Бесконтактная оплата банковской картой с чипами что это и как пользоваться

Проблема: Несколько карт в кошельке

Это важный момент в данном сценарии атаки, потому что в реальности почти никто не носит

в кармане. В большинстве случаев, карта хранится в кошельке вместе с другими бесконтактными картами, такими как проездные билеты или другие банковские карты.

Конкретно мой терминал Igenico iWL250 при обнаружении в поле действия более одной карты с SAK, обозначающим поддержку протокола 14443-4, возвращает ошибку: «предъявите одну карту».

Но так поступают не все терминалы. Например, сбербанковские POS-терминалы VeriFone выбирают случайную карту из нескольких. Некоторые терминалы просто игнорируют все карты, если их более одной, не показывая сообщений об ошибке.

Чтение одной конкретной карты из нескольких — непростая задача на физическом уровне. Для решения этой проблемы существует механизм антиколлизий. Он позволяет выбрать одну карту, если был получен ответ от нескольких карт сразу. Это самый первый этап установления связи с бесконтактной картой в протоколе ISO-14443A.

Так, например, используемая в московском общественном транспорте карта «Тройка» (стандарта Mifare) имеет значение SAK=0x08 (b00001000), в котором шестой бит равен нулю. В то время как у всех банковских карт в ответах SAK шестой бит равен 1, что означает поддержку протокола ISO 14443-4.

Поэтому все, что может сделать терминал при обнаружении нескольких карт одновременно — исключить карты, не поддерживающие ISO 14443-4, и выбрать одну из похожих на банковскую. Поддержка протокола ISO 14443-4, кстати, не гарантирует, что эта карта будет банковской, однако вероятнее всего, в кошельке обычного человека не будет карт другого типа, поддерживающих ISO 14443-4.

Бесконтактная оплата банковской картой с чипами что это и как пользоваться

Из личного опыта: несмотря на наличие протокола антиколлизий, при наличии в кошельке хотя бы трех бесконтактных карт, считать успешно нужную карту КРАЙНЕ тяжело. Большинство попыток заканчивается ошибками чтения. Тем более сложно это сделать на бегу, прижимаясь к чужим карманам и сумкам.

Однако мы будем считать, что нашему мошеннику очень везёт, и это ограничение его не беспокоит.

Как прикладывать банковскую карту к терминалу для бесконтактной оплаты

Тут важно отметить, что технология, как таковая в разных картах друг от друга не отличается. Разница лишь в протоколе, по которому происходит транзакция.

Сейчас многие банки являются партнерами систем МастерКард или Виза. Именно этим они и будут отличаться. Первые работают через протокол, который называется PayPass, вторые используют PayWawe. В остальном все зависит от условий банка – наличие кэшбека, комиссии, скидки, бонусы и пр.

Со стороны кажется, что все просто – при оплате приложить карту к терминалу и все. На самом деле так и есть. Хотя стоит отметить несколько нюансов, вроде, когда нужно прикладывать платежное средство, какой стороной, как долго держать и т.д.

Как уже отмечалось, в платежном средстве есть NFC. Задача владельца обеспечить контакт магнитного поля чипа и считывателя терминала. Каким образом это будет сделано – неважно. Без разницы, какой стороной прикладывать карту при бесконтактной оплате, но стоит отметить, что лучшим расстоянием будет 2-3 см. Это увеличит скорость и безопасность транзакции.

Бесконтактная оплата банковской картой с чипами что это и как пользоваться

Чтобы убрать все вопросы, лучше описать полный порядок действий, как расплачиваться бесконтактной картой:

  1. Дождаться, когда кассир пробьет покупки и на табло загорится сумма к оплате.
  2. Поднести карту к считывателю, обеспечив оптимальное рабочее расстояние.
  3. Держать платежное средство в таком состоянии пока на терминале не появится сообщение об успешном завершении операции.
  4. Убрать карту.

Оплата прикладыванием карты не единственный способ использовать бесконтактные платежи. Это можно делать современными телефонами, оборудованными NFC-чипом и специальным приложением. Для Айфонов – это Apple Pay, для Андроид – Google Pay.

