Marchez dans des voitures de métro avec un terminal de point de vente et retirez de l'argent. Puis-je
Vous pouvez marcher, prendre des photos, je pense, non. Ceci est ma première publication, il était particulièrement confiant de dire que «vous pouvez retirer de l'argent» dans des articles sur le développement des paiements sans contact PayPass, PayWave et de la technologie NFC dans son ensemble m'a incité à l'écrire. Dans ma réflexion, je me fie à mes propres observations sur le travail des systèmes bancaires, à la communication avec les employés de banque et aux documents généraux disponibles sur le Web. Nous essaierons d’abord de décrire la situation autant que possible, puis nous l’analyserons aux stades de post-traitement déjà au sein du système bancaire.Ainsi, il est supposé qu'une "mauvaise" personne, en quelque sorte, reçoit un terminal de point de vente mobile avec la technologie PayPass, capable d'accepter des paiements. Cette personne utilise les transports en commun, probablement aux heures de pointe, traverse la cabine et met le terminal sur les sacs, les poches des passagers, en déduisant des cartes bancaires des propriétaires pas plus de 1000 roubles, afin de ne pas provoquer de code PIN. Bientôt, il devrait recevoir cet argent sur un compte courant et le retirer. Il semble n'avoir rien oublié.Commençons dans l'ordre. Une personne doit avoir une entité juridique valide. Il doit ensuite ouvrir un compte dans l'une des banques qui proposent des terminaux de paiement. D'après ce que je vois dans les magasins, tous les terminaux sont représentés par des banques incluses dans les banques TOP30 de Russie, et probablement ces banques ont un service de sécurité important. En d'autres termes, la falsification de documents sera difficile. Ensuite, lors de l'ouverture d'un compte, le directeur de l'entreprise doit se rendre personnellement à l'agence bancaire et laisser un exemple de signature. C'est moi au point qu'il serait possible d'ouvrir un bureau pour un sans-abri, mais nous avons besoin d'un vrai directeur de personne vivant. De plus, quelqu'un doit personnellement "briller" à la banque au moins pour obtenir un terminal. Allez-y.De plus, à coup sûr, une profonde modernisation du terminal sera nécessaire. Après tout, vous devez lui faire faire et ne pas effectuer certaines opérations:1. Entrez automatiquement le montant du paiement, attendez le paiement, et après le paiement, entrez à nouveau le montant du paiement et ainsi de suite dans un cercle. Ou entrez peut-être des montants différents à chaque fois.2. IMPORTANT !!! Ne grincez pas et ne faites aucun son sous aucun prétexte !!!3. N'imprimez pas le bordereau (chèque) en double.4. Certes, il sera nécessaire de modifier l'antenne NFC, il est possible de la déplacer au-delà des dimensions de l'appareil et de la fixer sur la manche de la veste afin qu'il soit pratique de scanner imperceptiblement.De plus, vous devez trouver un moyen d'avoir un retour avec le terminal qui ne provoque pas de suspicion chez les passagers afin de savoir que le paiement est passé et vous pouvez continuer. Nous supposons que le terminal répondra silencieusement à toutes les modifications, il fonctionnera normalement et sans erreur.Je ne décrirai pas l'étape de la marche sur les voitures, la vague précise de mes mains en prévision des «signes» et autres trucs d'une personne, afin que ses actions ne suscitent pas de soupçons. Je veux juste vous rappeler que pour la plupart, tous les titulaires de carte ont le service de notification par SMS activé par défaut, et ce moment est le premier obstacle sérieux à notre «héros». Après tout, il est toujours possible de distraire l'attention d'une personne, mais il sera pratiquement impossible de distraire toute la voiture des sons des SMS entrants. De plus, les SMS ne proviendront pas du contenu le plus souhaité, et les gens commenceront à regarder autour pour trouver les raisons. Mais la chance sourit à notre «héros», et il ne travaillera que dans les tunnels où la communication ne fonctionne pas, et quittera la voiture avant que les