Технология PayPass. Проездные на количество поездок.

Aleksey Matyuk написал(а) к Anton Barabanov в Jan 18 16:47:43 по местному времени:

Нello, Anton Barabanov.
On 05.01.18 13:46 you wrote:

AB> Ещё раньше билет можно было на Тройку записать. Сейчас, увы,
AB> нельзя. Вот это реально удобно было - достал телефон, приложил
AB> карту и купил билет. В результате на станции сразу садишься в
AB> поезд, а про кассы не вспоминаешь.


А сейчас нельзя записать проездной на тройку "на количество поездок", или вообще никакой проездной, даже абонемент на месяц?


--
WBR, Aleksey Matyuk. E-mail: soft-cat@mail.ru
--- Нotdoged/2.12/Android

Alex Brilakov написал(а) к Alexey Vissarionov в Jan 18 16:46:32 по местному времени:

Привет, Alexey!

Ответ на сообщение Alexey Vissarionov (2:5020/545) к Aleksandr Volosnikov, написанное 06 янв 18 в 13:32:

AV> возникает серьезная проблема с выводом добытых денег: наличные в
AV> безнал превращаются быстро и просто, а обратно шиш.
Не, не "шиш", но вывести анонимно сложно...

С уважением - Alex
--- GoldED+/W32-MINGW 1.1.5-b20120519 (Kubik 3.0)

Aleksey Matyuk написал(а) к Aleksandr Volosnikov в Jan 18 16:53:37 по местному времени:

Нello, Aleksandr Volosnikov.
On 05.01.18 20:49 you wrote:

AM>> Очень удобно, что какое-то вpемя назад в автоматах на
AM>> ЖД-станциях Москвы и области сделали пpодажу билетов по
AM>> PayPass. В итоге билет на электpичку можно купить, безопасно
AM>> оплатив его каpтой (не суя каpту в автомат, а лишь пpиложив её)
AV> Увы, сама технология MasterCard Contactless (бывшая PayPass)
AV> уязвима, т.к. допускает пpоведение тpанзакций без ведома деpжателя
AV> каpты. Поэтому от употpебления слова "безопасно" в таком контексте
AV> я бы поостеpегся.


Ты прав: если, допустим, я еду в переполненном автобусе, то прислонив терминал оплаты к моей сумке (где лежит карта) - можно украсть у меня определенную сумму денег (до 1000р за одну транзакцию).

Это, конечно же, очень плохо, и нужно носить карту PayPass в специальном кейсе.

Но слово "безопасно" я употребил в другом значении: что карту я не вставляю в автомат продажи билетов, и он не может её "сожрать", так как такие случаи уже были.





--
WBR, Aleksey Matyuk. E-mail: soft-cat@mail.ru
--- Нotdoged/2.12/Android

Aleksey Matyuk написал(а) к Alexey Vissarionov в Jan 18 17:06:18 по местному времени:

Нello, Alexey Vissarionov.
On 06.01.18 13:32 you wrote:

AV> Даже если это "лицо, ограбленное хулиганами" не потрудилось
AV> заранее выставить лимиты расхода по бесконтактным платежам (не
AV> более килорубля за раз, не более двух килорублей в сутки),
AV> оспорить такую транзакцию не просто легко, а очень легко. А у
AV> злодея при этом, наоборот, возникает серьезная проблема с выводом
AV> добытых денег: наличные в безнал превращаются быстро и просто, а
AV> обратно шиш.

Каким образом оспорить данную транзакцию?

Путём написания заявления в банк?..


--
WBR, Aleksey Matyuk. E-mail: soft-cat@mail.ru
--- Нotdoged/2.12/Android

Anton Barabanov написал(а) к Aleksey Matyuk в Jan 18 17:58:52 по местному времени:

Приветствую, Aleksey! Как ваше и-го-го?

06 Янв 18 года, в 16:47, Aleksey Matyuk (2:5020/101.5) -> Anton Barabanov:

AB>> Ещё раньше билет можно было на Тройку записать. Сейчас, увы,
AB>> нельзя. Вот это реально удобно было - достал телефон, приложил
AB>> карту и купил билет. В результате на станции сразу садишься в
AB>> поезд, а про кассы не вспоминаешь.


AM> А сейчас нельзя записать проездной на тройку "на количество поездок", или
AM> вообще никакой проездной, даже абонемент на месяц?