Чтобы использовать смартфон нужно:

  1. Убедиться, что конкретная модель устройства имеет НФС;
  2. Оформить платежное средство с чипом у партера мобильного сервиса (Сбербанк, ВТБ, Тинькофф, Альфа-Банк).
  3. Привязать карту к приложению.

В последнем пункте нужно обязательно правильно заполнить реквизиты платежного средства, CVV-код, внимательно ознакомиться с пользовательским соглашением и подтвердить привязку с помощью пароля из СМС от банка-эмитента. А также выбрать удобный способ идентификации в целях безопасности.

После этого на кассе нужно просто активировать приложение и поднести телефон к терминалу. Идентифицироваться и подождать пока пройдет транзакция. При оплате покупок на сумму больше 1000 рублей, смартфон запросит дополнительную идентификацию.

Российские банки сделали шаг навстречу любителям технического прогресса. Теперь бесконтактным способом можно не только рассчитаться в магазине, но и снять деньги в банкомате.

Например, Сбербанк к настоящему времени оснастил NFC-считывателями 55 из 76 тысяч своих устройств. К концу 2019 года, по заверениям сотрудников этой организации, передовая технология будет внедрена на 100 % банкоматов (если только модель поддерживает такую техническую возможность).

Бесконтактная оплата банковской картой с чипами что это и как пользоваться

NFC-ридерами оборудуют устройства для самообслуживания граждан сотрудники Альфа-Банка, «Русского Стандарта», «Открытия», Росбанка, «Почта-Банка».

Как узнать, что банкомат поддерживает бесконтактную передачу данных? На дисплее устройств, принадлежащих Сбербанку, имеется соответствующая надпись с подсказкой: «Просто приложите смартфон или карту».

Кроме того, любой пользователь без труда обнаружит рядом с клавиатурой или монитором банкомата черную «коробочку». На ее поверхность нанесен официальный логотип системы «NFC» — радиоволны, исходящие из невидимого источника. Важно, чтобы в углу «черной коробочки» горела зеленая лампочка. Если огонек не горит, то устройство неактивно. Подносить к нему карту будет бесполезно.

Казалось бы, пользователи банковских устройства самообслуживания, оборудованных этим техническим новшеством, большой выгоды не получают. Ведь разница между прикладыванием карты к считывателю и помещением ее в приемник совсем небольшая.

Однако заметьте: при бесконтактном способе взаимодействия с банкоматом карточка остается в руке человека. Тем самым устраняются ситуации, когда владелец пластика забывает ее в банкомате (или когда устройство вследствие технического сбоя не возвращает его назад).

Пользователи смартфонов с NFC вообще могут оставлять свою карточку дома. Ранее они могли лишь совершать покупки с помощью телефона в торговых точках, оборудованных POS-терминалами. Теперь они смогут также снимать наличные в банкоматах.

С 2019 года все пластиковые карты, выпускаемые ведущими банками страны, будут иметь модуль NFC для бесконтактных платежей и снятия наличных.

На банкомате имеются:

  • чёрная коробочка с логотипом NFC (как отмечалось ранее, он напоминает значок Wi-Fi);
  • надпись «Приложите карту» и лого NFC непосредственно на экране банкомата.

Как и в случае проведения транзакций посредством банковской карты с чипом, бесконтактные операции защищены международным стандартом защиты EMV (Contactless EMV). Данный стандарт разработан совместными усилиями компаний Europay, MasterCard и Visa (отсюда и аббревиатура EMV). Его отличительными особенностями являются повышенный уровень безопасности проведения операций и возможность более точного контроля транзакций «офлайн».

