Форум Винского

[Сибирский валенок]

Столкнулся с тем что в Австралии у меня без контактная, дебитовая карта виза от Нэба, не давно расплачивался ею за покупки, продавец поднес карту к терминалу, приложил ее как в метро и вернул обратно. Все это заняло меньше секунды, я не вводил никакой пин.
На карточке символ как на Вай фай устройстве.
Получается очень удобно и быстро можно расплачиваться за покупки, а как же безопасность?
Завладей такой картой злоумышленник, плакали денюшки ?

[alt22]

Не знаю как по миру, но в России стоит ограничение 1000 рублей на покупку без ввода пин-кода.
Я поддерживаю эту технологию: когда вводишь пин-код на каждой кассе, его видят все окружающие, и в итоге карта с чипом становится, наоборот, опасной.

[XMember]

Завладей такой картой злоумышленник, плакали денюшки ?

Так и обычную карту достаточно сфоткать и расплатиться её реквизитами в инете. Всё это одна большая дыра.

[Сибирский валенок]

Не знаю как по миру, но в России стоит ограничение 1000 рублей на покупку без ввода пин-кода.
Я поддерживаю эту технологию: когда вводишь пин-код на каждой кассе, его видят все окружающие, и в итоге карта с чипом становится, наоборот, опасной.

О той карте что вы говорите без ввода пина, ее продавец или вы проводите магнитной полосой через считывающее устройство, или вы карту просто подносите к терминалу на доли секунды?

[Shwed]

про второй вариант

[TsarTV]

Сибирский валенок
Сейчас многие банки в РФ выдают такие карты, вот на них и стоит ограничение в 1000 р, если сумма больше, то надо вводить пин..Только вот я в Питере пока так и не видела где ей можно расплатиться:))

[Сибирский валенок]

про второй вариант

Какое ваше мнение Shwed, эти без контактные технологии опасны для держателей карт? То есть я так понимаю, в карте есть передающее устройство и по сути грамотный хакер сможет на расстоянии считывать данные карты через Вай фай и даже снимать небольшие суммы! Если это так то эти карты не безопасны .

[Shwed]

Если при утере сразу заблокируете карту, то безопасно. Короче не опаснее, чем носить деньги в кармане.

[XMember]

Короче не опаснее, чем носить деньги в кармане.

Наличку дистанционно не считать.

[Сибирский валенок]

Короче не опаснее, чем носить деньги в кармане.

Наличку дистанционно не считать.

Час пик, Москва, метро, все пассажиры зажаты как селедки, у меня например как у продавца терминал в кармане, я прижимаюсь к вам и вы не замечаете как проходит транзакция . Возможно?

[Shwed]

Возможно?

если расстояние не более 2 см.
Если вас это заботит, снимите лимит на покупки и вводите пин.

[inters]

У меня такой АМЕКС с RFID. В некоторых местах терминалы со специальным считываютщим устройством - вместо того что бы провести магнитной полосой просто подношу к устройтву карточку. Только ПИНа у моей карточки никакого нет - иногда просто приходиться расписываться на мониторе.

[SkyStrannik]

Проблема надумана, расстояние должно быть меньше 10см. если не ошибаюсь. Это надо полную ламбаду устроить чтоб считать..
Но чехольчики всё-ж заказал, недорого стоят, излишек попробую продать, посылку оправдаю. Интересен спрос на них

[Сергей Толстый]

Коллеги, где можно заказать чехольчики для карт с paypass? Если например заказывать в интернет-магазине, то нужно знать точное название товара. Например, в яндекс-маркете по названию "чехол для банковских карт с paypass" ничего нет.

[SkyStrannik]

Коллеги, где можно заказать чехольчики для карт с paypass?

Чехол RFID, на ебее навалом этого барахла, яндекс то-же находит. Были-бы Вы в Москве можно было-б пересечься, где-то несколько валялось.

[alt22]

Можете пояснить, пожалуйста, зачем на карту надевать чехольчик?

[Сергей Толстый]

Банковские карты c paypass уязвимы к несанкционированному снятию денег, правда на малых на расстояниях, но всё же такую возможность хотелось бы исключить.

