Главная
Блог
Кинорецензии
Баннизмы
Обзоры
Рассказы
Похудение
Ликбез
Архив
Форум →
 
16.06.16 10:04

Рейтинг: 6 (8)
Рубрика: технологии

Мне тут уже раз двадцать прислали ссылки на статьи о сканерах банковских карт со встроенными чипами RFID. Часть этих статей написаны в паническом стиле из серии: "Шеф, усе пропало, гипс снимают, клиент уезжает". Мол, теперь злоумышленнику со сканером достаточно пройти рядом с вами в магазине, транспорте и так далее, после чего данные ваших банковских карт окажутся у него в руках. И все, ты разорен, трогательно обещают в этих статьях.

Больше всего пишут про некий Contactless Infusion X5 - сканер информации о банковских картах, который действительно продается через Интернет и может, как уверяют продавцы, сосканировать данные любой карты на расстоянии до 8 сантиметров. К сканеру даже прилагается 20 чистых болванок, на которые можно записать сосканированные данные, чтобы, дескать, пользоваться этими картами так же, как и владелец. Продают этот сканер что-то там за $800, но обещают, что владелец сканера ка-а-а-ак выйдет в магазин, ка-а-а-а-ак сосканирует три тыщи двести двадцать десять карт со скоростью 15 карт в секунду, так и настанет ему ЩАСТЕ.

Ну вот меня и спрашивали, что теперь делать. Нужно ли нам, владельцам карт с RFID-чипом (а я такими картами пользуюсь года три), посыпать голову пеплом и рвать эти карты на американский флаг, чтобы они не достались врагу?

Тут еще вспоминается трогательная история, как сотрудник "Лаборатории Касперского" заметил в метро человека с работающим "сканером" и сделал вывод том, что парень сканирует данные карточек всего вагона. По фотографии хорошо видно, что человек держит в руках обычный переносной терминал для приема платежей, но осадочек, как вы понимаете, остался, так что многие пользователи решили немедленно отказаться от пластиковых карт с RFID и перейти на наличку, золотые слитки и ракушки с острова Борнео - их по крайней мере не сосканируют.

А теперь давайте разберемся. Могут ли такие сканеры существовать? Да, могут. Более того, они наверняка существуют. Пока находятся идиоты, которые подобные устройства покупают за $800, то всегда найдутся умные люди, которые эти сканеры будут выпускать.

Цена на них, конечно, скоро будет заметно падать, когда выяснится, что за $800 люди приобретают совершенно бесполезное устройство, но уверяю вас, что до $200 цена упадет еще нескоро.

Так вот. Что теоретически может получить владелец такого сканера? Он может получить номер карты и срок ее действия. Вот и все. Что ему это дает? Вообще ничего. Правда, нет, вру, он на эту карту может перевести деньги - для перевода НА карту достаточно одного номера.

Может ли он снять с нее деньги? Нет, не может: для этого требуется знать код CVC2, который он никак не может получить, нужны данные магнитной полосы, которые с помощью такого сканера достоверно получить невозможно, ну и плюс нужен пин-код, который он также с помощью сканера не может получить.

Может ли он что-то покупать через Интернет по этим данным? Нет, он не знает имени владельца карты и кода CVC2.

Так что он с этим может сделать? Перевести на карту, данные которой получены через сканер, деньги, более ничего. Во всякие тонкости вроде того, что встроенный в карту чип при каждой транзакции генерирует одноразовый код и без него ничего не сделать - сейчас даже влезать не будем. Злоумышленник с помощью полученных данных даже магнитную полосу не сумеет сымитировать, чтобы ее не отклонил банк - не получится.

Поэтому по поводу возможности того, что данные вашей карты смогут получить с помощью подобного сканера - пока, на мой взгляд, можно не беспокоиться: даже если получат, то все равно с этим ничего не смогут сделать.

Другое дело, что если у вас с помощью данного сканера узнали номер карты и срок ее действия, а дальше начали получать недостающие данные с помощью каких-то других способов - да, вот тут уже карта может быть скомпрометирована. Злоумышленник может тупо подсмотреть CVC2-код и ваши ФИ, когда вы будете расплачиваться этой картой на кассе. Впрочем, аналогичным образом он может подсмотреть и запомнить код карты - есть такие шустрики. Но это уже совершенно другой разговор.

Я, собственно, к тому, что только с помощью этого или подобных сканеров невозможно получить данные ваших карт так, чтобы потом оплачивать покупки в Интернете, совершать небольшие платежи без ввода пин-кода (в Испании это суммы до €20) или какими-то другими способами уводить ваши деньги.

Ну а если найдутся идиоты, которые за $800 купят такой сканер - ну так я буду только рад. Идиотов, да еще и мошенников, надо учить. И я с нетерпением жду подачи судебных исков к разработчикам Contactless Infusion X5 из серии: "Я тут решил стать ворюгой, заплатил денег, а устройство для воровства средств с карточек должным образом не работает. Верните мне деньги"! Это будет хорошая ржачка!

Комментарии
 
← Предыдущая  12 Следующая →
 
НО ведь нельзя не согласиться, что любое устройство, позволяющее скрытно и несанкционированно получить чужие данные - это дырка в безопасности?
Camel1000( 16.06.16 10:09 )

К вопросу о подглядывании CVС-кода, я свой запомнил и соскреб с карточки. Смотрите сколько хотите.



Плюсь бывший коллега, который весьма близко к технологическим частям банков сам пользуется такими картами, а он человек дотошный, в его действия в этом плане я готов поверить.

Dr_Alexis( 16.06.16 10:15 )

А как тогда в магазине проходит оплата такими карточками путем простого прикладывания ее к терминалу?  Да иногда надо вводить пин-код.  Но терминал можно настроить так, что он до 1500 р. не обязан спрашивать пин-код.  

Все-таки, есть дыра в этой технологии, я считаю.  Ее использование на Западе сдерживают суровые законы на эту тему. А в России...

ЛевЧандр( 16.06.16 10:26 )

Я так понимаю, основное беспокойство, что по правилам PayPass и аналогичной системы бесконтактных платежей от Visa, платежи до 1000 рублей не требуют подтверждение пин-кода. И злоумышленник теоретически может 999 рублей снять у тебя с карты, если поднесет терминал к ней достаточно близко. Как по-мне, технически это возможно. Поэтому продаются уже специальные конверты для карт, экранирующие rfid-метку.

P.S. Вот. Не, реклама, а для информации:  cardcover.ru/category/chehli-nfc-blokiratori

Vasilkysk( 16.06.16 10:27 )

При оплате в Макдаке c помощью PayPass, у меня не запрашивает пинкод. Однако в некоторых супермаркетах запрашивает. Получается, Макдональдс является доверенным магазином для банка?

Teomit( 16.06.16 10:29 )
ЛевЧандр: Но терминал можно настроить так, что он до 1500 р. не обязан спрашивать пин-код.

По-моему до тысячи, и это не настройки терминала, а правила платежной системы.

Teomit: При оплате в Макдаке c помощью PayPass, у меня не запрашивает пинкод.

Сумма покупки менее 1000 рублей. Вы ведь не настолько фанат макдака, чтобы на большую сумму за раз съедать? :)))

Vasilkysk( 16.06.16 10:31 )
Ну вообще-то мелкие сумы можно тратить в магазинах таким способом. Но нужно быть действительно идиотом, чтобы купить сканер за 800 баксов, а потом светить своей рожей за 1000 рублей.
seturentus( 16.06.16 10:32 )
ЛевЧандр: А как тогда в магазине проходит оплата такими карточками путем простого прикладывания ее к терминалу? Да иногда надо вводить пин-код. Но терминал можно настроить так, что он до 1500 р. не обязан спрашивать пин-код.

