Как настроить NFC Альфа банк? – Ваша онлайн энциклопедия

‎cloudpayments

Google pay

Большое количество людей осознали преимущества технологии оплаты в «одно касание» активно используют возможности оплаты через сервис paywave и pay pass , с устройств с наличием NFC.

Чтобы модульная система успешно заработала, следует настроить мобильный телефон:

1.Убедиться в том, что устройство поддерживает технологию бесконтактной оплаты;

2. Зайти в «Настройки», «Дополнительные функции»;

3. Активировать опцию «Настройки», перейти в раздел «Ещё», найти NFC.

4.  Выполнить вход в «настройки», «Подключения», «NFC и оплата».

После этого требуется отыскать опцию NFC и активировать ее. Для этого потребуется зайти в раздел «Бесконтактная оплата», чтобы получить информацию об основном средстве оплаты. В большинстве случаев, оплата совершается посредством использования приложения Google Pay. Чтобы настроить оплату через этот сервис потребуется выполнить следующие шаги:

1. Скачивание утилиты;
2. Запуск приложения и привязка к аккаунту в системе Google;
3. Активировать опцию «Начать»;
4. Выполнить добавление карты;
5. Ввести запрашиваемые сведения о пользователе;
6. Связаться с банком, проверить карту.
7. Настройка блокировки экрана;
8. Подтверждение привязки карты.

Nfc-платежи в альфа-банке по технологии hce

Запуск платежей по данной технологии приурочен к фестивалю музыки Alfa Future People. На период проведения мероприятия в Гугл Пей размещается приложение Touch, разработанное в БПЦ «Банковские Технологии». С новым сервисом владельцы телефонов с оперативной системой Андроид 4.4, поддерживающей NFC, выпускают неперсонифицированные карточки МастерКард и оплачивают товары и услуги «одним касанием».

Карта действует в течение одного года. Каждый месяц ее разрешается пополнять не более, чем на пятнадцать тысяч российских рублей. До выполнения оплаты телефоном пользователю следует осуществить одно действие – ввести ПИН-код. Можно пополнять счет выпущенной карты через приложение, здесь же проверяется оставшаяся сумма, просматривается платежная история. На такой карте предусмотрены бесплатные СМС-сообщения информационного характера.

Чтобы выполнить перечисление денежных средств, системой генерируется одноразовый сессионный пароль, обеспечивающий защищенность каналов мобильных приложений.

Работники банка уверяют, что приложение решает проблемы с бесконтактными платежами, легко превращая смартфон, поддерживающий функцию NFC, в безопасный электронный кошелек.

Атакуем apple pay

Ког­да‑то кор­порация Apple объ­явля­ла, что про­изво­димые ею телефо­ны научи­лись под­держи­вать пла­тежи с заб­локиро­ван­ным экра­ном, на нес­коль­ко месяцев рань­ше сво­их кон­курен­тов. Одна­ко мне дол­гое вре­мя не уда­валось про­верить их безопас­ность.

Основная заг­воз­дка была в том, что телефон не акти­виро­вал поле NFC с помощью обыч­ных тер­миналов и бес­контак­тных ридеров. Я упор­но гуг­лил, как работа­ет Apple VAS (Value Additional Services) и пытал­ся поль­зовать­ся помощью кол­лег для ревер­са бинарей Apple Pay (их наз­вания я поза­имс­тво­вал из пре­зен­тации Питера Фил­лмо­ра).

Ког­да я закон­чил тес­ты с Samsung Pay, я все еще не знал, что делать с Apple Pay, и был в отча­янии. Единс­твен­ным тер­миналом, которым я мог поль­зовать­ся на тот момент, был тер­минал у тур­никета мет­ро. Я решил: если я смо­гу записать крип­тограм­му тран­закции в мет­рополи­тене, но сама тран­закция не прой­дет, то я при­ду домой и поп­робую вста­вить крип­тограм­му в Transaction Stream, как это делалось с вари­антом Samsung Visa. Пос­ле нес­коль­ких попыток мне уда­лось пов­торить ата­ку вто­рого типа по отно­шению к связ­ке Apple Visa.

Тог­да же один умный инже­нер дал мне совет не исполь­зовать Proxmark3, а взять что‑то более надеж­ное, нап­ример HydraNFC. Пос­ледовав это­му совету, я быс­тро уви­дел в тра­фике «неч­то» — 15 байт, которые отсы­лались до пер­вых команд. Тог­да мне было труд­но поверить, что все­го 15 байт раз­бло­киру­ют NFC в iPhone, так как я мно­го читал в патен­тах про PKI, исполь­зуемые Apple в VAS.

Пос­мотрим, как выг­лядит генера­ция крип­тограм­мы кар­той MasterCard, задан­ной как тран­спортная кар­та в Apple Pay:

В отли­чие от Samsung, Apple вер­нет онлайн‑крип­тограм­му, даже если сум­ма не будет рав­на 0.00 (сот­рудни­ки Apple заяви­ли, что исполь­зуют или собира­ются исполь­зовать эту фун­кцию, так что «это не баг»).

Од­нако при под­мене кода MCC тран­закция будет откло­нена из‑за CDA. Пос­ле июня 2021 года MasterCard зак­рыла воз­можность Card Brand Mixup Attack, поэто­му опла­тить в про­изволь­ном тер­минале этой кар­той не удас­тся. Но я все еще мог про­водить ата­ки с исполь­зовани­ем Transaction Stream Manipulation.

А что же с кар­тами Visa? Ими мож­но рас­пла­чивать­ся в любом супер­марке­те мира по заб­локиро­ван­ному iPhone, для это­го нуж­но лишь под­менить нес­коль­ко бай­тов при обме­не меж­ду тер­миналом и телефо­ном. Да ты и сам об этом уже, ско­рее все­го, читал: иссле­дова­тели из уни­вер­ситетов Бир­минге­ма и Сур­рея обна­ружи­ли эту уяз­вимость незави­симо от меня при­мер­но в это же вре­мя.

Атакуем google pay

Мы уже показы­вали в 2022 году, как мож­но совер­шать пла­тежи на заб­локиро­ван­ном кошель­ке Google Pay по кар­там Visa выше лимитов NoCVM: для это­го нуж­но лишь поменять бит в поле TTQ, ука­зыва­ющий, что тре­бует­ся верифи­кация пла­тель­щика. Обой­ти огра­ниче­ния по кар­там MasterCard в прош­лый раз не уда­лось, поэто­му я решил поп­робовать еще.