[alt22]

Банковские карты c paypass уязвимы к несанкционированному снятию денег, правда на малых на расстояниях, но всё же такую возможность хотелось бы исключить.

Как вы себе это технически представляете? Мошенник с портативным терминалом незаметно в трамвае будет к каждому пассажиру подходить и водить им вдоль всего тела как металлоискателем?
Ну а во-вторых, зачем вообще такую карту заказывать, если есть опасения по поводу безопасности?

[Дмитрий всезнайка]

Как вы себе это технически представляете? Мошенник с портативным терминалом незаметно в трамвае будет к каждому пассажиру подходить и водить им вдоль всего тела как металлоискателем?
Ну а во-вторых, зачем вообще такую карту заказывать, если есть опасения по поводу безопасности?

Сейчас банки повсеместно выдают такие карты, даже если специально не просил.
Риск кражи информации с карты есть, но факт оплаты можно отследить например через свой "кабинет" на сайте банка (иногда смс о списании может не придти), и истребовать возврат "сворованных" средств. Данные о терминале, произведшем списание, сохраняются у банка.

А для успокоения можно в бумажник фольгу алюминиевую положить. Наличие металла, прилегающего к карте, выступит помехой к её прочтению.

upd. Часто ридеры не могут прочитать данные с карты, если несколько бесконтактных карт сложено вместе. Например два ски-пасса не могут быть прочитаны, если приложены друг к другу.

[alt22]

Риск кражи информации с карты есть

Можете объяснить как это технически возможно?

[Дмитрий всезнайка]

Технически - нужно использовать дальнобойную антенну.

В картах используется стандарт ISO 14443 (RFID). Тот же что и в любой другой бесконтактной карте, или радио-метке.
Стандартно дальность считывания у RFID-ридера составляет 3-10см.

На деле дальность чтения зависит от конструкции приемника (антенны), легальная техническая дальность может быть и до 30см.
Большее расстояние используется в промышленных целях - там и антенны намного больше.

Малое расстояние (3-7см) обусловлено тем, чтобы в поле действия приемника не попадали лишние карты.

Насколько вероятность кражи критична? -В этих деталях я не компетентен.

[serso]

Вообще-то не RFID, а NFC. Это несколько другое. "Дальнобойная" антенна тоже плохой помощник, там используется специфическая модуляция.
Считать данные с карты можно, но на карте деньги не хранятся, можете сами осмотреть её. Так что считывание данных ничего не даст, простите за каламбур.
Терминал купить можно тоже, но и он денег не выдает. Его ведь еще надо подключить к процессингу.

А вот процессинговые центры и банки кого попало к карточному процессингу не подключают и не допускают, они несут за это ответственность.

Технически - нужно использовать дальнобойную антенну.

В картах используется стандарт ISO 14443 (RFID). Тот же что и в любой другой бесконтактной карте, или радио-метке.
Стандартно дальность считывания у RFID-ридера составляет 3-10см.


Малое расстояние (3-7см) обусловлено тем, чтобы в поле действия приемника не попадали лишние карты.

Насколько вероятность кражи критична? -В этих деталях я не компетентен.

[alt22]

А вот процессинговые центры и банки кого попало к карточному процессингу не подключают и не допускают, они несут за это ответственность.

Да дело даже не в том, кто несет ответственность (любой ИП может получить терминал).
Как можно терминал поднести к карте, чтобы владелец этого не заметил?

[VSP]

Пройти по вагону метро в час пик

[alt22]

Пройти по вагону метро в час пик

Прикладывая терминал ко всем частям тела каждого пассажира?

[zerokol]

про считывание инфы - это полный бред
там не передается полная информация о карте, передается только хешкоды для идентификации и авторизации.
Все это уникально для каждой транзакции и применить это для другой транзакции невозможно.

[serso]

И я про то же: ну считал (хоть телефоном, хоть ардуиной), а что дальше? Эти биты-байты в деньги не превратятся...
Несколько удивляет другое: функция ориентирована на расчеты с небольшими суммами, а у нас ее в первую очередь делают на картах категории "супер-пупер-бриллиантовые". А nfc-наклейки для расчетов вообще выпускает вроде только один банк.
Вообще-то забавный бывает вид у кассиров, когда приложишь бумажник к экрану, писк - и выползает чек.

