Gehen Sie mit einem POS-Terminal in U-Bahn-Wagen und ziehen Sie Geld ab. Kann ich

Sie können gehen, Fotos machen, glaube ich nicht. Dies ist meine erste Veröffentlichung. Besonders zuversichtlich waren Kommentare, dass "Sie Geld abheben können" in Artikeln über die Entwicklung kontaktloser Zahlungen PayPass, PayWave und die gesamte NFC-Technologie mich dazu veranlassten, sie zu schreiben. In meinen Gedanken verlasse ich mich auf meine eigenen Beobachtungen der Arbeit von Bankensystemen, auf die Kommunikation mit Bankangestellten und auf allgemeine Materialien, die im Internet verfügbar sind. Zuerst werden wir versuchen, die Situation so gut wie möglich zu beschreiben, und dann werden wir sie in den Nachbearbeitungsphasen analysieren, die bereits im Bankensystem vorhanden sind.

Es wird also angenommen, dass eine "schlechte" Person auf irgendeine Weise ein mobiles POS-Terminal mit PayPass-Technologie erhält, das Zahlungen akzeptieren kann. Diese Person benutzt öffentliche Verkehrsmittel, wahrscheinlich zur Hauptverkehrszeit, fährt durch die Kabine und legt das Terminal auf die Taschen, Taschen der Passagiere, wobei nicht mehr als 1000 Rubel von den Bankkarten der Eigentümer abgezogen werden, um keinen PIN-Code zu verursachen. Bald sollte er dieses Geld auf einem Girokonto erhalten und abheben. Es scheint nichts vergessen zu haben.

Beginnen wir in der richtigen Reihenfolge. Eine Person muss eine gültige juristische Person haben. Dann muss er ein Konto bei einer der Banken eröffnen, die Zahlungsterminals bereitstellen. Nach dem, was ich in den Läden sehe, werden alle Terminals von Banken vertreten, die zu den TOP30-Banken Russlands gehören, und wahrscheinlich haben diese Banken einen bedeutenden Sicherheitsdienst. Mit anderen Worten, das Fälschen von Dokumenten wird schwierig sein. Bei der Kontoeröffnung muss der Direktor des Unternehmens persönlich zur Bankfiliale kommen und eine Mustersignatur hinterlassen. Dies bin ich bis zu dem Punkt, dass es möglich wäre, ein Büro für einen Obdachlosen zu eröffnen, aber wir brauchen einen echten, lebhaften Personendirektor. Außerdem muss noch jemand persönlich in der Bank "glänzen", um ein Terminal zu bekommen. Mach weiter.

Darüber hinaus ist mit Sicherheit eine umfassende Modernisierung des Terminals erforderlich. Schließlich müssen Sie ihn einige Vorgänge ausführen lassen und nicht ausführen:

1. Geben Sie den Zahlungsbetrag automatisch ein, warten Sie auf die Zahlung, und geben Sie nach der Zahlung den Zahlungsbetrag usw. erneut in einem Kreis ein. Oder geben Sie jedes Mal andere Beträge ein.
2. WICHTIG !!! Unter keinen Umständen quietschen oder Geräusche machen !!!
3. Drucken Sie den Beleg nicht doppelt aus.
4. Sicherlich muss die NFC-Antenne modifiziert werden. Es ist möglich, sie über die Abmessungen des Geräts hinaus zu bewegen und an der Hülle der Jacke zu befestigen, damit Sie bequem und unauffällig scannen können.

Darüber hinaus müssen Sie eine Möglichkeit finden, um eine Rückmeldung an das Terminal zu erhalten, die bei den Passagieren keinen Verdacht hervorruft, um zu wissen, dass die Zahlung abgeschlossen ist und Sie weitermachen können. Wir gehen davon aus, dass das Terminal stillschweigend auf alle Änderungen reagiert und normal und fehlerfrei funktioniert.

Ich werde nicht beschreiben, wie ich auf Autos gehe, wie genau meine Hände in Erwartung von „Zeichen“ und anderen Tricks einer Person winken, damit seine Handlungen keinen Verdacht erregen. Ich möchte Sie nur daran erinnern, dass zum größten Teil alle Karteninhaber den SMS-Benachrichtigungsdienst standardmäßig aktiviert haben und dieser Moment das erste ernsthafte Hindernis für unseren „Helden“ ist. Es ist zwar immer noch möglich, die Aufmerksamkeit einer Person abzulenken, aber es ist praktisch unmöglich, das gesamte Auto von den Geräuschen eingehender SMS abzulenken. Darüber hinaus wird SMS nicht den begehrtesten Inhalt haben, und die Leute werden sich umschauen, um die Gründe zu finden. Aber lassen Sie das Glück unseren „Helden“ anlächeln, und er wird nur in Tunneln arbeiten, in denen die Kommunikation nicht funktioniert, und das Auto verlassen, bevor die Warnungen eintreffen. Ohne Kommunikation kann das Terminal die Zahlung jedoch nicht verarbeiten. Ich möchte meine Gedanken hinzufügen,Da das Terminal mobil ist und auf der Basis eines Mobilfunknetzes arbeitet, wundert es mich nicht, dass es irgendwo in den Protokollen Daten über seinen Standort schreibt und an den Ort überträgt, an dem es sich befinden sollte. Und es kann sehr gut sein, dass der Sicherheitsrat sehr schnell an diesen Daten interessiert sein wird.

