Что делать, если не удается настроить бесконтактную оплату
Бесконтактные платежные девайсы содержат как чип, так и антенну, которая используется для осуществления транзакции. Когда вы держите карту на считывающем устройстве или рядом с ним, терминал посылает сигнал, который принимается антенной. Микросхема внутри содержит информацию об учетной записи владельца, и с помощью этой информации терминал может обработать платеж.
Без предисловий и лишних слов переходим к частой проблеме пользователей — не удалось настроить бесконтактную оплату. Что делать в таких ситуациях?
Если не удалось настроить бесконтактную оплату, выполните такие шаги:
- Поверьте, что терминал, в котором вы платите, поддерживает бесконтактные платежи. Спросите об этом кассира, если нет наклейки или таблички с логотипом бесконтактных платежей.
- Проверьте, что бесконтактные платежи включены в настройках безопасности вашего телефона.
- Если вы никогда не совершали офлайн-платежи или только что получили новую карту, сначала необходимо произвести платеж с использованием чипа и PIN-кода, прежде чем станет доступна бесконтактная связь.
- Проверьте, нет ли на карте царапин и повреждений. Из-за повреждений и дефектов часто не работает бесконтактная оплата. Если физическая карта была повреждена или изношена, можете заказать новую карту.
- Телефон не поддерживает бесконтактную оплату. Узнать совместимость можно на официальном сайте производителя вашего смартфона или в инструкции по использованию.
Это основные причины, почему не работает эта современная и удобная технология. Но есть еще одна причина, связанная с безопасностью. Об этом поговорим отдельно.
Почему система бесконтактных платежей перестала работать?
Бесконтактная оплата позволяет людям совершать безналичные транзакции упорядоченным и быстрым способом, и зачастую это намного удобнее, чем возиться наличными в кармане или карточками в кошельке.
Служба отлично работает и не сбоит, но иногда появляется ошибка «С этого устройства нельзя производить оплату». Приходится вставлять карту и вводить PIN-код, несмотря на тот факт, что этот тип оплаты с того же устройства в тот же день уже использовался без проблем.
На самом деле для этой ошибки есть веская причина — разработчик печется о безопасности клиентов.
Видите ли, поскольку использование бесконтактного режима не требует ПИН-кода, в случае утери карты кто-то может очень легко прогуляться по городу и купить бесчисленные товары в пределах установленного лимита (его можно настроить в личном кабинете) и быстро истощить средства на вашем счете.
Таким образом, причина, по которой иногда бесконтактная оплата отключена, является вопросом безопасности. Согласно правилам VISA, вам время от времени будет предлагаться вводить PIN-код, чтобы подтвердить, что вы являетесь подлинным владельцем карты.
Представитель VISA сказал: «Когда потребители используют свое бесконтактное устройство, им может быть предложено вставить карту и использовать чип и PIN-код. Это связано с тем, что в чип встроена мера безопасности — счетчик, который хочет гарантировать, что лицо, использующее карту, является авторизованным владельцем счета.
Таким образом, после определенного количества использований карта запросит подтверждение. Теперь, если вам случится пойти в банкомат и снять наличные, счетчик обнулится. Получается, что для пользователей, часто снимающих деньги в банкомате, может вообще никогда не быть предложено ввести пароль.»
Это гарантирует, что никто не сможет украсть огромные суммы денег, безнаказанно проводя вашей картой Мир или Киви возле платежных терминалов.
cloudpayments
CloudPayments — это платежный сервис, который предлагает современный интернет-эквайринг. Оплата на сайте без перехода на платежную страницу в удобном “Виджете” – всплывающем окне на вашем сайте, оплата через социальные сети, платежи в один клик, рекуррентные платежи (периодические или автоплатежи), рекаринговый платеж или “оплата в один клик”, холдирование, оплата в мобильном приложении, выставление счетов на e-mail или SMS, маркетплейс и множество других технологичных платежных инструментов.
Мы сделали мобильное приложение для наших партнеров – удобный интерфейс доступа к личному кабинету CloudPayments.
УПРАВЛЯЙТЕ ЗАКАЗАМИ
Формируйте новые заказы и счета, и контролируйте их оплату с телефона
Отправляйте новые счета на оплату по почте, E-mail или WhatsApp
Выбирайте язык уведомлений для ваших клиентов
Оформляйте подписку (периодические платежи) или реализуйте оплату в один клик для ваших клиентов
СЛЕДИТЕ ЗА ОПЕРАЦИЯМИ
Отслеживайте платежи в вашу пользу в режиме реального времени
Следите за платежной конверсией
Анализируйте платежи за любой период времени
Подтверждайте или отменяйте платежи
Делайте полные или частичные возвраты
ВНИМАНИЕ!
Для доступа к приложению вам необходима учетная запись.
Nfc-платежи в альфа-банке по технологии hce
Запуск платежей по данной технологии приурочен к фестивалю музыки Alfa Future People. На период проведения мероприятия в Гугл Пей размещается приложение Touch, разработанное в БПЦ «Банковские Технологии». С новым сервисом владельцы телефонов с оперативной системой Андроид 4.4, поддерживающей NFC, выпускают неперсонифицированные карточки МастерКард и оплачивают товары и услуги «одним касанием».
