Отвлекитесь, эмбеддеры! Отвлеченные темы - обсудить проблемы тепловой смерти вселенной, или просто пиво. Этот раздел - для отдыха. |
25.02.2018, 01:47
|
|
Вид на жительство
Регистрация: 12.12.2007
Сообщений: 341
Сказал спасибо: 23
Сказали Спасибо 204 раз(а) в 129 сообщении(ях)
|
Re: российские мобильники
Сообщение от Tarmanagen Masarakan
|
Вы ноль.
|
AR_Favorit, он и Вас посчитал... «Козлёнок, который считал до десяти»
|
|
|
|
25.02.2018, 02:13
|
|
Почётный гражданин KAZUS.RU
Регистрация: 29.10.2006
Сообщений: 1,442
Сказал спасибо: 99
Сказали Спасибо 315 раз(а) в 231 сообщении(ях)
|
Re: российские мобильники
Сообщение от AR_Favorit
|
А журналистские бредни про отдаваемые картой по NFС реквизиты и списки покупок и комментировать нет смысла - написано идиотами для идиотов. Все, что через радиоинтерфейс возможно - получить данные для одноразового запроса на авторизацию, которую должен подтвердить банк-эмитент.
|
Как бы вот...
Цитата:
|
«Сделать терминал, который будет считывать данные карты «из кармана» клиента, теоретически возможно. Но этот терминал должен иметь «на борту» криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером. Таким образом, мошенничество будет легко обнаружить и расследовать», — рассказал нам руководитель управления поддержки приложений Райффайзенбанка Александр Тараторин.
|
Цитата:
|
Но есть и еще одна неприятная возможность. Через NFC можно украсть не «саму транзакцию», а информацию о банковской карте.
Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система). Эти данные можно считать с помощью NFC-смартфона, установив на него вполне легальное приложение (например, Banking card reader NFC — можете сами поэкспериментировать со своими картами).
|
Цитата:
|
Эксперты «Which?» протестировали десяток разных бесконтактных карт, выпущенных британскими банками. С помощью доступного NFC-ридера и бесплатного ПО им удалось декодировать номер и дату истечения срока действия для всех десяти карт.
Казалось бы, беспокоиться рано. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты.
К сожалению, многие интернет-магазины в реальности не требуют его для покупки. Что и продемонстрировали эксперты «Which?», успешно заказавшие телевизор за 3 тыс. фунтов в одном из крупных онлайн-ритейлеров.
|
|
|
|
|
25.02.2018, 03:34
|
|
Почётный гражданин KAZUS.RU
Регистрация: 13.03.2010
Сообщений: 2,897
Сказал спасибо: 498
Сказали Спасибо 3,061 раз(а) в 1,425 сообщении(ях)
|
Re: российские мобильники
Сообщение от Godzilla82
|
"К сожалению, многие интернет-магазины в реальности не требуют его для покупки."
|
Вот это абсолютная ерунда.
Журналюшки (для Каспера они давно пишут джинсу) во-первых, по незнанию путают CVV/CVC ("пароли" для операций с присутствием карты - CP - которые присутствуют в авторизационном запросе) с CVV2/CVC2 - четырьмя цифрами, написанными на обратной стороне карты, и нужными для авторизации покупки без присутствия карты (через интернет или по телефону) - CNP.
Разумеется, CVV2/CVC2 "внутри" карты не присутствует, поскольку он там не нужен - при оплате с присутствием карты он не используется, а CVV/CVC, который "внутри" присутствует, в т.ч. на магнитной полосе, для покупок через интернет бесполезен.
Во-вторых, возможность неиспользования CVV2/CVC2 они спутали с 3DS (паролем, который приходит в СМС, выдается криптогенератором или просто берется с листочка одноразовых паролей, выдаваемого с некоторыми картами), требование которого действительно устанавливается продавцом: если не требует - платит чаржбеки по всем транзакциям, заявленным как фрод, но зато может работать с любыми картами, в т.ч. не поддерживающими 3D Secure механизм - амазон, алиэкспресс (не для всех транзакций), аэрофлот - известные примеры.
Если требует - не платит, т.к. транзакции, сделанные с вводом 3D Secure пароля, считаются сделанными владельцем карты.
Требование же CVV2/CVC2 при CNP-транзакциях не в компетенции магазина, а установлено МПС.
А PAN (номер карты), и дата окончания действия, разумеется, передается в запросах в открытом виде, смысл скрывать их, написанные на лицевой стороне карты, отсутствует.
