Бесконтактная оплата картой как это работает

Приложение банка Тинькофф превращает смартфон с NFC в банковскую карту

В России пластик с бесконтактной оплатой выпускает сегодня каждый уважающий себя финансово-кредитный институт. Бесконтактная оплата картой Сбербанка совершается молниеносно, а сам пластик ничем не отличается от обычного, без NFC модуля. Технология бесплатная, то есть за получение и обслуживание таких карт клиенты не платят ни копейки, а сами транзакции не подлежат взиманию комиссий.

Подключать технологию не нужно, она работает с момента активации карточки. Чтобы оплатить покупку, просто поднесите платежный инструмент к POS-терминалу и дождитесь характерного звукового сигнала.

https://www.youtube.com/watch?v=X88MlHAEvsM

Если вы хотите совершать бесконтактные платежи на смартфоне, нужен телефон с поддержкой NFC. Далее пользователь скачивает специальное приложение, устанавливает его на смартфон и добавляет свою карту. Ниже мы приведем подробную инструкцию по совершению бесконтактной оплаты телефоном для карточек Сбербанка, ВТБ, Тинькофф и других банковских учреждений.

В моей предыдущей статье

про СКУД на базе Apple Pay меня раскритиковали в комментариях, рассказывая, что имея только последние 10 цифр карты можно украсть деньги. В дампе выше указан не только полный номер моей карты, но также и expiration date. Этих данных вполне достаточно, чтобы платить в некоторых магазинах в интернете.

Форма добавления карты в Amazon не требует CVV

Будь это номер физической карты, деньги действительно можно было бы украсть, но данные токена Apple Pay можно использовать ТОЛЬКО для операций Client Present (CP), когда карта подписывает транзакцию криптографический подписью. Эти данные нельзя использовать для оплаты в интернете и других операций типа Card not present (CNP), то есть по телефону или имейлу. То-то же!

Всем желающим убедиться в этом, сообщаю, что реквизиты из перехваченного выше дампа Apple Pay на данный момент актуальны и привязаны к действующей карте, на которой есть деньги. На момент написания статьи это 5 тысяч рублей. Предлагаю попробовать их украсть 🙂

Как пользоваться бесконтактной картой Сбербанка? Для начала нужно убедиться, что на платёжном терминале присутствует значок в виде волн. Терминалы, принимающие бесконтактную оплату, оснащены логотипами MasterCard PayPass и Visa PayWave. Соответственно, карты выпускаются в платёжных системах MasterCard и Visa. Недавно бесконтактную оплату стало возможно производить картой Мир от Сбербанка.

Как это работает → Пошаговая инструкция оплаты на кассе:

• Сначала нужно проверить сумму покупок. Возможность бесконтактной оплаты актуальна только для чека на сумму менее 1 тысячи рублей. Если это значение превышено, оплатить картой можно, но классическим способом с вводом ПИН-кода.
• Поднести карту к терминалу. Причём не нужно касаться считывающего устройства – достаточно расстояния в 3-5 сантиметров.
• Спустя пару-тройку секунд терминал издаст характерный звук (в случае успешной оплаты), а деньги будут списаны с карты мгновенно.

Благодаря нововведениям Сбербанка, в личном кабинете на официальном сайте можно узнать, как была произведена оплата – с вводом ПИН-кода, или платёж был бесконтактным.

В данном банковском продукте можно выделить как плюсы, так и минусы. Стоит подробнее рассмотреть каждый из них, так как это может повлиять на будущий выбор типа карты.

К преимуществам относятся:

• Быстрая оплата без ввода ПИН-кода, что помогает увеличить скорость обслуживания клиентов, сокращая время пребывания в очереди.
• Возможность расплатиться за проезд в метро и другом общественном транспорте, приложив карту к считывающему устройству.
• Камеры не могут заснять процесс ввода ПИН-кода, что обеспечивает дополнительную защиту от злоумышленников.
• Бесконтактная карта прослужит дольше, так как не нужно каждый раз вставлять её в терминал.
• Оплатить такой картой можно, не доставая её из чехла или кошелька (при таком подходе отсутствует опасность компрометации персональных данных).

Недостатки заключаются в следующем:

• Считывающее оборудование дорого стоит, поэтому присутствует не во всех магазинах.
• Если карта попадёт в руки злоумышленников, они могут совершать покупки небольшими суммами до 1000 рублей, так как не нужно знать ПИН-код.
• Мошенники пользуются RFID-ридерами, при близком контакте карты с которыми произойдёт мгновенное списание денежных средств. Чтобы обезопасить себя, лучше пользоваться защитным кошельком, который не пропускает радиоволны.

Со временем карты с бесконтактной оплатой становятся всё популярнее, особенно среди молодёжи. Несмотря на некоторые недостатки, данный банковский продукт – удобный и безопасный инструмент оплаты покупок. Со временем технология оплаты в одно касание будет распространяться все больше. Лимит сумм на бесконтактную оплату без ввода пин-кода будет также повышаться, поэтому приобретать такую карту однозначно выгодно.

Также вам будет интересно:

1. Сбербанк кредит рассчитать;
2. Платежная карта мир сбербанк;
3. Карта Сбербанка платинум премьер.

