Что такое nfc-технологии?
Чтобы понять, как осуществляется оплата, рекомендуется разобраться с бесконтактными технологиями.
Банковская карточка представляет собой небольшой пластик, в который вшит микроскопический процессор.
Банк приобретает заготовки у изготовителя, сканирует сведения на чип. В мобильном телефоне тоже имеется модуль, на который записываются платежные данные пользователя. Получается, что мобильное устройство выступает средством для выполнения бесконтактной оплаты, как и кредитная карта. Такой возможности способствует система NFC, в чем-то напоминающая Блютуз или Wi-Fi.
Для пересылки сведений от смартфона к платежному терминалу используют технологию ближней связи – NFC, или Near Field Communication. С ее помощью информация пересылается на небольшие расстояния – до двадцати сантиметров.
cloudpayments
CloudPayments — это платежный сервис, который предлагает современный интернет-эквайринг. Оплата на сайте без перехода на платежную страницу в удобном “Виджете” – всплывающем окне на вашем сайте, оплата через социальные сети, платежи в один клик, рекуррентные платежи (периодические или автоплатежи), рекаринговый платеж или “оплата в один клик”, холдирование, оплата в мобильном приложении, выставление счетов на e-mail или SMS, маркетплейс и множество других технологичных платежных инструментов.
Мы сделали мобильное приложение для наших партнеров – удобный интерфейс доступа к личному кабинету CloudPayments.
УПРАВЛЯЙТЕ ЗАКАЗАМИ
Формируйте новые заказы и счета, и контролируйте их оплату с телефона
Отправляйте новые счета на оплату по почте, E-mail или WhatsApp
Выбирайте язык уведомлений для ваших клиентов
Оформляйте подписку (периодические платежи) или реализуйте оплату в один клик для ваших клиентов
СЛЕДИТЕ ЗА ОПЕРАЦИЯМИ
Отслеживайте платежи в вашу пользу в режиме реального времени
Следите за платежной конверсией
Анализируйте платежи за любой период времени
Подтверждайте или отменяйте платежи
Делайте полные или частичные возвраты
ВНИМАНИЕ!
Для доступа к приложению вам необходима учетная запись.
Garmin pay
Это беспроводной способ оплаты через терминал в магазине с помощью часов марки Garmin, но работает он только с картами системы ЮMoney. Для оплаты с помощью часов нужно установить приложение Garmin Connect Mobile. Привязать часы к своему смартфону (работает и с IOS, и с Android).
Mir pay
Mir Pay – приложение платежной системы «Мир» для бесконтактной оплаты при помощи смартфона. Платить Mir Pay можно в любом терминале, в котором принимаются бесконтактные карты «Мир». Приложение доступно только владельцам устройств на базе ОС Android (от версии 6.0 и выше) и поддерживающих технологию NFC.
Nfc-платежи в альфа-банке по технологии hce
Запуск платежей по данной технологии приурочен к фестивалю музыки Alfa Future People. На период проведения мероприятия в Гугл Пей размещается приложение Touch, разработанное в БПЦ «Банковские Технологии». С новым сервисом владельцы телефонов с оперативной системой Андроид 4.4, поддерживающей NFC, выпускают неперсонифицированные карточки МастерКард и оплачивают товары и услуги «одним касанием».
Карта действует в течение одного года. Каждый месяц ее разрешается пополнять не более, чем на пятнадцать тысяч российских рублей. До выполнения оплаты телефоном пользователю следует осуществить одно действие – ввести ПИН-код. Можно пополнять счет выпущенной карты через приложение, здесь же проверяется оставшаяся сумма, просматривается платежная история. На такой карте предусмотрены бесплатные СМС-сообщения информационного характера.
Чтобы выполнить перечисление денежных средств, системой генерируется одноразовый сессионный пароль, обеспечивающий защищенность каналов мобильных приложений.
Работники банка уверяют, что приложение решает проблемы с бесконтактными платежами, легко превращая смартфон, поддерживающий функцию NFC, в безопасный электронный кошелек.
Атакуем apple pay
Когда‑то корпорация Apple объявляла, что производимые ею телефоны научились поддерживать платежи с заблокированным экраном, на несколько месяцев раньше своих конкурентов. Однако мне долгое время не удавалось проверить их безопасность.
Основная загвоздка была в том, что телефон не активировал поле NFC с помощью обычных терминалов и бесконтактных ридеров. Я упорно гуглил, как работает Apple VAS (Value Additional Services) и пытался пользоваться помощью коллег для реверса бинарей Apple Pay (их названия я позаимствовал из презентации Питера Филлмора).
Когда я закончил тесты с Samsung Pay, я все еще не знал, что делать с Apple Pay, и был в отчаянии. Единственным терминалом, которым я мог пользоваться на тот момент, был терминал у турникета метро. Я решил: если я смогу записать криптограмму транзакции в метрополитене, но сама транзакция не пройдет, то я приду домой и попробую вставить криптограмму в Transaction Stream, как это делалось с вариантом Samsung Visa. После нескольких попыток мне удалось повторить атаку второго типа по отношению к связке Apple Visa.
Тогда же один умный инженер дал мне совет не использовать Proxmark3, а взять что‑то более надежное, например HydraNFC. Последовав этому совету, я быстро увидел в трафике «нечто» — 15 байт, которые отсылались до первых команд. Тогда мне было трудно поверить, что всего 15 байт разблокируют NFC в iPhone, так как я много читал в патентах про PKI, используемые Apple в VAS.
