Представитель VISA рассказала о возможности кражи данных карт с помощью мобильного терминала Статьи редакции
По словам исполнительного директора Visa Europe по внедрению новых продуктов Сандры Альцетты (Sandra Alzetta), при помощи мобильного терминала злоумышленники могут украсть некоторые личные данные владельца карты, но не смогут клонировать её для совершения последующих покупок. Об этом она рассказала в ходе совместной с «Лабораторией Касперского» панельной дискуссии на конференции Mobile World Congress в Барселоне.
Если кто-то сумеет как-то завладеть данными вашей карты — а у большинства людей эти данные выдавлены на пластике — с этой информацией не так уж многое можно сделать. Что тут сделаешь, если есть чип и PIN? […]
Иногда мы наблюдали случаи, когда есть возможность завладеть данными вашей карты через POS-терминал. Но с ними ничего не сделаешь.
Как отметил присутствовавший в аудитории блогер Евгений Козлов, существуют сайты, позволяющие оплачивать услуги и покупать товары лишь по номеру карты и сроку действия. Альцетта подтвердила, что такие сайты до сих пор существуют, и компания пытается сделать так, чтобы их было меньше, а магазины переходили на более современные стандарты безопасности.
Как и при любом преступлении, большинство людей — или сайтов — защищены. Но преступники продолжают поиски, и однажды найдут кого-нибудь в тёмном переулке — сайт, который не следует современным стандартам.
О возможном появлении нового способа мошенничества с банковскими картами в начале февраля рассказал сотрудник «Лаборатории Касперского» Олег Горобец. Опрошенные TJ эксперты усомнились в том, что таким образом можно украсть деньги, хотя технологии PayPass и PayWave позволяют проводить транзакции до тысячи рублей в одно касание без необходимости ввода PIN.
О мошенничестве при помощи мобильных терминалов в СМИ говорили и раньше: общий смысл этих дискуссий сводился к тому, что целью злоумышленников являются данные банковских карт — номер и срок действия — поскольку они передаются в незашифрованном виде. Полностью скопировать карту со встроенным чипом таким образом не получится, однако эта информация может быть использована впоследствии для комплексной кражи персональных данных владельца карты.
Вот как не краснея можно двигать технологию позволяющую снимать бабло без подтверждения в то время как тот же самый NFC позволяет сделать систему с подтверждением каждой оплаты нажатием одной кнопки на карте, часах или смартфоне? Это же всё равно что продавать сейфы без замков
Подтверждением в такой ситуации является договор между владельцем терминала и платёжной системой. Ну и сумма ограничена 1000 рублями.
Ну так да, вместо того чтоб бороться с фродом криптографией и подтверждением, платёжные системы всю историю своего существования позволяли и продолжают позволять любому продавцу списать у любого покупателя любую сумму, а с мошенниками борются дополнительной бюрократией и преследованием. Из этого и состоит стоимость обслуживания карты. Берут деньги за то что мошенников будут искать и ловить.
Продавцы сейфов тоже могли бы продавать сейфы без замков намного дороже и потом обеспечивать сейфы охранниками сидящими рядом чтоб никто не взял из открытого сейфа деньги.
Абсурдно звучит? Почему тогда paypass/paywave не вызывает такого же удивления? Когда только технологии NFC оплаты только рекламировались я был абсолютно уверен что они сделают подтверждение оплаты нажатием кнопки. Это же элементарно, удобно и очевидно. И вот обломись, сделали через задницу.
Ещё сюда надо добавить что всякий раз когдато гдето на отдыхе у человека не проходит оплата по карте изза того что банк отклоняет подозрительный платёж. Это потому что visa не сделали подтверждение оплаты.
всё так, бро, всё так
Комментарий недоступен
Поэтому пора забывать карту дома и пользоваться Apple Pay. Там без подтверждения не сольёшь деньги.
Только вот даже если её внедрят в России, то реально "забывать" карту дома будет возможно только лет через n-дцать
Там же вроде тоже снимается произвольная сумма и на экране не показывается сколько магазин запрашивает, они обновили и сделали подтверждение?
Подтверждение было с самого начала.
Touch ID если телефон, если вотч - там все интереснее. Подтверждения как такового нет, но чтобы оплатить, нужно зажать "горячие клавиши", но если снять часы с руки (кража, утеря), то надо вводить пароль.
Короче, явно не опаснее, чем носить с собой карту
Так сумма которую сейчас спишут показывается перед подтверждением на экране или нет? Если нет то это не надёжнее кошелька со вставками из фольги.