про считывание инфы - это полный бред
там не передается полная информация о карте, передается только хешкоды для идентификации и авторизации.
Все это уникально для каждой транзакции и применить это для другой транзакции невозможно.

[unreal_undead]

Включусь в теоретический спор (бесконтактных карт пока не имею).

Прикладывая терминал ко всем частям тела каждого пассажира?

Имея его на уровне пояса и рассчитывая на карты, лежащие в карманах, барсетках и т.п.

ну считал (хоть телефоном, хоть ардуиной)

Понятно, что считывающее устройство должно изобразить из себя платёжный терминал и инициировать перевод денег.

[alt22]

Несколько удивляет другое: функция ориентирована на расчеты с небольшими суммами, а у нас ее в первую очередь делают на картах категории "супер-пупер-бриллиантовые".

В этом как раз ничего странного нет: как правило, карты более высокой категории выбирают не те, кто тратит много за один раз, а те, кто платит часто. В этом есть определенная логика. Во-первых, люди, старающиеся везде и всегда платить картой, более "продвинуты" в этих вопросах и выбирают карты с макмимальным начислением бонусов/миль. Во-вторых, по "бриллиантовым" картам часто дают скидки, и за счет её постоянного использования вполне можно отбить стоимость годового обслуживания.

[alt22]

Имея его на уровне пояса и рассчитывая на карты, лежащие в карманах, барсетках и т.п.

Мне кажется, это была бы какая-то совершенно безумная затея =)
Допустим, я мошенник, у меня есть терминал с сим-картой, я спускаюсь в метро в час пик, пробиваю на терминале 999 рублей, кладу в карман тонкого плаща и начинаю идти по вагону и прижиматься ко всем пассажирам в надежде на удачу =)
Нужно еще учесть, что терминал не будет долго висеть в режиме ожидания транзакции. Да и стабильный интернет в метро далеко не всегда бывает. Так что если за один вечер 1-2 раза мне удача улыбнется, то это можно считать успехом =)
Вот только долго этим все равно заниматься не выйдет, потому что после 5-10 транзакций максимум, я буду вычислен банком и наказан.
Так что все это бред.

[serso]

Терминал "привязывается" к процессингу Весьма Серьезными Средствами, с предьявлением множества бумаг и заключением договоров. То есть понадобится "договориться" с банком и с проц.центром как минимум, без этого терминал бессмысленен. Вот в банке такого "терминатора" и будут ждать. Сами понимаете, на него повесят все подобные дела за пятилетку. Бред, это точно.
А даже если и "провернуть" такое, то 5-10 человек получат смс об операциях с картой, терминал тут же вычисляется, и снова в банке будут ждать его владельца... Проще переквалифицироваться в управдомы.

Мне кажется, это была бы какая-то совершенно безумная затея =)
Допустим, я мошенник, у меня есть терминал с сим-картой, я спускаюсь в метро в час пик, пробиваю на терминале 999 рублей, кладу в карман тонкого плаща и начинаю идти по вагону и прижиматься ко всем пассажирам в надежде на удачу =)

Вот только долго этим все равно заниматься не выйдет, потому что после 5-10 транзакций максимум, я буду вычислен банком и наказан.
Так что все это бред.

[unreal_undead]

Терминал "привязывается" к процессингу Весьма Серьезными Средствами, с предьявлением множества бумаг

Это если легально, а мы рассуждаем о зломышленниках. Понятно, что несанкционированная привязка терминала к счёту должна всячески пресекаться - но вопрос, насколько это протестировано, учитывая, что до появления paypass особого смысла в таком хакерстве не было.

[serso]

Всё немного не так. У терминалов тоже есть своя аутентификация, то есть (в общих чертах) терминал тоже сообщает своему процессингу свой логин-пароль. Получается достаточно сложная многосторонняя зависимость банк-счет-карта-терминал-процессинг-банк, по этой причине считывание данных ничего не дает.

