NFC Эксперт 14443-a select
В начале обмена терминал устанавливает соединение с картой на канальном уровне. Для тех, кто знаком с сетями и моделью OSI, будет удобно представить это в качестве уровня L2, а UID (Unique Identifier) карты как MAC-адрес узла.
В терминологии стандарта ISO-14443:
PCD (proximity coupling device) — название считывателя, в нашем случае это POS-терминал
PICC (proximity integrated circuit card) — карта, в нашем случае эту роль выполняет телефон
Важное отличие обычной платежной карты от Apple Pay в том, что в карта всегда доступна для считывания и никак не позволяет управлять процессом считывания. Ее можно бесконтрольно считать через одежду, в то время как телефон, попадая в поле действия считывателя, предлагает пользователю активировать виртуальную карту. До подтверждения пользователя телефон не передает никакие данные, и считыватель даже не знает, что рядом находится виртуальная карта.
R{amp}gt;{amp}gt; 52 // WUPA (wake up)
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
T{amp}lt;{amp}lt; 04 00 // ATQA (Answer To Request type A)
R{amp}gt;{amp}gt; 93 20 // Select cascade 1 (Anti Collision CL1 SEL)
T{amp}lt;{amp}lt; 08 fe e4 ec fe // UID (4 bytes) BCC (Bit Count Check)
R{amp}gt;{amp}gt; 93 70 08 fe e4 ec fe dd 6e // SEL (select tag 0x9370) UID CRC16
T{amp}lt;{amp}lt; 20 fc 70 // SAK (Select Acknowledge 0x20) CRC16
R{amp}gt;{amp}gt; 50 00 57 cd // HALT (Disable communocaion 0x5000) CRC16
R{amp}gt;{amp}gt; 26 // REQA
R{amp}gt;{amp}gt; 52 // WUPA
T{amp}lt;{amp}lt; 04 00 // ATQA
R{amp}gt;{amp}gt; 93 70 08 fe e4 ec fe dd 6e // SELECT
T{amp}lt;{amp}lt; 20 fc 70 // SAK
R{amp}gt;{amp}gt; e0 80 31 73 // RATS (Request Answer to Select 0xE080) CRC16
T{amp}lt;{amp}lt; 05 78 80 70 02 a5 46 // ATS (Answer to select response)
Терминал постоянно передает команду
0x52
Wake-up (WUPA), и как только в поле действия появляется карта, она отвечает командой Answer To Request type A (ATQA), в нашем случае это
0x04 0x00
. Ответ ATQA может различаться в зависимости от производителей чипа.
Получив ответ ATQA, терминал начинает процедуру выявления коллизий, чтобы определить, есть ли в поле действия более одной карты. Команда 0x93 0x20 Select cascade level 1 (SEL CL1) запрашивает у всех карт в поле действия сообщить первую часть своих идентификаторов UID.
Карта отвечает 0x08 0xFE 0xE4 0xEC 0xFE, первые четыре байта — UID виртуальной карты Apple Pay и контрольная сумма 0xFE Bit Count Check (BCC) в конце.
Получив идентификаторы карт, считыватель обращается к конкретной карте командой 0x93 0x70 (SELECT). За командой следует UID карты 0x08 0xfe 0xe4 0xec 0xfe BCC 0xdd 0x6e CRC16.
Карта отвечает 0x20 Select Acknowledge (SAK) 0xfc 0x70 CRC16.
Если на этом шаге получено несколько ответов SAK, ридер может уменьшить длину UID в команде SELECT, пока не ответит единственная карта. Однако, как показано выше, некоторые POS-терминалы отказываются продолжать, если на этом этапе выявлены коллизии, то есть присутствие нескольких карт одновременно.
Длина UID может быть 4, 7 или 10 байт. У всех банковских карт, что я встречал, в том числе и в Apple Pay, UID был равен 4 байтам. Интересно, что Apple Pay генерирует разный UID на каждое считывание, в отличие от физических карт, где UID обычно постоянный. Уверен, что это сделано для того, чтобы айфоны не использовали в качестве примитивных карт доступа, так как системы СКУД на основе UID до сих пор очень популярны.
Ридер посылает команду
0x50 0x00
HALT
0x57 0xcd
CRC16. Это команда завершения связи.
Дальше процедура повторяется заново, ридер снова пробуждает карту (WUPA), но уже без проверки коллизий, сразу выполняется SELECT. Зачем так сделано — не знаю, возможно, это какой-то более надежный способ определения коллизий.
Во второй раз ридер уже посылает команду 0xE0 0x80 Request Answer to Select (RATS) 0x31 0x73 CRC16.