Вмес­то модифи­кации Transaction Stream я вос­поль­зовал­ся ста­рой ата­кой, опи­сан­ной Май­клом Ролан­дом (Michael Roland) в 2022 году, — Pre-play and Downgrade (в пре­дыду­щей статье я по ошиб­ке написал, что ата­ку раз­работал Питер Фил­лмор в 2022 году, но это не так).

Для меня оста­валось загад­кой, почему режим M-STRIPE до сих пор работа­ет в кошель­ках Google Pay для всех карт MasterCard. Я решил иссле­довать его чуть пог­лубже — пос­мотреть на мак­сималь­ную энтро­пию, защиту от скач­ков ATC и дру­гие механиз­мы защиты.

Вы­ясни­лось сле­дующее.

1. Мак­сималь­ная энтро­пия по кар­там — 1000 или 10 000. Дру­гих нас­тро­ек я не встре­тил. Напом­ню, что кар­та или кошелек с энтро­пией 1000 кло­ниру­ется пол­ностью за 1000 зап­росов, на это ухо­дит око­ло минуты. Далее зло­умыш­ленни­ку не нужен ори­гиналь­ный телефон — он может совер­шать покуп­ки с исполь­зовани­ем той информа­ции, которая была кло­ниро­вана. Количес­тво тран­закций зависит от дру­гих внед­ренных мер безопас­ности.
2. Ог­раниче­ния NoCVM на заб­локиро­ван­ном телефо­не обхо­дят­ся так­же под­меной 1 бита в зап­росе от тер­минала, что поз­воля­ет совер­шать пла­тежи выше 3000 руб­лей. У некото­рых тер­миналов, одна­ко, есть отдель­ная кон­фигура­ция, ука­зыва­ющая мак­сималь­ную сум­му пла­тежа в легаси‑режиме M-STRIPE.
3. Ес­ли в обыч­ной кар­те счет­чик ATC идет пос­ледова­тель­но: 0001, 0002 и так далее, то для мобиль­ного кошель­ка сис­тема MasterCard внед­рила так называ­емый CryptoATC. При перех­вате команд они выг­лядят как слу­чай­ные зна­чения из 2 байт A56D, F1A1 и так далее. В про­цес­се детоке­низа­ции МПС прев­раща­ет эти зна­чения в пос­ледова­тель­ные. Одна­ко даже при скач­ках в 30–50–100 зна­чений счет­чика мои тран­закции не были заб­локиро­ваны.

Из‑за новых тре­бова­ний PSD2 в Евро­пе Android огра­ничи­вал количес­тво тран­закций на заб­локиро­ван­ном телефо­не до пяти (сей­час это зна­чение — три или ноль, зависит от стра­ны). Это зас­тавило меня задумать­ся: если MasterCard и Google не про­веря­ют скач­ки ATC, записав толь­ко пять тран­закций, какова веро­ятность вос­про­извести одну из них успешно?

https://www.youtube.com/watch?v=bnFaaPylthI

Вос­поль­зуем­ся фор­мулой Бер­нулли, отлично нарисо­ван­ной Арка­дием Лит­винен­ко спе­циаль­но для таких слу­чаев.

При энтро­пии 1000, если совер­шить 50 попыток опла­ты в супер­марке­те, веро­ятность получить слу­чай­ное чис­ло из пяти записан­ных сос­тавит 14%. Для 100 попыток — 26%. А при наличии дос­тупа к Transaction Stream каж­дая из этих записан­ных тран­закций может быть монети­зиро­вана, ведь зло­умыш­ленник в сос­тоянии соз­дать зап­рос на авто­риза­цию, где сам выс­тавит и слу­чай­ное чис­ло, и зна­чения CVC3/ATC.

Бо­лее того, в слу­чае дос­тупа к Transaction Stream и при отсутс­твии защиты от перебо­ра пар ATC/CVC3, если у зло­умыш­ленни­ка есть толь­ко токен (16 цифр вир­туаль­ной кар­ты и expiry date), ему пот­ребу­ется мак­симум 65 535 попыток, что­бы соз­дать и успешно авто­ризо­вать мошен­ничес­кую тран­закцию.

Ес­ли все, что нуж­но сде­лать мошен­никам в дан­ном слу­чае, — быть нас­той­чивыми, «тапая» в супер­марке­те 50–100 раз, каж­дый раз ожи­дая успе­ха, или посылать зап­росы на авто­риза­цию на сер­веры токени­зации MasterCard MDES, то успех, увы, им гаран­тирован.

Атакуем samsung pay

Samsung пошел по прос­тому пути: при акти­вации тран­спортной кар­ты NFC всег­да работа­ет на телефо­не, и все про­вер­ки, пред­назна­чен­ные для того, что­бы отли­чить пла­теж­ный тер­минал в супер­марке­те от тер­минала в мет­ро, совер­шают­ся на эта­пе фазы пла­тежей EMV/NFC.

Быс­тро добавив кар­ту Visa и уста­новив ее как тран­спортную в телефо­не, я воору­жил­ся Proxmark3 и отпра­вил­ся в мет­ро, что­бы записать дан­ные о тран­закции и срав­нить зап­росы от тер­минала в мет­рополи­тене с зап­росами от обыч­ного пла­теж­ного тер­минала.

Глав­ная коман­да в дан­ном слу­чае — зап­рос тер­минала на генера­цию крип­тограм­мы (Generate AC) и ответ кошель­ка:

Для пла­теж­ных тер­миналов, авто­ризу­ющих пла­тежи онлайн, бес­контак­тные кар­ты Visa не тре­буют офлайн‑аутен­тифика­ции. Но в дан­ном слу­чае она обя­затель­на. Так­же телефон про­веря­ет сум­му: если она не рав­на 0.00, то тран­закция не прой­дет. Но телефон не смот­рит на имя мер­чанта или катего­рию про­дав­ца (MCC — Merchant Category Code).

Ес­ли пла­теж про­исхо­дит в обыч­ном тер­минале, офлайн‑аутен­тифика­ция не будет зат­ребова­на и сум­ма будет отличной от 0.00. В этом слу­чае телефон вер­нет сле­дующий ответ:

Я решил не отча­ивать­ся и добавил кар­ту MasterCard, сно­ва вер­нулся в мет­ро и про­вел те же опе­рации:

https://www.youtube.com/watch?v=Dwl2QVnm8jU

Для карт MasterCard офлайн‑аутен­тифика­ция по бес­контак­тным кар­там обя­затель­на прак­тичес­ки в каж­дой стра­не и под­держи­вает­ся каж­дой бес­контак­тной кар­той. Если она не будет успешна, тер­минал обя­зан прер­вать такую тран­закцию. Поэто­му телефон про­веря­ет два поля: сум­му и код MCC.

Ес­ли пла­теж дела­ется в обыч­ном тер­минале, сум­ма будет отли­чать­ся от 0.00 и код тер­минала ока­жет­ся не из катего­рии «Тран­спорт». В этом слу­чае телефон вер­нет такой ответ:

Тут уже что‑то инте­рес­ное. Напом­ню, что крип­тограм­ма — это 3DES HMAC от некото­рых полей, пред­став­ленных тер­миналом в зап­росе Generate AC, и зна­чений в самой кар­те, нап­ример ATC. Моя пер­вая догад­ка: а что, если клю­чи и алго­ритм каль­куляции крип­тограм­мы AAC точ­но такие же, как и для ARQC?

Ведь счет­чик тран­закций уве­личи­вает­ся каж­дый раз на 1, даже при воз­вра­те AAC-крип­тограм­мы. Если мы поменя­ем поле 9f27 на 0x80, крип­тограм­ма будет при­нята тер­миналом и отправ­лена на токени­заци­онный хост MasterCard для авто­риза­ции.

Зву­чит как план, но у меня была проб­лема: модифи­кация любых полей во вре­мя обще­ния тер­минала и кошель­ка будет замече­на при офлайн‑аутен­тифика­ции CDA. Тут мне на помощь приш­ла тех­ника, сов­сем недав­но най­ден­ная «швей­цар­ски­ми уче­ными» (с).

Пер­вый план ата­ки соз­рел:

1. Бе­рем устрой­ство man in the middle для модифи­кации дан­ных меж­ду телефо­ном и тер­миналом.
2. Про­водим ата­ку Card Brand Mixup — кар­та MasterCard прит­воря­ется кар­той Visa (как это делать — читай в иссле­дова­нии Card Brand Mixup Attack, PDF).
3. На пос­леднем шаге при­меня­ем ата­ку Cryptogram Confusion: ког­да кошелек воз­вра­щает крип­тограм­му типа 0x00 (AAC), мы меня­ем зна­чение поля 9f27 на 0x80 (ARQC).
   Я был при­ятно удив­лен тем, что в кон­це кон­цов ата­ка Cryptogram Confusion прош­ла и тран­закция была одоб­рена. Вот виде­оза­пись этой ата­ки.

Мож­но ли как‑то совер­шать пла­тежи по кар­там Visa и дру­гим, нап­ример American Express, если телефон заб­локиро­ван? Не обна­ружив никако­го дру­гого спо­соба получе­ния крип­тограм­мы, кро­ме зап­роса авто­риза­ции на сум­му 0.00, я решил вос­поль­зовать­ся ата­кой Transaction Stream Manipulation.

В ходе этой ата­ки дан­ные под­меня­ются не меж­ду тер­миналом и кар­той или кошель­ком, а меж­ду тер­миналом и бан­ком‑эквай­ером, в зап­росе ISO8583 Authorisation Request. В этом слу­чае у зло­умыш­ленни­ка боль­ше воз­можнос­тей для манипу­ляции полями.

Нап­ример, поле «сум­ма» фигури­рует в этом зап­росе дваж­ды: в пер­вый раз в поле [55] — там, где соб­раны все поля EMV, а во вто­рой раз — в поле [04], где ука­зыва­ется реаль­но спи­сыва­емая сум­ма.

В таком слу­чае ата­ка на дру­гие кар­ты, в том чис­ле Visa, выг­лядит сле­дующим обра­зом:

1. Зап­рашива­ем крип­тограм­му на 0.00 так же, как ее зап­рашива­ет тер­минал в мет­ро.
2. Соз­даем зап­рос ISO8583, где ука­зыва­ем кор­рек­тные поля (сум­ма — 0.00, крип­тограм­ма и так далее), но в поле [04] ука­зыва­ем ту сум­му, которую хотим спи­сать с кар­ты.

Хо­тя кошелек с кар­той Visa передал информа­цию о том, что телефон не был раз­бло­киро­ван, эта тран­закция была одоб­рена Visa Tokenisation Service.

Как работает?

https://www.youtube.com/watch?v=1XfHRKmUmgo

Альфабанковское кольцо – это то же самое, что и карта финучреждения. Продукт предназначен для оплаты покупок в магазинах и услуг в аппаратах самообслуживания. В комплекте с украшением продаются:

• инструкция;
• секретный PIN в конверте;
• предоплаченная карта.

Лимиты платёжного средства достаточно ограничены:

• сумма расходов в течение календарного месяца не должна превышать 40 000.00 рублей;
• остаток денег на балансе платёжного средства должен быть не выше 15 000.00 рублей.

Пополнять кольцо можно переводами с иных карт, а также в аппаратах самообслуживания. Первоначальные лимиты со временем можно увеличить, обратившись к администрации одного из филиалов Альфа -Банка.

Важно: PIN потребуется вводить только при оплате покупок на сумму свыше 1 000.00 рублей.

Так как речь идёт о бесконтактных платежах, многих интересует, насколько безопасно пользоваться описываемым платёжным средством. Производители уверяют, что не менее безопасно, чем пластиковой картой. В аксессуар встроен чип Gemalto, призванный сделать платежи совершенно безопасными.

Как расплачиваться телефоном вместо карты (оплата покупок с помощью смартфона)

Доброго времени всем!

Современные технологии, конечно, шагают вперед семимильными шагами. Дошло до того, что оплатить покупку в магазине можно с помощью обычного телефона (а некоторые умудряются и с помощью наручных часов! 😉). Собственно, именно после такого одного случая (и удивления продавца), решил прояснить некоторые моменты.

И так, если у вас современный смартфон на Андроид (именно эту платформу и буду далее рассматривать) — то сообщаю, что в нашей стране не так давно заработали платежи Android Pay : т.е. возможность оплаты прямо с телефона (что, кстати, так и переводится с англ.).

Стоит сразу отметить, что не все телефоны оснащены спец. модулем NFC, который позволяет работать этой «штуке» (скажу даже более, пока не каждую карту банка можно использовать для этого. Но таких с каждым годом все меньше!).

Как бы там ни было, сделать телефон «деньгами» достаточно просто, ниже рассмотрю все нюансы.

