moozart

moozart

пикабушник
поставил 558 плюсов и 435 минусов
отредактировал 0 постов
проголосовал за 0 редактирований
5293 рейтинг 0 подписчиков 102 комментария 10 постов 4 в горячем
1 награда
5 лет на Пикабу
465

К вопросу о безопасности бесконтактных платежей

Недавно мне рассказали о способе защиты банковских карт с бесконтактными платежами от мошенников: просто носить их, обернутыми в фольгу, чтобы мошенники не смогли списать деньги.

Сегодня нашел интересную статью на geektimes, не могу не поделиться.

К вопросу о безопасности бесконтактных платежей Текст, Копипаста, Geektimes, Бесконтактная карта, Информационная безопасность, Длиннопост

Ходить по вагонам метро с POS-терминалом и снимать деньги. Можно?

Ходить можно, снимать, думаю, нельзя. Это моя первая публикация, взяться ее написать меня побудили особо уверенные комментарии о том, что «можно снимать деньги» в статьях про развитие бесконтактных платежей PayPass, PayWave и всей технологии NFC в целом. В своих размышлениях я опираюсь на собственные наблюдения работы банковских систем, на общение с сотрудниками банков и на общие материалы, которые доступны в Сети. Попробуем для начала описать ситуацию как можно подробнее, а потом разберем ее на этапы пост-обработки уже внутри банковской системы.


Итак, предполагается, что некий «нехороший» человек, неким путем получает мобильный POS-терминал с технологией PayPass, способный принимать платежи. Этот человек пользуется общественным транспортом, наверняка в час-пик, проходит по салону и прикладывая терминал к сумкам, карманам пассажиров, списывая с банковских карточек хозяев суммы менее 1000 руб., чтобы не вызывать процедуру ввода пин-кода. Вскоре он должен получить эти деньги на расчетный счет и вывести их. Вроде бы ничего не забыл.


Начнем по порядку. Человеку нужно иметь действующее юр.лицо. Дальше он должен открыть счет в одном из банков, которые предоставляют платежные терминалы. Исходя из того, что я вижу в магазинах, все терминалы представлены банками входящие в ТОР30 банков России, и вероятно имеют значительную службу безопасности. Другими словами подлог документов будет затруднительным. Кроме того, при открытие счета директор компании должен лично явится в отделение банка и оставить образец подписи. Это я к тому, что можно было бы открыть контору на бомжа, но нужен реальный живой человек-директор. Плюс ко всему, кому-то лично все таки придется «светиться» в банке как минимум для получения терминала. Идем дальше.


Далее наверняка потребуется глубокая модернизация терминала. Ведь нужно заставить его делать и не делать некоторые операции:

1. Автоматически вводить сумму платежа, ждать оплаты и после оплаты снова вводить сумму платежа и так по кругу. А может быть, вводить каждый раз разные суммы.

2. ВАЖНО!!! Не пищать и не издавать вообще никаких звуков ни при каких условиях!!!

3. Не печатать слип (чек) в двух экземплярах.

4. Наверняка, нужно будет модифицировать антенну NFC, возможно вынести ее за габариты устройства и присобачить к рукаву куртки, чтобы было удобно незаметно сканировать.


Кроме того, нужно придумать способ иметь обратную связь с терминалом не вызывающий подозрений у пассажиров, чтобы знать, что платеж прошел и можно двигаться дальше. Будем считать, что на все переделки терминал отреагирует молча, будет работать штатно и без ошибок.


Я не стану описывать этап хождения по вагонам, аккуратные взмахи руками в ожидании «знаков» и прочие уловки человека, дабы его действия не вызывали подозрения. Хочется только вспомнить, что в массе своей, у всех держателей платежных карт услуга СМС-оповещения подключена по-умолчанию, и этот момент является первым серьезным препятствием нашего героя. Ведь отвлечь внимание одного человека еще можно, но отвлекать целый вагон от звуков приходящих СМС будет практически невозможно. Мало того, приходить СМС будут не самого доброго-желанного содержания, и народ начнет оглядываться по сторонам в поисках причин. Но пусть удача улыбнется нашему герою, и он будет работать только в тоннелях, где связь не работает, и покидать вагон до того, как начнут приходить оповещения. Но без связи и терминал не сможет обработать платеж. Хочу добавить свои размышления, т.к терминал мобильный и работает на базе сотовой сети, не удивлюсь, что где-то в логах он пишет и передает данные о своем местоположении куда следует. И очень может быть, что СБ этими данными очень быстро заинтересуется.


И вот теперь мы переходим к самому интересному — пост-обработка платежей. Как всем нам известно, операции с картами делятся на несколько этапов. В момент транзакции банк-экваер (тот, что дал нам терминал) отправляет запрос через НСПК (мы же в России) в банк-эмитент (тот, что выпустил карту). Запрос об остатке средств на карте достаточных для платежа. После положительного ответа, наш терминал (в обычных условиях) выдает нам слип (2 чека) об успешной платеже, а банк-эмитент блокирует сумму (вешает на hold) до полного подтверждения транзакции. Одним из таких подтверждений обычно служит как раз второй экземпляр слипа, который продавец оставляет у себя. Раньше, когда не было чип-карт и не было запроса пин-кода, на нем нас просили оставить свой автограф. И только когда все формальности соблюдены, заветная сумма списывается со счета банка-эмитента и уходит на расчетный счет конторы. Но у нас терминал особенный и слипы не печатает, а значит могут возникнуть вопросы. Кроме того, сумма удерживается в среднем 2-3 дня до полного списания, а этого времени, мне кажется, достаточно для того, чтобы наши пассажиры метро, позвонили в свой банк и зло спросили о странных списаниях средств. В таком случае, банк-эмитент продлевает удерживать сумму до тех пор, пока банк-экваер и наш «герой» не докажут, что платеж был взят в честном бою! (шучу). По моим наблюдениям, платежи без введения пин-кода (те самые через paypass) могут висеть на холде неделю и больше. И оспариваются эти платежи гораздо легче, чем которые подтвердили пин-кодом. Считается, что пин-код может знать только держатель карты, поэтому такие операции оспариваются гораздо сложнее.


Мне кажется, я описал все главные аспекты этого вопроса. Надеюсь в комментариях, мы увидим другую сторону медали и тогда статья станет более полной.


Мир финансов очень трепетно относится к деньгам, и всё что касается безопасности и репутационных рисков очень строго отслеживается. Уверен, что когда внедряли систему бесконтактных платежей, все варианты фрода с этой системой были продуманы. Почему-то до сих пор я не слышал ни одной новости, как хакеры сняли кучу денег с банковских карт используя PayPass. А новые Apple Pay, Samsung Pay, Google pay не оставляют шансов использовать это схему в будущем. Проще отнимать деньги у людей отходящих от банкомата.

Показать полностью
128

Уважаемые пикабушники! (Иваново, Белгород, Пятигорск, Ставрополь, Тамбов, Тюмень)

Нужна ваша помощь. У моей бабушки достаточно старый телефон Samsung sgh-e500. Сегодня сломался зарядник, а в нашем городе таких нет. Я нашел на сайте Евросети, но опять же, он есть только в нескольких городах (Иваново, Белгород, Пятигорск, Ставрополь, Тамбов, Тюмень). Если несложно, не могли бы вы купить и отправить почтой? Естественно, я всё оплачу. Заранее спасибо!
Пожалуйста, прошу поднять на несколько часов в горячее. Комменты для минусов есть. Заранее спасибо, друзья!
346

Из книги Якова Перельмана "Живая математика"

В столовой дома отдыха зашла за обедом речь о том, как вычисляется вероятность событий. Молодой математик, оказавшийся среди обедающих, вынул монету и сказал:
— Кидаю на стол монету, не глядя. Какова вероятность, что она упадёт гербом вверх?
— Объясните сначала, что значит «вероятность»,— раздались голоса.— Не всем ясно.
— О, это очень просто! Монета может лечь на стол двояко: вот так — гербом вверх и вот так — гербом вниз.
Всех случаев здесь возможно только два. Из них для интересующего нас события благоприятен лишь один случай.
Дробь 1/2 и выражает «вероятность» того, что монета упадёт гербом вверх.
— С монетой-то просто,— вмешался кто-то.— А вы рассмотрите случай посложней, с игральной костью, например.
— Давайте, рассмотрим,— согласился математик.— У нас игральная кость, кубик с цифрами на гранях. Какова вероятность, что брошенный кубик упадёт определённой цифрой вверх, скажем — вскроется шестёркой? Сколько здесь всех возможных случаев? Кубик может лечь на любую из своих шести граней; значит, возможно всего 6 случаев. Из них благоприятен нам только один: когда вверху шестёрка. Итак, вероятность получится от деления 1 на 6. Короче сказать, она выражается дробью 1/6.
— Неужели можно вычислить вероятность во всех случаях? — спросила одна из отдыхающих.— Возьмите такой пример. Я загадала, что первый прохожий, которого мы увидим из окна столовой, будет мужчина. Какова вероятность, что я отгадала?
— Вероятность, очевидно, равна половине, если только мы условимся и годовалого мальчика считать за мужчину. Число мужчин на свете равно числу женщин.
— А какова вероятность, что первые двое прохожих окажутся оба мужчины? — спросил один из отдыхающих.
— Этот расчёт немногим сложнее. Перечислим, какие здесь вообще возможны случаи. Во-первых, возможно, что оба прохожих будут мужчины. Во-вторых, что сначала покажется мужчина, за ним женщина. В-третьих, наоборот: что раньше появится женщина, потом мужчина. И, наконец, четвёртый случай: оба прохожих — женщины. Итак, число всех возможных случаев — 4. Из них благоприятен, очевидно, только один случай — первый. Получаем для вероятности дробь 1/4. Вот ваша задача и решена.
— Понятно. Но можно поставить вопрос и о трёх мужчинах: какова вероятность, что первые трое прохожих все окажутся мужчины?
— Что же, вычислим и это. Начнём опять с подсчёта возможных случаев. Для двоих прохожих число всех случаев равно, мы уже знаем, четырём. С присоединением третьего прохожего число возможных случаев увеличивается вдвое, потому что к каждой из 4 перечисленных группировок двух прохожих может присоединиться либо мужчина, либо женщина. Итого, всех случаев возможно здесь 42=8. А искомая вероятность, очевидно, равна 1/8, потому что благоприятен событию только 1 случай.
— Чему же она равна, например, для десятка прохожих?
— То есть какова вероятность, что первые десять прохожих все подряд окажутся мужчинами? Вычислим, как велико произведение десяти половинок. Это 1/1024, менее одной тысячной доли. Значит, если вы бьётесь о заклад, что это случится, и ставите 1 рубль, то я могу ставить 1000 рублей за то, что этого не произойдёт.
— Выгодное пари! — заявил чей-то голос.— Я бы охотно поставил рубль, чтобы получить возможность выиграть целую тысячу.
— Но имеется тысяча шансов против вашего одного, учтите и это.
— Ничего не значит. Я бы рискнул рублём против тысячи даже и за то, что сотня прохожих окажутся все подряд мужчинами.
— А вы представляете себе, как мала вероятность такого события? — спросил математик.
— Одна миллионная или что-нибудь в этом роде?
— Неизмеримо меньше! Миллионная доля получится уже для 20 прохожих. Для сотни прохожих будем иметь… Дайте-ка, я прикину на бумажке. Биллионная… Триллионная… Квадрильонная… Ого! Единица с тридцатью нулями!
— Только всего?
— Вам мало 30 нулей? В океане нет и тысячной доли такого числа мельчайших капелек.
— Внушительное число, что и говорить! Сколько же вы поставите против моего рубля?
— Ха-ха!… Все! Все, что у меня есть.
— Все — это слишком много. Ставьте на кон ваш велосипед. Ведь не поставите?
— Почему же нет? Пожалуйста! Пусть велосипед, если желаете. Я нисколько не рискую.
— И я не рискую. Не велика сумма рубль. Зато могу выиграть велосипед, а вы почти ничего.
— Да поймите же, что вы наверняка проиграете! Велосипед никогда вам не достанется, а рубль ваш можно сказать уже в моём кармане.
— Что вы делаете!— удерживал математика приятель.— Из-за рубля рискуете велосипедом. Безумие!
— Напротив,— ответил математик,— безумие ставить хотя бы один рубль при таких условиях. Верный ведь проигрыш! Уже лучше прямо выбросить рубль.
— Но один-то шанс все же имеется?
— Одна капля в целом океане. В десяти океанах! Вот ваш шанс. А за меня десять океанов против одной капельки. Мой выигрыш так же верен, как дважды два — четыре.
— Увлекаетесь, молодой человек,— раздался спокойный голос старика, все время молча слушавшего спор.— Увлекаетесь…
— Как? И вы, профессор, рассуждаете по-обывательски?
— Подумали ли вы о том, что не все случаи здесь равновозможны? Расчёт вероятности правилен лишь для каких событий? Для равновозможных, не так ли? А в рассматриваемом примере… Впрочем,— сказал старик, прислушиваясь,— сама действительность, кажется, сейчас разъяснит вам вашу ошибку. Слышна военная музыка, не правда ли?
— Причём тут музыка?..— начал было молодой математик и осекся. На лице его выразился испуг. Он сорвался с места, бросился к окну и высунул голову.
— Так и есть! — донёсся его унылый возглас.— Проиграно пари! Прощай мой велосипед…
Через минуту всем стало ясно, в чем дело. Мимо окон проходил батальон солдат.
Показать полностью
Отличная работа, все прочитано!