Есть у меня банковская карта Тинькофф Яндекс.Маня, без пинкода, c бесконтактной системой оплаты mastercard paypass. Достал, приложил к терминалу, убрал. Никаких пинкодов вводить не надо — очень удобно.
Лежит эта карта в бумажнике, рядом с проездным на месяц. Лежит давно, год уже — и никаких проблем раньше не наблюдалось, ну разве что валидаторы в автобусах иногда не срабатывали, пока проездной отдельно не приложишь. Однако, с месяц назад, при проходе турникета, внезапно, сработал и проездной и одновремено снялись еще и деньги с карты, в размере одного жетона. Деньги через пару недель сами вернулись на карту, но осадочек-то остался… К слову, для оплаты на сумму до 1000р. (mastercard) и до 2000р. (visa) не нужно не пин-кода, ни подписи, так что тыринг денег мошенниками с бесконтактной карты вполне реален, хотя я про такое пока не слышал…
В общем, понял что нужны экранирующие чехольчики, тем более, что еще две недавно перевыпущенные карты — оказались тоже с paypass. Доехали чехольчики за 20 дней Финской почтой, в конверте с пупыркой. Упакованы незамысловато…
Размер 92х63мм — в отделение для карт в бумажнике влазят с трудом. Сама карточка сидит в чехле из металлизированой пленки — довольно плотно. Вынимается легко и удобно, а вот быстро впихнуть её обратно — тяжеловато. Оптимальный вариант — для оплаты не вытаскивать карту не полностью, тогда всё ОК.
Ну и самое главное — оно работает! Проверил на проездном (там приемный контур мощнее), смартфоном с NFC и турникетом в метро — блокирует связь наглухо.
Планирую купить+50Добавить в избранноеОбзор понравился+49
+95
Ну вообще-то это «Знаки» (2002 г.). И, кстати, «Очень страшное кино» появилось раньше, чем «Футурама. В дикие зеленые дали» (2009 г.). Не помню точно в какой именно части присутствует подобная сцена, но скорее всего в четвертой, а это 2006 г.
Достаточно только украсть и душа разгуляется (пока хозяин не заблокирует), по моему это является существенным недостатком бесконтактных, по сравнению с пиновыми…
Первый раз про такое слышу.но ничуть не удивляюсь.У нас простые телефоны-балалайки запрещено на работу половине города проносить(металлоискателями проверяют.попался-на увольнение чаще всего), а тут ещё и технологии бесконтактной оплаты...)))))))))))
Срабатывает же на расстоянии сантиметров. То есть, надо прижиматься к чужому кошельку. Кроме того, в развитых странах такие транзакции не будут подтверждены держателями кредиток и человек ни фига не получит, если не придумает очень правдоподобное описание платежа.
Простите, а фольгу мазать не пробовали? ;)
Я у себя в бумажник вложил фольгу, в отделение для купюр под замком, т.к. именно там ближе всего внешняя стенка бумажника. Таким образом бумажник оказался экранирован, и карты доставать для оплаты удобно, и тыринга нет. :)
Сильно надо отключить? Отрежьте антенну от чипа, и не будет у вас бесконтактной карты. Вот только зачем? Не существует реальной схемы увода денег с бесконтактных карт.
обычно я не совершаю такие платежи оффлайн… В магазинах я обычно закупаюсь на бОльшую сумму, чем 50 злотых, поэтому лично для меня опция бесполезная. А поскольку она ещё и потенциальная дыра в безопасности — то предпочитаю её превентивно заколотить.
Были подобные мысли, типа что меня можно ограбить, плотно прижавшись)))
Мне нравится пейпас тем, что карту не нужно доставать, читай светить перед кучей камер, например на заправках например, а тут доставать надо.
Кстати, у тинькова можно попросить требовать пинкод всегда. Правда не знаю, работает ли это с пейпасом.
Да, пинкод можно и включить, но без пинкода гораздо удобнее… А вариант «не доставать из бумажника» работает только если одна бесконтактная карта в бумажнике. Две карты рядом — уже блокируют друг-друга…
Не надо вводить в заблуждение «так что тыринг денег мошенниками с бесконтактной карты вполне реален» такое невозможно!
1) Нельзя просто так провести картой и списать деньги за воздух и тем более их потом получить у банка!
2) Никто с собой не будет таскать терминал (которые пока все еще довольно крупные), карту скопировать тоже нельзя
3) Расстояние должно быть минимальное 2-3 см
4) Есть таймаут — нужно время для считывания
5) Как написал автор, есть лимиты 1000-2000 руб
Ну и логично что не стоит прикладывать одновременно более одной карты к терминалу.
