Форум Винского

[Дмитрий всезнайка]

Технически - нужно использовать дальнобойную антенну.

В картах используется стандарт ISO 14443 (RFID). Тот же что и в любой другой бесконтактной карте, или радио-метке.
Стандартно дальность считывания у RFID-ридера составляет 3-10см.

На деле дальность чтения зависит от конструкции приемника (антенны), легальная техническая дальность может быть и до 30см.
Большее расстояние используется в промышленных целях - там и антенны намного больше.

Малое расстояние (3-7см) обусловлено тем, чтобы в поле действия приемника не попадали лишние карты.

Насколько вероятность кражи критична? -В этих деталях я не компетентен.

[serso]

Вообще-то не RFID, а NFC. Это несколько другое. "Дальнобойная" антенна тоже плохой помощник, там используется специфическая модуляция.
Считать данные с карты можно, но на карте деньги не хранятся, можете сами осмотреть её. Так что считывание данных ничего не даст, простите за каламбур.
Терминал купить можно тоже, но и он денег не выдает. Его ведь еще надо подключить к процессингу.

А вот процессинговые центры и банки кого попало к карточному процессингу не подключают и не допускают, они несут за это ответственность.

Технически - нужно использовать дальнобойную антенну.

В картах используется стандарт ISO 14443 (RFID). Тот же что и в любой другой бесконтактной карте, или радио-метке.
Стандартно дальность считывания у RFID-ридера составляет 3-10см.


Малое расстояние (3-7см) обусловлено тем, чтобы в поле действия приемника не попадали лишние карты.

Насколько вероятность кражи критична? -В этих деталях я не компетентен.

[alt22]

А вот процессинговые центры и банки кого попало к карточному процессингу не подключают и не допускают, они несут за это ответственность.

Да дело даже не в том, кто несет ответственность (любой ИП может получить терминал).
Как можно терминал поднести к карте, чтобы владелец этого не заметил?

[VSP]

Пройти по вагону метро в час пик

[alt22]

Пройти по вагону метро в час пик

Прикладывая терминал ко всем частям тела каждого пассажира?

[zerokol]

про считывание инфы - это полный бред
там не передается полная информация о карте, передается только хешкоды для идентификации и авторизации.
Все это уникально для каждой транзакции и применить это для другой транзакции невозможно.

[serso]

И я про то же: ну считал (хоть телефоном, хоть ардуиной), а что дальше? Эти биты-байты в деньги не превратятся...
Несколько удивляет другое: функция ориентирована на расчеты с небольшими суммами, а у нас ее в первую очередь делают на картах категории "супер-пупер-бриллиантовые". А nfc-наклейки для расчетов вообще выпускает вроде только один банк.
Вообще-то забавный бывает вид у кассиров, когда приложишь бумажник к экрану, писк - и выползает чек.

про считывание инфы - это полный бред
там не передается полная информация о карте, передается только хешкоды для идентификации и авторизации.
Все это уникально для каждой транзакции и применить это для другой транзакции невозможно.

[unreal_undead]

Включусь в теоретический спор (бесконтактных карт пока не имею).

Прикладывая терминал ко всем частям тела каждого пассажира?

Имея его на уровне пояса и рассчитывая на карты, лежащие в карманах, барсетках и т.п.

ну считал (хоть телефоном, хоть ардуиной)

Понятно, что считывающее устройство должно изобразить из себя платёжный терминал и инициировать перевод денег.

[alt22]

Несколько удивляет другое: функция ориентирована на расчеты с небольшими суммами, а у нас ее в первую очередь делают на картах категории "супер-пупер-бриллиантовые".

В этом как раз ничего странного нет: как правило, карты более высокой категории выбирают не те, кто тратит много за один раз, а те, кто платит часто. В этом есть определенная логика. Во-первых, люди, старающиеся везде и всегда платить картой, более "продвинуты" в этих вопросах и выбирают карты с макмимальным начислением бонусов/миль. Во-вторых, по "бриллиантовым" картам часто дают скидки, и за счет её постоянного использования вполне можно отбить стоимость годового обслуживания.

[alt22]

Имея его на уровне пояса и рассчитывая на карты, лежащие в карманах, барсетках и т.п.

Мне кажется, это была бы какая-то совершенно безумная затея =)
Допустим, я мошенник, у меня есть терминал с сим-картой, я спускаюсь в метро в час пик, пробиваю на терминале 999 рублей, кладу в карман тонкого плаща и начинаю идти по вагону и прижиматься ко всем пассажирам в надежде на удачу =)
Нужно еще учесть, что терминал не будет долго висеть в режиме ожидания транзакции. Да и стабильный интернет в метро далеко не всегда бывает. Так что если за один вечер 1-2 раза мне удача улыбнется, то это можно считать успехом =)
Вот только долго этим все равно заниматься не выйдет, потому что после 5-10 транзакций максимум, я буду вычислен банком и наказан.
Так что все это бред.