[unreal_undead]

то есть (в общих чертах) терминал тоже сообщает своему процессингу свой логин-пароль

Под "привязкой" я и подразумеваю получение логина/пароля, с помощью которого, подсоединившись к серверу процессинга и "пообщавшись" с картой по NFC можно совершить транзакцию. Насколько сложно получить такой логин/пароль без ведома сотрудников банка и будут ли с этим связываться потенциальные воры с бесконтактных карт - не знаю. В ближайшие время - вряд ли, поскольку эту функциональность

делают на картах категории "супер-пупер-бриллиантовые"

и искать счастливых обладателей в переполненном метро смысла мало.

[Дмитрий всезнайка]

Забота о безопасности должна быть всегда, главное без паранои.

1) Хочешь не вводить пин (мелкая покупка, либо чтобы не светить свой пин в общепите), бери paypass/paywave.
1.1) Хочешь не вводить пин, но параношь, заверни карту в фольгу, положу фольгу в бумажник, купи специальный чехол.
2) Хочешь избежать бесконтактного "воровства" с твоей карты (не важно - денег ли, авторизации, байтов, ..) и тебя устраивает всегда вводить пин, бери карту без этих технологий.

Привожу выдержку с форума

Таким образом, имея RFID-сканер можно сформировать запрос на транзакцию и провести атаку на карту. Безусловно, этих данных недостаточно для создания клона, но ряд фишинговых атак может оказаться вполне успешным.

Между тем, и законодатели, и платежные системы в этом вопросе поддерживают держателя денежных средств. Сумма платежей до 1 000 рублей, оспариваемая владельцем карты возвращается без дополнительного расследования и в кратчайшие сроки. Во многом это связанно с заинтересованностью в развитии микроплатежей и постоянном увеличении денежных оборотов. На это явно указывает и один из самых обсуждаемых принятых законов – 161-ФЗ «О национальной платежной системе». Если ранее при махинациях с банковскими картами свою невиновность приходилось доказывать владельцу скомпрометированной карты, что в российских судах чаще всего ничем хорошим не заканчивалось, то с 1 января 2014г. ситуация кардинально меняется. В соответствие со статьей 9 упомянутого закона банк обязан возместить клиенту сумму операции, совершенной без его согласия, после получения уведомления о несанкционированном переводе денежных средств. И уже только после этого приступать к расследованию инцидента. Современные системы фрод мониторинга тем не менее не дадут злоупотреблять клиентам банков правом постоянно оспаривать операции. Желающих нажиться на ложных обращениях, можно оперативно выявить.

http://habrahabr.ru/company/hostco/blog/188316/

p.s. У самого Райф, все мастеркарды paypass'ы, кредитную visa выпустили простой. Пользуюсь всеми картами. Доволен и не парюсь.

[Дмитрий всезнайка]

По сути, дело не в том, как воспользуются информацией (рискованее отдавать карту официанту, может переписать номер и cvv).
У многих людей - параноя от непонятного - сперва привыкали доверять свой кошелек электронным (неосязаемым) деньгам, пин-коду, теперь же их лишают даже церемонии вводить пин.

И только

про считывание инфы - это полный бред
там не передается полная информация о карте, передается только хешкоды для идентификации и авторизации.
Все это уникально для каждой транзакции и применить это для другой транзакции невозможно.

[serso]

Я тоже пользуюсь и тоже доволен. Очень удобно.

Имея RFID-сканер ничего не сделаешь, все-таки RFID и NFC достаточно разные вещи. Об атаке на кого идет речь в цитате? Атаковать карту бессмысленно. Атаковать процессинговый центр? С "чужого" терминала бессмысленно, со "своего" бессмысленно вдвойне. А система защиты информации при карточных операциях такова, что можно не волноваться. Клон чипованной карты еще никому не удалось создать, во всяком случае информация о таких "успехах" не находится...

Вообще-то эти карты появились не вчера, и что-то никто из владельцев не жалуется на кражи. Да и зачем такие сложности? Вон, в отель при бронировании через инет приходят все (все!!!) данные с карты, в том числе и CVV, но шума на эту тему гораздо-гораздо меньше.