Вообще раздел электричек пропал из приложения.


Пока.
Anton.

... На старте ракета упала в болото: какая зарплата - такая работа.
--- И. В. Сталин: Если наши враги нас ругают, значит мы всё делаем правильно!

Anton Barabanov написал(а) к Aleksey Matyuk в Jan 18 18:00:50 по местному времени:

Приветствую, Aleksey! Как ваше и-го-го?

06 Янв 18 года, в 16:53, Aleksey Matyuk (2:5020/101.5) -> Aleksandr Volosnikov:

AM> Ты прав: если, допустим, я еду в переполненном автобусе, то прислонив
AM> терминал оплаты к моей сумке (где лежит карта) - можно украсть у меня
AM> определенную сумму денег (до 1000р за одну транзакцию).

Можно заблокировать эту сумму. Потом ты пишешь опротестование транзакции и
блокировку снимают. А подобному "шутнику" рога обратной стороной вкручивают.
Термианал ведь не на рынке продаётся, а в банке по договору с паспортом и ещё
кучей бумаг.

AM> Это, конечно же, очень плохо, и нужно носить карту PayPass в
AM> специальном
AM> кейсе.

Лучше пользоваться android pay - с выключенным экраном никакой оплаты и
реальные данные карты не передаются.

AM> Но слово "безопасно" я употребил в другом значении: что карту я не
AM> вставляю
AM> в автомат продажи билетов, и он не может её "сожрать", так как такие
AM> случаи
AM> уже были.

Ещё и быстрее и пин меньше светишь.

Пока.
Anton.

... На старте ракета упала в болото: какая зарплата - такая работа.
--- И. В. Сталин: Если наши враги нас ругают, значит мы всё делаем правильно!

Anton Barabanov написал(а) к Aleksey Matyuk в Jan 18 18:05:42 по местному времени:

Приветствую, Aleksey! Как ваше и-го-го?

06 Янв 18 года, в 17:06, Aleksey Matyuk (2:5020/101.5) -> Alexey Vissarionov:

AM> Каким образом оспорить данную транзакцию?

AM> Путём написания заявления в банк?..

Да.

Пока.
Anton.

... На старте ракета упала в болото: какая зарплата - такая работа.
--- И. В. Сталин: Если наши враги нас ругают, значит мы всё делаем правильно!

Aleksey Matyuk написал(а) к Alexey Vissarionov в Jan 18 18:34:14 по местному времени:

Нello, Alexey Vissarionov.
On 06.01.18 17:01 you wrote:

AM>> На промежуточных - и на вход и на выход? Или только на вход?
AV> И на вход, и на выход. То есть, если я купил билет Тушино -
AV> Бутово, я могу проехать по маршруту Царицыно - Дмитровская.

То есть, если я купил проездной на 10 поездок Тушино - Бутово, то я могу даже войти на Калитниках без гашения поездки (т.к. там нет турникетов), и выйти в Царицыно через турникет?

(при выходе спишется поездка)


AM>> То есть, грозные объявления врут, что: "Турникет на станции
AM>> прибытия не откроется, если билет не был активирован на станции
AM>> отправления" ?
AV> Ага :-) Списывает поездку и пропускает. Все при своих, все
AV> довольны.

Огромное тебе спасибо! :)

Сейчас вернусь в Москву и буду экспериментировать.


А на таких билетах (на количество поездок) - информация о количестве оставшихся поездок (а так же об "открытой" поездке на вход) хранится на самом билете, или где-то на каком-то общем сервере?

Интересует, как реализовано, что когда при входе списывается поездка, то при выходе - идёт проверка условия: если входа на другой станции не было, значит нужно списать поездку, а если был вход на другой станции, значит поездка уже списана и при выходе - её списывать не нужно...

Ведь если я зашёл на одной станции, а вышел на другой - то суммарно списана одна поездка. А если я сделал две поездки (но в обоих случаях - "гасил" поездку только на выходе, а входил - предположим, на Калитниках или Станколите, где нет турникетов), то должно быть списано две поездки.





