@djdoomer

djdoomer

Sergey
djdoomer

Вечно чем-то недоволен

22 я читаю 21 меня читают
278 постов
181 комментариев
djdoomer
01 Nov 2019

Отличная статья для параноиков, утверждающих о возможности украсть деьги с бесконтактной карты в кармане. Тех. продробности присутствуют, но суть понятна и без профильных знаний в приниципе. https://habr.com/ru/post/422551/

Рекомендовано: dora, als и skobkin-ru
01 Nov 2019

Сходил на Тостер и посмотрел вопрос, на который ссылается автор статьи. Там классика "и не в лотерею, а в карты, и не выиграл, а проиграл".

01 Nov 2019

djdoomer, айбля. Еще говорят что не известно ни одного случая когда с безконтактной карты крали деньги пока она еще была у владельца.

02 Nov 2019

С карты — легко. С телефона — нет.
Автор много выёбывался, но вопрос изучил плохо.

  1. Лишь упомянул, что при приоритете подписи лимита нет. В то время как тот же Тинькофф очень много карт сделал именно с приоритетом подписи. И не только он.
  2. В некоторых странах вообще до пизды на CVC и пины. Списание происходит сразу и без подтверждения пина. Например в Таиланде. Любой может в этом убедиться, совершив покупку в их 7-11 магазинах.

Карта очень плохо защищена. Защита работает на уровне терминалов и банковских правил в стране. Если жить в России (не знаю за другие страны), то да, атака на бесконтактную карту почти бессмысленна и легко обжалуется. Но если выезжать в другие страны с другими правилами и другими прошивками терминалов, то банк будет снижать уровень безопасности по вашей карте, иначе его антифрод начнёт срабатывания после самой первой же покупки.

Виртуальные же карты Apple, Google, Samsung и любые другие защищены намного лучше ещё и самим телефоном. В этом случае атака возможна только если вы не смотрите на сумму на экране терминала, которая будет сейчас списана. Но тогда это от страны не зависит. 1000 и 10000 будут списаны одинаково. Только SMS/push тоже нужно проигнорировать.

Резюмирую. Атака на карты вполне реальна в странах третьего мира. Атака на Android Pay и аналоги реальна только если владелец обдолбан.

02 Nov 2019

Umnik, а что значит "реальна"? Еще раз, нету ни единой жалобы на фрод, когда карта оставалась у владельца. Т.е. реальный атак не было. Есть только гипотетическая возможность.

#znhpu/4 в ответ на /3
02 Nov 2019

А я и говорю о возможности, а не о том, что мне известны случаи.
В ИБ нельзя опираться на "я не слышал, чтобы так делали".

#znhpu/5 в ответ на /4
02 Nov 2019

Umnik, по смыслу статьи, другие страны, кроме РФ, out of scope получаются

#znhpu/6 в ответ на /3

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.