Comments 125
UFO just landed and posted this here
На сколько помню, карта это всегда собственность банка, а вы ее так злостно в ацетоне замочили… В любом случае интересно, но что-то маловато информации для такого акта вандализма над чужой собственностью.
Пробовал карточку Яндекс.Денег и PayPass на Аэроэкспрессе. Действительно, удобно!
Только вот не понимаю, как защититься, если просто кто-то в метро ко мне приложит компактный терминал и стащит таким образом сколько-то денег.
Только вот не понимаю, как защититься, если просто кто-то в метро ко мне приложит компактный терминал и стащит таким образом сколько-то денег.
Да, это печальная дыра в технологии. Можно даже не прикладывать — просто усилить сигнал от терминала.
Странно, что не предусмотрели топорный вариант защиты — железный переключатель на карте(а-ля как на дискетах), который нужно перещелкнуть, что бы карта отзывалась на запросы.
Странно, что не предусмотрели топорный вариант защиты — железный переключатель на карте(а-ля как на дискетах), который нужно перещелкнуть, что бы карта отзывалась на запросы.
Это не пафосно и не отвечает новейшим веяниям тач интерфейсов. А у пользователей тут же появились бы вопросы. Раз надо что-то делать, значит это недостаточно безопасно?
Ниже предложил «тач» вариант =)
Кстати о переключателях — раньше на каждой usb-флешке были аппаратные переключатели в режим ReadOnly, а сейчас — фиг найдёшь такую.
Удивительно.
Всегда мечтал о таком переключателе, памятуя о дискетах 3.5", но ни разу не видел такой флэшки. Удивлялся, почему их не делают.
Всегда мечтал о таком переключателе, памятуя о дискетах 3.5", но ни разу не видел такой флэшки. Удивлялся, почему их не делают.
по этому я пользуюсь SD-карточками и просто таскаю к ним карт-ридер :)
А вы в курсе, что залочка там программная? То что вы перевели в положение LOCK — это всего лишь рекомендация не писать на карту.
Если интересно, посмотрите как работает CHDK.
Если интересно, посмотрите как работает CHDK.
На самом деле для карты — да, а дальше все очень сильно зависит от кард-ридера.
Большинство тех, с которыми имел дело — физически не давали записывать.
Т.е. там стоит контакт, замыкание которого зависит от положения локера на карте.
Если он в положении «рид-онли», контроллер кард-ридера вполне себе физически не дает записывать.
Можете почитать спецификации микросхем для кардридеров — там для этого специальный отдельный пин есть.
Большинство тех, с которыми имел дело — физически не давали записывать.
Т.е. там стоит контакт, замыкание которого зависит от положения локера на карте.
Если он в положении «рид-онли», контроллер кард-ридера вполне себе физически не дает записывать.
Можете почитать спецификации микросхем для кардридеров — там для этого специальный отдельный пин есть.
UFO just landed and posted this here
механическая кредитная карта — это сильно.
Изначально карты и были «механическими». Обратите внимание на рельефные символы на карте — это сделано для механического «прокатывания» через копирку на чек. Устройство называется «импринтер».
одну из моих карт даже прокатывали таким устройством.
но мысль переключателя на кредитке поразила мое воображение. мне представился мир после ядерной войны и всякие стимпанковские устройства.
но мысль переключателя на кредитке поразила мое воображение. мне представился мир после ядерной войны и всякие стимпанковские устройства.
Иногда и устройство не нужно, подкладывают карту под бланк в нужном месте и сверху водят колпачком от ручки. Данные карты постепенно проявляются на бланке. чем-то похоже на то, как в детстве переносили изображение монет на бумагу простым карандашом.
всегда думал, что это сделано для людей со слабым зрением
По-моему, такой был в «Один дома 2» и злобный метрдотель прокатывал такой штукой ворованную кредитку главного героя.
У нас такое явно не найти, а вот вне эксСССР в маленьких магазинчиках может и активно использоваться такой «старый» агрегат :)
Или даже более изящно: металлическую площадку, куда нужно палец приложить.
Или просто встраивать крипточип в телефоны. Тогда и получателя платежа будет видно (как здесь), и палец можно будет прикладывать вместо ввода pin кода.
Хорошая идея. Карта активируется если к ней прикасаешься — емкостной датчик.
Для совсем ленивых — отверстие в кошельке под палец — тогда карту не надо будет вытаскивать.
Для совсем ленивых — отверстие в кошельке под палец — тогда карту не надо будет вытаскивать.