  • Приложите карту к NFC-считывателю (чёрная коробочка);
    sberbank-contactless-atm-screenshot-3
  • Введите ПИН-код карты;
    sberbank-contactless-atm-screenshot-4
  • Пользуйтесь банкоматом как обычно: внести или снять наличные, переводы, платежи и прочее;
  • Для подтверждения (перед завершением той или иной операции) необходимо приложить карту к банкомату повторно. То есть, к примеру, если вы снимаете деньги, то перед тем как банкомат вам их выдаст карту потребуется приложить ещё раз.
    sberbank-contactless-atm-screenshot-5

Теперь перейдем непосредственно к процедуре транзакции бесконтактным способом при помощи карточки Сбербанка. Для этого следуйте инструкции:

  1. Поднесите карточку к считывателю с функцией POS.
  2. Дождитесь звукового сигнала. Он означает успешное завершение передачи информации.
  3. Готово.
Интересный материал  Полис ОСАГО в Иланском - оформить онлайн, калькулятор 2020

Вам даже не потребуется доставать карточку из кошелька, главное поднести его на минимальное расстояние к терминалу. Чтобы снять или внести наличность в совместимый банкомат, приложите к терминалу кредитку. После считывания на дисплее появится запрос на ввод защитного пароля. Далее откроется основное меню интерфейса.

Оффлайн vs Онлайн транзакции

В устрашающих сюжетах новостей рассказывают о мошенниках с POS-терминалами в вагонах метро, которые прямо в пути списывают у вас из карманов деньги. В этих сюжетах не упоминается, откуда у мошенника мобильный интернет в вагоне метро. Возможно, его терминал поддерживает оффлайн-транзакции?

Спецификации EMV допускают оффлайн-транзакции. В таком режиме списание происходит без онлайн-подтверждения со стороны банка-эмитента. Это работает, например, в общественном транспорте в Москве и Санкт-Петербурге. Чтобы не занимать очередь на входе в автобус, пока терминал выполнит онлайн-подтверждение, вас пропускают сразу, не проверяя, достаточно ли у вас денег на счету для оплаты проезда.

В конце дня, когда на терминале появляется интернет, подписанные транзакции отправляются в банк-эмитент. Если окажется, что в этот момент у вас нет денег на оплату проезда, карта будет добавлена в стоп-лист на всех терминалах в городе. Долг можно погасить через личный кабинет по номеру карты. Подробнее об оплате проезда в автобуса Санкт-Петербурга.

Лично мне не удалось получить POS-терминал, поддерживающий такую функцию, поэтому в сценарии с обычным «гражданским» POS-терминалом мы не будем рассматривать возможность оффлайн-списаний. Это ничего не меняет, кроме того, что атакующему потребуется наличие интернета на терминале, поэтому атака, например, в метро, значительно усложняется.

Как правильно прикладывать карту к терминалу для оплаты?

Существуют модели терминалов, поддерживающие WiFi, и в теории наш мошенник мог бы использовать WiFi в метро, предварительно позаботившись о покупке доступа без рекламы для MAC-адреса своего POS-терминала, чтобы не нужно было выполнять аутентификацию через captive portal, так как на POS-терминале это сделать нельзя.

Как прикладывать банковскую карту к терминалу для бесконтактной оплаты

Самый популярный сюжет мошенничества в головах обывателей: к ним в толпе прижимается мошенник с включенным терминалом и списывает деньги. Мы попытаемся воспроизвести этот сценарий в реальности.

Условия следующие:

  • У мошенника полностью рабочий обыкновенный POS-терминал, подключенный к банку-эквайеру, такой же, как в магазинах и у курьеров. Прошивка терминала не модифицирована. В нашем случае — Ingenico iWL250. Это портативный POS-терминал с GPRS модемом, который поддерживает бесконтактную оплату, работает от батарейки и полностью мобилен.
  • Мошенник не использует дополнительные технические средства, только POS-терминал
  • Списанные средства зачисляются на расчетный счет мошенника, по всем правилам банковских систем

Юридическое лицо

Для начала нам потребуется юридическое лицо с расчетным счетом и подключенным эквайрингом. Мы, как настоящие мошенники, не будем ничего оформлять на свое имя, а попытаемся купить готовое юр. лицо на сайте для таких же мошенников. Для этого посмотрим объявления с первой страницы гугла по запросу «купить ип» и «купить ооо».

Предложения о продаже готовых компаний от мошенников (кликабельно)

Цена компании на черном рынке с расчетным счетом колеблется от 20 до 300 тысяч рублей. Мне удалось найти несколько предложений ООО с POS-терминалом от 200 тысяч рублей. Такие компании оформлены на подставных лиц, и покупатель получает весь пакет документов, вместе с «кеш-картой» — это банковская карта, привязанная к расчетному счету подставной компании. С такой картой мошенник может обналичивать деньги в банкомате.

