Платежные системы *

«WeChat стал первым мобильным приложением, выпустившим в Индии телевизионную рекламу. Средств на это не жалели», — говорит бывший топ-менеджер WeChat India, пожелавший остаться инкогнито. Рекламные кампании проводились на телевидении, радио и в моллах. Местным кинозвездам Паринити Чопре и Варуну Дхавану предложили выгодный контракт, и они стали лицами бренда.

Приложение хорошо стартовало. «Во время рекламной кампании число подписчиков увеличилось примерно до 20-25 млн. На протяжении 45 дней WeChat держался на первой строчке в чарте Google Play», — рассказывает анонимный собеседник.

Казалось, что успешный китайский сценарий запуска WeChat повторяется и в Индии.


Однако вскоре рост популярности WeChat резко прекратился. Увеличилось количество удалений. Индийские пользователи не спешили регулярно пользоваться приложением. А в довершение всего в новостях появились сообщения о возможном правительственном запрете мессенджера. Это стало началом конца WeChat в Индии.

Команды Tencent и WeChat воздержались от комментариев на эту тему.

Почему индийцы недолго we-чатились

Для запуска приложения в Индии Tencent собрала специалистов из Ibibo, включая трех-четырех разработчиков, шестерых маркетологов и нескольких менеджеров старшего звена. Команду возглавили Рахул Раздан и Нилай Арора. Последний сейчас руководит индийским подразделением Tencent.

Open source yandex money donation service

Прием платежей на Яндекс.Деньги физ. лица

• онлайн платежи с карты, яндекса, телефона
• добавление метки к платежу
• получение и проверка оповещений на свой сервер
• пример автоматизации подписки на Telegram бота

Реализация и описание под катом

Не так давно нормой на кассах были импринтеры (ручные считыватели карт). Покупатель ждал, пока кассир с помощью этого громоздкого устройства снимет данные о карте и оформит заказ. Сегодня у нас есть бесконтактные платежи, и с ними оплачивать покупки гораздо проще и быстрее. Но новая технология вызывает немало споров.

В сети разместили видео, на котором мужчина с помощью карточного терминала незаметно списал средства с карты ничего не подозревающего покупателя. Он расположил устройство близко к карману жертвы, а оно зафиксировало близость карты и обработало платеж. Это видео стало поводом для серьезной дискуссии в платежной сфере.

Технологии бесконтактных платежей используют радиочастотную идентификацию, реализуемую в смартфонах, часах и других компактных устройствах, которые у людей всегда с собой. В связи с этим многие, посмотревшие видео, обеспокоились по поводу возможности мошенничества с применением платежных терминалов. Если злоумышленники могут воспользоваться таким устройством для снятия средств с карты, спрятанной в бумажнике в заднем кармане, то наверняка с телефоном или часами дело будет обстоять еще проще. Считыватели карт сканируют радиопространство на расстоянии от 4 до 10 см, поэтому вполне вероятно, что кто-то захочет применить технологию для кражи денег у владельцев смартфонов.

Но, хотя случаи хищения средств зафиксированы ранее, волна мошенничеств с использованием бесконтактных технологий нам не грозит. Мерчанты уже предприняли дополнительные меры защиты.

В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

Рассматриваемые темы:

• Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
• В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
• Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
• Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
• Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

Внимание!

В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.

В начале 2017 года мы, команда разработки ПО для QIWI Терминалов, собирали пожелания подразделений компании — узнавали, какие глобальные задачи коллеги хотели бы решить с нашей помощью, чтобы жизнь стала проще.

Больше всего порадовал запрос клиентского сервиса, работающего со звонками и претензионкой от плательщиков:

“Есть проблема: клиент совершает платеж на терминале, но до процессинга он так и не доходит — или терминал мог зависнуть, или интернет, работающий через gsm-модем, отвалился. И получается, что чек у клиента есть, а платежа в системе нет. Хорошо было бы в таких случаях научиться доставлять платежи в QIWI.