[serso]

Терминал "привязывается" к процессингу Весьма Серьезными Средствами, с предьявлением множества бумаг и заключением договоров. То есть понадобится "договориться" с банком и с проц.центром как минимум, без этого терминал бессмысленен. Вот в банке такого "терминатора" и будут ждать. Сами понимаете, на него повесят все подобные дела за пятилетку. Бред, это точно.
А даже если и "провернуть" такое, то 5-10 человек получат смс об операциях с картой, терминал тут же вычисляется, и снова в банке будут ждать его владельца... Проще переквалифицироваться в управдомы.

Мне кажется, это была бы какая-то совершенно безумная затея =)
Допустим, я мошенник, у меня есть терминал с сим-картой, я спускаюсь в метро в час пик, пробиваю на терминале 999 рублей, кладу в карман тонкого плаща и начинаю идти по вагону и прижиматься ко всем пассажирам в надежде на удачу =)

Вот только долго этим все равно заниматься не выйдет, потому что после 5-10 транзакций максимум, я буду вычислен банком и наказан.
Так что все это бред.

[unreal_undead]

Терминал "привязывается" к процессингу Весьма Серьезными Средствами, с предьявлением множества бумаг

Это если легально, а мы рассуждаем о зломышленниках. Понятно, что несанкционированная привязка терминала к счёту должна всячески пресекаться - но вопрос, насколько это протестировано, учитывая, что до появления paypass особого смысла в таком хакерстве не было.

[serso]

Всё немного не так. У терминалов тоже есть своя аутентификация, то есть (в общих чертах) терминал тоже сообщает своему процессингу свой логин-пароль. Получается достаточно сложная многосторонняя зависимость банк-счет-карта-терминал-процессинг-банк, по этой причине считывание данных ничего не дает.

[unreal_undead]

то есть (в общих чертах) терминал тоже сообщает своему процессингу свой логин-пароль

Под "привязкой" я и подразумеваю получение логина/пароля, с помощью которого, подсоединившись к серверу процессинга и "пообщавшись" с картой по NFC можно совершить транзакцию. Насколько сложно получить такой логин/пароль без ведома сотрудников банка и будут ли с этим связываться потенциальные воры с бесконтактных карт - не знаю. В ближайшие время - вряд ли, поскольку эту функциональность

делают на картах категории "супер-пупер-бриллиантовые"

и искать счастливых обладателей в переполненном метро смысла мало.

[Дмитрий всезнайка]

Забота о безопасности должна быть всегда, главное без паранои.

1) Хочешь не вводить пин (мелкая покупка, либо чтобы не светить свой пин в общепите), бери paypass/paywave.
1.1) Хочешь не вводить пин, но параношь, заверни карту в фольгу, положу фольгу в бумажник, купи специальный чехол.
2) Хочешь избежать бесконтактного "воровства" с твоей карты (не важно - денег ли, авторизации, байтов, ..) и тебя устраивает всегда вводить пин, бери карту без этих технологий.

Привожу выдержку с форума

Таким образом, имея RFID-сканер можно сформировать запрос на транзакцию и провести атаку на карту. Безусловно, этих данных недостаточно для создания клона, но ряд фишинговых атак может оказаться вполне успешным.

Между тем, и законодатели, и платежные системы в этом вопросе поддерживают держателя денежных средств. Сумма платежей до 1 000 рублей, оспариваемая владельцем карты возвращается без дополнительного расследования и в кратчайшие сроки. Во многом это связанно с заинтересованностью в развитии микроплатежей и постоянном увеличении денежных оборотов. На это явно указывает и один из самых обсуждаемых принятых законов – 161-ФЗ «О национальной платежной системе». Если ранее при махинациях с банковскими картами свою невиновность приходилось доказывать владельцу скомпрометированной карты, что в российских судах чаще всего ничем хорошим не заканчивалось, то с 1 января 2014г. ситуация кардинально меняется. В соответствие со статьей 9 упомянутого закона банк обязан возместить клиенту сумму операции, совершенной без его согласия, после получения уведомления о несанкционированном переводе денежных средств. И уже только после этого приступать к расследованию инцидента. Современные системы фрод мониторинга тем не менее не дадут злоупотреблять клиентам банков правом постоянно оспаривать операции. Желающих нажиться на ложных обращениях, можно оперативно выявить.

http://habrahabr.ru/company/hostco/blog/188316/

p.s. У самого Райф, все мастеркарды paypass'ы, кредитную visa выпустили простой. Пользуюсь всеми картами. Доволен и не парюсь.

