Рубрика «NFC»

Визитки, обмен контактами

Аннотация: в статье сделан обзор современных технологий и мобильных приложений под android для обмена контактами.

В поездках, на конференциях и других мероприятиях мы часто встречаем новых людей. Обычно при обмене контактами мы называем свое имя, диктуем номер телефона, email, даем ссылку на профиль в соцсети или просто передаем новому знакомому свою бумажную визитку. На смену этих способов обмена контактами все чаще приходят другие – более быстрые, современные и технологичные. Давайте рассмотрим в этой статье какие варианты приходят на смену традиционным способам обмена контактами. Среди всех возможных вариантов обмена контактами выберем популярное направление – мобильные приложения для смартфонов, т.к. сейчас смартфон все чаще – это непременный атрибут современного человека.
Читать полностью »

В этой статье я хочу рассказать о безопасности систем автоматизированной оплаты парковки. Приблизительно таких, как на этой картинке.

image

При въезде выдается парковочный талон, при выезде он засовывается обратно в терминал. В основном, талоны бывают двух типов: бумажные со штрихкодом/QR-кодом и пластиковые бесконтактные карты, о последних и пойдет речь.
Читать полностью »

Всегда было интересно посмотреть, что происходит у банковской карточки под «капотом». Как реализуется протокол общения банковской карточки и POS-терминала, как это работает и насколько это безопасно. Такая возможность предстала передо мной, когда я проходил стажировку в компании Digital Security. В результате при разборе одной известной уязвимости EMV карт в MagStripe-режиме, было решено реализовать мобильное приложение, которые способно общаться с терминалом по бесконтактному интерфейсу, с использованием своих команд и подробным разбором запросов и ответов. А также попробовать реализовать способ клонирования карт MasterCard в режиме MagStripe.
В этой статье я постараюсь описать, что такое EMV-карта, как она работает и как используя Android можно попытаться клонировать вашу MasterCard карту.

«There are some things money can't buy. For everything else, there's MasterCard»

Что такое EMV карта?

EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия Europay + MasterCard + VISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу. Читать полностью »

Как украсть деньги с бесконтактной карты из кармана? Насколько безопасен PayPass и Apple Pay?

В статье разбираются популярные мифы и сценарии мошенничества с бесконтактными системами оплаты на примере настоящего POS-терминала, карт PayPass/payWave и телефонов с функцией Google Pay/Apple Pay.

Рассматриваемые темы:

  • Можно ли НА САМОМ ДЕЛЕ украсть деньги, прислонившись POS-терминалом к карману? — мы попытаемся полностью воспроизвести этот сценарий мошенничества от начала до конца, с использованием настоящего POS-терминала и платежных карт в реальных условиях.
  • В чем разница между физическими и виртуальными картами Apple Pay? — как происходит связывание физической карты и токена Apple Pay, и почему Apple Pay во много раз безопаснее обычной карты.
  • Используем аппаратный NFC-сниффер (ISO 14443A) — воспользуемся устройством HydraNFC для перехвата данных между POS-терминалом и картой. Рассмотрим, какие конфиденциальные данные можно извлечь из перехваченного трафика.
  • Разбираем протокол EMV — какими данными обменивается карта с POS-терминалом, используемый формат запросов, механизмы защиты от мошенничества и replay-атак.
  • Исследуем операции без карты (CNP, MO/TO) — в каких случаях на самом деле(!) можно украсть деньги с карты, имея только реквизиты, считанные бесконтактно, а в каких нельзя.

Внимание!
В статье подробно описывается гипотетическая схема мошенничества, от начала и до конца, глазами мошенника, с целью покрыть все аспекты, в которых культивируются мифы и заблуждения. Несмотря на провокационный заголовок, основной вывод статьи — бесконтактные платежи достаточно безопасны, а атаки на них трудоемки и невыгодны.