Последний раз редактировалось AR_Favorit; 25.02.2018 в 03:42.
|
|
|
|
25.02.2018, 05:19
|
|
Почётный гражданин KAZUS.RU
Регистрация: 29.10.2006
Сообщений: 1,442
Сказал спасибо: 99
Сказали Спасибо 315 раз(а) в 231 сообщении(ях)
|
Re: российские мобильники
Цитата:
|
К сожалению, многие интернет-магазины в реальности не требуют его для покупки.
|
Сообщение от AR_Favorit
|
Вот это абсолютная ерунда.
|
Да какая разница. Интернет - не_интернет магазины. Сам был свидетелем (зуб не дам, но всё же), когда при покупке на обычную (не RFID) карту не требовали ПИН-код. И в чеке не расписывались.
Раз вы так уверены - напишите полный номер своей карты (где деньги лежат) в интернете. А потом расскажете, сколько с неё сняли без вашего согласия. Для уверенности - ещё и вознаграждение пообещайте.
В интернете полно статей, в которых описано, как можно получить деньги с карты, зная только её номер (+ ФИО владельца). Возможно, эту лазейку уже закрыли. Спорить не буду. Но и приобретать (весьма вероятно, что горький) опыт распространения номера своей банковской карты кому попало с уверенностью, что списать деньги без CVV/CVV2 кода невозможно, я не собираюсь.
|
|
|
|
25.02.2018, 06:15
|
|
Почётный гражданин KAZUS.RU
Регистрация: 13.03.2010
Сообщений: 2,897
Сказал спасибо: 498
Сказали Спасибо 3,061 раз(а) в 1,425 сообщении(ях)
|
Re: российские мобильники
Сообщение от Godzilla82
|
Да какая разница. Интернет - не_интернет магазины.
|
Огромная.
Два разных вида платежа, для одного нужен криптованный обмен с чипом карты, для другого его реквизиты. Все в кучу - только у аудитории РЕН-ТВ и "АиФ"
Сообщение от Godzilla82
|
Сам был свидетелем (зуб не дам, но всё же), когда при покупке на обычную (не RFID) карту не требовали ПИН-код.
|
Абсолютно нормальная ситуация. У карт некоторых банков даже сами можете назначить приоритет пина или подписи (включите приоритет подписи - пин запрашиваться не будет, если в терминале не выставлена жесткая настройка "всегда запрашивать пин"), у других на запрос пина жмете красную клавишу на терминале и операция проходит без ввода пина, кассир при этом обязан сличить подпись на чеке с таковой на карте, о чем на чеке в этом случае есть соотв. надпись. У третьих от ввода пина не отвертеться никак.
Сообщение от Godzilla82
|
И в чеке не расписывались.
|
Ошибка кассира. В случае чаржбека, который возможен по операциям без ввода пина, отвечать рублем перед работодателем придется именно ему.
Какое отношение всё вышенаписанное имеет к NFC-чипу - ХЗ. Каша в голове? Бывает.
Сообщение от Godzilla82
|
Раз вы так уверены - напишите полный номер своей карты (где деньги лежат) в интернете. А потом расскажете, сколько с неё сняли без вашего согласия. Для уверенности - ещё и вознаграждение пообещайте.
|
Полный номер карты (как и "безопасные" последние 4 цифры) светить не стоит в первую очередь из-за методов социальной инженерии. Не надо даже быть очень способным, чтобы выяснить тут мою почту, фио, даже телефон. После чего есть несколько вариантов развода, включая довольно изощренные, а с некоторыми банками - и просто прямая атака путем перевыпуска симки по фальшивой доверенности и входа в ИБ по номеру карты и СМСке, полученной на эту симку.
Поэтому я не выкладываю номер, а не из-за мнения очень недалеких людей, что кто-то "может снять деньги только по номеру карты"
Но с людьми, для которых "где-то в интернете написано" - это аргумент, я далее спорить не собираюсь. Умным достаточно написанного, идиотам, думающим, что кто-то станет тереться об них в метро со считывателем, вместо того, чтоб тупо подсмотреть тот же самый номер на кассе магазина, советую шапочку из фольги. А разумные (еще раз: разумные!) меры предосторожности никто не отменял. А если однажды обнаружите в метро, что о вас трется чем-то твердым какой-то мужик - у меня для вас плохие новости, никак не связанные с картами
Последний раз редактировалось AR_Favorit; 25.02.2018 в 06:30.
|
|
|
Сказали "Спасибо" AR_Favorit
|
|
|
25.02.2018, 07:14
|
|
Модератор
Регистрация: 04.08.2010
Адрес: Москва СЗАО
Сообщений: 11,247
Сказал спасибо: 11,166
Сказали Спасибо 3,855 раз(а) в 2,926 сообщении(ях)
|
Re: российские мобильники
AR_Favorit, чехольчики для карточек иногда полезны. Например в бумажнике вместе с транспортной картой и картой доступа сильно меньше ошибок при использовании не вынимая ![Прикольно](images/smilies/icon_wink3.gif) .
