Объявление

**Иван Федотов** · 12.01.2015, 10:15

bigsmall,
публичные справочники говорят нам что в новом формате VIS1.5 (PW2.1): добавлен ряд дополнительных данных и функций, основные из них (по моему мнению):
- CVN18
- qVSDC card status upd
- functionality to diable contactless int.

устройства, поддерживающие VIS1.5 (PW2.1) должны обслуживать карты, сертифицированные по pw 2.0

**mandobass** · 15.01.2015, 16:31

Сообщение от bigsmall Посмотреть сообщение

Говорят что карты не совместимы между собой, то есть устройства, сертифицированные на PayWave 2.1, не поддерживают карты PayWave 2.0. Так ли это?

Скорее наоборот, терминалы, сертифицированные по VCPS 2.0, не могут поддерживать некоторые фичи карт, сертифицированных по VCPS 2.1.

**alexr** · 22.01.2016, 20:14

В России появился новый вид мошенничества — кража денег с карт россиян, оснащенных технологиями бесконтактной оплаты товаров (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»). По данным компании Zecurion, мошенники увели с карт россиян с помощью своих самодельных терминалов (RFID-ридеров) 2 млн рублей в 2015 году. Опрошенные компании, специализирующиеся на IT-безопасности, отметили, что мошенники научились воровать с карт с помощью смартфонов, оснащенных чипами NFC (NFC — разновидность RFID).
Технологии бесконтактной оплаты товаров разработаны американскими платежными системами Visa (PayWave) и Mastercard (PayPass) для ускорения и упрощения безналичной оплаты покупок.
Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью, — рассказал «Известиям» руководитель аналитического центра Zecurion Владимир Ульянов.
В переполненном транспорте, на рынке, в магазине сделать это нетрудно. Человек может даже не заметить «воровства». Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт).
Стоимость легального считывателя для PayPass и и PayWave — от 20 тыс. рублей. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать. Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет $100, — их хакеры изготавливают самостоятельно.
По словам замруководителя блока операционного и IT-сопровождения Бинбанка Игоря Новожилова, бесконтактное мошенничество пришло из Европы.

**Иван Федотов** · 25.01.2016, 09:20

Сообщение от alexr Посмотреть сообщение

Полученные данные мошенники записывают/передают на карты-клоны

С этого места можно переставать читать

**Struzhkin** · 25.01.2016, 09:46

Сообщение от alexr Посмотреть сообщение

Полученные данные мошенники записывают/передают на карты-клоны - для дальнейших операций (влекут хищения средств с подлинных банковских карт).

откуда перепечатана эта ересь?
автор явно путает с ридером для чипов - тут действительно почти любую инфу можно как прочитать, так и записать.
по РФИД это в принципе не возможно - в виза/МС тоже не дуболомы работают и есть свои безопасники.

а какую то "псевдо-покупку" на мелкую сумму - в принципе да, можно сделать, но это вам не вебмани и не биткоины а РФИД-ридер не кошелек - основная проблема это шлюз через который и будут выводиться деньги с карты.

Сообщение от alexr Посмотреть сообщение

Стоимость легального считывателя для PayPass и и PayWave — от 20 тыс. рублей.

прочитать легальным ридером открытую инфу - это вовсе не совершить покупку и тем более не утянуть все данные с карты.
такие "легальные ридеры" обычно применяют чтобы по меткам на товарах в магазинах ШК читать ))

**mandobass** · 25.01.2016, 13:35

Сообщение от Иван Федотов Посмотреть сообщение

С этого места можно переставать читать

Почему?

Сообщение от Struzhkin Посмотреть сообщение

по РФИД это в принципе не возможно

Почему?

**Struzhkin** · 25.01.2016, 14:12

Сообщение от mandobass Посмотреть сообщение

Почему?

потому что по РФИД прочитать можно только номер и срок - т.е. нешифрованную инфу - то что итак видно на карте (кроме ЦВЦ)
почему именно так - вопрос не ко мне а к визе/МС но по моему очевидно - в целях безопасности.
чтобы сделать полноценный клон карты - этого недостаточно.