В нашем сельпо (гипермаркете) можно на выбор - вводить пин код или не вводить, но тогда предъявлять документ.

Держатель карты за свои неправомерно списанные полторы тыр банку глотку порвёт, а уж тот найдёт, как разобраться с торговым предприятием, а   оно - кассира научит правильно работать с денежными потоками.

Elena_St_Peterspurg( 16.06.16 10:34 )

На наших просторах страховка возместит ущерб, если что...

Только следить за трансакциями надо

Stamm( 16.06.16 10:35 )

Алекс, справедливости ради есть ряд интернет магазинов, которые провояд платеж только по номерка карты и Exparation Date, без запроса CVC или разовых паролей. Правда надо понимать, что в таком случае все риски несет сам магазин и все, что нужно сделать владельцу карты, это обратиться в свой банк с претензией о  спорной операции.  

Фотка со "сканером карт" отдельно повеселила. Сейчас с таким "сканером " каждый второй курьер/доставщик пиццы рассекает по городу. :)

Camel1000: НО ведь нельзя не согласиться, что любое устройство, позволяющее скрытно и несанкционированно получить чужие данные - это дырка в безопасности?

Начинайте бороться с видеокамерами над кассовыми терминалами в гипермаркетах. А то они уже много лет скрытно и несанкционированно получают, и сохраняют данные вашей карты. ;)

Khul( 16.06.16 10:36 )
Khul: Сейчас с таким "сканером " каждый второй курьер/доставщик пиццы рассекает по городу.

Михалков получает процент за потенциальное воровство контента с каждого проданного носителя информации, значит и они потенциальные преступники. Надо всех расстрелять!

Vasilkysk( 16.06.16 10:39 )

Это дистанционный сканер смарт-карт, частной разновидностью которых являются и ьанковские карты с RIFD, SIM-карты и т.п. т.е. на чип может  быть записано все что угодно - например ФИО, должность, уровень доступа и т.д. Подобные устройства, только бОльших размеров стоят на различных проходных и КПП. То что они, отчасти, могут спрособствовать чтению определенной информации с банковских карт и это вынесено в рекламу - ну так без лохА...

granit( 16.06.16 10:41 )
Khul: они уже много лет скрытно и несанкционированно получают, и сохраняют данные вашей карты.

Неправда, открыто (обязательное публичное предупреждение о видеонаблюдении) и санкционированно (установлены по определенным нормативам).
Camel1000( 16.06.16 10:50 )
Khul: и все, что нужно сделать владельцу карты, это обратиться в свой банк с претензией о  спорной операции.  

И какой процент обворованных на такие суммы обратятся в банк?
Camel1000( 16.06.16 10:51 )

Как человек, работающий в одном из крупнейших платёжных шлюзов Европы (да и мира, что уж там), могу сказать, что одного номера карты может быть достаточно, чтобы снять деньги с вашей карты. Есть специальные виды бизнеса, которые живут за счёт этого и они готовы платить огромное количество чардж-беков.

 Один из них - игровые мёрчанты, работающие с эквайрерами, которые принимают любые транзакции, без всяких имён, CVV и 3D Secure. Специфика в том, что часто дети воруют карты родителей и покупают свои золотые монетки в танках. Некоторые родители напишут заявку на чардж-бек, но большинство просто надают ребёнку по жопе и смирятся с потерей 1000 рублей.

Ещё у некоторых банков можно платить бесконтактно без пина до некоторой суммы. Возможно мошенники не воруют данные карты, а просто проводят транзакцию.

FlashXL( 16.06.16 10:56 )
Camel1000: И какой процент обворованных на такие суммы обратятся в банк?

По-моему, большой. Меня в таком случае волнует не столько 20 баксов, сколько то, что есть дырка, через которую утекают мои деньги.  

igori-san( 16.06.16 10:57 )
igori-san: По-моему, большой.

А я бы с большой вероятностью забил, да и большинство знакомых тоже.
Camel1000( 16.06.16 10:58 )

Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.

igori-san( 16.06.16 10:59 )
Camel1000:
igori-san: По-моему, большой.

А я бы с большой вероятностью забил, да и большинство знакомых тоже.

Т.е. Вас не будет беспокоить, если у Вас в распечатке появится покупка в супермаркете, где Вы никогда не были?

igori-san( 16.06.16 11:00 )

 Насколько я знаю, данные магнитной полосы полностью дублируются на чипе (Обратите внимание: если карта с чипом вставляется в считыватель снизу, то магнитная полоса при этом не считывается и никак не используется). Кстати, не путайте просто чип и RFID, используемый для платежа с помощью PayPass - сейчас большинство карт с чипом, но далеко не все из них используют PayPass. 

В Испании автоматы для продажи билетов на междугородные автобусы принимают только карты с чипом.

Bekar( 16.06.16 11:02 )

igori-san:  

ну тут просто - мы говорим официанту чтоб карту не уносил и принёс терминал сюда.

или сам прохожу к терминалу.

mishastik( 16.06.16 11:13 )

Заметил кстати, что любая другая карта RFID (например проходка em marine)  в кошельке крайне мешает считыванию чего либо, даже с очень близкого растояния. Так кредитка с paypass  отказалась читаться пока не вытащил из кошелька, и проездной в метро так же. Причем считывание происходит, но видимо данные криво считываются.

Еще, стоит напомнить, что CVV2 или CVC2, который нужен для большенства операций с картой в интернете, написан только на самой карте, и не хранится в чипе или на магнитной полосе. Впрочем необходимость использования CVV2\CVC2 определяется банком. Еще, насколько я помню у всяческих упрощенных карт его вообще нет.

shoroch( 16.06.16 11:24 )

1. В том же Макдональдсе иногда прикладываение чипа к аппарату срабатывает сразу, а иногда требуется вводить пин-код. То есть никак не привязано к сумме покупки. Банк сам выбирает способ идентификации.

2. На карте есть чип, которому нужно питание, которое поступает на него дистанционно (как дистанционная зарядка девайсов) и тут важно расстояние от аппарата до карты с чипом. То есть весь вагон не насканируешь.

MetaReks( 16.06.16 11:28 )
mishastik:

igori-san:  

ну тут просто - мы говорим официанту чтоб карту не уносил и принёс терминал сюда.

или сам прохожу к терминалу.

Далеко не всегда это возможно. И, если Вы уже поели, говорить, что не будете платить, если он не принесет терминал - поздно :)  

Во многих английских пабах просто оставляешь карту перед началом вечеринки, а уходя - забираешь. Или на следующий день (как мой начальник с перепою). Но проблем с подделкой, тем не менее, пока не было. (пока - это примерно 25 лет)

igori-san( 16.06.16 11:33 )
igori-san: Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят.

Вообще ты можешь сходить с ним. Или попросить вынести терминал. Отказать не смогут.
seturentus( 16.06.16 11:43 )
igori-san:
Camel1000:
igori-san: По-моему, большой.



А я бы с большой вероятностью забил, да и большинство знакомых тоже.

Т.е. Вас не будет беспокоить, если у Вас в распечатке появится покупка в супермаркете, где Вы никогда не были?


Беспокоить будет. Но идти разбираться не пойду, просто заблокирую карточку.
Camel1000( 16.06.16 11:45 )
MetaReks: То есть никак не привязано к сумме покупки. Банк сам выбирает способ идентификации.

