cloudpayments
CloudPayments — это платежный сервис, который предлагает современный интернет-эквайринг. Оплата на сайте без перехода на платежную страницу в удобном “Виджете” – всплывающем окне на вашем сайте, оплата через социальные сети, платежи в один клик, рекуррентные платежи (периодические или автоплатежи), рекаринговый платеж или “оплата в один клик”, холдирование, оплата в мобильном приложении, выставление счетов на e-mail или SMS, маркетплейс и множество других технологичных платежных инструментов.
Мы сделали мобильное приложение для наших партнеров – удобный интерфейс доступа к личному кабинету CloudPayments.
УПРАВЛЯЙТЕ ЗАКАЗАМИ
Формируйте новые заказы и счета, и контролируйте их оплату с телефона
Отправляйте новые счета на оплату по почте, E-mail или WhatsApp
Выбирайте язык уведомлений для ваших клиентов
Оформляйте подписку (периодические платежи) или реализуйте оплату в один клик для ваших клиентов
СЛЕДИТЕ ЗА ОПЕРАЦИЯМИ
Отслеживайте платежи в вашу пользу в режиме реального времени
Следите за платежной конверсией
Анализируйте платежи за любой период времени
Подтверждайте или отменяйте платежи
Делайте полные или частичные возвраты
ВНИМАНИЕ!
Для доступа к приложению вам необходима учетная запись.
Google pay
Большое количество людей осознали преимущества технологии оплаты в «одно касание» активно используют возможности оплаты через сервис paywave и pay pass , с устройств с наличием NFC.
Чтобы модульная система успешно заработала, следует настроить мобильный телефон:
1.Убедиться в том, что устройство поддерживает технологию бесконтактной оплаты;
2. Зайти в «Настройки», «Дополнительные функции»;
3. Активировать опцию «Настройки», перейти в раздел «Ещё», найти NFC.
4. Выполнить вход в «настройки», «Подключения», «NFC и оплата».
После этого требуется отыскать опцию NFC и активировать ее. Для этого потребуется зайти в раздел «Бесконтактная оплата», чтобы получить информацию об основном средстве оплаты. В большинстве случаев, оплата совершается посредством использования приложения Google Pay. Чтобы настроить оплату через этот сервис потребуется выполнить следующие шаги:
- Скачивание утилиты;
- Запуск приложения и привязка к аккаунту в системе Google;
- Активировать опцию «Начать»;
- Выполнить добавление карты;
- Ввести запрашиваемые сведения о пользователе;
- Связаться с банком, проверить карту.
- Настройка блокировки экрана;
- Подтверждение привязки карты.
Nfc-платежи в альфа-банке по технологии hce
Запуск платежей по данной технологии приурочен к фестивалю музыки Alfa Future People. На период проведения мероприятия в Гугл Пей размещается приложение Touch, разработанное в БПЦ «Банковские Технологии». С новым сервисом владельцы телефонов с оперативной системой Андроид 4.4, поддерживающей NFC, выпускают неперсонифицированные карточки МастерКард и оплачивают товары и услуги «одним касанием».
Карта действует в течение одного года. Каждый месяц ее разрешается пополнять не более, чем на пятнадцать тысяч российских рублей. До выполнения оплаты телефоном пользователю следует осуществить одно действие – ввести ПИН-код. Можно пополнять счет выпущенной карты через приложение, здесь же проверяется оставшаяся сумма, просматривается платежная история. На такой карте предусмотрены бесплатные СМС-сообщения информационного характера.
Чтобы выполнить перечисление денежных средств, системой генерируется одноразовый сессионный пароль, обеспечивающий защищенность каналов мобильных приложений.
Работники банка уверяют, что приложение решает проблемы с бесконтактными платежами, легко превращая смартфон, поддерживающий функцию NFC, в безопасный электронный кошелек.
Атакуем apple pay
Когда‑то корпорация Apple объявляла, что производимые ею телефоны научились поддерживать платежи с заблокированным экраном, на несколько месяцев раньше своих конкурентов. Однако мне долгое время не удавалось проверить их безопасность.
Основная загвоздка была в том, что телефон не активировал поле NFC с помощью обычных терминалов и бесконтактных ридеров. Я упорно гуглил, как работает Apple VAS (Value Additional Services) и пытался пользоваться помощью коллег для реверса бинарей Apple Pay (их названия я позаимствовал из презентации Питера Филлмора).
Когда я закончил тесты с Samsung Pay, я все еще не знал, что делать с Apple Pay, и был в отчаянии. Единственным терминалом, которым я мог пользоваться на тот момент, был терминал у турникета метро. Я решил: если я смогу записать криптограмму транзакции в метрополитене, но сама транзакция не пройдет, то я приду домой и попробую вставить криптограмму в Transaction Stream, как это делалось с вариантом Samsung Visa. После нескольких попыток мне удалось повторить атаку второго типа по отношению к связке Apple Visa.
Тогда же один умный инженер дал мне совет не использовать Proxmark3, а взять что‑то более надежное, например HydraNFC. Последовав этому совету, я быстро увидел в трафике «нечто» — 15 байт, которые отсылались до первых команд. Тогда мне было трудно поверить, что всего 15 байт разблокируют NFC в iPhone, так как я много читал в патентах про PKI, используемые Apple в VAS.
Посмотрим, как выглядит генерация криптограммы картой MasterCard, заданной как транспортная карта в Apple Pay:
В отличие от Samsung, Apple вернет онлайн‑криптограмму, даже если сумма не будет равна 0.00 (сотрудники Apple заявили, что используют или собираются использовать эту функцию, так что «это не баг»).
