Господа, вчера столкнулся с оплатой по карте через смартфон.
Итак, заказал товар в интернет-магазине. Приехал доставщик, привез товар. Я товар омотрел, говорю - где терминал? А вот, говорит. Показывает маленькую железячку. Железячка - миниатютный ридер полоски. Подключил его к смартфону. Я в непонятках, первые мысли, что пин я вводить точно не буду. А он мне говорит, что пин и не нужен, главное, чтобы мобилка была с собой. Ну, думаю, обычкая интернет-транзакция с 3Dsec, успокоился. Единственное, напрягало, что карта пойдет через ридер.
Дальше сама транзакция. Запустил какое-то приложение на смартфоне, шоркнул полоску чиповой карты. В интерфейсе маскированный номер моей карты, дальше ввод суммы, наименование товара и номера моего телефона. Ну, наименование товара, подумал, вообще никому не нужно, а вот нахрена номер телефона? Дальше интереснее - запрос, мне смс от приват банка (карта у меня, естественно, не приватовская) с четырьмя цифрами. Диктую эти цифры, он их вводит, говорит, что транзакция прошла, и отдает товар. Чека, естественно, нет.
Соответственно, вопросов больше, чем ответов - как такое возможно и как это работает?
1. Что за транзакция? Что там за признаки присутствия карты и клиента?
2. Идентифицируется ли как-то хостом терминал? Т.е. ключи, макирование, подписи сертификаты и их хранение.
3. Хранение данных транзакции, сверка итогов и т.д.
4. Нахрена смс? Номер телефона можно ввести абсолютно любой, смс не от эмитента. Т.е. фактически подтверждение - полная липа.
5. Безопасно ли это? В первую очередь для меня, ведь полоса считана и находится в незащищенном устойстве, т.е. для проведения повторной транзакции нужно только желание владельца данного устройства.
Итак, заказал товар в интернет-магазине. Приехал доставщик, привез товар. Я товар омотрел, говорю - где терминал? А вот, говорит. Показывает маленькую железячку. Железячка - миниатютный ридер полоски. Подключил его к смартфону. Я в непонятках, первые мысли, что пин я вводить точно не буду. А он мне говорит, что пин и не нужен, главное, чтобы мобилка была с собой. Ну, думаю, обычкая интернет-транзакция с 3Dsec, успокоился. Единственное, напрягало, что карта пойдет через ридер.
Дальше сама транзакция. Запустил какое-то приложение на смартфоне, шоркнул полоску чиповой карты. В интерфейсе маскированный номер моей карты, дальше ввод суммы, наименование товара и номера моего телефона. Ну, наименование товара, подумал, вообще никому не нужно, а вот нахрена номер телефона? Дальше интереснее - запрос, мне смс от приват банка (карта у меня, естественно, не приватовская) с четырьмя цифрами. Диктую эти цифры, он их вводит, говорит, что транзакция прошла, и отдает товар. Чека, естественно, нет.
Соответственно, вопросов больше, чем ответов - как такое возможно и как это работает?
1. Что за транзакция? Что там за признаки присутствия карты и клиента?
2. Идентифицируется ли как-то хостом терминал? Т.е. ключи, макирование, подписи сертификаты и их хранение.
3. Хранение данных транзакции, сверка итогов и т.д.
4. Нахрена смс? Номер телефона можно ввести абсолютно любой, смс не от эмитента. Т.е. фактически подтверждение - полная липа.
5. Безопасно ли это? В первую очередь для меня, ведь полоса считана и находится в незащищенном устойстве, т.е. для проведения повторной транзакции нужно только желание владельца данного устройства.
Комментарий