Её все равно надо вытаскивать. В кошельке слишком много беспроводных карточек, которые друг с другом конфликтуют, включая проездные на метро, электричку, пропуск на работу, еще одну банковскую карту…
Всё-таки технология для человека, а не человек для технологии.
Разбираться с какой картой работать нужно учить терминал.
Разбираться с какой картой работать нужно учить терминал.
Не так давно, из-за лени, пытался пройти через «вертушку» по карте-пропуску, не доставая ее из сумки, а меня не пускало, оказывается из-за платежных карт. Так я и подумал, какая прелесть замаскировать под контроллер вертушки терминал и собирать бабло с таких как я :)
Там сигнал очень уж быстро падает с расстоянием, даже со 100W передатчиком с метра наверное не прочитать…
Если злоумышленник будет носить 100W передатчик в кармане, то все карты в радиусе будут выглядеть как на второй фотографии. Впрочем, как и яйца окружающих…
P.S.: Если вы говорите про излучаемую, а не потребляемую мощность, конечно :)
P.S.: Если вы говорите про излучаемую, а не потребляемую мощность, конечно :)
Если злоумышленник будет носить 100Вт передатчик в кармане, то его можно будет номинировать на премию Дарвина в следующем году абсолютно легально и честно.
Если злоумышленник будет носить 100W передатчик в кармането он очень скоро перестанет быть злоумышленником, по медицинским показаниям.
Я на себе испытывал около 25 Вт в непрерывном режиме. Припекать начинает через пару минут. Времени на убавление мощности полно. Импульс 100 Вт в течение секунды наверное и вовсе бы не почувствовал.
Можно пользоваться кошельками для смартфонов с поддержкой NFC… без запуска приложения и подтверждения платеж не пройдет )
Оборачивайте карту фольгой :)
А вообще мааксимальное расстояние, на котором может проходить считывание, — 2 сантиметра. Портмоне и одежда создают достаточную преграду. Ну и есть ограничения на сумму бесконтактных платежей без ввода пин-кода.
А вообще мааксимальное расстояние, на котором может проходить считывание, — 2 сантиметра. Портмоне и одежда создают достаточную преграду. Ну и есть ограничения на сумму бесконтактных платежей без ввода пин-кода.
Я раньше думал, что это 1к, но потом оплатил в Карусели продукты на 4,5к через PayPass, правда потребовали подпись, но суть в том, что проблемы получить можно.
оплачиваю покупки в одно касанию в оптовом супермаркете в одно касание, суммы значительно больше 1 тысячи, ни разу не попросили пин
это сильно зависит от политики банка. Т.е. если вас часто просят по подписи оплатить покупку с чиповой картой, то и через PayPass действует такая же схема. Только до 1к р не надо будет расписываться. В моем банке к примеру по подписи вообще не принимают платежи, и так же с Paypass, если сумма больше 1к, то надо вводить пин код.
del
Формально — до 10 сантиметров.
По факту — да, дуальные карты (как в статье) читаются до 2-3 сантиметров. А вот карты попроще, типа Mifare — до 5-8 сантиметров.
Из фольги и скотча делаются отличные пакетики, через которые нормальные ридеры ничего считать не могут. «Тройку» и «биометрический» загран ношу в таких, чего и остальным советую.
По факту — да, дуальные карты (как в статье) читаются до 2-3 сантиметров. А вот карты попроще, типа Mifare — до 5-8 сантиметров.
Из фольги и скотча делаются отличные пакетики, через которые нормальные ридеры ничего считать не могут. «Тройку» и «биометрический» загран ношу в таких, чего и остальным советую.
Было бы логично внедрять подобную защиту производителями непосредственно в кошельки. Карта в кошельке — не достучишься, вытащил — все ок, можно оплачивать.
Уже многие производители подсуетились.
К вам должны «приложиться» со всех сторон и при этом нужно быть в хламину пьяным, чтобы этого не заметить. Насколько я помню радиус действия таких чипов меньше 10 см, поэтому наугад даже с двух-трех попыток у вас вряд ли что-то спишут. На худой конец можно воспользоваться алюминиевой фольгой) Если бы вы знали сколько люди смогли пронести товаров с антиворовскими чипами через всякие пищалки в сумках, у которых изнутри стенки были таким образом экранированы))))
имхо достаточно положить в кошелек две таких карточки.
у меня все карточки с paypass и приходится доставать их из кошелька за каждым разом, потому что когда они вместе — транзакция завершается ошибкой чтения карты.