Никто не будет ходить с терминалом и прикладывать к чужим карманам) Опросят карту удаленно (я не вижу сложности собрать усилитель с антенной, чтобы дальность с 3 см увеличить до, например, 30), получат номер и одноразовый CVV. Сделают дубликат — и вуаля — копия карты (которая правда будет действовать одну транзакцию) готова.
Дело в том, что этот «одноразовый CVV» формируется на основе случайного числа, передаваемого с терминала на карту. То есть дубликат сработает только в том случае, если терминал случайно сгенерит такое же точно число.
Я читал статью, там один товарищ нашел уязвимость в этом механизме (случайные числа формировались из довольно узкого диапазона) и смог сделать дубликат карты. Но, для этого ему нужно было сканировать карту что-то около 2 или 3 минут, чтобы собрать тысячи вариантов этих «одноразовых CVV» для разных случайных чисел. Насколько я знаю, платежные системы потом выпустили инструкции для банков с рекомендациями, как защититься от этой уязвимости.
Наврал немного — меньше времени ему потребовалось, около минуты, чтобы собрать тысячу дампов.
Вот видео, там в описании к видео есть ссылка на подробную статью. В общем, ситуация достаточно искусственная, в реальной жизни нужно будет сначала найти такую карту, которая подвержена этой уязвимости, потом целую минуту рядом с ней держать ридер. И все это чтобы провести одну транзакцию на небольшую сумму.
Усилитель с антенной… Антенна на карте не только для передачи информации, она еще и для передачи питания чипу. Зависимость передачи энергии от расстояния квадратичная. Т.е. вам надо будет нехилый такой по мощности излучатель с собой таскать.
Всякие кармашки и бумажники с экранированием действительно защищают от случайного срабатывания карты вблизи бесконтактного считывателя — вот, скажем, как у вас при проходе турникета случилось.
А если вы боитесь, что мошенники у вас незаметно украдут деньги с карты в трамвае — то эти опасения напрасны. Для того, чтобы прошла бесконтактная операция, терминал должен содержать в себе всякие ключи и сертификаты, подписанные цифровой подписью платежной системой (Visa, MasterCard). То есть единственная ситуация, при которой возможно несанкционированное снятие денег, это если кассир из магазина возьмет настоящий (выданный банком) мобильный терминал и поедет на нем на трамвае сканировать кошельки пассажиров. Что крайне маловероятно и вообще очень глупо.
То есть единственная ситуация, при которой возможно несанкционированное снятие денег, это если кассир из магазина возьмет настоящий (выданный банком) мобильный терминал и поедет на нем на трамвае сканировать кошельки пассажиров. Что крайне маловероятно и вообще очень глупо.
Ну, например, симкарты операторов тоже должны выдаваться только по паспорту, а юрлица регистрироваться на реальных людей. Однако, на практике всё несколько иначе.
Так и тут, при массовом распространении технологии может зарегистрироваться настоящий магазин на какого-нибудь бомжа, получить терминал, натырить денег и смыться. Ну или что-то в этом роде.
Безопасность лишней не бывает, тем более, что это не требует каких-то серьёзных затрат и не причиняет неудобств.
Вы описали нереалистичную ситуацию. Чтобы получить терминал, надо подписать с банком договор эквайринга. Чтобы подписать договор, надо открыть счет в банке и обеспечить оборот по нему. Чтобы открыть счет, надо зарегить компанию в налоговой и внести уставной.
Далее, считыватели карт привязаны к платежному терминалу. Злоумышленник должен с собой возить терминал и считыватель. Кроме того, надо знать в транспорте, какой конкретно человек имеет карту и в каком именно кармане ее хранит. Если в этом кармане вместе лежат не одна а две карты с пейпассом, они не считаются. Терминал имеет определенный таймаут на проведение операции, длительностью менее минуты. Злоумышленник должен будет постоянно набивать сумму в терминале, через короткие промежутки времени.
Ну и самое главное — списанные с карты деньги злоумышленник не сможет получить в банке моментально. Платеж поступит на счет через несколько дней. За это время вполне можно заметить списание, позвонить в банк и опротестовать платеж.
И да, в России, лимит Визы и Мастеркарт на снятие без пароля — до 500 руб. По крайней мере, по всем моим картам в двух банках.