Подтвержу. Постоянно скупаюсь в продуктовом возле дома - всегда требует пин-код. Закупал стройматериалы месяц назад на несколько тысяч - без кода.
seturentus( 16.06.16 11:45 )
igori-san: Далеко не всегда это возможно. И, если Вы уже поели, говорить, что не будете платить, если он не принесет терминал - поздно

Не поздно. Обязаны.
seturentus( 16.06.16 11:46 )
igori-san: Во многих английских пабах просто оставляешь карту перед началом вечеринки, а уходя - забираешь. Или на следующий день (как мой начальник с перепою). Но проблем с подделкой, тем не менее, пока не было. (пока - это примерно 25 лет)

Это все очень от страны зависит.
Camel1000( 16.06.16 11:46 )

Терминал,  что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где? Когда покупатель приложил карточку с чипом в магазине обмен данными идёт не только карточка - терминал, а терминал ещё запрашивает информацию из банка, который его туда установил через инфосеть. За 800$ куда будет запрос посылать?

MetaReks( 16.06.16 11:55 )
seturentus:
igori-san: Далеко не всегда это возможно. И, если Вы уже поели, говорить, что не будете платить, если он не принесет терминал - поздно

Не поздно. Обязаны.

Не слышал о таких обязательствах, и подозреваю, что в разных странах - разные правила.

igori-san( 16.06.16 12:13 )

О, как эта статья в тему! Вчера получила карточку "Райффайзена", про такие чипы знать ничего не знала. В кассе кинотеатра кассир на секунду приложила карточку к экранчику терминала и деньги были списаны. Я под большим впечатлением была, да... А в условиях смс-информирования банка сказано, что смс не приходят, если операция по карте была совершена безавторизационным способом. То есть, получается, пока я не проверю движения по карте в интернет-банкинге, я не буду знать точно ли эту сумму списали. Если я всё правильно поняла в сложившейся ситуации, то меня это совершенно не радует. Параноик я, со стажем.

Ирина Батьковна:

... Если я всё правильно поняла в сложившейся ситуации, то меня это совершенно не радует. Параноик я, со стажем.

И ещё не читатель :-)

MetaReks( 16.06.16 12:17 )
Camel1000: Это все очень от страны зависит.

Конечно. И есть страны, где лучше пользоваться ракушками. Опять же, они симпатичнее, чем карточки :)  

(не так давно жительница Окинавы показала мне ракушки, которые раньше там использовали как деньги. По-моему, они что-то потеряли, перейдя на бумажную валюту...)

igori-san( 16.06.16 12:17 )

ммм... а как тогда вообще работает система "приложил карточку = заплатил"? например, проходя турникеты в электричку или на кассе? по логике - там же тоже некий сканер?

Deathtiny( 16.06.16 12:17 )

MetaReks:  

Читатель, просто в голове страшилки и сумбур от прочитанной информации. Моя профессия далека от подобных технологий, поэтому разобраться тяжело.  

Ирина Батьковна:

MetaReks:  

Читатель, просто в голове страшилки и сумбур от прочитанной информации. Моя профессия далека от подобных технологий, поэтому разобраться тяжело.  

Технология такая, что в 102% случаев клиент теряет деньги из-за личного ротозейства, а не из-за плохой технологии.

Терминал, прежде чем снять деньги ВСЕГДА спрашивает разрешение у банка. То есть не просто приложил и снял. А ещё и спросил.

MetaReks( 16.06.16 12:36 )

Недавно произошли  два списания на 1000 и 1500.

В покер походу ушли деньги  826\Isle of man\Stars

Как ушли данные карты особых идей нет.

Сразу заблокировал карту. Как-то странно было бы проигнорировать это. Карту перевыпустил. Написал заявку в банк. Деньги вернули в течении недели, хотя пугали полугодом.

olegk( 16.06.16 12:38 )
FlashXL: Один из них - игровые мёрчанты, работающие с эквайрерами, которые принимают любые транзакции, без всяких имён, CVV и 3D Secure.

Что, и фио холдера, и название банка тоже не запрашивают?

aag( 16.06.16 12:40 )
MetaReks: Терминал, что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где?

ИП "Бомжевич" подойдет?

Гнус( 16.06.16 12:40 )
MetaReks: Терминал,  что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где? Когда покупатель приложил карточку с чипом в магазине обмен данными идёт не только карточка - терминал, а терминал ещё запрашивает информацию из банка, который его туда установил через инфосеть. За 800$ куда будет запрос посылать?

Да никуда он и ничего не будет посылать. Он просто, прикинувшись терминалом, считает всю доступную информацию с карточки, ее запомнит и потом запишет на болванку.
А потом человек с такой болванкой нацепит парик (отрастит усы, сбреет бороду, ...),  придет в МакДачку и поест за ваш счет. Или в кино сходит. Или литров 20 бензина на автоматической АЗС в машину зальет. Ибо при оплате через PayPass/PayWave суммы до 1000 (или даже 1500) р. запрос PIN-кода опционален.

Думаю, если в метро с недельку "порыбачить" таким сканером, то по 10 карт в день собрать получится. 70 человек, с карты каждого стащили по 1000 р. - и имеем 70000 р., т.е. сканер в $800 уже себя окупил. Дальше - чистая прибыль... до момента встречи с представителями банковской СБ или сотрудниками полиции. Но если не зарываться, не жадничать и проявлять определенную осторожность, этот момент можно оттянуть на достаточно долгое время, да и в случае его наступления отделаться минимальным доказанным  ущербом (и, соответственно, минимальным же наказанием).
Так что тут далеко не все так радужно, как Алексу хотелось бы...

Shadow Wizard( 16.06.16 12:50 )
Гнус:
MetaReks: Терминал, что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где?


ИП "Бомжевич" подойдет?





Попробуйте на "Бомжевича" счет в банке открыть. Не откроете, или стоить будет столько, что никогда это не окупить тысечерублевыми списаниями с лохов в толпе. Поймают раньше. А счет заблокируют еще раньше
BOFH( 16.06.16 12:50 )
Shadow Wizard:
MetaReks: Терминал,  что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где? Когда покупатель приложил карточку с чипом в магазине обмен данными идёт не только карточка - терминал, а терминал ещё запрашивает информацию из банка, который его туда установил через инфосеть. За 800$ куда будет запрос посылать?

Да никуда он и ничего не будет посылать. Он просто, прикинувшись терминалом, считает всю доступную информацию с карточки, ее запомнит и потом запишет на болванку.

А потом человек с такой болванкой нацепит парик (отрастит усы, сбреет бороду, ...),  придет в МакДачку и поест за ваш счет. Или в кино сходит. Или литров 20 бензина на автоматической АЗС в машину зальет. Ибо при оплате через PayPass/PayWave суммы до 1000 (или даже 1500) р. запрос PIN-кода опционален.


Думаю, если в метро с недельку "порыбачить" таким сканером, то по 10 карт в день собрать получится. 70 человек, с карты каждого стащили по 1000 р. - и имеем 70000 р., т..е. сканер в $800 уже себя окупил. Дальше - чистая прибыль... до момента встречи с представителями банковской СБ или сотрудникаим полиции. Но если не зарываться, не жадничать и проявлять определенную осторожность, этот момент можно оттянуть на достаточно долгое время, да и в случае его наступления отделаться минимальным ущербом (и, соответственно, минимальным наказанием).

Так что не все тут так радужно, как Алексу хотелось бы...



Бред. Для списания нужен именно чип в карте, а не записанная информация с него. Изучайте современные протоколы шифрования и связи
BOFH( 16.06.16 12:53 )
Camel1000: Беспокоить будет. Но идти разбираться не пойду, просто заблокирую карточку.

Тоесть, позвонить заблокировать карточку вам не лень, и причину наверное укажете? А в том же разговоре попросить вернуть деньги - уже лень? Что-то не сходится, люди так не устроены, вы либо робот либо плохо себя знаете.

perepelkin( 16.06.16 12:56 )

Как в толпе подать питание на чип? !!!