Есть также группа тревожных клиентов, которые сразу после совершения платежа набирают номер колл-центра с целью удостовериться, все ли с ним хорошо. Было бы здорово срезать косты на такие звонки.”

Так у нас появилась комплексная задача: научиться создавать платеж в случае сбоя связи с терминалом и снизить количество входящих звонков от клиентов, придумав инструмент самообслуживания для проверки статуса платежа. Кейс понятен. Стали искать решение, удобное для клиента и без рисков для безопасности.

О чем исследование


Данная статья завершает цикл публикаций, посвященных обеспечению информационной безопасности банковских безналичных платежей. Здесь мы рассмотрим типовые модели угроз, на которые ссылались в базовой модели:

• Типовая модель угроз. Сетевое соединение.
• Типовая модель угроз. Информационная система, построенная на базе архитектуры клиент-сервер.
• Типовая модель угроз. Система разграничения доступа.
• Типовая модель угроз. Модуль интеграции.
• Типовая модель угроз. Система криптографической защиты информации.

ХАБРО-WARNING !!! Уважаемые хабровчане, это не развлекательный пост.
Спрятанные под катом 40+ страниц материалов призваны помочь в работе или учебе людям, специализирующимся на банковском деле или обеспечении информационной безопасности. Данные материалы являются конечным продуктом исследования и написаны в сухом официальном тоне. По сути это заготовки для внутренних документов по ИБ.

Ну и традиционное — «применение сведений из статьи в противоправных целях преследуется по закону». Продуктивного чтения!

О чем исследование

В данной статье представлена базовая модель угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.

Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.

Настоящая модель угроз предназначена для обеспечения практической безопасности и формирования внутренней документации банков в соответствии с требованиями Положений Банка России № 552-П от 24 августа 2016 г. и № 382-П от 9 июня 2012 г.

Применение сведений из статьи в противоправных целях преследуется по закону.

Привет, Хабр! Сегодня мы расскажем вот о чем:

• ЦБ планирует вести базу жертв хакеров;
• Россияне получат кредитный рейтинг;
• Mastercard тестирует токенизацию;
• Yahoo Finance откроет возможность торговли криптовалютами.

Привет, Хабр!

На сегодня у нас вот что:

• Прогноз будущего банковских услуг от World Economic Forum;
• Возможность оплачивать услуги и товары при помощи e-mail для россиян;
• P2P-тенденции платежей при помощи мобильных устройств;
• Криптовалюты для оплаты счетов в Австралии.

Изображение: Cointelegraph

Банковские услуги видоизменяются под влиянием ИИ

Финансовая сфера претерпевает цифровую революцию. Консервативные банки следуют современным веяниям и начинают предоставлять 3-им лицам информацию, которая раньше считалась банковской тайной. Почему это происходит, кому и зачем это нужно – разберемся в этой статье.

Раскрытие банковских данных

Тренд зародился в Европе, так, например, в Германии с 2010 года развивается Open Bank Project – проект, поддерживающий раскрытие банковских данных и пользующийся поддержкой крупнейших банков страны.

В Великобритании в сентябре 2015 года при поддержке органов государственной власти была выдвинута инициатива Open Banking Standard, которая направлена на повышение конкуренции и доступности услуг на финансовом рынке. Согласно инициативе, банки должны предоставить 3-им лицам (т.н. финансово-техническим компаниям) данные о балансе клиентов и доступ к их расчетным счетам. Применение принципа открытых банковских данных стало обязательным для 9 крупных банков Великобритании, которые обслуживают более 80% граждан страны.

Согласно поправкам к 54-ФЗ, с июля этого года практически все торговые предприятия обязаны использовать онлайн-кассы, передающие данные через интернет в налоговую службу. Чтобы обзавестись таким аппаратом, придется купить кассу и фискальный накопитель, подписать договор и оплатить услуги оператора фискальных данных, зарегистрироваться в двух личных кабинетах ФНС и ОФД, вбить реквизиты в кассу, получить бумажный отчет о регистрации. Ну а еще понадобится электронная цифровая подпись, иначе придется приехать в ФНС и лично отстоять в очереди.



