Что дает применение бесконтактных банкоматов
Казалось бы, пользователи банковских устройства самообслуживания, оборудованных этим техническим новшеством, большой выгоды не получают. Ведь разница между прикладыванием карты к считывателю и помещением ее в приемник совсем небольшая.
Однако заметьте: при бесконтактном способе взаимодействия с банкоматом карточка остается в руке человека. Тем самым устраняются ситуации, когда владелец пластика забывает ее в банкомате (или когда устройство вследствие технического сбоя не возвращает его назад).
https://www.youtube.com/watch?v=WJM3wpCC35w
Пользователи смартфонов с NFC вообще могут оставлять свою карточку дома. Ранее они могли лишь совершать покупки с помощью телефона в торговых точках, оборудованных POS-терминалами. Теперь они смогут также снимать наличные в банкоматах.
С 2022 года все пластиковые карты, выпускаемые ведущими банками страны, будут иметь модуль NFC для бесконтактных платежей и снятия наличных.
Безопасна ли технология
Технология безопасна в использовании. Предусмотрено большое количество чипов на выбор клиента, характеризующихся высоким уровнем шифрования данных и безопасностью. Бесконтактная оплата широко используется в современном мире.
NFC – технология будущего. Работа системы не так хорошо отлажена, но со временем количество людей, активно ее использующих вырастет, а значит, многие оценят ее преимущества:
- Защита данных;
- Удобство в использовании;
- Мгновенность оплаты;
- Не потребуется носить с собой карту, чтобы совершить покупку.
Пока отзывы о работе технологии , противоречивы, но это временно, пока система не будет доведена до автоматизма. Людям, желающим использовать систему вне больших городов, придется преодолеть ряд трудностей: сбои и препятствие в работе, возмущение людей, стоящих в очереди, так как на совершение операции иногда потребуется длительное время.
cloudpayments
CloudPayments — это платежный сервис, который предлагает современный интернет-эквайринг. Оплата на сайте без перехода на платежную страницу в удобном “Виджете” – всплывающем окне на вашем сайте, оплата через социальные сети, платежи в один клик, рекуррентные платежи (периодические или автоплатежи), рекаринговый платеж или “оплата в один клик”, холдирование, оплата в мобильном приложении, выставление счетов на e-mail или SMS, маркетплейс и множество других технологичных платежных инструментов.
Мы сделали мобильное приложение для наших партнеров – удобный интерфейс доступа к личному кабинету CloudPayments.
УПРАВЛЯЙТЕ ЗАКАЗАМИ
Формируйте новые заказы и счета, и контролируйте их оплату с телефона
Отправляйте новые счета на оплату по почте, E-mail или WhatsApp
Выбирайте язык уведомлений для ваших клиентов
Оформляйте подписку (периодические платежи) или реализуйте оплату в один клик для ваших клиентов
СЛЕДИТЕ ЗА ОПЕРАЦИЯМИ
Отслеживайте платежи в вашу пользу в режиме реального времени
Следите за платежной конверсией
Анализируйте платежи за любой период времени
Подтверждайте или отменяйте платежи
Делайте полные или частичные возвраты
ВНИМАНИЕ!
Для доступа к приложению вам необходима учетная запись.
Google pay
Большое количество людей осознали преимущества технологии оплаты в «одно касание» активно используют возможности оплаты через сервис paywave и pay pass , с устройств с наличием NFC.
Чтобы модульная система успешно заработала, следует настроить мобильный телефон:
1.Убедиться в том, что устройство поддерживает технологию бесконтактной оплаты;
2. Зайти в «Настройки», «Дополнительные функции»;
3. Активировать опцию «Настройки», перейти в раздел «Ещё», найти NFC.
4. Выполнить вход в «настройки», «Подключения», «NFC и оплата».
После этого требуется отыскать опцию NFC и активировать ее. Для этого потребуется зайти в раздел «Бесконтактная оплата», чтобы получить информацию об основном средстве оплаты. В большинстве случаев, оплата совершается посредством использования приложения Google Pay. Чтобы настроить оплату через этот сервис потребуется выполнить следующие шаги:
- Скачивание утилиты;
- Запуск приложения и привязка к аккаунту в системе Google;
- Активировать опцию «Начать»;
- Выполнить добавление карты;
- Ввести запрашиваемые сведения о пользователе;
- Связаться с банком, проверить карту.
- Настройка блокировки экрана;
- Подтверждение привязки карты.
Nfc-платежи в альфа-банке по технологии hce
Запуск платежей по данной технологии приурочен к фестивалю музыки Alfa Future People. На период проведения мероприятия в Гугл Пей размещается приложение Touch, разработанное в БПЦ «Банковские Технологии». С новым сервисом владельцы телефонов с оперативной системой Андроид 4.4, поддерживающей NFC, выпускают неперсонифицированные карточки МастерКард и оплачивают товары и услуги «одним касанием».
Карта действует в течение одного года. Каждый месяц ее разрешается пополнять не более, чем на пятнадцать тысяч российских рублей. До выполнения оплаты телефоном пользователю следует осуществить одно действие – ввести ПИН-код. Можно пополнять счет выпущенной карты через приложение, здесь же проверяется оставшаяся сумма, просматривается платежная история. На такой карте предусмотрены бесплатные СМС-сообщения информационного характера.
Чтобы выполнить перечисление денежных средств, системой генерируется одноразовый сессионный пароль, обеспечивающий защищенность каналов мобильных приложений.
Работники банка уверяют, что приложение решает проблемы с бесконтактными платежами, легко превращая смартфон, поддерживающий функцию NFC, в безопасный электронный кошелек.
