РЕКЛАМА

Паранойи пост: отключаем PayPass или PayWave

Бесконтактные технологии PayPass или PayWave на банковских карточках удобны. Прикоснулся к терминалу – и заплатил! Вот только эту фишку быстро просекли мошенники, которые начали банально воровать деньги при помощи мобильных терминалов, благо способов миллион. Можно просто в метро потереться. До определенной суммы пин-код вводить не нужно. Красота!
Короче, появилось целое движение людей, озадаченных безопасностью, которые вынуждены пользоваться бесконтактными карточками помимо своей воли (например, выдали на работе как зарплатную). И вот очумелые речки научились эффективно бороться с беспроводными технологиями.
Шапочка из фольги не нужна. Нужна просто дрель.

Паранойи пост: отключаем PayPass или PayWave


Итак, надо взять карточку и просветить её мощным источником света, например, мощным светодиодным фонариком. На просвет видна обмотка, на фото ниже она отмечена красным. Значит надо её повредить, рассечь. Место повреждения отмечено зеленым овалом, оно должно быть расположено так, чтобы не повредить магнитную ленту. Дальше при помощи дрели аккуратно делаются одно или несколько отверстий (зависит от диаметра сверла). И всё! Беспроводная оплата теперь не работает, пользоваться можно только старым добрым чипом и пин-кодом!

Паранойи пост: отключаем PayPass или PayWave
банковские карточки мошенники
26
8200
2 марта 2018
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
Смотрите также
В Минском метро к PayWave присоединился PayPassВ Минском метро к PayWave присоединился PayPass

Эксперимент в Минском метрополитене с оплатой проезда при помощи бесконтактных банковских карточек Visa с технологией PayWave проходит отлично. Это бы...

Минское метро: оплата проезда карточками будет везде!Минское метро: оплата проезда карточками будет везде!

На всех станциях минского метрополитена к концу июня появятся турникеты с возможность оплаты проезда при помощи бесконтактных банковских карточек Visa...

Бесконтактная оплата в Минском метрополитенеБесконтактная оплата в Минском метрополитене

Эксперимент удался, можно внедрять! Речь идет о турникетах с терминалами бесконтактной оплаты банковскими карточками в Минском метрополитене. С их пом...

В метро без жетона и без проездного!В метро без жетона и без проездного!

Но и не бесплатно. В Минском метрополитене появился первый турникет с возможностью прямой оплаты проезда при помощи бесконтактной банковской платежной...

Загрузка...
Комментарии

gismo_2
2 марта 2018 10:41
Это NFC антенна. И каким интересно способом тырят деньги если это просто двусторонняя система авторизации. Если уж так срака подгорает, то достаточно положить карту в металлический чехол.

Graffy
2 марта 2018 10:57
В Польше достаточно зайти в онлайн банкинг и снять галочку напротив пункта бесконтактные платежи.

Andruhan
2 марта 2018 11:06
Наши люди не ищут легких путей

Fly333379
2 марта 2018 11:17
мда... маразм крепчал....

Mab
2 марта 2018 13:54
Я вообще не понимаю зачем сделали этот бесконтактный способ без пин-кода. Пин-код должен быть обязательно и сумма для пин-кода должна начинаться с 1 копейки. Только так.
Я бы вообще отказался от карт. Нужен только считыватель отпечатков пальцев. У человека есть счет в банке, при оплате он просто касается пальцем считывателя и через пару секунд сумма списывается с его счета. Причем эта система должна быть международной.

Himley1
2 марта 2018 14:05
Цитата: Mab
Я вообще не понимаю зачем сделали этот бесконтактный способ без пин-кода.

А я вообще не понимаю зачем нужны эти карточки и чем они лучше обычного налика. Ну банкам - понятно - выгодно, что все бабло крутится у них. А людям? Сначала завлекали тем, что кошелек с деньгами сопрут, а карточку если и украдут, то пароли-пинкоды не дадут завладеть вашими кровными, но глядя на то, как регулярно "обувают" держателей карточек, я очень сильно сомневаюсь что деньги на карточке в безопасности. А в остальном - карта менее удобна даже по времени расчета в магазине - терпеть не могу, когда передо мной в очереди эти долбонавты со своими карточками пыркаются.

andry_
2 марта 2018 14:16
Цитата: Graffy
но сомневаюсь что деньги на карточке в безопа

Сбербанк категорически не отключает и не уменьшает лимит беспроводных платежей.