Посмотрим, как выглядит генерация криптограммы картой MasterCard, заданной как транспортная карта в Apple Pay:
В отличие от Samsung, Apple вернет онлайн‑криптограмму, даже если сумма не будет равна 0.00 (сотрудники Apple заявили, что используют или собираются использовать эту функцию, так что «это не баг»).
Однако при подмене кода MCC транзакция будет отклонена из‑за CDA. После июня 2021 года MasterCard закрыла возможность Card Brand Mixup Attack, поэтому оплатить в произвольном терминале этой картой не удастся. Но я все еще мог проводить атаки с использованием Transaction Stream Manipulation.
А что же с картами Visa? Ими можно расплачиваться в любом супермаркете мира по заблокированному iPhone, для этого нужно лишь подменить несколько байтов при обмене между терминалом и телефоном. Да ты и сам об этом уже, скорее всего, читал: исследователи из университетов Бирмингема и Суррея обнаружили эту уязвимость независимо от меня примерно в это же время.
Атакуем google pay
Мы уже показывали в 2022 году, как можно совершать платежи на заблокированном кошельке Google Pay по картам Visa выше лимитов NoCVM: для этого нужно лишь поменять бит в поле TTQ, указывающий, что требуется верификация плательщика. Обойти ограничения по картам MasterCard в прошлый раз не удалось, поэтому я решил попробовать еще.
Вместо модификации Transaction Stream я воспользовался старой атакой, описанной Майклом Роландом (Michael Roland) в 2022 году, — Pre-play and Downgrade (в предыдущей статье я по ошибке написал, что атаку разработал Питер Филлмор в 2022 году, но это не так).
Для меня оставалось загадкой, почему режим M-STRIPE до сих пор работает в кошельках Google Pay для всех карт MasterCard. Я решил исследовать его чуть поглубже — посмотреть на максимальную энтропию, защиту от скачков ATC и другие механизмы защиты.
Выяснилось следующее.
- Максимальная энтропия по картам — 1000 или 10 000. Других настроек я не встретил. Напомню, что карта или кошелек с энтропией 1000 клонируется полностью за 1000 запросов, на это уходит около минуты. Далее злоумышленнику не нужен оригинальный телефон — он может совершать покупки с использованием той информации, которая была клонирована. Количество транзакций зависит от других внедренных мер безопасности.
- Ограничения NoCVM на заблокированном телефоне обходятся также подменой 1 бита в запросе от терминала, что позволяет совершать платежи выше 3000 рублей. У некоторых терминалов, однако, есть отдельная конфигурация, указывающая максимальную сумму платежа в легаси‑режиме M-STRIPE.
- Если в обычной карте счетчик ATC идет последовательно: 0001, 0002 и так далее, то для мобильного кошелька система MasterCard внедрила так называемый CryptoATC. При перехвате команд они выглядят как случайные значения из 2 байт
A56D
,F1A1
и так далее. В процессе детокенизации МПС превращает эти значения в последовательные. Однако даже при скачках в 30–50–100 значений счетчика мои транзакции не были заблокированы.
Из‑за новых требований PSD2 в Европе Android ограничивал количество транзакций на заблокированном телефоне до пяти (сейчас это значение — три или ноль, зависит от страны). Это заставило меня задуматься: если MasterCard и Google не проверяют скачки ATC, записав только пять транзакций, какова вероятность воспроизвести одну из них успешно?
Воспользуемся формулой Бернулли, отлично нарисованной Аркадием Литвиненко специально для таких случаев.
При энтропии 1000, если совершить 50 попыток оплаты в супермаркете, вероятность получить случайное число из пяти записанных составит 14%. Для 100 попыток — 26%. А при наличии доступа к Transaction Stream каждая из этих записанных транзакций может быть монетизирована, ведь злоумышленник в состоянии создать запрос на авторизацию, где сам выставит и случайное число, и значения CVC3/ATC.
Более того, в случае доступа к Transaction Stream и при отсутствии защиты от перебора пар ATC/CVC3, если у злоумышленника есть только токен (16 цифр виртуальной карты и expiry date), ему потребуется максимум 65 535 попыток, чтобы создать и успешно авторизовать мошенническую транзакцию.
Если все, что нужно сделать мошенникам в данном случае, — быть настойчивыми, «тапая» в супермаркете 50–100 раз, каждый раз ожидая успеха, или посылать запросы на авторизацию на серверы токенизации MasterCard MDES, то успех, увы, им гарантирован.
Атакуем samsung pay
Samsung пошел по простому пути: при активации транспортной карты NFC всегда работает на телефоне, и все проверки, предназначенные для того, чтобы отличить платежный терминал в супермаркете от терминала в метро, совершаются на этапе фазы платежей EMV/NFC.
Быстро добавив карту Visa и установив ее как транспортную в телефоне, я вооружился Proxmark3 и отправился в метро, чтобы записать данные о транзакции и сравнить запросы от терминала в метрополитене с запросами от обычного платежного терминала.
Главная команда в данном случае — запрос терминала на генерацию криптограммы (Generate AC) и ответ кошелька:
Для платежных терминалов, авторизующих платежи онлайн, бесконтактные карты Visa не требуют офлайн‑аутентификации. Но в данном случае она обязательна. Также телефон проверяет сумму: если она не равна 0.00, то транзакция не пройдет. Но телефон не смотрит на имя мерчанта или категорию продавца (MCC — Merchant Category Code).