Как узнать, поддерживает ли мой телефон эту технологию

В принципе, эту технологию поддерживает большинство современных смартфонов (если, конечно, исключить совсем уж бюджетные варианты). Требования достаточно просты:

1. Андроид версии 5.0 или выше;
2. наличие NFC-модуля;
3. смартфон не должен быть «подделкой», который не пройдет одобрение сервисов Google (или аналогов. );
4. официальная версия прошивки телефона (никаких изменений через root права).

Пожалуй, вопросы у рядового пользователя могут возникнуть лишь по поводу NFC-модуля. Ниже постараюсь ответить на него.

Как узнать, есть ли в телефоне поддержка NFC:

1. обратите внимание на руководство пользователя (в нем указываются все возможности аппарата), которое идет в комплекте при покупке телефона;
2. посмотрите внимательно корпус телефона: как правило, на задней стенке должен быть знак на голубом фоне с буквами NFC;
3. проверьте настройки телефона: если он поддерживает данную технологию — то в разделе по работе с беспроводными сетями должно быть упоминание о ней;
4. установите на телефон приложение NFC Check (ссылка на Play Market). После запуска приложения — оно автоматически проверит ваш аппарат и сообщит, есть ли модуль NFC (пример ниже).

Модуль NFC не был найден на твоем смартфоне

Как узнать, подходит ли мой телефон для оплаты?

Для бесконтактной оплаты покупок вам понадобится телефон с модулем NFC и операционной системой Android версии 5.0 и выше. Приложение «Кошелёк» должно быть установлено из официального магазина производителя устройства или мобильной ОС (Google Play, Huawei App Gallery, Samsung Galaxy Store и т.п.).

Для бесконтактной оплаты картой Visa версия приложения «Кошелёк» должна быть не ниже 7.27, для карты Mastercard — не ниже 7.0.1.6. Рекомендуем вам использовать самую свежую версию приложения «Кошелёк», доступную для загрузки из вышеупомянутых магазинов.

Если вы уже установили приложение «Кошелёк» и добавили в него банковскую карту, но все равно не можете расплатиться с помощью телефона, выполните описанные ниже действия:

1. Убедитесь, что программное и аппаратное обеспечение вашего телефона соответствует требованиям:
   • Операционная система Android версии 5.0 и выше (для устройств Android).
   • Поддержка NFC.
2. Определите, поддерживается ли технология NFC, и включите её:
   • Откройте настройки телефона.
   • Выберите «Подключенные устройства». Если такого варианта нет, посмотрите, есть ли один из следующих разделов: «Беспроводные сети», «Подключения» или «NFC». При необходимости нажмите Ещё.
   • Проверьте, есть ли функция NFC в появившемся списке. Если она указана, вы можете расплачиваться через Кошелёк в магазинах.
3. Включите NFC. Найдите раздел «NFC» и включите эту функцию. Возможность активации NFC также может находиться в других разделах, например — «NFC и оплата».

Примечание. Порядок действий может различаться в зависимости от модели телефона и версии ОС.

Какую бесконтактную карту альфа-банка выбрать?

https://www.youtube.com/watch?v=PcP2RiRD9vI

В основном держатели пластиковых карт используют их только для платежей, теряют при этом свои выгоды в виде бесплатного билета на самолет, возврата кругленькой суммы обратно на свой счет и прочее. Для выбора карты клиент должен отталкиваться от сферы применения:

Для тех, кто регулярно совершает перелеты, выгодно получить карту с возможностью накопления миль. Мили можно обменять на билет на самолет или повысить класс, уже купленного места в самолете;

Для любителей компьютерных игр стоит рассмотреть игровые карты и получать скидки и бонусы при оплате покупок в игре;

Для покупателей сети «Перекресток» выгодно будет завести бесконтактную карту Альфа-банка с программой «Перекрестка», оплачивать ею товары и регулярно получать бонусы в виде скидок;

Для автовладельцев выгодно получить автомобильную бесконтактную карту. И получать возврат части средств при оплате на автозаправках и других ТСП на счет автокарты ежемесячно.

Выгодно иметь в наличии несколько таких карт, где каждая будет обладать индивидуальными возможностями. Бесконтактная кредитка с уникальной партнерской программой при совершении повседневных покупок, принесет владельцу кроме комфорта, дополнительный пассивный доход.

Как пользоваться пошагово?

Если вы еще не поняли, как применять бесконтактную оплату пластиком, то все очень просто. Вам необходимо:

1. Узнать стоимость покупки;
2. Ввести ПИН код;
3. Прикоснуться к терминалу картой или мобильным телефоном (смартфоном).

При этом многие терминалы оплаты вообще не требуют вводить пин код, если покупки совершаются на сумму менее 1000 рублей. Это очень удобно.

Конечно, пока это на грани фантастики. Но если все будет развиваться подобными темпами, то мы скоро сможем забыть о пресловутых расплатах бумагой с надоедливой сдачей.

В дополнение темы:

Не работает бесконтактная карта МИР

Бесконтактные банкоматы Альфа-Банка

https://www.youtube.com/watch?v=tsxfiabn_1I

Карта МИР не поддерживает Эпл Пэй

Новости альфа-банка

Крупнейший частный банк России Альфа-Банк, оператор связи «Билайн» (ОАО «ВымпелКом») и международная платежная система MasterCard (NYSE: MA) объявляют о запуске платежного сервиса на базе технологий NFC с использованием SIM-карт «Билайн» с инновационной технологией для бесконтактной оплаты Mobile MasterCard PayPass ® .

Решение для бесконтактных платежей предполагает установку специального банковского приложения на SIM-карты и позволяет клиентам Альфа-Банка моментально совершать покупки и оплачивать услуги, поднеся свой телефон с поддержкой NFC и технологии Mobile MasterCard PayPass к ридеру PayPass на кассе.

В настоящее время данная услуга доступна пилотной группе клиентов Альфа-Банка. Для установки новой SIM-карты подходит широкий спектр моделей мобильных телефонов и смартфонов, поддерживающих технологию SIM centric NFC. В частности, при тестировании проекта использовались смартфоны линейки HTC One, которые изначально подготовлены к этой простой, но высокотехнологичной услуге бесконтактных платежей.

Денежные средства будут списаны с банковского счета клиента, к которому привязан номер банковской карты, записанный на SIM-карте. Сама SIM-карта столь же надежно защищена, как и банковская карта со встроенным микропроцессором — ЧИПом.

Благодаря размещению банковского приложения на SIM-карте сохраняются все преимущества сервисов, которые предоставляет как оператор сотовой связи, так и банк. А с помощью платежной технологии Mobile MasterCard PayPass можно расплачиваться в торговых точках в «одно касание», просто поднеся телефон к терминалу c PayPass.

