Как считать данные вашей карты любым смартфоном
Мы привыкли использовать телефон с NFC как банковскую карту. А можно ли используя эту технологию прочитать данные физической карточки? Оказывается, можно. И вот вам бесплатное приложение для Андроид, которое поможет вам это сделать.
Что может приложение
Приложение «Считыватель банковских карт» можно скачать по этой ссылке из официального магазина Google Play. Работать программа будет только на телефонах с NFC.
Чтобы прочитать данные своей карты, просто поднесите ее к смартфону. Приложение должно находиться в режиме ожидания.
Отобразится базовая информация о карточке следующего вида.
Чтобы увидеть номер целиком, нажмите на изображение карты на экране и введите 4 последовательные цифры из номера. Например, четыре последних.
Теперь карточка показывается целиком.
Я замазал цифры, но они отображаются корректно — проверено. Ниже виден срок действия, тоже правильно.
Также вы можете посмотреть последние транзакции, которые были проведены с авторизацией этой картой.
Резонный вопрос: а не сольет ли эта программа ваш номер карты в сеть? У приложения нет доступа в интернет, так как отсутствует соответствующее разрешение. Потому ничего и никуда отправить оно не способно.
В чем практический смысл такой программы? Вы и сами способны прочитать номер карточки. Разве что в вашем распоряжении оказалась половинка карты с чипом.
Вероятно, цель разработчиков — продемонстрировать пользователям, что мошенники могут написать аналогичный инструмент и пользоваться им в местах скопления людей. Например, в торговых центрах, общественном транспорте, в кафе и магазинах. Поэтому старайтесь держать свои банковские карты подальше от чужих телефонов, располагая их как можно глубже в сумке или нагрудном кармане куртки! Так вы защитите себя и свои данные от мошенников.
Еще один отличный способ защитить карты — использовать специальный кошелек или чехол с сеткой Фарадея внутри. Данная сетка блокирует все сигналы, включая NFC/RFID, Wi-Fi, сотовые и радио. Так что злоумышленники могут бесконечно долго и безуспешно пытаться считать данных ваших карт. Стоят такие чехлы не сильно дорого, а польза будет внушительной, если вы часто бываете в людных местах.
Распознавание банковских карт всем полезно, когда работает
На рынке IT технологий для финансового сектора и ретейла не так много решений, которые удобны одновременно и покупателям, и продавцам. Распознавание банковских карт – одно из таких решений. Сегодняшняя статья посвящена этой теме.
Ранее на Хабре мы уже разбирали научно-техническую составляющую системы распознавания банковских карт. Сегодня же уделим внимание бизнес-идее данной задачи.
Итак, начнем. Банковские карточки прочно вошли в нашу жизнь, вытесняя в сфере ритейла и услуг наличные деньги (конечно, кэш никуда не денется, дорожая с каждым годом, но давайте не будем это обсуждать сейчас). Развитие коммуникационных технологий и эквайринга позволяет без лишних проблем адаптировать даже «счёты» к приему пластиковых карт, открывая тем самым для любой торговой точки безграничный мир безналичной оплаты.
За офлайн магазинами закономерно идут онлайн организации. Действительно, в отличие от «налички», которая существует здесь и сейчас в материальном виде, банковские карты позволяют быстро оплатить купленный в Интернете товар, буквально введя платежные реквизиты.
Правда, тут есть одна маленькая загвоздка. Кроется она в постоянной необходимости «вводить» данные банковской карты. Современные гаджеты с их бесконечными голосовыми ассистентами, модулями заполнения, подсказками, интерпретацией, распознаваниями кажется уже полностью отучили человечество что-либо вводить механически. Это действительно удобно, когда не надо пальцами тыкать лишний раз кнопки. А здесь, при совершении покупки, приходится вводить 16-19 цифр, слабо интерпретируемых с человеческой точки зрения (которые составляют номер банковской карты). Просто вспомните, сколько раз вы неверно вводили номер при оплате товара или переводе!?
Особенно сильно это неудобство проявляется, когда речь идет о покупке в не самых комфортных окружающих условиях: в тесном автобусе, на морозе и т. д. Особенно, когда ты привык, что аналогичная покупка любого товара в офлайн магазине (или даже билета в трамвае) занимает секунду, при этом требуется просто поднести карту к платежному терминалу.
Такое «неудобство оплаты» непосредственно сказывается на продавцах. Уверен, никому не хочется терять покупателя, которого с таким трудом удалось довести до страницы оплаты, из-за какого-то дискомфорта или просто потому, что покупатель «задолбался» и успел передумать вводить реквизиты для оплаты. На западе утверждается, что число таких «незавершенных» транзакций достигает десятков процентов.
