1. Терминал должен быть зарегистрирован в органах .... ппц, "мы" же вроде воруем? Зачем чтото регистрировать?!
2. На счет ограниченной суммы ... ненужно забывать, что "10 старушек это уже рубль", какие проблемы инициировать у карты несколько покупок подряд, увеличить это на количество людей ...т.е. в толпе злоумышленник очень неслабо будет зарабатывать
На Али продают чехольчики металлизированные, или даже коробочки. Сигнал через них не проходит.
Сунул в такой и не паришься.
Закажи 20шт за доллар и раздай всем родственникам, проблема решена )
Я себе купил. В магазине специально тест провёл: в чехле не считывается, без чехла оплата проходит. Так что заявленный функционал налицо — радиосигнал полностью экранируется.
Сам чехол из какой-то тонкой радионепроницаемой синтетической бумаги, кошелёк не распирает.
Так что рекомендую.
Лет по 30 за такое воровство надо давать и всё,как ветром сдует таких вот мошейников.Пользуются мрази тем что у нас законы мягкие да и откупиться можно ,если есть бабло и наворовал уже.
Или бошки отрубать прилюдно как в саудовской аравии,у человека зарплата 15 тысяч или у пенсионера 5 тыщ,живёт от зарлаты до зарплаты а какое то гавно последнее вынимает и считает себя самым умным типа.
"Необходим специальный софт, которого пока, насколько известно, не существует" — т.е. этого софта нет не Плэймаркете? Ну так и не будет. Но это не значит, что какая-то группа умельцев его уже не разработала для себя
Там катушка из тонкой фольги или проволочки почти по периметру должна быть. Чуть поменьше, чем в СКУДовских бесконтактных карточках, только компактнее. Ах, да, в проездных билетах та же фигня.
проблема не столько прочитать, сколько отмыть полученное или получить.. все транзакции отслеживаются в любом случае.. и если вы заявляете что не совершали покупку, то ее отменят с возвратом (после проверки). а получателя можно всегда найти при обналичке, даже если терминал оформлен на бомжей.. при желании всех можно найти и поймать. с другой стороны воры должны быть очень умными и осторожными чтобы максимально усложнить задачу.. перевод через 10-к счетов с выводом зарубеж как минимум.. никто не будет таким заниматься, даже если в день будет по 100 краж по 1000р., это не те суммы ради которых можно сесть быстро и надолго..
100.000 в день умножим на 10-20 "работающих", умножим на месяц, да ладно, Вам мало? Вы батенька зажрались, за 20-30к глотки режут, а Вы тут привередничаете ;)
маргиналы и за так зарежут, это не значит что они за каждым углом сидят.
при списании у меня приходит смс в течении 5-10 секунд.. думаю вычислить подозрительного типа с большой сумкой в транспорте, который ходит и трется ей об жопы людей (это если кто карту вдруг в заднем кармане держит) — не проблема.. так что работников должно быть много, оборудование стоит от 100к я думаю.. вот и смотри.. окупит он оборудование за день или нет — еще вопрос.. а насчет остальных расходов молчу.
У меня кошельке три карты с NFC: банковская, автозаправочная и пропуск на работу. Если кто-то (теоретически) попытается украсть номер карты что он сопрёт?
Поправки.
1. POS терминалы как мобильные, так и стационарные, как контактные, так и бесконтактные — не регистрируются в "органах". Сам по себе терминал не позволяет провести транзакцию, он должен быть подключен к процессинговой системе. А вот подключение к ней, конечно, требует определённых телодвижений и это можно сделать только официально.
2. Название статьи, мягко говоря, дебильное. Собственно, внимательный читатель, не сведущий в данном вопросе, поймёт это, прочитав эту статью, а сведущий знает это и без статьи.
Ну, а в остальном — статья правильная и годная. Впрочем, взглянув на источник, становится понятно, что "Компьютерра" откровенную пургу гнать не будет.
да ладно ? вот особенно после этого "Но лучше — подумайте о замене карты мобильным приложением: электронные кошельки, хранящие аналоги банковских карт, проблеме бесконтактных краж не подвержены вовсе." как раз и стоит усомниться в вменяемости. Или у нас вдруг мобильники резко стали офигеть какими защищенными устройствами и в софте этих "кошельков" нет дыр ? По поводу-же процессинга.... Вы таки знаете, да, они должны по идее сертифицироваться по PCI DSS, однако на практике процесс аудита по PCI DSS весьма... формален. И не только в России, кстати. там основная беда в том, что всегда можно ограничить круг сертификации тем что удобно, при этом закрывая глаза на (к примеру) подключение к сети банка, в которую подключен процессинг, контрагентов напрямую. Это не фантастика, такое я видел своими глазами не единожды. Там для проведения атаки, достаточно было подмены ip-адреса, что, на мой взгляд, смог-бы сделать даже автор данной статьи, еслиб включил мозги. А так, да, бесконтакный пластик — штука реально стремная. Правда были преценденты и похуже. Не так давно на хабре была статья про то, как имели метьрополитен с "бесконтакными" картами (баг тот пофиксили уже, но сколько еще а ?).
