Geekly articles weekly

使用POS终端在地铁上行走并取钱。我可以吗

图片我想你不能走路,拍照。这是我的第一本出版物,它特别有信心地评论说,关于非接触式支付PayPass,PayWave和整个NFC技术的整体发展的文章中的“您可以提款”促使我编写了它。在我的思想中,我依靠自己对银行系统工作的观察,与银行员工的沟通以及网上可用的一般资料。首先,我们将尝试尽可能地描述这种情况,然后我们将在银行系统内已经存在的后处理阶段进行分析。

因此,假设某个“坏人”以某种方式接收到具有PayPass技术的移动POS终端,该终端能够接受付款。此人可能在高峰时段使用公共交通工具,经过机舱,将航站楼放在行李袋,乘客口袋上,从车主的银行卡中扣除不超过1000卢布,以免造成PIN码。不久,他应该在往来帐户中收到这笔钱并提取。似乎什么也没忘记。

让我们按顺序开始。一个人需要有一个有效的法人实体。然后,他必须在提供支付终端的一家银行中开设一个帐户。根据我在商店中看到的信息,所有终端均由俄罗斯TOP30银行中的银行代表,这些银行可能提供了重要的安全服务。换句话说,伪造文件将很困难。然后,在开户时,公司董事必须亲自到银行分行并留下样本签名。我的意思是,有可能为一个无家可归的人开设办公室,但我们需要一个真正,活泼的人事主任。另外,至少要获得终端机,个人仍然必须在银行“发光”。来吧

此外,可以肯定的是,将需要对终端进行深度现代化。毕竟,您需要让他做而不要做一些操作:

1.自动输入付款金额,等待付款,然后在付款后再次输入付款金额,以此类推。或者,也许每次输入不同的金额。
2.重要!在任何情况下都不要发出吱吱声或发出任何声音!
3.请勿重复打印支票(支票)。
4.当然,有必要修改NFC天线,可以将NFC天线移动到超出设备尺寸的范围,然后将其连接到夹克的袖子上,以便于不易察觉地进行扫描。

此外,您需要想出一种在终端上获得不会引起乘客怀疑的反馈的方式,以便知道付款已经通过,您可以继续前进。我们假设终端将对所有更改保持沉默,它将正常运行且没有错误。

我不会描述在汽车上行走的阶段,预期“迹象”时我的准确挥手以及一个人的其他trick俩,以便他的行为不会引起怀疑。我只想提醒您,在大多数情况下,所有持卡人都默认启用了SMS通知服务,而这一刻是我们“英雄”的第一个严重障碍。毕竟,仍然可以分散一个人的注意力,但实际上不可能将整个汽车从传入SMS的声音中分散出来。而且,SMS不会包含最理想的内容,人们将开始四处寻找原因。但是,让运气对我们的“英雄”微笑,他只会在无法通信的隧道中工作,并在警报开始到达之前离开汽车。但是,如果没有通信,终端将无法处理付款。我想补充一下我的想法,由于该终端是可移动的并且可以在蜂窝网络的基础上工作,所以我不会惊讶于它在日志中的某处写入并传输有关其位置的数据到应该到达的位置。安全理事会很可能会对这些数据非常感兴趣。

现在,我们进入最有趣的部分-付款的后处理。众所周知,卡的操作分为几个阶段。在交易时,收单银行(终端给我们的那家)通过NSPK(我们在俄罗斯)向发卡银行(发卡的那一家)发送请求。要求卡上的资金余额足以支付。收到正面回应后,我们的终端机(在正常情况下)会向我们发送一张有关成功付款的单据(两张支票),开证行会冻结该金额(暂停),直到交易被完全确认为止。这些确认书之一通常只是卖方保留的发票的第二份副本。以前,当没有芯片卡并且没有要求输入密码时,我们被要求在上面留下签名。只有满足所有手续宝藏金额将从开证行的帐户中扣除并转到办事处的帐户中。但是我们的终端机很特殊,并且不会打印纸条,这意味着可能会出现问题。另外,这笔钱平均要等2至3天才被扣留,直到我完全注销为止,在我看来,这一次足以让我们的地铁乘客打电话给他们的银行,并邪恶地询问奇怪的资金注销情况。在这种情况下,开证行会延期扣留这笔款项,直到收单行和我们的“英雄”证明付款是在公平的战斗中! (开个玩笑)。根据我的观察,未输入PIN码的付款(通过Paypass进行的付款)可能会暂停一周或更长时间。这些付款比使用密码验证的付款更容易争议。据认为,只有持卡人才能知道该PIN码,因此,此类操作将更加难以争议。

我认为我描述了此问题的所有主要方面。我希望在评论中,我们将看到硬币的另一面,然后文章将变得更加完整。

金融世界对金钱非常敏感,与安全和声誉风险相关的所有事物都受到严格监控。我确信在引入非接触式支付系统时,会考虑使用该系统的所有欺诈选项。出于某种原因,到目前为止,我还没有听到一个关于黑客如何使用PayPass从银行卡中提取大量资金的消息。而且,新的Apple Pay,Samsung Pay,Google Pay将来没有机会使用此计划。从ATM机上取钱的人更容易)))

UPD。在评论中, @ Anynet只是通过实时终端描述了他的尝试。
反过来,我忘记描述最简单的方法来防止任何试图远程扫描卡的尝试-只需将带有NFC的卡彼此相邻即可。旅行三驾马车,甚至地铁票也已经关闭。来自不同卡的信号的干扰将使得无法读取所需的卡。虽然,他们说这并不总是有帮助。

UPD2。有两个居民给这篇文章带来了缺失的信息:
enalco阐明了入侵终端的问题,而 dr_begemot很好地描述了一次读取几张卡片的瞬间

Source: https://habr.com/ru/post/zh-CN399795/

More articles:


All Articles