Атакуем apple pay
Когда‑то корпорация Apple объявляла, что производимые ею телефоны научились поддерживать платежи с заблокированным экраном, на несколько месяцев раньше своих конкурентов. Однако мне долгое время не удавалось проверить их безопасность.
Основная загвоздка была в том, что телефон не активировал поле NFC с помощью обычных терминалов и бесконтактных ридеров. Я упорно гуглил, как работает Apple VAS (Value Additional Services) и пытался пользоваться помощью коллег для реверса бинарей Apple Pay (их названия я позаимствовал из презентации Питера Филлмора).
Когда я закончил тесты с Samsung Pay, я все еще не знал, что делать с Apple Pay, и был в отчаянии. Единственным терминалом, которым я мог пользоваться на тот момент, был терминал у турникета метро. Я решил: если я смогу записать криптограмму транзакции в метрополитене, но сама транзакция не пройдет, то я приду домой и попробую вставить криптограмму в Transaction Stream, как это делалось с вариантом Samsung Visa. После нескольких попыток мне удалось повторить атаку второго типа по отношению к связке Apple Visa.
Тогда же один умный инженер дал мне совет не использовать Proxmark3, а взять что‑то более надежное, например HydraNFC. Последовав этому совету, я быстро увидел в трафике «нечто» — 15 байт, которые отсылались до первых команд. Тогда мне было трудно поверить, что всего 15 байт разблокируют NFC в iPhone, так как я много читал в патентах про PKI, используемые Apple в VAS.
Посмотрим, как выглядит генерация криптограммы картой MasterCard, заданной как транспортная карта в Apple Pay:
В отличие от Samsung, Apple вернет онлайн‑криптограмму, даже если сумма не будет равна 0.00 (сотрудники Apple заявили, что используют или собираются использовать эту функцию, так что «это не баг»).
Однако при подмене кода MCC транзакция будет отклонена из‑за CDA. После июня 2021 года MasterCard закрыла возможность Card Brand Mixup Attack, поэтому оплатить в произвольном терминале этой картой не удастся. Но я все еще мог проводить атаки с использованием Transaction Stream Manipulation.
А что же с картами Visa? Ими можно расплачиваться в любом супермаркете мира по заблокированному iPhone, для этого нужно лишь подменить несколько байтов при обмене между терминалом и телефоном. Да ты и сам об этом уже, скорее всего, читал: исследователи из университетов Бирмингема и Суррея обнаружили эту уязвимость независимо от меня примерно в это же время.
Атакуем google pay
Мы уже показывали в 2022 году, как можно совершать платежи на заблокированном кошельке Google Pay по картам Visa выше лимитов NoCVM: для этого нужно лишь поменять бит в поле TTQ, указывающий, что требуется верификация плательщика. Обойти ограничения по картам MasterCard в прошлый раз не удалось, поэтому я решил попробовать еще.
Вместо модификации Transaction Stream я воспользовался старой атакой, описанной Майклом Роландом (Michael Roland) в 2022 году, — Pre-play and Downgrade (в предыдущей статье я по ошибке написал, что атаку разработал Питер Филлмор в 2022 году, но это не так).
Для меня оставалось загадкой, почему режим M-STRIPE до сих пор работает в кошельках Google Pay для всех карт MasterCard. Я решил исследовать его чуть поглубже — посмотреть на максимальную энтропию, защиту от скачков ATC и другие механизмы защиты.
Выяснилось следующее.
- Максимальная энтропия по картам — 1000 или 10 000. Других настроек я не встретил. Напомню, что карта или кошелек с энтропией 1000 клонируется полностью за 1000 запросов, на это уходит около минуты. Далее злоумышленнику не нужен оригинальный телефон — он может совершать покупки с использованием той информации, которая была клонирована. Количество транзакций зависит от других внедренных мер безопасности.
- Ограничения NoCVM на заблокированном телефоне обходятся также подменой 1 бита в запросе от терминала, что позволяет совершать платежи выше 3000 рублей. У некоторых терминалов, однако, есть отдельная конфигурация, указывающая максимальную сумму платежа в легаси‑режиме M-STRIPE.
- Если в обычной карте счетчик ATC идет последовательно: 0001, 0002 и так далее, то для мобильного кошелька система MasterCard внедрила так называемый CryptoATC. При перехвате команд они выглядят как случайные значения из 2 байт
A56D
,F1A1
и так далее. В процессе детокенизации МПС превращает эти значения в последовательные. Однако даже при скачках в 30–50–100 значений счетчика мои транзакции не были заблокированы.
Из‑за новых требований PSD2 в Европе Android ограничивал количество транзакций на заблокированном телефоне до пяти (сейчас это значение — три или ноль, зависит от страны). Это заставило меня задуматься: если MasterCard и Google не проверяют скачки ATC, записав только пять транзакций, какова вероятность воспроизвести одну из них успешно?
Воспользуемся формулой Бернулли, отлично нарисованной Аркадием Литвиненко специально для таких случаев.
При энтропии 1000, если совершить 50 попыток оплаты в супермаркете, вероятность получить случайное число из пяти записанных составит 14%. Для 100 попыток — 26%. А при наличии доступа к Transaction Stream каждая из этих записанных транзакций может быть монетизирована, ведь злоумышленник в состоянии создать запрос на авторизацию, где сам выставит и случайное число, и значения CVC3/ATC.
Более того, в случае доступа к Transaction Stream и при отсутствии защиты от перебора пар ATC/CVC3, если у злоумышленника есть только токен (16 цифр виртуальной карты и expiry date), ему потребуется максимум 65 535 попыток, чтобы создать и успешно авторизовать мошенническую транзакцию.
Если все, что нужно сделать мошенникам в данном случае, — быть настойчивыми, «тапая» в супермаркете 50–100 раз, каждый раз ожидая успеха, или посылать запросы на авторизацию на серверы токенизации MasterCard MDES, то успех, увы, им гарантирован.