{amp}gt;

В России платёжные карты с технологией бесконтактной оплаты выпускаются с 2008 года, но до сих пор так и не получили широкого распространения – их эмитируют лишь около 50 отечественных банков. Тем не менее, определённый спрос на данный продукт все же имеется – бесконтактные банковские карты есть примерно у 2 млн россиян.

Бесконтактная банковская карта – «пластик», в который встроен чип с антенной (RFID-метка), передающий информацию о платеже по радиоканалу. В магазинах, принимающих подобные карты, установлен специальный бесконтактный терминал.

Для расчёта бесконтактной банковской картой необходимо приложить или поднести «пластик» к считывающему устройству терминала. Проведение операции не требует ни введения ПИН-кода, ни подписи на чеке. Максимальная сумма транзакции всегда ограничена – по картам российских банков она составляет 1 тыс. рублей.

Бесконтактная банковская карта может быть дебетовой или кредитной, классической или кобрендинговой, стандартной или премиальной. Стоимость, условия обслуживания и возможности подобного продукта определяются непосредственно банком-эмитентом.

Владельцы бесконтактных карт защищены от кражи данных с помощью скимминга или банального фотографирования «пластика» недобросовестными кассирами и службами видеонаблюдения в магазинах. RFID-метка, встроенная в «пластик», содержит сведения о номере и дате срока действия бесконтактной банковской карты, которые, кстати, передаются считывателю в незашифрованном виде.

Но в отличие от обычных магнитных и чиповых карт «пластик» с бесконтактной технологией оплаты не хранит сведения о CVV коде. Для каждой последующей операции формируется динамический одноразовый CVV. Бесконтактный «пластик» более безопасен чем магнитная карта, но уступает в данном вопросе платёжным инструментам, содержащим только обычный чип.

Например, в прошлом году у россиян, использующих карты payWave и PayPass было украдено 2 млн рублей. С помощью самодельных RFID-ридеров, мошенники считывали с карт посетителей торговых центров динамический CVV, а затем создавали их клоны и рассчитывались ими в ближайшее время в магазинах.

Справедливости ради отметим, что при желании вы можете обезопасить себя от подобных краж с помощью экранирующих радиосигналы «карточек», кошельков, чехлов, кардхолдеров или сумок, которые уже не первый год продаются в Рунете.

Технологии бесконтактных платежей, несмотря на относительную новизну в России, уже более 10 лет. В 2003-2004 годах MasterCard и Visa стали проводить первые тесты по использованию дистанционной оплаты с банковских карт. Несмотря на единые стандарты протоколов обмена, технологии у двух конкурирующих компаний получили разные названия:

1. MasterCard PayPass
2. Visa payWave.

Как пользоваться

Работает бесконтактная технология оплаты очень просто:

• Проверяете сумму оплаты на кассе, терминал.
• Подносите на близкое расстояние свою бесконтактную карту (0,5-1 см) к считывающему устройству или касаетесь его.
• Видите на дисплее надпись «Оплачено» (или синонимы) и слышите звуковой сигнал — всё, покупка состоялась.

Единственное, что может дополнительно понадобится — это ввод ПИН-кода или подпись чека — при сумме покупки больше 1000 рублей. Дело в том, что эмитенты бесконтактных карт устанавливают лимиты на такого рода платежи в разных странах. В Европе, например, вводить ПИН-код потребуется при сумме выше 25 евро, а в США при сумме выше 15 долларов.

Достоинства

1. Удобство — не нужно даже доставать карту из кошелька (при условии, что там у вас одна бесконтактная карточка);
2. Быстрота — покупка проходит существенно быстрее, от этого выигрывает и покупатель и продавец;
3. Безопасность — не передавая в чужие руки карту, вы снижаете на нет возможность утечки реквизитов карты.

Недостатки

Основной недостаток, применимый конкретно в России, это пока что малая распространенность терминалов для бесконтактной оплаты. Хотя если говорить о Москве, то таких точек становится все больше и больше: Макдональдс, Ашан, Азбука вкуса, KFC, Лукойл, Икеа и т.д. С полным и актуальным списком с привязкой к населенному пункту можно ознакомиться на сайте MasterCard.

Где оформить

На данный момент карты MasterCard PayPass предлагают более 30 банков, среди них: Альфа-банк, Ак Барс, Райффайзен, Ситибанк, Тинькофф, Сбербанк, Промсвязьбанк и другие. Карты Visa payWave можно оформить в банках: Авангард, Альфа-банк, Сбербанк, Газпромбанк, Уралсиб, Таврический, ЮниКредит и другие.

Проблема: Несколько карт в кошельке

Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит

в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.

Конкретно мой терминал Igenico iWL250 при обнаружении в поле действия более одной карты с SAK, обозначающим поддержку протокола 14443-4, возвращает ошибку: «предъявите одну карту».

Но так поступают не все терминалы. Например, сбербанковские POS-терминалы VeriFone выбирают случайную карту из нескольких. Некоторые терминалы просто игнорируют все карты, если их более одной, не показывая сообщений об ошибке.

