Поиск

Бесконтактный фрод

13.02.2016 от Andrew

На минувшей неделе в сначала в соцсетях, а потом и в прессе, активно дебатировалась тема списания с бесконтактных карт посредством мобильных POS-терминалов. Публиковалась даже фотография подозрительного парня с POS-терминалом в вагоне метро, который вполне мог быть курьером. Мнения банкиров полярно разделились: одни смеются, другие проводят на рабочем месте эксперимент с кошельком в дамской сумке. Погрузился в тематику и попытаюсь обобщить:

  1. Действительно существует возможность считать данные карты, находящейся в кошельке в кармане или даже в сумке. Зависит от используемого оборудования: в некоторых случаях карту надо приложить непосредствнно к терминалу, но некоторые терминалы читают карту, находящуюся в дамской сумке — один из знакомых банкиров подтвердил это натурным экспериментом.
  2. Считав данные карты инициировать транзакцию можно. Операция до 1000 рублей не требует ввода PIN. Другое дело, что мало инициировать авторизацию. Нужно ещё иметь торговую точку, на которую зарегистрирован терминал, чтобы получить возмещение по этой транзакции. И надо понимать, что много таким способом за раз не украдёшь.
  3. Если POS-терминал инициирует online авторизацию, то жертва с высокой степенью вероятности тут же получит SMS о покупке от своего банка и тут же заорёт «держи вора!!!».  Поэтому я думаю, что более логично использовать оффлайн авторизацию. Тогда транзакция придёт в банк-эмитент только с клирингом через день-два и будет списана с клиентского счёта, причём большинство банков не уведомляют клиентов о не авторизованных списаниях с картсчета. Хотя обязаны это делать, но в силу разделённой архитектуры большинства ПЦ (фронт и бэк) такое списание происходит в бэке, к которому обычно SMS-шлюз не прикручен. Считаю, что нарушение закона об НПС, потому что оффлайновые списания могут возникать не только при бесконтакте. Кроме того возможны ситуации, когда сумма предавторизация и сумма в клиринге различаются на порядок (бронирование отелей, аренда машин).
  4. Однако, большинство российских бесконтактных карт выпускаются без оффлайн лимита.  А те, немногочисленные банки, которые все-таки разрешают по своим картам off-line операции устанавливают счетчики транзакций, которые требуют, чтобы карта периодически все-таки авторизовывалась в online
  5. Эмитент опротестовать бесконтактную операцию не может и ему остаётся только ждать, что на этот мерчента откроется фродовая окно, после превышения порога по чарджбэкам. Поэтому мошенники могут либо регистрировать фейковые точки на короткое время в «дружественном банке», либо работать под прикрытием крупного мерчента, в потоке транзакций которого «растворятся» фродовая операции. 
  6. На вопрос можно ли, считав данные карты, изготовить клон, который будет транслировать такие же данные, однозначного ответа я не получил.

В общем, схема мошенничества выглядит в принципе работоспособной, но не массовой.

    Рубрики: Банковские карты | 3 комментария »»»

    3 комментария

    1. Ростислав пишет:

      Чисто теоретически, можно сделать клон. Но (CVC3 же!!!) этот клон будет работать только с той суммой, с какой было проведено считывание. И смысл?

      P.S. Inside. Многие терминалы даже в России (про США и не говорю) не проверяют CVC3, увы…

    2. Razuka пишет:

      «можно ли изготовить клон.»

      Как я понимаю, бесконтакт бывает по полосе или чиповый. И ATC (счетчик операций) соответственно или замешивается в DCVC3, или передается явно. Так что повторять операцию с теми же данными бессмысленно.

      Клон (карту, которая будет правильно вычислять полосу или чиповые данные) сделать нельзя, нужны кард продакшн ключи.

      Ну а проверяют ли эмитенты ATC не знаю, инсайда нет :)

    3. Nilpferd пишет:

      В таком способе мошенничестве есть еще одно ограничение. Это требование к нахождению в зоне действия ридера — одной карты. Данную коллизию платежные терминалы, в отличии от проездных не разрешают самостоятельно. Только путем удаления карты из зоны действия терминала.
      Так что нахождение в кошельке пары карт — заменяет шапочку из фольги 8)

    Вставить свои 5 копеек:

    Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.