Атакуем samsung pay
Samsung пошел по простому пути: при активации транспортной карты NFC всегда работает на телефоне, и все проверки, предназначенные для того, чтобы отличить платежный терминал в супермаркете от терминала в метро, совершаются на этапе фазы платежей EMV/NFC.
Быстро добавив карту Visa и установив ее как транспортную в телефоне, я вооружился Proxmark3 и отправился в метро, чтобы записать данные о транзакции и сравнить запросы от терминала в метрополитене с запросами от обычного платежного терминала.
Главная команда в данном случае — запрос терминала на генерацию криптограммы (Generate AC) и ответ кошелька:
Для платежных терминалов, авторизующих платежи онлайн, бесконтактные карты Visa не требуют офлайн‑аутентификации. Но в данном случае она обязательна. Также телефон проверяет сумму: если она не равна 0.00, то транзакция не пройдет. Но телефон не смотрит на имя мерчанта или категорию продавца (MCC — Merchant Category Code).
Если платеж происходит в обычном терминале, офлайн‑аутентификация не будет затребована и сумма будет отличной от 0.00. В этом случае телефон вернет следующий ответ:
Я решил не отчаиваться и добавил карту MasterCard, снова вернулся в метро и провел те же операции:
Для карт MasterCard офлайн‑аутентификация по бесконтактным картам обязательна практически в каждой стране и поддерживается каждой бесконтактной картой. Если она не будет успешна, терминал обязан прервать такую транзакцию. Поэтому телефон проверяет два поля: сумму и код MCC.
Если платеж делается в обычном терминале, сумма будет отличаться от 0.00 и код терминала окажется не из категории «Транспорт». В этом случае телефон вернет такой ответ:
Тут уже что‑то интересное. Напомню, что криптограмма — это 3DES HMAC от некоторых полей, представленных терминалом в запросе Generate AC, и значений в самой карте, например ATC. Моя первая догадка: а что, если ключи и алгоритм калькуляции криптограммы AAC точно такие же, как и для ARQC?
Ведь счетчик транзакций увеличивается каждый раз на 1, даже при возврате AAC-криптограммы. Если мы поменяем поле 9f27 на 0x80, криптограмма будет принята терминалом и отправлена на токенизационный хост MasterCard для авторизации.
Звучит как план, но у меня была проблема: модификация любых полей во время общения терминала и кошелька будет замечена при офлайн‑аутентификации CDA. Тут мне на помощь пришла техника, совсем недавно найденная «швейцарскими учеными» (с).
Первый план атаки созрел:
- Берем устройство man in the middle для модификации данных между телефоном и терминалом.
- Проводим атаку Card Brand Mixup — карта MasterCard притворяется картой Visa (как это делать — читай в исследовании Card Brand Mixup Attack, PDF).
- На последнем шаге применяем атаку Cryptogram Confusion: когда кошелек возвращает криптограмму типа
0x00
(AAC), мы меняем значение поля9f27
на0x80
(ARQC).
Я был приятно удивлен тем, что в конце концов атака Cryptogram Confusion прошла и транзакция была одобрена. Вот видеозапись этой атаки.
Можно ли как‑то совершать платежи по картам Visa и другим, например American Express, если телефон заблокирован? Не обнаружив никакого другого способа получения криптограммы, кроме запроса авторизации на сумму 0.00, я решил воспользоваться атакой Transaction Stream Manipulation.
В ходе этой атаки данные подменяются не между терминалом и картой или кошельком, а между терминалом и банком‑эквайером, в запросе ISO8583 Authorisation Request. В этом случае у злоумышленника больше возможностей для манипуляции полями.
Например, поле «сумма» фигурирует в этом запросе дважды: в первый раз в поле [55] — там, где собраны все поля EMV, а во второй раз — в поле [04], где указывается реально списываемая сумма.
В таком случае атака на другие карты, в том числе Visa, выглядит следующим образом:
- Запрашиваем криптограмму на 0.00 так же, как ее запрашивает терминал в метро.
- Создаем запрос ISO8583, где указываем корректные поля (сумма — 0.00, криптограмма и так далее), но в поле [04] указываем ту сумму, которую хотим списать с карты.
Хотя кошелек с картой Visa передал информацию о том, что телефон не был разблокирован, эта транзакция была одобрена Visa Tokenisation Service.
Как найти банкомат, поддерживающий работу с nfc
Российские банки сделали шаг навстречу любителям технического прогресса. Теперь бесконтактным способом можно не только рассчитаться в магазине, но и снять деньги в банкомате.
Например, Сбербанк к настоящему времени оснастил NFC-считывателями 55 из 76 тысяч своих устройств. К концу 2022 года, по заверениям сотрудников этой организации, передовая технология будет внедрена на 100 % банкоматов (если только модель поддерживает такую техническую возможность).
NFC-ридерами оборудуют устройства для самообслуживания граждан сотрудники Альфа-Банка, «Русского Стандарта», «Открытия», Росбанка, «Почта-Банка».
Как узнать, что банкомат поддерживает бесконтактную передачу данных? На дисплее устройств, принадлежащих Сбербанку, имеется соответствующая надпись с подсказкой: «Просто приложите смартфон или карту».
Кроме того, любой пользователь без труда обнаружит рядом с клавиатурой или монитором банкомата черную «коробочку». На ее поверхность нанесен официальный логотип системы «NFC» — радиоволны, исходящие из невидимого источника. Важно, чтобы в углу «черной коробочки» горела зеленая лампочка. Если огонек не горит, то устройство неактивно. Подносить к нему карту будет бесполезно.