Чтение одной конкретной карты из нескольких — непростая задача на физическом уровне. Для решения этой проблемы существует механизм антиколлизий. Он позволяет выбрать одну карту, если был получен ответ от нескольких карт сразу. Это самый первый этап установления связи с бесконтактной картой в протоколе ISO-14443A.

Так, например, используемая в московском общественном транспорте карта «Тройка» (стандарта Mifare) имеет значение SAK=0x08 (b00001000), в котором шестой бит равен нулю. В то время как у всех банковских карт в ответах SAK шестой бит равен 1, что означает поддержку протокола ISO 14443-4.

Поэтому все, что может сделать терминал при обнаружении нескольких карт одновременно — исключить карты, не поддерживающие ISO 14443-4, и выбрать одну из похожих на банковскую. Поддержка протокола ISO 14443-4, кстати, не гарантирует, что эта карта будет банковской, однако вероятнее всего, в кошельке обычного человека не будет карт другого типа, поддерживающих ISO 14443-4.

Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.

Однако мы будем считать, что нашему мошеннику очень везёт, и это ограничение его не беспокоит.

Платежные системы

Помимо банковских карточек, вы можете совершать бесконтактную оплату с виртуальных кошельков различных платежных систем. Например, такая возможность есть у приложения Яндекс.Деньги. Если ваш телефон оснащен модулем NFC, система автоматически выпустит виртуальную карту со значком перевернутого WiFi.

Отдельно упомянем платежную систему МИР, которая также выпускает карты с бесконтактной оплатой, но сама система поддерживается не всеми банками. Более подробную информацию вам дадут в отделении вашего банка.

Оффлайн vs Онлайн транзакции

В устрашающих сюжетах новостей рассказывают о мошенниках с POS-терминалами в вагонах метро, которые прямо в пути списывают у вас из карманов деньги. В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро. Возможно, его терминал поддерживает оффлайн-транзакции?

Спецификации EMV допускают оффлайн-транзакции. В таком режиме списание происходит без онлайн-подтверждения со стороны банка-эмитента. Это работает, например, в общественном транспорте в Москве и Санкт-Петербурге. Чтобы не занимать очередь на входе в автобус, пока терминал выполнит онлайн-подтверждение, вас пропускают сразу, не проверяя, достаточно ли у вас денег на счету для оплаты проезда.

В конце дня, когда на терминале появляется интернет, подписанные транзакции отправляются в банк-эмитент. Если окажется, что в этот момент у вас нет денег на оплату проезда, карта будет добавлена в стоп-лист на всех терминалах в городе. Долг можно погасить через личный кабинет по номеру карты. Подробнее об оплате проезда в автобуса Санкт-Петербурга.

https://www.youtube.com/watch?v=FAcoR9cLF_U

Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний. Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.

Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя.

Как платить часами

Итак, у вас есть модуль NFC в телефоне, что такое бесконтактная оплата – вы знаете, и активно хотите применять технологию. Давайте рассмотрим, как настроить бесконтактную оплату на телефоне.

Устройство выглядит, как обычные часы, но оно содержит встроенный модуль NFC. На часы можно установить те же приложения, что и на смартфон, сюда же добавляются карты, соответственно, инструкции для подключения аналогичны алгоритмам для телефонов. Чтобы воспользоваться бесконтактной оплатой, просто поднесите гаджет к терминалу.

Подсчитываем прибыль

В нашем сценарии себестоимость атаки была 100 000 рублей. Это значит, что для того, чтобы хотя бы вернуть вложения, нашему герою нужно выполнить минимум 100 транзакций по 1 тысяче рублей. Представим, что он был достаточно проворным и весь день бегал по городу, прижимаясь ко всем подряд, так, что к концу дня сделал 120 успешных списаний. Мы не будем учитывать комиссию эквайринга (в среднем 2%), комиссию на обналичивание (4-10%) и другие комиссии.

Может ли он успешно обналичить деньги, используя карту, привязанную к расчетному счету?

В реальности не все так просто. Зачисление денег на счет мошенника произойдет только через несколько дней! За это время, наш мошенник должен надеяться, что никто из ста двадцати жертв не оспорит транзакцию, что крайне маловероятно. Поэтому в реальности, счет мошенника будет заблокирован еще до зачисления на него денег.

Что представляют собой бесконтактные карты, и как ими пользоваться

Мы с вами подробно рассмотрели бесконтактный способ оплаты картой и смартфоном, а теперь выясним, как пользоваться умными гаджетами.

Внешне браслет напоминает обыкновенный ремешок от часов. Внутрь вставлен чип NFC, именно благодаря которому и проходят транзакции. К слову, чип легко извлекается и подключается к другим устройствам. В комплекте с браслетом идет мини-таг карта, которую нужно вставить в специальный слот в устройстве. Далее, синхронизируйте гаджет со смартфоном и добавьте банковскую карточку. Теперь можно начинать пользоваться бесконтактной оплатой! От вас потребуется лишь поднести руку к турникету в метро или к пос-терминалу в магазине.

Бесконтактная банковская карта — это всем знакомая пластиковая карта, в которую встроена RFID — метка. Простыми словами карта содержит специальный чип с антенной, который и передает информацию по радиоканалу в терминал. Сейчас практически в каждой точке оплаты установлены новые модели терминалов, способных улавливать такой маяк.