Карта отвечает 0x05 0x78 0x80 0x70 0x02 Answer to select response (ATS) 0xA5 0x46 CRC16.
Answer to select — ответ аналогичный Answer To Reset (ATR) для контактных карт. В нем содержится информация о максимальном размере кадра и параметрах канального уровня.
На этом этапе «канальный» уровень завершен, далее начинается обмен на более высокоуровневом протоколе, в зависимости от приложения, содержащегося на карте. Операция SELECT одинакова для всех бесконтактных карт стандарта ISO 14443A, в том числе NFC-меток, билетов на общественный транспорт, и т.д.
Оплата iphone с apple pay
Все карты Mastercard и Visa ВТБ*.
* За исключением карт экс-ВТБ Банк Москвы (ПАО).
Где принимается Apple Pay?
При использовании устройства iPhone или часов Apple Watch можно оплачивать покупки в магазинах, принимающих бесконтактные платежи.
Для этого найдите на кассе один из указанных ниже символов:
Устройства iPhone, iPad и Apple Watch позволяют использовать Apple Pay для оплаты в программах при отображении надписи «Apple Pay» в качестве варианта оплаты. Ищите в программах одну из указанных ниже кнопок:
Устройства iPhone, iPad и компьютер Mac позволяют использовать Apple Pay для оплаты на веб-сайтах в браузере Safari. При совершении покупки на сайте должна быть доступна одна из указанных выше кнопок.
Можно ли использовать Apple Pay, если моя карта заблокирована?
Для совершения операции пластиковая карта должна быть активна. Если вы ее заблокировали, для проведения операций разблокируйте ее или перевыпустите и привяжите новую карту. При блокировке карты все связанные цифровые карты также блокируются.
Сколько стоит сервис Apple Pay?
Данный сервис абсолютно бесплатный для всех клиентов — вам только нужна активная карта ВТБ. При оплате покупок дополнительная комиссия также не взимается.
Какой ПИН-код необходимо вводить при оплате покупок?
Если при оплате сервисом Apple Pay кассир просит ввести ПИН-код на терминале — необходимо указать ПИН-код пластиковой карты. При этом, его могут не спросить даже при покупках на сумму свыше 1000 руб., так как вы подтверждаете покупку отпечатком пальца.
Должно ли быть устройство подключено к сети Интернет для регистрации карты в приложении и оплаты покупки?
При регистрации Интернет обязателен, можно использовать Wi-Fi или мобильные данные. Для оплаты наличие Интернета необязательно.
Начисляются ли мне бонусы / мили / cash back при оплате телефоном?
Все бонусы начисляются в полном размере, как при оплате обычной картой.
Какие устройства совместимы с Apple Pay?
- iPhone XS, iPhone XR, iPhone X
- iPhone 8 и 8 Plus
- iPhone 7 и 7 Plus
- iPhone 6, 6 Plus, 6s и 6s Plus
- iPhone SE
- Watch — все модели
- iPad Pro 9,7 и 12,9
- iPad Air 2
- iPad mini 3 и 4
Особенности оплаты билета банковской картой
Оплата осуществляется через платежную систему RURU. Вы можете оплатить Билет банковской картой Visa, MasterCard, МИР.
При выборе способа оплаты банковской картой Пассажир должен заполнить следующие поля:
• номер карты;
• срок действия карты;
• имя владельца карты;
• CVV/CVC.
Возможные причины отказа в проведении операции:
• банк-эмитент Покупателя не поддерживает используемую технологию обработки платежей;
• на карте недостаточно средств для оплаты билета;
• банк-эмитент Покупателя установил запрет на проведение интернет-платежей.
Если операция оплаты прошла успешно, но доступ к странице с оплаченным Билетом предоставлен не был, Вы можете обратиться за разъяснениями в службу технической поддержки Аэроэкспресс по телефону горячей линии 8-800-700-33-77 или через форму обратной связи «Техническая поддержка по электронным билетам» на Веб-сайте.
Держатели карт международных платёжных систем VISA, MasterCard, Мир и Union Pay, поддерживающих технологию бесконтактной оплаты PayPass, payWave или QuickPass, имеют возможность оплачивать поездку на поездах Аэроэкспресс непосредственно на Турникетах. На вышеуказанные карты нанесена идентифицирующая надпись payWave, PayPass и QuickPass соответственно.
Для оплаты проезда и прохода через Турникеты достаточно приложить к считывающему устройству, расположенному в верхней части Турникета и отмеченному кругом желтого цвета:
• банковскую карту с бесконтактной технологией оплаты или
• мобильное устройство (смартфон), на котором активирована технология ApplePay или AndroidPay (привязана банковская карта) или
• транспортную карта «Тройка».