Как правильно выбрать
Выбор зависит от пожеланий собственника. Для одних людей будет актуальна карта РЖД, так как они предпочитают поездки на поездах, другим по нраву придется молодежный вариант. Все карты имеют nfc , во всем остальном, выбор за пользователем.Требования к устройствам
Технология для оплаты в одно касание широко используется в современном мире. Это безопасный, удобный и мгновенный способ совершения покупок, быстрой оплаты товаров и услуг. уникальный помощник в совершении финансовых операций — бесконтактная карта.
Возможность оплаты товаров и услуг в одно касание расширяется как в странах СНГ, России, так и в ряде европейских государств.
Данную технологию поддерживают разнообразные сервисы и торговые объекты.
Пользу принесет использование технологии при совершении оплаты городского и междугороднего транспорта. Для совершения бесконтактной оплаты предусмотрены паркоматы, турникеты метрополитена, автобусные остановки и пр.
Система оплаты доступна на кассах жд. транспорта больших городов страны. Оплату проезда в одно касание поддерживает «Аэроэкспресс» г. Казани и г. Москвы.
Внимание! Чтобы совершить оплату, следует провести стоимость покупки по карте, затем коснуться телефоном или картой считывателя — покупка оплачена.
Важно! Чтобы технология успешно заработала, следует настроить оплату телефоном
Как привязать карту?
Разберемся, как привязать платежную карту Альфа-Банк к мобильному телефону.
https://www.youtube.com/watch?v=bnFaaPylthI
С помощью приложения Альфа-Мобайл
Алгоритм действий следующий:
- в перечне раздела «карты» определяется необходимая для привязки;
- нажимается знак передачи информации;
- выбирается действие «внести данные карты в Валет».
С использованием Wallet
В этом случае поступают таким образом:
- открывается приложение Валет, нажимается знак « », располагающийся сверху в углу справа;
- номер пластиковой карты сканируется камерой либо вносится ручным способом;
- внесенные сведения проверяются на достоверность, вводится шифр безопасности банковского продукта, нанесенный на оборотной стороне тремя цифрами;
- для привязки платежной карточки по умолчанию уточните и примите условия, представленные в пользовательском соглашении. В соответствующее поле введите код, полученный в СМС-сообщении.
В Эпл Пей добавляются все карты Альфа-Банка систем VISA и MasterCard, включая международные корпоративные продукты и те, что не поддерживают бесконтактные перечисления.
Как работает?
Альфабанковское кольцо – это то же самое, что и карта финучреждения. Продукт предназначен для оплаты покупок в магазинах и услуг в аппаратах самообслуживания. В комплекте с украшением продаются:
- инструкция;
- секретный PIN в конверте;
- предоплаченная карта.
Лимиты платёжного средства достаточно ограничены:
- сумма расходов в течение календарного месяца не должна превышать 40 000.00 рублей;
- остаток денег на балансе платёжного средства должен быть не выше 15 000.00 рублей.
Пополнять кольцо можно переводами с иных карт, а также в аппаратах самообслуживания. Первоначальные лимиты со временем можно увеличить, обратившись к администрации одного из филиалов Альфа -Банка.
Важно: PIN потребуется вводить только при оплате покупок на сумму свыше 1 000.00 рублей.
Так как речь идёт о бесконтактных платежах, многих интересует, насколько безопасно пользоваться описываемым платёжным средством. Производители уверяют, что не менее безопасно, чем пластиковой картой. В аксессуар встроен чип Gemalto, призванный сделать платежи совершенно безопасными.
Как расплачиваться в магазинах картой, добавленной в кошелёк?
Приложение «Кошелёк» можно использовать для бесконтактной оплаты в любых магазинах, где есть специальные терминалы бесконтактной оплаты. Обычно на такие терминалы нанесен специальный логотип:
- Выведите телефон из спящего режима.
- Поднесите телефон к терминалу бесконтактных платежей. Если данные карты прочитаны терминалом, то на экране телефона появится подтверждение: «Карта прочитана. Дождитесь ответа терминала». При сумме, превышающей пороговое значение, установленное платёжной системой, терминал может попросить дополнительное подтверждение проведения транзакции.
https://www.youtube.com/watch?v=Dwl2QVnm8jU
Вот что можно сделать, если подтверждение того, что карта прочитана, не появляется:
- Попробуйте поменять положение телефона. Антенна NFC может находиться либо в верхней, либо в нижней его части.
- Поднесите телефон ближе к терминалу. Подержите телефон у терминала дольше обычного.
Если же подтверждение есть, но, по словам кассира, покупка не оплачена, убедитесь, что магазин принимает бесконтактные платежи и свяжитесь со своим банком
Как узнать, подходит ли мой телефон для оплаты?
Для бесконтактной оплаты покупок вам понадобится телефон с модулем NFC и операционной системой Android версии 5.0 и выше. Приложение «Кошелёк» должно быть установлено из официального магазина производителя устройства или мобильной ОС (Google Play, Huawei App Gallery, Samsung Galaxy Store и т.п.).
Для бесконтактной оплаты картой Visa версия приложения «Кошелёк» должна быть не ниже 7.27, для карты Mastercard — не ниже 7.0.1.6. Рекомендуем вам использовать самую свежую версию приложения «Кошелёк», доступную для загрузки из вышеупомянутых магазинов.
Если вы уже установили приложение «Кошелёк» и добавили в него банковскую карту, но все равно не можете расплатиться с помощью телефона, выполните описанные ниже действия:
- Убедитесь, что программное и аппаратное обеспечение вашего телефона соответствует требованиям:
- Операционная система Android версии 5.0 и выше (для устройств Android).
- Поддержка NFC.
- Определите, поддерживается ли технология NFC, и включите её:
- Откройте настройки телефона.
- Выберите «Подключенные устройства». Если такого варианта нет, посмотрите, есть ли один из следующих разделов: «Беспроводные сети», «Подключения» или «NFC». При необходимости нажмите Ещё .
- Проверьте, есть ли функция NFC в появившемся списке. Если она указана, вы можете расплачиваться через Кошелёк в магазинах.
- Включите NFC. Найдите раздел «NFC» и включите эту функцию. Возможность активации NFC также может находиться в других разделах, например — «NFC и оплата».
Примечание. Порядок действий может различаться в зависимости от модели телефона и версии ОС.
Не игнорируются ли правила безопасности?
Как известно, при совершении недорогих покупок в розничных магазинах владельцам карт с бесконтактной оплатой не нужно вводить ПИН-код для подтверждения транзакции. Операционная система Visa с апреля 2022 года даже увеличила лимит подобных операций до 3 000 рублей.
Для получения доступа к услугам банкомата пользователю необходимо будет ввести пин-код. После поднесения карточки или смартфона к NFC-ридеру «коробочка» мигнет рядом зеленых огоньков. Однако при этом на мониторе банкомата появится не меню пользователя, а всего лишь надпись: «Введите ПИН-код».
Эксперименты по работе с «бесконтактными» банкоматами показали, что подобные устройства запрашивают секретный код у посетителя дважды. Первый раз — при получении доступа к меню. Второй — для подтверждения выполнения запрашиваемой операции. Таким образом, пользоваться банкоматом с NFC для человека более безопасно, чем рассчитываться с применением данной технологии в магазине.
Новости альфа-банка
Крупнейший частный банк России Альфа-Банк, оператор связи «Билайн» (ОАО «ВымпелКом») и международная платежная система MasterCard (NYSE: MA) объявляют о запуске платежного сервиса на базе технологий NFC с использованием SIM-карт «Билайн» с инновационной технологией для бесконтактной оплаты Mobile MasterCard PayPass ® .
Решение для бесконтактных платежей предполагает установку специального банковского приложения на SIM-карты и позволяет клиентам Альфа-Банка моментально совершать покупки и оплачивать услуги, поднеся свой телефон с поддержкой NFC и технологии Mobile MasterCard PayPass к ридеру PayPass на кассе.
В настоящее время данная услуга доступна пилотной группе клиентов Альфа-Банка. Для установки новой SIM-карты подходит широкий спектр моделей мобильных телефонов и смартфонов, поддерживающих технологию SIM centric NFC. В частности, при тестировании проекта использовались смартфоны линейки HTC One, которые изначально подготовлены к этой простой, но высокотехнологичной услуге бесконтактных платежей.
Денежные средства будут списаны с банковского счета клиента, к которому привязан номер банковской карты, записанный на SIM-карте. Сама SIM-карта столь же надежно защищена, как и банковская карта со встроенным микропроцессором — ЧИПом.
Благодаря размещению банковского приложения на SIM-карте сохраняются все преимущества сервисов, которые предоставляет как оператор сотовой связи, так и банк. А с помощью платежной технологии Mobile MasterCard PayPass можно расплачиваться в торговых точках в «одно касание», просто поднеся телефон к терминалу c PayPass.
https://www.youtube.com/watch?v=1XfHRKmUmgo
Оплачивать покупки бесконтактным способом удобно, быстро и безопасно. До 1000 рублей оплата производится без введения ПИН-кода или подписи слипа, свыше этой суммы клиенту нужно подтвердить оплату вводом ПИН-кода. Оставаясь всегда на связи с мобильным оператором «Билайн», клиенты банка могут быстро и безопасно расплачиваться картой в торговых точках, поддерживающих бесконтактный способ оплаты MasterCard PayPass.
«На наш взгляд, NFC является перспективной технологией, и мы ожидаем, что в будущем она получит широкое распространение. Важно отметить, что ее развитие осуществляется компаниями из разных отраслей в тесном сотрудничестве друг с другом. Мы считаем, что технология SIM- centric NFC, на базе которой реализован платежный сервис совместно с Альфа-Банком и MasterCard является наиболее удобной для пользователей и оптимальной для всех компаний, участвующих в формировании экосистемы NFC сервисов», — прокомментировал Виктор Маркелов, Директор по продуктам и развитию бизнеса ОАО «ВымпелКом».
«Технология MasterCard PayPass стала настоящей революцией в безналичных платежных решениях, так как теперь инструментом безналичной оплаты наряду с банковской картой стал, например, мобильный телефон. В современном динамичном мире платежные банковские технологии выходят в совершенно новые форматы, и в индустрию приходят новые игроки.
Мы очень рады, что на российском рынке стартовал проект АЛЬФА-банка и Билайн, и теперь у россиян есть еще одна возможность воспользоваться преимуществами безналичной оплаты — в России и в других странах делать покупки безопасно, быстро и удобно, — сказал директор по развитию рынка MasterCard в России Андрей Макаров.
«Мы очень рады оказать Альфа-Банку поддержку в предоставлении самых современных решений, способных качественно улучшить жизнь его клиентов. Внедрение проекта совместно с MasterCard и „Билайн“ — важный шаг на пути создание комплексного взаимодействия телекоммуникационного и банковского секторов, позволяющий создавать максимально комфортный доступ ко всем финансовым услугам, независимо от времени суток, места и способа связи.
Данные SIM-карты разработаны и произведены в сотрудничестве с компанией Oberthur Technologies: ведущим мировым разработчиком NFC решений на основе смарт-карт.