Если платеж происходит в обычном терминале, офлайн‑аутентификация не будет затребована и сумма будет отличной от 0.00. В этом случае телефон вернет следующий ответ:
Я решил не отчаиваться и добавил карту MasterCard, снова вернулся в метро и провел те же операции:
Для карт MasterCard офлайн‑аутентификация по бесконтактным картам обязательна практически в каждой стране и поддерживается каждой бесконтактной картой. Если она не будет успешна, терминал обязан прервать такую транзакцию. Поэтому телефон проверяет два поля: сумму и код MCC.
Если платеж делается в обычном терминале, сумма будет отличаться от 0.00 и код терминала окажется не из категории «Транспорт». В этом случае телефон вернет такой ответ:
Тут уже что‑то интересное. Напомню, что криптограмма — это 3DES HMAC от некоторых полей, представленных терминалом в запросе Generate AC, и значений в самой карте, например ATC. Моя первая догадка: а что, если ключи и алгоритм калькуляции криптограммы AAC точно такие же, как и для ARQC?
Ведь счетчик транзакций увеличивается каждый раз на 1, даже при возврате AAC-криптограммы. Если мы поменяем поле 9f27 на 0x80, криптограмма будет принята терминалом и отправлена на токенизационный хост MasterCard для авторизации.
Звучит как план, но у меня была проблема: модификация любых полей во время общения терминала и кошелька будет замечена при офлайн‑аутентификации CDA. Тут мне на помощь пришла техника, совсем недавно найденная «швейцарскими учеными» (с).
Первый план атаки созрел:
- Берем устройство man in the middle для модификации данных между телефоном и терминалом.
- Проводим атаку Card Brand Mixup — карта MasterCard притворяется картой Visa (как это делать — читай в исследовании Card Brand Mixup Attack, PDF).
- На последнем шаге применяем атаку Cryptogram Confusion: когда кошелек возвращает криптограмму типа
0x00
(AAC), мы меняем значение поля9f27
на0x80
(ARQC).
Я был приятно удивлен тем, что в конце концов атака Cryptogram Confusion прошла и транзакция была одобрена. Вот видеозапись этой атаки.
Можно ли как‑то совершать платежи по картам Visa и другим, например American Express, если телефон заблокирован? Не обнаружив никакого другого способа получения криптограммы, кроме запроса авторизации на сумму 0.00, я решил воспользоваться атакой Transaction Stream Manipulation.
В ходе этой атаки данные подменяются не между терминалом и картой или кошельком, а между терминалом и банком‑эквайером, в запросе ISO8583 Authorisation Request. В этом случае у злоумышленника больше возможностей для манипуляции полями.
Например, поле «сумма» фигурирует в этом запросе дважды: в первый раз в поле [55] — там, где собраны все поля EMV, а во второй раз — в поле [04], где указывается реально списываемая сумма.
В таком случае атака на другие карты, в том числе Visa, выглядит следующим образом:
- Запрашиваем криптограмму на 0.00 так же, как ее запрашивает терминал в метро.
- Создаем запрос ISO8583, где указываем корректные поля (сумма — 0.00, криптограмма и так далее), но в поле [04] указываем ту сумму, которую хотим списать с карты.
Хотя кошелек с картой Visa передал информацию о том, что телефон не был разблокирован, эта транзакция была одобрена Visa Tokenisation Service.
Браслет
Выдается при оформлении молодежной карточки Next. Изделие не украшено логотипом, выпускается в желтом, черном и красном цвете. К браслету прилагается карточка мини-таг, похожая на симку. Она устанавливается в браслет и привязывается к счету.
Где можно оплатить?
Воспользоваться функцией можно во всех магазинах, где POS-терминалы поддерживают бесконтактную оплату (на сегодняшний день таких терминалов большинство). Обращайте внимание на соответствующие логотипы или спрашивайте о подобной возможности у кассира.
Также у вас есть возможность оплачивать товары и услуги в приложениях и интернет-магазинах, где вам встретятся соответствующие знаки:
Как оплатить?
Для оплаты с заранее установленной по умолчанию (основной) банковской карты необходимо совершить несколько простых действий:
- Разбудите телефон (выведите его из спящего режима и разблокируйте);
- Поднесите (приложите) телефон задней панелью к терминалу оплаты и подержите его 2 секунды, появление зелёного флажка (галочки) на экране будет свидетельствовать об оплате (приложение при этом загружать не нужно – оно загрузится автоматически);
- Если сумма платежа менее 1000 рублей, то никаких действий совершать не потребуется (по аналогии с картой с PayPass/PayWave). Если сумма оплаты более 1000 руб., то потребуется ввести ПИН-код карты на терминале или же поставить роспись на чеке.
Видео процесса оплаты ниже:
При оплате в интернет-магазине достаточно нажать на соответствующую кнопку (см. выше).
Как подключить?
Для того чтобы начать пользоваться этим платёжным сервисом, необходимо:
Как привязать карту?
Разберемся, как привязать платежную карту Альфа-Банк к мобильному телефону.
С помощью приложения Альфа-Мобайл
Алгоритм действий следующий:
- в перечне раздела «карты» определяется необходимая для привязки;
- нажимается знак передачи информации;
- выбирается действие «внести данные карты в Валет».
С использованием Wallet
В этом случае поступают таким образом:
- открывается приложение Валет, нажимается знак « », располагающийся сверху в углу справа;
- номер пластиковой карты сканируется камерой либо вносится ручным способом;
- внесенные сведения проверяются на достоверность, вводится шифр безопасности банковского продукта, нанесенный на оборотной стороне тремя цифрами;
- для привязки платежной карточки по умолчанию уточните и примите условия, представленные в пользовательском соглашении. В соответствующее поле введите код, полученный в СМС-сообщении.