Сам процесс оплаты — это сложная программа, однако для пользователя все выглядит намного проще.

Все что требуется, это приложить пластик к экрану считывающего устройства. В этот момент информация о платеже распознается терминалом и происходит оплата. Процесс занимает доли секунд, при этом нет необходимости вводить ПИН — код, или ставить подпись на чеке. Единственное неудобство — это то, что сумма транзакций всегда ограничена и составляет 1 000 рублей (в данный момент есть новости, что размер операций, без ввода ПИН кода, может быть увеличен до 3 000 рублей). Если пользователь совершает покупку на сумму больше установленного порогового значения, то ПИН — код вводить все таки придется.

Практически все российские банки предлагают своим клиентам оформить карту бесконтактной оплаты системы VISA — технологии payWave, или Master Card — с технологией PayPass. Вне зависимости от выбранной платежной системы, бесконтактные карты могут быть как дебетовыми, так и кредитными, как классическими, так и кобрединговыми, как стандартными, так и премиальными. Что касается стоимости и условий обслуживания, то такие правила устанавливает непосредственно то учреждение, которое и выпускает карту.

Использовать бесконтактную пластиковую карту просто. Однако скорость оплаты, зачастую может сыграть и злую шутку. Например, пользователи просто напросто не замечают сколько же денег с них списал продавец. Для того чтобы не попасть в неприятную ситуацию достаточно соблюдать и обращать внимание на несколько правил:

1. На терминале способным принимать бесконтактную оплату должна быть надпись Visa Pay Wave или MC Pay Pass и их логатип;
2. После того, как продавец вводит сумму оплаты, она автоматически отображается на экране. Перед тем, как приложить карту необходимо еще раз удостоверится в правильности введенных данных. Поскольку с карты спишется именно эта сумма денег;
3. После того как сумма сверена, необходимо поднести карту к экрану терминала на расстояние не менее 4 см. Если сумма платежа более 1 000 рублей, то следует ввести ПИН — код. Однако многие банки могут и самостоятельно устанавливать лимиты. Например, Тинькофф банк устанавливает такие ограничения, действующие в течение одного рабочего дня;
4. После удачно совершенного платежа терминал подает характерный звуковой сигнал. Не стоит бояться что оплата может пройти дважды, поскольку для этого продавцу необходимо снова вручную ввести сумму списания.
5. Обязательно нужно подключить услугу СМС оповещения. Так пользователь сможет своевременно реагировать на операции, совершаемые по карте;
6. Не следует держать карту рядом с телефоном, поскольку так он выступает в роли передатчика информации;
7. Можно самостоятельно установить лимит;
8. Многие пользователи рекомендуют держать карту в специальных чехлах, или фольге, поскольку такой материал не пропускает радиоволны, а значит мошенническое списание денег не возможно;
9. Стараться находится от людей на расстоянии не менее 15 см. Так радиосигнал будет недоступен.

Маркетологи отмечают, что бесконтактные карты оплаты значительно разгрузили кассы. Даже несмотря на большие очереди, на обслуживание одного покупателя приходится несколько минут. И это не удивительно, ведь при использовании такой карты не нужно доставать кошелек, считать наличность, сдавать сдачу. На первый взгляд все выглядит просто идеально, но так ли это на самом деле? И существует ли «обратная сторона медали»?

Вывод

Себестоимость атаки в нашем сценарии — 100 000р. В действительности, она будет в несколько раз выше, поэтому мошеннику потребуется намного больше усилий для того, чтобы получить прибыль.

В нашем сценарии мошенник всегда списывает по 999.99 рублей, что, вероятнее всего, повлечет за собой срабатывание системы антифрода на стороне банка-эквайера. В реальности мошеннику потребуется списывать меньшие суммы.

Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв. Если даже десяток из них обратится банк-эмитент и оспорит транзакцию, счет мошенника, скорее всего, будет заблокирован. Сценарий, в котором банк-эквайер находится в сговоре с мошенником маловероятен, потому как лицензия для работы с МПС стоит сильно больше, чем любые потенциальные прибыли от такого вида мошенничества.

Из 20 испытуемых только у трех удалось списать деньги с карты, что составляет 15% успеха от всех попыток. Это были те искусственные случаи, когда в кармане находилась одна единственная карта. В случаях же с кошельком и несколькими картами, терминал возвращал ошибку. В сценарии с терминалом, который использует модифицированную прошивку и реализует механизм антиколлизий, процент успешных списаний, возможно, будет выше.

Бесконтактные платежные системы достаточно надежно защищены. Несмотря на теоретическую возможность мошенничества, на практике она оказывается нерентабельна и крайне тяжело осуществима. Нет никакой причины бояться бесконтактных карт или пытаться

При прочих равных, Apple Pay будет безопаснее обычной пластиковой карты. Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной бесконтактной карте, и завести вторую карту только для оплаты в интернете.

Как оплачивать кольцом

Принцип действия данного гаджета аналогичен предыдущему. Синхронизируйте его со смартфоном, добавьте банковскую карту, включите NFC на телефоне. Радиус действия кольца очень маленький – не дальше 1,5 см, поэтому подносите его к аппарату оплаты максимально близко.