Как имеющий отношение, совершенно ответственно заявляю — PCI DSS нифига не формален. QSA, прежде, чем подпишет соответствие, выест весь мозг и таки придётся хотя бы наиболее критичные требования, но исполнить (менее критичные — "под честное слово, что вот-вот, мы уже практически сделали"). И архитектуру привести в соответствие, и нормативы расписать, и процессы худо-бедно устаканить.
Что касается мобильных приложений. Да, относительно чипованного пластика приложения — несколько менее удачный в плане безопасности вариант. Клиенту надо, как минимум, ооочень внимательно следить за тем — что он ставит на свой смартфон помимо банковского приложения, и уж тем более — никаких "рутов" или "джейлбрейков". А вот если приложение использует ещё и сертификат для формирования ЭЦП с ВНЕШНЕГО носителя (аладдин р.д. уже давно предлагает носители, рассчитанные под использование с мобильнми приложениями) или, как вариант, внешний OTP генератор — шансы потерять деньги через прикладуху стремятся к исчезающе малой величине. В итоге проще тупо использовать инсайд в банке.
у меня в нексусе 5 сть априложение Кошелек, но пока заюзать не пришлось — в Иркутске терминалы двно появились поэтмору их неспешат менять на бесконтактные. в Связномвидел, но там непонятно куда прикладывать.
Обычно бесконтактную карту прикладывают к экрану терминала, затем следует звуковой сигнал и можно забирать. Иногда попадаются терминалы со считывателем сбоку.
ко лбу жеж )) "на вашем счету 1000р.."
а вообще не парься, у меня в Москве тоже нет такой карты, старая еще годик служить будет, потом уже поменяю на беспроводную.
в метро ходил через смартфон, удобно и без очередей в кассу.. только уже не вспомню через какое приложение.. сейчас киви поддерживает, яндекс метро умел читать, может и оплачивать уже научился, палка вроде чего-то умела тоже..
Комментарии
2. На счет ограниченной суммы ... ненужно забывать, что "10 старушек это уже рубль", какие проблемы инициировать у карты несколько покупок подряд, увеличить это на количество людей ...т.е. в толпе злоумышленник очень неслабо будет зарабатывать
Сунул в такой и не паришься.
Закажи 20шт за доллар и раздай всем родственникам, проблема решена )
Сам чехол из какой-то тонкой радионепроницаемой синтетической бумаги, кошелёк не распирает.
Так что рекомендую.
Или бошки отрубать прилюдно как в саудовской аравии,у человека зарплата 15 тысяч или у пенсионера 5 тыщ,живёт от зарлаты до зарплаты а какое то гавно последнее вынимает и считает себя самым умным типа.
при списании у меня приходит смс в течении 5-10 секунд.. думаю вычислить подозрительного типа с большой сумкой в транспорте, который ходит и трется ей об жопы людей (это если кто карту вдруг в заднем кармане держит) — не проблема.. так что работников должно быть много, оборудование стоит от 100к я думаю.. вот и смотри.. окупит он оборудование за день или нет — еще вопрос.. а насчет остальных расходов молчу.
1. POS терминалы как мобильные, так и стационарные, как контактные, так и бесконтактные — не регистрируются в "органах". Сам по себе терминал не позволяет провести транзакцию, он должен быть подключен к процессинговой системе. А вот подключение к ней, конечно, требует определённых телодвижений и это можно сделать только официально.
2. Название статьи, мягко говоря, дебильное. Собственно, внимательный читатель, не сведущий в данном вопросе, поймёт это, прочитав эту статью, а сведущий знает это и без статьи.
Ну, а в остальном — статья правильная и годная. Впрочем, взглянув на источник, становится понятно, что "Компьютерра" откровенную пургу гнать не будет.
Что касается мобильных приложений. Да, относительно чипованного пластика приложения — несколько менее удачный в плане безопасности вариант. Клиенту надо, как минимум, ооочень внимательно следить за тем — что он ставит на свой смартфон помимо банковского приложения, и уж тем более — никаких "рутов" или "джейлбрейков". А вот если приложение использует ещё и сертификат для формирования ЭЦП с ВНЕШНЕГО носителя (аладдин р.д. уже давно предлагает носители, рассчитанные под использование с мобильнми приложениями) или, как вариант, внешний OTP генератор — шансы потерять деньги через прикладуху стремятся к исчезающе малой величине. В итоге проще тупо использовать инсайд в банке.
а вообще не парься, у меня в Москве тоже нет такой карты, старая еще годик служить будет, потом уже поменяю на беспроводную.
в метро ходил через смартфон, удобно и без очередей в кассу.. только уже не вспомню через какое приложение.. сейчас киви поддерживает, яндекс метро умел читать, может и оплачивать уже научился, палка вроде чего-то умела тоже..