У меня — точно запрашивает. Замечал неоднократно. Обедаю в кафе, обычно плачу 300-350 руб, пин не запрашивается, в магазине, как только покупаю что-либо рублей на 600-700, просит пин. Если только совсем недавно эту границу подняли с 500 до 1000? Сейчас поднял историю — последний раз платил сумму более 500 и менее 1000, 24 сентября. Пин точно запрашивался.
Зависит от магазина. У меня везде кукуруза телефонная нормально срабатывает без пинкода до 1000, а в одном магазине всегда просит пинкод. Так я туда просто бросил ходить.
Так с обычной чипованной карты деньги украсть вообще нереально, однако сотни случаев ежедневно, начиная от банального развода, заканчивая высокотехнологичными аферами.
Все технические нюансы (радиус действия, задержки и прочее) легко обходятся. Грубо говоря, можно сосканировать 100 карт за минуту, а потом девайс постепенно их проведёт, например, ночью, чтобы не пугать жертв смс-ками.
Я ничего не писал про неосуществимость. Я писал про сложность. И есть разница между тем, чтобы зарегистрировать пустышку на бомжа (а сейчас можно зарегить фирму без счета вообще) и тем, чтобы сделать фирму с реально действующим счетом и привязанным к нему эквайрингом, не находите? Это гораздо бОльшие временные и финансовые затраты.
При этом, прибыль, которую вы получите за несколько часов функционирования фирмы будет минимальна. А через пару часов работы, после звонков рассерженных владельцев карт в банк, ваш счет прикроют.
лимит Визы и Мастеркарт на снятие без пароля — до 500 руб
На самом деле лимиты карточные системы только рекомендуют, но не устанавливают. Лимиты устанавливаются банками, и они могут отличаться от рекомендуемых в обе стороны.
ИЧП на паспорт бомжа, «торговля и услуги», в банке открывается счёт и берётся терминал «для приёма платежей».
Терминалы — как толстый калькулятор. На батарейках и со слотом под симку.
В некоторые периоды некоторые банки выдавали («в аренду») их бесплатно, в ходе «развития пластиковых проектов». Хотя можно и купить, а в банке только его «привязать» — получить смарт-карту с ключами.
Терминал в пакет и в метров в час пик…
Деньги ежедневно со счёта уводить (дистанционно, по «Клиент-Банку»).
Остаётся посчитать эффективность «бизнес-плана» — сколько денег можно списать в день и сколько дней в среднем пройдёт до блокировки терминала/счёта.
Так что теоретически это возможно, но экономически имеет ли смысл — сомневаюсь.
А вот списать «за проезд» с двух карт и не вернуть — запросто, «вы приложили карту к валидатору, вы прошли в транспорт — с вас списалась стоимость проезда», и доказывать что прошёл один, а списалось дважды — задолбаетесь, тем более что спишется с карт разных эмитентов, проще и дешевле будет плюнуть и забыть.
Только вот интересно как банк эквайер выдаст потом списанные таким образом деньги?
Списать за проезд с двух карт так же маловероятно, так как не могут быть проведены две транзакции одновременно. + В ПО валидатора есть таймаут — например, даже, приложив одну карту с минимальным промежутком, спишется только один раз.
Сработает только одна, с которой будет «установлено соединение». Тайм аут будет такой какой установят разработчики системы в зависимости от рассчитанного затраченного времени на прохождение турникета для одного человека. ;)
На терминалах точно не сработает два раза, так как транзакция на покупку только одна.
Я намекаю на то, что террртически возможно списать с нескольких рядом лежащих карт одновременно. Как это будет реализована защита у того или иного эмитента, это уже другой вопрос.
Несколько обманутых владельцев карт получат смс о списании денег и позвонят в банк.
Через несколько часов терминал вычислят, счет заморозят. Бомжа повяжут.
Конец.
Не забывайте, что речь идет о микро-транзакциях. Чтобы получить какой-то выхлоп, надо будет сканировать сотни и тысячи карт в день. Короче, это совершенно нереальный бизнес-план.
Зачем ждать, когда гром грянет, если этот вопрос можно легко закрыть — дешево и сердито?.. Вот найдут хакеры какую-нибудь дыру в процессинговом центре визы или мастеркарда и привет. Тем более, что процессинговый центр мастеркарда нынче и на территории РФ имеется…
Дело ваше.
Я лично предпочитаю карточки носить в кожаном бумажнике, а не в металлическом пакетике, обернутыми в фольгу. :)
Кстати, я был в дата-центре MasterCard под Брюсселем, в самой святая святых, где сотни больших серверов жужжат.