у меня все карточки с paypass и приходится доставать их из кошелька за каждым разом, потому что когда они вместе — транзакция завершается ошибкой чтения карты.
UFO just landed and posted this here
Насколько помню, без ввода пин-кода можно снять в пределах 1000 рублей. Если начать снимать по тысяче много раз, то карта так же заблокируется. Так что, много снять не получится таким способом как вы описываете.
Пройти по вагону метро в час пик — и пару десятков тысяч можно насобирать. Когда технология станет массовой, разумеется.
Нет, до какой-то суммы(обычно 1000, настройка банка эквайера) не требуется подпись. После — требуется. Но, предположу, что настройки терминала(то есть злоумышленника в данном случае) могут это оверрайдить.
При частых снятиях система безопасности банка блокирует карту. У меня блокировали даже при снятии в одном банкомате в течение небольшого периода времени.
А куда злоумышленник будет переводить снятые деньги? И насколько долго может жить такая схема?
А куда злоумышленник будет переводить снятые деньги? И насколько долго может жить такая схема?
Чтобы это сделать, в руках нужно иметь платежный терминал с боевыми ключами платежной системы (т.е. однозначно принадлежащей банку-эквайеру и зарегистрированный за владельцем) в режиме платежной транзакции. Другим способом получить с карты каждый раз уникальные авторизационные данные в принципе невозможно. В этом и есть суть защиты современных микропроцессорных смарт-карт. Даже если это произойдет, то в 100% случаях выгодоприобретатель определяется однозначно (сами понимаете с какими для него последствиями). Использование контактного или бесконтактного интерфейса вообще не имеет никакого значения.
Если к этому добавить, что в реальной жизни радио-интерфейс бесконтактных карт работает на расстоянии не более 4-5 мм (и для особо пытливых замечу, что увеличивать мощность излучения терминала бесполезно, так как современные смарт-карты имеют защиту по уровню мощности сигнала), то вы можете себе представить насколько эротично будет выглядеть «бесконтактная» процедура считывания в вагоне метро.
Если к этому добавить, что в реальной жизни радио-интерфейс бесконтактных карт работает на расстоянии не более 4-5 мм (и для особо пытливых замечу, что увеличивать мощность излучения терминала бесполезно, так как современные смарт-карты имеют защиту по уровню мощности сигнала), то вы можете себе представить насколько эротично будет выглядеть «бесконтактная» процедура считывания в вагоне метро.
вопрос наверное не в том чтобы терминалом списать с карты деньги в метро, а в том чтобы снять какие-то данные, и уже записав их на «свою» карту попробовать ей расплатиться. Но подозреваю что этот механизм так же не будет работать, наверняка там встроены какие-то защиты
Даже если это произойдет, то в 100% случаях выгодоприобретатель определяется однозначноПри краже средств с кредитки обычными средствами, используя данные магнитной полосы, выгодоприобретатель тоже какбэ однозначно идентифицируется транзакцией. Тем не менее крадут.
С магнитной всё не так, ведь можно скопировать такую карточку и снять деньги в банкомате, без всякой идентификации.
Более близка аналогия с обычной чипованной картой — скопировать нельзя, а снять деньги только авторизовавшись.
Более близка аналогия с обычной чипованной картой — скопировать нельзя, а снять деньги только авторизовавшись.
Скопировав магнитную карту, нельзя снять по ней деньги в банкомате, не зная пин-код этой карты (он не хранится на магнитных дорожках).
Но можно расплатиться там, где где есть оплата по картам, изготовив дубликат из, например, любой другой карты, просто записав данные на магнитную дорожку.
Но, опять же, расписаться могут попросить и/или другие авторизационные процедуры пройти (в т.ч. сверку номера на уске пластика с тем, что записано на магнитной полосе).
Но можно расплатиться там, где где есть оплата по картам, изготовив дубликат из, например, любой другой карты, просто записав данные на магнитную дорожку.
Но, опять же, расписаться могут попросить и/или другие авторизационные процедуры пройти (в т.ч. сверку номера на уске пластика с тем, что записано на магнитной полосе).
Вот! Наконец, разумный комментарий — мало данные с карты прочитать, надо суметь ими воспользоваться, а вот это уже совсем непросто будет.
Можно наладить relay-атаку — один злоумышленник подходит к вам с «терминалом», а другой — с «картой» к настоящему терминалу. Данные между ними транслируются 1 в 1 — и вы оплачиваете покупку, которую выбирает второй злоумышленник.
Боюсь в магазине при попытке оплатить не картой, а какой-то хренью с проводами, вы максимум что приобретете — наряд полиции :)
Хотите сказать, что при попытке оплатить что-то приложением со смартфона будут сразу сажать?