В Эпл Пей добавляются все карты Альфа-Банка систем VISA и MasterCard, включая международные корпоративные продукты и те, что не поддерживают бесконтактные перечисления.
Какие банки под прицелом
США в ответ на военную операцию России на Украине ввели санкции против ВТБ, «Открытия», Совкомбанка, Промсвязьбанка и Новикомбанка. Они фактически изолированы от долларовой системы: их счета и активы в американской валюте заблокированы. Картами этих пяти банков нельзя расплатиться с помощью Apple Pay и Google Pay.
Ограничения против Сбербанка мягче. Активы банка в юрисдикции США не замораживаются. Финансовым институтам дается 30 дней, чтобы закрыть любые корсчета Сбербанка и начать отклонять любые транзакции с участием банка или его «дочек». Аналогичные санкции ввела против Сбербанка Великобритания.
Ограничения против Газпромбанка, РСХБ, Альфа-банка и Московского кредитного банка действуют на предоставление финансирования и других операций с новыми долговыми обязательствами со сроком погашения более 14 дней. Также — с размещением новых акций.
Каким способом оплатить?
Pay Pass Alfabank представлен особым продуктом, созданным в процессе сотрудничества финансового органа и международной системы платежей MasterCard.
Технология Pay Pass предусматривает три способа выполнения платежей с использованием различных аксессуаров.
Кольцо
Изделие имеет аналогичные цветовые оттенки, размер его начинается от 15.5. На внутренней стороне нанесен банковский логотип. В комплекте к кольцу идут предоплаченная карточка, пакет с кодом, инструкция по применению.
Кольцо и карта имеют некоторые ограничения:
- максимальная сумма на карте – пятнадцать тысяч рублей;
- расходы в течение одного месяца не должны превышать сорока тысяч рублей.
Чтобы увеличить первоначальные цифры, потребитель обращается в филиал банка.
Кошелек pay
Сервис работает на смартфонах Android. В приложении нужно активировать банковскую карту. Затем можно оплачивать через приложение покупки на кассах магазинов: вывести смартфон из спящего режима, поднести к терминалу, дождаться сообщения на экране телефона и следовать инструкциям по оплате.
Недостатки
Нельзя снимать наличные средства в банкоматах (если точнее, то эта операция доступна лишь в тех немногих пока ещё банкоматах, которые поддерживают бесконтактный обмен с устройствами);
Ваши платёжные операции полностью зависят от текущего состояния гаджета и аккумулятора. К счастью, сегодня в продаже есть недорогие переносные зарядные устройства и модели с увеличенной ёмкостью аккумулятора;
Судя по отзывам, иногда случаются ошибки в работе, например, приложение не устанавливается на новый неразблокированный смартфон с лицензионной ОС, или не проходит оплата свыше 1000 рублей.
В устройствах нет специальной области защиты данных для хранения информации о банковской карте в зашифрованном виде, но при этом все данные хранятся на зашифрованных серверах Google (в «облаке»).
Оплата телефоном
Как вместо карты Альфа-Банк оплачивать товары и услуги телефоном на операционной системе Андроид 4.4?
Достаточно установить Samsung Pay Альфа-Банк, чтобы выполнить привязку Visa Classic Paywave credit, Visa Gold Paywave debit Альфа-Банк, карты Debit Pay Pass Альфа-Банк или другого пластикового продукта, и появляется возможность для бесконтактного перечисления денежных средств.
Как настроить оплату телефоном на Андроид, привязав к нему карточку Альфа-Банк, всем известно. После этого активируете смартфон, подносите его к сканеру терминала, подтверждаете свои данные и выполняете бесконтактное перечисление денежных средств. При этом система Самсунг Пей гарантирует полную конфиденциальность платежных данных.
Если сервис не работает, найдите другой терминал или проверьте свой телефон на работоспособность.
Оспорить или сообщить о платеже, который вы не авторизовали
Если вы считаете, что платёж был произведен обманным путем, вы можете оспорить транзакцию.
Примечание. Если кто-то из ваших знакомых совершил покупку случайно, следуйте инструкциям в разделе «Отмена платежа» ниже.
Отменить другие подписки
Вы можете отменить некоторые подписки в Google Pay.
- Войдите в Подписки.
- Найдите подписку, которую хотите отменить, и коснитесь или щелкните «Управление».
- Выберите Отменить подписку.
- Если вы не видите эту опцию, нажмите «Управление подпиской», чтобы перейти к продукту Google, через который вы подписались. Вы можете отменить подписку там.
- Если вы не видите ни одного из вариантов, отмените подписку через поставщика подписки.
Отменить отправленные кому-то деньги на компьютере
Важно: если вы отправляете деньги с банковского счета, вы не можете отменить транзакцию через Google Pay. Вы можете обратиться в свой банк за помощью или попросить получателя вернуть деньги.
Отменить отправленные кому-то деньги через android
Важно: если вы отправляете деньги с банковского счёта, вы не можете отменить транзакцию через Google Pay. Вы можете обратиться в свой банк за помощью или попросить получателя вернуть деньги.
- Откройте приложение Google Pay.
- В левом верхнем углу нажмите на значок → Действия.
- Коснитесь транзакции, которую хотите отменить.
- Коснитесь Отменить платёж. Если вы не видите эту опцию, получатель уже потребовал деньги или уже слишком поздно, чтобы отменять перевод. Попросите получателя вернуть деньги.