Осуществлять бесконтактную оплату можно в любой форме торговых отношений. Ограничения определяются только отсутствием терминала, который считывает NFC-сигналы.

Оплата интернет-покупок

Для оплаты покупок на онлайн-сервисах необходимо предоставить идентификационные сведения, подтвердить списание средств с помощью одноразового пароля. Для интернет-магазина не имеет значения способ реализации оплаты, так как нет физической возможности оплаты касанием.

Оплата в автобусе

Чтобы осуществить операцию списания денег со счета клиента, необходимо наличие POS-терминала. Карта прислоняется к считывающему устройству, после чего производится оплата.

Оплата через терминал или банкомат

Алгоритм оплаты достаточно прост:

• Убедиться в наличии NFC-считывателя, так как не все банкоматы и терминалы поддерживают технологию бесконтактной оплаты.
• Идентифицировать личность и карту. Приложить карту к считывателю (небольшая черная коробочка, обычно расположенная около клавиатуры) и ждать запроса PIN-кода.
• Убрать карту и ввести PIN-код.
• Совершить необходимые действия (оплатить услуги, перевести денежные средства на счет, запросить баланс и т.д.).

Все процедуры завершаются внесением секретных данных для подтверждения операции.

Оплата в розничном магазине

Чтобы произвести оплату бесконтактной картой на кассе магазина, необходимо придерживаться следующего алгоритма:

• Дождаться формирования предварительного чека кассиром. На экране терминала высветится сумма платежа, которую следует проверить для исключения конфликтных ситуаций.
• Приложить карту для оплаты. Если сумма более 1000 рублей, то ввести PIN-код для подтверждения платежа. Если PIN-код введен неверно, то понадобится повторное проведение операции. Максимальный лимит для оплаты зависит от типа карты и банка.
• Дождаться звукового сигнала о списании денег. Терминал отключается, что защищает клиента от двойного списания суммы.
• Получить чек.

При использовании карты за пределами страны необходимо уточнять ограничения у кассира. В некоторых странах на бесконтактные платежи накладывается определенный лимит, тогда провести операцию можно лишь контактным способом.

Сценарий 1 — обычный POS-терминал

Самый популярный сюжет мошенничества в головах обывателей: к ним в толпе прижимается мошенник с включенным терминалом и списывает деньги. Мы попытаемся воспроизвести этот сценарий в реальности.

Условия следующие:

• У мошенника полностью рабочий обыкновенный POS-терминал, подключенный к банку-эквайеру, такой же, как в магазинах и у курьеров. Прошивка терминала не модифицирована. В нашем случае — Ingenico iWL250. Это портативный POS-терминал с GPRS модемом, который поддерживает бесконтактную оплату, работает от батарейки и полностью мобилен.
• Мошенник не использует дополнительные технические средства, только POS-терминал
• Списанные средства зачисляются на расчетный счет мошенника, по всем правилам банковских систем

Юридическое лицо

Для начала нам потребуется юридическое лицо с расчетным счетом и подключенным эквайрингом. Мы, как настоящие мошенники, не будем ничего оформлять на свое имя, а попытаемся купить готовое юр. лицо на сайте для таких же мошенников. Для этого посмотрим объявления с первой страницы гугла по запросу «купить ип» и «купить ооо».

Предложения о продаже готовых компаний от мошенников (кликабельно)

Цена компании на черном рынке с расчетным счетом колеблется от 20 до 300 тысяч рублей. Мне удалось найти несколько предложений ООО с POS-терминалом от 200 тысяч рублей. Такие компании оформлены на подставных лиц, и покупатель получает весь пакет документов, вместе с «кеш-картой» — это банковская карта, привязанная к расчетному счету подставной компании. С такой картой мошенник может обналичивать деньги в банкомате.

Допустим, наш мошенник работает на кассе в магазине или курьером с мобильным POS-терминалом. В таком случае, у него появляется возможность вылавливать данные карты, которых, в некотором случае, может быть достаточно для оплаты в интернете.

Для начала разберемся, как именно выглядит бесконтактная транзакция, и какими данными обменивается карта с POS-терминалом. Так как нам лень читать тысячи страниц документации EMV Contactless Specifications , мы просто перехватим обмен на физическом уровне с помощью сниффера HydraNFC.

Есть некоторая разница между EMV-спецификацией для MasterCard PayPass и Visa payWave. Это разница в формате подписи и некоторых данных. Но для нас это несущественно.

Разбор протокола EMV

Разберем каждую строку строку из перехваченного дампа в отдельности.

R{amp}gt;{amp}gt; — данные, переданные POS-терминалом T{amp}gt;{amp}gt; — данные, переданные картой (в нашем случае телефон с Apple Pay)

14443-A Select

В начале обмена терминал устанавливает соединение с картой на канальном уровне. Для тех, кто знаком с сетями и моделью OSI, будет удобно представить это в качестве уровня L2, а UID (Unique Identifier) карты как MAC-адрес узла.