MetaReks( 16.06.16 13:01 )
BOFH: Бред. Для списания нужен именно чип в карте, а не записанная информация с него. Изучайте современные протоколы шифрования и связи

Эм... чип чипу рознь, знаете ли. Про SIM-карты такое, помнится, тоже говорили - однако процедура клонирования вполне себе имела место быть. Причем создавался не физический клон, а именно логический - т.е. с исходного чипа считывалась вся необходимая информация, которая потом записывалась в чип мульти-SIM - и он спокойно эмулировал исходный.
Да, потом операторы перешли на более другие SIMки, которые таким способом уже не клонировались, но сам факт от этого не меняется - не столь крута защита, как о ней говорят.

Видимо, в протоколе и/или защите PayPass (PayWave?) нашли аналогичную дырку, позволяющую стырить не только общедоступные данные, но и все необходимые ключи для совершения транзакций. Причем сделать это быстро и на расстоянии до 8 см.

Shadow Wizard( 16.06.16 13:02 )
Shadow Wizard:
BOFH: Бред. Для списания нужен именно чип в карте, а не записанная информация с него. Изучайте современные протоколы шифрования и связи

Эм... чип чипу рознь, знаете ли. Про SIM-карты такое, помнится, тоже говорили - однако процедура клонирования вполне себе имела место быть. Причем создавался не физический клон, а именно логический - т.е. с исходного чипа считывалась вся необходимая информация, которая потом записывалась в чип мульти-SIM - и он спокойно эмулировал исходный.

Да, потом операторы перешли на более другие SIMки, которые таким способом уже не клонировались, но сам факт от этого не меняется - не столь крута защита, как о ней говорят.


Видимо, в протоколе и/или защите PayPass (PayWave?) нашли аналогичную дырку, позволяющую стырить не только общедоступные данные, но и все необходимые ключи для совершения транзакций. Причем сделать это быстро и на расстоянии до 8 см.



Ну так и огласите источник знаний. Без "видимо"
BOFH( 16.06.16 13:08 )
Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно. Естественно, вывод будет произведен не через обычную торговую точку, а через какое-нибудь онлайн-казино. Тем не менее это 100% работает. А я работаю в процессинге крупного банка :D
vitalyoff( 16.06.16 13:08 )

Мне несколько раз приходила SMS от мошенников, с сообщением, что "ваша банковская карта заблокирована, справки по тел 8-800-100-61-42.

По указаному тел сначала работает автоинформатор, сообщающий, что вы позвонили в Центр безопасности карт VIsa и Mastercard, потом соединяют с оператором, который пытается узнать у вас номер карты и срок действия.  

Информацию о имени владельца,  коды PIN и CVC/CVV не спрашивают.

Зачем то же они собирают эти данные?

Daniil_B( 16.06.16 13:09 )

Очень странное совпадение с вот этой статьей

http://bankir.ru/publikacii/20160615/psevdokhakery-zarabatyvayut-na-mi...

З-
аказ какой-то прошел?

Seneca( 16.06.16 13:11 )
vitalyoff: Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно. Естественно, вывод будет произведен не через обычную торговую точку, а через какое-нибудь онлайн-казино. Тем не менее это 100% работает. А я работаю в процессинге крупного банка



Зачем для этого все эти трудности с терминалом и прижиманиями в толпе? Раньше хватало официантов и продавцов за меньшие деньги и усилия
BOFH( 16.06.16 13:14 )

Продвинутые банки предлагают для пущей безопасности устанавливать лимиты. Лимиты меняются легко в интернет-банке при необходимости. Например, у меня по кредитке запрещены операции по снятию наличных и операции в интернете. А на оставшиеся операции установлено ограничение на списание в сутки Н-ной суммы. При попытке списать в магазине сверх лимита банк отказывает - недостаточно средств. Если что-то покупаю через инет, временно разрешаю интернет-операции. Либо при крупных покупках увеличиваю дневной лимит. По остальным дебетовым картам тоже можно настроить так же.

В этом же банке можно запретить/разрешить операции за границей. Вроде как указываешь страну, где разрешено списывать, когда едешь из России,  но по факту получается варианты "только Россия" либо "везде".

Добавлю: при операциях сверх лимитов приходят SMS-сообщения, о которых тоже не надо забывать для безопасности. В случае, если транзакцию не совершал, то будет понятно,  что карта/данные скомпрометированы, но зато деньги не потеряешь.

Quasi( 16.06.16 13:14 )

Алекс, не стоит так безапелляционно заявлять. Покупки по номеру и сроку карты вполне себе существуют, например в Amazon.com.  

HappY( 16.06.16 13:19 )
BOFH: Ну так и огласите источник знаний. Без "видимо"

Мил человек, такая информация стоит денег, причем на порядок-другой побольше тех $800, что предлагается заплатить за сканер. Который, я уверен, уже давно купили представители соответствующих организаций и передали в руки специально обученным людям, чтобы те выяснили, какую уязвимость он эксплуатирует. Сами понимаете, добровольно облегчать им жизнь и лишать себя заработка, выкладывая в сколько-нибудь публичный доступ информацию об оной уязвимости, хакеры не станут.

Так что самый простой вариант - это так или иначе найти $800, купить сканер да проверить его в деле на карточке добровольца: склонировать, записать на болванку и попробовать ей расплатиться в МакДачке. Если не прокатит - хорошо, а если прокатит... дальше и сами все понимаете.

Seneca: Очень странное совпадение с вот этой статьей
Заказ какой-то прошел?

Скорее всего - банкам не нужна ни паника, ни антиреклама PayPass (даром, что ли, везде и всюду висит реклама бесконтактной оплаты?), вот и пытаются сбить волну.

Shadow Wizard( 16.06.16 13:26 )
Khul: Начинайте бороться с видеокамерами над кассовыми терминалами в гипермаркетах. А то они уже много лет скрытно и несанкционированно получают, и сохраняют данные вашей карты.

Да, это всегда умиляло. Как и камеры у банкоматов. А когда еще и кассир берет карту в руки... А сканер - баловство, по сравнению с этим.

LP_Masta( 16.06.16 13:27 )
Shadow Wizard:
BOFH: Ну так и огласите источник знаний. Без "видимо"

Мил человек, такая информация стоит денег, причем на порядок-другой побольше тех $800, что предлагается заплатить за сканер. Который, я уверен, уже давно купили представители соответствующих организаций и передали в руки специально обученным людям, чтобы те выяснили, какую уязвимость он эксплуатирует. Сами понимаете, добровольно облегчать им жизнь и лишать себя заработка, выкладывая в сколько-нибудь публичный доступ информацию об оной уязвимости, хакеры не станут.


Так что самый простой вариант - это так или иначе найти $800, купить сканер да проверить его в деле на карточке добровольца: склонировать, записать на болванку и попробовать ей расплатиться в МакДачке. Если не прокатит - хорошо, а если прокатит... дальше и сами все понимаете.



Так и запишем: балабол
BOFH( 16.06.16 13:28 )
BOFH: Так и запишем: балабол

По делу-то есть, что сказать, или в наличии только слепая вера в надежность применяемой в PayPass криптографии?

Я бы купил этот сканер чисто ради проверки, да вот беда - кризис в стране, нет у меня сейчас лишней штуки баксов. Да и полштуки тоже нет. Так что вся надежда на вас - купите да публично продемонстрируйте, что это все лажа. Ну или не лажа, тут уж как фишка ляжет. Ну или помалкивайте, если нормальных аргументов нет.

Shadow Wizard( 16.06.16 13:35 )
Shadow Wizard:
BOFH: Так и запишем: балабол

По делу-то есть, что сказать, или в наличии только слепая вера в надежность применяемой в PayPass криптографии?


Я бы купил этот сканер чисто ради проверки, да вот беда - кризис в стране, нет у меня сейчас лишней штуки баксов. Да и полштуки тоже нет. Так что вся надежда на вас - купите да публично продемонстрируйте, что это все лажа. Ну или не лажа, тут уж как фишка ляжет. Ну или помалкивайте, если нормальных аргументов нет.



Ну, в общем, сама идея халявных покупок в Макдональдсе за 1000 рублей в обмен на серьезные статьи УК многое говорит об авторе. Так что не толко балабол
BOFH( 16.06.16 13:40 )
Блин, никто не будет покупать в Макдональдсе, будет много, очень много вводов на мелкие суммы в какое-нибудь казино, зарегистрированное на хрензнаеткаких островах. Даже если большая часть денег потом оспорится и вернется, то консолидированную сумму со счета в казино можно легально вывести. И это будет неплохая суммма. И по факту за руку не поймаешь. Этот дурацкий сканер, конечно, нафиг не нужен, если как ещё одно средство съема данных карт.
vitalyoff( 16.06.16 13:49 )
BOFH: Ну, в общем, сама идея халявных покупок в Макдональдсе за 1000 рублей в обмен на серьезные статьи УК многое говорит об авторе. Так что не толко балабол

Спрошу еще раз: серьезные технические аргументы будут, или только пустозвонство из серии "этого не может быть, потому что не может быть никогда" и "ради 1000 р. никто под УК подставляться не станет"?
Если нет, то вопрос о том, кто таки из нас балабол, принимает весьма спорный характер.

Shadow Wizard( 16.06.16 13:50 )
BOFH: Так что не толко балабол

И не читатель.  

Shadow Wizard: Ну или помалкивайте, если нормальных аргументов нет.

Мил человек, вас же уже послали RTFM. Поверьте, лет 15 назад чтение мануалов вслух дорого стоило.

Для остальных же поясню, что технология PayPass подразумевает применение разовых ключей, которые автоматически генерируются вашей картой после каждой транзакции. Грубо говоря, после платежа по PayPass чип карты генерит новый ключ безопасности, который и передается на чип RFID и годится для подтверждения прописью одной, последующей операции. Для генерации очередного ключа безопасности нужна сама карта. Одной инофрмации с чипа RFID буде недостаточно. Что получается?    А получается, что  теоретически злоумышленник может считать RFID и еще не использованный, но уже сгенерированный разовый ключ. Но более чем одной транзакции он совершить не сможет. В 99% случаев и одной совершить не сможет, так как разовый ключ вы потратите быстрее, чем злоумышленник. В сухом остатке - вы рискуете теоретической разовой потерей в тысячу рублей, а в замен получаете более удобный и быстрый сервис для оплаты небольших сумм.

ps> поправьте, если где напортачил. Знаю, тут много людей, кто непосредственно в теме.

Khul( 16.06.16 13:54 )

 

BOFH: . Для списания нужен именно чип в карте, а не записанная информация с него.

 Чип имеется. Со сканнером идут чистые болванки на которые инфо и записывается.

MetaReks: Как в толпе подать питание на чип? !!

 По радио или посредством электромагнитной индукции. Ни одной бесконтактной карты или брелока нигода не видели?

dime( 16.06.16 13:57 )
Khul: Для остальных же поясню, что технология PayPass подразумевает применение разовых ключей, которые автоматически генерируются вашей картой после каждой транзакции. Грубо говоря, после платежа по PayPass чип карты генерит новый ключ безопасности, который и передается на чип RFID и годится для подтверждения прописью одной, последующей операции. Для генерации очередного ключа безопасности нужна сама карта. Одной инофрмации с чипа RFID буде недостаточно.

Пример с клонированием SIM-карт, которое одно время тоже, согласно всем мануалам, считалось невозможным, я уже приводил.
Вам мало?

Shadow Wizard( 16.06.16 13:58 )
vitalyoff: Блин, никто не будет покупать в Макдональдсе, будет много, очень много вводов на мелкие суммы в какое-нибудь казино, зарегистрированное на хрензнаеткаких островах. Даже если большая часть денег потом оспорится и вернется, то консолидированную сумму со счета в казино можно легально вывести. И это будет неплохая суммма. И по факту за руку не поймаешь. Этот дурацкий сканер, конечно, нафиг не нужен, если как ещё одно средство съема данных карт.


Вот именно. Любой работник сферы услуг в проходном месте имеет доступ к данным, написанным на карте, по нескольку десятков раз в день.

А по поводу казино, могу сказать только то, что недолго оно так порезвится, платежные системы просто перекроют им эту возможность достаточно быстро. Тем более, что они имеют доступ к деньгам, поступающим на счета этого казино, и в итоге просто наложат на них штраф. Так что и серьезные гэмблеры не будут этим заниматься, а введут систему авторизации, как положено. Если их на самом деле интересует игровой бизнес, а не мошенничество
BOFH( 16.06.16 14:01 )
Shadow Wizard:
Khul: Для остальных же поясню, что технология PayPass подразумевает применение разовых ключей, которые автоматически генерируются вашей картой после каждой транзакции. Грубо говоря, после платежа по PayPass чип карты генерит новый ключ безопасности, который и передается на чип RFID и годится для подтверждения прописью одной, последующей операции. Для генерации очередного ключа безопасности нужна сама карта. Одной инофрмации с чипа RFID буде недостаточно.

Пример с клонированием SIM-карт, которое одно время тоже считалось невозможным, я уже приводил.

Вам мало?



Пример? Это серьезно? То, что 15 лет назад первые поколения СИМ-карт можно было клонировать после многочасового считывания в кард-ридере с негарантированным результатом (карты часто дохли), приводится как пример возможности клонирования современных чипов кредиток по воздуху? Ну так то да, у Экслера ценят юмор
BOFH( 16.06.16 14:04 )
Shadow Wizard: Вам мало?

По существу то есть, что возразить? Ну там привести примеры удачно склонированных (и расшифрованных) дистанционно чипов банковских карт. Не RFID, а тех, которые с левой стороны карты. Или описать технологию генерации разового пароля для подтверждения RFID транзакции  без доступа к карте-оригиналу можете?  

Кстати, а что-то не вижу, чтобы люди в панике прекратили пользоваться SIM-картами. А ведь на них теперь приходят коды доступа для банковских операций. Как же так?  

Khul( 16.06.16 14:05 )
BOFH: Вот именно. Любой работник сферы услуг в проходном месте имеет доступ к данным, написанным на карте, по нескольку десятков раз в день.

Такого работника гораздо легче поймать за руку, чем неприметного человека со сканером в кармане джинсов, толкающегося в вагоне метро в час пик. Ибо  работник под подозрение попадает в первую очередь, а обшаривать карманы поголовно всех пассажиров метро - до такого даже в Северной Корее не дошли вроде бы.

Shadow Wizard( 16.06.16 14:07 )

 

BOFH: Зачем для этого все эти трудности с терминалом и прижиманиями в толпе? Раньше хватало официантов и продавцов за меньшие деньги и усилия

 Существенно бОльшие деньги, усилия и риск. Надо находить идиотов, согласных сидеть за смешные суммы. Много идиотов, тк надо оперативно менять  скомпроментированных (они, в общем-то, одноразовые). Плюс компроментация каналов связи с ними.

С другой стороны единоразовое вложение, лёгкое добывание инфы и практически полная анонимность без особых затрат.

Снимать бабло самому с карт даже и не надо - сама эта инфа довольно ходовой товар. Пассивный доход такой - просто ездишь в метро по другим делам, а денюжки капают :)

dime( 16.06.16 14:09 )
dime: Снимать бабло самому с карт даже и не надо - сама эта инфа довольно ходовой товар. Пассивный доход такой - просто ездишь в метро по другим делам, а денюжки капают

На ЧР базы данных с номерами карт продаются по рублю за пучок. Никому не нужны оные по большому счету. Поэтому пассивных доход не получится - ниша давно занята и невостребована.

Khul( 16.06.16 14:11 )
Shadow Wizard:
BOFH: Вот именно. Любой работник сферы услуг в проходном месте имеет доступ к данным, написанным на карте, по нескольку десятков раз в день.

Такого работника гораздо легче поймать за руку, чем неприметного человека со сканером в кармане джинсов, толкающегося в вагоне метро в час пик. Ибо  работник под подозрение попадает в первую очередь, а обшаривать карманы поголовно всех пассажиров метро - до такого даже в Северной Корее не дошли вроде бы.




Ну потолкайся, потолкайся. А пока на черном рынке за 800 долларов можно купить сканы нескольких тысяч кредиток, да еще и с данными магнитной полосы. Полученных через "работников под подозрением"
BOFH( 16.06.16 14:11 )
dime:


BOFH: Зачем для этого все эти трудности с терминалом и прижиманиями в толпе? Раньше хватало официантов и продавцов за меньшие деньги и усилия

Существенно бОльшие деньги, усилия и риск. Надо находить идиотов, согласных сидеть за смешные суммы. Много идиотов, тк надо оперативно менять  скомпроментированных (они, в общем-то, одноразовые). Плюс компроментация каналов связи с ними.


С другой стороны единоразовое вложение, лёгкое добывание инфы и практически полная анонимность без особых затрат.


Снимать бабло самому с карт даже и не надо - сама эта инфа довольно ходовой товар. Пассивный доход такой - просто ездишь в метро по другим делам, а денюжки капают



Короче, вижу как миниму двух потенциальных клиентов на покупку этого говна. Хотя, возможно, кто-то из них со стороны продавцов :)
BOFH( 16.06.16 14:14 )

Daniil_B: вам надо звонить не по телефону,который вам указали(вполне возможно,сам звонок стоит денег),а в ваш банк

dmitri( 16.06.16 14:15 )

 

BOFH: поводу казино, могу сказать только то, что недолго оно так порезвится, платежные системы просто перекроют им эту возможность достаточно быстро

 Неа. Левые шлюзы, конечно, регулярно прикрывают, но взамен плодится ещё бОльшее количество новых.

BOFH: Так что и серьезные гэмблеры не будут этим заниматься, а введут систему авторизации, как положено. Если их на самом деле интересует игровой бизнес, а не мошенничество

 Да при чём здесь серьёзные гемблеры. Полно подпольных казино.

BOFH: Любой работник сферы услуг в проходном месте имеет доступ к данным, написанным на карте, по нескольку десятков раз в день.

 Он легко вычисляется, если будет сливать данные.

Khul: получается, что  теоретически злоумышленник может считать RFID и еще не использованный, но уже сгенерированный разовый ключ. Но более чем одной транзакции он совершить не сможет. В 99% случаев и одной совершить не сможет, так как разовый ключ вы потратите быстрее, чем злоумышленник

 Можно и по одной. Пять бабушек - уже рупь. Ну, и то, что я раньше потрачу ключ - очень неочевидно. У меня рфид платежей в среднем раз в две недели. А можно сразу сливать ключи подельнику и использовать транзакцию пока жертва ещё едет в метро.

dime( 16.06.16 14:19 )
dime: BOFH: Так что и серьезные гэмблеры не будут этим заниматься, а введут систему авторизации, как положено. Если их на самом деле интересует игровой бизнес, а не мошенничество
 Да при чём здесь серьёзные гемблеры. Полно подпольных казино


И давно у нас подпольным казино платежные системы предоставляют процессинг?
BOFH( 16.06.16 14:21 )
perepelkin:
Camel1000: Беспокоить будет. Но идти разбираться не пойду, просто заблокирую карточку.

Тоесть, позвонить заблокировать карточку вам не лень, и причину наверное укажете? А в том же разговоре попросить вернуть деньги - уже лень? Что-то не сходится, люди так не устроены, вы либо робот либо плохо себя знаете.

Блокировка карты осуществляется по телефону, а заявление на возврат - личным присутствием с паспортом. По российскиму законам по крайней мере..

Vasilkysk( 16.06.16 14:24 )
dime: А можно сразу сливать ключи подельнику и использовать транзакцию пока жертва ещё едет в метро

Вот собственно на вход в это самое метро и тратишь свою транзакцию. ;)

Ну а использовать оную тоже не так просто.  Киви-терминалов для обналичке по RFID в природе не существует. Онлайн платежи тоже такую оплату не принимают. Так что боюсь подельника розорвет в макдаке от реализации стыренного. :)

Khul( 16.06.16 14:25 )
BOFH:  Неа. Левые шлюзы, конечно, регулярно прикрывают, но взамен плодится ещё бОльшее количество новых.


Существует норма на процент опротестованных транзакций. Грубо говоря, если из 100.000 опротестуют 10, то это нормально, а если 10 из 100, то прикроют лавочку мгновенно. Если бы все было так просто с выводом, то украденные данные карт не продавались бы за три копейки, как сейчас это происходит
BOFH( 16.06.16 14:26 )
Khul:
dime: А можно сразу сливать ключи подельнику и использовать транзакцию пока жертва ещё едет в метро

Вот собственно на вход в это самое метро и тратишь свою транзакцию.


Ну а использовать оную тоже не так просто.  Киви-терминалов для обналичке по RFID в природе не существует. Онлайн платежи тоже такую оплату не принимают. Так что боюсь подельника розорвет в макдаке от реализации стыренного.




Осталось еще понять, как эти теоретики собрались ключ для одноразовой транзакции считывать (подтверждений возможности этого я не увидел). Ну, и так, по мелочи, ключ формируется не заранее, а в момент транзакции (что это за транзакция будет в метро? как насчет временной метки?). И такую ерунду, как СМС-информирование, никто не отменял
BOFH( 16.06.16 14:36 )
vitalyoff: Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно
А я работаю в процессинге крупного банка

Ваш банк-эмитент примет транзакцию чиповой карты без пина/cvc2 ?

Конечно, если у вас банк-альтруист, то вполне возможно, но имхо таких банков давно нет.

mig74( 16.06.16 14:42 )
mig74:
vitalyoff: Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно

А я работаю в процессинге крупного банка

Ваш банк-эмитент примет транзакцию чиповой карты без пина/cvc2 ?


Конечно, если у вас банк-альтруист, то вполне возможно, но имхо таких банков давно нет.



Нет, там упор идет на какие-то сферические казино в вакууме, которые принимают платежи с украденных карт и им не прикрывают эту возможность после нескольких опротестованных транзакций. Правда, непонятно, каким боком это к сканеру данных, которые любой, взявший в руки карту, может увидеть без сканера;)
BOFH( 16.06.16 14:47 )
mig74: Ваш банк-эмитент примет транзакцию чиповой карты без пина/cvc2 ? Конечно, если у вас банк-альтруист, то вполне возможно, но имхо таких банков давно нет.

Банку-эмитенту вообще всё равно, риски берёт на себя эквайрер. И да, есть такие эквайреры, которые принимают транзакции вообще без всего, такой у них бизнес и это очень даже выгодно.

FlashXL( 16.06.16 14:48 )
BOFH: сталось еще понять, как эти теоретики собрались ключ для одноразовой транзакции считывать (подтверждений возможности этого я не увидел). Ну, и так, по мелочи, ключ формируется не заранее, а в момент транзакции

Ну я так понимаю, суть в том, что сканер условно говоря эмулирует эту самую транзакцию. Т.е. правильно его назвать не сканером, а фейковым платежным терминалом с высоким радиусом считывания. Ну а чип RFID сам передает на него всю, необходимую для транзакции информацию, включая свежесгенеррированый разовый код. В результате теоретический шанс на одну транзакцию у злоумышленника таки будет. Остается только открытым вопрос - как им воспользоваться?