--
WBR, Aleksey Matyuk. E-mail: soft-cat@mail.ru
--- Нotdoged/2.12/Android

Aleksey Matyuk написал(а) к Alexey Vissarionov в Jan 18 18:36:26 по местному времени:

Нello, Alexey Vissarionov.
On 06.01.18 17:07 you wrote:

AM>> А сейчас нельзя записать проездной на тройку "на количество
AM>> поездок",
AV> Более того, только их и нельзя. Что глупо, ибо это самые нужные
AV> билеты.

Понятно. жаль...


AM>> или вообще никакой проездной, даже абонемент на месяц?
AV> Без ограничения количества поездок можно, но смысла в них мало.

Полностью согласен.


--
WBR, Aleksey Matyuk. E-mail: soft-cat@mail.ru
--- Нotdoged/2.12/Android

Anton Arbuzov написал(а) к Aleksey Matyuk в Jan 18 19:37:37 по местному времени:

Нello, Aleksey Matyuk.
On 06.01.2018 16:53 you wrote:

AM> Ты прав: если, допустим, я еду в переполненном автобусе, то
AM> прислонив терминал оплаты к моей сумке (где лежит карта) - можно
AM> украсть у меня определенную сумму денег (до 1000р за одну
AM> транзакцию). Это, конечно же, очень плохо, и нужно носить карту
AM> PayPass в специальном кейсе.

Да фигня это всё. Скорее кирпич с крыши на голову упадёт...
===
Кража денег с PayPass-карт: миф или реальность
8 сентября 2016
Что будет, если воры считают вашу бесконтактную карту прямо из сумки? Мы выяснили, стоит ли этого опасаться и пора ли покупать бумажник с защитой от мошенников.
ЗАЧЕМ НУЖНА БЕСКОНТАКТНАЯ ОПЛАТА
Российские банки в течение последних двух-трех лет активно выпускают карты с поддержкой бесконтактной оплаты PayPass и Paywave  именно так называются эти системы у Mastercard и Visa соответственно. Более 30 тысяч торговых точек в России поддерживают их прием  приложив карту, можно и проезд в метро оплатить, и кольцо с бриллиантом.

Основное применение, конечно,  это микроплатежи, поскольку при суммах до 1000 рублей не требуется ни ввода пин-кода, ни подписи владельца  приложил и пошел, хотя и для более крупных покупок бесконтактная карта дает дополнительную безопасность, ведь вы не выпускаете ее из рук: если же она окажется у продавца, кассира или официанта, то он может как минимум быстро и незаметно получить ее реквизиты, а затем продать их кардерам.



ГДЕ ТУТ УЯЗВИМОСТЬ?
Тем не менее, можно прочитать данные вашей бесконтактной карты, причем для этого не нужен даже терминал, а достаточно смартфона с поддержкой NFC. В частности, никак не защищен от считывания номер карты и срок ее действия, а также список и суммы последних транзакций.

Этой информации недостаточно для создания полноценного клона, однако в ряде случаев достаточно для CNP-транзакции (Card Not Present)  то есть, операции без присутствия карты, или, попросту говоря, осуществления платежа через интернет или по телефону (например, в России так можно через колл-центр купить билеты Аэрофлота)  без ввода имени/фамилии и CVC/CVV-кода.

В США за 4 года группа мошенников обчистила более миллиона банковских карт, списав с каждой всего по 9 долларов. Из-за незначительности суммы заметили и оспорили пропажу всего 10% пострадавших.


НУЖНО ЛИ БОЯТЬСЯ ЧЕЛОВЕКА С ТЕРМИНАЛОМ?
В начале этого года рунет взбудоражила история IT-специалиста, который сфотографировал в метро человека с беспроводным банковским терминалом и предположил, что с его помощью пассажир крал деньги с бесконтактных карт пассажиров. Ведь какая разница, карту приложить к терминалу или терминал к карте? Доказательств, конечно, никаких представлено не было, но история активно обсуждалась в СМИ, которые собрали неплохой трафик на заголовках про Новый способ мошенничества и Как страшно жить.

В итоге появилась еще одна городская легенда, которой ловко воспользовались производители бумажников, предложившие изделия с экранированными отделениями для банковских карт. Выкинь свой старый кошелек и купи новый! Дорого! Гарантия! Иначе лишишься всего! Либо, как дурак, заматывай карточки в фольгу. Нет, серьезно, именно такие советы пишут авторы статей об этой уязвимости.

Купила кошелек LV с защитой от считывания карт: много слышала о том, что вор может просто в автобус зайти и снять все ваши деньги. Ну, и сам кошелек модный и красивый, давно хотела такой.
Ирина Красильщикова
Воронеж

На самом деле эта городская легенда  что-то вроде историй про крыс-мутантов, которые живут в канализации, внезапно выныривают из унитаза и откусывают ноги ничего не подозревающим обывателям. То есть, считать бесконтактную карту, лежащую в кошельке хозяина, теоретически можно. Но практически

Во-первых, вы не знаете, у кого из пассажиров есть карта с PayPass, а у кого нет. У большинства нет. Во-вторых, вы не знаете, где эта карта лежит, а считать NFC-карту терминалом можно только в непосредственной близости, не больше пары сантиметров. То есть, нужно, получается, подходить ко всем подряд и тщательно водить терминалом вдоль сумок и карманов жертвы.


Информацию с карты с PayPass можно считать только на расстоянии нескольких сантиметров. Фото: Daily Mail
Американскими экспертами по IT-безопасности, конечно, был сделан экспериментальный считыватель, позволяющий снимать данные чуть ли не с нескольких метров, но возить его пришлось аж в тележке из супермаркета. И есть троян для Android-смартфонов, который, если носить телефон вместе с картами, может их тихонько прочитать и отправить данные злоумышленнику, однако тут вероятность совпадения нескольких условий успеха тоже невелика. Но, допустим, считать данные удалось.

Куда уйдут эти деньги? Каждый терминал зарегистрирован в банке, а каждый его владелец имеет специальный счет продавца, на который эти деньги поступают. То есть, никакой анонимности здесь нет, и вывести средства, полученные преступным путем, очень сложно; вернее, даже невозможно это сделать, оставаясь анонимным. Будет как в том анекдоте про грабителя, ворвавшегося в банк с пистолетом с криком: Это ограбление! Никому не двигаться! Сейчас же переведите все деньги на счет 40817810452360569251! Только с той еще разницей, что максимальная сумма перевода без подтверждения владельцем карты ограничена  тысяча рублей.

IT-специалист Сергей Вильянов считает, что бесконтактные транзакции защищены не хуже, чем платежи по чипованным картам (тем более, что карты, поддерживающие бесконтактные платежи, всегда чипом оснащены).

Стандарт EMV, по которому защищены беспроводные платежи, исключает саму возможность клонирования карты по информации, передаваемой во время транзакции. Это даже сложнее, чем клонировать человека по капле слюны. Ну, и если бы у кого-то появилась такая возможность, вряд ли бы он торговал ею по цене айфона, потому что Visa и MasterCard купили бы описание уязвимости гораздо дороже.
Сергей Вильянов
редактор направления IT и инноваций портала Bankir.ru

В общем, не уязвимость, а один сплошной анекдот. Так что никаких специальных кошельков и шапочек из фольги вам не нужно: платить за него вдвое больше просто потому, что внутри металлизированная сетка? Сомнительное решение. Есть, впрочем, одно исключение: это кошельки, в которых экранируются все карты, кроме одной. Это позволит использовать бесконтактную оплату, не извлекая карту из бумажника: в обычном же портмоне PayPass-карты будут конфликтовать не только друг с другом, но и с проездными на общественный транспорт, ключ-картами от офисов и т.п. И обязательно проверьте, подключено ли у вас 3-D Secure.

КАК ЗАЩИТИТЬСЯ?
Основной способ защиты от подобного мошенничества  это технология 3-D Secure, которую поддерживает большинство банков; часто владелец карты может сам выбрать, включать или нет ее для своей карты, однако в солидных банках без подключенного 3DS просто не будут работать платежи через интернет.

Суть технологии предельно проста: при проведении платежа браузер перенаправляется на страницу банка, где предлагается ввести одноразовый пароль, полученный по SMS на привязанный к карте номер.

Безусловно, эти SMS злоумышленник тоже может перехватить, однако одновременно и считать ваши данные карты, и перехватить сообщения практически нереально, уж проще тогда просто отобрать у вас сумку с телефоном и кошельком.

Тем не менее, 3D-Secure  не панацея. Некоторые банки разрешают операции по карте и там, где технология не поддерживается. В этом случае нужно уточнить, нельзя ли установить лимиты по таким незащищенным операциям, и тогда риск внезапного опустошения счета будет минимальным.

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android