Важное отличие обычной платежной карты от Apple Pay в том, что в карта всегда доступна для считывания и никак не позволяет управлять процессом считывания. Ее можно бесконтрольно считать через одежду, в то время как телефон, попадая в поле действия считывателя, предлагает пользователю активировать виртуальную карту. До подтверждения пользователя телефон не передает никакие данные, и считыватель даже не знает, что рядом находится виртуальная карта.

R{amp}gt;{amp}gt; 52 // WUPA (wake up)
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
T{amp}lt;{amp}lt; 04 00 // ATQA (Answer To Request type A) 
R{amp}gt;{amp}gt; 93 20 // Select cascade 1 (Anti Collision CL1 SEL)
T{amp}lt;{amp}lt; 08 fe e4 ec fe // UID (4 bytes)   BCC (Bit Count Check)
R{amp}gt;{amp}gt; 93 70 08 fe e4 ec fe dd 6e // SEL (select tag 0x9370)   UID   CRC16
T{amp}lt;{amp}lt; 20 fc 70  // SAK (Select Acknowledge 0x20)   CRC16 
R{amp}gt;{amp}gt; 50 00 57 cd // HALT (Disable communocaion 0x5000)   CRC16
R{amp}gt;{amp}gt; 26 // REQA
R{amp}gt;{amp}gt; 52 // WUPA
T{amp}lt;{amp}lt; 04 00 // ATQA
R{amp}gt;{amp}gt; 93 70 08 fe e4 ec fe dd 6e // SELECT
T{amp}lt;{amp}lt; 20 fc 70 // SAK
R{amp}gt;{amp}gt; e0 80 31 73 // RATS (Request Answer to Select 0xE080)   CRC16
T{amp}lt;{amp}lt; 05 78 80 70 02 a5 46 // ATS (Answer to select response)

Терминал постоянно передает команду

Wake-up (WUPA), и как только в поле действия появляется карта, она отвечает командой Answer To Request type A (ATQA), в нашем случае это

. Ответ ATQA может различаться в зависимости от производителей чипа.

Получив ответ ATQA, терминал начинает процедуру выявления коллизий, чтобы определить, есть ли в поле действия более одной карты. Команда 0x93 0x20 Select cascade level 1 (SEL CL1) запрашивает у всех карт в поле действия сообщить первую часть своих идентификаторов UID.

Карта отвечает 0x08 0xFE 0xE4 0xEC 0xFE, первые четыре байта — UID виртуальной карты Apple Pay и контрольная сумма 0xFE Bit Count Check (BCC) в конце.

Получив идентификаторы карт, считыватель обращается к конкретной карте командой 0x93 0x70 (SELECT). За командой следует UID карты 0x08 0xfe 0xe4 0xec 0xfe BCC 0xdd 0x6e CRC16.

Карта отвечает 0x20 Select Acknowledge (SAK) 0xfc 0x70 CRC16.

Если на этом шаге получено несколько ответов SAK, ридер может уменьшить длину UID в команде SELECT, пока не ответит единственная карта. Однако, как показано выше, некоторые POS-терминалы отказываются продолжать, если на этом этапе выявлены коллизии, то есть присутствие нескольких карт одновременно.

Ридер посылает команду

HALT

CRC16. Это команда завершения связи.

Дальше процедура повторяется заново, ридер снова пробуждает карту (WUPA), но уже без проверки коллизий, сразу выполняется SELECT. Зачем так сделано — не знаю, возможно, это какой-то более надежный способ определения коллизий.

Во второй раз ридер уже посылает команду 0xE0 0x80 Request Answer to Select (RATS) 0x31 0x73 CRC16.

Карта отвечает 0x05 0x78 0x80 0x70 0x02 Answer to select response (ATS) 0xA5 0x46 CRC16.

Answer to select — ответ аналогичный Answer To Reset (ATR) для контактных карт. В нем содержится информация о максимальном размере кадра и параметрах канального уровня.

На этом этапе «канальный» уровень завершен, далее начинается обмен на более высокоуровневом протоколе, в зависимости от приложения, содержащегося на карте. Операция SELECT одинакова для всех бесконтактных карт стандарта ISO 14443A, в том числе NFC-меток, билетов на общественный транспорт, и т.д.

Безопасна ли технология?

В защиту безопасности технологии говорят следующие факты:

• • Маленький радиус соединения;

• • Мнение, что любой терминал (даже купленный мошенниками) может самовольно списывать деньги с вашего карточного счета (например, в переполненном вагоне метро) ошибочно, ведь специальные криптографические ключи для считывания такой информации выдаются организациям только после заключения официального контракта с банком;

• • Можно подключить на телефон СМС информирование и контролировать все бесконтактные операции;

• • Телефоны последних моделей требуют дополнительного нажатия сенсорной клавиши Touch ID;

• • Если вы корректно интегрировали карточку со смартфоном, вы можете вообще не носить ее с собой, а значит, случайно не потеряете;

• • Существует ограничение на проведение транзакций без пароля, например, лимит бесконтактной оплаты у Сбербанка составляет 1000 рублей. У других финансовых учреждений лимитированная сумма аналогичная. Если размер платежа превышает лимит, придется оплачивать стандартным способом.