Допустим, наш мошенник работает на кассе в магазине или курьером с мобильным POS-терминалом. В таком случае, у него появляется возможность вылавливать данные карты, которых, в некотором случае, может быть достаточно для оплаты в интернете.

Для начала разберемся, как именно выглядит бесконтактная транзакция, и какими данными обменивается карта с POS-терминалом. Так как нам лень читать тысячи страниц документации EMV Contactless Specifications , мы просто перехватим обмен на физическом уровне с помощью сниффера HydraNFC.

Есть некоторая разница между EMV-спецификацией для MasterCard PayPass и Visa payWave. Это разница в формате подписи и некоторых данных. Но для нас это несущественно.

В моей предыдущей статье

про СКУД на базе Apple Pay меня раскритиковали в комментариях, рассказывая, что имея только последние 10 цифр карты можно украсть деньги. В дампе выше указан не только полный номер моей карты, но также и expiration date. Этих данных вполне достаточно, чтобы платить в некоторых магазинах в интернете.

Форма добавления карты в Amazon не требует CVV

Будь это номер физической карты, деньги действительно можно было бы украсть, но данные токена Apple Pay можно использовать ТОЛЬКО для операций Client Present (CP), когда карта подписывает транзакцию криптографический подписью. Эти данные нельзя использовать для оплаты в интернете и других операций типа Card not present (CNP), то есть по телефону или имейлу. То-то же!

Всем желающим убедиться в этом, сообщаю, что реквизиты из перехваченного выше дампа Apple Pay на данный момент актуальны и привязаны к действующей карте, на которой есть деньги. На момент написания статьи это 5 тысяч рублей. Предлагаю попробовать их украсть :)

Не все люди понимают, что значит бесконтактный способ оплаты. Под понятием имеется в виду расчет без прямого использования карточки.

Для этого «пластик» подносится к терминалу, после чего необходимая сумма спишется с банковского счета.

Чтобы пользоваться беспроводными платежами на мобильном устройстве, необходимо настроить NFC. Для устройств под управлением Андроид, требуется:

  1. Открыть меню смартфона.
  2. Нажать на значок настроек.
  3. Выбрать «Беспроводные сети».
  4. Пролистать список до конца экрана, а затем кликнуть по надписи: «Еще».
  5. Найти функцию NFC и Android Beam.
  6. Разрешить передачу данных.
  7. В строке Андроид Бим включить активацию (автоматическую).

Бесконтактная оплата банковской картой или обычным смартфоном, имеющими встроенный модуль NFC, в розничном магазине уже никого не удивляет. Пластиковую карту, поддерживающую такой способ платежа, достаточно просто приложитьк POS-терминалу. Пин-код покупателю вводить не придется. Деньги на счет продавца перечислятся практически мгновенно.

Оплата при помощи мобильного телефона занимает чуть больше времени. Владельцу смартфона сначала надо выбрать нужную карту (если он прикрепил к мобильному приложению несколько карточек). Транзакцию необходимо подтвердить введением пароля. Однако пользователи мобильных устройств с модулем NFC получили другое преимущество. У них отпала необходимость всегда иметь при себе банковский пластик.

Подсчитываем прибыль

В нашем сценарии себестоимость атаки была 100 000 рублей. Это значит, что для того, чтобы хотя бы вернуть вложения, нашему герою нужно выполнить минимум 100 транзакций по 1 тысяче рублей. Представим, что он был достаточно проворным и весь день бегал по городу, прижимаясь ко всем подряд, так, что к концу дня сделал 120 успешных списаний. Мы не будем учитывать комиссию эквайринга (в среднем 2%), комиссию на обналичивание (4-10%) и другие комиссии.

Может ли он успешно обналичить деньги, используя карту, привязанную к расчетному счету?

В реальности не все так просто. Зачисление денег на счет мошенника произойдет только через несколько дней! За это время, наш мошенник должен надеяться, что никто из ста двадцати жертв не оспорит транзакцию, что крайне маловероятно. Поэтому в реальности, счет мошенника будет заблокирован еще до зачисления на него денег.

Интересный материал  Бробанкру

Вывод

Себестоимость атаки в нашем сценарии — 100 000р. В действительности, она будет в несколько раз выше, поэтому мошеннику потребуется намного больше усилий для того, чтобы получить прибыль.

В нашем сценарии мошенник всегда списывает по 999.99 рублей, что, вероятнее всего, повлечет за собой срабатывание системы антифрода на стороне банка-эквайера. В реальности мошеннику потребуется списывать меньшие суммы.

Чтобы хотя бы окупить вложения, мошеннику потребуется обработать несколько сотен жертв. Если даже десяток из них обратится банк-эмитент и оспорит транзакцию, счет мошенника, скорее всего, будет заблокирован. Сценарий, в котором банк-эквайер находится в сговоре с мошенником маловероятен, потому как лицензия для работы с МПС стоит сильно больше, чем любые потенциальные прибыли от такого вида мошенничества.

Из 20 испытуемых только у трех удалось списать деньги с карты, что составляет 15% успеха от всех попыток. Это были те искусственные случаи, когда в кармане находилась одна единственная карта. В случаях же с кошельком и несколькими картами, терминал возвращал ошибку. В сценарии с терминалом, который использует модифицированную прошивку и реализует механизм антиколлизий, процент успешных списаний, возможно, будет выше.

Бесконтактные платежные системы достаточно надежно защищены. Несмотря на теоретическую возможность мошенничества, на практике она оказывается нерентабельна и крайне тяжело осуществима. Нет никакой причины бояться бесконтактных карт или пытаться

При прочих равных, Apple Pay будет безопаснее обычной пластиковой карты. Для большей безопасности можно заблокировать CNP-операции (оплата в интернете) по основной бесконтактной карте, и завести вторую карту только для оплаты в интернете.

Достоинства бесконтактных карт

Благодаря использованию бесконтактной технологии платежные карты:

  1. Скорость соединения меньше секунды. Это в разы быстрее, чем проводить платежное средство через традиционный считыватель;
  2. Долговечные. В старых картах был ограниченный срок действия из-за стирания магнитной ленты;
  3. Можно использовать для оплаты проезда в муниципальном автобусе и такси, оборудованных считывающим устройством;
  4. Не нужно передавать платежное средство в руки кассиру.

Недостаток в том, что при потере карты, кто-то может использовать ее для оплаты покупок на суммы до 1000 рублей. Хотя, если вовремя обнаружить потерю, ее можно быстро заблокировать через мобильный банкинг.

Безопасность

Многие обеспокоены, что мошенники могут с помощью портативного терминала списывать деньги с карт или, что на кассе снимется двойная плата.

На самом деле магнитное поле крайне прихотливо. Источником помех может стать сам кошелек с металлической клипсой или мелочь, ключи, сумка, молния и т.д. Чтобы «словить» карту, мошеннику придется долго подстраиваться и быть неподвижным, чтобы хотя бы попытаться произвести транзакцию.

Во втором случае для оплаты нужно прикладывать карту к терминалу снова. За одно соединение возможна только одна транзакция.

Многие потребители беспокоятся за сохранность своих денежных средств на банковской карточке. В последнее время участились случаи воровства в общественном транспорте. Злоумышленники орудуют POS терминалами и при повышенной загруженности общественного транспорта у них есть возможность вплотную подойти к жертве и она ничего не почувствует.

  1. Радиус для успешной передачи данных не превышает нескольких сантиметров, а время на процедуру всего пару секунд. Это усложняет перехват персональных реквизитов мошенниками.
  2. Если итоговая сумма покупки составляет более 1000 рублей, требуется дополнительный ввод ключа безопасности на терминале продавца. В противном случае операция будет отклонена.
  3. Не стоит забывать о высокой степени защиты на уровне криптографии. Во время платежа информация шифруется, причем для каждой транзакции по-новому. Поэтому, даже при перехвате данных невозможно ими воспользоваться.
  4. В случае утери кредитной карточки, не стоит беспокоиться по поводу сохранности денежных средств. Обратитесь в банк и заблокируйте пластик дистанционно, чтобы злоумышленники не воспользовались ею. Если потеряете наличность, то вернуть их не получится.

В статье подробно рассмотрели особенности бесконтактной оплаты картой Сбербанка. Такой способ транзакции значительно упрощает жизнь потребителям, достаточно иметь в кармане маленький кусочек пластика. В настоящее время Сбербанк выпускает почти все свои продукты совместимые с новой технологией оплаты. Чтобы начать пользоваться, оформите заявку на официальном сайте или в отделении обслуживания на выпуск именного продукта.

Представители банков утверждают, что бесконтактная карта с технологией PayWave или PayPass безопаснее, чем хранение наличных. Чтобы защитить себя от мошенников необходимо:

  • установить лимит на количество неконтактных транзакций;
  • снизить порог суммы, требующей подтверждения через ввод пин кода.

В Самсунг и Эппл Пэй ограничения отсутствуют. Это связано с тем, что сервис требует дополнительной аутентификации через код доступа или отпечаток пальца.

Несмотря на безопасность технологии существует вероятность, что «кредитка» будет украдена. В этом случае мошенники смогут приобретать товар на сумму до 999 р.

В целях безопасности, рекомендуется подключить мобильный банкинг. В этом случае, после каждой покупки, на смартфон будет приходить SMS уведомление, о списанной сумме. Благодаря этому, можно своевременно заметить хищение денег.

Как известно, при совершении недорогих покупок в розничных магазинах владельцам карт с бесконтактной оплатой не нужно вводить ПИН-код для подтверждения транзакции. Операционная система Visa с апреля 2019 года даже увеличила лимит подобных операций до 3 000 рублей. Для пользователя, конечно, это удобно. Однако нельзя не заметить, что одновременно с этим возрастает и риск списания денег с карты посторонними лицами (в случае ее потери или кражи).

Для получения доступа к услугам банкомата пользователю необходимо будет ввести пин-код. После поднесения карточки или смартфона к NFC-ридеру «коробочка» мигнет рядом зеленых огоньков. Однако при этом на мониторе банкомата появится не меню пользователя, а всего лишь надпись: «Введите ПИН-код».

Эксперименты по работе с «бесконтактными» банкоматами показали, что подобные устройства запрашивают секретный код у посетителя дважды. Первый раз — при получении доступа к меню. Второй — для подтверждения выполнения запрашиваемой операции. Таким образом, пользоваться банкоматом с NFC для человека более безопасно, чем рассчитываться с применением данной технологии в магазине.

Разбор протокола EMV

Сырые данные, полученные со сниффера (раскрыть спойлер)

Кассовый чек и слип от транзакции (кликабельно)

R (READER) — POS-терминал
T (TAG) — карта (в нашем случае телефон)
R{amp}gt;{amp}gt; 52
R{amp}gt;{amp}gt; 52
R{amp}gt;{amp}gt; 52
R{amp}gt;{amp}gt; 52
R{amp}gt;{amp}gt; 52
R{amp}gt;{amp}gt; 52
R{amp}gt;{amp}gt; 52
T{amp}lt;{amp}lt; 04 00
R{amp}gt;{amp}gt; 93 20
T{amp}lt;{amp}lt; 08 fe e4 ec fe
R{amp}gt;{amp}gt; 93 70 08 fe e4 ec fe dd 6e
T{amp}lt;{amp}lt; 20 fc 70
R{amp}gt;{amp}gt; 50 00 57 cd
R{amp}gt;{amp}gt; 26
R{amp}gt;{amp}gt; 52
T{amp}lt;{amp}lt; 04 00
R{amp}gt;{amp}gt; 93 70 08 fe e4 ec fe dd 6e
T{amp}lt;{amp}lt; 20 fc 70
R{amp}gt;{amp}gt; e0 80 31 73
T{amp}lt;{amp}lt; 05 78 80 70 02 a5 46
R{amp}gt;{amp}gt; 02 00 a4 04 00 0e 32 50 41 59 2e 53 59 53 2e 44 44 46 30 31 00 e0 42
T{amp}lt;{amp}lt; 02 6f 23 84 0e 32 50 41 59 2e 53 59 53 2e 44 44 46 30 31 a5 11 bf 0c 0e 61 0c 4f 07 a0 00 00 00 03 10 10 87 01 01 90 00 4b b3
R{amp}gt;{amp}gt; 03 00 a4 04 00 07 a0 00 00 00 03 10 10 00 bc 41
T{amp}lt;{amp}lt; 03 6f 31 84 07 a0 00 00 00 03 10 10 a5 26 9f 38 18 9f 66 04 9f 02 06 9f 03 06 9f 1a 02 95 05 5f 2a 02 9a 03 9c 01 9f 37 04 bf 0c 08 9f 5a 05 60 08 40 06 43 90 00 1d 66
R{amp}gt;{amp}gt; 02 80 a8 00 00 23 83 21 36 a0 40 00 00 00 00 01 42 98 00 00 00 00 00 00 06 43 00 00 00 00 00 06 43 18 09 18 00 e0 11 01 03 00 f9 14
T{amp}lt;{amp}lt; 02 77 62 82 02 00 40 94 04 18 01 01 00 9f 36 02 02 06 9f 26 08 d6 f5 6b 8a be d7 8f 23 9f 10 20 1f 4a ff 32 a0 00 00 00 00 10 03 02 73 00 00 00 00 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 9f 6c 02 00 80 57 13 48 00 99 72 50 51 17 56 d2 31 22 01 00 00 05 20 99 99 5f 9f 6e 04 23 88 00 00 9f 27 01 80 90 00 af c8
R{amp}gt;{amp}gt; 03 00 b2 01 1c 00 c9 05
T{amp}lt;{amp}lt; 03 70 37 5f 28 02 06 43 9f 07 02 c0 00 9f 19 06 04 00 10 03 02 73 5f 34 01 00 9f 24 1d 56 30 30 31 30 30 31 34 36 31 38 30 34 30 31 37 37 31 30 31 33 39 36 31 36 37 36 32 35 90 00 a7 7b

Разберем каждую строку строку из перехваченного дампа в отдельности.

R{amp}gt;{amp}gt; — данные, переданные POS-терминалом T{amp}gt;{amp}gt; — данные, переданные картой (в нашем случае телефон с Apple Pay)

14443-A Select

В начале обмена терминал устанавливает соединение с картой на канальном уровне. Для тех, кто знаком с сетями и моделью OSI, будет удобно представить это в качестве уровня L2, а UID (Unique Identifier) карты как MAC-адрес узла.

Интересный материал  Льготный период кредитной карты – как использовать с выгодой?

Важное отличие обычной платежной карты от Apple Pay в том, что в карта всегда доступна для считывания и никак не позволяет управлять процессом считывания. Ее можно бесконтрольно считать через одежду, в то время как телефон, попадая в поле действия считывателя, предлагает пользователю активировать виртуальную карту. До подтверждения пользователя телефон не передает никакие данные, и считыватель даже не знает, что рядом находится виртуальная карта.

R{amp}gt;{amp}gt; 52 // WUPA (wake up)
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
R{amp}gt;{amp}gt; 52 // WUPA
T{amp}lt;{amp}lt; 04 00 // ATQA (Answer To Request type A) 
R{amp}gt;{amp}gt; 93 20 // Select cascade 1 (Anti Collision CL1 SEL)
T{amp}lt;{amp}lt; 08 fe e4 ec fe // UID (4 bytes)   BCC (Bit Count Check)
R{amp}gt;{amp}gt; 93 70 08 fe e4 ec fe dd 6e // SEL (select tag 0x9370)   UID   CRC16
T{amp}lt;{amp}lt; 20 fc 70  // SAK (Select Acknowledge 0x20)   CRC16 
R{amp}gt;{amp}gt; 50 00 57 cd // HALT (Disable communocaion 0x5000)   CRC16
R{amp}gt;{amp}gt; 26 // REQA
R{amp}gt;{amp}gt; 52 // WUPA
T{amp}lt;{amp}lt; 04 00 // ATQA
R{amp}gt;{amp}gt; 93 70 08 fe e4 ec fe dd 6e // SELECT
T{amp}lt;{amp}lt; 20 fc 70 // SAK
R{amp}gt;{amp}gt; e0 80 31 73 // RATS (Request Answer to Select 0xE080)   CRC16
T{amp}lt;{amp}lt; 05 78 80 70 02 a5 46 // ATS (Answer to select response)

Бесконтактная оплата банковской картой с чипами что это и как пользоваться

Терминал постоянно передает команду

Wake-up (WUPA), и как только в поле действия появляется карта, она отвечает командой Answer To Request type A (ATQA), в нашем случае это

. Ответ ATQA может различаться в зависимости от производителей чипа.

Получив ответ ATQA, терминал начинает процедуру выявления коллизий, чтобы определить, есть ли в поле действия более одной карты. Команда 0x93 0x20 Select cascade level 1 (SEL CL1) запрашивает у всех карт в поле действия сообщить первую часть своих идентификаторов UID.

Карта отвечает 0x08 0xFE 0xE4 0xEC 0xFE, первые четыре байта — UID виртуальной карты Apple Pay и контрольная сумма 0xFE Bit Count Check (BCC) в конце.

Получив идентификаторы карт, считыватель обращается к конкретной карте командой 0x93 0x70 (SELECT). За командой следует UID карты 0x08 0xfe 0xe4 0xec 0xfe BCC 0xdd 0x6e CRC16.

Карта отвечает 0x20 Select Acknowledge (SAK) 0xfc 0x70 CRC16.

Бесконтактная оплата банковской картой с чипами что это и как пользоваться

Если на этом шаге получено несколько ответов SAK, ридер может уменьшить длину UID в команде SELECT, пока не ответит единственная карта. Однако, как показано выше, некоторые POS-терминалы отказываются продолжать, если на этом этапе выявлены коллизии, то есть присутствие нескольких карт одновременно.

Ридер посылает команду

HALT

CRC16. Это команда завершения связи.

Дальше процедура повторяется заново, ридер снова пробуждает карту (WUPA), но уже без проверки коллизий, сразу выполняется SELECT. Зачем так сделано — не знаю, возможно, это какой-то более надежный способ определения коллизий.

Во второй раз ридер уже посылает команду 0xE0 0x80 Request Answer to Select (RATS) 0x31 0x73 CRC16.

Карта отвечает 0x05 0x78 0x80 0x70 0x02 Answer to select response (ATS) 0xA5 0x46 CRC16.

Answer to select — ответ аналогичный Answer To Reset (ATR) для контактных карт. В нем содержится информация о максимальном размере кадра и параметрах канального уровня.

На этом этапе «канальный» уровень завершен, далее начинается обмен на более высокоуровневом протоколе, в зависимости от приложения, содержащегося на карте. Операция SELECT одинакова для всех бесконтактных карт стандарта ISO 14443A, в том числе NFC-меток, билетов на общественный транспорт, и т.д.

Заключение

Бесконтактные карты отличаются наличием NFC-чипа, который устанавливает связь с терминалом и проводит оплату через магнитное поле. Прикладывать платежное средство как угодно, главное, чтобы расстояние между микросхемой карты и считывателем было до 10 см. Нахождение последнего маркируется производителем на корпусе устройства.

Банкоматы с бесконтактным обслуживанием — это удобно. Необходимо лишь приложить карту, не вставляя её в банкомат. Кроме того, вам не потребуется блокировать карту и заказывать её перевыпуск, если та (в силу тех или иных технических сбоев) вдруг будет изъята банкоматом. В конце концов нет риска попросту забыть её, оставив в банкомате. При этом все операции, совершаемые бесконтактным способом также безопасны и защищены международным стандартом защиты EMV.

К сожалению, на сегодняшний день далеко не все банкоматы сбербанка поддерживают бесконтактные операции. Даже несмотря на наличие NFC-считывателей, на практике оказывается, что они не подключены. Поэтому, если даже перед вами банкомат Сбербанка с «чёрной коробочкой», то нет гарантии, что бесконтактное обслуживание будет работать.

Понравилась статья? Поделиться с друзьями:
ФинПортал
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:
Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.