Однако при подмене кода MCC транзакция будет отклонена из‑за CDA. После июня 2021 года MasterCard закрыла возможность Card Brand Mixup Attack, поэтому оплатить в произвольном терминале этой картой не удастся. Но я все еще мог проводить атаки с использованием Transaction Stream Manipulation.
А что же с картами Visa? Ими можно расплачиваться в любом супермаркете мира по заблокированному iPhone, для этого нужно лишь подменить несколько байтов при обмене между терминалом и телефоном. Да ты и сам об этом уже, скорее всего, читал: исследователи из университетов Бирмингема и Суррея обнаружили эту уязвимость независимо от меня примерно в это же время.
Атакуем google pay
Мы уже показывали в 2022 году, как можно совершать платежи на заблокированном кошельке Google Pay по картам Visa выше лимитов NoCVM: для этого нужно лишь поменять бит в поле TTQ, указывающий, что требуется верификация плательщика. Обойти ограничения по картам MasterCard в прошлый раз не удалось, поэтому я решил попробовать еще.
Вместо модификации Transaction Stream я воспользовался старой атакой, описанной Майклом Роландом (Michael Roland) в 2022 году, — Pre-play and Downgrade (в предыдущей статье я по ошибке написал, что атаку разработал Питер Филлмор в 2022 году, но это не так).
Для меня оставалось загадкой, почему режим M-STRIPE до сих пор работает в кошельках Google Pay для всех карт MasterCard. Я решил исследовать его чуть поглубже — посмотреть на максимальную энтропию, защиту от скачков ATC и другие механизмы защиты.
Выяснилось следующее.
- Максимальная энтропия по картам — 1000 или 10 000. Других настроек я не встретил. Напомню, что карта или кошелек с энтропией 1000 клонируется полностью за 1000 запросов, на это уходит около минуты. Далее злоумышленнику не нужен оригинальный телефон — он может совершать покупки с использованием той информации, которая была клонирована. Количество транзакций зависит от других внедренных мер безопасности.
- Ограничения NoCVM на заблокированном телефоне обходятся также подменой 1 бита в запросе от терминала, что позволяет совершать платежи выше 3000 рублей. У некоторых терминалов, однако, есть отдельная конфигурация, указывающая максимальную сумму платежа в легаси‑режиме M-STRIPE.
- Если в обычной карте счетчик ATC идет последовательно: 0001, 0002 и так далее, то для мобильного кошелька система MasterCard внедрила так называемый CryptoATC. При перехвате команд они выглядят как случайные значения из 2 байт
A56D
,F1A1
и так далее. В процессе детокенизации МПС превращает эти значения в последовательные. Однако даже при скачках в 30–50–100 значений счетчика мои транзакции не были заблокированы.
Из‑за новых требований PSD2 в Европе Android ограничивал количество транзакций на заблокированном телефоне до пяти (сейчас это значение — три или ноль, зависит от страны). Это заставило меня задуматься: если MasterCard и Google не проверяют скачки ATC, записав только пять транзакций, какова вероятность воспроизвести одну из них успешно?
https://www.youtube.com/watch?v=bnFaaPylthI
Воспользуемся формулой Бернулли, отлично нарисованной Аркадием Литвиненко специально для таких случаев.
При энтропии 1000, если совершить 50 попыток оплаты в супермаркете, вероятность получить случайное число из пяти записанных составит 14%. Для 100 попыток — 26%. А при наличии доступа к Transaction Stream каждая из этих записанных транзакций может быть монетизирована, ведь злоумышленник в состоянии создать запрос на авторизацию, где сам выставит и случайное число, и значения CVC3/ATC.
Более того, в случае доступа к Transaction Stream и при отсутствии защиты от перебора пар ATC/CVC3, если у злоумышленника есть только токен (16 цифр виртуальной карты и expiry date), ему потребуется максимум 65 535 попыток, чтобы создать и успешно авторизовать мошенническую транзакцию.
Если все, что нужно сделать мошенникам в данном случае, — быть настойчивыми, «тапая» в супермаркете 50–100 раз, каждый раз ожидая успеха, или посылать запросы на авторизацию на серверы токенизации MasterCard MDES, то успех, увы, им гарантирован.
Атакуем samsung pay
Samsung пошел по простому пути: при активации транспортной карты NFC всегда работает на телефоне, и все проверки, предназначенные для того, чтобы отличить платежный терминал в супермаркете от терминала в метро, совершаются на этапе фазы платежей EMV/NFC.
Быстро добавив карту Visa и установив ее как транспортную в телефоне, я вооружился Proxmark3 и отправился в метро, чтобы записать данные о транзакции и сравнить запросы от терминала в метрополитене с запросами от обычного платежного терминала.
Главная команда в данном случае — запрос терминала на генерацию криптограммы (Generate AC) и ответ кошелька:
Для платежных терминалов, авторизующих платежи онлайн, бесконтактные карты Visa не требуют офлайн‑аутентификации. Но в данном случае она обязательна. Также телефон проверяет сумму: если она не равна 0.00, то транзакция не пройдет. Но телефон не смотрит на имя мерчанта или категорию продавца (MCC — Merchant Category Code).