Мы решили избавить наших клиентов от всего этого ужаса, сделав сервис, регистрирующий все автоматически чуть ли не в один клик. Об этом сейчас и расскажем.

(с) МВД России. Фрагмент записи с камер наблюдения в момент кражи денег из банкомата

О чем исследование

Эта статья посвящена анализу и выявлению закономерностей в преступлениях, направленных на кражу денег банков или их клиентов.

Далее в статье будет представлена выборка из более чем из ста реальных преступлений последних лет. Все рассмотренные преступления будут классифицированы и снабжены кратким описанием. Затем будет проведен комплексный анализ, по результатам которого сформулированы ответы на основные вопросы банковской безопасности, в частности:

1. Какой тип преступлений наиболее опасен для банков?
2. Какие банковские профессии наиболее часто оказываются вовлеченными в преступную деятельность?
3. Есть ли закономерности в действиях преступников, и если есть, то какие?
4. … и др.

История о совпадении, везении и вознаграждении.

Два года назад пользователь dinikin написал пост, как он нашёл уязвимость в личном кабинете крупнейшего мобильного оператора Украины — Киевстар. Уязвимость позволяла добавлять к себе в аккаунт без верификации любой номер телефона Киевстар и полностью управлять им:

• просматривать баланс и детализацию звонков;
• просматривать PUK-код и серийный номер SIM-карты, что позволяет самостоятельно заменить SIM-карту;
• добавлять новые услуги и менять тарифный план;
• и самое главное — переводить деньги с телефона на телефон.

Уязвимость была закрыта, а автору в благодарность выплатили огромную премию подключили 4000 мегабайт интернета на 3 месяца.



Позже хабрапользователь rewiaca в своём посте "Почему в Украине нет белых хакеров или история взлома Киевстар" описал ситуацию со столь щедрой наградой более эмоционально.

В комментариях тогда отметился Виталий Султан, Soultan, Chief Digital Officer Киевстар, пообещав вскоре запустить в компании Bug Bounty.

И вот, спустя почти два года, Киевстар анонсирует запуск собственной программы Bug Bounty. Одной из первых фраз в анонсе была следующая:

В «Киевстаре» отметили, что приняли решение запустить программу после того, как нашли уязвимость во время бета-тестирования обновленной системы «Мой Киевстар».

Как видим, компания лукавит, ведь именно пользователь Habrahabr.ru dinikin нашёл уязвимость в системе «Мой Киевстар».

Сегодня в дайджесте:

• В магазине можно будет снять деньги со своей карты;
• PayPal собирается тратить около $3 млрд в год на слияния и поглощения;
• «Альфа-Банк» тестирует международную блокчейн-платформу;
• Как банки будут собирать биометрические данные?

Я езжу в офис на электричке — нужно проехать одну станцию, и я буду почти на месте.

Каждое утро покупаю билеты на поезд в приложении и страдаю. Там дешевле, но разница в цене не окупает мою боль, когда я прохожу эти три минуты стресса. Даже не упоминая время загрузки каждого из пяти экранов приложения, нельзя не сказать про банковские WebView с сохранённой картой, ввод кода из смс на бегу и неожиданные сбои в работе.

Это когда ты бежишь на поезд, а тебе говорят «Что-то пошло не так» и списывают деньги, а билет не дают. Возврат приходит тут же, но поезд-то уже ушел. Такое происходит пару раз в месяц, вне зависимости от качества интернета. Ни о каких -пэях и говорить не приходится.



В этот момент задумываешься — а может, есть способ проще? Ну, чтобы вообще без вебвью, красиво и нативно. И да, такой способ есть. Подробности под катом.

