российские мобильники

[Andry_y]

Сообщение от Tarmanagen Masarakan

Вы ноль.

AR_Favorit, он и Вас посчитал... «Козлёнок, который считал до десяти»

[Godzilla82]

Сообщение от AR_Favorit

А журналистские бредни про отдаваемые картой по NFС реквизиты и списки покупок и комментировать нет смысла - написано идиотами для идиотов. Все, что через радиоинтерфейс возможно - получить данные для одноразового запроса на авторизацию, которую должен подтвердить банк-эмитент.

Как бы вот...

Цитата:

«Сделать терминал, который будет считывать данные карты «из кармана» клиента, теоретически возможно. Но этот терминал должен иметь «на борту» криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Таким образом, мошенничество будет легко обнаружить и расследовать», — рассказал нам руководитель управления поддержки приложений Райффайзенбанка Александр Тараторин.

Цитата:

Но есть и еще одна неприятная возможность. Через NFC можно украсть не «саму транзакцию», а информацию о банковской карте. Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение (например, Banking card reader NFC — можете сами поэкспериментировать со своими картами).

Цитата:

Эксперты «Which?» протестировали десяток разных бесконтактных карт, выпущенных британскими банками. С помощью доступного NFC-ридера и бесплатного ПО им удалось декодировать номер и дату истечения срока действия для всех десяти карт. Казалось бы, беспокоиться рано. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты. К сожалению, многие интернет-магазины в реальности не требуют его для покупки. Что и продемонстрировали эксперты «Which?», успешно заказавшие телевизор за 3 тыс. фунтов в одном из крупных онлайн-ритейлеров.

[AR_Favorit]

Сообщение от Godzilla82

"К сожалению, многие интернет-магазины в реальности не требуют его для покупки."

Вот это абсолютная ерунда.

Журналюшки (для Каспера они давно пишут джинсу) во-первых, по незнанию путают CVV/CVC ("пароли" для операций с присутствием карты - CP - которые присутствуют в авторизационном запросе) с CVV2/CVC2 - четырьмя цифрами, написанными на обратной стороне карты, и нужными для авторизации покупки без присутствия карты (через интернет или по телефону) - CNP.
Разумеется, CVV2/CVC2 "внутри" карты не присутствует, поскольку он там не нужен - при оплате с присутствием карты он не используется, а CVV/CVC, который "внутри" присутствует, в т.ч. на магнитной полосе, для покупок через интернет бесполезен.

Во-вторых, возможность неиспользования CVV2/CVC2 они спутали с 3DS (паролем, который приходит в СМС, выдается криптогенератором или просто берется с листочка одноразовых паролей, выдаваемого с некоторыми картами), требование которого действительно устанавливается продавцом: если не требует - платит чаржбеки по всем транзакциям, заявленным как фрод, но зато может работать с любыми картами, в т.ч. не поддерживающими 3D Secure механизм - амазон, алиэкспресс (не для всех транзакций), аэрофлот - известные примеры.
Если требует - не платит, т.к. транзакции, сделанные с вводом 3D Secure пароля, считаются сделанными владельцем карты.

Требование же CVV2/CVC2 при CNP-транзакциях не в компетенции магазина, а установлено МПС.

А PAN (номер карты), и дата окончания действия, разумеется, передается в запросах в открытом виде, смысл скрывать их, написанные на лицевой стороне карты, отсутствует.

[Godzilla82]

Цитата:

К сожалению, многие интернет-магазины в реальности не требуют его для покупки.

Сообщение от AR_Favorit

Вот это абсолютная ерунда.

Да какая разница. Интернет - не_интернет магазины. Сам был свидетелем (зуб не дам, но всё же), когда при покупке на обычную (не RFID) карту не требовали ПИН-код. И в чеке не расписывались.

Раз вы так уверены - напишите полный номер своей карты (где деньги лежат) в интернете. А потом расскажете, сколько с неё сняли без вашего согласия. Для уверенности - ещё и вознаграждение пообещайте.

В интернете полно статей, в которых описано, как можно получить деньги с карты, зная только её номер (+ ФИО владельца). Возможно, эту лазейку уже закрыли. Спорить не буду. Но и приобретать (весьма вероятно, что горький) опыт распространения номера своей банковской карты кому попало с уверенностью, что списать деньги без CVV/CVV2 кода невозможно, я не собираюсь.

[AR_Favorit]

Сообщение от Godzilla82

Да какая разница. Интернет - не_интернет магазины.