Если платеж происходит в обычном терминале, офлайн‑аутентификация не будет затребована и сумма будет отличной от 0.00. В этом случае телефон вернет следующий ответ:
Я решил не отчаиваться и добавил карту MasterCard, снова вернулся в метро и провел те же операции:
https://www.youtube.com/watch?v=Dwl2QVnm8jU
Для карт MasterCard офлайн‑аутентификация по бесконтактным картам обязательна практически в каждой стране и поддерживается каждой бесконтактной картой. Если она не будет успешна, терминал обязан прервать такую транзакцию. Поэтому телефон проверяет два поля: сумму и код MCC.
Если платеж делается в обычном терминале, сумма будет отличаться от 0.00 и код терминала окажется не из категории «Транспорт». В этом случае телефон вернет такой ответ:
Тут уже что‑то интересное. Напомню, что криптограмма — это 3DES HMAC от некоторых полей, представленных терминалом в запросе Generate AC, и значений в самой карте, например ATC. Моя первая догадка: а что, если ключи и алгоритм калькуляции криптограммы AAC точно такие же, как и для ARQC?
Ведь счетчик транзакций увеличивается каждый раз на 1, даже при возврате AAC-криптограммы. Если мы поменяем поле 9f27 на 0x80, криптограмма будет принята терминалом и отправлена на токенизационный хост MasterCard для авторизации.
Звучит как план, но у меня была проблема: модификация любых полей во время общения терминала и кошелька будет замечена при офлайн‑аутентификации CDA. Тут мне на помощь пришла техника, совсем недавно найденная «швейцарскими учеными» (с).
Первый план атаки созрел:
- Берем устройство man in the middle для модификации данных между телефоном и терминалом.
- Проводим атаку Card Brand Mixup — карта MasterCard притворяется картой Visa (как это делать — читай в исследовании Card Brand Mixup Attack, PDF).
- На последнем шаге применяем атаку Cryptogram Confusion: когда кошелек возвращает криптограмму типа
0x00
(AAC), мы меняем значение поля9f27
на0x80
(ARQC).
Я был приятно удивлен тем, что в конце концов атака Cryptogram Confusion прошла и транзакция была одобрена. Вот видеозапись этой атаки.
Можно ли как‑то совершать платежи по картам Visa и другим, например American Express, если телефон заблокирован? Не обнаружив никакого другого способа получения криптограммы, кроме запроса авторизации на сумму 0.00, я решил воспользоваться атакой Transaction Stream Manipulation.
В ходе этой атаки данные подменяются не между терминалом и картой или кошельком, а между терминалом и банком‑эквайером, в запросе ISO8583 Authorisation Request. В этом случае у злоумышленника больше возможностей для манипуляции полями.
Например, поле «сумма» фигурирует в этом запросе дважды: в первый раз в поле [55] — там, где собраны все поля EMV, а во второй раз — в поле [04], где указывается реально списываемая сумма.
В таком случае атака на другие карты, в том числе Visa, выглядит следующим образом:
- Запрашиваем криптограмму на 0.00 так же, как ее запрашивает терминал в метро.
- Создаем запрос ISO8583, где указываем корректные поля (сумма — 0.00, криптограмма и так далее), но в поле [04] указываем ту сумму, которую хотим списать с карты.
Хотя кошелек с картой Visa передал информацию о том, что телефон не был разблокирован, эта транзакция была одобрена Visa Tokenisation Service.
Как работает?
https://www.youtube.com/watch?v=1XfHRKmUmgo
Альфабанковское кольцо – это то же самое, что и карта финучреждения. Продукт предназначен для оплаты покупок в магазинах и услуг в аппаратах самообслуживания. В комплекте с украшением продаются:
- инструкция;
- секретный PIN в конверте;
- предоплаченная карта.
Лимиты платёжного средства достаточно ограничены:
- сумма расходов в течение календарного месяца не должна превышать 40 000.00 рублей;
- остаток денег на балансе платёжного средства должен быть не выше 15 000.00 рублей.
Пополнять кольцо можно переводами с иных карт, а также в аппаратах самообслуживания. Первоначальные лимиты со временем можно увеличить, обратившись к администрации одного из филиалов Альфа -Банка.
Важно: PIN потребуется вводить только при оплате покупок на сумму свыше 1 000.00 рублей.
Так как речь идёт о бесконтактных платежах, многих интересует, насколько безопасно пользоваться описываемым платёжным средством. Производители уверяют, что не менее безопасно, чем пластиковой картой. В аксессуар встроен чип Gemalto, призванный сделать платежи совершенно безопасными.
Как расплачиваться телефоном вместо карты (оплата покупок с помощью смартфона)
Доброго времени всем!
Современные технологии, конечно, шагают вперед семимильными шагами. Дошло до того, что оплатить покупку в магазине можно с помощью обычного телефона (а некоторые умудряются и с помощью наручных часов! 😉). Собственно, именно после такого одного случая (и удивления продавца), решил прояснить некоторые моменты.
И так, если у вас современный смартфон на Андроид (именно эту платформу и буду далее рассматривать) — то сообщаю, что в нашей стране не так давно заработали платежи Android Pay : т.е. возможность оплаты прямо с телефона (что, кстати, так и переводится с англ.).
Стоит сразу отметить, что не все телефоны оснащены спец. модулем NFC, который позволяет работать этой «штуке» (скажу даже более, пока не каждую карту банка можно использовать для этого. Но таких с каждым годом все меньше!).
Как бы там ни было, сделать телефон «деньгами» достаточно просто, ниже рассмотрю все нюансы.