Und jetzt kommen wir zum interessantesten Teil - der Nachbearbeitung von Zahlungen. Wie wir alle wissen, sind Operationen mit Karten in mehrere Stufen unterteilt. Zum Zeitpunkt der Transaktion sendet die erwerbende Bank (diejenige, die uns das Terminal gegeben hat) eine Anfrage über die NSPK (wir sind in Russland) an die ausstellende Bank (die die Karte ausgestellt hat). Eine Aufforderung zur Zahlung des Guthabens auf der Karte reicht für die Zahlung aus. Nach einer positiven Antwort erhalten Sie von unserem Terminal (unter normalen Bedingungen) einen Beleg (2 Schecks) über eine erfolgreiche Zahlung, und die ausstellende Bank blockiert den Betrag (wird gehalten), bis die Transaktion vollständig bestätigt ist. Eine dieser Bestätigungen ist normalerweise nur die zweite Kopie des Belegs, den der Verkäufer aufbewahrt. Früher, als es keine Chipkarten gab und kein PIN-Code angefordert wurde, wurden wir gebeten, ein Autogramm darauf zu hinterlassen. Und nur wenn alle Formalitäten erfüllt sind,Der geschätzte Betrag wird vom Konto der ausstellenden Bank abgebucht und geht auf das Konto der Geschäftsstelle. Unser Terminal ist jedoch etwas Besonderes und druckt keine Belege, sodass Fragen auftreten können. Darüber hinaus wird der Betrag durchschnittlich 2-3 Tage bis zur vollständigen Abbuchung einbehalten, und diesmal scheint es mir, dass unsere U-Bahn-Passagiere ihre Bank anrufen und böse nach seltsamen Belastungen fragen. In diesem Fall kann die ausstellende Bank den Betrag einbehalten, bis die erwerbende Bank und unser „Held“ beweisen, dass die Zahlung in einem fairen Kampf geleistet wurde! (nur ein Scherz). Nach meinen Beobachtungen können Zahlungen ohne Eingabe eines PIN-Codes (dieselben über Paypass) eine Woche oder länger in der Warteschleife bleiben. Und diese Zahlungen sind viel einfacher zu bestreiten als diejenigen, die mit einem PIN-Code bestätigt wurden. Es wird angenommen, dass nur der Karteninhaber den PIN-Code kennen kann, so dass solche Operationen viel schwieriger zu bestreiten sind.

Ich glaube, ich habe alle Hauptaspekte dieses Themas beschrieben. Ich hoffe, in den Kommentaren sehen wir die andere Seite der Medaille und dann wird der Artikel vollständiger.

Die Finanzwelt reagiert sehr empfindlich auf Geld, und alles, was mit Sicherheits- und Reputationsrisiken zusammenhängt, wird sehr streng überwacht. Ich bin sicher, dass bei Einführung des kontaktlosen Zahlungssystems alle Betrugsoptionen mit diesem System durchdacht wurden. Aus irgendeinem Grund habe ich bisher keine einzige Nachricht gehört, wie Hacker mit PayPass viel Geld von Bankkarten abgezogen haben. Und das neue Apple Pay, Samsung Pay und Google Pay lassen keine Chance, dieses Schema in Zukunft zu nutzen. Es ist einfacher, Geld von Personen zu nehmen, die vom Geldautomaten abreisen

. In einem Kommentar beschreibt @Anynet nur seine Versuche mit einem Live-Terminal.
Ich habe wiederum vergessen zu beschreiben, wie Sie sich am einfachsten vor Versuchen schützen können, Ihre Karten aus der Ferne zu scannen. Bewahren Sie die Karten mit NFC einfach nebeneinander auf. Travel Troika, sogar ein U-Bahn-Ticket ist schon aus. Die Interferenz von Signalen von verschiedenen Karten macht das Lesen der gewünschten Karte unmöglich. Obwohl sie sagen, dass es nicht immer hilft.

UPD2. Zwei Bewohner brachten fehlende Informationen in den Artikel:
enalco klärte das Problem des Hackens des Terminals auf , und dr_begemot beschrieb den Moment des Lesens mehrerer Karten gleichzeitig gut

Source: https://habr.com/ru/post/de399795/