Как стать автором
Обновить

Сенсорный пин-пад и как он работает

Уровень сложностиПростой
Время на прочтение9 мин
Количество просмотров12K
Всего голосов 53: ↑53 и ↓0+77
Комментарии48

Комментарии 48

Весьма забавная железка. Защита этой штуки сложна тем, что теперь разбросана по разным местам. Даже если она стала и мене надёжной, но отыскать её стало сложнее. На счёт перепаять проц - это логичный вариант, но тоже не будет работать. Так как второй софт не найдёт подписей. Короче говоря, история сложная.

Там ещё вполне возможно, что если перепаять весь модуль целиком (вместе с процессором и ПЗУ), то контроллер пин-пада будет перезагружать его по таймауту, не получая ответа от того софта.

НЛО прилетело и опубликовало эту надпись здесь

Ну там уже в приложении самого банка это реализовано, а не на уровне железа.

"Но всё меняется, и вот уже обычные терминалы во многих магазинах навсегда ушли в историю."

И это печально, использование тачевых терминалов ничего кроме раздражения не вызывает. Ровно тот же эффект, что и в авто которые все на тачах, ярко, модно, молодежно, но пользоваться невероятно не удобно и не безопасно.

Зато... экранная клавиатура для ввода PIN может каждый раз случайный порядок клавиш показывать. Чтобы злоумышленник не подглядел. Лет 10 назад мне интернет-банк при входе так делал.

С одной стороны - круто, с другой - когда у тебя пин-код "в пальцах" оплата резко замедляется. Удобство vs безопасность, классика)

Видел такое в каком-то приложении для приёма платежей просто при помощи обычного телефона с NFC. Как там с безопасностью - увы, неведомо...

Ага особенно когда нет козырька и закрывай рукой не закрывай видео пишется с любого ракурса.

А ведь когда аж вон какие делали...

На мой взгляд все эти козырьки своего рода театр безопасности. Если снять сверху на камеру, то все отлично видно. Номер карты к стати тоже можно снять камерой.

В порядке эксперимента: если в кассовой зоне поставить камеру (место и объект для установки подобрать экспериментально), то сколько привыкших задумчиво вертеть карту в руках в ожидании очереди скомпрометируют её данные?

Вроде и знаю, что маловероятно, но CVC от такого подглядывания закрыл (в чехол с картой бумажку всунул)...

В России это дело активно продавливалось лет 10 назад. Когда карту преимущественно отдавали кассиру для оплаты, мелкая местная торговая сеть заставляла кассира катать дамп магнитной полосы в базу магазина через отдельный считыватель. Очень крупная сеть с импортным названием сканировала/копировала внешность карты без закрытия цифр (и дополнительно паспорт жертвы при покупках свыше 1000 рублей). И на фоне такой наглости видел пару магазинчиков, где терминалы уже развернули к людям, нацелили на терминалы отдельные камеры, а кассиров обучили требовать не прикрывать ПИН при вводе (терминал от рук зависает, мол). Уверен, что это лишь малая часть такого своеобразного сбора информации попала мне на глаза.

Сейчас же вижу тотальное отсутствие интереса работников торговли к данным карт. Предположительно полукриминальные бизнес-модели из этого сегмента сгнили вместе с оплатой телефонами, а далее мошенники как-то забыли про этот путь, ибо «работают» в более прибыльных сферах.

Исчезновение международных карт тому же поспособствовало: дампы невозможно продать в третьи страны, потому и «трудиться» над ними менее выгодно.

В рамках же самообороны от остаточных рисков может помочь «стикер» с отмытой липучкой вместо классической карты, на попавшихся мне даже PAN пропечатан лишь кусочно, подглядывать там нечего.

P. S. Исключительно наблюдения и частное мнение.

Кстати это удивило. Сейчас на банкоматах (конкретно у Альфы, но не только) эти козырьки почему-то пропали, пин-пад у всех на виду. Интересно, почему так.

Моя теория - после того как государство стало финансировать кражи мошенников (через банкротство физ-лиц, банк с гарантией получит выплаты по кредиту, который мошенник болтовней выторгует с бабуськи или откроет из банковского приложения, украв симкарту), банкам не выгодно защищать людей от них.