Оплачивать покупки бесконтактным способом удобно, быстро и безопасно. До 1000 рублей оплата производится без введения ПИН-кода или подписи слипа, свыше этой суммы клиенту нужно подтвердить оплату вводом ПИН-кода. Оставаясь всегда на связи с мобильным оператором «Билайн», клиенты банка могут быстро и безопасно расплачиваться картой в торговых точках, поддерживающих бесконтактный способ оплаты MasterCard PayPass.

«На наш взгляд, NFC является перспективной технологией, и мы ожидаем, что в будущем она получит широкое распространение. Важно отметить, что ее развитие осуществляется компаниями из разных отраслей в тесном сотрудничестве друг с другом. Мы считаем, что технология SIM- centric NFC, на базе которой реализован платежный сервис совместно с Альфа-Банком и MasterCard является наиболее удобной для пользователей и оптимальной для всех компаний, участвующих в формировании экосистемы NFC сервисов», — прокомментировал Виктор Маркелов, Директор по продуктам и развитию бизнеса ОАО «ВымпелКом».

«Технология MasterCard PayPass стала настоящей революцией в безналичных платежных решениях, так как теперь инструментом безналичной оплаты наряду с банковской картой стал, например, мобильный телефон. В современном динамичном мире платежные банковские технологии выходят в совершенно новые форматы, и в индустрию приходят новые игроки.

Мы очень рады, что на российском рынке стартовал проект АЛЬФА-банка и Билайн, и теперь у россиян есть еще одна возможность воспользоваться преимуществами безналичной оплаты — в России и в других странах делать покупки безопасно, быстро и удобно, — сказал директор по развитию рынка MasterCard в России Андрей Макаров.

«Мы очень рады оказать Альфа-Банку поддержку в предоставлении самых современных решений, способных качественно улучшить жизнь его клиентов. Внедрение проекта совместно с MasterCard и „Билайн“ — важный шаг на пути создание комплексного взаимодействия телекоммуникационного и банковского секторов, позволяющий создавать максимально комфортный доступ ко всем финансовым услугам, независимо от времени суток, места и способа связи.

Данные SIM-карты разработаны и произведены в сотрудничестве с компанией Oberthur Technologies: ведущим мировым разработчиком NFC решений на основе смарт-карт.

Популярные вопросы

1) Сколько стоит услуга, берут ли комиссию?

Услуга работает бесплатно, никаких комиссий Google не берет (по крайней мере пока 😉). Оплачивать вы будете только услуги банка, выпустившего вашу карту.

2) Безопасно ли это?

Во время оплаты покупки создается одноразовый код, который и подтверждает транзакцию. Даже если кто-то перехватит его с помощью «хитрых» устройств — он ничего ему не даст. Т.к. повторно купить по нему ничего нельзя.

К тому же, саму карту вам не придется лишний раз нигде светить, и никто не узнает ее номер или CVV код (что, естественно, тоже повышает безопасность средств на ней).

3) Нужно ли при оплате вводить ПИН-код?

Зависит от суммы оплаты. Обычно, до 1000 руб. не нужно (вообще, этот момент нужно узнавать у вашего банка, выпустившего карту).

https://www.youtube.com/watch?v=9KA6mttmV9Y

4) Может ли банк заблокировать карту, если я буду использовать Google Pay?

Официально никто за это не блокирует. И лично я с этим тоже не сталкивался. Но вообще, если у банка возникнут подозрения, что ваша карта не вами и как-то «не так» используется — он может ее «заморозить» (и перезвонить вам, поинтересоваться, не теряли ли вы карту и все ли в порядке. После подтверждения от вас — все должно заработать вновь. ).

5) Если я потеряю смартфон — не «утекут» ли мои средства?

Вообще, и без Google Pay в случае потери аппарата вы рискуете, т.к. средства могут снять и с помощью обычной SMS (если у вас включена услуга мобильного банка).

Чтобы защитить себя, очень желательно 👉 заблокировать доступ к телефону с помощью отпечатка пальца (все современные аппараты позволяют это сделать). Тогда даже в случае потери телефона — у вас будет достаточно времени для блокировки сим-карты и банковских продуктов, чтобы никто не успел ими воспользоваться.

Также рекомендую ознакомиться со статьей, в которой я показал, как можно 👉 удалить все данные с телефона, в случае его утери.

Предыстория

Ес­ли прос­ледить эво­люцию стан­дарта EMV, то вна­чале были чиповые смарт‑кар­ты. Затем эти кар­ты оснасти­ли антенной и прев­ратили в бес­контак­тные кар­ты, унас­ледовав­шие поч­ти все фун­кции от EMV. Но кар­точным брен­дам это­го было мало, и в 2022 году уже сущес­тво­вав­ший тог­да Google Wallet оснасти­ли фун­кци­ей бес­контак­тной опла­ты с помощью NFC.

Google исполь­зовала под­ход Host-Card Emulator (HCE), ког­да конеч­ное устрой­ство не содер­жит в себе все при­ват­ные и сим­метрич­ные клю­чи шиф­рования по ана­логии со смарт‑кар­той, а вре­мя от вре­мени заг­ружа­ет одно­разо­вые клю­чи (Single-Use Key, SUK) для каж­дой сле­дующей опе­рации.

При­дер­жива­ясь это­го под­хода до сих пор, телефо­ны с Google Pay не поз­воля­ют совер­шать боль­ше двад­цати опе­раций без под­клю­чения к интерне­ту. В 2022 году Samsung и Apple пред­ста­вили свои кошель­ки с исполь­зовани­ем тех­нологии Secure Element.

Работа­ют они по ана­логии со смарт‑кар­тами, где физичес­ки и логичес­ки защищен­ный чип гаран­тиру­ет защиту от перех­вата, чте­ния, переза­писи сек­ретных клю­чей, на осно­ве которых соз­дают­ся 3DES-крип­тограм­мы EMV и под­писыва­ются дан­ные с помощью асим­метрич­ного RSA.

https://www.youtube.com/watch?v=CYhVwWdwdx8

В прош­лом Сла­вомир Ясек по­казы­вал при­мер успешно­го перено­са Google Pay с одно­го устрой­ства на дру­гое. При этом сох­ранялась воз­можность получать клю­чи SUK с сер­веров Google не на ори­гиналь­ное устрой­ство. Питер Фил­лмор (Peter Fillmor) так­же деталь­но рас­смат­ривал устрой­ство Apple Pay.