Как узнать, поддерживает ли мой телефон эту технологию
В принципе, эту технологию поддерживает большинство современных смартфонов (если, конечно, исключить совсем уж бюджетные варианты). Требования достаточно просты:
- Андроид версии 5.0 или выше;
- наличие NFC-модуля;
- смартфон не должен быть «подделкой», который не пройдет одобрение сервисов Google (или аналогов. );
- официальная версия прошивки телефона (никаких изменений через root права).
Пожалуй, вопросы у рядового пользователя могут возникнуть лишь по поводу NFC-модуля. Ниже постараюсь ответить на него.
Как узнать, есть ли в телефоне поддержка NFC:
- обратите внимание на руководство пользователя (в нем указываются все возможности аппарата), которое идет в комплекте при покупке телефона;
- посмотрите внимательно корпус телефона: как правило, на задней стенке должен быть знак на голубом фоне с буквами NFC;
- проверьте настройки телефона: если он поддерживает данную технологию — то в разделе по работе с беспроводными сетями должно быть упоминание о ней;
- установите на телефон приложение NFC Check (ссылка на Play Market). После запуска приложения — оно автоматически проверит ваш аппарат и сообщит, есть ли модуль NFC (пример ниже).
Модуль NFC не был найден на твоем смартфоне
Как узнать, подходит ли мой телефон для оплаты?
Для бесконтактной оплаты покупок вам понадобится телефон с модулем NFC и операционной системой Android версии 5.0 и выше. Приложение «Кошелёк» должно быть установлено из официального магазина производителя устройства или мобильной ОС (Google Play, Huawei App Gallery, Samsung Galaxy Store и т.п.).
Для бесконтактной оплаты картой Visa версия приложения «Кошелёк» должна быть не ниже 7.27, для карты Mastercard — не ниже 7.0.1.6. Рекомендуем вам использовать самую свежую версию приложения «Кошелёк», доступную для загрузки из вышеупомянутых магазинов.
Если вы уже установили приложение «Кошелёк» и добавили в него банковскую карту, но все равно не можете расплатиться с помощью телефона, выполните описанные ниже действия:
- Убедитесь, что программное и аппаратное обеспечение вашего телефона соответствует требованиям:
- Операционная система Android версии 5.0 и выше (для устройств Android).
- Поддержка NFC.
- Определите, поддерживается ли технология NFC, и включите её:
- Откройте настройки телефона.
- Выберите «Подключенные устройства». Если такого варианта нет, посмотрите, есть ли один из следующих разделов: «Беспроводные сети», «Подключения» или «NFC». При необходимости нажмите Ещё.
- Проверьте, есть ли функция NFC в появившемся списке. Если она указана, вы можете расплачиваться через Кошелёк в магазинах.
- Включите NFC. Найдите раздел «NFC» и включите эту функцию. Возможность активации NFC также может находиться в других разделах, например — «NFC и оплата».
Примечание. Порядок действий может различаться в зависимости от модели телефона и версии ОС.
Какую бесконтактную карту альфа-банка выбрать?
https://www.youtube.com/watch?v=PcP2RiRD9vI
В основном держатели пластиковых карт используют их только для платежей, теряют при этом свои выгоды в виде бесплатного билета на самолет, возврата кругленькой суммы обратно на свой счет и прочее. Для выбора карты клиент должен отталкиваться от сферы применения:
Для тех, кто регулярно совершает перелеты, выгодно получить карту с возможностью накопления миль. Мили можно обменять на билет на самолет или повысить класс, уже купленного места в самолете;
Для любителей компьютерных игр стоит рассмотреть игровые карты и получать скидки и бонусы при оплате покупок в игре;
Для покупателей сети «Перекресток» выгодно будет завести бесконтактную карту Альфа-банка с программой «Перекрестка», оплачивать ею товары и регулярно получать бонусы в виде скидок;
Для автовладельцев выгодно получить автомобильную бесконтактную карту. И получать возврат части средств при оплате на автозаправках и других ТСП на счет автокарты ежемесячно.
Выгодно иметь в наличии несколько таких карт, где каждая будет обладать индивидуальными возможностями. Бесконтактная кредитка с уникальной партнерской программой при совершении повседневных покупок, принесет владельцу кроме комфорта, дополнительный пассивный доход.
Как пользоваться пошагово?
Если вы еще не поняли, как применять бесконтактную оплату пластиком, то все очень просто. Вам необходимо:
- Узнать стоимость покупки;
- Ввести ПИН код;
- Прикоснуться к терминалу картой или мобильным телефоном (смартфоном).
При этом многие терминалы оплаты вообще не требуют вводить пин код, если покупки совершаются на сумму менее 1000 рублей. Это очень удобно.
Конечно, пока это на грани фантастики. Но если все будет развиваться подобными темпами, то мы скоро сможем забыть о пресловутых расплатах бумагой с надоедливой сдачей.
В дополнение темы:
Не работает бесконтактная карта МИР
Бесконтактные банкоматы Альфа-Банка
https://www.youtube.com/watch?v=tsxfiabn_1I
Карта МИР не поддерживает Эпл Пэй
Новости альфа-банка
Крупнейший частный банк России Альфа-Банк, оператор связи «Билайн» (ОАО «ВымпелКом») и международная платежная система MasterCard (NYSE: MA) объявляют о запуске платежного сервиса на базе технологий NFC с использованием SIM-карт «Билайн» с инновационной технологией для бесконтактной оплаты Mobile MasterCard PayPass ® .