Карта действует в течение одного года. Каждый месяц ее разрешается пополнять не более, чем на пятнадцать тысяч российских рублей. До выполнения оплаты телефоном пользователю следует осуществить одно действие – ввести ПИН-код. Можно пополнять счет выпущенной карты через приложение, здесь же проверяется оставшаяся сумма, просматривается платежная история. На такой карте предусмотрены бесплатные СМС-сообщения информационного характера.
Чтобы выполнить перечисление денежных средств, системой генерируется одноразовый сессионный пароль, обеспечивающий защищенность каналов мобильных приложений.
Работники банка уверяют, что приложение решает проблемы с бесконтактными платежами, легко превращая смартфон, поддерживающий функцию NFC, в безопасный электронный кошелек.
Атакуем apple pay
Когда‑то корпорация Apple объявляла, что производимые ею телефоны научились поддерживать платежи с заблокированным экраном, на несколько месяцев раньше своих конкурентов. Однако мне долгое время не удавалось проверить их безопасность.
Основная загвоздка была в том, что телефон не активировал поле NFC с помощью обычных терминалов и бесконтактных ридеров. Я упорно гуглил, как работает Apple VAS (Value Additional Services) и пытался пользоваться помощью коллег для реверса бинарей Apple Pay (их названия я позаимствовал из презентации Питера Филлмора).
Когда я закончил тесты с Samsung Pay, я все еще не знал, что делать с Apple Pay, и был в отчаянии. Единственным терминалом, которым я мог пользоваться на тот момент, был терминал у турникета метро. Я решил: если я смогу записать криптограмму транзакции в метрополитене, но сама транзакция не пройдет, то я приду домой и попробую вставить криптограмму в Transaction Stream, как это делалось с вариантом Samsung Visa. После нескольких попыток мне удалось повторить атаку второго типа по отношению к связке Apple Visa.
Тогда же один умный инженер дал мне совет не использовать Proxmark3, а взять что‑то более надежное, например HydraNFC. Последовав этому совету, я быстро увидел в трафике «нечто» — 15 байт, которые отсылались до первых команд. Тогда мне было трудно поверить, что всего 15 байт разблокируют NFC в iPhone, так как я много читал в патентах про PKI, используемые Apple в VAS.
Посмотрим, как выглядит генерация криптограммы картой MasterCard, заданной как транспортная карта в Apple Pay:
В отличие от Samsung, Apple вернет онлайн‑криптограмму, даже если сумма не будет равна 0.00 (сотрудники Apple заявили, что используют или собираются использовать эту функцию, так что «это не баг»).
Однако при подмене кода MCC транзакция будет отклонена из‑за CDA. После июня 2021 года MasterCard закрыла возможность Card Brand Mixup Attack, поэтому оплатить в произвольном терминале этой картой не удастся. Но я все еще мог проводить атаки с использованием Transaction Stream Manipulation.
А что же с картами Visa? Ими можно расплачиваться в любом супермаркете мира по заблокированному iPhone, для этого нужно лишь подменить несколько байтов при обмене между терминалом и телефоном. Да ты и сам об этом уже, скорее всего, читал: исследователи из университетов Бирмингема и Суррея обнаружили эту уязвимость независимо от меня примерно в это же время.
Атакуем google pay
Мы уже показывали в 2022 году, как можно совершать платежи на заблокированном кошельке Google Pay по картам Visa выше лимитов NoCVM: для этого нужно лишь поменять бит в поле TTQ, указывающий, что требуется верификация плательщика. Обойти ограничения по картам MasterCard в прошлый раз не удалось, поэтому я решил попробовать еще.
Вместо модификации Transaction Stream я воспользовался старой атакой, описанной Майклом Роландом (Michael Roland) в 2022 году, — Pre-play and Downgrade (в предыдущей статье я по ошибке написал, что атаку разработал Питер Филлмор в 2022 году, но это не так).
Для меня оставалось загадкой, почему режим M-STRIPE до сих пор работает в кошельках Google Pay для всех карт MasterCard. Я решил исследовать его чуть поглубже — посмотреть на максимальную энтропию, защиту от скачков ATC и другие механизмы защиты.
Выяснилось следующее.
- Максимальная энтропия по картам — 1000 или 10 000. Других настроек я не встретил. Напомню, что карта или кошелек с энтропией 1000 клонируется полностью за 1000 запросов, на это уходит около минуты. Далее злоумышленнику не нужен оригинальный телефон — он может совершать покупки с использованием той информации, которая была клонирована. Количество транзакций зависит от других внедренных мер безопасности.
- Ограничения NoCVM на заблокированном телефоне обходятся также подменой 1 бита в запросе от терминала, что позволяет совершать платежи выше 3000 рублей. У некоторых терминалов, однако, есть отдельная конфигурация, указывающая максимальную сумму платежа в легаси‑режиме M-STRIPE.