Плюсы и минусы
Заманчивый и пока ещё недоступный для большинства пользователей аксессуар активно обсуждается в прессе и на форумах интернета. В различных источниках информации указываются плюсы и минусы банковского украшения. К его достоинствам можно отнести:
- рекордная быстрота проведения оплаты;
- прочнее пластиковых карт;
- принимаются банкоматами и терминалами;
- надёжная защита денежных средств и высокая безопасность использования;
- нет необходимости давать кассиру для произведения оплаты;
- крайне простое применение;
- приятный современный дизайн;
- может выполнять функции электронного ключа;
- нет аккумулятора и необходимости производить подзарядку;
- можно опускать с гаджетом на глубину до 50 м.
К недостаткам банковского кольца относят:
- небольшой выбор дизайнерских вариантов;
- минимизированные лимиты.
Главный недостаток в том, что на данный момент Альфа-Банк не способен удовлетворить всех своих клиентов, желающих обладать изысканным аналогом банковской карты.
Предыстория
https://www.youtube.com/watch?v=PcP2RiRD9vI
Если проследить эволюцию стандарта EMV, то вначале были чиповые смарт‑карты. Затем эти карты оснастили антенной и превратили в бесконтактные карты, унаследовавшие почти все функции от EMV. Но карточным брендам этого было мало, и в 2022 году уже существовавший тогда Google Wallet оснастили функцией бесконтактной оплаты с помощью NFC.
Google использовала подход Host-Card Emulator (HCE), когда конечное устройство не содержит в себе все приватные и симметричные ключи шифрования по аналогии со смарт‑картой, а время от времени загружает одноразовые ключи (Single-Use Key, SUK) для каждой следующей операции.
Придерживаясь этого подхода до сих пор, телефоны с Google Pay не позволяют совершать больше двадцати операций без подключения к интернету. В 2022 году Samsung и Apple представили свои кошельки с использованием технологии Secure Element.
Работают они по аналогии со смарт‑картами, где физически и логически защищенный чип гарантирует защиту от перехвата, чтения, перезаписи секретных ключей, на основе которых создаются 3DES-криптограммы EMV и подписываются данные с помощью асимметричного RSA.
В прошлом Славомир Ясек показывал пример успешного переноса Google Pay с одного устройства на другое. При этом сохранялась возможность получать ключи SUK с серверов Google не на оригинальное устройство. Питер Филлмор (Peter Fillmor) также детально рассматривал устройство Apple Pay.
Два года назад я начал исследовать безопасность мобильных кошельков при оплате с помощью NFC. На тот момент Google Pay был единственным кошельком, позволяющим платить устройством с заблокированным экраном. Я очень быстро смог применить атаку, которую использовал для бесконтактных карт Visa, чтобы обойти лимиты NoCVM или Tap &
Go (в России они составляют 3000 рублей). Для этого было необходимо лишь активировать экран на заблокированном телефоне. Если телефон все еще у владельца в кармане, это можно сделать, отправив команду по Bluetooth или Android Beam.
Несмотря на заявления экспертов, что «форматы и протоколы работы бесконтактных карт разных международных систем принципиально не различаются», я категорически с этим не согласен, ведь применить такую же атаку против MasterCard мне не удалось.
В конце 2022 года Samsung и Apple представили поддержку «транспортных схем» в крупных мегаполисах: Нью‑Йорке, Токио, Лондоне. Во многих транспортных системах оплата зависит от дальности поездки, при этом финальная сумма платежа высчитывается исходя из точки входа в метро и точки выхода.
Поэтому снимать стандартную сумму при первом «тапе» карты или кошелька некорректно. Далее, несмотря на стабильное подключение турникетов к интернету, они не запрашивают авторизацию транзакций онлайн, потому что соединение занимает долгое время.
Вместо этого используется асинхронная авторизация. А чтобы противодействовать мошенничеству, применяется офлайн‑аутентификация по современному стандарту CDA, описанному еще в спецификациях EMV. Я уже рассказывал о принципе работы CDA в статье «Близкие контакты. Разбираемся, как работают системы безопасности кредитных карт».
Наконец, последняя проблема электронных кошельков — это необходимость разблокировать телефон Apple или Samsung каждый раз, когда ты подходишь к турникету метро. Крайне неудобно, не правда ли? Именно поэтому и Samsung, и Apple сделали возможность платить на транспорте без разблокировки телефона.
Преимущества
Удобство и компактность. Вы можете добавить в ваш смартфон несколько платёжных карточек. В таком случае отпадает необходимость носить с собой множество карт, в том числе дисконтных. Вы всегда можете использовать ту карту, по которой платёж наиболее выгоден для вас (больше кэшбэк, дополнительные привилегии и т.д.)
Универсальность и доступность. В отличие от других подобных сервисов, Андроид Пэй поддерживает достаточно большое количество девайсов на базе Андроид, удовлетворяющих вполне доступным требованиям Google;
Безопасность. Во время оплаты не передаётся номер карты – передаётся лишь токен (виртуальный счёт), который не имеет практической ценности для злоумышленника. Даже если эта информация каким-то невероятным образом попадёт к мошенникам, они не смогут её использовать;
Отсутствие комиссии. Установка, использование и оплата с помощью этого платёжного сервиса для владельцев смартфонов полностью бесплатна!
Сотрудники не умеют решать проблемы, связанные с google pay
Привет всем читателям данного ресурса! История моей проблемы следующая:
4 мая я получил карту. Находясь дома, я решил привязать её к Google Pay. Зайдя в приложение, я ввёл все необходимые данные и приложение предложило
только один способ подтвердить карту для бесконтактных платежей – позвонить в банк.
1 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что, мол, а вы уверены, что бесконтактные платежи недоступны? Далее она, игнорируя цель звонка (верифицировать карту) пытается меня убедить, что всё в порядке и картой можно расплачиваться в магазинах. Поняв, что разговор заходит в тупик я поблагодарил за помощь и попрощался.
