Denius

У нас наоборот набирает популярность. Все больше банков выпускает карты с бесконтактной оплатой, причем чем выше статус карты, тем скорее там будет эта функция.
И еще очень набирает популярность оплата смартфоном. Даже если нет поддержки Apple Pay или Samsung Pay, то банки сами в свои мобильные приложения добавляют.
А что касается безопасности... сложно сказать, считывал я эту информацию, смотрел описание технологии, не так там все просто, очень много уровней защиты, много ограничений. По сути самое большое что светит мошеннику, сумевшему со считывателем подобраться к карте - это 1000 рублей. Да и то сомнительно. Много проще ставить скриммеры на банкоматы, подглядывать номера с CVS кодами и прочие хорошо отлаженные методы использовать.

__________________

fedot

KotLV, это чем оплата без ПИНа небезопасна, а оплата с ПИНом безопасна?
Если я плачу с вводом ПИНа в незнакомом месте, я отдаю этому месту всю информацию о своей карте.
Дальше сделать клон и снять деньги вообще без проблем. А вот если я ПИН не ввожу, то клон делать бесполезно. Я все транзакции отклоню в легкую, а в банкомате вообще делать нечего.
Да, добавим к этому двух-факторную аутентификацию при оплате не терминалом и все мошенники идут лесом.

AlexandrPolonsky

В принципе PIN-pad должен быть опечатан/опломбирован. И pin за пределы этого устройства не выходит. А склонировать содержимое чипа из банковской карты не так просто.
Отмечу также, что уже в большинстве (подавляющем!) магазина СПб покупатель не передает карту кассиру, а сам вставляет ее в pin-pad. Ранее в "Ленте" кассир брала карту, внимательно ее изучала, проверяла наличие подписи, а потом вставляла в pin-pad и разворачивала его покупателю. Теперь этого нет.
При этом образец подписи на карте смысла не имеет.

fedot

AlexandrPolonsky, вот вы иногда такое напишете, что даже не понимаешь как на это отвечать.
Если я владею устройством, которое считывает информацию с карты, то я владею всем.
Да пофиг, что терминал опечатан или pin-pad. Кто пишет драйвера, то и заказывает музыку. И я же говорю про мошенников, а не про честные заведения.
А в ресторанах никогда не платили? Так карту прокатают, что вы и а сказать не успеете.
А потом вы им сами и подарите pin код, когда его введете. А для банкомата чип не обязателен. Мне продолжать?
Да пофиг есть на карте моя подпись или нет, она стирается со временем. Я откачу левую транзакцию, потому что мой банк потребует подтверждения в виде моей подписи, а её не будет. Чек с моей подписью, это документ. А без подписи (если не был запрошен пин) просто бумажка.

AlexandrPolonsky

PIN-код из терминала (pin-пада) не выходит. А если я сделаю в терминале дополнительное устройство, то тогда да, могу получить. Ну и что дальше? Мне нужно сделать клон карты, то есть чипа карты. А чипы карты такую возможность не дают (не должны давать.
По поводу магнитных полос - в банкоматы Сбербанка, Банка СПб и возможно других - ею уже не пользуются, работают только с чипом

fedot

Вы это расскажите тем, кто ставит свои считыватели на банкоматы.

KotLV

Не уверен, что легко считать чип.
Однако так как количество банкоматов очень быстро сокращается за ненадобностью, то в принципе ПИН достаточно надёжен.
Другой вопрос, что в теории ПИН могут подсмотреть, считать, но считать удалённо сигнал от бесконтактной карты в разы проще и быстрее.

Ну и у нас ограничение на операцию 20-30 евро. За 10-15 минут легко мошенники могут провести 10 операций, а уж до конца дня, например куда как больше.
В итоге легко можно счёт опустошить.

__________________

fedot

KotLV, вот честно, чушь это полная. Давайте статистику. А не сможете, потому что это всё ОБС.
А вот по тому как клоны карт делают, особенно в кафе и ресторанах, а потом платят в интернете, это на каждом шагу.
А банкоматов как было "много" так и будет. Посмотрите в той же Финке. Никуда они не деваются.
И магнитная полоса и pin - это до свидание деньги.

А теперь расскажите нам всем, кто из банков отказался от без контактной оплаты? Ну? Смелей. Таких нет.
Уязвимости у банков в другом, а не в этом.

Plukh

Кстати, я уже много лет не отдаю свою карту никому в руки. Если надо - мне не лень в ресторане сходить к кассиру, ни разу не было такого, чтобы мне отказали. Но вообще - почти всегда сейчас уже просто приносят беспроводные терминалы. И CVV код всегда стираю до основания, ну так, чисто на всякий случай.

fedot и KotLV/AlexandrPolonsky, мне кажется, вы говорите о разном. Сделать "клон карты в ресторане" - это из области фантастики, даже если у тебя есть полный доступ и к карте, и к терминалу. На всякий случай - я несколько лет эти терминалы программировал, включая драйвера и внутренний софт, так что примерно знаю, о чём говорю. Но, собственно, никто этого и не делает - просто фотографируют карту по-быстрому с двух сторон, чтобы были видны номер, срок действия, ФИО владельца и CVV-код. И потом в Интернете платят с помощью таких фотографий, без всяких клонов. Двухфакторная аутентификация, даже если включена, не помогает - полно процессоров, не использующих эти стандарты (в основном буржуйских), с ними жулики и работают.

