Comments 64
Бред какой-то. Мир пей уже 5 лет существует как, а эта технология с qr code прошлый век и ничего общего с ними не имеет
Лучше бы Мир пей допилили. Добавили хранение скидочных карт к примеру.
С мир пей рисков больше, т.к. вендор может полностью заблокировать использование NFC. А наличие альтернативного способа оплаты - это только плюс
На мой взгляд qr коды более современно, чем NFC. Нужна только камера, а сам код можно разместить где угодно.
Но есть другой нюанс. У нас есть и СБП, и просто QR коды, в которых содержится информация о платежке. Теперь будет еще один. Как бы этот винегрет не запутал всех.
Ну рука тоже аналог женщины, но есть некоторые нюансы... )
хм, вешаем над кассой камеру, и списываем все увиденные кр-коды пока их не считал кассир.
звучит как бизнесплан :)
Аналог? Банки, если не ошибаюсь, считают такой способ не совсем оплатой, а переводом между счетами (со всеми вытекающими вроде отсутствия бонусов, кэшбеков и электронных чеков).
А причём тут qr код и тип опрации? Что nfc что qr код тут являются только способом связи терминала магазина и устройства. Настроить обработку и будет и mcc передаваться и всё прилагающееся
Просто полгода назад активно рекламировали оплату в магазинах через qr-код+СБП, но никому это не зашло в том числе из-за того, что работает как перевод.
Но тут ситуация иная, вы правы. Возможно, реализовано будет лучше. Но так или иначе полноценным аналогом apple/google pay не станет, и пластик кажется удобней.
Но у СБП же уже есть оплата по QR-коду - НСПК решили туда же вскочить?
Так-то я не против конкуренции, но не когда она порождает несовместимые стандарты...
Генерацию кодов на телефоне можно осуществлять оффлайн с помощью сида, а вот оплачивать по QR можно только онлайн, потому что нужно подтверждение транзакции через API.
Меня пользовательская часть больше вымораживает. Просто предвижу массу случаев, когда после слов "оплата по куар" и кассир, и покупатель друг другу свои коды предъявят. Или наоборот, оба сканеры приготовят.
Придётся всем учить странные слова "куар эсбэпэ" и "куар мир" и запоминать, кто кому что показывает в том и другом случае.
Неужели это всё проще, чем просто карточку достать? Вот это вот все сгенерировать, отсканировать....
Кто то пользуется сбп для оплаты? Видел в магазине только один раз - кассир была не очень довольна :)
Ну, конечно, кроме случаев типа карту забыл.
Намного проще чем достать карту было нфс, но увы
Недавно в магазине кассир попросил рассчитаться с помощью СБП, потому что у него "план горит". Пока запустил приложение, пока нашёл, где там этот сканер (вру, не нашёл, пришлось спрашивать виртуального Олега). Очень не удобно. Кто и зачем форсит эти QR-коды совершенно непонятно.
По крайней мере на айфоне есть виджет для сканирования qr кода (как на ведре не знаю)
В магазине NFC, конечно, удобнее, а дома я не могу через NFC в онлайне платить. И вот именно в онлайне платить через СБП мне понравилось. Не надо данные карты вводить. А это дважды хорошо. Во-первых, лень их вводить. А во-вторых, нет реквизитов карты - нет возможности карту скомпрометировать.
Как это не можете? Система Google pay автоматически подставляла в браузере данные вашей карты без всяких там сканирований каких-либо кодов, тот же Google pay был интегрирован в NFC, то есть как раз была универсальная система удобная во всех сценариях и быстрее во всех описанных вами сценариях
Частенько на кассах самообслуживания оплачиваю именно по сбп, приложение вполне можно запустить пока товары пробиваешь
С маленьких LCD POS-терминалов - да, дичь та ещё, поэтому про это ничего сказать не могу
Намного проще, что не надо вводить пинкод
В каком месте это аналог Google Pay? Разве у Гугла когда-нибудь была оплата QR-кодом? А NFC-мирпэй давно был.
Это аналог китайского AliPay (2004 год, между прочим), или португальского MBWay (2015 год), т.е. тех времён, когда NFC в телефоне либо не было, либо был только во флагманах и т.п.
Прорыв...
P.S. О, оказывается у Гугла есть эта фишка, только не во всех регионах, но например в Сингапуре есть. Что, впрочем, не отменяет того, что технология древняя, и нужна только для совсем дешёвых смартфонов.
Как же бесит. Где грязные технические подробности. Как это работает вообще? Я так понимаю, это должно работать и офлайн? По крайней мере для телефона покупателя. QR-коды должны иметь какую-то защиту от копирования. Если офлайн, то видимо короткоживущие и основаны на времени. Типа TOTP в виде QR. Так как QR ни как не связан с текущей транзакцией, то немного смущает возможность перехватить код и использовать в другой транзакции раньше, чем его считает продавец. Если выше некоторой суммы нужно вводить пин-код, то проблема не страшнее возможности считать карточку с NFC на расстоянии. Всё самому приходится додумывать.
Камера под потолком быстрее считает код, чем сканер кассира
Допустим, и что? Я же описал этот сценарий.