2 звонок в банк: объясняю ситуацию. Сотрудница банка говорит, что для того, чтобы привязать карту к Google Pay, нужно это делать через их приложение Альфа-мобайл.
Ок. Пытаюсь это сделать через Альфа-мобайл, как она мне сказала. Захожу в приложение, выбираю карту-> бесконтактная оплата-> Google Pay. Мне приходит СМС с кодом, я его ввожу, происходит переход в Google Pay,
который мне сообщает, что такая карта уже привязана к приложению.
Удаляю карту через Google Pay, пробую снова повторить все действия с Альфа-мобайл. Возникает та же ошибка, что такая карта уже привязана к приложению. Но ведь я её удалил…
3 звонок в банк: объясняю ситуацию. Сотрудник банка говорит,что перед тем, как зайти в Альфа-мобайл, нужно удалить карту не только из Google Pay, но и из портала payments.google.com.
Убеждаюсь, что карты нет на payments.google.com. Пытаюсь 2-3 раза снова повторить все действия с Альфа-мобайл. Результат не меняется.
4 звонок в банк: объясняю ситуацию. Сотрудник банка говорит, что с моей картой всё в порядке, обращайтесь с этим вопросом в поддержку Google.
Пишу в поддержку Google. Они мне сообщают, что карту они видят, ожидается верификация банком. Просят позвонить в банк, сверить номер телефона и спросить, почему они
не могут подтвердить токенизацию.
5 звонок в банк: объясняю ситуацию. Сверяем номер телефона – всё в порядке. Объясняю, что Google Pay предлагал мне подтвердить подлинность только звонком в банк. Сотрудник разводит руками,
говорит, что у них карты проходят верификацию только через СМС и проблема на стороне Google.
Пишу в поддержку Google, отправляю дополнительно скриншоты ошибок. Они мне предлагают убрать блокировку экрана с устройства, чтобы сбросить все карты и добавить карту заново. Не помогло.
Далее они мне пишут «По нашим данным карта находится на стадии верификации в банке. Мы можем только рекомендовать снова связаться с банком с просьбой верифицировать карту.»
6 звонок в банк: объясняю ситуацию. Сотрудница просит отправить на ccsupervisors@nfcexpert.ruописание проблемы со скриншотами.
Отправляю письмо и что вы думаете? Ответ приходит следующий:«Уважаемый <Имя Отчество>! По вашему запросу сообщаем, что на стороне банка попыток токенизации через “Альфа-Мобайл” не обнаружено. Рекомендуем открыть раздел “Все счета и карты” – провалиться в карту и выбрать соотв. пункт. Альфа-Банк».
Естественно попыток токенизации через”Альфа-Мобайл” не будет, потому что карта уже была введена через Google
Pay и при привязке карты через “Альфа-Мобайл” – Google Pay выдаёт ошибку, что такая карта уже есть… Попытка токенизации точно была – до 2 моего звонка в
банк, Google Pay предлагал верифицировать карту путём обращения в банк.
Видно, что проблема точно на стороне банка и его сотрудники не хотят признавать и решать проблему. Карты других банков без проблем
привязываются к приложению (проверил после возникновения данной проблемы).
Технология samsung pay работает с картами «мир» выпущенными альфа-банком.
Проведите по экрану снизу вверх, чтобы запустить Samsung Pay
Выберите карту и авторизуйтесь по отпечатку пальца, PIN-коду приложения или радужке глаз
Для оплаты просто поднесите устройство к терминалу
Если кассир попросит ввести ПИН-код — введите ПИН-код пластиковой карты
Если кассир попросит расписаться — распишитесь, как у вас на экране
Получите чек, как при обычной оплате картой
Получите Push-уведомление о совершенной операции. Если к пластиковой карте подключен Альфа-Чек — получите SMS- уведомление об операции на телефон.
Токенизация
Мобильные кошельки существуют благодаря технологии токенизации: карта добавляется в мобильный кошелек, данные отсылаются международной платежной системе, которая после подтверждения всех реквизитов создает «виртуальную карту». Она может работать только по NFC, причем только на том устройстве, на котором карта была добавлена. Но это в теории.
Преимущество мобильного кошелька состоит в том, что использование токенов ограничено. В случае компрометации токена злоумышленники не могут использовать украденные данные виртуальной карты, чтобы создать клон магнитной полосы или платить такой картой в интернете.
Начиная с момента замещения карты токеном банки‑эмитенты перестают играть существенную роль в авторизации транзакций и риск‑менеджменте. Да, они получают информацию о местоположении и типе мерчанта, сумме, дате транзакции.
Код, который исполняется в мобильном кошельке, также написан, аудирован и сертифицирован одной из МПС. Apple или Samsung вроде и ни при чем — они выступают фасадом, но всю работу за них делают МПС. А банку‑эмитенту становится труднее судить о мошеннических операциях из‑за недостатка данных.
Поэтому операции с использованием мобильных кошельков, в отличие от банковских карт, почти никогда случайно не блокируются системами антифрода. Именно в этом и кроется одна из основных проблем: ответственные за процесс платежа скрыты внутри самого этого процесса, а сущности снаружи (банк‑эмитент, мерчант, мобильный кошелек) имеют ограниченные возможности для принятия решений.
Подведём итог
Как видите, платформа Google Pay стала настоящим, и прямо скажем – долгожданным прорывом, несмотря на уже существующие системы подобного рода. Её универсальность, безопасность и простота использования покоряют с первого взгляда.
- Оформить кредитку “Разумная” Ренессанс Кредит Банка, бесплатное обслуживание, льготный период 145 дней всегда!
- Оформить кредитку “365 дней без %” Альфа-Банка, 1 год без % на любые покупки!