Mab
2 марта 2018 14:19
Цитата: Himley1
А в остальном - карта менее удобна даже по времени расчета в магазине - терпеть не могу, когда передо мной в очереди эти долбонавты со своими карточками пыркаются.

А я терпеть не могу когда передо мною какой-нить пенсионер или алкаш 5 минут монетки собирает.

Кстати, вместо просверливания карточки, попробуйте наклеить кусочек фольги.

Himley1
2 марта 2018 14:43
Цитата: Mab
А я терпеть не могу когда передо мною какой-нить пенсионер или алкаш 5 минут монетки собирает.

Так тот же пенс или алконавт те же пять минут будет вспоминать свой пароль и дрожащими руками с третьей попытки пароль вводить. Им что налик, что карточка - хрен редьки не слаще.
Цитата: Mab
вместо просверливания карточки, попробуйте наклеить кусочек фольги.

На лоб или на темечко?

Mab
2 марта 2018 15:02
Цитата: Himley1
На лоб или на темечко?

На головку

dembelvdv
2 марта 2018 15:20
Цитата: Mab
MAB Сегодня, 13:54
Я вообще не понимаю зачем сделали этот бесконтактный способ без пин-кода. Пин-код должен быть обязательно и сумма для пин-кода должна начинаться с 1 копейки. Только так.
Я бы вообще отказался от карт. Нужен только считыватель отпечатков пальцев. У человека есть счет в банке, при оплате он просто касается пальцем считывателя и через пару секунд сумма списывается с его счета. Причем эта система должна быть международной.


Ага, а если ты в опозиции? и правительство стирает твои пальцы из базы. И вот ты уже бомж и никто, это норм?

ЛамповыйКун
2 марта 2018 17:15
ужоснах какжыть?

sanich_1
2 марта 2018 20:29
Не гоните, с безконтактными картами быстрее, до 20руб без пина. Заебет эта мелочь в кашельке!!!

nejhal
2 марта 2018 22:52
Цитата: Graffy
В Польше достаточно зайти в онлайн банкинг и снять галочку напротив пункта бесконтактные платежи.

Вы можете отменить бесконтактные платежи, но карточка не перестанет отдавать свои реквизиты, которых хватает для изготовления карточки с магнитной полосой или для оплаты онлайн в некоторых местах ( эти эксплоиты давно подтверждены, и даже, когда я писал жалобу в 2 банка, которыми я пользуюсь, они не отрицали, что такие векторы атаки возможны, и один из них даже обещал, в порядке исключения выпустить мне карточку без поддержки безконтактных технологий).

Цитата: gismo_2
Это NFC антенна. И каким интересно способом тырят деньги если это просто двусторонняя система авторизации. Если уж так срака подгорает, то достаточно положить карту в металлический чехол.

Второй терминал с доработанной антенной - и когда вы оплачиваете с вас ещё 2 рублей списывают - или что хуже тырят реквизиты карточки, всё кроме cvv/cvc кода будет валидно, но есть места где можно платить онлайн без него + был эксплойт для MasterCard, при помощи которого умудрялись очень быстро подобрать cvv/cvc код, быстрее чем карточку успевал банк заблокировать, а затем успевали вывести деньги с карточки. Кстати, в Европе уже большенство кошельков, чехлов для карт, сумочек, продаются с надписью NFC protected, видимо неспроста, правда это не как не решает проблему которую я описал раньше.

gismo_2
2 марта 2018 23:38
Цитата: nejhal
Второй терминал с доработанной антенной