Конечно, процесс оплаты в онлайн должен быть такой же простой, как в офлайн – буквально за доли секунды, путем предъявления банковской карты платежному терминалу, чью роль в данном случае играет мобильный телефон, планшет или компьютер. И все это делается благодаря системам распознавания банковских карт.
Помимо комфорта, системы распознавания позволяют спасти от фрода: ведь при должной реализации машина может не только распознать информацию, но и проконтролировать реальное наличие банковской карты, а не муляжа или цифрового «слепка».
Таким образом, технология распознавания банковских карт, на самом деле оказывается передовой и крайне необходимой. В теории. При условии достойной реализации. А как же обстоят дела на практике?
Не так радужно, как ожидается в эпоху повсеместного искусственного интеллекта. На сегодняшний день большинство IT команд отдают свое предпочтение бесплатному SDK по распознаванию карточек, которое не обновлялось (невозможно в это поверить) уже более 4 лет. Представляете? Блокчейн уже на дворе. Государство уже обсуждает «восстание машин». Платежные системы развиваются, банки реализуют новые дизайны и виды пластика, а такие cutting edge технологии, как распознавание банковских карт, даже не обновляются. Где ты, поддержка национальной платежной системы «МИР»? Как тебе живется, Тинькофф Банк, со своими модными flat-картами? Нет-нет, ничего другого, кроме эмбоссированных привычных карточек, бесплатный SDK не предлагает. Это раз.
Во-вторых, откуда взялась эта мода «требовать» позиционировать карту в заданную «мишень»? Как нам кажется, такой подход «выворачивает мозг наизнанку», воочию демонстрируя, как компьютер «заставляет» человека делать что-то правильно, а не наоборот. Налицо обучение машиной человека со всеми вытекающими…
В-третьих, точность и время распознавания, конечно, в таких решениях играют первостепенную роль. Безумно раздражает, когда процесс оплаты с помощью банковской карты длится больше секунды.
В Smart Engines мы сделали все для реализации технологии распознавания банковских карт, полностью отвечающих требованиям. В платежных сервисах Smart Code Engine позволяет сканировать и распознавать банковские дебетовые и кредитные карты платежных систем МИР, VISA, MasterCard, American Express, JCB, Maestro, UnionPay и Diners Club, выпущенные различными странами мира, обеспечивая извлечение не только номера (12-19 цифр), но и срока действия и имени владельца. Поддерживается распознавание любых видов банковских карт: с нанесением данных выдавливанием (embossed), гравировкой (indent) и плоской печатью (flat printed), с горизонтальным и вертикальным расположением идентификационных данных, и тех карт, на которых данные расположены как на лицевой, так и на обратной стороне. Кроме того, стало доступно распознавание банковских карт с номером IBAN, которые широко распространены в странах Евросоюза.
На сегодняшний день Smart Code Engine в своих мобильных приложениях используют Тинькофф Банк, МТС Банк, ГазпромБанк, Банк Хоум Кредит. Коллеги из банков уже узнали, сколько на деле «стоит» бесплатный SDK и стоит ли здесь, в соответствии с поговоркой, «платить дважды».
Мне тут уже раз двадцать прислали ссылки на статьи о сканерах банковских карт со встроенными чипами RFID. Часть этих статей написаны в паническом стиле из серии: «Шеф, усе пропало, гипс снимают, клиент уезжает». Мол, теперь злоумышленнику со сканером достаточно пройти рядом с вами в магазине, транспорте и так далее, после чего данные ваших банковских карт окажутся у него в руках. И все, ты разорен, трогательно обещают в этих статьях.
Ну вот меня и спрашивали, что теперь делать. Нужно ли нам, владельцам карт с RFID-чипом (а я такими картами пользуюсь года три), посыпать голову пеплом и рвать эти карты на американский флаг, чтобы они не достались врагу?
Может ли он снять с нее деньги? Нет, не может: для этого требуется знать код CVC2, который он никак не может получить, нужны данные магнитной полосы, которые с помощью такого сканера достоверно получить невозможно, ну и плюс нужен пин-код, который он также с помощью сканера не может получить.
Может ли он что-то покупать через Интернет по этим данным? Нет, он не знает имени владельца карты и кода CVC2.
Я, собственно, к тому, что только с помощью этого или подобных сканеров невозможно получить данные ваших карт так, чтобы потом оплачивать покупки в Интернете, совершать небольшие платежи без ввода пин-кода (в Испании это суммы до €20) или какими-то другими способами уводить ваши деньги.
Как принимать оплату по QR-коду
Можно ли заменить эквайринг на платежи через QR-коды
Оплата по QR-коду — это вид безналичного платежа, аналог оплаты банковской картой через эквайринг.
