Ходить по вагонам метро с POS-терминалом и снимать деньги. Можно?

в 21:25, , рубрики: NFC-froud, информационная безопасность, электронная коммерция, метки:

image Ходить можно, снимать, думаю, нельзя. Это моя первая публикация, взяться ее написать меня побудили особо уверенные комментарии о том, что «можно снимать деньги» в статьях про развитие бесконтактных платежей PayPass, PayWave и всей технологии NFC в целом. В своих размышлениях я опираюсь на собственные наблюдения работы банковских систем, на общение с сотрудниками банков и на общие материалы, которые доступны в Сети. Попробуем для начала описать ситуацию как можно подробнее, а потом разберем ее на этапы пост-обработки уже внутри банковской системы.

Итак, предполагается, что некий «нехороший» человек, неким путем получает мобильный POS-терминал с технологией PayPass, способный принимать платежи. Этот человек пользуется общественным транспортом, наверняка в час-пик, проходит по салону и прикладывая терминал к сумкам, карманам пассажиров, списывая с банковских карточек хозяев суммы менее 1000 руб., чтобы не вызывать процедуру ввода пин-кода. Вскоре он должен получить эти деньги на расчетный счет и вывести их. Вроде бы ничего не забыл.

Начнем по порядку. Человеку нужно иметь действующее юр.лицо. Дальше он должен открыть счет в одном из банков, которые предоставляют платежные терминалы. Исходя из того, что я вижу в магазинах, все терминалы представлены банками входящие в ТОР30 банков России, и вероятно имеют значительную службу безопасности. Другими словами подлог документов будет затруднительным. Кроме того, при открытие счета директор компании должен лично явится в отделение банка и оставить образец подписи. Это я к тому, что можно было бы открыть контору на бомжа, но нужен реальный живой человек-директор. Плюс ко всему, кому-то лично все таки придется «светиться» в банке как минимум для получения терминала. Идем дальше.

Далее наверняка потребуется глубокая модернизация терминала. Ведь нужно заставить его делать и не делать некоторые операции:

1. Автоматически вводить сумму платежа, ждать оплаты и после оплаты снова вводить сумму платежа и так по кругу. А может быть, вводить каждый раз разные суммы.
2. ВАЖНО!!! Не пищать и не издавать вообще никаких звуков ни при каких условиях!!!
3. Не печатать слип (чек) в двух экземплярах.
4. Наверняка, нужно будет модифицировать антенну NFC, возможно вынести ее за габариты устройства и присобачить к рукаву куртки, чтобы было удобно незаметно сканировать.

Кроме того, нужно придумать способ иметь обратную связь с терминалом не вызывающий подозрений у пассажиров, чтобы знать, что платеж прошел и можно двигаться дальше. Будем считать, что на все переделки терминал отреагирует молча, будет работать штатно и без ошибок.

Я не стану описывать этап хождения по вагонам, аккуратные взмахи руками в ожидании «знаков» и прочие уловки человека, дабы его действия не вызывали подозрения. Хочется только вспомнить, что в массе своей, у всех держателей платежных карт услуга СМС-оповещения подключена по-умолчанию, и этот момент является первым серьезным препятствием нашего героя. Ведь отвлечь внимание одного человека еще можно, но отвлекать целый вагон от звуков приходящих СМС будет практически невозможно. Мало того, приходить СМС будут не самого доброго-желанного содержания, и народ начнет оглядываться по сторонам в поисках причин. Но пусть удача улыбнется нашему герою, и он будет работать только в тоннелях, где связь не работает, и покидать вагон до того, как начнут приходить оповещения. Но без связи и терминал не сможет обработать платеж. Хочу добавить свои размышления, т.к терминал мобильный и работает на базе сотовой сети, не удивлюсь, что где-то в логах он пишет и передает данные о своем местоположении куда следует. И очень может быть, что СБ этими данными очень быстро заинтересуется.

И вот теперь мы переходим к самому интересному — пост-обработка платежей. Как всем нам известно, операции с картами делаться на несколько этапов. В момент транзакции банк-экваер (тот, что дал нам терминал) отправляет запрос через НСПК (мы же в России) в банк-эмитент (тот, что выпустил карту). Запрос об остатке средств на карте достаточных для платежа. После положительного ответа, наш терминал (в обычных условиях) выдает нам слип (2 чека) об успешной платеже, а банк-эмитент блокирует сумму (вешает на hold) до полного подтверждения транзакции. Одним из таких подтверждений обычно служит как раз второй экземпляр слипа, который продавец оставляет у себя. Раньше, когда не было чип-карт и не было запроса пин-кода, на нем нас просили оставить свой автограф. И только когда все формальности соблюдены, заветная сумма списывается со счета банка-эмитента и уходит на расчетный счет конторы. Но у нас терминал особенный и слипы не печатает, а значит могут возникнуть вопросы. Кроме того, сумма удерживается в среднем 2-3 дня до полного списания, а этого времени, мне кажется, достаточно для того, чтобы наши пассажиры метро, позвонили в свой банк и зло спросили о странных списаниях средств. В таком случае, банк-эмитент продлевает удерживать сумму до тех пор, пока банк-экваер и наш «герой» не докажут, что платеж был взят в честном бою! (шучу). По моим наблюдениям, платежи без введения пин-кода (те самые через paypass) могут висеть на холде неделю и больше. И оспариваются эти платежи гораздо легче, чем которые подтвердили пин-кодом. Считается, что пин-код может знать только держатель карты, поэтому такие операции оспариваются гораздо сложнее.

Мне кажется, я описал все главные аспекты этого вопроса. Надеюсь в комментариях, мы увидим другую сторону медали и тогда статья станет более полной.

Мир финансов очень трепетно относится к деньгам, и всё что касается безопасности и репутационных рисков очень строго отслеживается. Уверен, что когда внедряли систему бесконтактных платежей, все варианты фрода с этой системой были продуманы. Почему-то до сих я не слышал ни одной новости, как хакеры сняли кучу денег с банковских карт используя PayPass. А новые Apple Pay, Samsung Pay, Google pay не оставляют шансов использовать это схему в будущем. Проще отнимать деньги у людей отходящих от банкомата )

Автор: motpac

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js