- Оформить карту рассрочки “Халва” Совкомбанка, бесплатное обслуживание, беспроцентная рассрочка (в том числе на снятие наличных), кэшбэк до 6%!, процент на остаток до 12%
- Оформить кредитную карту “Opencard” банка Открытие, бесплатное обслуживание, кэшбэк 1,5% на все покупки!, льготный период 55 дней, погашение кредитки другого банка бесплатным переводом
- Оформить дебетовую карту Польза Хоум Кредит Банка, бесплатное обслуживание, 22% по накопительному счету
Подобные технологии развиваются по всему миру, и мы надеемся, что в РФ с этим сервисом, оправдавшим все ожидания, будет работать как можно больше банков и магазинов.
Оплата одним движением руки (в которой находится смартфон) по праву считается самым быстрым и удобным способом расчета. Конечно, в некоторых торговых точках до сих пор по каким-то причинам отсутствует возможность безналичной оплаты, но это всего лишь дело времени и технического прогресса.
Их владельцы очень скоро осознают тот факт (или государство «поможет» сделать это как можно быстрее), что такой способ оплаты исключает возможность мошенничества, недостач, краж и банальных очередей и традиционный рынок, а с ним и экономика, приобретут совершенно иной вид – начинается эра мобильных платежей!
Итоги
Я обнаружил несколько способов атаковать украденные мобильные кошельки, если на устройстве возможна оплата без разблокировки телефона. Также я нашел новую интересную атаку на протокол EMV — Cryptogram Confusion. С помощью нее можно атаковать не только мобильные кошельки, но и чиповые/бесконтактные карты.
Мне удалось совершить платеж по клонированным транзакциям кошелька Google Pay c привязанной MasterCard даже при ограничении в пять попыток.
Когда же дело дошло до общения с мобильными вендорами и МПС, итоги оказались неутешительными:
- Обо всех недостатках Google была оповещена в феврале. Они сообщили, что в курсе проблем и планируют закрыть возможность платежей на заблокированном экране. Это реализовано созданием отдельной опции в настройках NFC после февраля 2021 года. Также во всех регионах разработчики уменьшили число транзакций на заблокированном телефоне. Остальные уязвимости были проигнорированы.
- Apple, Samsung, MasterCard были оповещены весной 2021 года, и завертелось… Apple заявила, что 15 байт для активации NFC — достаточная защита для пользователей. Все мобильные вендоры подняли лапки кверху и, сказав, что не имеют права менять код кошельков, попросили разрешения поделиться находками с МПС. После того как разрешения были даны, мою страницу в LinkedIn много раз посещали уважаемые люди из всех МПС, но никто никогда со мной так и не связался.
Летом этого года MasterCard не только закрыла лазейку для Card Brand Mixup Attack от швейцарских исследователей, но и устранила лазейку для Cryptogram Confusion. Я обнаружил это случайно только в октябре, при подготовке к выступлению.
Помимо этого, во многих регионах поле MCC было добавлено в криптограмму, что делает подмену MCC невозможной даже во время Transaction Stream Manipulation. Поменялся метод представления ATC/AAC на заблокированных телефонах Samsung, что и навело меня на мысли о патче. Версию патча я смог выпытать у Samsung (апдейт MPBP 1.2.2, May 27, 2021).
Visa не сильно переживает из‑за все еще существующей возможности совершать платежи на украденных и разряженных телефонах Apple и еще меньше — из‑за манипуляций транзакционным потоком. Они верят в машинное обучение, риск‑ориентированную модель и, скорее всего, заняты развитием бизнеса или другими интересными возможностями, а не безопасностью своих клиентов.
Атаки, которые возможны до сих пор:
- Транспортная карта Visa Apple Pay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa Google Pay, тут с 2022 года ничего не изменилось.
- MasterCard Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
- Остальные вариации карта кошелек — атаки возможны только при манипуляции Transaction Stream.
Для того чтобы по‑настоящему защититься от злоупотребления платежами на заблокированном телефоне, самое оптимальное решение — сверять категорию мерчанта и сумму со значениями CVR:
- пользователь совершил платеж на 100 долларов, телефон был разблокирован, мерчант — супермаркет, нет проблем;
- авторизация на 0.00 или списание на большую сумму, телефон не разблокирован, мерчант — транспорт, тоже нет проблем;
- авторизация на 0.00, списание на большую сумму, телефон не разблокирован, мерчант — супермаркет, это уже подозрительно, и такие транзакции нужно отклонять.
Что делать банкам‑эмитентам? Я несколько раз слышал о том, что во время токенизированных транзакций банк может запросить дополнительную информацию от МПС для принятия решений, в частности поля EMV, которые в обычном случае не покидают токенизатор.
Что делать клиентам? Давай представим такую картину: ты владелец мобильного кошелька, потерял свой телефон и не заблокировал карту по умолчанию или транспортную карту (я знаю, что в России транспортные карты не используются, но мы же фантазируем).
- Ты звонишь в банк, просишь заблокировать карту и начать разбирательства.
- Спустя какое‑то время банк‑эмитент сообщает, что у него нет никаких сведений о мошенническом характере совершенных транзакций. С их стороны все выглядит безобидно. Возможно, ты разгласил свой ПИН‑код?
- Попытки общаться с мобильными вендорами (Apple, Samsung, Google) ни к чему не приводят — они будут утверждать, что платежи возможны только у ограниченных категорий мерчантов и в лимитированных суммах. Возможно, ты разгласил свой ПИН‑код?
Что в таком случае остается делать клиентам? Отказаться от использования самых ненадежных продуктов.
За последний год я смог подтвердить свои догадки — разработчики мобильных кошельков уютно устроились, создав «самые безопасные формы платежей», отобрав у банков‑эмитентов возможности для принятия решений во время эмиссии кошелька и авторизации транзакций.