Два года назад я начал иссле­довать безопас­ность мобиль­ных кошель­ков при опла­те с помощью NFC. На тот момент Google Pay был единс­твен­ным кошель­ком, поз­воля­ющим пла­тить устрой­ством с заб­локиро­ван­ным экра­ном. Я очень быс­тро смог при­менить ата­ку, которую исполь­зовал для бес­контак­тных карт Visa, что­бы обой­ти лимиты NoCVM или Tap &

Go (в Рос­сии они сос­тавля­ют 3000 руб­лей). Для это­го было необ­ходимо лишь акти­виро­вать экран на заб­локиро­ван­ном телефо­не. Если телефон все еще у вла­дель­ца в кар­мане, это мож­но сде­лать, отпра­вив коман­ду по Bluetooth или Android Beam.

Нес­мотря на заяв­ления экспер­тов, что «фор­маты и про­токо­лы работы бес­контак­тных карт раз­ных меж­дународ­ных сис­тем прин­ципи­аль­но не раз­лича­ются», я катего­ричес­ки с этим не сог­ласен, ведь при­менить такую же ата­ку про­тив MasterCard мне не уда­лось.

В кон­це 2022 года Samsung и Apple пред­ста­вили под­дер­жку «тран­спортных схем» в круп­ных мегапо­лисах: Нью‑Йор­ке, Токио, Лон­доне. Во мно­гих тран­спортных сис­темах опла­та зависит от даль­нос­ти поез­дки, при этом финаль­ная сум­ма пла­тежа выс­читыва­ется исхо­дя из точ­ки вхо­да в мет­ро и точ­ки выхода.

Поэто­му сни­мать стан­дар­тную сум­му при пер­вом «тапе» кар­ты или кошель­ка некор­рек­тно. Далее, нес­мотря на ста­биль­ное под­клю­чение тур­никетов к интерне­ту, они не зап­рашива­ют авто­риза­цию тран­закций онлайн, потому что соеди­нение занима­ет дол­гое вре­мя.

Вмес­то это­го исполь­зует­ся асин­хрон­ная авто­риза­ция. А что­бы про­тиво­дей­ство­вать мошен­ничес­тву, при­меня­ется офлайн‑аутен­тифика­ция по сов­ремен­ному стан­дарту CDA, опи­сан­ному еще в спе­цифи­каци­ях EMV. Я уже рас­ска­зывал о прин­ципе работы CDA в статье «Близ­кие кон­такты. Раз­бира­емся, как работа­ют сис­темы безопас­ности кре­дит­ных карт».

На­конец, пос­ледняя проб­лема элек­трон­ных кошель­ков — это необ­ходимость раз­бло­киро­вать телефон Apple или Samsung каж­дый раз, ког­да ты под­ходишь к тур­никету мет­ро. Край­не неудоб­но, не прав­да ли? Имен­но поэто­му и Samsung, и Apple сде­лали воз­можность пла­тить на тран­спор­те без раз­бло­киров­ки телефо­на.

Привязка карты для оплаты

Выполнить процедуру можно 2 способами. С помощью программы «Альфа-Мобайл» привязку выполняют так:

1. Переходят в раздел «Карты». Выбирают нужное платежное средство.
2. Нажимают на значок ближней связи. Выбирают вариант «Внести сведения о счете в Wallet».

С использованием системы Wallet привязку осуществляют так:

1. Открывают приложение Wallet. Нажимают значок « », расположенный в правом верхнем углу.
2. Сканируют номер карты камерой смартфона или вводят вручную. Проверяют достоверность указанных данных.
3. Вводят код безопасности кредитного или дебетового продукта, нанесенный на обратную сторону. Он представляет собой комбинацию из 3 цифр.
4. Для завершения процедуры соглашаются с правилами, прописанными в пользовательском соглашении. Вводят код, поступающий в СМС-сообщении.

Apple Pay поддерживает все продукты MasterCard и VISA, в том числе международные и корпоративные.

С помощью смарт-часов

Альфа-Банк выпускает устройство, в комплект которого входят смарт-карта, конверт с проверочным кодом. Стоимость часов составляет 6000 руб. Они совместимы с премиальными пакетами обслуживания, а также зарплатными проектами. Особенности прибора:

• часы предлагаются в белом или черном цвете;
• устройство совместимо со всеми терминалами бесконтактной оплаты;
• прибор производится компанией Watch2pay, имеющей большой опыт в создании подобных аксессуаров.

Пополнять счет можно в банкоматах банка картой, в «Альфа-клик» и с помощью часов в банкоматах с бесконтактным доступом.

Чтобы оплатить покупку, достаточно поднести часы к считывателю.

Сотрудники не умеют решать проблемы, связанные с google pay

Привет всем читателям данного ресурса! История моей проблемы следующая:

4 мая я получил карту. Находясь дома, я решил привязать её к Google Pay. Зайдя в приложение, я ввёл все необходимые данные и приложение предложило

только один способ подтвердить карту для бесконтактных платежей – позвонить в банк.

1 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что, мол, а вы уверены, что бесконтактные платежи недоступны? Далее она, игнорируя цель звонка (верифицировать карту) пытается меня убедить, что всё в порядке и картой можно расплачиваться в магазинах. Поняв, что разговор заходит в тупик я поблагодарил за помощь и попрощался.

2 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что для того, чтобы привязать карту к Google Pay, нужно это делать через их приложение Альфа-мобайл.
Ок. Пытаюсь это сделать через Альфа-мобайл, как она мне сказала. Захожу в приложение, выбираю карту-> бесконтактная оплата-> Google Pay. Мне приходит СМС с кодом, я его ввожу, происходит переход в Google Pay,
который мне сообщает, что такая карта уже привязана к приложению.
Удаляю карту через Google Pay, пробую снова повторить все действия с Альфа-мобайл. Возникает та же ошибка, что такая карта уже привязана к приложению. Но ведь я её удалил…

3 звонок в банк: объясняю ситуацию. Сотрудник банка говорит,что перед тем, как зайти в Альфа-мобайл, нужно удалить карту не только из Google Pay, но и из портала payments.google.com.
Убеждаюсь, что карты нет на payments.google.com. Пытаюсь 2-3 раза снова повторить все действия с Альфа-мобайл. Результат не меняется.

