bankomatchik.ru

Zverg_077 писал(а):Обычно инициатором операции по бесконтакту является кардхолдер.

Вы это как опытный кархолдер, с бесконтактом, на своём собственном опыте испытали?
Или чисто теоретик?
Я как практик, простите, описываю реальные потуги ....... испытано на себе

kuprum66 писал(а):Маньяки. Люди себе телефоны покупают, с NFC, чтобы бесконтакт на телефоне иметь, а они как заломать......

Правильно, потому что тут знают как "это" работает...

kuprum66 писал(а):Маньяки. Люди себе телефоны покупают, с NFC, чтобы бесконтакт на телефоне иметь, а они как заломать......

У карты есть один существенный недостаток по сравнению со смартфоном - ее невозможно выключить.
В последнее время в инете появились фотографии молодых людей в общественном транспорте с включенными мобильными бесконтактными ПОС-терминалами в руке. Учитывая, что большинство эмитентов одобряют онлайновые авторизации с ПИН-байпас (т.е. фактически без верификации кардхолдера) - можно нарваться на неприятности со своей бесконтактной картой.

Продолжаем верить в страшные сказки, ню-ню...

И что? Расстояние для срабатывания NFC какое? Что-то около 4см - если память не изменяет... Ему надо ткнуть терминалом в карман/сумку... чтобы МОЖЕТ БЫТЬ что-то сработало...

А ещё терминал должен быть на кого-то зарегистрирован, ограничение на операцию без пин-кода - не более 1000 руб., пауза между бесконтактными операциями, плюс СМС информирование.
Мне кажется небольшая выгода от подобных мошеннических действий и велика вероятность попасться.
Поправьте меня, если написал что-то не так.

Теоретически такой способ мошенничества может быть применим.
Но на практике есть много подводных камней:
1. Расстояние захвата поля NFC очень мало, нужно действительно ткнуть в сумку, причем в то место где кошель с картой.
2. В России максимум лимитной суммы без ПИНа является 1000руб, больше не видел ни в одном банке. Так что больше за один раз не уведешь.
3. Если пойдет онлайновая транзакция, то в большинстве случаев клиенту придет смска о списании. Представляю что скажет клиент например в поезде метро Как минимум сразу позвонит в банк и заблокирует карту. Если же в теме таких случаев - развернется и двинет кулаком рядом стоящему с ним
4. Если пойдет оффлайновая транзакция - то как правило на хосте включится счетчик транзакций, который потребует через 1-2 транзакции авторизации карты в онлайне. Да и большинство бесконтактных карт выпускается без оффлайн лимита.
5. Пос должен быть зареген в каком-либо банке как мерчант, что бы получать возмещение. Но тут тоже есть риски для мошенников по отслеживанию поса - кому был выдан. А потом потечет на тот мерчант фрод после перешагивания порога по чарджбекам.

Вобщем не все так страшно. Пока. Типа "мелкие карманные воришки". Но я уверен, что данная тема мошенничества еще претерпит изменения и модификации.

Добавлено спустя 38 минут 34 секунды:
Надо предложить банкам при выпуске бесконтактных карт комплектовать их металлическими чехольчиками. Ну или спасение утопающих в их собственных руках - владельцы таких карт могут самостоятельно экранировать место хранения карты.

Добавлено спустя 3 минуты 19 секунд:
Вот стильненький аксессуар
http://penelite.ru/shop/categories/akse ... a-metall1/

i_GOR писал(а):ограничение на операцию без пин-кода - не более 1000 руб.

mikle писал(а):2. В России максимум лимитной суммы без ПИНа является 1000руб, больше не видел ни в одном банке. Так что больше за один раз не уведешь.