Материалы в статье представлены исключительно в ознакомительных целях. Все сцены демонстрации мошенничества инсценированы и выполнены с согласия участвующих в них лиц. Все списанные деньги с карт были возвращены их владельцам. Воровство денег с карт является уголовным преступлением и преследуется по закону.Читать полностью »

Используем Apple Pay, Android Pay, Mastercard Paypass, Visa PayWave и карту Тройка в качестве пропуска на работу

TL;DR В статье описывается процесс создания системы контроля доступа (СКУД), в которой в качестве идентификатора могут использоваться карты Тройка, любые бесконтактные банковские карты EMV, а также телефоны с Apple Pay и Android Pay. Управление системой происходит через Telegram-бота.

Основные задачи системы

  • Избавиться от лишних карт — в качестве идентификатора используется то, что уже есть у пользователя: транспортная карта, телефон или банковская карта. Какой идентификатор использовать — каждый выбирает сам. Система работает со всеми типами идентификаторов одновременно.
  • Избавиться от бюро пропусков и сложных программ управления — нам надоело выдавать и забирать карты у пользователей, держать отдельные компьютеры для управления пропусками, изучать переусложненные программы.
  • Управление через Telegram — заведение и удаления пользователей происходит удаленно и не требует компьютера.

Читать полностью »

Биохакера с имплантированным проездным оштрафовали за безбилетный проезд - 1

Многие привыкли платить в магазине и в транспорте бесконтактными смарт-картами. Это действительно очень удобно: достаточно поднести карточку к ридеру — и с неё списывается необходимая сумма денег или поездок. Если карта выдана банком, то при оплате мелких покупок не нужно вводить пинкод. Но у такой карты есть главный недостаток — её можно потерять.

Усовершенствовать систему предложил австралийский юрист по имени Мяу-Людо Диско Гамма Мяу-Мяу (Meow-Ludo Disco Gamma Meow-Meow). Зачем носить карточку в кармане, если гораздо удобнее вмонтировать чип непосредственно в руку. Такую идею биохакер (он называет себя киборгом) выдвинул в 2017 году — и реализовал на практике, зашив чип от карты под кожу левой ладони. «Киборг» рассчитывал, что теперь у него не возникнет проблем в общественном транспорте. Надежды разбились о суровую реальность. Прогрессивному гражданину пришлось заплатить штраф за безбилетный проезд, потому что формально он был обязан предъявить контролёру карту, но не смог.
Читать полностью »

Этой осенью Google представил новое платежное приложение для Индии. Его особенностью стала технология, которая позволяет перевести средства путем передачи данных между мобильными устройствами с помощью звука.

С 2013 году в метро Пекина работают автоматы, принимающие деньги за проезд по тому же принципу. Все, что требуется от пассажиров, чтобы оплатить поездку, — запустить приложение на своем мобильном телефоне и приблизить смартфон к датчику на автомате.

В основе этих решений лежит принцип обмена данными по аудиоканалу. Мобильные платежи — только одна из возможных сфер применения. В этой статье мы опишем достоинства и недостатки технологии, а также вспомним удачные решения.

Пятничный формат: Как «звучат» цифровые деньги - 1
Читать полностью »

По данным сетей «М.Видео» и «Эльдорадо», входящих в Группу САФМАР Михаила Гуцериева, за девять месяцев 2017 года год объем бесконтактных платежей в электронном ритейле вырос почти втрое по сравнению с аналогичным периодом прошлого года.

В «М.Видео» объем бесконтактных платежей в январе-сентябре 2017 года вырос в 2,7 раза по сравнению с аналогичным периодом прошлого года, Читать полностью »

Мы уже обсуждали возможность оплаты проезда в общественном транспорте касанием смартфона или умными часами до терминала оплаты. И за последние месяцы и годы мы увидели ряд новых достижений в этой сфере.

Банковская карта вместо проездного - 1
Читать полностью »

К 2018 году рынок бесконтактных платежей достигнет отметки $95 млрд, сообщают аналитики компании Juniper Research. Драйверами роста станут розничная торговля и транспортная отрасль. Например, больше половины людей хотят платить смартфонами за проезд во время путешествий, даже если цена проезда станет выше. И во многих странах бесконтактные платежи и технологии так или иначе приходят. Андрей Воронин, CEO международного платежного шлюза FondyЧитать полностью »