И тут же оплачивает другой заказ. Просто тупо телевизор от этой камеры держать перед терминалом, ожидающим оплаты
Я же говорю, эта ситуация в принципе похожа на возможность прочитать банковскую карту с NFC на расстоянии. Если после некоторой суммы нужно вводить пин-код, то одной транзакцией много не украсть, но при этом надо заморочиться процедурой получения терминала. Таким образом игра не стоит свеч.
Сама возможность гораздо проще в реализации, чем чтение NFC
С NFC сложно реализовать атаку с проксированием, но можно легко взять терминал и считать карту в кармане человека. Таких атак все боятся. QR-код наоборот безопаснее в этом месте. Но по сути не важно, так как защита одинаковая - ограничение суммы без второго фактора и сложность получения терминала для проведения операций.
От атаки нфц легко защититься расстоянием, экранированием и т.п.
Нет проблемы передать куаркод на соседнюю кассу в том же супермаркете. Есть камера, изображение с неё передаётся на смартфон, который держат возле терминала. Все. Для этого не надо быть сотрудником магазина и т.п. Достаточно камеры с выводом изображения на смартфон.
Это всё равно достаточно сложная атака, чтобы украсть меньше 1000 рублей за раз (ну или какой там лимит до ввода пина). Нужно два человека и синхронизировать события на кассах. Причём злоумышленники получат на двоих эту тыщу ещё и не в виде денег, а в виде товара сомнительной ликвидности.
В том-то и дело, что синхронизировать события на кассах легко. Набираем за неиспользуемой кассой товара на 999 рублей (каких-нибудь неименных подарочных карт) и ждем. Фактически, светить QR кодом на телефоне, это тоже самое, что светить PAN и CVC2/CVV2
и ждем
Вообще не подозрительно. А в это время партнёр должен неподозрительно снять код с экрана чужого смартфона. И надо чтобы кассир на кассе злоумышленника не протупил. Хотя, с кассой самообслуживания это проще. Не так подозрительно. И можно закрепить камеру на другой кассе, тогда не нужен подозрительный партнёр. Но всё равно профит сомнительный при высоких рисках.
тоже самое, что светить PAN и CVC2/CVV2
Которые тоже написаны на карте в открытом виде. Да ещё и не меняются. Ок, не на всех картах, и можно скрыть, и можно не платить физической картой.
А в чем риск? У нас разве есть наказание за мошенничество?
А разве нет? УК РФ Статья 159. Мошенничество. Плюс могут добавиться "компьютерные" статьи 272, 273.
Я не знаю об успешных кейсах. Обычно в полиции просто смеются над заявителями по этим статьям
А о каких кейсах речь? Кардинг? Честно говоря, я не знаю как карают кадеров и охотятся ли за ними. А то что мы обсуждаем пока сложно осуществимо, может быть когда выкатят этот вариант такое действительно будет, там и посмотрим. Из моего опыта, который можно сюда натянуть, было такое, что я забыл карту в банкомате, кто-то её прикарманил и купил что-то в магазине на примерно тысячу рублей. Я написал заявление в полицию, и это ни к чему не привело. Хотя известен магазин и время, там камеры есть, а время такое, что покупателей не могло быть много. Но полиции явно не интересно охотится за таким "мошенником" из-за ущерба в тысячу рублей. И мне не интересно настаивать и кататься на другой конец Москвы, куда дело было передано - по месту совершения этого страшного преступления.
Код на покупку должен демонстрироваться на платежном терминале, а не код с данными карты на телефоне.
Так сделано, чтобы ускорить процесс оплаты, и чтобы не нужен был интернет на телефоне. Потому что если считывать код телефоном, то придётся выполнять проверку через сеть, а сложно гарантировать качественное соединение у всех покупателей везде. Но по такому принципу работает СБП, если очень хочется.
Вот у Вкусвилла основным способом активации программы лояльности является сканирование кода на кассе приложением в телефоне. И если с сетью беда, то нихрена не работает. Они даже сделали костыль, когда приложение определяет, что связь плохая и предлагает подключиться к wifi-сети магазина. Это, впрочем, тоже работает плохо.
Оплату можно сдедать оффлайн, зашив ключи в телефон. Можно сделать связь через блютус, можно через микрофон, можно через мерцание экрана морзянкой или семафорной азбукой. У вас же карта не имеет доступа в интернет, и ничего, оплачивает
А можно просто генерировать код на экране и тогда всё это не нужно. Не нужно ничего кроме экрана.
я все равно не понимаю что помешает мошеннику сфотографировать ваш кр-код в процессе, когда вы его показываете кассиру, и провести оплату на свой счет?
особенно если они с кассиром в сговоре и тот немного притормозит сканирование.
и конечно все это офлайн.
и если оно работает оффлайн, то нельзя ли платить в нескольких магазинах одним кодом? в случае если в торговом центре например интернет вырубился?
Мы там веткой выше это обсуждаем. Я предполагаю (об этом не написано в релизе), что оплата в терминах оплаты картой таки онлайновая. Офлайново генерируется только код у покупателя, но на кассе он проверяется онлайн. И сам код короткоживущий (тоже предположение). В таком случае можно провести оплату по нему в другом месте, но только один раз и быстро.
В России начали внедрять аналог Apple Pay и Google Pay для карт «Мир»