Метка «бесконтактные платежи»

image

Недавно мы приглашали владельцев HTC One принять участие в тестировании NFC платежей и теперь хотим поблагодарить всех, кто включился и поспособствовал развитию бесконтактных платежей в нашей стране. Сегодня приложение «Кошелек» уже стало доступно для всех владельцев HTC One и Philips Xenium W336 после обновления прошивки, а в ближайшее время им также смогут пользоваться обладатели HTC One Dual SIM, HTC One Max, HTC One SV, HTC Desire 500, HTC Desire 600 и Philips Xenium W8555.

В комментариях к предыдущему посту и хабродиалогах было много вопросов о том, как работает «Кошелек» и что нужно сделать, чтобы поместить в него банковскую карту или проездной билет, не снимая задней крышки телефона и не используя двухсторонний скотч. В данном посте я попробую ответить на эти вопросы и рассказать, как это работает.
Читать полностью »

Группа экспертов (Thomas Diakos, Johann Briffa, Tim Brown и Stephan Wesemeyer) опубликовала отчет об исследование возможностей перехвата данных NFC-транзакций.

В отчете приводится оценка возможностей успешного проведения атак перехвата бесконтактных платежных транзакций, проводимых с использованием технологий NFC. Исследователи использовали недорогое оборудование для создания простых устройств перехвата. Кроме того, на одном из этапов в качестве антенны была использована обычная металлическая тележка из супермаркета.

image
Читать полностью »

imageПро NFC на Хабре сказано уже не мало, но это либо теоретические аспекты, либо примеры контактной персонализации. Сегодня я хочу затронуть тему удаленного выпуска карточных продуктов и функций платформы TSM. Вернее, разберем мы этот вопрос в следующих постах, а для начала предлагаю попробовать NFC-платежи на практике.

Все что для этого нужно, — это совместимый смартфон и специальный софт, который сможет реализовать аппаратные возможности NFC. Так как HTC One будет одним из первых смартфонов на рынке России, на котором станет доступно приложение NFC Кошелек (или просто «Кошелек»), то и коснется данный пост в первую очередь владельцев этой модели. «Кошелек», если кратко, это примерно то же самое, что и Google Wallet, только разработан он в России, и «карточки» в него можно будет загружать в первую очередь от российских поставщиков услуг (я имею в виду банки, метро, гор.транспорт, купоны, скидки и пр.).

Совсем скоро первая версия «Кошелька» — продукта, над которым мы работаем в компании i-Free, — станет частью прошивки официально поставляемых в Россию HTC One, и перед этим мы хотим убедиться, насколько это возможно, что все ОК. Поэтому я хочу попросить вас, как наиболее активную аудиторию владельцев этого смартфона, подключиться ко второй фазе бета-теста и наконец-то попробовать воспользоваться вашими One-ами как полноценными банковскими картами.
Читать полностью »

Вам встречались люди с торчащим кусочком фольги из кошелька? Нет? Совсем скоро вы их увидите во всех городах страны! Кто эти люди? Самые обычные граждане, которые волнуются за свои финансы. Причина их беспокойства — бесконтактные платежные карты технологии PayWave и PayPass.

Бесконтактные банковские карты – это уже знакомые и привычные для нас кусочки пластика, с той лишь разницей, что в них есть антенна для передачи информации по радиоканалу. Самыми распространёнными их видами являются VISA PayWave и MasterCard PayPass. Отличить такие карты можно по соответствующему символу в виде волны в углу и названию бесконтактной технологии рядом с логотипом платежной системы. Для оплаты покупки всего лишь надо поднести такую карту к платёжному терминалу, оснащенному специальным радиоприемником. И всё — платеж осуществлен. Никаких вводов паролей и оставления «автографов». Скорость увеличивается – очереди сокращаются.

Но как во всем прекрасном, так и в бесконтактных платежах есть свои спорные моменты. Увидев, как работают карты данного типа, возникает вопрос: если продавец может получить с карты данные, необходимые для проведения транзакции, что мешает злоумышленнику просканировать карту и снять с нее деньги? Безопасно или нет носить в кармане бесконтактную банковскую карту?

Немного истории

Впервые вопрос о безопасности банковских карт возник вначале 70-ых годов ХХ века, когда банки столкнулись с острой нехваткой рабочих рук. Операционисты не успевали обрабатывать вал бумаг, которыми сопровождались запросы на кредиты и их одобрение.

Эта ситуация побудила банки организовать самообслуживание клиентов при помощи банкоматов. Для обеспечения доверия новому оборудованию инженерам нужно было предложить способ, с помощью которого пользователи могли бы просто, быстро и безопасно себя идентифицировать. Так появились карты с магнитной полосой.

Однако в таких картах с магнитными носителями существовала и существует серьезная проблема, которая называется скимминг. В случае проведения «пластика» через скиммер, специальное считывающее устройство, маскируемое под штатные элементы банкомата, злоумышленники могут сделать копию магнитной полосы, а затем перенести полученную информацию на чистую карту.

В ответ на это в 80-х годах появились смарт-карты. По своему внешнему виду они весьма похожи на своих прародителей. Наряду с магнитной полосой, которая используется там, где недоступны считывающие устройства для смарт-карт, в пластик корпуса такой карты встраивается еще микропроцессорный чип – фактически полноценный компьютер. В контексте банковских приложений его еще часто называют EMV-чипом.

EMV – это стандарт, созданный совместными усилиями компаний Europay, MasterCard и Visa с целью повышения уровня безопасности банковских платежей. Вскоре после его создания Europay и MasterCard слились в одну компанию, но название документа уже менять не стали.
Итак, за счет чего повысился уровень безопасности?

Во-первых, сложность подделки. Две минуты поиска на просторах Интернета и Вам будет предложена самая подробная инструкция по клонированию карт с магнитной полосой, а так же несколько десятков вариантов приобретения оборудования, необходимого для этого. Подделка карты с чипом на данный момент считается невозможной.

Второй фактор безопасности — использование динамических данных. Для каждой банковской транзакции EMV-чип генерирует индивидуальный код подтверждения. В связи с этим, перехват данных, передаваемых при платеже, становится бессмысленным.

В-третьих, появление предметной верификации держателя. При использовании магнитной карты для подтверждения платежа Вам необходимо поставить свою подпись, которую в большинстве случаев никто не сличает с оригиналом. А о том, что необходимо так же сверить имя владельца «пластика» с удостоверением личности его держателя, и говорить не стоит. При использовании чиповой карты подтверждение каждого платежа происходит путем введения PIN-кода.

Хоть EMV-чип стал серьезной альтернативой магнитной полосе, тем не менее, и у него есть ряд недостатков. Самый главный из них – это необходимость обеспечивать совместимость с гигантской инфраструктурой магнитной полосы. Для решения данной проблемы банки выпускают гибридные карты, предоставляющие оба варианта доступа к платежу. Но при обслуживании такой комбинированной карты по магнитной полосе, вновь встает вопрос безопасности. Снова появляется угроза скимминга.

Стоит отметить, что копирование данных все-таки возможно и с чипа. Со смарт-карт, выпущенных до 2008 года (MasterCard) и до 2009 года (Visa), можно считать информацию достаточную для изготовления соответствующей магнитной полосы, а именно: номер, срок действия, служебный код, информация о банке. Для карт, выпущенных позднее указанных дат, такой проблемы уже не существует.

Получится ли у мошенника воспользоваться такой копией или нет – вопрос. Как и карты, так и терминалы бывают различных типов. Если мошенник с «клоном» обратится в терминал, оборудованный только считывателем магнитной полосы, то проблем с использованием не возникнет. Гибридный терминал при распознавании кода, полученного с карты, способен установить, что помимо магнитной полосы она должна содержать еще и чип. В таком случае транзакция осуществлена не будет.

Вторая серьезная проблема EMV-чипа – это низкая скорость работы контактного интерфейса. Время необходимое для доступа к чипу, авторизации и выполнения необходимых процедур существенно больше, чем время транзакции по карте с магнитной полосой. В случае систем массового обслуживания данный факт может быть куда более критичным, чем риски мошенничества.

Все это обусловило необходимость создания платежных технологий, которые сочетали бы в себе лучшие стороны как магнитных, так и чиповых карт и при этом имели минимум недостатков. На эту роль как раз и претендуют бесконтактные банковские карты NFC.

О бесконтактных технологиях

В качестве физической основы механизма бесконтактных банковских платежей используется технология NFC. NFC (Near Field Communication — «коммуникация ближнего поля») — это беспроводная высокочастотная связь малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 10 сантиметров. По сути, это простое расширение стандарта бесконтактных карт (ISO 14443) RFID, объединение интерфейса смарт-карты и считывателя в единое устройство. Технология NFC в области банковских приложений позволяет заменить устаревшую, но привычную магнитную полосу на более современное решение, не ограничиваясь при этом банковскими картами. Оплата может производиться и иными платежными инструментами, будь то сотовый телефон или RFID-стикер, наклеенный на любой удобный предмет.

В бесконтактных картах информация, необходимая для проведения транзакций, хранится на чипе карты. Существует два типа таких карт.

Для первого варианта исполнения характерно наличие только бесконтактного интерфейса, размещенного на карте c магнитной полосой. Данный вид предназначен, в основном, для США. Фактически бесконтактный модуль является статическим и дублирует информацию, хранящуюся на магнитной полосе.

Второй вариант является более защищенным, чем первый. В такой карте обязательно наличие двух интерфейсов, взаимодействующих с чипом: контактного (впаянного элемента, напоминающего SIM-карту) и бесконтактного (RFID-метка). Карты данного типа соответствуют стандарту EMV. Они не только сохранили преимущества своих «чипованных собратьев», но и стали более удобными:

— Бесконтактная карта всегда остается при своем владельце. Её не надо передавать продавцу для проведения через считывающее устройство или вставлять в терминал. Особенно приятно прекращение практики, при которой вы, оплачивая обед, должны смириться с тем, что официант взял карту и ушёл оплачивать Ваш заказ, обслуживать других посетителей, пить чай и т.д.

— По бесконтактным картам, с целью увеличения скорости обслуживания, разрешены платежи без дополнительной аутентификации. Для России эта сумма составляет 1 000 рублей, для Украины – 200 гривен, а, например, для Таиланда – 700 тайских бат. Это не значит, что нельзя совершить бесконтактную оплату покупки, чья стоимость превышает данную сумму, просто в этом случае Вам придётся пройти процедуру аутентификации.

Совершение платежей на небольшие суммы без авторизации стало возможным благодаря тому, что международные платежные системы взяли курс на повышение скорости оплаты. Так Visa установила максимально допустимое время для проведения транзакций равным 30 секундам. С этой же целью Visa запустила программу Visa Easy Payment Service, по которой все точки продаж не должны требовать удостоверения личности у клиентов при покупке на сумму менее 1 000 руб.

Новая технология оплаты становится незаменима в точках массового обслуживания, где критична именно скорость, например, в транспорте. Секунды, сэкономленные при использовании бесконтактных карт, существенно сокращают очереди и время ожидания клиентов.

Читать полностью »

Санкт Петербург: уже можно прикладывать телефон к турникету

В пятницу 18-го вышел из беты проект, позволяющий оплачивать проезд с помощью бесконтактного платежа сотовым телефоном по технологии NFC.

Что это за стандарт?

NFC (Near Field Communication) — технология беспроводной высокочастотной связи, позволяющая производить защищенный обмен данными между устройствами, находящимися на расстоянии около 10 сантиметров). Подробнее есть в топике про тестирование. Читать полностью »

Определение

TSM (Trusted Service Manager) – служба, которая позволяет поставщикам услуг и мобильным операторам управлять своими бесконтактными приложениями удаленно, обеспечивая доступ к защищенным элементам на терминалах с поддержкой NFC. Владелец TSM сервера выступает в качестве посредника, который устанавливает деловые соглашения и технические связи между оператором мобильной связи, поставщиками услуг или другими лицами, контролирующими доступ к защищенным элементам бесконтактного приложения на мобильных терминалах с поддержкой NFC.

Читать полностью »

23 мая в России заработала бесконтактная платежная система Android Pay, попользовавшись ей я как человек активно пользующийся бесконтактными платежами от Тинькофф банка (в их собственном приложении) решил опробовать ее и провести некоторое сравнение между прямыми конкурентами Android Pay и Samsung Pay.Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js