А зачем дорабатывать антенну? Сам терминал - еще понимаю. Это первое. Второе, еще раз подчеркиваю там все происходит немного иначе чем с магнитной полосой. На магнитной полосе записана самосинхронизирующаяся последовательность в трех дорожках. Первая обычно инфа о владельце (76 знаков), вторая в зависимости от системы какая-то криптография (37 знаков) на третьей может быть дополнительная криптография или какая-то служебная информация кодированная открытым ключом со второй дорожки (104 знака).
Т.е. карта представляет собой открытый ключ в несимметричной криптосистеме и кодированное сообщение.
В то же время смарт-карта (снабжено криптографическим чипом) или беспроводная карта (имеет еще и RFID чип с антенной) представляет собой систему активной авторизации, так как чип вначале авторизует терминал (да, на чипе который питается от маленького конденсатора заряженного антенной происходят криптографические вычисления), а затем авторизуется сама карта уже на терминале. На сколько я знаю, криптография там разная. Поэтому нет никакой возможности получить какую-то информацию, путем бесконтактного считывания, которую потом можно использовать для платежей онлайн, например.
Третье и самое важное. Платежными системами Visa и точно знаю что American Express установлены лимиты в $25 и $100 баксов выше которых этим способом оплатить нельзя. И по крайней мере у Визы есть политика нулевой ответственности держателей карт за какие-либо случаи мошенничества. Т.е. мошенничество будь такое произойдет должно быть скомпенсировано эмиттером. Все. А кошельки с металлическими вставками для параноиков.

nejhal
3 марта 2018 14:34
Цитата: gismo_2
А зачем дорабатывать антенну? Сам терминал - еще понимаю.[/qoute] Доработанная антена(у терминала или дополнительного считывателя, который может быть установлен под прилавком) позволяет увеличить должность считывания карточки до метров и десятков метров.
Цитата: gismo_2

Платежными системами Visa и точно знаю что American Express установлены лимиты в $25 и $100 баксов выше которых этим способом оплатить нельзя.

А как это решает проблему создание клона с магнитной полосой(есть места, где утверждается, что достаточно номера карты и дату окончания чтобы сделать клон)? И как это решает вопрос с оплатой в интернете по перехвачены по nfc реквизитам? Я бы ещё понял бы, если бы юзалась технология visa token, и для nfc записывался токен, который не имеет связи с реальными реквизитами карты, и для которого установлена только 1 возможность - оплата по nfc, любые другие транзакции с этими реквизитами (платежи в интернете или по магнитной полосе) блокировались бы и информация о таких попытках передавалась бы в службы безопасности. Но увы.
quote=gismo_2]
И по крайней мере у Визы есть политика нулевой ответственности держателей карт за какие-либо случаи мошенничества. Т.е. мошенничество будь такое произойдет должно быть скомпенсировано эмиттером.

Помню историю на онлайнере, как люди пытались воспользоваться вашей этой "нулевой ответственностью", так им пришлось с трудом доказывать, что они не были в то время в США, и не покупали на американских сайтах авиабилеты. Вроде смогли, но ну его нафиг такие "нулевые ответственности", уж лучше не компромитировать карту, не пользуясь дырявыми технологиями.

Почитал по уязвимости, нашёл много весёлых вещей -андроид трояны, крадущие данные карточек по nfc, уязвимость карт visa ,которая позволяла обходить лимиты, если осуществлять платёж по nfc не в валюте карточки.

gismo_2
3 марта 2018 17:51
Цитата: nejhal
Помню историю на онлайнере, как люди пытались воспользоваться вашей этой "нулевой ответственностью", так им пришлось с трудом доказывать, что они не были в то время в США, и не покупали на американских сайтах авиабилеты. Вроде смогли, но ну его нафиг такие "нулевые ответственности", уж лучше не компромитировать карту, не пользуясь дырявыми технологиями.

Тут дело уже в банке. Можно в принципе подать жалобу и банк может потерять лицензию на платежную систему.
Цитата: nejhal
Почитал по уязвимости, нашёл много весёлых вещей -андроид трояны, крадущие данные карточек по nfc, уязвимость карт visa ,которая позволяла обходить лимиты, если осуществлять платёж по nfc не в валюте карточки.

Ссылку можно?

западная ведьма
3 марта 2018 18:14
Цитата: gismo_2
Можно в принципе подать жалобу и банк может потерять лицензию на платежную систему.

Гизмо, ты шутишь, чтоли? Наш сбербанк мне однажды списал с карты деньги, тогда у многих списывали. Объяснили, что была какая то уязвимость в сбер-онлайн, на все мои возмущения, что я то тут причем, отправили в полицию, вот пусть их полиция найдет, а они вам деньги вернут. Я даже связываться не стала, 8 тыщ списали. А сейчас блять банк потерял один документ, и я могу свои же деньги через суд блять получить! У них видите л сменилось програмное обеспечение, не все корректно, там фамилии, даты рождения, вот надо доказать, что я это я в суде! Вот зарекалась я не связываться со сбером, но остальные, вроде как, еще ненадежнее((

Vaalon
3 марта 2018 18:37
суровая жизнь

западная ведьма
3 марта 2018 18:41
А, ьак вот, после того случая я отключила сбер онлайн

gismo_2
3 марта 2018 21:53
Как я и говорил, дело в банке.