**Иван Федотов** · 25.01.2016, 15:48

Сообщение от mandobass Посмотреть сообщение

Почему?

Написанное в этом месте полностью не соответствует действительности.

**mandobass** · 25.01.2016, 16:52

Сообщение от Struzhkin Посмотреть сообщение

потому что по РФИД прочитать можно только номер и срок - т.е. нешифрованную инфу - то что итак видно на карте (кроме ЦВЦ)

Это вы сами придумали? Или повторяете чужие домыслы?
Почему бы не почитать первоисточники?

Сообщение от Иван Федотов Посмотреть сообщение

Написанное в этом месте полностью не соответствует действительности.

Что именно не соответствует действительности? В чем проблема записать на клон дамп транзакции? (сработает он или нет - это отдельный вопрос)

**Struzhkin** · 25.01.2016, 17:51

Сообщение от mandobass Посмотреть сообщение

Почему бы не почитать первоисточники?

какие например? а что по вашему можно прочитать?

В чем проблема записать на клон дамп транзакции? (сработает он или нет - это отдельный вопрос)

а в чем смысл обсуждать возможность чтения/записи чего либо, если это потом не сработает?

**Иван Федотов** · 26.01.2016, 09:20

Сообщение от mandobass Посмотреть сообщение

дамп транзакции

что по-Вашему такое "дамп транзакции"? Авторизационынй запрос? Ответ чипа на GetData? Что предполагается к записи?

**Struzhkin** · 26.01.2016, 09:32

Сообщение от Иван Федотов Посмотреть сообщение

что по-Вашему такое "дамп транзакции"? Авторизационынй запрос? Ответ чипа на GetData? Что предполагается к записи?

видимо он имеет ввиду, что по РФИД можно прочитать еще некую инфу о последних операциях...
но как это можно использовать на практике мне например непонятно.

**Иван Федотов** · 26.01.2016, 10:38

Сообщение от Struzhkin Посмотреть сообщение

прочитать еще некую инфу о последних операциях...

я подумал, что речь идёт о дампе ДЛЯ транзакции.
некая инфа о последних операциях, это замечательно, только провести операцию оплаты это ну никак не поможет.
то есть да, есть открытый блок velocity limit, его может использовать эмитент. И тогда, терминал сможет увидеть суммы последних 5 операций.

На практике вижу только один способ обогащения - писать статьи в газеты о том, что деньги воруют

)

**mandobass** · 26.01.2016, 16:56

Сообщение от Struzhkin Посмотреть сообщение

какие например? а что по вашему можно прочитать?

Например, спецификации MasterCard PayPass, Visa VCPS.

Сообщение от Иван Федотов Посмотреть сообщение

что по-Вашему такое "дамп транзакции"? Авторизационынй запрос? Ответ чипа на GetData? Что предполагается к записи?

Дамп ответов карты на предопределенный спецификацией набор команд терминала в рамках транзакции бесконтактного приложения PayPass/Paywave.

**Иван Федотов** · 27.01.2016, 09:09

Сообщение от mandobass Посмотреть сообщение

Дамп ответов карты

так оно ж содержит динамические данные

**mandobass** · 27.01.2016, 18:26

Сообщение от Иван Федотов Посмотреть сообщение

так оно ж содержит динамические данные

так для этого их и сканируют

**Иван Федотов** · 28.01.2016, 10:00

mandobass, ну они для того и динамические, чтобы сканирование было бесполезно

**mandobass** · 28.01.2016, 14:49

Сообщение от Иван Федотов Посмотреть сообщение

ну они для того и динамические, чтобы сканирование было бесполезно

это так в теории, а практика всегда шире теории

**bigsmall** · 14.03.2016, 15:36

VCPS 2.2 что там нового? Кто-то может поделиться инфой?

Объявление

Visa PayWave

Visa PayWave

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий