Мошенничество с землей терминалами оплаты

Наталья Соловьева Мошенникам, даже без применения специальных знаний или вредоносного ПО, легко удается обманывать банковских клиентов, похищая с их карт деньги. Пока эксперты говорят о необходимости скорректировать сценарии работы устройств банковского самообслуживания, банки призывают держателей карт усилить бдительность. Ее суть состоит в том, что мошенник начинает в банковском терминале операцию по оплате — например, вводит номер сотового телефона, счет которого собирается пополнить. Но затем, не вставляя карту для оплаты, отходит от терминала.

Если Вам необходима помощь справочно-правового характера (у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают), то мы предлагаем бесплатную юридическую консультацию:

  • Для жителей Москвы и МО - +7 (499) 653-60-72 Доб. 448
  • Санкт-Петербург и Лен. область - +7 (812) 426-14-07 Доб. 773

Алгоритм очень прост: деньги выводятся без взлома систем банка или считывания данных карт. Злоумышленникам достаточно начать какую-либо операцию оплаты и, когда терминал предложит вставить карту и ввести пин-код, уйти. В этом случае у следующего в очереди может не возникнуть подозрений, клиент банка вставит карту и таким образом подтвердит операцию мошенника. Издание нашло комментарии пострадавших от подобной схемы в интернете: один из пользователей рассказал, что потерял так 11 рублей. Другой клиент заявил газете, что лишился 15 рублей. В Сбербанке ему объяснили, что терминал настроен таким образом, что позволяет сначала выбрать операцию, и только в конце способ оплаты. Опрошенные газетой эксперты рассказали, что уязвимость допустил Сбербанк, сделав предоставление карты последним этапом платежа.

Мошенники нашли уязвимости в сценарии банковских терминалов Но затем, не вставляя карту для оплаты, отходит от терминала. Злоумышленникам достаточно начать какую-либо операцию оплаты и, когда терминал предложит вставить карту и ввести пин-код. «insurgen.cc» вспомнила три способа мошенничества с помощью терминалов оплаты. Катастрофа: почему нам нечем лечиться.

Сделали перерыв. Мошенники нашли уязвимости в сценарии банковских терминалов

Алгоритм мошенничества прост: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Терминал дает на завершение операции 90 секунд, и если в этот период свою карту вставит следующий клиент, то с нее и будут списаны средства по запросу предыдущего. Эксперты по безопасности видят серьезные ошибки в сценарии работы устройств самообслуживания Сбербанка, в самом же банке просто призывают клиентов быть внимательнее. На прошлой неделе в интернете стали появляться сообщения о случаях хищения средств у граждан с использованием информационно-платежных терминалов ИПТ Сбербанка. Передо мной на нем что-то бесконечно вводила девушка в чадре. Потерпевший обратился в Сбербанк. Там ему пояснили, что ИПТ в банке настроен таким образом, что можно сначала выбрать назначение платежа, сумму и только в самом конце способ оплаты — картой или наличными. Как показала практика, для хищения не нужно обладать какими-то особыми знаниями и пользоваться вредоносным ПО. Спустя минуту коллега вставила карту, терминал предложил ей ввести пин-код и счет чужого телефона был успешно пополнен. При повторной проверке тайм-аут время, после которого терминал прерывает операцию оказался полторы минуты. Но в последние две недели количество обращений граждан в полицию по этому поводу резко возросло. Во всех случаях хищение было при наличии очереди к терминалу, добавил он.

Мошенники придумали новую схему кражи денег через терминалы Сбербанка

В терминологии стандарта ISO PCD proximity coupling device — название считывателя, в нашем случае это POS-терминал PICC proximity integrated circuit card — карта, в нашем случае эту роль выполняет телефон Важное отличие обычной платежной карты от Apple Pay в том, что в карта всегда доступна для считывания и никак не позволяет управлять процессом считывания.

Ее можно бесконтрольно считать через одежду, в то время как телефон, попадая в поле действия считывателя, предлагает пользователю активировать виртуальную карту. До подтверждения пользователя телефон не передает никакие данные, и считыватель даже не знает, что рядом находится виртуальная карта.

Ответ ATQA может различаться в зависимости от производителей чипа. Получив ответ ATQA, терминал начинает процедуру выявления коллизий, чтобы определить, есть ли в поле действия более одной карты. Однако, как показано выше, некоторые POS-терминалы отказываются продолжать, если на этом этапе выявлены коллизии, то есть присутствие нескольких карт одновременно.

Длина UID может быть 4, 7 или 10 байт. Уверен, что это сделано для того, чтобы айфоны не использовали в качестве примитивных карт доступа, так как системы СКУД на основе UID до сих пор очень популярны. Это команда завершения связи. Зачем так сделано — не знаю, возможно, это какой-то более надежный способ определения коллизий.

В нем содержится информация о максимальном размере кадра и параметрах канального уровня. Терминал спрашивает у карты, какие платежные приложения на ней есть.

Чаще всего это одно приложение, как в нашем примере — VISA. Однако бывают карты с несколькими платежными приложениями, например, есть специальные отечественные карты МИР с двумя платежными приложениями внутри. Так как платежная система МИР не работает заграницей, в карту интегрируется второе платежное приложение, по сути вторая карта. Такие карты называются кобейджинговыми. Тот же ответ, обработанный парсером: Из всего этого нас интересует только идентификатор платежного приложения AID.

В данном случае, это значение A, означающее Visa International. AID помечается маркером 4F. Вторым битом после маркера следует длина данных, в нем содержащихся. Несмотря на то, что длина AID может варьироваться от 5 до 16 байт, в большинстве случаев она равна 7 байтам.

Большой список AID: eftlab. Например, в кобейджинговых картах МИР, имеющих внутри несколько платежных приложений, это поле указывает, какое из двух приложений приоритетнее. Так как у нас только одно приложение Visa International, оно указывает на него, и приоритет отсутствует. Терминал обязан ответить в строгом соответствии с этой последовательностью. PDOL у разных карт может различаться. Общее число параметров PDOL — несколько десятков. Полный список параметров PDOL можно посмотреть здесь.

Разберем PDOL внимательнее. Длина, указанная после маркера — строго ожидаемая длина ответа от терминала на данный запрос. Пустой ответ заполняется нулями до нужной длины. Набор поддерживаемых терминалом протоколов.

Обращаем внимание на случайное число в конце E Это параметр 9F37 Unpredictable Number. Это первое упоминание криптографии.

В дальнейшем это число вместе с данными транзакции карта должна будет подписать криптографической подписью. Это дает терминалу контроль над актуальностью подписи от карты и защищает от replay атак. В нашем случае AIP равен 00 Рассмотрим значения данного параметра из EMV 4. Что это значит, и какой смысл в это вкладывает Apple Pay, я не знаю.

Почему в моем случае все эти флаги равны нулю — я не понимаю. Этот параметр кодируется пятью битами вместо восьми. Соответственно значение 0x18 b преобразовываем в b, и получаем 0x3. Полагаю, что это сделано для защиты от брутфорса приватного ключа карты. В нашем случае видно, что данный айфон с Apple Pay использовался для оплаты уже 0x раз. Application Cryptogram AC — криптографическая подпись, которая вычисляется картой с использованием ее приватного ключа.

Данная подпись передается вместе с остальными данными банку-эмитенту, и на ее основании проверяется подлинность транзакции. Так как приватный ключ карты невозможно доступными средствами извлечь из карты, это позволяет исключить возможность копирования карты. Я не осилил разбор этой структуры, помогите. Например, можно ли использовать эту бесконтактную карту для операций в банкомате или нет, и какие подтверждения при этом потребуются.

Track 2 Equivalent Data — Оппа! В этом поле содержится номер карты и expiration date, подробнее эта информация будет разобрана далее. Описывает форм-фактор и характеристики платежного устройства. В нашем случае видно, что это мобильный телефон. Что можно извлечь из перехваченой транзакции? Мы разобрали один конкретный пример перехваченного трафика бесконтактной транзакции Apple Pay c привязанной картой VISA.

Протокол MasterCard немного отличается, но в целом похож. Из разбора видно, что транзакция защищена криптоподписью, и протокол защищен от replay-атаки. Существует устаревший протокол бесконтактной оплаты в режиме Magnetic Stripe MSD , который намного хуже защищен от replay-атак, но в данной статье я его разбирать не буду, потому что, насколько мне известно, он почти не поддерживается в СНГ, возможно я ошибаюсь.

Из перехваченных данных можно извлечь номер карты PAN и срок действия expiration date Как видно, из перехваченного трафика можно извлечь полный номер карты и expiration date. Хоть CVV в этом дампе и нет, этих данных уже достаточно для оплаты в некоторых интернет-магазинах. В случае с обычной физической пластиковой картой, в перехваченных данных будет содержаться тот же PAN и срок действия, который выбит на самой карте!

В дампе выше указан не только полный номер моей карты, но также и expiration date. Этих данных вполне достаточно, чтобы платить в некоторых магазинах в интернете. Что ж, попробуем это сделать. Эти данные нельзя использовать для оплаты в интернете и других операций типа Card not present CNP , то есть по телефону или имейлу. То-то же! Всем желающим убедиться в этом, сообщаю, что реквизиты из перехваченного выше дампа Apple Pay на данный момент актуальны и привязаны к действующей карте, на которой есть деньги.

На момент написания статьи это 5 тысяч рублей. Предлагаю попробовать их украсть : Почему Apple Pay безопаснее обычной карты Apple Pay vs обычная бесконтактная карта Apple Pay требует авторизацию отпечаток или пароль на каждую проведенную транзакцию. Обычная карта не позволяет управлять количеством подписанных транзакций при поднесении к POS-терминалу.

С Apple Pay такое невозможно, после проведения транзакции пользователь видит значок успешно выполненной операции и приложение закрывается, новый запрос потребует повторный ввод отпечатка пальца. Не позволяет считывать данные до авторизации — когда телефон с Apple Pay попадает в поле действия считывателя 13,56 МГц , пользователю предлагается авторизоваться, и только после успешной авторизации телефон начинает обнаруживаться как бесконтактная карта.

До этого момента считыватель не видит ничего. Именно поэтому данные с Apple Pay нельзя считать незаметно из кармана, в отличие от обычной карты.

Нельзя использовать перехваченные данные для оплаты в интернете — обычная карта может быть использована для операций типа Card not present CNP , то есть для оплаты в интернете, по телефону и т. Данные из виртуальной карты Apple Pay нельзя использовать подобным образом. Не раскрывает данные владельца — обычные бесконтактные карты могут передавать имя владельца Cardholder name и историю последних покупок. По номеру карты, в некоторых случаях, можно установить ФИО владельца. С Apple Pay ничего подобного сделать нельзя.

Вывод Бесконтактные платежные системы достаточно надежно защищены. Несмотря на теоретическую возможность мошенничества, на практике она оказывается нерентабельна и крайне тяжело осуществима. Нет никакой причины бояться бесконтактных карт или пытаться сломать антенну в карте. При прочих равных, Apple Pay будет безопаснее обычной пластиковой карты. Для большей безопасности можно заблокировать CNP-операции оплата в интернете по основной бесконтактной карте, и завести вторую карту только для оплаты в интернете.

Выражаю благодарность: Компании tehpos. Уральскому банку реконструкции и развития , и лично Александру Падерину управляющему директору центра информационной безопасности за консультации.

Магазину aj. Валерии Aquamine за иллюстрации для статьи. Глебу JRun из Digital Security за технические консультации. Хабраюзеру shape за отличный парсер EMV: iso

Кассир списывает дважды

В терминологии стандарта ISO PCD proximity coupling device — название считывателя, в нашем случае это POS-терминал PICC proximity integrated circuit card — карта, в нашем случае эту роль выполняет телефон Важное отличие обычной платежной карты от Apple Pay в том, что в карта всегда доступна для считывания и никак не позволяет управлять процессом считывания. Ее можно бесконтрольно считать через одежду, в то время как телефон, попадая в поле действия считывателя, предлагает пользователю активировать виртуальную карту. До подтверждения пользователя телефон не передает никакие данные, и считыватель даже не знает, что рядом находится виртуальная карта. Ответ ATQA может различаться в зависимости от производителей чипа. Получив ответ ATQA, терминал начинает процедуру выявления коллизий, чтобы определить, есть ли в поле действия более одной карты. Однако, как показано выше, некоторые POS-терминалы отказываются продолжать, если на этом этапе выявлены коллизии, то есть присутствие нескольких карт одновременно. Длина UID может быть 4, 7 или 10 байт.

Операции в терминалах Сбербанка прерываются на хищения

Первый заместитель начальника ГУ Банка России по Центральному федеральному округу Ильшат Янгиров раскрыл пять основных способов, при помощи которых мошенники опустошают карты граждан, и рассказал, как избежать потерь. Количество мошеннических операций в году превысило тысяч, и это выше, чем в году. Фото: Depositphotos. Цифра кажется мизерной лишь на первый взгляд. В абсолютном значении это почти миллиард - ,3 миллиона рублей. Отрадно, что объем потерь на 10,6 процента меньше, чем годом ранее. Это результат действий Банка России, правоохранительных органов и, конечно, самих операторов по переводу денежных средств. Пассажиры смогут оплачивать проезд одной картой в любом городе РФ Однако количество мошеннических операций в году составило , и это выше, хотя и ненамного, уровня года. Ситуация осложняется тем, что 40 процентов от количества и 44 процента от их объема совершается за пределами России.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Мошенники изучили алгоритм работы терминалов Сбербанка - Москва 24

Бочка дёгтя в ложке мёда

Из песочницы Шёл й год. Я тихо занимался ремонтом компьютеров в сельской местности. Гоняя чаи и закусывая сезоном очередного сериала. Как-то раз мой начальник предложил заняться платёжными терминалами. Ему их практически даром отдавал знакомый предприниматель, плюс предлагал устанавливать в его же магазинах на безвозмездной основе.

«insurgen.cc» вспомнила три способа мошенничества с помощью терминалов оплаты. Катастрофа: почему нам нечем лечиться. Елена стала жертвой мошенников, которые прислали ей SMS о блокировке карты Да, сейчас таким способом оплаты в терминалах почти не . Про теорию плоской Земли, Чернобыль и квантовый телефон. Все сцены демонстрации мошенничества инсценированы и При оплате телефоном, POS-терминал видит обычную карту VISA или.

Мошенники сделали бизнес на терминалах Поделиться 23 Обсудить Челябинские предприниматели столкнулись с мошенничеством, связанным якобы с проверкой платежных терминалов. Втираясь в доверие к продавцам и собственникам торговых точек, злоумышленники вынуждают их положить деньги на неизвестные номера телефонов. Деньги, естественно, пропадают бесследно.

Уязвимость в терминалах оплаты приводит к воровству денег покупателя

Схожесть отечественного ПО с иностранными аналогами грозит государству убытками Такой же товар за другие деньги С оплатой картой при получении товара у курьера ежедневно сталкивается большое количество людей по всему миру. Как правило, покупателя больше всего интересует его заказ, поэтому он не придает должного значения процедуре бесконтактного платежа. Реклама К сожалению, это может обернуться финансовыми потерями — как сообщили исследователи Positive Technologies на конференции Black Hat в Лас-Вегасе, в мобильных терминалах оплаты mPOS , которыми часто пользуются курьеры, обнаружено несколько опасных уязвимостей. Такими терминалами часто пользуются курьеры, так как они компактны и относительно дешевы. Мошенники могут вмешаться в процесс оплаты, изменив сумму, которую требуется внести, или вынудив покупателя использовать магнитную ленту для проведения транзакции, что является менее надежным способом оплаты. Для этого злоумышленник перехватывает Bluetooth-трафик, а затем вносит правки в сумму. Покупатель оплачивает товар, даже не подозревая, что отдал курьеру больше, чем нужно.

Как это работает?

Возможно, при повторной операции вы останетесь без денег Истории о том, как горожане лишаются значительной суммы денег, передав данные своих банковских карт мошенникам, случаются в Екатеринбурге чуть ли не каждую неделю. Так, этим летом широко обсуждалась неприятная ситуация, произошедшая с профессором УрФУ. По данным экспертов, атаки вредоносных программ на то, чтобы украсть у пользователей именно финансовые данные, за последний год значительно выросли. Тенденция — злоумышленники делают меньше вредоносов, но атакуют большее количество пользователей.

.

.

.

ВИДЕО ПО ТЕМЕ: НОВЫЙ ВИД МОШЕННИЧЕСТВА С ТЕРМИНАЛАМИ ОПЛАТЫ
Понравилась статья? Поделиться с друзьями:
Комментариев: 1
  1. lesitit

    Снеговик

Добавить комментарий

Отправляя комментарий, вы даете согласие на сбор и обработку персональных данных