- Если в обычной карте счетчик ATC идет последовательно: 0001, 0002 и так далее, то для мобильного кошелька система MasterCard внедрила так называемый CryptoATC. При перехвате команд они выглядят как случайные значения из 2 байт
A56D
,F1A1
и так далее. В процессе детокенизации МПС превращает эти значения в последовательные. Однако даже при скачках в 30–50–100 значений счетчика мои транзакции не были заблокированы.
Из‑за новых требований PSD2 в Европе Android ограничивал количество транзакций на заблокированном телефоне до пяти (сейчас это значение — три или ноль, зависит от страны). Это заставило меня задуматься: если MasterCard и Google не проверяют скачки ATC, записав только пять транзакций, какова вероятность воспроизвести одну из них успешно?
Воспользуемся формулой Бернулли, отлично нарисованной Аркадием Литвиненко специально для таких случаев.
При энтропии 1000, если совершить 50 попыток оплаты в супермаркете, вероятность получить случайное число из пяти записанных составит 14%. Для 100 попыток — 26%. А при наличии доступа к Transaction Stream каждая из этих записанных транзакций может быть монетизирована, ведь злоумышленник в состоянии создать запрос на авторизацию, где сам выставит и случайное число, и значения CVC3/ATC.
Более того, в случае доступа к Transaction Stream и при отсутствии защиты от перебора пар ATC/CVC3, если у злоумышленника есть только токен (16 цифр виртуальной карты и expiry date), ему потребуется максимум 65 535 попыток, чтобы создать и успешно авторизовать мошенническую транзакцию.
Если все, что нужно сделать мошенникам в данном случае, — быть настойчивыми, «тапая» в супермаркете 50–100 раз, каждый раз ожидая успеха, или посылать запросы на авторизацию на серверы токенизации MasterCard MDES, то успех, увы, им гарантирован.
Атакуем samsung pay
Samsung пошел по простому пути: при активации транспортной карты NFC всегда работает на телефоне, и все проверки, предназначенные для того, чтобы отличить платежный терминал в супермаркете от терминала в метро, совершаются на этапе фазы платежей EMV/NFC.
Быстро добавив карту Visa и установив ее как транспортную в телефоне, я вооружился Proxmark3 и отправился в метро, чтобы записать данные о транзакции и сравнить запросы от терминала в метрополитене с запросами от обычного платежного терминала.
Главная команда в данном случае — запрос терминала на генерацию криптограммы (Generate AC) и ответ кошелька:
Для платежных терминалов, авторизующих платежи онлайн, бесконтактные карты Visa не требуют офлайн‑аутентификации. Но в данном случае она обязательна. Также телефон проверяет сумму: если она не равна 0.00, то транзакция не пройдет. Но телефон не смотрит на имя мерчанта или категорию продавца (MCC — Merchant Category Code).
Если платеж происходит в обычном терминале, офлайн‑аутентификация не будет затребована и сумма будет отличной от 0.00. В этом случае телефон вернет следующий ответ:
Я решил не отчаиваться и добавил карту MasterCard, снова вернулся в метро и провел те же операции:
Для карт MasterCard офлайн‑аутентификация по бесконтактным картам обязательна практически в каждой стране и поддерживается каждой бесконтактной картой. Если она не будет успешна, терминал обязан прервать такую транзакцию. Поэтому телефон проверяет два поля: сумму и код MCC.
Если платеж делается в обычном терминале, сумма будет отличаться от 0.00 и код терминала окажется не из категории «Транспорт». В этом случае телефон вернет такой ответ:
Тут уже что‑то интересное. Напомню, что криптограмма — это 3DES HMAC от некоторых полей, представленных терминалом в запросе Generate AC, и значений в самой карте, например ATC. Моя первая догадка: а что, если ключи и алгоритм калькуляции криптограммы AAC точно такие же, как и для ARQC?
Ведь счетчик транзакций увеличивается каждый раз на 1, даже при возврате AAC-криптограммы. Если мы поменяем поле 9f27 на 0x80, криптограмма будет принята терминалом и отправлена на токенизационный хост MasterCard для авторизации.
Звучит как план, но у меня была проблема: модификация любых полей во время общения терминала и кошелька будет замечена при офлайн‑аутентификации CDA. Тут мне на помощь пришла техника, совсем недавно найденная «швейцарскими учеными» (с).
Первый план атаки созрел:
- Берем устройство man in the middle для модификации данных между телефоном и терминалом.
- Проводим атаку Card Brand Mixup — карта MasterCard притворяется картой Visa (как это делать — читай в исследовании Card Brand Mixup Attack, PDF).
- На последнем шаге применяем атаку Cryptogram Confusion: когда кошелек возвращает криптограмму типа
0x00
(AAC), мы меняем значение поля9f27
на0x80
(ARQC).
Я был приятно удивлен тем, что в конце концов атака Cryptogram Confusion прошла и транзакция была одобрена. Вот видеозапись этой атаки.
Можно ли как‑то совершать платежи по картам Visa и другим, например American Express, если телефон заблокирован? Не обнаружив никакого другого способа получения криптограммы, кроме запроса авторизации на сумму 0.00, я решил воспользоваться атакой Transaction Stream Manipulation.
В ходе этой атаки данные подменяются не между терминалом и картой или кошельком, а между терминалом и банком‑эквайером, в запросе ISO8583 Authorisation Request. В этом случае у злоумышленника больше возможностей для манипуляции полями.
Например, поле «сумма» фигурирует в этом запросе дважды: в первый раз в поле [55] — там, где собраны все поля EMV, а во второй раз — в поле [04], где указывается реально списываемая сумма.
В таком случае атака на другие карты, в том числе Visa, выглядит следующим образом:
- Запрашиваем криптограмму на 0.00 так же, как ее запрашивает терминал в метро.
- Создаем запрос ISO8583, где указываем корректные поля (сумма — 0.00, криптограмма и так далее), но в поле [04] указываем ту сумму, которую хотим списать с карты.
Хотя кошелек с картой Visa передал информацию о том, что телефон не был разблокирован, эта транзакция была одобрена Visa Tokenisation Service.
Как правильно выбрать
Технология для оплаты в одно касание широко используется в современном мире. Это безопасный, удобный и мгновенный способ совершения покупок, быстрой оплаты товаров и услуг. уникальный помощник в совершении финансовых операций — бесконтактная карта.
Возможность оплаты товаров и услуг в одно касание расширяется как в странах СНГ, России, так и в ряде европейских государств.
Данную технологию поддерживают разнообразные сервисы и торговые объекты.
https://www.youtube.com/watch?v=tsxfiabn_1I
Пользу принесет использование технологии при совершении оплаты городского и междугороднего транспорта. Для совершения бесконтактной оплаты предусмотрены паркоматы, турникеты метрополитена, автобусные остановки и пр.
Система оплаты доступна на кассах жд. транспорта больших городов страны. Оплату проезда в одно касание поддерживает «Аэроэкспресс» г. Казани и г. Москвы.
Внимание! Чтобы совершить оплату, следует провести стоимость покупки по карте, затем коснуться телефоном или картой считывателя — покупка оплачена.
Важно! Чтобы технология успешно заработала, следует настроить оплату телефоном
Как работает?
Альфабанковское кольцо – это то же самое, что и карта финучреждения. Продукт предназначен для оплаты покупок в магазинах и услуг в аппаратах самообслуживания. В комплекте с украшением продаются:
- инструкция;
- секретный PIN в конверте;
- предоплаченная карта.
Лимиты платёжного средства достаточно ограничены:
- сумма расходов в течение календарного месяца не должна превышать 40 000.00 рублей;
- остаток денег на балансе платёжного средства должен быть не выше 15 000.00 рублей.
Пополнять кольцо можно переводами с иных карт, а также в аппаратах самообслуживания. Первоначальные лимиты со временем можно увеличить, обратившись к администрации одного из филиалов Альфа -Банка.
Важно: PIN потребуется вводить только при оплате покупок на сумму свыше 1 000.00 рублей.
Так как речь идёт о бесконтактных платежах, многих интересует, насколько безопасно пользоваться описываемым платёжным средством. Производители уверяют, что не менее безопасно, чем пластиковой картой. В аксессуар встроен чип Gemalto, призванный сделать платежи совершенно безопасными.
Как узнать, подходит ли мой телефон для оплаты?
Для бесконтактной оплаты покупок вам понадобится телефон с модулем NFC и операционной системой Android версии 5.0 и выше. Приложение «Кошелёк» должно быть установлено из официального магазина производителя устройства или мобильной ОС (Google Play, Huawei App Gallery, Samsung Galaxy Store и т.п.).
Для бесконтактной оплаты картой Visa версия приложения «Кошелёк» должна быть не ниже 7.27, для карты Mastercard — не ниже 7.0.1.6. Рекомендуем вам использовать самую свежую версию приложения «Кошелёк», доступную для загрузки из вышеупомянутых магазинов.
Если вы уже установили приложение «Кошелёк» и добавили в него банковскую карту, но все равно не можете расплатиться с помощью телефона, выполните описанные ниже действия:
- Убедитесь, что программное и аппаратное обеспечение вашего телефона соответствует требованиям:
- Операционная система Android версии 5.0 и выше (для устройств Android).
- Поддержка NFC.
- Определите, поддерживается ли технология NFC, и включите её:
- Откройте настройки телефона.
- Выберите «Подключенные устройства». Если такого варианта нет, посмотрите, есть ли один из следующих разделов: «Беспроводные сети», «Подключения» или «NFC». При необходимости нажмите Ещё .
- Проверьте, есть ли функция NFC в появившемся списке. Если она указана, вы можете расплачиваться через Кошелёк в магазинах.
- Включите NFC. Найдите раздел «NFC» и включите эту функцию. Возможность активации NFC также может находиться в других разделах, например — «NFC и оплата».
Примечание. Порядок действий может различаться в зависимости от модели телефона и версии ОС.
Новости альфа-банка
Крупнейший частный банк России Альфа-Банк, оператор связи «Билайн» (ОАО «ВымпелКом») и международная платежная система MasterCard (NYSE: MA) объявляют о запуске платежного сервиса на базе технологий NFC с использованием SIM-карт «Билайн» с инновационной технологией для бесконтактной оплаты Mobile MasterCard PayPass ® .
Решение для бесконтактных платежей предполагает установку специального банковского приложения на SIM-карты и позволяет клиентам Альфа-Банка моментально совершать покупки и оплачивать услуги, поднеся свой телефон с поддержкой NFC и технологии Mobile MasterCard PayPass к ридеру PayPass на кассе.
В настоящее время данная услуга доступна пилотной группе клиентов Альфа-Банка. Для установки новой SIM-карты подходит широкий спектр моделей мобильных телефонов и смартфонов, поддерживающих технологию SIM centric NFC. В частности, при тестировании проекта использовались смартфоны линейки HTC One, которые изначально подготовлены к этой простой, но высокотехнологичной услуге бесконтактных платежей.
Денежные средства будут списаны с банковского счета клиента, к которому привязан номер банковской карты, записанный на SIM-карте. Сама SIM-карта столь же надежно защищена, как и банковская карта со встроенным микропроцессором — ЧИПом.
Благодаря размещению банковского приложения на SIM-карте сохраняются все преимущества сервисов, которые предоставляет как оператор сотовой связи, так и банк. А с помощью платежной технологии Mobile MasterCard PayPass можно расплачиваться в торговых точках в «одно касание», просто поднеся телефон к терминалу c PayPass.
Оплачивать покупки бесконтактным способом удобно, быстро и безопасно. До 1000 рублей оплата производится без введения ПИН-кода или подписи слипа, свыше этой суммы клиенту нужно подтвердить оплату вводом ПИН-кода. Оставаясь всегда на связи с мобильным оператором «Билайн», клиенты банка могут быстро и безопасно расплачиваться картой в торговых точках, поддерживающих бесконтактный способ оплаты MasterCard PayPass.
«На наш взгляд, NFC является перспективной технологией, и мы ожидаем, что в будущем она получит широкое распространение. Важно отметить, что ее развитие осуществляется компаниями из разных отраслей в тесном сотрудничестве друг с другом. Мы считаем, что технология SIM- centric NFC, на базе которой реализован платежный сервис совместно с Альфа-Банком и MasterCard является наиболее удобной для пользователей и оптимальной для всех компаний, участвующих в формировании экосистемы NFC сервисов», — прокомментировал Виктор Маркелов, Директор по продуктам и развитию бизнеса ОАО «ВымпелКом».
«Технология MasterCard PayPass стала настоящей революцией в безналичных платежных решениях, так как теперь инструментом безналичной оплаты наряду с банковской картой стал, например, мобильный телефон. В современном динамичном мире платежные банковские технологии выходят в совершенно новые форматы, и в индустрию приходят новые игроки.
Мы очень рады, что на российском рынке стартовал проект АЛЬФА-банка и Билайн, и теперь у россиян есть еще одна возможность воспользоваться преимуществами безналичной оплаты — в России и в других странах делать покупки безопасно, быстро и удобно, — сказал директор по развитию рынка MasterCard в России Андрей Макаров.
«Мы очень рады оказать Альфа-Банку поддержку в предоставлении самых современных решений, способных качественно улучшить жизнь его клиентов. Внедрение проекта совместно с MasterCard и „Билайн“ — важный шаг на пути создание комплексного взаимодействия телекоммуникационного и банковского секторов, позволяющий создавать максимально комфортный доступ ко всем финансовым услугам, независимо от времени суток, места и способа связи.
Данные SIM-карты разработаны и произведены в сотрудничестве с компанией Oberthur Technologies: ведущим мировым разработчиком NFC решений на основе смарт-карт.
Предыстория
Если проследить эволюцию стандарта EMV, то вначале были чиповые смарт‑карты. Затем эти карты оснастили антенной и превратили в бесконтактные карты, унаследовавшие почти все функции от EMV. Но карточным брендам этого было мало, и в 2022 году уже существовавший тогда Google Wallet оснастили функцией бесконтактной оплаты с помощью NFC.
Google использовала подход Host-Card Emulator (HCE), когда конечное устройство не содержит в себе все приватные и симметричные ключи шифрования по аналогии со смарт‑картой, а время от времени загружает одноразовые ключи (Single-Use Key, SUK) для каждой следующей операции.
Придерживаясь этого подхода до сих пор, телефоны с Google Pay не позволяют совершать больше двадцати операций без подключения к интернету. В 2022 году Samsung и Apple представили свои кошельки с использованием технологии Secure Element.
Работают они по аналогии со смарт‑картами, где физически и логически защищенный чип гарантирует защиту от перехвата, чтения, перезаписи секретных ключей, на основе которых создаются 3DES-криптограммы EMV и подписываются данные с помощью асимметричного RSA.
В прошлом Славомир Ясек показывал пример успешного переноса Google Pay с одного устройства на другое. При этом сохранялась возможность получать ключи SUK с серверов Google не на оригинальное устройство. Питер Филлмор (Peter Fillmor) также детально рассматривал устройство Apple Pay.
Два года назад я начал исследовать безопасность мобильных кошельков при оплате с помощью NFC. На тот момент Google Pay был единственным кошельком, позволяющим платить устройством с заблокированным экраном. Я очень быстро смог применить атаку, которую использовал для бесконтактных карт Visa, чтобы обойти лимиты NoCVM или Tap &
Go (в России они составляют 3000 рублей). Для этого было необходимо лишь активировать экран на заблокированном телефоне. Если телефон все еще у владельца в кармане, это можно сделать, отправив команду по Bluetooth или Android Beam.
Несмотря на заявления экспертов, что «форматы и протоколы работы бесконтактных карт разных международных систем принципиально не различаются», я категорически с этим не согласен, ведь применить такую же атаку против MasterCard мне не удалось.
В конце 2022 года Samsung и Apple представили поддержку «транспортных схем» в крупных мегаполисах: Нью‑Йорке, Токио, Лондоне. Во многих транспортных системах оплата зависит от дальности поездки, при этом финальная сумма платежа высчитывается исходя из точки входа в метро и точки выхода.
Поэтому снимать стандартную сумму при первом «тапе» карты или кошелька некорректно. Далее, несмотря на стабильное подключение турникетов к интернету, они не запрашивают авторизацию транзакций онлайн, потому что соединение занимает долгое время.
Вместо этого используется асинхронная авторизация. А чтобы противодействовать мошенничеству, применяется офлайн‑аутентификация по современному стандарту CDA, описанному еще в спецификациях EMV. Я уже рассказывал о принципе работы CDA в статье «Близкие контакты. Разбираемся, как работают системы безопасности кредитных карт».
Наконец, последняя проблема электронных кошельков — это необходимость разблокировать телефон Apple или Samsung каждый раз, когда ты подходишь к турникету метро. Крайне неудобно, не правда ли? Именно поэтому и Samsung, и Apple сделали возможность платить на транспорте без разблокировки телефона.
Преимущества бесконтактных карт от альфа-банка
К положительным качествам подобных платежных средств относятся:
- удобство (для выполнения операции достаточно поднести устройство к терминалу);
- безопасность (на аксессуарах отсутствуют данные владельца, при списании крупных сумм требуется ввод ПИН-кода);
- выгодность (владелец карты, поддерживающей технологию PayPass, может участвовать в программах лояльности);
- доступность (оформить платежное средство можно в любом банковском отделении).
Привязка карты для оплаты
Выполнить процедуру можно 2 способами. С помощью программы «Альфа-Мобайл» привязку выполняют так:
- Переходят в раздел «Карты». Выбирают нужное платежное средство.
- Нажимают на значок ближней связи. Выбирают вариант «Внести сведения о счете в Wallet».
С использованием системы Wallet привязку осуществляют так:
- Открывают приложение Wallet. Нажимают значок « », расположенный в правом верхнем углу.
- Сканируют номер карты камерой смартфона или вводят вручную. Проверяют достоверность указанных данных.
- Вводят код безопасности кредитного или дебетового продукта, нанесенный на обратную сторону. Он представляет собой комбинацию из 3 цифр.
- Для завершения процедуры соглашаются с правилами, прописанными в пользовательском соглашении. Вводят код, поступающий в СМС-сообщении.
Apple Pay поддерживает все продукты MasterCard и VISA, в том числе международные и корпоративные.
С помощью смарт-часов
Альфа-Банк выпускает устройство, в комплект которого входят смарт-карта, конверт с проверочным кодом. Стоимость часов составляет 6000 руб. Они совместимы с премиальными пакетами обслуживания, а также зарплатными проектами. Особенности прибора:
- часы предлагаются в белом или черном цвете;
- устройство совместимо со всеми терминалами бесконтактной оплаты;
- прибор производится компанией Watch2pay, имеющей большой опыт в создании подобных аксессуаров.
Чтобы оплатить покупку, достаточно поднести часы к считывателю.
Сотрудники не умеют решать проблемы, связанные с google pay
Привет всем читателям данного ресурса! История моей проблемы следующая:
4 мая я получил карту. Находясь дома, я решил привязать её к Google Pay. Зайдя в приложение, я ввёл все необходимые данные и приложение предложило
только один способ подтвердить карту для бесконтактных платежей – позвонить в банк.
1 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что, мол, а вы уверены, что бесконтактные платежи недоступны? Далее она, игнорируя цель звонка (верифицировать карту) пытается меня убедить, что всё в порядке и картой можно расплачиваться в магазинах. Поняв, что разговор заходит в тупик я поблагодарил за помощь и попрощался.
2 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что для того, чтобы привязать карту к Google Pay, нужно это делать через их приложение Альфа-мобайл.
Ок. Пытаюсь это сделать через Альфа-мобайл, как она мне сказала. Захожу в приложение, выбираю карту-> бесконтактная оплата-> Google Pay. Мне приходит СМС с кодом, я его ввожу, происходит переход в Google Pay,
который мне сообщает, что такая карта уже привязана к приложению.
Удаляю карту через Google Pay, пробую снова повторить все действия с Альфа-мобайл. Возникает та же ошибка, что такая карта уже привязана к приложению. Но ведь я её удалил…
3 звонок в банк: объясняю ситуацию. Сотрудник банка говорит,что перед тем, как зайти в Альфа-мобайл, нужно удалить карту не только из Google Pay, но и из портала payments.google.com.
Убеждаюсь, что карты нет на payments.google.com. Пытаюсь 2-3 раза снова повторить все действия с Альфа-мобайл. Результат не меняется.
4 звонок в банк: объясняю ситуацию. Сотрудник банка говорит, что с моей картой всё в порядке, обращайтесь с этим вопросом в поддержку Google.
Пишу в поддержку Google. Они мне сообщают, что карту они видят, ожидается верификация банком. Просят позвонить в банк, сверить номер телефона и спросить, почему они
не могут подтвердить токенизацию.
5 звонок в банк: объясняю ситуацию. Сверяем номер телефона – всё в порядке. Объясняю, что Google Pay предлагал мне подтвердить подлинность только звонком в банк. Сотрудник разводит руками,
говорит, что у них карты проходят верификацию только через СМС и проблема на стороне Google.
Пишу в поддержку Google, отправляю дополнительно скриншоты ошибок. Они мне предлагают убрать блокировку экрана с устройства, чтобы сбросить все карты и добавить карту заново. Не помогло.
Далее они мне пишут «По нашим данным карта находится на стадии верификации в банке. Мы можем только рекомендовать снова связаться с банком с просьбой верифицировать карту.»
6 звонок в банк: объясняю ситуацию. Сотрудница просит отправить на ccsupervisors@nfcexpert.ruописание проблемы со скриншотами.
Отправляю письмо и что вы думаете? Ответ приходит следующий:«Уважаемый <Имя Отчество>! По вашему запросу сообщаем, что на стороне банка попыток токенизации через “Альфа-Мобайл” не обнаружено. Рекомендуем открыть раздел “Все счета и карты” – провалиться в карту и выбрать соотв. пункт. Альфа-Банк».
Естественно попыток токенизации через”Альфа-Мобайл” не будет, потому что карта уже была введена через Google
Pay и при привязке карты через “Альфа-Мобайл” – Google Pay выдаёт ошибку, что такая карта уже есть… Попытка токенизации точно была – до 2 моего звонка в
банк, Google Pay предлагал верифицировать карту путём обращения в банк.
Видно, что проблема точно на стороне банка и его сотрудники не хотят признавать и решать проблему. Карты других банков без проблем
привязываются к приложению (проверил после возникновения данной проблемы).
Токенизация
Мобильные кошельки существуют благодаря технологии токенизации: карта добавляется в мобильный кошелек, данные отсылаются международной платежной системе, которая после подтверждения всех реквизитов создает «виртуальную карту». Она может работать только по NFC, причем только на том устройстве, на котором карта была добавлена. Но это в теории.
Преимущество мобильного кошелька состоит в том, что использование токенов ограничено. В случае компрометации токена злоумышленники не могут использовать украденные данные виртуальной карты, чтобы создать клон магнитной полосы или платить такой картой в интернете.
Начиная с момента замещения карты токеном банки‑эмитенты перестают играть существенную роль в авторизации транзакций и риск‑менеджменте. Да, они получают информацию о местоположении и типе мерчанта, сумме, дате транзакции.
Код, который исполняется в мобильном кошельке, также написан, аудирован и сертифицирован одной из МПС. Apple или Samsung вроде и ни при чем — они выступают фасадом, но всю работу за них делают МПС. А банку‑эмитенту становится труднее судить о мошеннических операциях из‑за недостатка данных.
Поэтому операции с использованием мобильных кошельков, в отличие от банковских карт, почти никогда случайно не блокируются системами антифрода. Именно в этом и кроется одна из основных проблем: ответственные за процесс платежа скрыты внутри самого этого процесса, а сущности снаружи (банк‑эмитент, мерчант, мобильный кошелек) имеют ограниченные возможности для принятия решений.
Подведём итог
Как видите, платформа Google Pay стала настоящим, и прямо скажем – долгожданным прорывом, несмотря на уже существующие системы подобного рода. Её универсальность, безопасность и простота использования покоряют с первого взгляда.
- Оформить кредитку “Разумная” Ренессанс Кредит Банка, бесплатное обслуживание, льготный период 145 дней всегда!
- Оформить кредитку “365 дней без %” Альфа-Банка, 1 год без % на любые покупки!
- Оформить карту рассрочки “Халва” Совкомбанка, бесплатное обслуживание, беспроцентная рассрочка (в том числе на снятие наличных), кэшбэк до 6%!, процент на остаток до 12%
- Оформить кредитную карту “Opencard” банка Открытие, бесплатное обслуживание, кэшбэк 1,5% на все покупки!, льготный период 55 дней, погашение кредитки другого банка бесплатным переводом
- Оформить дебетовую карту Польза Хоум Кредит Банка, бесплатное обслуживание, 22% по накопительному счету
Подобные технологии развиваются по всему миру, и мы надеемся, что в РФ с этим сервисом, оправдавшим все ожидания, будет работать как можно больше банков и магазинов.
Оплата одним движением руки (в которой находится смартфон) по праву считается самым быстрым и удобным способом расчета. Конечно, в некоторых торговых точках до сих пор по каким-то причинам отсутствует возможность безналичной оплаты, но это всего лишь дело времени и технического прогресса.
Их владельцы очень скоро осознают тот факт (или государство «поможет» сделать это как можно быстрее), что такой способ оплаты исключает возможность мошенничества, недостач, краж и банальных очередей и традиционный рынок, а с ним и экономика, приобретут совершенно иной вид – начинается эра мобильных платежей!
Итоги
Я обнаружил несколько способов атаковать украденные мобильные кошельки, если на устройстве возможна оплата без разблокировки телефона. Также я нашел новую интересную атаку на протокол EMV — Cryptogram Confusion. С помощью нее можно атаковать не только мобильные кошельки, но и чиповые/бесконтактные карты.
Мне удалось совершить платеж по клонированным транзакциям кошелька Google Pay c привязанной MasterCard даже при ограничении в пять попыток.
Когда же дело дошло до общения с мобильными вендорами и МПС, итоги оказались неутешительными:
- Обо всех недостатках Google была оповещена в феврале. Они сообщили, что в курсе проблем и планируют закрыть возможность платежей на заблокированном экране. Это реализовано созданием отдельной опции в настройках NFC после февраля 2021 года. Также во всех регионах разработчики уменьшили число транзакций на заблокированном телефоне. Остальные уязвимости были проигнорированы.
- Apple, Samsung, MasterCard были оповещены весной 2021 года, и завертелось… Apple заявила, что 15 байт для активации NFC — достаточная защита для пользователей. Все мобильные вендоры подняли лапки кверху и, сказав, что не имеют права менять код кошельков, попросили разрешения поделиться находками с МПС. После того как разрешения были даны, мою страницу в LinkedIn много раз посещали уважаемые люди из всех МПС, но никто никогда со мной так и не связался.
Летом этого года MasterCard не только закрыла лазейку для Card Brand Mixup Attack от швейцарских исследователей, но и устранила лазейку для Cryptogram Confusion. Я обнаружил это случайно только в октябре, при подготовке к выступлению.
Помимо этого, во многих регионах поле MCC было добавлено в криптограмму, что делает подмену MCC невозможной даже во время Transaction Stream Manipulation. Поменялся метод представления ATC/AAC на заблокированных телефонах Samsung, что и навело меня на мысли о патче. Версию патча я смог выпытать у Samsung (апдейт MPBP 1.2.2, May 27, 2021).
Visa не сильно переживает из‑за все еще существующей возможности совершать платежи на украденных и разряженных телефонах Apple и еще меньше — из‑за манипуляций транзакционным потоком. Они верят в машинное обучение, риск‑ориентированную модель и, скорее всего, заняты развитием бизнеса или другими интересными возможностями, а не безопасностью своих клиентов.
Атаки, которые возможны до сих пор:
- Транспортная карта Visa Apple Pay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa Google Pay, тут с 2022 года ничего не изменилось.
- MasterCard Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
- Остальные вариации карта кошелек — атаки возможны только при манипуляции Transaction Stream.
Для того чтобы по‑настоящему защититься от злоупотребления платежами на заблокированном телефоне, самое оптимальное решение — сверять категорию мерчанта и сумму со значениями CVR:
- пользователь совершил платеж на 100 долларов, телефон был разблокирован, мерчант — супермаркет, нет проблем;
- авторизация на 0.00 или списание на большую сумму, телефон не разблокирован, мерчант — транспорт, тоже нет проблем;
- авторизация на 0.00, списание на большую сумму, телефон не разблокирован, мерчант — супермаркет, это уже подозрительно, и такие транзакции нужно отклонять.
Что делать банкам‑эмитентам? Я несколько раз слышал о том, что во время токенизированных транзакций банк может запросить дополнительную информацию от МПС для принятия решений, в частности поля EMV, которые в обычном случае не покидают токенизатор.
Что делать клиентам? Давай представим такую картину: ты владелец мобильного кошелька, потерял свой телефон и не заблокировал карту по умолчанию или транспортную карту (я знаю, что в России транспортные карты не используются, но мы же фантазируем).
- Ты звонишь в банк, просишь заблокировать карту и начать разбирательства.
- Спустя какое‑то время банк‑эмитент сообщает, что у него нет никаких сведений о мошенническом характере совершенных транзакций. С их стороны все выглядит безобидно. Возможно, ты разгласил свой ПИН‑код?
- Попытки общаться с мобильными вендорами (Apple, Samsung, Google) ни к чему не приводят — они будут утверждать, что платежи возможны только у ограниченных категорий мерчантов и в лимитированных суммах. Возможно, ты разгласил свой ПИН‑код?
Что в таком случае остается делать клиентам? Отказаться от использования самых ненадежных продуктов.
https://www.youtube.com/watch?v=bnFaaPylthI
За последний год я смог подтвердить свои догадки — разработчики мобильных кошельков уютно устроились, создав «самые безопасные формы платежей», отобрав у банков‑эмитентов возможности для принятия решений во время эмиссии кошелька и авторизации транзакций.