Гораздо прибыльнее собирать слипы у банкоматов - там таки несложно восстановить полный номер, имя владельца есть и только CVC подобрать ![Прикольно](images/smilies/icon_wink3.gif) . Осталось придумать схему куда платить и как потом забрать накопленное.
Тема про мобильники исчерпала себя и плавно перетекла на банковские карты… что будет дальше?
__________________
rtfm forever должно быть основой для каждого. Альтернатива грустна, поскольку метод слепого щенка успешно работает при весьма малом числе вариантов…
Последний раз редактировалось mike-y-k; 25.02.2018 в 07:25.
|
|
|
Сказали "Спасибо" mike-y-k
|
|
|
25.02.2018, 07:24
|
|
Почётный гражданин KAZUS.RU
Регистрация: 13.03.2010
Сообщений: 2,897
Сказал спасибо: 498
Сказали Спасибо 3,061 раз(а) в 1,425 сообщении(ях)
|
Re: российские мобильники
mike-y-k, да я не против самих чехольчиков, ради бога, как та монашка с презервативом и свечкой говорила - "бережёного бог бережет". Все равно для карт какой-то кардхолдер нужен, пусть будет алюминевый))) Но вот что люди обращают внимание на такую желтушную фигню вместо хотя бы минимального изучения вопроса, что в данном случае ну вот реально необходимо, если вообще есть желание картами пользоваться, и ведь не какие-то пожилые домохозяйки, или блондинки с губищами, а технари вроде как - меня просто поражает...
|
|
|
Сказали "Спасибо" AR_Favorit
|
|
|
25.02.2018, 07:40
|
|
Почётный гражданин KAZUS.RU
Регистрация: 29.10.2006
Сообщений: 1,442
Сказал спасибо: 99
Сказали Спасибо 315 раз(а) в 231 сообщении(ях)
|
Re: российские мобильники
Сообщение от AR_Favorit
|
люди обращают внимание на такую желтушную фигню... а технари вроде как - меня просто поражает...
|
Фигня, не фигня. Мошенники изощряются, лишь бы номер карты узнать, срок действия и фио. Для сбербанка - этого было достаточно. А тут NFC чип выдает и номер и срок действия.
Было бы всё так, как вы говорите, не было бы хищений.
P.S. А номерок-то не дали. Этим всё сказано. Отвечать не нужно.
|
|
|
|
25.02.2018, 11:08
|
|
Гуру портала
Регистрация: 06.05.2005
Адрес: Краснодар, возле укротворного моря.
Сообщений: 18,904
Сказал спасибо: 2,542
Сказали Спасибо 11,816 раз(а) в 5,922 сообщении(ях)
|
Re: российские мобильники
Сообщение от mike-y-k
|
Тема про мобильники исчерпала себя и плавно перетекла на банковские карты… что будет дальше?
|
Ну... Раз перетекла, значит - жидкая. А если жидкая, но чего-то кому-то не хватает, можно разбавить спиртиком. Пока выходные не кончились.
__________________
Не бейте больно, ежели чо, ну не удержался... А вааще,
"Мы за все хорошее, против всей х..., По лугам некошеным чтобы шли ступни,
Чтобы миром правила правда, а не ложь, Мы за все хорошее, нас не на...!
..." (Ленинград)
Я не несу ответственности за свои действия в Вашей голове.
|
|
|
|
25.02.2018, 12:17
|
|
Вид на жительство
Регистрация: 02.04.2010
Адрес: Украина, 2290 км от Лондона
Сообщений: 336
Сказал спасибо: 363
Сказали Спасибо 252 раз(а) в 104 сообщении(ях)
|
Re: российские мобильники
Сообщение от akegor
|
можно разбавить спиртиком.
|
А как лучше розвести спиртик (чистенький не хочу) и чем?
__________________
"Кто не знает, куда направляется, очень удивится, попав не туда"
Марк Твен
|
|
|
|
Ваши права в разделе
|
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения
HTML код Выкл.
|
|
|
Часовой пояс GMT +4, время: 18:57.
|
|