Ande em vagões do metrô com um terminal POS e sacar dinheiro. Posso

Você pode andar, tirar fotos, acho que não. Esta é minha primeira publicação, foram comentários especialmente confiantes de que “você pode sacar dinheiro” em artigos sobre o desenvolvimento de pagamentos sem contato PayPass, PayWave e toda a tecnologia NFC como um todo, me levou a escrevê-lo. Em meus pensamentos, confio em minhas próprias observações do trabalho dos sistemas bancários, na comunicação com funcionários do banco e em materiais gerais disponíveis na Web. Primeiro, tentaremos descrever a situação o máximo possível e analisá-la nos estágios de pós-processamento já existentes no sistema bancário.

Portanto, supõe-se que uma pessoa "má" receba, de alguma maneira, um terminal POS móvel com tecnologia PayPass, capaz de aceitar pagamentos. Essa pessoa usa transporte público, provavelmente na hora do rush, passa pela cabine e coloca o terminal nas malas, bolsos dos passageiros, deduzindo dos cartões bancários dos proprietários o valor não superior a 1000 rublos, para não causar um código PIN. Em breve, ele deve receber esse dinheiro em uma conta corrente e sacá-lo. Parece não ter esquecido nada.

Vamos começar em ordem. Uma pessoa precisa ter uma entidade legal válida. Em seguida, ele deve abrir uma conta em um dos bancos que fornecem terminais de pagamento. Com base no que vejo nas lojas, todos os terminais são representados por bancos incluídos nos bancos TOP30 da Rússia e, provavelmente, esses bancos têm um serviço de segurança significativo. Em outras palavras, forjar documentos será difícil. Então, ao abrir uma conta, o diretor da empresa deve pessoalmente ir à agência bancária e deixar uma amostra de assinatura. Sou eu a tal ponto que seria possível abrir um escritório para um sem-teto, mas precisamos de um diretor de pessoa real e animado. Além disso, alguém pessoalmente ainda precisa "brilhar" no banco pelo menos para conseguir um terminal. Vá em frente.

Além disso, com certeza, será necessária uma profunda modernização do terminal. Afinal, você precisa fazê-lo executar e não executar algumas operações:

1. Insira automaticamente o valor do pagamento, aguarde o pagamento e, após o pagamento, insira novamente o valor do pagamento e assim por diante em um círculo. Ou talvez insira quantidades diferentes a cada vez.
2. IMPORTANTE !!! Não chie ou faça qualquer som, sob quaisquer circunstâncias !!!
3. Não imprima a guia (cheque) em duplicado.
4. Certamente, será necessário modificar a antena NFC, é possível movê-la além das dimensões do dispositivo e conectá-la à manga da jaqueta, para que seja conveniente digitalizar imperceptivelmente.

Além disso, você precisa encontrar uma maneira de receber feedback do terminal que não cause suspeita entre os passageiros, a fim de saber que o pagamento foi aprovado e você pode seguir em frente. Assumimos que o terminal responderá silenciosamente a todas as alterações, funcionará normalmente e sem erros.

Não descreverei o estágio de andar em carros, o aceno preciso de minhas mãos em antecipação a “sinais” e outros truques de uma pessoa, para que suas ações não despertem suspeitas. Quero apenas lembrá-lo de que, na maioria das vezes, todos os portadores de cartão têm o serviço de notificação por SMS ativado por padrão, e esse momento é o primeiro obstáculo sério ao nosso "herói". Afinal, ainda é possível distrair a atenção de uma pessoa, mas será praticamente impossível distrair o carro inteiro dos sons do SMS recebido. Além disso, o SMS não virá do conteúdo mais desejado, e as pessoas começarão a procurar ao redor para descobrir os motivos. Mas deixe a sorte sorrir para o nosso "herói", e ele trabalhará apenas em túneis onde a comunicação não funciona e deixará o carro antes que os alertas comecem a chegar. Mas, sem comunicação, o terminal não poderá processar o pagamento. Eu quero adicionar meus pensamentos,Como o terminal é móvel e funciona com base em uma rede celular, não me surpreenderá que em algum lugar nos registros ele grave e transmita dados sobre sua localização para onde deveria estar. E pode muito bem ser que o Conselho de Segurança se interesse por esses dados muito rapidamente.

E agora passamos à parte mais interessante - pós-processamento de pagamentos. Como todos sabemos, as operações com cartões são divididas em várias etapas. No momento da transação, o banco adquirente (aquele que o terminal nos deu) envia uma solicitação através do NSPK (estamos na Rússia) ao banco emissor (aquele que emitiu o cartão). Uma solicitação de saldo de fundos no cartão é suficiente para pagamento. Após uma resposta positiva, nosso terminal (em condições normais) nos fornece uma nota (2 cheques) sobre um pagamento bem-sucedido, e o banco emissor bloqueia o valor (fica em espera) até que a transação seja totalmente confirmada. Uma dessas confirmações geralmente é apenas a segunda cópia do boleto que o vendedor retém. Anteriormente, quando não havia cartões com chip e não havia solicitação de um código PIN, fomos solicitados a deixar um autógrafo nele. E somente quando todas as formalidades forem cumpridas,o valor estimado é debitado da conta do banco emissor e vai para a conta do escritório. Mas nosso terminal é especial e não imprime boletos, o que significa que podem surgir dúvidas. Além disso, o valor é retido, em média, de 2 a 3 dias até o débito completo, e desta vez, parece-me, é suficiente para que nossos passageiros do metrô liguem para o banco e perguntem maldosamente sobre débitos estranhos. Nesse caso, o banco emissor estende a retenção da quantia até que o banco adquirente e o nosso “herói” provem que o pagamento foi realizado em uma luta justa! (brincando). De acordo com minhas observações, os pagamentos sem inserir um código PIN (os mesmos através do paypass) podem ficar em espera por uma semana ou mais. E esses pagamentos são contestados com muito mais facilidade do que aqueles confirmados com um código PIN. Acredita-se que apenas o titular do cartão possa conhecer o código PIN, portanto, essas operações são muito mais difíceis de contestar.

Acho que descrevi todos os principais aspectos desta questão. Espero que nos comentários, vejamos o outro lado da moeda e o artigo se torne mais completo.

O mundo das finanças é muito sensível ao dinheiro, e tudo relacionado a riscos de segurança e reputação é monitorado com muito rigor. Estou certo de que, quando o sistema de pagamento sem contato foi introduzido, todas as opções de fraude com esse sistema foram pensadas. Por alguma razão, até agora não ouvi nenhuma notícia, como os hackers tiraram muito dinheiro de cartões bancários usando o PayPass. E o novo Apple Pay, Samsung Pay e Google pay não deixam chance de usar esse esquema no futuro. É mais fácil receber dinheiro de pessoas que saem do caixa eletrônico)))

UPD. Em um comentário, @Anynet apenas descreve suas tentativas com um terminal ativo.
Por sua vez, esqueci de descrever a maneira mais fácil de me proteger contra qualquer tentativa de digitalizar remotamente seus cartões - apenas mantenha os cartões com NFC próximos um do outro. Troika de viagem, até uma passagem de metrô já está desativada. A interferência de sinais de cartões diferentes impossibilitará a leitura do cartão desejado. Embora, eles dizem que nem sempre ajuda.

UPD2. Dois habitantes trouxeram informações ausentes ao artigo: a
enalco esclareceu a questão de invadir o terminal e o dr_begemot descreveu bem o momento de ler vários cartões de cada vez

Source: https://habr.com/ru/post/pt399795/