Решение для бесконтактных платежей предполагает установку специального банковского приложения на SIM-карты и позволяет клиентам Альфа-Банка моментально совершать покупки и оплачивать услуги, поднеся свой телефон с поддержкой NFC и технологии Mobile MasterCard PayPass к ридеру PayPass на кассе.
В настоящее время данная услуга доступна пилотной группе клиентов Альфа-Банка. Для установки новой SIM-карты подходит широкий спектр моделей мобильных телефонов и смартфонов, поддерживающих технологию SIM centric NFC. В частности, при тестировании проекта использовались смартфоны линейки HTC One, которые изначально подготовлены к этой простой, но высокотехнологичной услуге бесконтактных платежей.
Денежные средства будут списаны с банковского счета клиента, к которому привязан номер банковской карты, записанный на SIM-карте. Сама SIM-карта столь же надежно защищена, как и банковская карта со встроенным микропроцессором — ЧИПом.
Благодаря размещению банковского приложения на SIM-карте сохраняются все преимущества сервисов, которые предоставляет как оператор сотовой связи, так и банк. А с помощью платежной технологии Mobile MasterCard PayPass можно расплачиваться в торговых точках в «одно касание», просто поднеся телефон к терминалу c PayPass.
Оплачивать покупки бесконтактным способом удобно, быстро и безопасно. До 1000 рублей оплата производится без введения ПИН-кода или подписи слипа, свыше этой суммы клиенту нужно подтвердить оплату вводом ПИН-кода. Оставаясь всегда на связи с мобильным оператором «Билайн», клиенты банка могут быстро и безопасно расплачиваться картой в торговых точках, поддерживающих бесконтактный способ оплаты MasterCard PayPass.
«На наш взгляд, NFC является перспективной технологией, и мы ожидаем, что в будущем она получит широкое распространение. Важно отметить, что ее развитие осуществляется компаниями из разных отраслей в тесном сотрудничестве друг с другом. Мы считаем, что технология SIM- centric NFC, на базе которой реализован платежный сервис совместно с Альфа-Банком и MasterCard является наиболее удобной для пользователей и оптимальной для всех компаний, участвующих в формировании экосистемы NFC сервисов», — прокомментировал Виктор Маркелов, Директор по продуктам и развитию бизнеса ОАО «ВымпелКом».
«Технология MasterCard PayPass стала настоящей революцией в безналичных платежных решениях, так как теперь инструментом безналичной оплаты наряду с банковской картой стал, например, мобильный телефон. В современном динамичном мире платежные банковские технологии выходят в совершенно новые форматы, и в индустрию приходят новые игроки.
Мы очень рады, что на российском рынке стартовал проект АЛЬФА-банка и Билайн, и теперь у россиян есть еще одна возможность воспользоваться преимуществами безналичной оплаты — в России и в других странах делать покупки безопасно, быстро и удобно, — сказал директор по развитию рынка MasterCard в России Андрей Макаров.
«Мы очень рады оказать Альфа-Банку поддержку в предоставлении самых современных решений, способных качественно улучшить жизнь его клиентов. Внедрение проекта совместно с MasterCard и „Билайн“ — важный шаг на пути создание комплексного взаимодействия телекоммуникационного и банковского секторов, позволяющий создавать максимально комфортный доступ ко всем финансовым услугам, независимо от времени суток, места и способа связи.
Данные SIM-карты разработаны и произведены в сотрудничестве с компанией Oberthur Technologies: ведущим мировым разработчиком NFC решений на основе смарт-карт.
Популярные вопросы
1) Сколько стоит услуга, берут ли комиссию?
Услуга работает бесплатно, никаких комиссий Google не берет (по крайней мере пока 😉). Оплачивать вы будете только услуги банка, выпустившего вашу карту.
2) Безопасно ли это?
Во время оплаты покупки создается одноразовый код, который и подтверждает транзакцию. Даже если кто-то перехватит его с помощью «хитрых» устройств — он ничего ему не даст. Т.к. повторно купить по нему ничего нельзя.
К тому же, саму карту вам не придется лишний раз нигде светить, и никто не узнает ее номер или CVV код (что, естественно, тоже повышает безопасность средств на ней).
3) Нужно ли при оплате вводить ПИН-код?
Зависит от суммы оплаты. Обычно, до 1000 руб. не нужно (вообще, этот момент нужно узнавать у вашего банка, выпустившего карту).
https://www.youtube.com/watch?v=9KA6mttmV9Y
4) Может ли банк заблокировать карту, если я буду использовать Google Pay?
Официально никто за это не блокирует. И лично я с этим тоже не сталкивался. Но вообще, если у банка возникнут подозрения, что ваша карта не вами и как-то «не так» используется — он может ее «заморозить» (и перезвонить вам, поинтересоваться, не теряли ли вы карту и все ли в порядке. После подтверждения от вас — все должно заработать вновь. ).
5) Если я потеряю смартфон — не «утекут» ли мои средства?
Вообще, и без Google Pay в случае потери аппарата вы рискуете, т.к. средства могут снять и с помощью обычной SMS (если у вас включена услуга мобильного банка).
Чтобы защитить себя, очень желательно 👉 заблокировать доступ к телефону с помощью отпечатка пальца (все современные аппараты позволяют это сделать). Тогда даже в случае потери телефона — у вас будет достаточно времени для блокировки сим-карты и банковских продуктов, чтобы никто не успел ими воспользоваться.
Также рекомендую ознакомиться со статьей, в которой я показал, как можно 👉 удалить все данные с телефона, в случае его утери.