Денежные средства спишутся с Вашего банковского счета автоматически на сумму равную стоимости 1 (одной) поездки по тарифу «Стандарт».
В случае если Ваша банковская карта с бесконтактной технологией оплаты не поддерживает криптографическую проверку CDA иили не поддерживает операции оплаты без ВВОДА PIN-кода по бесконтактной технологии, провести платежную операцию на Турникете невозможно (информацию возможностях своей банковской карты Вы можете уточнить в своем Банке-эмитенте).
Во избежание проблем с оплатой на Турникетах по факту прибытия в аэропорт рекомендуется заранее проверить остаток денежных средств на счету банковской карты, с которой Вы планируете расплатиться.
Банковские карты с бесконтактной технологией оплаты Paypass Magstripe не принимаются к оплате.
Формат Билета
Обратите внимание, что при покупке нескольких Билетов в бланке Билета указана стоимость Билета согласно выбранному тарифу и общая сумма Заказа.
При выборе версии Билета для мобильных устройств заранее убедитесь в корректности ее воспроизведения Вашим телефоном. Для этого:
• убедитесь в работоспособном и устойчивом интернет соединении.
• перейдите по ссылке, находящейся в SMS-сообщении и содержащей результаты платежа.
Открытая страница должна отображать электронный билет с изображением штрих-кода. Билет, полученный на телефон, можно не распечатывать. Если штрих-код не отображается, Вы можете обратиться в службу технической поддержки Аэроэкспресс по телефону горячей линии 8-800-700-33-77 или с помощью формы обратной связи «Техническая поддержка по электронным билетам».
Для удобства Пассажиров Билет может быть выслан повторно на адрес электронной почты или другой номер мобильного телефона. Билеты без изображения штрих-кода проверке не подлежат.
Для прохода через Турникет Вы можете использовать как распечатанный на бумаге Билет, так и изображение Билета на экране смартфона или планшета. Для прохода через Турникет приложите Билет штрих-кодом к считывателю и дождитесь открытия створок. В момент считывания штрих-кода нельзя подтверждать платеж Apple Pay или Google Pay, так как произойдет списание денежных средств с банковской карты для прохода без использования ранее купленного Билета.
Формат электронной копии фискального чека
Фискальный чек является документом строгой отчетности, но не действителен при проходе через турникет Аэроэкспресс.
Оффлайн vs онлайн транзакции
В устрашающих сюжетах новостей рассказывают о мошенниках с POS-терминалами в вагонах метро, которые прямо в пути списывают у вас из карманов деньги. В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро. Возможно, его терминал поддерживает оффлайн-транзакции?
Спецификации EMV допускают оффлайн-транзакции. В таком режиме списание происходит без онлайн-подтверждения со стороны банка-эмитента. Это работает, например, в общественном транспорте в Москве и Санкт-Петербурге. Чтобы не занимать очередь на входе в автобус, пока терминал выполнит онлайн-подтверждение, вас пропускают сразу, не проверяя, достаточно ли у вас денег на счету для оплаты проезда.
В конце дня, когда на терминале появляется интернет, подписанные транзакции отправляются в банк-эмитент. Если окажется, что в этот момент у вас нет денег на оплату проезда, карта будет добавлена в стоп-лист на всех терминалах в городе. Долг можно погасить через личный кабинет по номеру карты. Подробнее об оплате проезда в автобуса Санкт-Петербурга.
Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний. Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.
Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя.
Плюсы и минусы бесконтактной оплаты
Здесь просто подведем итог всему вышесказанному. Какие преимущества дает бесконтактная оплата:
- Не надо носить с собой пластиковые карточки банков и магазинов. Например, у меня в сумке есть отдельный аксессуар – визитница, которая под завязку забита разными скидочными картами и, конечно же, банковскими платежными средствами.
- Высокая скорость оплаты – пара секунд и готово.
- Безопасность выше, чем при оплате банковскими карточками.
- Много карточек – много ПИН-кодов от них. В телефоне один пароль дает доступ ко всем платежным средствам.
- Это модно. Технология не имеет еще широкого распространения, особенно в небольших городах. Поэтому на человека, который подносит к терминалу телефон, смотрят пока с удивлением и любопытством.
- Бесплатное приложение и отсутствие комиссий за операции оплаты.
Недостатки тоже есть:
- Не все терминалы оснащены бесконтактной технологией, особенно в небольших торговых точках. Поэтому совсем без денег выходить из дома не стоит.
- Технологию поддерживают современные смартфоны, не у всех они есть.