Таким образом, имея RFID-сканер можно сформировать запрос на транзакцию и провести атаку на карту. Безусловно, этих данных недостаточно для создания клона, но ряд фишинговых атак может оказаться вполне успешным.

http://habrahabr.ru/company/hostco/blog/188316/

p.s. У самого Райф, все мастеркарды paypass'ы, кредитную visa выпустили простой. Пользуюсь всеми картами. Доволен и не парюсь.[/quote]

[Сергей Толстый]

Как вы себе это технически представляете? Мошенник с портативным терминалом незаметно в трамвае будет к каждому пассажиру подходить и водить им вдоль всего тела как металлоискателем?

К каждому подходить совершенно необязательно. Достаточно понаблюдать у популярного легального терминала куда конкретно положил карту конкретный человек. Провести незаметное сканирование для опытного карманника не проблема вообще.

[serso]

А что даст сканирование? Что именно даст сканирование?

К каждому подходить совершенно необязательно. Достаточно понаблюдать у популярного легального терминала куда конкретно положил карту конкретный человек. Провести незаметное сканирование для опытного карманника не проблема вообще.

[AndroNsk]

Еще года 3 назад видел или по телеку или на Ютубе передачу по поводу безопасности таких карт. Передача типа смеси Развенчатели мифов и криминальное расследование. В итоге ребята собрали из каких-то подручных средств продающихся свободно читалку для таких карт, упаковали все в сумочку типа барсетка и провели удачный эксперимент - считали какую-то инфу с этой карты. Какую конкретно инфу удалось считать и можно ли было потом использовать эту иныу в криминальных целях уже не помню. Считывали на улице в людных местах и в общественном транспорте, типа невзначай прикасаясь к карманам "потерпевших" своей сумочкой. "Клиентов" высматривали в магазине возле касс. Человек платил за что-то они видели какой картой платит и куда потом карту кладет.
У самого пара таких карт. Очень удобно при расчетах в плане экономии времени. Не парюсь ибо карта кредитная и на ней деньги банка, а не мои. Если будет кража с карты - то это проблемы банка, а не мои. Лимит покупки точно не знаю, думаю долларов 100, не более. Покупки около 80 долл пропускает без пина.
ЗЫ. Телевидение, карта и доллары - канадские.
ЗЫЫ. Имею также права с такой же технологией для проезда в США по земле без паспорта. Права выдали сразу в фольгированном чехольчике для предотвращения кражи персональной информации и сказали носить только в чехле. На погранпереходе права передавал в руки американскому пограничнику. Как он их проверял - не в курсе.

Общий вывод - считать инфу с такой карты можно достаточно легко, имея некоторые знания и подручные средства. Что могут сделать с такой инфой - вопрос открытый. Судя по активности с какой внедряются такие карты - банки риски оценили и считают приемлимыми.
Тем не менее можно и самому озаботится и держать карты ( и уж тем более документы) в фольгированном чехле. Без особой паранойи, что за вами все время следят ))).

[serso]

Вот я и намекаю: прочитать вывеску на здании "Банк" ( сосканировать глазом) и получить в том здании деньги - две разные задачи...

[AndroNsk]

Возможно на основе сканов таких карт можно таки сделать клона карты и потом уже рассчитываться или снимать деньги. Т.е. не проводить "левую" транзакцию с оригинальной картой и "левым" терминалом, как предполагали выше, а именно клонировать карту. Но это будет посложнее чем скопировать и клонировать магнитную полосу.

[zerokol]

клонировать чип и paypass чип точно не получится.

[Login007]

Тему будоражат не то параноики, не то тролли...
Известные доказанные случаи краж через пайпасс есть?
Задача сродни изготовлению точной копии замка по фотографии ключа.

[Medved55555]

По поводу ограничения в 1000 рублей, например у Тинькофф, что Виза PayWave, что Мастеркард PayPass прекрасно проходят бесконтактно с суммами более 3000 в магазинах Перекрёсток и Пятёрочка без подписи и без ввода пина.