4 звонок в банк: объясняю ситуацию. Сотрудник банка говорит, что с моей картой всё в порядке, обращайтесь с этим вопросом в поддержку Google.
Пишу в поддержку Google. Они мне сообщают, что карту они видят, ожидается верификация банком. Просят позвонить в банк, сверить номер телефона и спросить, почему они
не могут подтвердить токенизацию.

5 звонок в банк: объясняю ситуацию. Сверяем номер телефона  – всё в порядке. Объясняю, что Google Pay предлагал мне подтвердить подлинность только звонком в банк. Сотрудник разводит руками,
говорит, что у них карты проходят верификацию только через СМС и проблема на стороне Google.
Пишу в поддержку Google, отправляю дополнительно скриншоты ошибок. Они мне предлагают убрать блокировку экрана с устройства, чтобы сбросить все карты и добавить карту заново. Не помогло.
Далее они мне пишут «По нашим данным карта находится на стадии верификации в банке. Мы можем только рекомендовать снова связаться с банком с просьбой верифицировать карту.»

6 звонок в банк: объясняю ситуацию. Сотрудница просит отправить на ccsupervisors@nfcexpert.ruописание проблемы со скриншотами.
Отправляю письмо и что вы думаете? Ответ приходит следующий:«Уважаемый <Имя Отчество>! По вашему запросу сообщаем, что на стороне банка попыток токенизации через “Альфа-Мобайл” не обнаружено. Рекомендуем открыть раздел “Все счета и карты” – провалиться в карту и выбрать соотв. пункт. Альфа-Банк».
Естественно попыток токенизации через”Альфа-Мобайл” не будет, потому что карта уже была введена через Google
Pay и при привязке карты через “Альфа-Мобайл” – Google Pay выдаёт ошибку, что такая карта уже есть… Попытка токенизации точно была – до 2 моего звонка в
банк, Google Pay предлагал верифицировать карту путём обращения в банк.

Видно, что проблема точно на стороне банка и его сотрудники не хотят признавать и решать проблему. Карты других банков без проблем
привязываются к приложению (проверил после возникновения данной проблемы).

Токенизация

Мо­биль­ные кошель­ки сущес­тву­ют бла­года­ря тех­нологии токени­зации: кар­та добав­ляет­ся в мобиль­ный кошелек, дан­ные отсы­лают­ся меж­дународ­ной пла­теж­ной сис­теме, которая пос­ле под­твержде­ния всех рек­визитов соз­дает «вир­туаль­ную кар­ту». Она может работать толь­ко по NFC, при­чем толь­ко на том устрой­стве, на котором кар­та была добав­лена. Но это в теории.

Пре­иму­щес­тво мобиль­ного кошель­ка сос­тоит в том, что исполь­зование токенов огра­ниче­но. В слу­чае ком­про­мета­ции токена зло­умыш­ленни­ки не могут исполь­зовать укра­ден­ные дан­ные вир­туаль­ной кар­ты, что­бы соз­дать клон маг­нитной полосы или пла­тить такой кар­той в интерне­те.

На­чиная с момен­та замеще­ния кар­ты токеном бан­ки‑эми­тен­ты перес­тают играть сущес­твен­ную роль в авто­риза­ции тран­закций и риск‑менед­жмен­те. Да, они получа­ют информа­цию о мес­тополо­жении и типе мер­чанта, сум­ме, дате тран­закции.

Код, который исполня­ется в мобиль­ном кошель­ке, так­же написан, ауди­рован и сер­тифици­рован одной из МПС. Apple или Samsung вро­де и ни при чем — они выс­тупа­ют фасадом, но всю работу за них дела­ют МПС. А бан­ку‑эми­тен­ту ста­новит­ся труд­нее судить о мошен­ничес­ких опе­раци­ях из‑за недос­татка дан­ных.

По­это­му опе­рации с исполь­зовани­ем мобиль­ных кошель­ков, в отли­чие от бан­ков­ских карт, поч­ти никог­да слу­чай­но не бло­киру­ются сис­темами антифро­да. Имен­но в этом и кро­ется одна из основных проб­лем: ответс­твен­ные за про­цесс пла­тежа скры­ты внут­ри самого это­го про­цес­са, а сущ­ности сна­ружи (банк‑эми­тент, мер­чант, мобиль­ный кошелек) име­ют огра­ничен­ные воз­можнос­ти для при­нятия решений.

Подведём итог

Как видите, платформа Google Pay стала настоящим, и прямо скажем – долгожданным прорывом, несмотря на уже существующие системы подобного рода. Её универсальность, безопасность и простота использования покоряют с первого взгляда.

• Оформить кредитку “Разумная” Ренессанс Кредит Банка, бесплатное обслуживание, льготный период 145 дней всегда!
• Оформить кредитку “365 дней без %” Альфа-Банка, 1 год без % на любые покупки!
• Оформить карту рассрочки “Халва” Совкомбанка, бесплатное обслуживание, беспроцентная рассрочка (в том числе на снятие наличных), кэшбэк до 6%!, процент на остаток до 12%
• Оформить кредитную карту “Opencard” банка Открытие, бесплатное обслуживание, кэшбэк 1,5% на все покупки!, льготный период 55 дней, погашение кредитки другого банка бесплатным переводом
• Оформить дебетовую карту Польза Хоум Кредит Банка, бесплатное обслуживание, 22% по накопительному счету

Подобные технологии развиваются по всему миру, и мы надеемся, что в РФ с этим сервисом, оправдавшим все ожидания, будет работать как можно больше банков и магазинов.

Оплата одним движением руки (в которой находится смартфон) по праву считается самым быстрым и удобным способом расчета. Конечно, в некоторых торговых точках до сих пор по каким-то причинам отсутствует возможность безналичной оплаты, но это всего лишь дело времени и технического прогресса.

Их владельцы очень скоро осознают тот факт (или государство «поможет» сделать это как можно быстрее), что такой способ оплаты исключает возможность мошенничества, недостач, краж и банальных очередей и традиционный рынок, а с ним и экономика, приобретут совершенно иной вид – начинается эра мобильных платежей!

Итоги

Я обна­ружил нес­коль­ко спо­собов ата­ковать укра­ден­ные мобиль­ные кошель­ки, если на устрой­стве воз­можна опла­та без раз­бло­киров­ки телефо­на. Так­же я нашел новую инте­рес­ную ата­ку на про­токол EMV — Cryptogram Confusion. С помощью нее мож­но ата­ковать не толь­ко мобиль­ные кошель­ки, но и чи­повые/бес­контак­тные кар­ты.