западная ведьма
3 марта 2018 22:17
gismo_2,
Это дело не в банке, а в твоих собратьях компьютерщиках, которые, вместо того, чтобы создать нормальную программу, сидят всякой фигней маются, уж не буду уточнять какой

Все беды в моей жизни от этих компьютерщиков№ ,щяс вот ноутбук чинить надо, просто страшно(

nejhal
3 марта 2018 22:28
Цитата: gismo_2

Тут дело уже в банке. Можно в принципе подать жалобу и банк может потерять лицензию на платежную систему.

Сомневаюсь, что отберут лицензию на платёжную систему. Вполне возможно, что даже вернут, но гемороя будет не мало в доказывании, что у тебя украли.
Цитата: gismo_2

Цитата: nejhalПочитал по уязвимости, нашёл много весёлых вещей -андроид трояны, крадущие данные карточек по nfc, уязвимость карт visa ,которая позволяла обходить лимиты, если осуществлять платёж по nfc не в валюте карточки.Ссылку можно?

Вот статейка https://www.kaspersky.ru/blog/contactless-payments-security/8608/

gismo_2
3 марта 2018 22:40
Цитата: западная ведьма
Это дело не в банке, а в твоих собратьях компьютерщиках, которые, вместо того, чтобы создать нормальную программу, сидят всякой фигней маются, уж не буду уточнять какой

Все беды в моей жизни от этих компьютерщиков№ ,щяс вот ноутбук чинить надо, просто страшно(

Нет, все беды в твоей жизни от низкого интеллекта. И то что ты по прежнему судя по всему пользуешься вашим сбером - только это подтверждает.

Цитата: nejhal
Сомневаюсь, что отберут лицензию на платёжную систему. Вполне возможно, что даже вернут, но гемороя будет не мало в доказывании, что у тебя украли.

Я уже не знаю как объяснить доступнее. Если банк гомно и плевать хотел на своих клиентов то тут проблема не в платежной системе и не в софте, а в ублюдочности топ менеджмента.
Цитата: nejhal
Вот статейка https://www.kaspersky.ru/blog/contactless-payments-security/8608/

А чем она отличается от того что я сказал? Тем более так совпало почти один в один. Статью вижу впервые.

nejhal
4 марта 2018 15:25
Цитата: gismo_2
А чем она отличается от того что я сказал? Тем более так совпало почти один в один.

Тем, что вы верили в лимиты, а исследователи Ньюкасла показали, как можно снять не 20 фунтов, а хоть миллион евро. Заодно в этой статье замечательная схема реализованная с использованием трояна для андроида, которая при первой же возможности будет считывать данные с карточек, и ретранслировать туда, где будет находиться физический терминал, легально выданный банком. Так вот - эту схему можно усовершенствовать - вместо андроид смартфона использовать считыватель-ретранслятор, который будет выявлять карточки, и при их наличии ретранслировать запросы реально существующего терминала. И таким образом человек, гуляющий в метро или в магазине, может списывать деньги с карточек людей, которые ничего не подозревают, а потом эти люди будут вынуждены доказывать, что они ничего не покупали в Нигерии, Конго или Албании, и что эти день у них украли на самом деле. И это не говоря о том, что есть места, где можно оплатить в интернете с использованием реквизитов карточек, которые можно перехватить при коммуникации карточки и терминала(а у мастеркард, если не исправили уязвимость, то можно ещё оплачивать в инете, там, где требуется cvv/cvc код). ИМХО, лет пять-десять назад, по хорошему нужно было отказаться от многих старых особенностей пластиковых карт таких как магнитная полоса, платежи в интернете со вводом реквизитов карты(да и вообще,любых платежей с использованием реквизитов карты), а платежи в интернете развернуть в обратную сторону - в интернет-магазине не вы вводите реквизиты карты, а вам дают код, который вам нужно ввести в интернет-банкинг/мобильном банкинг и вы там оплачиваете. А насчёт nfc, то лучше бы там были бы реквизиты другой карточки, которые можно было бы отключить(т.е. карточка отвечала бы тем, что нельзя использовать, если человек не хочет себе paypass, paywave).

gismo_2
5 марта 2018 16:36
nejhal,
Я ни во что не верю. Вообще. Особенно в банковский софт. Потому что знаю как он написан.
Я как бэ и просил статью на исследования британских специалистов. Там только написано что можно снять. Это по приведнной на заметку ссылке. Почему? На чем основан вывод, я говорю что нельзя.
Банк очень тщательно следит за тем чтобы по карте без овердравта не было перерасхода средств. Почему он не может отследить транзакцию в другой валюте, что ему мешает? Оффлайн терминал с чего вдруг? Терминал просто отправляет транзакцию а платежная система банка проверяет валидная она или нет и очень быстро пресекает всякие левые. Почему в данном случае должно быть не так? Кстати это как раз и свойственно картам с магнитной полосой. У меня был такой случай, все транзакции отменили.
И вообще это работает не так. Лично мне звонят из банка если не очень уверены в транзакции и просят устно подтвердить что все окей.
Причем даже для платежей в BYN у меня есть премиальная карта платеж по которой я могу оспорить. Ведь деньги не уходят мгновенно. На сколько я знаю чипованные карты без связи с банком вообще не работают.
Короче, не вижу смысла продолжать дискуссию, которая заключается в опровержении каких-то левых фактов и умозаключений.
Лично я не храню все деньги на счете к которому привязана карте. В основном потому что я легко могу забыть бумажник в общественном месте. Скидываю с основного счета столько сколько нужно с помощью приложения на смартфоне.
Чего и вам советую. В любом случае нет повода надевать шапочку из фольги.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.
Понедельник, 24 Сентября
USD 2.0788
EUR 2.4500
RUB 0.0314
БабаЖаба 53 минут назад Мне вот что интересно, где предел? До скольких можно задрать ценник, что бы перестали покупать? Аллергия на бананы 348 минут назад Бмв головного мозга))) theweb 405 минут назад
Цитата: fynjifvjkjltw
А ты пидарасина то же салоед,раз новость была об англичанке-алкоголичке,а ты и подобный тебе сразу переводите стрелки на других,в том числе на русских! Твой усраинский друг не попёздывал бы хрень,то о вашей стране не кто бы и не вспомнил нахер!


все верно, поэтому я так и написал.
и не смотря на то, что на самом деле я хоть и с Минска, но корни у меня украино-русские.

Терпеть не могу когда одни другую страну в любой теме за уши притягивают и поливают помоями. И так уж вышло, что в основном украинцы этой хератней занимаются. Обидно за вас.
theweb 412 минут назад
Цитата: gismo_2
Вовсе не так.

Все, списала тебя бизнесвумен. Выбрала кого посговорчивее.

Был у меня похожий знакомый дятел, текущая держала его при себе, как кошелек, спать с ним не хотела, так он решил новую искать параллельно. Знакомился с барышнями, в особенности за 30, которым чешется - и общался, и фотками нагишом обменивались, и фото сисек присылали и еще других. Названивал им по вечерам - говорит что хочет, но приехать не может. Спрашиваю - зачем дамам голову дуришь - нет ответа. Не знаю говорит.

Вот твоя история мне этого дурня напомнила.
theweb 419 минут назад
Цитата: 26-128
Уволили за фотографию президента

баян
dartwader 512 минут назад Да, она сама упала!)) gismo_2 555 минут назад
Цитата: moshino12
ай, ну вы же общались конкретно. Ты ее подпитывал своей романтикой и "чувствами". Но не хотел выходить из зоны комфорта - поехать к ней. Знаем, проходили. Навешал лапшу и обещал многое. А она, как девушка, эмоционально ориентированная, повелась. Соскочил и сейчас выставляешь плохо.
А ведь были и обещания и все хорошее.

Вовсе не так. Вот только не нужно свой неудачный опыт проецировать. И вообще не хочу мусолить снова эту тему. А то того и гляди опять поругаемся.
moshino12 566 минут назад gismo_2, ай, ну вы же общались конкретно. Ты ее подпитывал своей романтикой и "чувствами". Но не хотел выходить из зоны комфорта - поехать к ней. Знаем, проходили. Навешал лапшу и обещал многое. А она, как девушка, эмоционально ориентированная, повелась. Соскочил и сейчас выставляешь плохо.
А ведь были и обещания и все хорошее.
Новости от партнеров