Ну я писал про «хрень с проводами» а не про смартфон. да и смартфоном вам далеко не везде дадут оплатить. нет пока такой практики, а значит вызовет подозрение, что мошенникам не нужно. Ну Японию понятно в расчет не берем, у них платежи с помощью смартфона уже давно.
Компания Google со своим Wallet очень удивлена вашим комментарием. Но что там какой-то ЦРУшный Google, даже компания МТС изумлена.
Вы наверное не внимательно читали, я не сказал, что оплатить смартфоном невозможно.
Я лишь написал, что пока это не распространено.
Ну и конечно компания МТС уже лет 10 как минимум предлагает данную услугу? Да? (искал тэг сарказм, не нашел)
Я лишь написал, что пока это не распространено.
Ну и конечно компания МТС уже лет 10 как минимум предлагает данную услугу? Да? (искал тэг сарказм, не нашел)
Также не забываем про Кошелёк от HTC.
Не хренью, а пластинкой, очень похожей на карту. Например
Провода от неё вполне могут идти в рукав и быть спрятаны в кисти руки, которой держат «карту». Например, если держать так:
Провода от неё вполне могут идти в рукав и быть спрятаны в кисти руки, которой держат «карту». Например, если держать так:
где-то я таки читал про случай когда на терминалы, установленные в магазине банковские работники прошили неуникальные девелоп-ключи. Так что… :)
UFO just landed and posted this here
Как мне объяснили спецы по эл коммерции — такой девайс будет как в том анекдоте про часы с двумя чемоданами…
Ради лимита в 500-1000р — бегать по метро с такой дорогой аппаратурой никто не будет…
Ради лимита в 500-1000р — бегать по метро с такой дорогой аппаратурой никто не будет…
UFO just landed and posted this here
с помощью некоторых программ, работающих с NFC, можно скачать фотографию из биометрического паспорта.
Нет ли ссылок на эти программы?
UFO just landed and posted this here
А всякими такими программами нельзя соединять карту и её муляж через телефон, который в том же кармане лежит?
Интересная мысль. Практически наверняка можно. B и даже ретранслятор написать через инет. Телефон — интернет — другой телефон — карта. И снимай себе невозбранно с чужой карты.
И шутки типа про поднести карту брелок от сигнализации к телефону, а второй телефон к кассовому терминалу машине и позвонить становятся не такими смешными…
Что-то похожее раньше слышал про электронный ключ некоторых дорогих авто. Ключ бесконтактный, с достаточно большим радиусом действия. Требуется два злоумышленника. Один трется об владельца, другой открывает машину.
Эти карты, кстати, читают смартфоны с NFC. Интересно, возможно ли смартфон заставить снять с такой карты бабло? Ну, такой замечательный мобильный платёжный терминал семечками торговать по безналу ;)
А вот как можно «сломать» такую карту? На первый взгляд если не сгибать очень сильно — ничего не отвалится, но моя карта от Тинькова перестала читаться терминалами почти сразу.
На гитхабе был проект под андроид для чтения карт с NFC, но его удалили. Где-то могут быть копии.
Ухты, чисто теоретически, фоткая под поляризованным светом, можно и состояние ячеек снять… то есть ключик с карточки получить…
Всячески везде стараюсь использовать PayPass — очень удобно.
Особенно веселят незнающие кассиршы, они пытаются отобрать у меня карточку, когда ее просто над терминалом держу.
Особенно веселят незнающие кассиршы, они пытаются отобрать у меня карточку, когда ее просто над терминалом держу.
а «Тройку» из нее можно сделать?
Мы вот тут habrahabr.ru/post/217123/#first_unread реализуем read only режим + к этому удаление autorun.inf добавим.
Т.е. заранее можно выставить режим только чтение и пойти на общественные мусорки. Думали над режимом только запись, но это оказалось трудноосуществимо.
Да понимаем, что на кикстартере проект провалился, без рекламы никуда сегодня, но всё равно делаем, по планам получить серийный продукт к августу-сентябрю 2014.
Т.е. заранее можно выставить режим только чтение и пойти на общественные мусорки. Думали над режимом только запись, но это оказалось трудноосуществимо.
Да понимаем, что на кикстартере проект провалился, без рекламы никуда сегодня, но всё равно делаем, по планам получить серийный продукт к августу-сентябрю 2014.
Sign up to leave a comment.
Внутренности карты Яндекс.Денег — MasterCard PayPass