alertes ne commencent à arriver. Mais sans communication, le terminal ne pourra pas traiter le paiement. Je veux ajouter mes pensées,Étant donné que le terminal est mobile et fonctionne sur la base d'un réseau cellulaire, je ne serai pas surpris que quelque part dans les journaux, il écrit et transmette des données sur son emplacement à l'endroit où il devrait se trouver. Et il se pourrait très bien que le Conseil de sécurité s'intéresse très rapidement à ces données.Et maintenant, nous passons à la partie la plus intéressante - le post-traitement des paiements. Comme nous le savons tous, les opérations avec des cartes sont divisées en plusieurs étapes. Au moment de la transaction, la banque acquéreuse (celle que le terminal nous a donnée) envoie une demande via le NSPK (nous sommes en Russie) à la banque émettrice (celle qui a émis la carte). Une demande de solde de fonds sur la carte suffisante pour le paiement. Après une réponse positive, notre terminal (dans des conditions normales) nous remet un bordereau (2 chèques) sur un paiement réussi et la banque émettrice bloque le montant (bloqué) jusqu'à ce que la transaction soit entièrement confirmée. L'une de ces confirmations n'est généralement que la deuxième copie du bordereau que le vendeur conserve. Auparavant, lorsqu'il n'y avait pas de cartes à puce et qu'il n'y avait pas de demande de code PIN, on nous demandait de laisser un autographe dessus. Et seulement lorsque toutes les formalités sont remplies,le montant précieux est débité du compte de la banque émettrice et va sur le compte du bureau. Mais notre terminal est spécial et n'imprime pas de bordereaux, ce qui signifie que des questions peuvent survenir. De plus, le montant est retenu en moyenne 2-3 jours jusqu'à l'annulation complète, et cette fois, il me semble, est suffisant pour nos passagers du métro d'appeler leur banque et de poser des questions sur les étranges radiations de fonds. Dans ce cas, la banque émettrice prolonge la retenue jusqu'à ce que la banque acquéreuse et notre «héros» prouvent que le paiement a été effectué dans un combat loyal! (je plaisante). Selon mes observations, les paiements sans entrer de code PIN (les mêmes via paypass) peuvent rester en attente pendant une semaine ou plus. Et ces paiements sont contestés beaucoup plus facilement que ceux confirmés par un code PIN. On pense que seul le titulaire de la carte peut connaître le code PIN, de telles opérations sont donc beaucoup plus difficiles à contester.Je pense avoir décrit tous les principaux aspects de cette question. J'espère que dans les commentaires, nous verrons l'autre côté de la médaille puis l'article deviendra plus complet.Le monde de la finance est très sensible à l'argent, et tout ce qui concerne les risques de sécurité et de réputation est très strictement surveillé. Je suis sûr que lorsque le système de paiement sans contact a été introduit, toutes les options de fraude avec ce système ont été pensées. Pour une raison quelconque, jusqu'à présent, je n'ai pas entendu une seule nouvelle, comment les pirates ont pris beaucoup d'argent des cartes bancaires en utilisant PayPass. Et le nouveau Apple Pay, Samsung Pay, Google Pay ne laisse aucune chance d'utiliser ce régime à l'avenir. Il est plus facile de prendre de l'argent aux personnes qui quittent le guichet automatique)))UPD. Dans un commentaire, @Anynet décrit simplement ses tentatives avec un terminal en direct.À mon tour, j'ai oublié de décrire la façon la plus simple de se protéger contre toute tentative de numérisation à distance de vos cartes - il suffit de garder les cartes avec NFC côte à côte. Travel Troika, même un ticket de métro est déjà désactivé. L'interférence des signaux de différentes cartes rendra impossible la lecture de la carte souhaitée. Cependant, ils disent que cela n'aide pas toujours.UPD2. Deux habitants ont apporté des informations manquantes à l'article:enalco a clarifié le problème du piratage du terminal , et
dr_begemot a bien décrit le moment de lire plusieurs cartes à la foisSource: https://habr.com/ru/post/fr399795/
All Articles