Банк прекрасно видит и понимает, что пожилой человек берет неадекватный ее возможностям кредит (платежи выше пенсии например), но выдает такие кредиты без проволочек, моментально (собираю устно информацию от знакомых и 'мимопроходящих' о случаях с мошенниками, везде одна картина - банки все дают сразу, легко и пол миллиона, и десять,.. когда как в обычной ситуации могут заблокировать счет или отправить на несколько суток ожидания, просто при попытке снять сотню тысяч в банкомате, реальные случаи)

банк с гарантией получит выплаты по кредиту, который мошенник болтовней выторгует...

Это как? Наоборот же вышли законы которые говорят, что если банк пропустил мошеннический кредит, то сам его себе и выплачивает. Вот они и зашевелились.

Вроде писали что Альфа, тинек и сбер договорились друг с другом какой то инфой обмениваться чтобы быстро блокировать подозрительные переводы. Раньше было так, что если деньги ушли в другой банк, то всё - пиши пропало.

Когда это случилось? вот в конце лета мне жаловался один, его пожилую мать мошенники уломали (цитата - как зомбированная была, до конца не понимает что сделала) взять кредиты (почтобанк выдал с максимальным процентом с платежом выше чем в принципе ее пенсия) и перевести мошенникам... и все, ни денег, ни помощи, ни защиты.. мало того судя по разговорам их банк уламывал погасить кредит вместо оформления банкротства (верх глупости в данной ситуации)

Там всего два варианта — как на нампэде компьютерной клавиатуры (или на калькуляторе) или как на номеронабирателе телефона. Все остально будет лютейшей дичью, пользователю надо будет искать эти кнопки, ибо они будут не по порядку. А дальше — ошибки ввода. Кто догадался это реализовать???

Атака с определением нажатых точек экрана по тряске телефона существует уже давно. Или по съемке движений рук издалека. Рандомизация кнопок на экране от этого защищает - злоумышленник может узнать, в каких местах вы тыкали экран, но не узнает какие именно цифры там в этот момент были. Используется как мера безопасности много лет в тех сферах, где это считают важным.

Уже не помню, когда последний раз пин-код вводил на терминале при оплате, при бесконтактной оплате телефоном он не нужен, советую.

Больше какой-то суммы бесконтактная оплата не перезапрашивает пинкод разве?

При оплате картой запрашивает, при оплате смартфоном - нет

Вот этого в карте мне не хватает, возразить нечего.

Телефоном не плачу, не удобно, иногда очень медленно и бывает в нужный момент не доступно, уже года 3 как вернулся на старые добрые карты )

иногда очень медленно и бывает в нужный момент не доступно

Когда стоишь в очереди, а перед тобой кто-то достаёт телефон, обязательно с оплатой QR-кодом, потом у него полминуты открывается приложение банка, в магазине непременно связь не ловит...

однако многие даже не догадываются, что работает эта коробочка на ножке на самом обычном Android

Я это понял, когда каким-то образом смог андройдовскую шторку спустить, пока карту прикладывал) Кассир в шоке была)

Я однажды видел, как это приложение просто вылетело и открылся рабочий стол.

Я так как-то с банкоматом в Т.Ц. поигрался. «Сапера» с «Косынкой» не нашел. :-( Пришлость звонить в колл-центр и ругаться на неработающий банкомат. А колл-центр предложил мне зайти за банкомат, найти, в какую розетку он включен, выдернуть питание, подождать, потом снова вставить...

Шаловливые ручки однако))

Я на таком квадратном терминале однажды видел андроидные системные панели. Нажал кнопку переключения между приложениями из любопытства, она сработала, кассир на меня очень пронзительно и неодобрительно посмотрела и вернула всё как было

Самое бесячее - там довольно дубовый тачскрин, отчего при наборе ПИНа он шатается так, как будто вот-вот опрокинется...

Эх, печалька, думал, эти штуки скоро навалом будут на Авито, разные списанные недорого, но раз на них не запустить свой софт для работы со считывателем и принтером, применить их для самоделок становится крайне тяжело..