• Apple Pay требует авторизацию (отпечаток или пароль) на каждую проведенную транзакцию. Обычная карта не позволяет управлять количеством подписанных транзакций при поднесении к POS-терминалу. В теории, «злой» терминал с модифицированной прошивкой может провести одну транзакцию, а пока клиент держит карту возле считывателя, запросить несколько подписаний, но не проводить их сразу, а провести позже, когда клиент уйдет. С Apple Pay такое невозможно, после проведения транзакции пользователь видит значок успешно выполненной операции и приложение закрывается, новый запрос потребует повторный ввод отпечатка пальца.
• Не позволяет считывать данные до авторизации — когда телефон с Apple Pay попадает в поле действия считывателя (13,56 МГц), пользователю предлагается авторизоваться, и только после успешной авторизации телефон начинает обнаруживаться как бесконтактная карта. До этого момента считыватель не видит ничего. Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты.
• Нельзя использовать перехваченные данные для оплаты в интернете — обычная карта может быть использована для операций типа Card not present (CNP), то есть для оплаты в интернете, по телефону и т.д. Данные из виртуальной карты Apple Pay нельзя использовать подобным образом.
• Не раскрывает данные владельца — обычные бесконтактные карты могут передавать имя владельца (Cardholder name) и историю последних покупок. По номеру карты, в некоторых случаях, можно установить ФИО владельца. С Apple Pay ничего подобного сделать нельзя.

PayPass — это технология бесконтактных платежей, которой оснащены банковские карты компании MasterCard. По технологии PayPass для оплаты товара достаточно просто приложить карту со специальным встроенным микропроцессором к терминалу. Смотрите ниже интересное видео с демонстрацией бесконтактных устройств!

Технология PayPass – это, попросту говоря, бесконтактный интерфейс для уже существующих карт. Фактически это микросхема с антенной, которая встраивается в существующую пластиковую карту и в зависимости от того, где такая карта используется, определяет, с каким именно платежным приложением взаимодействует данная карта.

Микропроцессор с платежной функцией MasterCard PayPass может быть вставлен в наручные часы, как это было сделано в Тайване, в брелоки (США, Испания, Турция), в мобильные телефоны или в любые предметы, которые человек привык носить с собой ежедневно.

PayPass представляет собой удобную альтернативу наличности, позволяющую быстро, безопасно и просто осуществлять мелкие ежедневные покупки. Теперь, совершая покупку, потребителям не придется мучиться с купюрами и монетами, а также не нужно будет проводить карту через считыватель или подписывать чеки.

• Для осуществления транзакции потребителю достаточно просто коснуться картой, поддерживающей технологию PayPass, специально оборудованного терминала. Специалисты считают, что PayPass — это очень полезная технология в индустрии с низкой стоимостью транзакций и с высокой частотой транзакций, например как транспорт.
• Ожидается, что технология PayPass будет иметь широкое распространение в будущем, но есть мнения, что для этого надо будет усилить безопасность транзакций, т.к. существует вероятность перехвата данных с карты с помощью альтернативного считывающего устройства.
• Впервые технология PayPass была представлена компанией MasterCard в декабре 2002 и с тех пор получила широкое распространение по всему миру. В конце 2008 года MasterCard выпустила 50-и миллионное бесконтактное устройство PayPass.

В MasterCard утверждают, что по данным опроса, проведенного в 2008 году, 77% пользователей устройств PayPass применяли их в качестве основного средства платежа. Как следует из финансового отчета компании MasterCard за 2010 год, технология PayPass уже запущена в Болгарии, Словакии, Румынии, Турции, а в Италии уже активировано 300 тысяч подобных карт.

Всего же на середину прошлого года в мире выпущено около 80 миллионов устройств с использованием этой технологии. Истинный потенциал бесконтактных платежей в том, что они в равной степени приносят выгоду всем задействованным в транзакции сторонам: потребителям, финансовым и торговым предприятиям.

PayPass позволяет финансовым организациям предлагать своим клиентам большее количество доступных способов оплаты, а эмитентам — увеличивать совокупный оборот по картам, так как привлекает безналичные средства, увеличивает лояльность держателей счета к карточным программам, а также позволяет оборудовать для приема карт предприятия быстрого обслуживания.

За счет сокращения количества операций с наличностью, PayPass ускоряет процесс кассового обслуживания, увеличивая эффективность платежей и обеспечивая конкурентное преимущество. McDonald’s был первым торговым предприятием, оценившим потенциал PayPass еще в августе 2004 года, за ним сразу последовали другие американские торговые предприятия.

Интерес к продуктам на основе технологии PayPass не ограничивается розничными предприятиями, так PayPass активно используется на большинстве стадионов Высшей бейсбольной лиги и Национальной футбольной лиги, а также на ряде соревнований по гольфу.

Компания MasterCard и ее партнеры применяют технологию бесконтактных платежей для использования в турникетных системах, а также в торговых автоматах, оборудованных для оплаты с помощью PayPass. По сообщению ООО «Барклайс Банк» первый бесконтактный платеж по технологии PayPass в России осуществлен в 9 сентября 2008 года.

В числе первых о выпуске карт PayPass заявил в России Московский индустриальный банк. Проект стартовал осенью 2010 года. Для преподавателей и студентов Финансовой академии при правительстве РФ планируется выпустить 15 тысяч карт. Эта карта служит не только кошельком в студенческой столовой, но также заменяет зачетку и студенческий билет. На будущее банк планирует выпуск подобных карт в других вузах страны, доведя в течении года их число до 100 тысяч.

«Райффайзенбанк» с 1 марта 2011 года предлагает своим клиентам карты World MasterCard Black Edition. Они будут поддерживать бесконтактные расчеты PayPass, и оснащены магнитной полосой и микрочипом. Однако, следует учитывать, что карта бесплатно выдается клиентам в рамках пакета услуг «Премиальный». Для этого нужно иметь неснижаемый остаток на счете от 2 млн.руб.

Впрочем, можно обойтись и одним миллионом, если в месяц тратить по карте не менее 25 тыс.руб. Остальным клиентам, у которых нет необходимого остатка на счете, ежемесячное обслуживание карты обойдется в 3 тыс.руб. В ближайшее время банк планирует выпустить кредитные карты с технологией PayPass.

Аналогичная техно­логия бесконтактных платежей под названием payWave существует и у платежной системы Visa.

Понимая важность того, что потребитель должен получать единый уровень сервиса в любой торговой точке мира, принимающей карты, компании MasterCard, Visa and JCB Co. Ltd. заключили соглашение о принятии MasterCard PayPass ISO/IEC 14443 в качестве единого протокола для радиочастотных бесконтактных платежей.

Соглашение подразумевает, что карты и терминалы, поддерживающие бесконтактные платежные приложения этих организаций, должны соответствовать единому протоколу и проходить единое тестирование, таким образом, обеспечивая операционную совместимость всех трех брендов.

В отличие от расчетов с телефона, расчеты с использованием банковских карт платежной системы MasterCard давно уже не являются экзотикой, и доступны сейчас практически везде.

1. К преимуществам относится и больший срок службы карт, которые при бесконтактных расчетах, естественно, меньше изнашиваются.
2. Но самые значительные достоинства — удобство и скорость платежа небольших сумм в транспорте, на автозаправках, в кафе, супермаркетах и т.п.
3. Новые карты неплохо защищены от мошенников. К тому же при бесконтактных расчетах карта остается в ваших руках, что снижает риск несанкционированных манипуляций с нею обслуживающим персоналом.
4. Но есть и проблемы, важнейшая из них — это отсутствие необходимой инфраструктуры для бесконтактных расчетов.

• PayWave. Используется на картах международной платежной системы Visa.
• PayPass. Разработана для карт международной системы MasterCard.
• MirPay. Применяется при оплате картами национальной системы «Мир».

Плюсы и минусы бесконтактной карты

Итак, мы разобрались, как подключить бесконтактную оплату, и, в завершение, рассмотрим, что можно таким образом оплачивать и каковы ее плюсы и минусы.

Среди преимуществ – экономия времени, отсутствие необходимости передавать пластик в руки кассиру и вводить пин-код. NFC чип не размагничивается и не изнашивается, с ним гарантированно ничего не случится на протяжении всего срока действия карточки.

Недостатки тоже присутствуют. Сегодня торговые точки не обязаны приобретать терминалы с бесконтактной оплатой, поэтому они не везде встречаются. Они дороже в обслуживании, поэтому многие предприниматели не спешат с их приобретением. Бесконтактная оплата в метро действует только в Москве, Санкт-Петербурге, Нижнем Новгороде, Казани и Новосибирске, и не на всех турникетах, а только на помеченных специальным значком.

Бесконтактным способом сегодня можно оплатить метро, бензин на автозаправках, покупки в супермаркетах, счета в кафе, ресторанах и бутиках в торговых центрах. Словом, совершать любые платежи в заведениях, оснащенных соответствующим платежным терминалом. Это удобно, оперативно и безопасно. На сегодняшний день – это один из самых инновационных методов совершения умных транзакций.

Теги: NFC

Как и любой другой банковский продукт, бесконтактные карты имеют как преимущества, так и недостатки. Рассмотрим их более подробно.

Достоинства

Недостатки

Удобство использования Не нужно передавать карту продавцу, и показывать ее номер При оплате менее 1 000 рублей не нужно вводить ПИН-код Экономия времени. Платеж совершается за доли секунд Не бывает задвоенных операций Можно использовать в разных местах: магазины, метро, общественный транспорт Карта меньше изнашивается

Мошенники могут без труда списывать суммы менее 1 000 рублей. Например, в заполненном народом месте, если у злоумышленника имеется специальное устройство, то он без труда может «накопить» солидную сумму. Хотя многие специалисты отмечают, что такой вариант маловероятен, поскольку суммы списания будут небольшие, а риск велик. Несмотря на это вероятность попасть в такую ситуацию все таки имеется. До сих пор не все места оплаты имеют бесконтактный терминал. В основном это касается отдаленных населенных пунктов. Карта является относительно хрупкой. Ее нельзя сгибать, и не следует допускать попадания воды. Все дело в том, что в карту встроена антенна, которую легко повредить.

Как видно из приведенной информации преимуществ у бесконтактной карты намного больше. Однако несмотря на все доводы, твердящие, что все меры безопасности приняты, не стоит забывать о возможных опасностях.