Предыстория
Если проследить эволюцию стандарта EMV, то вначале были чиповые смарт‑карты. Затем эти карты оснастили антенной и превратили в бесконтактные карты, унаследовавшие почти все функции от EMV. Но карточным брендам этого было мало, и в 2022 году уже существовавший тогда Google Wallet оснастили функцией бесконтактной оплаты с помощью NFC.
Google использовала подход Host-Card Emulator (HCE), когда конечное устройство не содержит в себе все приватные и симметричные ключи шифрования по аналогии со смарт‑картой, а время от времени загружает одноразовые ключи (Single-Use Key, SUK) для каждой следующей операции.
Придерживаясь этого подхода до сих пор, телефоны с Google Pay не позволяют совершать больше двадцати операций без подключения к интернету. В 2022 году Samsung и Apple представили свои кошельки с использованием технологии Secure Element.
Работают они по аналогии со смарт‑картами, где физически и логически защищенный чип гарантирует защиту от перехвата, чтения, перезаписи секретных ключей, на основе которых создаются 3DES-криптограммы EMV и подписываются данные с помощью асимметричного RSA.
https://www.youtube.com/watch?v=CYhVwWdwdx8
В прошлом Славомир Ясек показывал пример успешного переноса Google Pay с одного устройства на другое. При этом сохранялась возможность получать ключи SUK с серверов Google не на оригинальное устройство. Питер Филлмор (Peter Fillmor) также детально рассматривал устройство Apple Pay.
Два года назад я начал исследовать безопасность мобильных кошельков при оплате с помощью NFC. На тот момент Google Pay был единственным кошельком, позволяющим платить устройством с заблокированным экраном. Я очень быстро смог применить атаку, которую использовал для бесконтактных карт Visa, чтобы обойти лимиты NoCVM или Tap &
Go (в России они составляют 3000 рублей). Для этого было необходимо лишь активировать экран на заблокированном телефоне. Если телефон все еще у владельца в кармане, это можно сделать, отправив команду по Bluetooth или Android Beam.
Несмотря на заявления экспертов, что «форматы и протоколы работы бесконтактных карт разных международных систем принципиально не различаются», я категорически с этим не согласен, ведь применить такую же атаку против MasterCard мне не удалось.
В конце 2022 года Samsung и Apple представили поддержку «транспортных схем» в крупных мегаполисах: Нью‑Йорке, Токио, Лондоне. Во многих транспортных системах оплата зависит от дальности поездки, при этом финальная сумма платежа высчитывается исходя из точки входа в метро и точки выхода.
Поэтому снимать стандартную сумму при первом «тапе» карты или кошелька некорректно. Далее, несмотря на стабильное подключение турникетов к интернету, они не запрашивают авторизацию транзакций онлайн, потому что соединение занимает долгое время.
Вместо этого используется асинхронная авторизация. А чтобы противодействовать мошенничеству, применяется офлайн‑аутентификация по современному стандарту CDA, описанному еще в спецификациях EMV. Я уже рассказывал о принципе работы CDA в статье «Близкие контакты. Разбираемся, как работают системы безопасности кредитных карт».
Наконец, последняя проблема электронных кошельков — это необходимость разблокировать телефон Apple или Samsung каждый раз, когда ты подходишь к турникету метро. Крайне неудобно, не правда ли? Именно поэтому и Samsung, и Apple сделали возможность платить на транспорте без разблокировки телефона.
Привязка карты для оплаты
Выполнить процедуру можно 2 способами. С помощью программы «Альфа-Мобайл» привязку выполняют так:
- Переходят в раздел «Карты». Выбирают нужное платежное средство.
- Нажимают на значок ближней связи. Выбирают вариант «Внести сведения о счете в Wallet».
С использованием системы Wallet привязку осуществляют так:
- Открывают приложение Wallet. Нажимают значок « », расположенный в правом верхнем углу.
- Сканируют номер карты камерой смартфона или вводят вручную. Проверяют достоверность указанных данных.
- Вводят код безопасности кредитного или дебетового продукта, нанесенный на обратную сторону. Он представляет собой комбинацию из 3 цифр.
- Для завершения процедуры соглашаются с правилами, прописанными в пользовательском соглашении. Вводят код, поступающий в СМС-сообщении.
Apple Pay поддерживает все продукты MasterCard и VISA, в том числе международные и корпоративные.
С помощью смарт-часов
Альфа-Банк выпускает устройство, в комплект которого входят смарт-карта, конверт с проверочным кодом. Стоимость часов составляет 6000 руб. Они совместимы с премиальными пакетами обслуживания, а также зарплатными проектами. Особенности прибора:
- часы предлагаются в белом или черном цвете;
- устройство совместимо со всеми терминалами бесконтактной оплаты;
- прибор производится компанией Watch2pay, имеющей большой опыт в создании подобных аксессуаров.
Чтобы оплатить покупку, достаточно поднести часы к считывателю.
Сотрудники не умеют решать проблемы, связанные с google pay
Привет всем читателям данного ресурса! История моей проблемы следующая:
4 мая я получил карту. Находясь дома, я решил привязать её к Google Pay. Зайдя в приложение, я ввёл все необходимые данные и приложение предложило
только один способ подтвердить карту для бесконтактных платежей – позвонить в банк.
1 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что, мол, а вы уверены, что бесконтактные платежи недоступны? Далее она, игнорируя цель звонка (верифицировать карту) пытается меня убедить, что всё в порядке и картой можно расплачиваться в магазинах. Поняв, что разговор заходит в тупик я поблагодарил за помощь и попрощался.
2 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что для того, чтобы привязать карту к Google Pay, нужно это делать через их приложение Альфа-мобайл.
Ок. Пытаюсь это сделать через Альфа-мобайл, как она мне сказала. Захожу в приложение, выбираю карту-> бесконтактная оплата-> Google Pay. Мне приходит СМС с кодом, я его ввожу, происходит переход в Google Pay,
который мне сообщает, что такая карта уже привязана к приложению.
Удаляю карту через Google Pay, пробую снова повторить все действия с Альфа-мобайл. Возникает та же ошибка, что такая карта уже привязана к приложению. Но ведь я её удалил…
3 звонок в банк: объясняю ситуацию. Сотрудник банка говорит,что перед тем, как зайти в Альфа-мобайл, нужно удалить карту не только из Google Pay, но и из портала payments.google.com.
Убеждаюсь, что карты нет на payments.google.com. Пытаюсь 2-3 раза снова повторить все действия с Альфа-мобайл. Результат не меняется.
4 звонок в банк: объясняю ситуацию. Сотрудник банка говорит, что с моей картой всё в порядке, обращайтесь с этим вопросом в поддержку Google.
Пишу в поддержку Google. Они мне сообщают, что карту они видят, ожидается верификация банком. Просят позвонить в банк, сверить номер телефона и спросить, почему они
не могут подтвердить токенизацию.
5 звонок в банк: объясняю ситуацию. Сверяем номер телефона – всё в порядке. Объясняю, что Google Pay предлагал мне подтвердить подлинность только звонком в банк. Сотрудник разводит руками,
говорит, что у них карты проходят верификацию только через СМС и проблема на стороне Google.
Пишу в поддержку Google, отправляю дополнительно скриншоты ошибок. Они мне предлагают убрать блокировку экрана с устройства, чтобы сбросить все карты и добавить карту заново. Не помогло.
Далее они мне пишут «По нашим данным карта находится на стадии верификации в банке. Мы можем только рекомендовать снова связаться с банком с просьбой верифицировать карту.»
6 звонок в банк: объясняю ситуацию. Сотрудница просит отправить на ccsupervisors@nfcexpert.ruописание проблемы со скриншотами.
Отправляю письмо и что вы думаете? Ответ приходит следующий:«Уважаемый <Имя Отчество>! По вашему запросу сообщаем, что на стороне банка попыток токенизации через “Альфа-Мобайл” не обнаружено. Рекомендуем открыть раздел “Все счета и карты” – провалиться в карту и выбрать соотв. пункт. Альфа-Банк».
Естественно попыток токенизации через”Альфа-Мобайл” не будет, потому что карта уже была введена через Google
Pay и при привязке карты через “Альфа-Мобайл” – Google Pay выдаёт ошибку, что такая карта уже есть… Попытка токенизации точно была – до 2 моего звонка в
банк, Google Pay предлагал верифицировать карту путём обращения в банк.
Видно, что проблема точно на стороне банка и его сотрудники не хотят признавать и решать проблему. Карты других банков без проблем
привязываются к приложению (проверил после возникновения данной проблемы).
Токенизация
Мобильные кошельки существуют благодаря технологии токенизации: карта добавляется в мобильный кошелек, данные отсылаются международной платежной системе, которая после подтверждения всех реквизитов создает «виртуальную карту». Она может работать только по NFC, причем только на том устройстве, на котором карта была добавлена. Но это в теории.
Преимущество мобильного кошелька состоит в том, что использование токенов ограничено. В случае компрометации токена злоумышленники не могут использовать украденные данные виртуальной карты, чтобы создать клон магнитной полосы или платить такой картой в интернете.
Начиная с момента замещения карты токеном банки‑эмитенты перестают играть существенную роль в авторизации транзакций и риск‑менеджменте. Да, они получают информацию о местоположении и типе мерчанта, сумме, дате транзакции.
Код, который исполняется в мобильном кошельке, также написан, аудирован и сертифицирован одной из МПС. Apple или Samsung вроде и ни при чем — они выступают фасадом, но всю работу за них делают МПС. А банку‑эмитенту становится труднее судить о мошеннических операциях из‑за недостатка данных.
Поэтому операции с использованием мобильных кошельков, в отличие от банковских карт, почти никогда случайно не блокируются системами антифрода. Именно в этом и кроется одна из основных проблем: ответственные за процесс платежа скрыты внутри самого этого процесса, а сущности снаружи (банк‑эмитент, мерчант, мобильный кошелек) имеют ограниченные возможности для принятия решений.
Подведём итог
Как видите, платформа Google Pay стала настоящим, и прямо скажем – долгожданным прорывом, несмотря на уже существующие системы подобного рода. Её универсальность, безопасность и простота использования покоряют с первого взгляда.
- Оформить кредитку “Разумная” Ренессанс Кредит Банка, бесплатное обслуживание, льготный период 145 дней всегда!
- Оформить кредитку “365 дней без %” Альфа-Банка, 1 год без % на любые покупки!