Khul( 16.06.16 14:52 )
Khul:
BOFH: сталось еще понять, как эти теоретики собрались ключ для одноразовой транзакции считывать (подтверждений возможности этого я не увидел). Ну, и так, по мелочи, ключ формируется не заранее, а в момент транзакции


Ну я так понимаю, суть в том, что сканер условно говоря эмулирует эту самую транзакцию. Т.е. правильно его назвать не сканером, а фейковым платежным терминалом с высоким радиусом считывания. Ну а чип RFID сам передает на него всю, необходимую для транзакции информацию, включая свежесгенеррированый разовый код. В результате теоретический шанс на одну транзакцию у злоумышленника таки будет. Остается только открытым вопрос - как им воспользоваться?







Не будет шанса. Потому что при следующем сеансе связи будет другой одноразовый ключ, зависящий от другого получателя платежа. Не говоря уже о том, что при фейковой транзакции держателю карты придет СМС

И еще. Для фейковой транзакции нужно банк сэмулировать (каким образом?)

BOFH( 16.06.16 14:57 )
FlashXL:

Банку-эмитенту вообще всё равно, риски берёт на себя эквайрер.

Если эмитент принял транзакцию, то все риски легли на него. Экваер рискует если только он принял в оффлайне транзакцию, без обращения к эмитенту, а в во время клиринга ему отказали.

mig74( 16.06.16 15:09 )
BOFH: Не будет шанса. Потому что при следующем сеансе связи будет другой одноразовый ключ, зависящий от другого получателя платежа.

Но если после считывания фейковой транзакции небыло ни одного нового платежа, старый ключ все еще валиден. Точнее он будет все еще не потраченным, так что фактической же операции небыло.  Поэтому шанс таки есть.

BOFH: И еще. Для фейковой транзакции нужно банк сэмулировать (каким образом?)

Логично. Но как это сделать я тоже не знаю. Но теоретической возможности эмуляции так же не спешу отрицать.

Khul( 16.06.16 15:11 )
Khul:
BOFH: Не будет шанса. Потому что при следующем сеансе связи будет другой одноразовый ключ, зависящий от другого получателя платежа.


Но если после считывания фейковой транзакции небыло ни одного нового платежа, старый ключ все еще валиден. Точнее он будет все еще не потраченным, так что фактической же операции небыло.  Поэтому шанс таки есть.





Не согласен. Еще раз говорю, при повторной транзакции будет другой получатель, другой сеанс связи и другой одноразовый ключ, сохраненный не сработает. Если сначала получателем был фейковый терминал, то реально платить надо реальному продавцу, с другим ключом

BOFH( 16.06.16 15:16 )

Вот, ведь хотел в этот раз без чертовщины ...

Если изготовить дубликат карты с чипом, а затем с помощью пульта за 800$ создать квантовую запутанность носителей информации с картой потенциальной жертвы в вагоне метро ...

MetaReks( 16.06.16 15:17 )
Ирина Батьковна: То есть, получается, пока я не проверю движения по карте в интернет-банкинге

Так давно придумали мобильный банк, сразу зашел и проверил. У меня смс вообще не приходят, я все через мобильный банк смотрю, когда мне это удобно и это намного информативней.

LP_Masta( 16.06.16 15:18 )
BOFH: Пример? Это серьезно? То, что 15 лет назад первые поколения СИМ-карт можно было клонировать после многочасового считывания в кард-ридере с негарантированным результатом (карты часто дохли), приводится как пример возможности клонирования современных чипов кредиток по воздуху? Ну так то да, у Экслера ценят юмор

Тут дело в принципе: до того, как этот процесс появился, считалось, что оно вообще невозможно. Ни путем многочасового насилия над картой в считывателе, ни любым иным образом. А потом еще и в GSM-шифровании дыру нашли.
Поэтому меня весьма интересует источник вашей уверенности в том, что в PayPass аналогичной дыры нет и быть не может.

Khul: По существу то есть, что возразить? Ну там привести примеры удачно склонированных (и расшифрованных) дистанционно чипов банковских карт. Не RFID, а тех, которые с левой стороны карты.

Интересные, блин, люди... При чем тут дистанционное клонирование чипов, когда речь идет о сканере, якобы эксплуатирующем некую уязвимость именно PayPass?

Khul: Или описать технологию генерации разового пароля для подтверждения RFID транзакции  без доступа к карте-оригиналу можете?  

Мил человек, если бы у меня была такая информация, я бы ее не тут публиковал, а продал бы МастерКарду задорого. Или сляпал бы сканер и барыжил им за $800.

Khul: Кстати, а что-то не вижу, чтобы люди в панике прекратили пользоваться SIM-картами. А ведь на них теперь приходят коды доступа для банковских операций. Как же так?

Потому что банки со своей стороны приняли ответные меры. Например, ВТБ-24 рассылает коды пуш-сообщениями - именно из-за того, что среда СМС в свете последних событий перестала считаться доверенной. Ну а кто продолжает ими пользоваться и в ус не дует - у тех, наверное, и пароли вида "123456". И отношение к информационной безопасности соответствующее.

BOFH: Короче, вижу как миниму двух потенциальных клиентов на покупку этого говна.

Короче, вижу минимум двух диванных теоретиков, свято уверенных в отсутствии дыр в системе PayPass. Потому что так в мануале написано было. 15 лет назад.

Shadow Wizard( 16.06.16 15:21 )
BOFH: Еще раз говорю, при повторной транзакции будет другой получатель, другой сеанс связи и другой одноразовый ключ, сохраненный не сработает.

Возможно, что и так. У меня нет информации на основании каких данных генерируется данный ключ, так что вполне вероятно, что вы и правы. Тогда даже теоретической возможности потерять 1к рублей нету.

Khul( 16.06.16 15:22 )
aag: фио холдера, и название банка тоже не запрашивают?

А зачем эта информация? Номер карты является достаточным идентификатором для итогового доступа к расчетному счету.  Это в России почмеу-то любят усложнять жизнь и требуется указывать все реквизиты, хотя для юр. лица достаточно ИНН, для физ лица любого номера оф. документа из общей базы (СНИЛС/Паспорт/ИНН), для оплат номера расчетного счета и БИК. Остальное избыточная информация.

LP_Masta( 16.06.16 15:22 )
Shadow Wizard: Мил человек, если бы у меня была такая информация, я бы ее не тут публиковал, а продал бы МастерКарду задорого.

Т.е. технически обоснованных аргументов не будет? Ваши же слова, между прочим.

Shadow Wizard: Например, ВТБ-24 рассылает коды пуш-сообщениями

Лол, что? ВТБ-24, как флагман ИТ-банкинга? Спасибо, вы сделали мне смешно.

Shadow Wizard: При чем тут дистанционное клонирование чипов, когда речь идет о сканере, якобы эксплуатирующем некую уязвимость именно PayPass?

При том, что в третий раз - RTFM. И пока не поймете основ работы данной технологии, говорить с вами решительно не о чем.  

Khul( 16.06.16 15:26 )

Khul:
BOFH: Еще раз говорю, при повторной транзакции будет другой получатель, другой сеанс связи и другой одноразовый ключ, сохраненный не сработает.

Возможно, что и так. У меня нет информации на основании каких данных генерируется данный ключ, так что вполне вероятно, что вы и правы. Тогда даже теоретической возможности потерять 1к рублей нету.