Мне уда­лось совер­шить пла­теж по кло­ниро­ван­ным тран­закци­ям кошель­ка Google Pay c при­вязан­ной MasterCard даже при огра­ниче­нии в пять попыток.

Ког­да же дело дош­ло до обще­ния с мобиль­ными вен­дорами и МПС, ито­ги ока­зались неуте­шитель­ными:

1. Обо всех недос­татках Google была опо­веще­на в фев­рале. Они сооб­щили, что в кур­се проб­лем и пла­ниру­ют зак­рыть воз­можность пла­тежей на заб­локиро­ван­ном экра­не. Это реали­зова­но соз­дани­ем отдель­ной опции в нас­трой­ках NFC пос­ле фев­раля 2021 года. Так­же во всех реги­онах раз­работ­чики умень­шили чис­ло тран­закций на заб­локиро­ван­ном телефо­не. Осталь­ные уяз­вимос­ти были про­игно­риро­ваны.
2. Apple, Samsung, MasterCard были опо­веще­ны вес­ной 2021 года, и завер­телось… Apple заяви­ла, что 15 байт для акти­вации NFC — дос­таточ­ная защита для поль­зовате­лей. Все мобиль­ные вен­доры под­няли лап­ки квер­ху и, ска­зав, что не име­ют пра­ва менять код кошель­ков, поп­росили раз­решения поделить­ся наход­ками с МПС. Пос­ле того как раз­решения были даны, мою стра­ницу в LinkedIn мно­го раз посеща­ли ува­жаемые люди из всех МПС, но ник­то никог­да со мной так и не свя­зал­ся.

Ле­том это­го года MasterCard не толь­ко зак­рыла лазей­ку для Card Brand Mixup Attack от швей­цар­ских иссле­дова­телей, но и устра­нила лазей­ку для Cryptogram Confusion. Я обна­ружил это слу­чай­но толь­ко в октябре, при под­готов­ке к выс­тупле­нию.

Помимо это­го, во мно­гих реги­онах поле MCC было добав­лено в крип­тограм­му, что дела­ет под­мену MCC невоз­можной даже во вре­мя Transaction Stream Manipulation. Поменял­ся метод пред­став­ления ATC/AAC на заб­локиро­ван­ных телефо­нах Samsung, что и навело меня на мыс­ли о пат­че. Вер­сию пат­ча я смог выпытать у Samsung (апдейт MPBP 1.2.2, May 27, 2021).

Visa не силь­но пережи­вает из‑за все еще сущес­тву­ющей воз­можнос­ти совер­шать пла­тежи на укра­ден­ных и раз­ряжен­ных телефо­нах Apple и еще мень­ше — из‑за манипу­ляций тран­закци­онным потоком. Они верят в машин­ное обу­чение, риск‑ори­енти­рован­ную модель и, ско­рее все­го, заняты раз­вити­ем биз­неса или дру­гими инте­рес­ными воз­можнос­тями, а не безопас­ностью сво­их кли­ентов.

Ата­ки, которые воз­можны до сих пор:

1. Тран­спортная кар­та Visa Apple Pay — без­лимит­ные пла­тежи на заб­локиро­ван­ном, раз­ряжен­ном или укра­ден­ном устрой­стве. Так­же до сих пор воз­можны пла­тежи по кошель­кам Visa Google Pay, тут с 2022 года ничего не изме­нилось.
2. MasterCard Google Pay — воз­можно кло­ниро­вание тран­закций, ког­да укра­ден­ной информа­ции будет дос­таточ­но для совер­шения опре­делен­ного чис­ла пла­тежей.
3. Ос­таль­ные вари­ации кар­та кошелек — ата­ки воз­можны толь­ко при манипу­ляции Transaction Stream.

Для того что­бы по‑нас­тояще­му защитить­ся от зло­упот­ребле­ния пла­тежа­ми на заб­локиро­ван­ном телефо­не, самое опти­маль­ное решение — све­рять катего­рию мер­чанта и сум­му со зна­чени­ями CVR:

• поль­зователь совер­шил пла­теж на 100 дол­ларов, телефон был раз­бло­киро­ван, мер­чант — супер­маркет, нет проб­лем;
• ав­ториза­ция на 0.00 или спи­сание на боль­шую сум­му, телефон не раз­бло­киро­ван, мер­чант — тран­спорт, тоже нет проб­лем;
• ав­ториза­ция на 0.00, спи­сание на боль­шую сум­му, телефон не раз­бло­киро­ван, мер­чант — супер­маркет, это уже подоз­ритель­но, и такие тран­закции нуж­но откло­нять.

Что делать бан­кам‑эми­тен­там? Я нес­коль­ко раз слы­шал о том, что во вре­мя токени­зиро­ван­ных тран­закций банк может зап­росить допол­нитель­ную информа­цию от МПС для при­нятия решений, в час­тнос­ти поля EMV, которые в обыч­ном слу­чае не покида­ют токени­затор.

Что делать кли­ентам? Давай пред­ста­вим такую кар­тину: ты вла­делец мобиль­ного кошель­ка, потерял свой телефон и не заб­локиро­вал кар­ту по умол­чанию или тран­спортную кар­ту (я знаю, что в Рос­сии тран­спортные кар­ты не исполь­зуют­ся, но мы же фан­тазиру­ем).

1. Ты зво­нишь в банк, про­сишь заб­локиро­вать кар­ту и начать раз­биратель­ства.
2. Спус­тя какое‑то вре­мя банк‑эми­тент сооб­щает, что у него нет никаких све­дений о мошен­ничес­ком харак­тере совер­шенных тран­закций. С их сто­роны все выг­лядит безобид­но. Воз­можно, ты раз­гла­сил свой ПИН‑код?
3. Попыт­ки общать­ся с мобиль­ными вен­дорами (Apple, Samsung, Google) ни к чему не при­водят — они будут утвер­ждать, что пла­тежи воз­можны толь­ко у огра­ничен­ных катего­рий мер­чантов и в лимити­рован­ных сум­мах. Воз­можно, ты раз­гла­сил свой ПИН‑код?

Что в таком слу­чае оста­ется делать кли­ентам? Отка­зать­ся от исполь­зования самых ненадеж­ных про­дук­тов.

За пос­ледний год я смог под­твер­дить свои догад­ки — раз­работ­чики мобиль­ных кошель­ков уют­но устро­ились, соз­дав «самые безопас­ные фор­мы пла­тежей», отоб­рав у бан­ков‑эми­тен­тов воз­можнос­ти для при­нятия решений во вре­мя эмис­сии кошель­ка и авто­риза­ции тран­закций.