Такой уровень безопасности, как там, я видел только в кино типа «Mission Impossible» :)
Я тоже ношу карты в кожаном бумажнике, но теперь еще и в компактных экранирующих чехольчиках. И вообще, кредитка с лимитом 180 тыр — требует более ответственного подхода…
А я вообще не карту а телефон прикладываю. На андроид телефоне с NFC стоит программа к которой привязана карта мастеркард. В магазине при оплате прикладываю к считывателю не карту, а телефон. Очень удобно, карту даже с собой носить не надо.
У меня рут есть, а карты безконтактной нет.
Но это обычная практика для такого типа приложений — они проверяют наличие рута и отказываются работать в случае положительного ответа.
Теперь понятно зачем в фильме Жмурки Панин носил папку с железом внутри. Совсем не пули он боялся, он боялся что с карты случайно снимут деньги, ведь первые карты были размером с папку =)
А если карту украдут, то смогут зайти в ближайший торговый центр и сделать пару десятков покупок на сумму до 1-2 тр.? я так понимаю лимит только на сумму одной покупки, а количество покупок не ограниченно?
Не забывайте, что многое зависит и от банка, обслуживающего терминал. К примеру, Spar рядом с домом вдруг начал списывать деньги с карты сбера без ввода пин -кода и без запроса подписи, как это обычно бывает а подобных случаях. Вспоминаем также, что на Aliexpress оплата чудесным образом проходит минуя 3D secure. Так что шапочка из фольги нужна совсем не бумажнику :)
Да, ограничения прописываются и на карте и на терминале. Скажем, если терминал допускает транзакции без пина, а карта нет, то терминал будет вынужден затребовать пин.
Вообще платежи по чиповым картам (к которым относятся и бесконтактные) — сложная тема, там сотни всяких параметров и, соответственно, огромное число различных вариантов обслуживания.
В теории да, а на практике банки отслеживают аномальную активность по картам и могут по своей инициативе позвонить владельцу для проверки или даже заблокировать карту…
На дебетовой карте Тинькова вообще PIN коды, похоже, максимально отключены :)
Карта по собственной инициативе PIN не запрашивала ни разу (ни по чипу ни по воздуху), максимальная сумма бесконтактного списания — ~30 т.р.
По инициативе терминала PIN код запрашивался только в 2х местах — макдак и ulmart, причём вне зависимости от суммы.
Не страшно.
Списания без PIN кода без проблем можно оспорить в банке.
Такой вариант намного лучше схемы «ввёл PIN в магазине, его подсмотрели и спёрли карту», т.к. в этом случае оспорить уже не выйдет.
Это Вы моей коллеге расскажите, которая потеряла кредитку, и эту кредитку отоварили в тот же день на 120 тыр. без ввода пина по разным магазинам. Полицаи кидали дело из одно отдела в другой и в итоге закрыли его, не помню с какой формулировкой. По заявлению, прокуратура проверила полицаев и отчиталась, что состава преступления со стороны полицаев нет. Есессно после этого банк сказал, что платить кредит все-таки придется.
Такого быть не может, должны были поднять чеки и сличить подписи!
1) вина владельца что не заблокировал карту
2) вина продавцов что на крупную покупку не запросили документов!
Покупки до 1000-2000р можно делать без подписи и пин-кода… А что до, «не заблокировал» — вот сперли кошелек, куда звонить? Номер-то на самой карте. Ну допустим, через смарфон номер можно найти, но карту просто по звонку не заблокировать — нужно сказать давно забытое кодовое слово, написанное в лежащем где-то в квартире договоре на карту…
Пока сам не столкнешься кажется, что из-за 1000 руб никто не будет картой пользоваться, все зависит от человека к которому карта попала, я один раз расплачивался и забыл вытащить карту из терминала, обнаружил пропажу карты минут через 10, вернулся в магазин кассир мне карту вернула и никто ничего с нее снять или расплатиться не пытался. У другого моего знакомого тоже пропала карта то ли потерял, то ли украли попала она к компании школьников, они применили ее в гипермаркете, покупали товар продукты и всякую мелочь до 1000 руб по очереди, не один и то же человек совершал покупки несколько раз, но оплачивали одной чужой картой, за счет этого сделали несколько покупок за малое время, пока карту заблокировали. И администрация магазина и сбербанк который обслуживает терминалы ответили отказом на запрос пин кода при оплате до 1000 рублей, оставили свободный доступ. Милиция кражей до 1000 рублей не сильно хочет заниматься, даже при наличии видео с камер. По закону кража до 1000 рублей это административное преступление, а не уголовное.
Ну, во-первых, там было несколько покупок, пока лимит не выбрали. Во-вторых, банк должен был прислать СМС, но не прислал. И в третьих, не забывайте в какой стране Вы живете. ;)
Ситуация к сожалению реальная, а не гипотетическаяя.
Credit Europe Bank, они раздавили свои карты для покупок в торговом центре Мега, на карту возвращался процент от покупки. По стечению обстоятельств, карта была потеряна именно там, и отоварили ее в том же торговом центре. Со стороны банка выглядело, что клиент ходит по ТЦ и отоваривается.
Кстати, у меня есть золотая виза от Сбербанка, так я снимал с банкомата и по 80 тыр. за раза. Так никто даже и не вякнул. Но надо отдать им должное, пин вводить приходится всегда и СМС тут же прилетает.
Переходите на ТКС. Улетаешь в др страну, пытаешься снять — СБ банка звонит, пытаешь перевести через инет банк крупную сумму СБ банка звонит, бытаешься несколько раз подряд снять деньги с банкомата СБ звонит
ВТБ24 просто блокирует карту в таких случаях.
Однажды я пришел в отделение и сказал: «я еду в страну Х, пожалуйста не блокируйте мне карту».
Мне ответили, что не могут, это делает автомат и если ему покажется подозрительной транзакция, то блокирует.
благодарю! приобрел шапочки из фольги для себе) тоже тиньков карта на руках не требующая ввода пина _)) хотя в личном кабинете есть возможность включить функцию ввода пин кода)) кстати во вражеской сети макдака при заказе на днях автомат таки потребовал введения пин кода хотя в других магазинах все работает без него тупо считывая с чипа при вставлении карты в терминал) думаю шапочки пригодятся для социальных проездных именных карты что бы юдейские твари паразиты не смогли отследить своими антеннами мои передвижения!!!
локально да отслеживаются) но для меня важно что бы в любой момент времени я мог затерятся в толпе и огородами рассосаться в близлежайшем лесу)) в этом как раз таки и помогут шапочки из фольги) ибо в москвабаде сейчас понаставили следящих антен на каждом столбе и мониторят все твои передвижения по уникальным айдишникам проездных. а так убрал карточку в пакетил волшебный и вуаля не узнали паразиты на какой остановке ты с автобуса спрыгнул и в какой лесополосе в итоге затерялся))
сим карты в сотовом зареганы на бомжа из перехода)) для сотового давно ношу с собой железный герметичный портсигар)) батарея съемная )) если потребуется снимаю батарею и в портсигар)) все никакой слежки гарантированно)
врят ли)) ибо вокруг в транспорте еще мильен человек) а поскольку проездной ты прикладываешь только в начале поездки а затем убираешь его в непроницаемый чехольчик то и сопоставить не получиться) для верности на время поездки и телефон можно убрать в портсигар))
Просто в качестве умственного эксперимента поспорю :)
Телефон как часто достается и прячется? Прячется до того, как подцепился к сотам метро? Можно составить статистику, где аппарат входил в сеть (в метро и после доставания из бункера)?
Если что, на Хабре была статься о том, что для идентификации (не по ФИО, а чтобы отличать от других) любого телефона в Москве достаточно знать менее 10 характерных точек маршрута.
Проверил на проездном (там приемный контур мощнее), смартфоном с NFC и турникетом в метро — блокирует связь наглухо.
Поясните пожалуйста-на смартфон звонок не проходил? Дело в том, что пробовал заворачивать смарт и в фольгу и в пакет от HDD, в «свинцовый домик». Все одно прекрасно идет дозвон.
Не, смарт фольгой не заблокировать — мощности совсем другие и частоты, да еще смарт — активное устройство со своей батареей. А карта — это та же пассивная RFID-метка, без накачки от NFC передатчика она не заработает. Экранирующий чехольчик просто обрубает питание встроеному в карту чипу…
Насчет споров о вводе ПИНа при бесконтактной оплате. Все зависит от настроек терминала, может запросить ПИН может подпись, может учитывать сумму в 1000 р, может нет, вариантов очень много. Сегодня оплачивал покупку 600 р в магазине, бесконтактная оплата и подпись на чеке, при этом по сообщениям москвичей в Икее даже больше 1000 р проходят без всего, так что все зависит от фантазии настройщиков терминала.
потому что питание чипа карты по принципу напоминает работу трансформатора, расположив рядом металлический экран, Вы заблокировали возможность подачи питания на него.
Сейчас в некоторых магазинах моего города отключили защиту пин кодом при оплате картой любого банка. И ничего с этим сделать нельзя, так настроены терминалы магазина. Кассиры даже карту в руки не берут при оплате все делает покупатель. Без проблем можно расплатиться чужой картой до 1000 руб даже не зная кода. Банк в случае если карту украли и расплатились ей деньги не возвращает, можно только пытаться опротестовать операцию по карте и потребовать деньги с магазина в котором была оплата. В общем известно, где можно расплатиться без ввода кода, где нет. Не добросовестные граждане с чужими картами идут в те магазины, где защиты нет. Ответ один если украли карту и расплатились ей обращайтесь в полицию, магазину главное прибыль, безопасность это проблема покупателя. Рассчитывают, что из-за такой суммы 1000 руб люди не будут никуда обращаться. После случая кражи денег с карты конечно начинают задумываться о защите своих средств. Еще хуже когда добрались до кредитной карты и взяли деньги из кредитного лимита, вовремя не вернешь деньги еще штрафы будут.
Буду читать комментарии к этой теме, когда будет скучно на работе.
Теперь пару слов от профессионала (с ЕМV c 2001 года).
1. 999 рублей без Пинкода (и у Visa, и у MasterCard).
2. Дамп бесполезен. Для бесконтактных карт трек (конкретно CVV3 или CVV3 формируется в зависимости от суммы транзакции).
3. Даже если сумма совпала, есть сессионные ключи, которые формируются картой для каждой сессии индивидуально).
И т.д.
Неужели вы думаете, что Visa и МаsterCard настолько глупые, что выпустят дырявые технологии? ;)
А вот у меня другой вопрос.
На карте есть магнитная полоска. Есть ли в современном мире источники излучения, которые могут ее случайно испортить?
Защитит ли сабж от таких источников?
Если я правильно помню физику — то единственный способ защиты от магнитного поля — это проложить максимально магнитящееся вещество, которое само по себе не магнитит, и по возможности не намагничивается. Например феррит, трансформаторное железо, на крайняк — просто холоднокатанное листовое железо. Чем больше толщина — тем больше защита.
Когда я переезжал в другую страну и все свои сбережения перевозил на картах — для меня была важна сохранность моих сбережений, поэтому я сделал такие вот «чехлы»
Вверху — визитница, у которой в «кармашки» через один вложены металлические пластины толщиной 1 мм. Сама пластина — в правом нижнем углу.
В Левом нижнем — отдельный «карман» для основной карты, сшит из кожи с такими же металлическими вставками.
Почему так всё серьёзно? я пересекал таможню в первый раз, хрен его знает как и чем там просвечивают, как влияет рентген и вообще малоли кто чего везёт в сумках — вдруг кто-то неодимовый магнит для отмотки счетчика с собой потащит. Хотелось свести риски к минимуму.
Ну и как постскриптум — с карточками ничего плохого не произошло )
А, и да, отвечая на вопрос.
Стереть\испортить эту магнитную полоску очень легко.
Достаточно провести небольшим неодимовым магнитом по ней или просто положить рядом с картой магнит.
Да и просто, если в карман рубашки\брюк с картой положить вот такую ручку mysku.club/blog/china-stores/35319.html
то скорее всего карту можно будет выбросить.
Я у себя в бумажник вложил фольгу, в отделение для купюр под замком, т.к. именно там ближе всего внешняя стенка бумажника. Таким образом бумажник оказался экранирован, и карты доставать для оплаты удобно, и тыринга нет. :)
Не могу сказать на счет СНГ, но в Польше я на своих карточках полностью отключил данную услугу.
У меня это в настройках безопасности карты.
Мне нравится пейпас тем, что карту не нужно доставать, читай светить перед кучей камер, например на заправках например, а тут доставать надо.
Кстати, у тинькова можно попросить требовать пинкод всегда. Правда не знаю, работает ли это с пейпасом.
1) Нельзя просто так провести картой и списать деньги за воздух и тем более их потом получить у банка!
2) Никто с собой не будет таскать терминал (которые пока все еще довольно крупные), карту скопировать тоже нельзя
3) Расстояние должно быть минимальное 2-3 см
4) Есть таймаут — нужно время для считывания
5) Как написал автор, есть лимиты 1000-2000 руб
Ну и логично что не стоит прикладывать одновременно более одной карты к терминалу.