По-моему, логично формировать одноразовый ключ как функцию от обеих сторон транзакции, иначе можно было бы платить с одним ключом многократно, не правда ли?
BOFH( 16.06.16 15:26 )
BOFH:
Пример? Это серьезно? То, что 15 лет назад первые поколения СИМ-карт можно было клонировать после многочасового считывания в кард-ридере с негарантированным результатом (карты часто дохли)

Не 15, а еще пять лет назад сканилась большая часть симок МТС (последнюю партию я аккурат в 2011 году и сосканил) и весь билайн.
Не многочасовое считывание, а максимум 20 минут в ридере вороном (большей части сим-карт хватало минут 8-10).
Из пары сотен отсканированных карт не сдохла в процессе ни одна, даже симки, которыми я пользовался до этого момента на протяжении 10 лет.
И да, все симки были отсканированы с успехом.
Многие десятки знакомых до сих пор используют мультисимки.
Romulus( 16.06.16 15:32 )
Romulus:
BOFH:

Пример? Это серьезно? То, что 15 лет назад первые поколения СИМ-карт можно было клонировать после многочасового считывания в кард-ридере с негарантированным результатом (карты часто дохли)


Не 15, а еще пять лет назад сканилась большая часть симок МТС (последнюю партию я аккурат в 2011 году и сосканил) и весь билайн.

Не многочасовое считывание, а максимум 20 минут в ридере вороном (большей части сим-карт хватало минут 8-10).

Из пары сотен отсканированных карт не сдохла в процессе ни одна, даже симки, которыми я пользовался до этого момента на протяжении 10 лет.

И да, все симки были отсканированы с успехом.

Многие десятки знакомых до сих пор используют мультисимки.


Возможно. Я этим процессом достаточно давно интересовался, при другой материальной части. Но сейчас ведь не сосканировать, даже в ридере. Это ведь не будете отрицать?
BOFH( 16.06.16 15:35 )
Vasilkysk: По-моему до тысячи, и это не настройки терминала, а правила платежной системы.

Я с год назад отучил местную Ленту проводить у меня мелкие платежи без пин-кода, но требуя при этом удостоверение личности.
Теперь по умолчанию включена проверка пин-кода и только по желанию покупателя - авторизация с документами и подписью на чеке.
Так что это дело не платежной системы.
Romulus( 16.06.16 15:38 )
Romulus: Так что это дело не платежной системы.

Платежной. У них прописаны вполне конкретные правила для разных операций и разных методов авторизации. Другое дело, что банк, которые принимает платеж, может проигнорировать данные требования. Но на свой страх и риск. И рано или поздно к нему придет антифрод. ;) Ну и плюс к этому бывают местные идиотские правила непосредственно продавцов. В частности некоторые требовали после операции по пину расписываться клиенту на их чеке. Мол у них такие внутренние правила.  

Khul( 16.06.16 15:41 )
BOFH: Возможно. Я этим процессом достаточно давно интересовался, при другой материальной части. Но сейчас ведь не сосканировать, даже в ридере. Это ведь не будете отрицать?

Строго говоря, это не совсем скан симки. Это подбор закрытого ключа на основе анализа входных и выходных данных.
Просто так всегда было удобнее обозначать этот процесс. :-)
Изменился алгоритм шифрования, который пока не вскрыт. Соответственно пока и не сканируется. Криминальные цели сейчас достигаются другими путями. :-)
Romulus( 16.06.16 15:49 )
BOFH: Ну потолкайся, потолкайся. А пока на черном рынке за 800 долларов можно купить сканы нескольких тысяч кредиток, да еще и с данными магнитной полосы. Полученных через "работников под подозрением"

Зачем покупать? Тут как раз можно продавать их.

BOFH: Короче, вижу как миниму двух потенциальных клиентов на покупку этого говна. Хотя, возможно, кто-то из них со стороны продавцов

Пока вижу, что вы проецируете свои желания на ни в чём не повинных людей.

BOFH: И давно у нас подпольным казино платежные системы предоставляют процессинг?

Платёжные системы не предоставляют. Вы читать совсем разучились? Предоставляют шлюзы. Коих число - тьма.

Khul: Вот собственно на вход в это самое метро и тратишь свою транзакцию.

На вход, а не на выход же.

Khul: Так что боюсь подельника розорвет в макдаке от реализации стыренного.

В нашем захолустье самое распространённое рфид место - заправки газпрома. Бензином тарится выгоднее,  чем гамбургерами :)

BOFH: И такую ерунду, как СМС-информирование, никто не отменял

И чем вам поможет смс-информирование? Расскажет о том,  что у вас были деньги, а теперь их нет? Ну, если вам от этого станет легче, то спору нет.

mig74: Ваш банк-эмитент примет транзакцию чиповой карты без пина/cvc2 ?

От амазона проходят. На трёх разных банках проверял. Амазон вообще шаманы - как-то прислали денег на заэкспайреную несколько лет назад карту.

dime( 16.06.16 15:50 )
Khul: Платежной. У них прописаны вполне конкретные правила для разных операций и разных методов авторизации. Другое дело, что банк, которые принимает платеж, может проигнорировать данные требования. Но на свой страх и риск.


Именно правила платежной системы я и сунул администрации Ленты под нос с целью доказать, что именно я, как держатель карты, имею право выбрать авторизацию для данных операций с помощью пин-кода, а не документы-подпись.

И они имеют техническую возможность и обязанность удовлетворить мое требование о выборе метода авторизации.

Я говорю о том, что платежная система не диктует условия в стиле: платеж до 1000 рублей авторизуется только одним путем, а свыше - другим. На тот момент в правилах платежной системы я вообще не нашел пункта, разграничивающего проведение платежей до 1000/1500 и свыше.

А вот как раз прием платежей совсем без авторизации на тот момент был недопустим по правилам платежной системы ни при каких суммах.

ps: Еще раз повторюсь для однозначности восприятия:
В рамках правил платежной системы у эквайера есть свобода выбора настроек терминала для авторизации платежей по умолчанию. И это зависит от эквайера, а не платежной системы.
Romulus( 16.06.16 15:55 )
Для отправки комментария необходимо зарегистрироваться

 
← Предыдущая  12 Следующая →
 
Информация
О разделе
RSS-лента
Мобильная версия
Книги Экслера скачать в FB2
Книги Экслера скачать в EPUB
Поиск по сайту
Рубрикатор
coub  (2)
авто  (261)
бытовуха  (948)
видео  (1855)
вино  (179)
выставки  (188)
гаджеты  (905)
гламурье  (15)
деревня  (1)
детишки  (30)
дрон  (1)
еда  (229)
железо  (234)
животные  (187)
жулики  (97)
забавно  (1105)
игры  (67)
интересно  (138)
Интернет  (1009)
искусство  (141)
Испания  (481)
истории  (136)
картинки  (572)
Каталония  (21)
кино  (980)
книги  (146)
кретинизм  (229)
криминал  (4)
культурка  (6)
лытдыбр  (15)
магазины  (1)
маразм  (57)
медицина  (10)
менты  (5)
мне пишут  (14)
мои фото  (154)
музыка  (157)
мы вместе  (1)
новости  (22)
о высоком  (116)
о низком  (148)
обновление  (1244)
паноптикум  (49)
пишут  (23)
поездки  (914)
пожар  (7)
понаехали  (2)
попы  (86)
разное  (615)
ребенок  (13)
реклама  (212)
репортаж  (1)
рецепты  (1)
РЩД  (144)
связь  (15)
скорблю  (59)
СМИ  (842)
софт  (578)
социалка  (187)
спорт  (29)
СЭКС  (7)
технологии  (20)
тип  (2)
тмп  (10)
трэш  (9)
туризм  (1)
фотография  (85)
Франция  (3)
хреновация  (1)
шарлатаны  (31)
Экслер  (869)
юмор  (7)


Счетчики
 
Хостинг от «Зенон»Сервера компании «ETegro»
Сделано в