С другой стороны - сделать клон чипованной карты, по которому банкомат выдаст деньги или терминал проведёт транзакцию - вполне возможно, не надо испытывать иллюзий; только это требует времени, специального оборудования и специальных знаний. Поэтому "в ресторане" этого не делают, а вот, например, "приподнять" платиновую Визу на пару часов у солидного господина, а потом подбросить типа "А это не Вы случайно потеряли" - вполне себе бизнес. При этом получается полный клон карты, к которому дальше можно не торопясь подобрать пин-код и делать с ним, что хочешь.

Вот как-то так.

добавлено через 3 минуты
P.S. Про бесконтактные платежи ничего не скажу - я их не застал как разработчик (у нас терминалы, на которых можно электронным пером расписываться, были самым последним шиком), да и как пользователь ни разу не сталкивался.

AlexandrPolonsky

Я бесконтактными платежами пользуюсь очень редко - только в метро, у меня есть карта Банка Санкт-Петербург, держу на ней небольшую сумму денег (постоянно) и бывают иногда и бОльшие суммы (плачу коммуналку - за квартиру, паркинг и небольшие платежи в интернете).
По поводу двухфакторной - обратил внимание, что при оплате электричества через сайт Петроэлектросбыта деньги снимались без всякого подтверждения через смс, причем дело не в банке-получателе платежа. Вначале деньги шли в Альфа-банк, а теперь - в Росбанк (кажется), но деньги списывались сразу.
По зарубежным платежам - деньги списывались без подтверждения при оплате карт в R-Link.
И еще по поводу подбора пин-кода. Нормальный чип должен заблокироваться после n-кратного неправильного ввода пина. N - от 3 до 10 (примерно). А для разблокировки нужен мастер-код. Может быть - он есть и у злоумышленников.
И еще - в кафе-ресторанах прогресс определенный есть - в прошлом году в "Брынзе" например - предлагали дать карту официанту. Я заранее говорил, что подойду к стойке. А теперь носят терминал. Вообще мне непонятно - почему еще существуют терминалы из двух устройств - одно у кассира и она в него вставляет карту и вводит сумму, а второе устройство (подключенное, кажется, по RS-232) - у покупателя, который и выпускает карту из рук.

Plukh

Все чипы немножко разные, мне лично (лично) такие не попадались - но, опять-таки, технологии могли уйти далеко вперёд. С другой стороны, это совершенно неважно, коль скоро чип склонирован, никто не мешает нам после блокировки просто восстановить исходное состояние чипа и продолжить подбор (ровно так подбирается пин-код к заблокированному айфону, который как бы "блокируется навсегда" после нескольких неправильных попыток).

В качестве полезного чтения, если вдруг эта тема интересна, можно начать со статьи в википедии, там всё довольно понятно изложено, и плюс куча ссылок на всякие стандарты: https://en.wikipedia.org/wiki/EMV#Ca...r_verification

KotLV

Имеете ввиду 3D Secure?
Если да, то мне кажется я как-то пытался заплатить где-то, где не было этой проверки и транзакция не прошла. Наверное это зависит от банка, но как минимум Swedbank я так понял не разрешает покупки без 3D Secure.

Кстати я последние несколько месяцев не могу почему-то оплатить МТС Питерский. Из кабинета вообще не открывает страницу Аутентификации - сразу пишет, что типа не верный код и все. А если через страничку быстрого платежа, то запрашивает все коды, но в итоге пишет, что транзакция не прошла по теническим причинам . То ли МТС перестал поддерживать зарубежные банки, то ли еще какая-то фигня , но видимо придется оплачивать уже по приезду в РФ.


У нас Нордеа и Citadele я так понял даже не пытается ввести бесконтактные карты. Остальные 3 банка вроде ввели, но терминалы бесконтактные пока мало появляются.
Я не был в Финляндии, там наверное для туристов банкоматоы много. У нас из-за экономии банкоматов становится все меньше, да и филиалы банков закрываются. Закрываются не валом, конечно, но закрываются, сокращаются заметно.

П.С. Чуть полегче, пожалуйста. Я обсуждаю со своей точки зрения и высказываю свое личное мнение, а чужое мнение надо уважать каким бы оно не было.

__________________

Plukh

Да, именно её (и аналогичную у MasterCard, SecureCode). Но это всё фигня - я сегодня привязывал новую карту к Amazon, так платёж прошёл не то что без аутентификации, а ещё и без CVV-кода - в форме привязки карты просто не было такого поля. Вот тут я офигел, на всякий случай написал в поддержку, посмотрим, что ответят.

Перестал. И вообще почти все процессоры перестали принимать зарубежные карты. Даже зарубежный Steam перестал принимать буржуйские карты для российских профилей. Пичалька, конечно.