[Дмитрий всезнайка]

По сути, дело не в том, как воспользуются информацией (рискованее отдавать карту официанту, может переписать номер и cvv).
У многих людей - параноя от непонятного - сперва привыкали доверять свой кошелек электронным (неосязаемым) деньгам, пин-коду, теперь же их лишают даже церемонии вводить пин.

И только

про считывание инфы - это полный бред
там не передается полная информация о карте, передается только хешкоды для идентификации и авторизации.
Все это уникально для каждой транзакции и применить это для другой транзакции невозможно.

[serso]

Я тоже пользуюсь и тоже доволен. Очень удобно.

Имея RFID-сканер ничего не сделаешь, все-таки RFID и NFC достаточно разные вещи. Об атаке на кого идет речь в цитате? Атаковать карту бессмысленно. Атаковать процессинговый центр? С "чужого" терминала бессмысленно, со "своего" бессмысленно вдвойне. А система защиты информации при карточных операциях такова, что можно не волноваться. Клон чипованной карты еще никому не удалось создать, во всяком случае информация о таких "успехах" не находится...

Вообще-то эти карты появились не вчера, и что-то никто из владельцев не жалуется на кражи. Да и зачем такие сложности? Вон, в отель при бронировании через инет приходят все (все!!!) данные с карты, в том числе и CVV, но шума на эту тему гораздо-гораздо меньше.

Таким образом, имея RFID-сканер можно сформировать запрос на транзакцию и провести атаку на карту. Безусловно, этих данных недостаточно для создания клона, но ряд фишинговых атак может оказаться вполне успешным.

http://habrahabr.ru/company/hostco/blog/188316/

p.s. У самого Райф, все мастеркарды paypass'ы, кредитную visa выпустили простой. Пользуюсь всеми картами. Доволен и не парюсь.[/quote]

[Сергей Толстый]

Как вы себе это технически представляете? Мошенник с портативным терминалом незаметно в трамвае будет к каждому пассажиру подходить и водить им вдоль всего тела как металлоискателем?

К каждому подходить совершенно необязательно. Достаточно понаблюдать у популярного легального терминала куда конкретно положил карту конкретный человек. Провести незаметное сканирование для опытного карманника не проблема вообще.

[serso]

А что даст сканирование? Что именно даст сканирование?

К каждому подходить совершенно необязательно. Достаточно понаблюдать у популярного легального терминала куда конкретно положил карту конкретный человек. Провести незаметное сканирование для опытного карманника не проблема вообще.

[AndroNsk]

Еще года 3 назад видел или по телеку или на Ютубе передачу по поводу безопасности таких карт. Передача типа смеси Развенчатели мифов и криминальное расследование. В итоге ребята собрали из каких-то подручных средств продающихся свободно читалку для таких карт, упаковали все в сумочку типа барсетка и провели удачный эксперимент - считали какую-то инфу с этой карты. Какую конкретно инфу удалось считать и можно ли было потом использовать эту иныу в криминальных целях уже не помню. Считывали на улице в людных местах и в общественном транспорте, типа невзначай прикасаясь к карманам "потерпевших" своей сумочкой. "Клиентов" высматривали в магазине возле касс. Человек платил за что-то они видели какой картой платит и куда потом карту кладет.
У самого пара таких карт. Очень удобно при расчетах в плане экономии времени. Не парюсь ибо карта кредитная и на ней деньги банка, а не мои. Если будет кража с карты - то это проблемы банка, а не мои. Лимит покупки точно не знаю, думаю долларов 100, не более. Покупки около 80 долл пропускает без пина.
ЗЫ. Телевидение, карта и доллары - канадские.
ЗЫЫ. Имею также права с такой же технологией для проезда в США по земле без паспорта. Права выдали сразу в фольгированном чехольчике для предотвращения кражи персональной информации и сказали носить только в чехле. На погранпереходе права передавал в руки американскому пограничнику. Как он их проверял - не в курсе.

Общий вывод - считать инфу с такой карты можно достаточно легко, имея некоторые знания и подручные средства. Что могут сделать с такой инфой - вопрос открытый. Судя по активности с какой внедряются такие карты - банки риски оценили и считают приемлимыми.
Тем не менее можно и самому озаботится и держать карты ( и уж тем более документы) в фольгированном чехле. Без особой паранойи, что за вами все время следят ))).