Привет, Хабр! Мы в RBKmoney новый платежный процессинг написали. С нуля. Ну не мечта ли?

Правда, как всегда, на пути к мечте, большую часть пути пришлось проплыть по рекам с подводными камнями, часть — проехать на собственноручно собранных велосипедах. На этом пути мы получили множество интересных и полезных знаний, которыми хотели бы поделиться с вами.

Мы расскажем, как написали весь процессинг RBKmoney Payments, так мы его назвали. Как делали его устойчивым к нагрузкам и сбоям оборудования, как придумали возможность его практически линейного горизонтального масштабирования.

И, под конец, как мы со всем этим взлетели, не забыв о комфорте тех, кто находится внутри — наша платежная система создавалась с мыслью о том, чтобы быть интересной в первую очередь для разработчиков, тех, кто ее создает.

Этим постом мы открываем цикл статей, в которых будем делиться как конкретными техническими вещами, подходами и реализациями, так и опытом разработки больших распределенных систем в принципе. Первая статья — обзорная, в ней мы обозначим вехи, которые будем раскрывать подробно, а иногда — очень подробно.

В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков при помощи фальшивого приложения для интернет-банкинга, на деле оказавшегося вредоносной программой — Android-трояном. Ежедневно с его помощью у пользователей похищали от 100 000 до 500 000 руб., часть украденных денег для дальнейшего обналичивания и сокрытия мошеннической деятельности переводилась в криптовалюту.

Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый в преступной схеме банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем мобильного
банкинга ведущих банков страны. В приложение можно было загрузить все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн-услуги и покупки в интернет-магазинах.

Заинтересовавшись возможностями финансового агрегатора, клиенты банков скачивали приложение «Банки на ладони» и вводили данные своих карт. Запущенный троян отправлял данные банковских карт или логины/пароли для входа в интернет-банк на сервер злоумышленникам. После этого преступники переводили деньги на заранее подготовленные банковские счета суммами от 12 000 до 30 000 руб. за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников, — все SMS-подтверждения транзакций блокировались.

Но жизнь держателей криптовалют проще не станет

На минувшей неделе компания MasterCard получила несколько патентов в области блокчейн-технологий, сообщает CNN и другие источники. Один из них называется «Метод и система для прямых анонимных блокчейн-транзакций», что открывает компании дорогу к созданию собственного анонимного блокчейна для проведения транзакций. Заявки на патенты подали еще в конце 2016 года, а сейчас они были окончательно утверждены. С текстом заявки можно ознакомиться на сайте патентного бюро США.



Казалось бы, этот велосипед уже изобретен: есть публичные и анонимные блокчейны. Транзакции в том же биткоине или эфире можно отследить с момента добычи монеты до конечного получателя, дело лишь за идентификацией владельца кошелька. Нужна анонимность — обратитесь к Monero или схожей криптовалюте. Однако своим патентом MasterCard пытается усидеть даже не на двух стульях, а на посадочных местах целого стадиона: тут и использование «блокчейн-технологий», и «анонимность для внешнего мира», и «фиксация всех данных плательщика» и много чего еще.

В рамках данной статьи мы постарались дать ответ на вопрос о том, что такое конфиденциальность и как ее можно достичь в Биткоине и других цифровых валютах. Кроме того, здесь вы узнаете о конкретных механизмах достижения конфиденциальности, а также о том, как они применяются на практике. Тема будет интересной тем, кто непосредственно работает с криптовалютами, а также любителям протоколов, которые повышают уровень конфиденциальности пользователей.

Что же, пришло время подводить финтех-итоги новой недели. Если вы следите за новостями такого типа — просмотрите наш дайджест, вдруг что-то упустили. Если нет — тем более стоит прочитать, ведь многие новости действительно важные.

• PayPal купит Hyperwallet
• Samsung создает платформу на блокчейне
• Амстердам тестирует биткоин-банкомат
• На территории Украины запрещена работа Contact