- Оформить карту рассрочки “Халва” Совкомбанка, бесплатное обслуживание, беспроцентная рассрочка (в том числе на снятие наличных), кэшбэк до 6%!, процент на остаток до 12%
- Оформить кредитную карту “Opencard” банка Открытие, бесплатное обслуживание, кэшбэк 1,5% на все покупки!, льготный период 55 дней, погашение кредитки другого банка бесплатным переводом
- Оформить дебетовую карту Польза Хоум Кредит Банка, бесплатное обслуживание, 22% по накопительному счету
Подобные технологии развиваются по всему миру, и мы надеемся, что в РФ с этим сервисом, оправдавшим все ожидания, будет работать как можно больше банков и магазинов.
Оплата одним движением руки (в которой находится смартфон) по праву считается самым быстрым и удобным способом расчета. Конечно, в некоторых торговых точках до сих пор по каким-то причинам отсутствует возможность безналичной оплаты, но это всего лишь дело времени и технического прогресса.
Их владельцы очень скоро осознают тот факт (или государство «поможет» сделать это как можно быстрее), что такой способ оплаты исключает возможность мошенничества, недостач, краж и банальных очередей и традиционный рынок, а с ним и экономика, приобретут совершенно иной вид – начинается эра мобильных платежей!
Итоги
Я обнаружил несколько способов атаковать украденные мобильные кошельки, если на устройстве возможна оплата без разблокировки телефона. Также я нашел новую интересную атаку на протокол EMV — Cryptogram Confusion. С помощью нее можно атаковать не только мобильные кошельки, но и чиповые/бесконтактные карты.
Мне удалось совершить платеж по клонированным транзакциям кошелька Google Pay c привязанной MasterCard даже при ограничении в пять попыток.
Когда же дело дошло до общения с мобильными вендорами и МПС, итоги оказались неутешительными:
- Обо всех недостатках Google была оповещена в феврале. Они сообщили, что в курсе проблем и планируют закрыть возможность платежей на заблокированном экране. Это реализовано созданием отдельной опции в настройках NFC после февраля 2021 года. Также во всех регионах разработчики уменьшили число транзакций на заблокированном телефоне. Остальные уязвимости были проигнорированы.
- Apple, Samsung, MasterCard были оповещены весной 2021 года, и завертелось… Apple заявила, что 15 байт для активации NFC — достаточная защита для пользователей. Все мобильные вендоры подняли лапки кверху и, сказав, что не имеют права менять код кошельков, попросили разрешения поделиться находками с МПС. После того как разрешения были даны, мою страницу в LinkedIn много раз посещали уважаемые люди из всех МПС, но никто никогда со мной так и не связался.
Летом этого года MasterCard не только закрыла лазейку для Card Brand Mixup Attack от швейцарских исследователей, но и устранила лазейку для Cryptogram Confusion. Я обнаружил это случайно только в октябре, при подготовке к выступлению.
Помимо этого, во многих регионах поле MCC было добавлено в криптограмму, что делает подмену MCC невозможной даже во время Transaction Stream Manipulation. Поменялся метод представления ATC/AAC на заблокированных телефонах Samsung, что и навело меня на мысли о патче. Версию патча я смог выпытать у Samsung (апдейт MPBP 1.2.2, May 27, 2021).
Visa не сильно переживает из‑за все еще существующей возможности совершать платежи на украденных и разряженных телефонах Apple и еще меньше — из‑за манипуляций транзакционным потоком. Они верят в машинное обучение, риск‑ориентированную модель и, скорее всего, заняты развитием бизнеса или другими интересными возможностями, а не безопасностью своих клиентов.
Атаки, которые возможны до сих пор:
- Транспортная карта Visa Apple Pay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa Google Pay, тут с 2022 года ничего не изменилось.
- MasterCard Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
- Остальные вариации карта кошелек — атаки возможны только при манипуляции Transaction Stream.
Для того чтобы по‑настоящему защититься от злоупотребления платежами на заблокированном телефоне, самое оптимальное решение — сверять категорию мерчанта и сумму со значениями CVR:
- пользователь совершил платеж на 100 долларов, телефон был разблокирован, мерчант — супермаркет, нет проблем;
- авторизация на 0.00 или списание на большую сумму, телефон не разблокирован, мерчант — транспорт, тоже нет проблем;
- авторизация на 0.00, списание на большую сумму, телефон не разблокирован, мерчант — супермаркет, это уже подозрительно, и такие транзакции нужно отклонять.
Что делать банкам‑эмитентам? Я несколько раз слышал о том, что во время токенизированных транзакций банк может запросить дополнительную информацию от МПС для принятия решений, в частности поля EMV, которые в обычном случае не покидают токенизатор.
Что делать клиентам? Давай представим такую картину: ты владелец мобильного кошелька, потерял свой телефон и не заблокировал карту по умолчанию или транспортную карту (я знаю, что в России транспортные карты не используются, но мы же фантазируем).
- Ты звонишь в банк, просишь заблокировать карту и начать разбирательства.
- Спустя какое‑то время банк‑эмитент сообщает, что у него нет никаких сведений о мошенническом характере совершенных транзакций. С их стороны все выглядит безобидно. Возможно, ты разгласил свой ПИН‑код?
- Попытки общаться с мобильными вендорами (Apple, Samsung, Google) ни к чему не приводят — они будут утверждать, что платежи возможны только у ограниченных категорий мерчантов и в лимитированных суммах. Возможно, ты разгласил свой ПИН‑код?
Что в таком случае остается делать клиентам? Отказаться от использования самых ненадежных продуктов.
За последний год я смог подтвердить свои догадки — разработчики мобильных кошельков уютно устроились, создав «самые безопасные формы платежей», отобрав у банков‑эмитентов возможности для принятия решений во время эмиссии кошелька и авторизации транзакций.