Огромная.
Два разных вида платежа, для одного нужен криптованный обмен с чипом карты, для другого его реквизиты. Все в кучу - только у аудитории РЕН-ТВ и "АиФ"

Сообщение от Godzilla82

Сам был свидетелем (зуб не дам, но всё же), когда при покупке на обычную (не RFID) карту не требовали ПИН-код.

Абсолютно нормальная ситуация. У карт некоторых банков даже сами можете назначить приоритет пина или подписи (включите приоритет подписи - пин запрашиваться не будет, если в терминале не выставлена жесткая настройка "всегда запрашивать пин"), у других на запрос пина жмете красную клавишу на терминале и операция проходит без ввода пина, кассир при этом обязан сличить подпись на чеке с таковой на карте, о чем на чеке в этом случае есть соотв. надпись. У третьих от ввода пина не отвертеться никак.

Сообщение от Godzilla82

И в чеке не расписывались.

Ошибка кассира. В случае чаржбека, который возможен по операциям без ввода пина, отвечать рублем перед работодателем придется именно ему.

Какое отношение всё вышенаписанное имеет к NFC-чипу - ХЗ. Каша в голове? Бывает.

Сообщение от Godzilla82

Раз вы так уверены - напишите полный номер своей карты (где деньги лежат) в интернете. А потом расскажете, сколько с неё сняли без вашего согласия. Для уверенности - ещё и вознаграждение пообещайте.

Полный номер карты (как и "безопасные" последние 4 цифры) светить не стоит в первую очередь из-за методов социальной инженерии. Не надо даже быть очень способным, чтобы выяснить тут мою почту, фио, даже телефон. После чего есть несколько вариантов развода, включая довольно изощренные, а с некоторыми банками - и просто прямая атака путем перевыпуска симки по фальшивой доверенности и входа в ИБ по номеру карты и СМСке, полученной на эту симку.

Поэтому я не выкладываю номер, а не из-за мнения очень недалеких людей, что кто-то "может снять деньги только по номеру карты"

Но с людьми, для которых "где-то в интернете написано" - это аргумент, я далее спорить не собираюсь. Умным достаточно написанного, идиотам, думающим, что кто-то станет тереться об них в метро со считывателем, вместо того, чтоб тупо подсмотреть тот же самый номер на кассе магазина, советую шапочку из фольги. А разумные (еще раз: разумные!) меры предосторожности никто не отменял. А если однажды обнаружите в метро, что о вас трется чем-то твердым какой-то мужик - у меня для вас плохие новости, никак не связанные с картами

[mike-y-k]

AR_Favorit, чехольчики для карточек иногда полезны. Например в бумажнике вместе с транспортной картой и картой доступа сильно меньше ошибок при использовании не вынимая .

Гораздо прибыльнее собирать слипы у банкоматов - там таки несложно восстановить полный номер, имя владельца есть и только CVC подобрать . Осталось придумать схему куда платить и как потом забрать накопленное.

Тема про мобильники исчерпала себя и плавно перетекла на банковские карты… что будет дальше?

[AR_Favorit]

mike-y-k, да я не против самих чехольчиков, ради бога, как та монашка с презервативом и свечкой говорила - "бережёного бог бережет". Все равно для карт какой-то кардхолдер нужен, пусть будет алюминевый))) Но вот что люди обращают внимание на такую желтушную фигню вместо хотя бы минимального изучения вопроса, что в данном случае ну вот реально необходимо, если вообще есть желание картами пользоваться, и ведь не какие-то пожилые домохозяйки, или блондинки с губищами, а технари вроде как - меня просто поражает...

[Godzilla82]

Сообщение от AR_Favorit

люди обращают внимание на такую желтушную фигню... а технари вроде как - меня просто поражает...

Фигня, не фигня. Мошенники изощряются, лишь бы номер карты узнать, срок действия и фио. Для сбербанка - этого было достаточно. А тут NFC чип выдает и номер и срок действия.

Было бы всё так, как вы говорите, не было бы хищений.

P.S. А номерок-то не дали. Этим всё сказано. Отвечать не нужно.

[akegor]

Сообщение от mike-y-k

Тема про мобильники исчерпала себя и плавно перетекла на банковские карты… что будет дальше?

Ну... Раз перетекла, значит - жидкая. А если жидкая, но чего-то кому-то не хватает, можно разбавить спиртиком. Пока выходные не кончились.

[niki59]

Сообщение от akegor

можно разбавить спиртиком.

А как лучше розвести спиртик (чистенький не хочу) и чем?