24 февраля, среда 23:40
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Терминал на смартфоне - как это работает?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Терминал на смартфоне - как это работает?

    Господа, вчера столкнулся с оплатой по карте через смартфон.
    Итак, заказал товар в интернет-магазине. Приехал доставщик, привез товар. Я товар омотрел, говорю - где терминал? А вот, говорит. Показывает маленькую железячку. Железячка - миниатютный ридер полоски. Подключил его к смартфону. Я в непонятках, первые мысли, что пин я вводить точно не буду. А он мне говорит, что пин и не нужен, главное, чтобы мобилка была с собой. Ну, думаю, обычкая интернет-транзакция с 3Dsec, успокоился. Единственное, напрягало, что карта пойдет через ридер.
    Дальше сама транзакция. Запустил какое-то приложение на смартфоне, шоркнул полоску чиповой карты. В интерфейсе маскированный номер моей карты, дальше ввод суммы, наименование товара и номера моего телефона. Ну, наименование товара, подумал, вообще никому не нужно, а вот нахрена номер телефона? Дальше интереснее - запрос, мне смс от приват банка (карта у меня, естественно, не приватовская) с четырьмя цифрами. Диктую эти цифры, он их вводит, говорит, что транзакция прошла, и отдает товар. Чека, естественно, нет.
    Соответственно, вопросов больше, чем ответов - как такое возможно и как это работает?
    1. Что за транзакция? Что там за признаки присутствия карты и клиента?
    2. Идентифицируется ли как-то хостом терминал? Т.е. ключи, макирование, подписи сертификаты и их хранение.
    3. Хранение данных транзакции, сверка итогов и т.д.
    4. Нахрена смс? Номер телефона можно ввести абсолютно любой, смс не от эмитента. Т.е. фактически подтверждение - полная липа.
    5. Безопасно ли это? В первую очередь для меня, ведь полоса считана и находится в незащищенном устойстве, т.е. для проведения повторной транзакции нужно только желание владельца данного устройства.

  • #2
    Сообщение от UserR Посмотреть сообщение
    Безопасно ли это?
    Вы тут как бы сами уже ответили:
    Сообщение от UserR Посмотреть сообщение
    полоса считана и находится в незащищенном устойстве
    можно лишь добавить, что код приложения никто не видел, и вероятно никтло не сертифицировал. Досканально поверить ,что разработчик не доложил туда закладку, отправляющую в _устройстве связи_ считанные треки "куда надо" непросто.

    пока могу навскидку сказать что:
    - mobile acceptance solutions не разрешены в нашем регионе (насколько мне известно, но вероятно я что-то упустил)
    - без чека возможны операции VEPS, это до 1000 руб.
    - требования PA DSS никто не отменял, а это значит каждое ПО, работающее с критичными аутентификационными данныи, должно иметь сертификат.
    - требования PCI DSS никто не отменял, а это значит каждый эквайер должен периодически доказывать специальным аудиторам ,что в его схеме приёма карт в оплату утечка критичных аутентификационных данных не возможна.

    Кстати, может это устройство какой-нибудь key entry проводит?

    Комментарий


    • #3
      Сообщение от Иван Федотов Посмотреть сообщение
      Вы тут как бы сами уже ответили:


      можно лишь добавить, что код приложения никто не видел, и вероятно никтло не сертифицировал. Досканально поверить ,что разработчик не доложил туда закладку, отправляющую в _устройстве связи_ считанные треки "куда надо" непросто.
      Код приложения может этого и не делает, но на данном конкретном смартфоне есть куча других приложений, которые могут считывать сохраненную на карте памяти информацию и передавать куда надо. Или файл всегда можно из устройства вынуть.

      пока могу навскидку сказать что:
      - без чека возможны операции VEPS, это до 1000 руб.
      Операция была на порядок больше.

      Кстати, может это устройство какой-нибудь key entry проводит?
      Собственно, это был первый мой вопрос - что за такая транзакция

      Комментарий


      • #4
        Сообщение от UserR Посмотреть сообщение
        1. Что за транзакция? Что там за признаки присутствия карты и клиента?
        Об этом вы сможете узнать только у сотрудников процессинга эмитента вашей карты.

        Сообщение от UserR Посмотреть сообщение
        2. Идентифицируется ли как-то хостом терминал? Т.е. ключи, макирование, подписи сертификаты и их хранение.
        Никак. Для организации подобного "безнала" достаточно купить в Привате китайский ридер полосы за 3 копейки ведро и иметь карту Привата. Дальше скачиваете с сайта Привата приложение для вашего смартфона - и вперед, принимать безналичные платежи. Ридер полосы - это магнитная головка от кассетного магнитофона, которая подключается в разъем гарнитуры смартфона. А программа преобразует "звук" со 2-й дорожки карты в данные. По сути - перед нами настоящий скиммер.

        Сообщение от UserR Посмотреть сообщение
        3. Хранение данных транзакции, сверка итогов и т.д.
        Это заботы торговца - владельца данного "терминала". Возможно, в приложении имеется подобие данных функций. Принцип функционирования данного "терминала" крайне прост - сумма транзакции списывается с вашего картсчета и перекочевывает на картсчет продавца (открытый в Привате) за вычетом комиссии Привата. Номер своей Приватовской карты продавец вводит в приложение.

        Сообщение от UserR Посмотреть сообщение
        4. Нахрена смс? Номер телефона можно ввести абсолютно любой, смс не от эмитента. Т.е. фактически подтверждение - полная липа.
        Таким образом Приват собирает личные данные всех граждан, кто прямо или косвенно пересекался с его "услугами". Естественно, что ваша безопасность в этой процедуре находится на последнем месте.

        Сообщение от UserR Посмотреть сообщение
        5. Безопасно ли это? В первую очередь для меня, ведь полоса считана и находится в незащищенном устойстве, т.е. для проведения повторной транзакции нужно только желание владельца данного устройства.
        Всё, что связано с Приватом - небезопасно.
        Последний раз редактировалось mandobass; 15.08.2013, 13:27.

        Комментарий


        • #5
          Сообщение от UserR Посмотреть сообщение
          Итак, заказал товар в интернет-магазине.
          А что за интернет магазин?

          Жесть конечно.

          Комментарий


          • #6
            Сообщение от TSprinter Посмотреть сообщение
            А что за интернет магазин?

            Жесть конечно.
            http://www.pitermag.ru/

            Комментарий


            • #7
              Точнее давайте так, чтобы кто то смог помочь в выяснении как прошла операция нужно найти такие же в "своей" эмиссии.
              А для этого нужно бы детали операции понять - экваер понятно Приват,
              карта MC/Visa?
              В СМС оповещении/выписке был номер терминала/мерчант?

              Комментарий


              • #8
                Карта MC, мерчант из интернет банка IPAY RUR MOSKVA 77

                Комментарий


                • #9
                  Сообщение от UserR Посмотреть сообщение
                  мерчант из интернет банка IPAY RUR MOSKVA 77
                  Интернет-банк - это просто вывеска. За которой скрывается Приват. Мерчант - физлицо-кардхолдер в Привате. Поэтому никаких номеров терминала/мерчанта - не будет.

                  Оформлена транзакция, скорее всего, как перевод с карты покупателя в банке-эмитенте на карту продавца в Привате. Поэтому классической торговой транзакции, с онлайновой авторизацией без ПИНа по полосе с сервис-кодом 2ХХ - не будет.

                  Комментарий


                  • #10
                    От Визы была новостная рассылка по вопросу использования m-pos: "Risk Management | Acceptance 25 July 2013 Mobile POS Acceptance Requirements CEMEA | Acquirers" и "Systems & Operations | Mobile 25 July 2013 New Indicator for Mobile POS Acceptance AP, Canada, CEMEA, LAC, U.S. | Acquirers, Issuers, Processors, Merchants, Agents", где ВИЗА четко формулирует требования к м-посам (магнитка/ЧИП и с октября 2013 дополнительный идентификатор в авторизационном сообщении). Коллеги, вопрос: есть ли у МС схожие требования (или может кто-то владеет информацией о том, что МС будет нечто подобное вводить?) и есть ли у кого на территории РФ действующие чиповые м-пос терминалы?

                    Комментарий


                    • #11
                      Виза уже сертифицировала один подобный дивайс на Chip&Sign.
                      http://www.plusworld.ru/daily/mobiln...iu-visa-ready/

                      Правда, интересно, если эмитент в качестве CVM использует только PIN, то будет ли транзакция по такой карте авторизована (в онлайне или офлайне) при попытке расплатиться на данном дивайсе?

                      Комментарий


                      • #12
                        Ну вот, уже похоже не только приват такое пользует. Наткнулся сегодня на новость от Райффайзена http://www.raiffeisen.ru/about/pr/ne...php?id28=27030

                        Комментарий


                        • #13
                          Сообщение от UserR Посмотреть сообщение
                          Ну вот, уже похоже не только приват такое пользует. Наткнулся сегодня на новость от Райффайзена http://www.raiffeisen.ru/about/pr/ne...php?id28=27030
                          И по-ходу, не только он один
                          http://sberbank.ru/moscow/ru/press_c...id114=11030028
                          Схема, конечно, доверия мягко говоря не вызывает

                          Комментарий


                          • #14
                            C такими терминалами столкнулся еще год назад...
                            Вот еще, даже есть пару таких образцов:
                            http://www.2can.ru/
                            http://www.rbkcard.ru/

                            Комментарий

                            Обработка...
                            X