Уважаемые, вы путаете теплое с мягким. Ограничение 1000 руб - это лимит бесконтактной транзакции без верификации кардхолдера. Однако следует учитывать, что большинство российских эмитентов одобряют онлайновые авторизации с ПИН-байпас на суммы, большие 1000 руб. Т.е. мошенник выставит на своем терминале, например, 5000 руб., ткнет в вашу карту, после этого на предложение терминала ввести ПИН нажмет кнопку отмены. И эмитент в онлайне одобрит эту транзакцию.
Можете провести эксперимент в супермаркете. Будете удивлены.

kuprum66 писал(а):Я как практик, простите, описываю реальные потуги ....... испытано на себе

А зачем по магазинам бегать? Мне достаточно выгрузить статистику с хоста, с выборкой по значению 22-го поля. Количество транзакций по бесконтакту растёт, это факт.

booby писал(а):Однако следует учитывать, что большинство российских эмитентов одобряют онлайновые авторизации с ПИН-байпас

Ну вообще, например у MC предусмотрено ограничение использования функции PIN ByPass. Ещё в 2012 году получали бюллетень. К сожалению, найти не могу, поэтому по кол-ву транзакций для мерчанта, при превышении которого полагается штраф, точно сказать не смогу. Поэтому не думаю, что с пинбайпассом сейчас всё так шикарно как раньше)

kuprum66 писал(а):Сейчас софт терминала настроен следующей логикой:
1. Вставили карту.
2. Ввели сумму.
3. Ввели пин-код.
Получили чек.

Для бесконтакта логика меняется:
1. Вводим сумму.
2. Подтверждаем сумму нажатием зеленой кнопки.
3. Терминал предлагает вставить карту или поднести ее к экрану...
Далее все как обычно - если карта считывается обычным порядком - либо последние четыре цифры номера карты либо ПИН-код.

stran_nik70, у товарища kuprum66 не upos. Не забывайте, что и другие банки существуют)

Pavluha
Не забываю. Но на мой взгляд это логика для бесконтакта наиболее правильная. В противном случае мы действительно можем столкнутся с кучей "юношей со взором горящим... " которые будут тулиться ко всем и каждому в общественном транспорте и иных местах скопления граждан...

stran_nik70 писал(а):которые будут тулиться ко всем и каждому в общественном транспорте и иных местах скопления граждан...

Угу, с фразами "извините, а у вас какая карта? А-а-а, такая-то! Можно с Вами рядом постоять?"

stran_nik70 писал(а):Но на мой взгляд это логика для бесконтакта наиболее правильная.

Не "наиболее правильная", а единственно возможная. Так как на момент прикосновения бесконтактной картой терминал должен знать сумму транзакции (кроме режима MSD). Для полосатой/контактной транзакции возможны варианты, что первее - карта или сумма. Стандартной сейчас становится схема:
- выбор операции;
- ввод суммы;
- ввод карты (полоса, контакт, бесконтакт);
- ввод ПИН;
- извлечение карты (контакт).

Если не ошибаюсь существует лимт на проведение операций без запроса пина (бесконтакт):
- настраиваемый на самом терминале.
- настраиваемый на процессинговом сервере.
На терминале может настроить инженер, на сервере - менеджер.
По поводу того, что терминал должен числится за каким-то юр.лицом - выезжали с оперативниками к таким *товарищам*, использовавшим терминал не по назначению, они сделали удивлённое лицо и сказали что терминал украден месяц назад, ничего не знаем.

Продам дырокол(ы) с уникальной функцией удаления чипа. Рисунок с антеннкками будет авторский... Дорого...

kdinar писал(а):Если не ошибаюсь существует лимт на проведение операций без запроса пина (бесконтакт):
- настраиваемый на самом терминале.
- настраиваемый на процессинговом сервере.

Да, сложившийся NoCVM-лимит, при котором не происходит верификация кардхолдера - до 1000 руб.

kdinar писал(а):они сделали удивлённое лицо и сказали что терминал украден месяц назад, ничего не знаем.

Однако деньги поступающие на счет они регулярно перечисляли на сторону.....ОДНАКО

Возможно кардеры и начнут, что то и придумывать, но пока это все раздув Журналюг, в поисках сенсации.

Сейчас увы у кардеров тренд на катание по терминалу скимнутых магнитных карт......

mikle писал(а):Надо предложить банкам при выпуске бесконтактных карт комплектовать их металлическими чехольчиками. Ну или спасение утопающих в их собственных руках - владельцы таких карт могут самостоятельно экранировать место хранения карты.

Ну.. а ежели хранить просто рядом с бесконтактным проездным ( ну в метре в мск одноразовых на полу не меряно)
Саязь не установиться при наличии 2-х безконтктных карт в зоне "приема".