Спорную транзакцию всегда можно обжаловать, а сумма списания отображается на терминале NFC. Смысла не вижу обсуждения этого.
Это надежнее кошелька. Украсть телефон можно. Расплатиться - нет. Украсть кошелёк можно. Расплатиться - да.
Если мошенник настолько офигел что готов списать у тебя любую сумму то он заморочится чтоб вывести из строя или подменить выводимые на экран цифры. А за отмену транзакции за этот риск ты и платишь банку. Ты же не думаешь что банк получит от мошенника на другом конце света деньги? Эти риски заложены в прямые и скрыты платежи за пользование картой.
Да пожалуй залоченный айфон надёжнее карты действительно. Но почему не сделать ещё один элементарный шаг и не показать пользователю цифру перед списанием на экране телефона? Это просто какоето раздолбайство со стороны системы платёжной.
Так было бы надежнее, не спорю
Но описанная вами ситуация не похожа на легко осуществимую и/или часто применимую. Если ты настолько глуп, чтобы оплачивать картой в переходе у сомнительного человека с терминалом, то тебе деньги вообще незачем иметь.
А в известном магазине, или любой не сомнительной точке не так уж и опасно пользоваться платёжным терминалом. Если вдруг что и произойдёт то есть судебный иск к самому заведению. Очень маленькая вероятность что такое произойдёт. Разве что кассир подменил терминал? И насколько это реально?
Не хочу развивать эту тему.
А чем ещё оплачивать? Наличные носить на этот случай? Идиотизм же.
И расплачиваться за это будешь даже ты, несмотря на всю свою осторожность. Во первых ты будешь платить за обслуживание как я уже сказал а во вторых будешь постоянно огребать проблемы изза невозможности провести оплату при блокировке подозрительной транзакции банком который знает что у тебя могут списать сколько угодно изза несовершенства платёжной системы.
Слушай, на практике как-то пока за год не столкнулся ни с какими проблемами.
И транзакции проходили, и на мошенников не доводилось попасть. И в разных городах и странах.
С чем ты не сталкивался? Ты за обслуживание карты не платишь? Я сталкивался с отменённой транзакцией несколько раз только, но всё равно неприятно было.
Ну и ещё этот косяк с защитой замедляет проникновение nfc платежей. То что тебе приходится ходить с мелочью в кармане по базару гдето то причина в том что продавцы не хотят обзаводиться терминалами тупо потому что понимают что подозрительные клиенты всё равно не будут платить у них картой.
А ещё если бы платёж всегда подтверждался то не было бы необходимости в дорогих абузоустойчивых терминалах, продавец мог бы просто на смартфон платежи принимать. Ну и за пользование дорогим терминалом тоже платишь ты покупатель, это заложено опять же в стоимость товара который ты берёшь.
Именно, я не плачу за обслуживание карты
Причём ни одной из карт)
Зарплатные чтоли?
Вобщем если зарплатные то платит работодатель, а мог бы платить тебе в зарплате. А если "акция" банка то значит компенсируют из других плюшек которые могли бы тебе предоставлять, возврат какихто там % от покупки на счёт и вот это всё
Нет. Дебетовая Тиньков банка, там при определенных условиях (наличии депозита в банке) нет платы за обслуживание
Есть Chase банк студенческая, там ещё лет пять бесплатное обслуживание будет, хоть уже и не студент год как.
Ну и разные ещё ништяки есть, если поискать
Есть тема, на андройде можно ведь через NFC оплачивать, так вот, приложения есть, в которые ты пишешь, что телефон отправляет NFC терминалу - так исходник кода, который отправлять на сервер банка у меня где-то валялся, получается и карта больше не нужна, а только её номер и пин.
Что? Нужен перевод.
Ну таки похожим образом промышляли некоторое время назад, когда имея на руках данные с магнитных полос карты, можно было ее скопировать и пользоваться.
Наверняка и это найдут, как защитить дополнительно. Пока (если не путаю) в случае использования подобного рода расчетов банки не берут ответственность за проведенные с ее помощью операции. То есть в случае факапа деньги возместят владельцу карты (при хорошем раскладе), но спишут штраф с контрагета, который с подобной системой без дополнительных проверок работает.
А вот что делают в том случае, если изначально таким способом деньги отжимают, я не знаю. Наверное, от банка зависит, вернут что-либо или нет.
Так и есть. Карта не нужна. Так и в Apple Pay. Присутствие карты не нужно. Интернет тоже не нужен на смартфоне. Просто отправляются данные карты по NFC.