- Возврат может занять до 10 дней в зависимости от используемого способа оплаты.
Отменить платёж
Свяжитесь с командой поддержки соответствующего продукта.
Примечание. Эта информация предназначена для частных лиц, а не для предприятий.
Отменить подписку
Если вы отмените подписку, любые уже сделанные вами платежи не будут возвращены. Отмена отмены невозможна, но вы всегда можете подписаться повторно.
Платежи, которые вы совершали другим компаниям с помощью google pay
Чтобы отменить, оспорить или сообщить о платеже, совершенном вами стороннему предприятию в магазинах, в Интернете или в приложении, обратитесь к продавцу, у которого вы совершили покупку.
Предыстория
Если проследить эволюцию стандарта EMV, то вначале были чиповые смарт‑карты. Затем эти карты оснастили антенной и превратили в бесконтактные карты, унаследовавшие почти все функции от EMV. Но карточным брендам этого было мало, и в 2022 году уже существовавший тогда Google Wallet оснастили функцией бесконтактной оплаты с помощью NFC.
Google использовала подход Host-Card Emulator (HCE), когда конечное устройство не содержит в себе все приватные и симметричные ключи шифрования по аналогии со смарт‑картой, а время от времени загружает одноразовые ключи (Single-Use Key, SUK) для каждой следующей операции.
Придерживаясь этого подхода до сих пор, телефоны с Google Pay не позволяют совершать больше двадцати операций без подключения к интернету. В 2022 году Samsung и Apple представили свои кошельки с использованием технологии Secure Element.
Работают они по аналогии со смарт‑картами, где физически и логически защищенный чип гарантирует защиту от перехвата, чтения, перезаписи секретных ключей, на основе которых создаются 3DES-криптограммы EMV и подписываются данные с помощью асимметричного RSA.
В прошлом Славомир Ясек показывал пример успешного переноса Google Pay с одного устройства на другое. При этом сохранялась возможность получать ключи SUK с серверов Google не на оригинальное устройство. Питер Филлмор (Peter Fillmor) также детально рассматривал устройство Apple Pay.
Два года назад я начал исследовать безопасность мобильных кошельков при оплате с помощью NFC. На тот момент Google Pay был единственным кошельком, позволяющим платить устройством с заблокированным экраном. Я очень быстро смог применить атаку, которую использовал для бесконтактных карт Visa, чтобы обойти лимиты NoCVM или Tap &
Go (в России они составляют 3000 рублей). Для этого было необходимо лишь активировать экран на заблокированном телефоне. Если телефон все еще у владельца в кармане, это можно сделать, отправив команду по Bluetooth или Android Beam.
Несмотря на заявления экспертов, что «форматы и протоколы работы бесконтактных карт разных международных систем принципиально не различаются», я категорически с этим не согласен, ведь применить такую же атаку против MasterCard мне не удалось.
В конце 2022 года Samsung и Apple представили поддержку «транспортных схем» в крупных мегаполисах: Нью‑Йорке, Токио, Лондоне. Во многих транспортных системах оплата зависит от дальности поездки, при этом финальная сумма платежа высчитывается исходя из точки входа в метро и точки выхода.
Поэтому снимать стандартную сумму при первом «тапе» карты или кошелька некорректно. Далее, несмотря на стабильное подключение турникетов к интернету, они не запрашивают авторизацию транзакций онлайн, потому что соединение занимает долгое время.
Вместо этого используется асинхронная авторизация. А чтобы противодействовать мошенничеству, применяется офлайн‑аутентификация по современному стандарту CDA, описанному еще в спецификациях EMV. Я уже рассказывал о принципе работы CDA в статье «Близкие контакты. Разбираемся, как работают системы безопасности кредитных карт».
Наконец, последняя проблема электронных кошельков — это необходимость разблокировать телефон Apple или Samsung каждый раз, когда ты подходишь к турникету метро. Крайне неудобно, не правда ли? Именно поэтому и Samsung, и Apple сделали возможность платить на транспорте без разблокировки телефона.
Преимущества
Удобство и компактность. Вы можете добавить в ваш смартфон несколько платёжных карточек. В таком случае отпадает необходимость носить с собой множество карт, в том числе дисконтных. Вы всегда можете использовать ту карту, по которой платёж наиболее выгоден для вас (больше кэшбэк, дополнительные привилегии и т.д.)
Универсальность и доступность. В отличие от других подобных сервисов, Андроид Пэй поддерживает достаточно большое количество девайсов на базе Андроид, удовлетворяющих вполне доступным требованиям Google;
Безопасность. Во время оплаты не передаётся номер карты – передаётся лишь токен (виртуальный счёт), который не имеет практической ценности для злоумышленника. Даже если эта информация каким-то невероятным образом попадёт к мошенникам, они не смогут её использовать;
Отсутствие комиссии. Установка, использование и оплата с помощью этого платёжного сервиса для владельцев смартфонов полностью бесплатна!
Преимущества и недостатки google pay
Google Pay – это действительно удобная и безопасная система, к которой тяжело придраться. Но, как и всё в этом мире, она имеет свои плюсы и минусы. Приведём её преимущества и недостатки.
С какими банками и картами работает?
С Google Pay сотрудничают большинство известных банков:
Платёжный сервис совместим также с картами отечественного сервиса электронных платежей Яндекс.Деньги (можно добавлять пластиковую и виртуальную карточку).
С какими устройствами работает?
Примечательно то, что этот сервис совместим с большим количеством устройств. Практически все современные мобильные телефоны, а также ряд более старых моделей, на базе Андроид с возможностью бесконтактной оплаты будут отлично с ним работать.
Условия функционирования платёжного сервиса следующие:
Ниже вы можете ознакомиться с моделями тех устройств, которые НЕСОВМЕСТИМЫ с Google Pay:
Смарт-часы
Такой аксессуар сочетает важные функции и достоинства. Часы смотрятся не только стильно и привлекательно, но и являются незаменимым инструментом, быстро и удобно обеспечивающим проведение финансовой транзакции.
Устройство имеет ряд особенностей:
- австрийский изготовитель представляет его в двух цветовых решениях – белом и черном;
- часы функционируют по принципу банковской карточки, используются с любыми устройствами, поддерживающими бесконтактные денежные перечисления;
- в комплект поставки входят смарт-карта, талон с секретным кодом, руководство по эксплуатации и гарантия.
Сотрудники не умеют решать проблемы, связанные с google pay
Привет всем читателям данного ресурса! История моей проблемы следующая:
4 мая я получил карту. Находясь дома, я решил привязать её к Google Pay. Зайдя в приложение, я ввёл все необходимые данные и приложение предложило
только один способ подтвердить карту для бесконтактных платежей – позвонить в банк.
1 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что, мол, а вы уверены, что бесконтактные платежи недоступны? Далее она, игнорируя цель звонка (верифицировать карту) пытается меня убедить, что всё в порядке и картой можно расплачиваться в магазинах. Поняв, что разговор заходит в тупик я поблагодарил за помощь и попрощался.
2 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что для того, чтобы привязать карту к Google Pay, нужно это делать через их приложение Альфа-мобайл.
Ок. Пытаюсь это сделать через Альфа-мобайл, как она мне сказала. Захожу в приложение, выбираю карту-> бесконтактная оплата-> Google Pay. Мне приходит СМС с кодом, я его ввожу, происходит переход в Google Pay,
который мне сообщает, что такая карта уже привязана к приложению.
Удаляю карту через Google Pay, пробую снова повторить все действия с Альфа-мобайл. Возникает та же ошибка, что такая карта уже привязана к приложению. Но ведь я её удалил…
3 звонок в банк: объясняю ситуацию. Сотрудник банка говорит,что перед тем, как зайти в Альфа-мобайл, нужно удалить карту не только из Google Pay, но и из портала payments.google.com.
Убеждаюсь, что карты нет на payments.google.com. Пытаюсь 2-3 раза снова повторить все действия с Альфа-мобайл. Результат не меняется.
4 звонок в банк: объясняю ситуацию. Сотрудник банка говорит, что с моей картой всё в порядке, обращайтесь с этим вопросом в поддержку Google.
Пишу в поддержку Google. Они мне сообщают, что карту они видят, ожидается верификация банком. Просят позвонить в банк, сверить номер телефона и спросить, почему они
не могут подтвердить токенизацию.
5 звонок в банк: объясняю ситуацию. Сверяем номер телефона – всё в порядке. Объясняю, что Google Pay предлагал мне подтвердить подлинность только звонком в банк. Сотрудник разводит руками,
говорит, что у них карты проходят верификацию только через СМС и проблема на стороне Google.
Пишу в поддержку Google, отправляю дополнительно скриншоты ошибок. Они мне предлагают убрать блокировку экрана с устройства, чтобы сбросить все карты и добавить карту заново. Не помогло.
Далее они мне пишут «По нашим данным карта находится на стадии верификации в банке. Мы можем только рекомендовать снова связаться с банком с просьбой верифицировать карту.»
6 звонок в банк: объясняю ситуацию. Сотрудница просит отправить на ccsupervisors@nfcexpert.ruописание проблемы со скриншотами.
Отправляю письмо и что вы думаете? Ответ приходит следующий:«Уважаемый <Имя Отчество>! По вашему запросу сообщаем, что на стороне банка попыток токенизации через “Альфа-Мобайл” не обнаружено. Рекомендуем открыть раздел “Все счета и карты” – провалиться в карту и выбрать соотв. пункт. Альфа-Банк».
Естественно попыток токенизации через”Альфа-Мобайл” не будет, потому что карта уже была введена через Google
Pay и при привязке карты через “Альфа-Мобайл” – Google Pay выдаёт ошибку, что такая карта уже есть… Попытка токенизации точно была – до 2 моего звонка в
банк, Google Pay предлагал верифицировать карту путём обращения в банк.
Видно, что проблема точно на стороне банка и его сотрудники не хотят признавать и решать проблему. Карты других банков без проблем
привязываются к приложению (проверил после возникновения данной проблемы).
Спор о деньгах, отправленных другу
Подайте спор.
Токенизация
Мобильные кошельки существуют благодаря технологии токенизации: карта добавляется в мобильный кошелек, данные отсылаются международной платежной системе, которая после подтверждения всех реквизитов создает «виртуальную карту». Она может работать только по NFC, причем только на том устройстве, на котором карта была добавлена. Но это в теории.
Преимущество мобильного кошелька состоит в том, что использование токенов ограничено. В случае компрометации токена злоумышленники не могут использовать украденные данные виртуальной карты, чтобы создать клон магнитной полосы или платить такой картой в интернете.
Начиная с момента замещения карты токеном банки‑эмитенты перестают играть существенную роль в авторизации транзакций и риск‑менеджменте. Да, они получают информацию о местоположении и типе мерчанта, сумме, дате транзакции. Однако все криптографические функции и анализ полей EMV переносятся на токенизатор (Visa VTS или MasterCard MDES).
Код, который исполняется в мобильном кошельке, также написан, аудирован и сертифицирован одной из МПС. Apple или Samsung вроде и ни при чем — они выступают фасадом, но всю работу за них делают МПС. А банку‑эмитенту становится труднее судить о мошеннических операциях из‑за недостатка данных.
Поэтому операции с использованием мобильных кошельков, в отличие от банковских карт, почти никогда случайно не блокируются системами антифрода. Именно в этом и кроется одна из основных проблем: ответственные за процесс платежа скрыты внутри самого этого процесса, а сущности снаружи (банк‑эмитент, мерчант, мобильный кошелек) имеют ограниченные возможности для принятия решений.
Токены и токенизация платежей
Система Гугл Пэй, как и её именитые конкуренты, основана на так называемой технологии токенизации платежей, которая сама по себе реализована на базе МПС (международных платёжных систем) Visa и MasterCard (а в скором времени мы ожидаем нечто подобное и от национальной платёжной системы МИР).
Токен – это некая уникальная комбинация цифр, которая НЕ СОДЕРЖИТ номера карты и прочих данных, перехват которых может её скомпрометировать.
Токен генерируется платёжной системой и банком-эмитентом (выпустившим карточку), и используется при дальнейшей оплате. Его действие может распространяться только на конкретный смартфон, на конкретный тип покупки (или даже на определенного продавца), и он может иметь ограниченный срок действия (например, он может быть рассчитан только на несколько покупок).
В системе Гугл Пэй такие токены называют виртуальными счетами. Если злоумышленник перехватит подобный виртуальный счёт, то он с ним ничего не сможет сделать, так как его повторное использование с иного мобильного устройства или с другого интернет-сервиса тут же приведёт к блокировке операции оплаты со стороны платёжных систем.
В процессе бесконтактной оплаты токены передаются как обычный запрос на авторизацию (читайте, как происходит банковская транзакция) с той лишь разницей, что в цепочке обработки транзакции появляется дополнительное звено – так называемый сервис токенизации платежей (или поставщик услуг токенизации).
Функции сервисов токенизации, в зависимости от типа платёжной системы, используемой для оплаты карточки, выполняют подразделения МПС Visa – VTS (Visa Token Service), и подразделение МПС MasterCard – MDES (Mastercard Digital Enablement Service). Как видите, этим компаниям можно доверять.
А мы вам, для закрепления материала, предлагаем ознакомиться с инфографикой: «Как работает Visa Token Service», взятой с одноименного сайта платёжной системы.
GDE Ошибка: Ошибка при загрузке файла – При необходимости выключите проверку ошибок (403:Forbidden)
Ну а задача у Андроид Пэй следующая:
На этом, все действия этого сервиса заканчиваются. По сути, этот платёжный сервис является «надстройкой» над технологией обработки данных в вышеназванных МПС, на которых и строится вся инфраструктура платежей по России и всему миру.
Как указывает Google в описании технологии оплаты:
Эта «платёжная надстройка» позволяет владельцам смартфонов на базе Android с чипом NFC «завести» все свои банковские, подарочные и скидочные (дисконтные) карты в приложение Андроид Пэй на свой телефон и БЕЗОПАСНО расплачиваться ими в обычных торговых точках – достаточно разблокировать телефон, поднести к терминалу, который поддерживает бесконтактную оплату PayPass или PayWave, и товар тут же будет оплачен с предварительно выбранной вами карты («активную» карту можно выбрать заранее).
Требования к устройствам
Чтобы платежи вместо карты выполнялись мобильным телефоном, в нем должен находиться чип NFC. Для старых моделей дополнительно предусматривается микропроцессор, хранящий сведения приложения. Чип встраивается в материнскую плату либо располагается на сим-карте.
Прежде предустановленная программа, поддерживающая оплату мобильным устройством, предусматривалась в определенных моделях. Сегодня пользователи смартфонов с такой функцией спокойно оставляют свои кошельки дома. Достаточно мобильного устройства, но перед тем, как платить, удостоверьтесь, что терминал поддерживает бесконтактные перечисления.
Заключение
Бесконтактные денежные переводы удобны. Телефон или иное платежное устройство применяются в магазинах, кафе и ресторанах, в городском транспорте. Оплата банковской картой Альфа, привязанной к гаджету, возможна в метро.
Подведём итог
Как видите, платформа Google Pay стала настоящим, и прямо скажем – долгожданным прорывом, несмотря на уже существующие системы подобного рода. Её универсальность, безопасность и простота использования покоряют с первого взгляда.
- Оформить кредитку “Разумная” Ренессанс Кредит Банка, бесплатное обслуживание, льготный период 145 дней всегда!
- Оформить кредитку “365 дней без %” Альфа-Банка, 1 год без % на любые покупки!
- Оформить карту рассрочки “Халва” Совкомбанка, бесплатное обслуживание, беспроцентная рассрочка (в том числе на снятие наличных), кэшбэк до 6%!, процент на остаток до 12%
- Оформить кредитную карту “Opencard” банка Открытие, бесплатное обслуживание, кэшбэк 1,5% на все покупки!, льготный период 55 дней, погашение кредитки другого банка бесплатным переводом
- Оформить дебетовую карту Польза Хоум Кредит Банка, бесплатное обслуживание, 22% по накопительному счету
Подобные технологии развиваются по всему миру, и мы надеемся, что в РФ с этим сервисом, оправдавшим все ожидания, будет работать как можно больше банков и магазинов.
Оплата одним движением руки (в которой находится смартфон) по праву считается самым быстрым и удобным способом расчета. Конечно, в некоторых торговых точках до сих пор по каким-то причинам отсутствует возможность безналичной оплаты, но это всего лишь дело времени и технического прогресса.
Их владельцы очень скоро осознают тот факт (или государство «поможет» сделать это как можно быстрее), что такой способ оплаты исключает возможность мошенничества, недостач, краж и банальных очередей и традиционный рынок, а с ним и экономика, приобретут совершенно иной вид – начинается эра мобильных платежей!
Отзывы
В интернете можно найти множество отзывов, большинство из которых будут положительными. Все они сводятся к тому, что система является интересной и удобной, а также имеет некоторые преимущества перед Самсунг и Эппл.
Пользователи довольны тем, что платформа отлично работает со всеми крупными российскими банками и их картами, а процесс отличается исключительной быстротой.
Итоги
Я обнаружил несколько способов атаковать украденные мобильные кошельки, если на устройстве возможна оплата без разблокировки телефона. Также я нашел новую интересную атаку на протокол EMV — Cryptogram Confusion. С помощью нее можно атаковать не только мобильные кошельки, но и чиповые/бесконтактные карты.
Мне удалось совершить платеж по клонированным транзакциям кошелька Google Pay c привязанной MasterCard даже при ограничении в пять попыток.
Когда же дело дошло до общения с мобильными вендорами и МПС, итоги оказались неутешительными:
- Обо всех недостатках Google была оповещена в феврале. Они сообщили, что в курсе проблем и планируют закрыть возможность платежей на заблокированном экране. Это реализовано созданием отдельной опции в настройках NFC после февраля 2021 года. Также во всех регионах разработчики уменьшили число транзакций на заблокированном телефоне. Остальные уязвимости были проигнорированы.
- Apple, Samsung, MasterCard были оповещены весной 2021 года, и завертелось… Apple заявила, что 15 байт для активации NFC — достаточная защита для пользователей. Все мобильные вендоры подняли лапки кверху и, сказав, что не имеют права менять код кошельков, попросили разрешения поделиться находками с МПС. После того как разрешения были даны, мою страницу в LinkedIn много раз посещали уважаемые люди из всех МПС, но никто никогда со мной так и не связался.
Летом этого года MasterCard не только закрыла лазейку для Card Brand Mixup Attack от швейцарских исследователей, но и устранила лазейку для Cryptogram Confusion. Я обнаружил это случайно только в октябре, при подготовке к выступлению.
Помимо этого, во многих регионах поле MCC было добавлено в криптограмму, что делает подмену MCC невозможной даже во время Transaction Stream Manipulation. Поменялся метод представления ATC/AAC на заблокированных телефонах Samsung, что и навело меня на мысли о патче. Версию патча я смог выпытать у Samsung (апдейт MPBP 1.2.2, May 27, 2021).
Visa не сильно переживает из‑за все еще существующей возможности совершать платежи на украденных и разряженных телефонах Apple и еще меньше — из‑за манипуляций транзакционным потоком. Они верят в машинное обучение, риск‑ориентированную модель и, скорее всего, заняты развитием бизнеса или другими интересными возможностями, а не безопасностью своих клиентов.
Атаки, которые возможны до сих пор:
- Транспортная карта Visa Apple Pay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa Google Pay, тут с 2022 года ничего не изменилось.
- MasterCard Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
- Остальные вариации карта кошелек — атаки возможны только при манипуляции Transaction Stream.
Для того чтобы по‑настоящему защититься от злоупотребления платежами на заблокированном телефоне, самое оптимальное решение — сверять категорию мерчанта и сумму со значениями CVR:
- пользователь совершил платеж на 100 долларов, телефон был разблокирован, мерчант — супермаркет, нет проблем;
- авторизация на 0.00 или списание на большую сумму, телефон не разблокирован, мерчант — транспорт, тоже нет проблем;
- авторизация на 0.00, списание на большую сумму, телефон не разблокирован, мерчант — супермаркет, это уже подозрительно, и такие транзакции нужно отклонять.
Что делать банкам‑эмитентам? Я несколько раз слышал о том, что во время токенизированных транзакций банк может запросить дополнительную информацию от МПС для принятия решений, в частности поля EMV, которые в обычном случае не покидают токенизатор.
Что делать клиентам? Давай представим такую картину: ты владелец мобильного кошелька, потерял свой телефон и не заблокировал карту по умолчанию или транспортную карту (я знаю, что в России транспортные карты не используются, но мы же фантазируем).
- Ты звонишь в банк, просишь заблокировать карту и начать разбирательства.
- Спустя какое‑то время банк‑эмитент сообщает, что у него нет никаких сведений о мошенническом характере совершенных транзакций. С их стороны все выглядит безобидно. Возможно, ты разгласил свой ПИН‑код?
- Попытки общаться с мобильными вендорами (Apple, Samsung, Google) ни к чему не приводят — они будут утверждать, что платежи возможны только у ограниченных категорий мерчантов и в лимитированных суммах. Возможно, ты разгласил свой ПИН‑код?
Что в таком случае остается делать клиентам? Отказаться от использования самых ненадежных продуктов.
За последний год я смог подтвердить свои догадки — разработчики мобильных кошельков уютно устроились, создав «самые безопасные формы платежей», отобрав у банков‑эмитентов возможности для принятия решений во время эмиссии кошелька и авторизации транзакций.