Я читал статью, там один товарищ нашел уязвимость в этом механизме (случайные числа формировались из довольно узкого диапазона) и смог сделать дубликат карты. Но, для этого ему нужно было сканировать карту что-то около 2 или 3 минут, чтобы собрать тысячи вариантов этих «одноразовых CVV» для разных случайных чисел. Насколько я знаю, платежные системы потом выпустили инструкции для банков с рекомендациями, как защититься от этой уязвимости.
Вот видео, там в описании к видео есть ссылка на подробную статью. В общем, ситуация достаточно искусственная, в реальной жизни нужно будет сначала найти такую карту, которая подвержена этой уязвимости, потом целую минуту рядом с ней держать ридер. И все это чтобы провести одну транзакцию на небольшую сумму.
А если вы боитесь, что мошенники у вас незаметно украдут деньги с карты в трамвае — то эти опасения напрасны. Для того, чтобы прошла бесконтактная операция, терминал должен содержать в себе всякие ключи и сертификаты, подписанные цифровой подписью платежной системой (Visa, MasterCard). То есть единственная ситуация, при которой возможно несанкционированное снятие денег, это если кассир из магазина возьмет настоящий (выданный банком) мобильный терминал и поедет на нем на трамвае сканировать кошельки пассажиров. Что крайне маловероятно и вообще очень глупо.
Так и тут, при массовом распространении технологии может зарегистрироваться настоящий магазин на какого-нибудь бомжа, получить терминал, натырить денег и смыться. Ну или что-то в этом роде.
Безопасность лишней не бывает, тем более, что это не требует каких-то серьёзных затрат и не причиняет неудобств.
Далее, считыватели карт привязаны к платежному терминалу. Злоумышленник должен с собой возить терминал и считыватель. Кроме того, надо знать в транспорте, какой конкретно человек имеет карту и в каком именно кармане ее хранит. Если в этом кармане вместе лежат не одна а две карты с пейпассом, они не считаются. Терминал имеет определенный таймаут на проведение операции, длительностью менее минуты. Злоумышленник должен будет постоянно набивать сумму в терминале, через короткие промежутки времени.
Ну и самое главное — списанные с карты деньги злоумышленник не сможет получить в банке моментально. Платеж поступит на счет через несколько дней. За это время вполне можно заметить списание, позвонить в банк и опротестовать платеж.
И да, в России, лимит Визы и Мастеркарт на снятие без пароля — до 500 руб. По крайней мере, по всем моим картам в двух банках.
Все технические нюансы (радиус действия, задержки и прочее) легко обходятся. Грубо говоря, можно сосканировать 100 карт за минуту, а потом девайс постепенно их проведёт, например, ночью, чтобы не пугать жертв смс-ками.
При этом, прибыль, которую вы получите за несколько часов функционирования фирмы будет минимальна. А через пару часов работы, после звонков рассерженных владельцев карт в банк, ваш счет прикроют.
Терминалы — как толстый калькулятор. На батарейках и со слотом под симку.
В некоторые периоды некоторые банки выдавали («в аренду») их бесплатно, в ходе «развития пластиковых проектов». Хотя можно и купить, а в банке только его «привязать» — получить смарт-карту с ключами.
Терминал в пакет и в метров в час пик…
Деньги ежедневно со счёта уводить (дистанционно, по «Клиент-Банку»).
Остаётся посчитать эффективность «бизнес-плана» — сколько денег можно списать в день и сколько дней в среднем пройдёт до блокировки терминала/счёта.
Так что теоретически это возможно, но экономически имеет ли смысл — сомневаюсь.
А вот списать «за проезд» с двух карт и не вернуть — запросто, «вы приложили карту к валидатору, вы прошли в транспорт — с вас списалась стоимость проезда», и доказывать что прошёл один, а списалось дважды — задолбаетесь, тем более что спишется с карт разных эмитентов, проще и дешевле будет плюнуть и забыть.
Списать за проезд с двух карт так же маловероятно, так как не могут быть проведены две транзакции одновременно. + В ПО валидатора есть таймаут — например, даже, приложив одну карту с минимальным промежутком, спишется только один раз.
На терминалах точно не сработает два раза, так как транзакция на покупку только одна.
Через несколько часов терминал вычислят, счет заморозят. Бомжа повяжут.
Конец.
Не забывайте, что речь идет о микро-транзакциях. Чтобы получить какой-то выхлоп, надо будет сканировать сотни и тысячи карт в день. Короче, это совершенно нереальный бизнес-план.
