигурации — проверка возможна только онлайн. Это можно отдельной статьей описать — но смысла нет, по этому вопросу несколькими бронепоездами проехались в комментах.
Вероятно, Вам самим нужно вылезти из танка. Если в Вашей системе Вы ничего не проверяете — это основание для инициирования проверки на соответствие требованиям ПС.
Судя по вашему профилю, я занимаюсь платежными системами почти столько же, сколько Вам лет.
Поэтому рекомендую изучить, что такое аутентификация карты и что такое авторизация.
Кстати, на хабре много статей писали на эту тему.
А то по вашей логике, я могу взять, в любую Java карту запихнуть в EF pan в нужном формате и по ней проехать? Смешно.
Надеюсь, как изучите вопрос, Вам хватит мужества извиниться.
Всем остальным объясняю: на любой банковской карте реализован алогоритм ассиметричного шифрования (на самом деле, там сложнее, существуют разные комбинации).
При взаимодействии с терминалом карта выдает криптограмму, которую можно проверить сертификатом ПС, вернее проверить сертификат открытого ключа, который записан на саму же карту эмитентом. Это называется аутентификация карты.
Если бы все так было просто, то в оффлайне бы все левыми картами расплачивались (написав простейший java апплет с левым номером банковской карты). Не надо слишком уж плохо думать о ПС.
А вот далее, после аутентификации идет авторизация. И на транспорте она отложенная — вначале проехал, потом списание. И из-за этого и проблемы. (услугу оказали, а потом выяснилось, что на карте нет денег — кого искать потом перевозчику? эквайрер о держателе тоже ничего не знает) А если делать в онлайне — это долго (для транспорта, особенно в часы «пик»).
Поэтому все известные случаи эмуляции «левых» банковских карт — это либо уязвимости в алгоритмах аутентификации, либо relay атака (танкисты про нее не знают), либо утечка приватных ключей.
PS Еще раз — если терминал никак не аутентифицирует банковскую карту — значит это левый терминал, а не левая карта, сам он и/или его ПО не соответствует требованиям ПС и таких разработчиков надо гнать в шею.
Судя по вашему профилю, я занимаюсь платежными системами почти столько же, сколько Вам лет.
Поэтому рекомендую изучить, что такое аутентификация карты и что такое авторизация.
Кстати, на хабре много статей писали на эту тему.
А то по вашей логике, я могу взять, в любую Java карту запихнуть в EF pan в нужном формате и по ней проехать? Смешно.
Надеюсь, как изучите вопрос, Вам хватит мужества извиниться.
Всем остальным объясняю: на любой банковской карте реализован алогоритм ассиметричного шифрования (на самом деле, там сложнее, существуют разные комбинации).
При взаимодействии с терминалом карта выдает криптограмму, которую можно проверить сертификатом ПС, вернее проверить сертификат открытого ключа, который записан на саму же карту эмитентом. Это называется аутентификация карты.
Если бы все так было просто, то в оффлайне бы все левыми картами расплачивались (написав простейший java апплет с левым номером банковской карты). Не надо слишком уж плохо думать о ПС.
А вот далее, после аутентификации идет авторизация. И на транспорте она отложенная — вначале проехал, потом списание. И из-за этого и проблемы. (услугу оказали, а потом выяснилось, что на карте нет денег — кого искать потом перевозчику? эквайрер о держателе тоже ничего не знает) А если делать в онлайне — это долго (для транспорта, особенно в часы «пик»).
Поэтому все известные случаи эмуляции «левых» банковских карт — это либо уязвимости в алгоритмах аутентификации, либо relay атака (танкисты про нее не знают), либо утечка приватных ключей.
PS Еще раз — если терминал никак не аутентифицирует банковскую карту — значит это левый терминал, а не левая карта, сам он и/или его ПО не соответствует требованиям ПС и таких разработчиков надо гнать в шею.
Охотно приношу свои извинения, и признаю, что я не знаю всех тонкостей. Я описал, только то что видел и испытывал. Разработчиков гнать надо — это точно. Но самолично с этим ничего сделать не могу — увы. Компания в итоге сказала что «потери незначительны». А если вы мне дадите литературу, где можно изучить сам процесс аутентификации — буду премного благодарен.
чтобы не засорять ветку, напишите в ЛС, пришлите инфу на API пос-терминала, на который вы ссылались выше, и как вам удалось сэмулировать банковскую карту, т. к. chameleon (на который вы ссылаетесь), насколько помню, банковские карты эмулировать не умеет (могу ошибаться).
Я в ответ пришлю инфу по аутентификации банковских карт
Я в ответ пришлю инфу по аутентификации банковских карт
Я писал выше — виртуальную карту выпустить дело 1 минуты. И катайся. Да, потом обновится стоп-лист, но злоумышленник уже выпустит другую, которой в стоп-листе не будет.
Про эту "уязвимость" писали сразу после того, как появился Эппл Пэй и стало возможно с помощью него оплачивать проезд. Раз до сих пор ничего не поменялось, значит, ущерб незначительный.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Оффлайн транзакции в общественном транспорте — безопасность и антифрод