- Опасения, что при простом касании снимется больше, чем нужно, еще слишком живучи в сознании некоторых людей. Лучше уж понажимать кучу кнопок, 10 раз расписаться где-нибудь. Тогда уж точно все получится как надо.
- Если смартфон разрядился, то никакие танцы с бубнами у платежного терминала не помогут совершить платеж.
Популярные мифы об apple pay
- Карта копируется в телефон
Это не так, в микропроцессорной карте содержится защищенная область памяти с криптографической информацией, которая после выпуска карты не может быть извлечена. Из-за этого чипованную карту нельзя скопировать, никак, вообще. Справедливости ради нужно сказать, что подобные атаки возможны, но стоимость их превышает суммарное количество денег, которые потратят за всю жизнь большинство читателей этой статьи. - Телефон каждый раз подключается к интернету во время оплаты
Google Pay/Apple Pay не подключаются к интернету во время оплаты через POS-терминал. Вся нужная информация хранится локально в телефоне. - На каждую оплату генерируется новый номер карты (PAN)
Так может показаться, если читать пресс-релизы Apple о технологии Apple Pay. Но это ошибочное трактование понятия токена. На самом деле, реквизиты виртуальной карты остаются неизменными достаточно долго, вы можете это проверить по последним цифрам номера карты в слипе (банковском чеке) при оплате покупок. - При оплате через Apple Pay/Google Pay взымается дополнительная комиссия
Это не так, вы заплатите ровно столько, сколько указано на ценнике, и согласно условиям вашего договора с банком-эмитентом, чью карту вы привязали. - Деньги могут списаться два раза
Этот миф касается не только Google Pay/Apple Pay, но и обычных банковских карт. Полагаю, что он появился из-за систем оплаты общественного транспорта, в которых терминал списывает деньги с проездного билета каждый раз при поднесении, так что можно списать средства два или более раз, если неаккуратно поднести карту. В случае с POS-терминалами этого риска не существует, так как терминал прекращает обмен с картой, как только получил нужные данные.
Связывание физической карты с «токеном» в телефоне
Системы, подобные Apple Pay, работают на основе EMV Payment Tokenisation Specification. Процедура связывания физической карты и телефона с Apple Pay не описана публично, поэтому разберем процесс на основе известных данных:
- Поставщик (Google, Apple, Samsung) получает информацию о карте;
- Через МПС поставщик запрашивает, поддерживает ли данная карта (данный банк-эмитент) работу с EMV Tokenisation;
- На стороне МПС генерируется виртуальная карта (токен), который загружается в защищенное хранилище в телефоне. Мне неизвестно, где именно генерируется приватный ключ от виртуальной карты, передается ли он по интернету или генерируется локально на телефоне, в данном случае это не имеет значения.
- В телефоне появляется сгенерированная виртуальная карта-токен, операции по которой банк-эмитент интерпретирует как операции по первой физической карте. В случае блокировки физической карты, токен тоже блокируется.
Apple Pay позволяет считать реквизиты виртуальной карты. PAN номер и expire date отличаются от привязанной карты российского Альфа-Банка. По BIN виртуальной карты (480099) определяется MBNA AMERICA BANK.
При оплате телефоном, POS-терминал видит обычную карту VISA или MasterCard, и общается с ней точно так же, как и с физической картой. Виртуальная карта-токен содержит все атрибуты обычной карты: PAN-номер, срок действия и прочее. При этом номер виртуальной карты и срок действия отличаются от привязанной оригинальной карты.
Чем различаются мобильный терминал оплаты и терминал для телефона
Производители по-разному называют аппараты: пос-терминал, мобильный терминал, терминал для мобильного телефона, но функция у них одна — снимать деньги с карты покупателя и отправлять их на счет в банк. Это как со смарт-кассами: фактически любая ККТ, которая собирает статистику продаж и автоматизирует работу, может называться умной онлайн-кассой или смарт-кассой, но такое название используется производителями как маркетинговый ход.
Мобильный терминал или mPOS — это небольшое устройство размером со спичечный коробок, подключается к смартфону или планшету через разъем для наушников или по блютусу. Главное отличие таких терминалов от переносных — они работают через отдельное приложение, например 2Can или PayMe.
https://www.youtube.com/watch?v=7rG4maiP2oM
Аппарат для телефона — это мобильный мини-терминал или ридер, который вставляется в смартфон и принимает карты. Он компактный, размером со спичечный коробок и похож на черную коробочку. Она вставляется в разъем для наушников или зарядки. Кассир через приложение на телефоне вбивает цену, вставляет в ридер карточку и клиент оплачивает покупку.