Я лично предпочитаю карточки носить в кожаном бумажнике, а не в металлическом пакетике, обернутыми в фольгу. :)
Кстати, я был в дата-центре MasterCard под Брюсселем, в самой святая святых, где сотни больших серверов жужжат.
Такой уровень безопасности, как там, я видел только в кино типа «Mission Impossible» :)
не все телефоны с NFC подойдут, нужно чтобы была поддержка SecureElement (в некоторых случая) и/или HCE и android >4.3
Уже примерно год пользуюсь такой возможностью, сначала было весело шокировать кассиров, теперь никого не удивишь.
если я потеряю телефон я заблочу все карты.
Но это обычная практика для такого типа приложений — они проверяют наличие рута и отказываются работать в случае положительного ответа.
Кстати, и в стоке бывает готовый рут.
Про рут в стоке я знаю, но у меня не китаец, а сонька
Вообще платежи по чиповым картам (к которым относятся и бесконтактные) — сложная тема, там сотни всяких параметров и, соответственно, огромное число различных вариантов обслуживания.
Карта по собственной инициативе PIN не запрашивала ни разу (ни по чипу ни по воздуху), максимальная сумма бесконтактного списания — ~30 т.р.
По инициативе терминала PIN код запрашивался только в 2х местах — макдак и ulmart, причём вне зависимости от суммы.
Если сумма бесконтакта больше 1000 руб терминал автоматом запросит PIN
> Если сумма бесконтакта больше 1000 руб терминал автоматом запросит PIN
Это после включения приоритета PIN? Сейчас терминалы никогда не просят PIN.
Списания без PIN кода без проблем можно оспорить в банке.
Такой вариант намного лучше схемы «ввёл PIN в магазине, его подсмотрели и спёрли карту», т.к. в этом случае оспорить уже не выйдет.
1) вина владельца что не заблокировал карту
2) вина продавцов что на крупную покупку не запросили документов!
имхо сильно сомневаюсь в реальности этой ситуации
Ситуация к сожалению реальная, а не гипотетическаяя.
Однажды я пришел в отделение и сказал: «я еду в страну Х, пожалуйста не блокируйте мне карту».
Мне ответили, что не могут, это делает автомат и если ему покажется подозрительной транзакция, то блокирует.
Телефон как часто достается и прячется? Прячется до того, как подцепился к сотам метро? Можно составить статистику, где аппарат входил в сеть (в метро и после доставания из бункера)?
Если что, на Хабре была статься о том, что для идентификации (не по ФИО, а чтобы отличать от других) любого телефона в Москве достаточно знать менее 10 характерных точек маршрута.
stewartstand.com
Теперь пару слов от профессионала (с ЕМV c 2001 года).
1. 999 рублей без Пинкода (и у Visa, и у MasterCard).
2. Дамп бесполезен. Для бесконтактных карт трек (конкретно CVV3 или CVV3 формируется в зависимости от суммы транзакции).
3. Даже если сумма совпала, есть сессионные ключи, которые формируются картой для каждой сессии индивидуально).
И т.д.
Неужели вы думаете, что Visa и МаsterCard настолько глупые, что выпустят дырявые технологии? ;)
На карте есть магнитная полоска. Есть ли в современном мире источники излучения, которые могут ее случайно испортить?
Защитит ли сабж от таких источников?
Когда я переезжал в другую страну и все свои сбережения перевозил на картах — для меня была важна сохранность моих сбережений, поэтому я сделал такие вот «чехлы»
Вверху — визитница, у которой в «кармашки» через один вложены металлические пластины толщиной 1 мм. Сама пластина — в правом нижнем углу.
В Левом нижнем — отдельный «карман» для основной карты, сшит из кожи с такими же металлическими вставками.
Почему так всё серьёзно? я пересекал таможню в первый раз, хрен его знает как и чем там просвечивают, как влияет рентген и вообще малоли кто чего везёт в сумках — вдруг кто-то неодимовый магнит для отмотки счетчика с собой потащит. Хотелось свести риски к минимуму.
Ну и как постскриптум — с карточками ничего плохого не произошло )
А, и да, отвечая на вопрос.
Стереть\испортить эту магнитную полоску очень легко.
Достаточно провести небольшим неодимовым магнитом по ней или просто положить рядом с картой магнит.
Да и просто, если в карман рубашки\брюк с картой положить вот такую ручку
mysku.club/blog/china-stores/35319.html
то скорее всего карту можно будет выбросить.
Сильно заморочился…
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.