Именно на ведроиде списанные попадаются не так часто. Kozen вообще не видел ни разу.

А вот aQsi с фоток нас теперь стоят в общественном транспорте. Само устройство — у водителя, а в салоне — от одного до четырех читалок карт со своими экранами. Не попадались такие читалки? Это сберовское поделие...

Пока что не попадались... Валидатор есть, но другой модели.

Жалко. :-( Очень хочется посмотреть их изутри, но автобусники не дают.

aQsi в нашей области только в Миассе видел.

Вот тут вставлено видео с YouTube, так что если вместо него отображается белый экран, то вы знаете, что делать.

У меня обычно черный экран. Но я тоже знаю что делать)

Мы как торговая компания, с недавних пор очень плотно работает с этими новыми терминалами. Да там обычный андроид. После перезапуска достаточно долго запускается до рабочего режима. Сначала появляется рабочий стол, а потом запускается приложение Сбера. В общем все как в обычном Андроиде с автостартом. Только тут лончер Сбера.

Что могу сказать про них. Работают, сами по себе довольно не плохо, пока работают. Но... они ОЧЕНЬ часто зависают и теряются от компьютера. Так как питание у них от USB. Причем у некоторых от самого порта компьютера, без отдельного блока. Иногда порт по нагрузке похоже отключается и терминал теряется в кассовой программе (Ошибка 99). Приходится его перезапускать. А иногда с этим висит софт от терминала. И за одно приходится перезапускать кассу. Все это приводит к большим задержкам на кассах.

Раньше были Pax S300 тоже работали от USB но были намного стабильнее. Или работающие по COM поту Verifon VX820 - эталон стабильности работы банковских терминалов.

В общем как человек плотно работающий с кассовым оборудованием почти не навижу USB из за его нестабильности. А сейчас все современное торговое оборудование перешло на него, ещё и без отдельного питания.

В общем вот. Высказался. Наболело :)

Я так понял, сбербанк начал активно их внедрять после того, как начал продвигать биометрию. До этого обходились PAX и прочими китайскими моделями.

В общем как человек плотно работающий с кассовым оборудованием почти не навижу USB из за его нестабильности. А сейчас все современное торговое оборудование перешло на него, ещё и без отдельного питания.

PoweredUSB, похоже, окончательно ушёл в историю...

У меня стоял обычный POS-терминал с внешним нумпадом от Сбера, кассир сама набирает сумму.
Сейчас наворотили: поставили хабик с питанием от USB-зарядки, туда воткнут: интернет; POS-терминал как клавиатура каcсира и чековый принтер, Kozen P12, куда прикладывают карты, телефоны, сканируют QR, улыбаются.
Соответственно добавилось проводов под прилавком. За пару месяцев пока зависло один раз с ошибкой, что POS потерял нумпад.

Помню, как везде были iPP320, VX820 и PAX SP30. Хорошие были аппараты, пришедшие на смену сенсорные не идут ни в какое сравнение. Что по дизайну, что по стабильности работы.

Почти идеальные терминалы согласен. Но пришло импортозамещение и появлись проблемы.

Скорее, биометрия. PAX были китайские и никто не мешал их дальше закупать. А вот уход в историю традиционных моделей начался как раз после прихода "оплаты улыбкой". А жаль, одно из последних мест, где кнопки долго не сдавались перед сенсорами...

Возможно что-то в том как система работает с портами. У нас используется Windows 8.1 Industry Pro и Windows 10 IoT. И на 10 лучше явно работало с USB. У нас без хабов. Но точно есть проблемы когда в сдвоенные USB-порты воткнуто что-то еще помимо терминала сбера.

А подскажите какой HUB используете. Все что вижу по отзывам не очень. Тоже жалобы на нестабильность концентраторов. Поэтому пока не покупали.

Ясно. Большое человеческое спасибо от человека, тянущего на себе сеть магазинов, и у которого от "науки о контактах USB", и недоумевающего, почему не выдумали что-то типа "промышленного соединения USB" отдельная попоболь

Хостер пишет про платежные технологии, это что-то новое)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий