n0rad

на Пикабу
поставил 24 плюса и 159 минусов
отредактировал 0 постов
проголосовал за 0 редактирований
5645 рейтинг 4 подписчика 1838 комментариев 1 пост 1 в горячем
611

Продолжение безопасности безналичных платежей

Пишу в продолжение/дополнение к посту от @moozart, кое что исправлю. Как человек работающий непосредственно с банковскими терминалами расскажу некоторые моменты подробней, так как, насколько я понял, это не компетенция автора оригинального поста, так что в некоторых вещах он может ошибаться. (вот он если что http://pikabu.ru/story/k_voprosu_o_bezopasnosti_beskontaktny...)

Итак, поехали!

Продолжение безопасности безналичных платежей Текст, Длиннопост, Бесконтактная карта, Информационная безопасность

В качестве кдпв всем известный снимок.


Ходить по вагонам метро с POS-терминалом и снимать деньги. Можно?

Технически можно, но очень сложно. Как инженер POS-терминальщик расскажу. За основу буду опираться на написанный ранее пост от @moozart с добавлением своих комментариев.

Как много обсуждалось, нужно юр. лицо и в комментариях все высказывали разные мнения о сложности или легкости открытия ООО при наличии необходимого количества денег на бомжа с паспортом, но не заметил, чтобы хоть кто-то вспомнил про ИП, а им стать ещё проще, в этом случае отмытый бездомный то что нужно. Оформили ИП, платим налоги, имитируем бурную торговую деятельность и заключаем с банком договор на предоставление услуг эквайринга, ждём когда нам его привезут (да да, в большинстве случаев его именно привозит сотрудник сервисной службы, а не ты сам являешься в банк для получения).


Возьмем на рассмотрение пункт о модернизации терминала:

1. Автоматически заставить набрать нужную сумму можно - на некоторых прошивках есть функция списка товаров, выбираем нужный, и появляется запрос вставить карту с определенной суммой, так что тут не сложно.

2. Выключить пищалки и звуки элементарно в сервисном меню, даже в открытых источниках можно найти как сделать.

3. Печать слипа тут вообще ни при чём, не пойму зачем автор это написал, проще вытащить валик из печатающей головки, чтобы чека на руках не было от слова совсем.

4. Модификация антенны NFC представляется мне невыполнимым действием, так как находится она под экраном аппарата, чтобы её достать необходимо разобрать терминал, вследствие чего сработает датчик вскрытия и удалится вся информация, включая криптоключи, шифрующие все данные, так что на руках у нас остаётся кирпич.


Конечно слышал истории, мол каким-то молодцам удалось разобрать и модифицировать устройство, но, думается мне, это всё истории уровня подъездных бабок.

Также, повторюсь, весьма проблемно ходить по транспорту и водить руками по пассажирам. К тому же не угадаешь где карта, то ли в кошельке в кармане брюк, куртки, а то и вообще в сумке. Только что замерил - расстояние от стенки сумки моей подруги до кошелька 3-4 сантиметра, в то время как расстояние работы ридера не более 3-х сантиметров, так что тут больше возни, нежели реальных результатов. Вдобавок, если в кошельке лежит не одна, а несколько бесконтактных карт, то терминал начинает крыть и его электронные мозги съезжают с катушек(попробуйте в какой-нибудь пятёрочке, перекрёстке приложить карту тройку, должен считать, но выдаст ответ, что такая карта неверна), хоть чипы и технологии разные, но одну лишь банковскую не считает и не надейтесь.

Продолжение безопасности безналичных платежей Текст, Длиннопост, Бесконтактная карта, Информационная безопасность

Ещё момент по связи. Мобильные терминалы имеют связь через Wi-fi и сим-карту. С симкой всё понятно - в метро работать не будет, в автобусе-вполне. К вафле метро терминал не подключить, так как нет веб-интерфейса. Есть вариант терминал подцепить к bluetooth базе, что соединена с ноутом, которые в свою очередь уже подключен к wifi сети, но такое решение есть ни что иное как костыль на костыле сидит и костылём погоняет.


Дальше цитирую:

"И вот теперь мы переходим к самому интересному — пост-обработка платежей. Как всем нам известно, операции с картами делятся на несколько этапов. В момент транзакции банк-экваер (тот, что дал нам терминал) отправляет запрос через НСПК (мы же в России) в банк-эмитент (тот, что выпустил карту). Запрос об остатке средств на карте достаточных для платежа. После положительного ответа, наш терминал (в обычных условиях) выдает нам слип (2 чека) об успешной платеже, а банк-эмитент блокирует сумму (вешает на hold) до полного подтверждения транзакции."


Пока всё так, но после - хуже, то бишь враки.

"Одним из таких подтверждений обычно служит как раз второй экземпляр слипа, который продавец оставляет у себя. Раньше, когда не было чип-карт и не было запроса пин-кода, на нем нас просили оставить свой автограф. И только когда все формальности соблюдены, заветная сумма списывается со счета банка-эмитента и уходит на расчетный счет конторы. Но у нас терминал особенный и слипы не печатает, а значит могут возникнуть вопросы. Кроме того, сумма удерживается в среднем 2-3 дня до полного списания"


Есть куча контор, которым второй чек не требуется, терминал легко настраивается на печать одного слипа, в наши дни он никаким подтверждением не является для окончательного перевода денег, а служит скорее для разбора спорных ситуаций и предъявлению банку претензии в стиле "Где деньги, Лебовски?!". Зачастую организация вечером снимает итоги(z-отчет, инкассация) с терминала, после чего уже в течение суток деньги на расчетном счёте организации. СУТКИ! Хотя есть и те, которые за неделю переслать не может. Так вот если недосдача по безналу, компания обращается в банк и предоставляет слип, который не отображен в итоговом отчёте. Но в общем и целом если слишком много людей в один день подадут запрос по невнятным списаниям, то эту лавочку быстро найдут и прикроют.


А наличие слипа для подтверждения перевода денег требуется для импринтеров, что есть технология 50-х годов, будет интересно, поищите сами(в этом случае все слипы действительно отправляются в банк).

Продолжение безопасности безналичных платежей Текст, Длиннопост, Бесконтактная карта, Информационная безопасность

Теперь самое интересное, ради чего я и хотел большей частью написать, а именно как выводить деньги?


Однажды ко мне обратился товарищ с предложением века, суть его заключалась в чём:


Одним утром я пересекаюсь с богатым дядей на белом лексусе, и он мне рассказывает, что надо бы оформить себе ИП, зайти в десяток банков и сделать в них пачку дебетовых карт. Получаешь, активируешь, передаёшь этому мужику, за что на твою отдельную карту будут перечислять N денег (тогда он мне рассказал про 15к в месяц, по факту 10). Даже если вы умудрились таким вот способом увести деньги у людей, то в течение суток получите деньги на карту, так как вы ИП, быстро сможете перевести с карты на карту и так несколько раз, вследствие чего, пока банк ищет концы, деньги спокойно обналичены.


Все барыши получает бизнесмен на лексусе, а все финансовые преступления вешают на вас, смекаете ответственность? Встретите таких, ни за что не влезайте, а лучше как-нибудь сдать этих чертей по-тихому.


В совокупности скажу, что бояться нечего. Надеюсь что-нибудь полезное вы для себя усвоили. Буду рад ответить на вопросы и обсудить мою некомпетентность, ежели кто усомнится.


В общем аккуратнее всем, даешь безопасность и сложные пароли.

Показать полностью 2
Отличная работа, все прочитано!