Все ИП и организации могут принимать оплату через QR-коды на свои расчетные счета. Покупать для этого специальное оборудование не нужно. Продавец размещает QR-код для оплаты, например печатает его на ценнике или показывает с экрана планшета рядом с товаром. Покупатель считывает QR-код через приложение банка, чтобы оплатить товар или услугу.
В QR-коде может быть зашифрована любая текстовая информация — рекламный слоган, телефон, ссылка на сайт. Его могут предъявить пассажиры вместо электронного билета или предприниматели вместо визитки. Если QR-код применяют для платежей, то в него зашифровывают реквизиты получателя, сумму и назначение платежа. По ним и происходит оплата товара или услуг.
Расскажу, как бизнесу наладить прием оплат по QR-кодам.
Курс о больших делах
Плюсы и минусы оплаты по QR-коду
Для бизнеса прием платежей по QR-кодам имеет свои плюсы и минусы.
Плюсы. Прием оплаты по QR-кодам дешевле эквайринга, бизнес может сэкономить на комиссии банку. Комиссия зависит от вида деятельности компании: либо 0,4%, либо 0,7%.
Не нужно покупать оборудование: QR-коды генерирует банк, а считывает их смартфон покупателя — все бесплатно.
Принимать оплату по QR-коду может любой бизнес — и онлайн, и офлайн, на любом режиме налогообложения. После подключения такой возможности в своем банке достаточно разместить коды в удобных местах. Банковский терминал не потребуется.
Минусы. Заплатить по QR-коду смогут не все покупатели, а только те, чей банк подключен к СБП, кто знает о возможности такой оплаты и умеет ею пользоваться.
Некоторые продавцы должны принимать карты независимо от того, какие еще способы оплаты они применяют. Например, это касается карт «Мир», если выручка продавца за предыдущий год превысила 20 млн рублей в целом и 5 млн рублей в торговой точке.
В этом случае оплата по QR-коду не поможет сэкономить на аренде терминала — ставить его все равно придется.
Для тех, кто не обязан принимать карты «Мир», полный переход на QR-коды чреват потерей части покупателей — кто-то не захочет или не сможет платить по QR-коду. Например, из-за того, что в смартфоне нет приложения банка.
Прием платежей по QR-кодам подойдет как дополнительный способ приема оплаты, а не вместо эквайринга.
С точки зрения покупателя тоже есть некоторые недостатки, которые ограничивают использование QR-кодов.
Для оплаты через QR-код покупателю нужен смартфон с работающей камерой, счет в банке, подключенном к СБП, приложение банка и мобильный интернет.
Что такое Система быстрых платежей
QR-коды используются в СБП — Системе быстрых платежей.
Система быстрых платежей — это сервис, через который совершают мгновенные межбанковские переводы по идентификатору — номеру телефона или QR-коду.
Поначалу через СБП переводили деньги только физические лица между собой, но с декабря 2019 года бизнес тоже может принимать платежи через систему на расчетный счет.
Компания с компанией или с ИП через QR-код рассчитаться не сможет, но ей это и не нужно. Юридические лица и предприниматели рассчитываются между собой по банковским реквизитам, зашифровывать их в QR-код просто незачем.
Если банк покупателя к Системе быстрых платежей не подключен, оплатить товар через QR-код он не сможет. Поэтому в торговой точке должны принимать оплату разными способами, перейти полностью на QR-коды не получится.
Еще учтите, что СБП не заменяет онлайн-кассу. Покупать кассу для приема платежей от физлиц все равно нужно.
Какие бывают QR-коды
QR-коды генерирует банк, в котором открыт счет продавца, и куда будут приходить платежи от клиентов. Еще QR-коды могут генерировать некоторые кассы, без постоянных запросов в банк — о них расскажу ниже.
Банк может дать один статический код, через который будут расплачиваться все клиенты торговой точки, или генерировать разные динамические QR-коды для каждой покупки. Динамические коды будут появляться на экране кассы при расчете с клиентами, в режиме онлайн. Выглядят эти коды одинаково, разница в зашифрованной в них информации.
Статический QR-код — это код, где зашифрованы только реквизиты продавца, его создают один раз на неограниченное время. Во время оплаты покупки нужную сумму клиент будет вводить сам. Статический QR-код продавец может, например, распечатать на бумаге и наклеить рядом с кассой.
Динамический QR-код. В этом коде есть не только реквизиты продавца, но и все сведения о данной покупке — товары, сумма и назначение платежа. Динамические QR-коды генерируют для каждого клиента индивидуально — под конкретный товар, работу или услугу.
После считывания динамического QR-кода клиенту нужно будет подтвердить списание денег в банковском приложении, вводить сумму покупки ему не надо. Динамические коды, как правило, действуют ограниченное время, например один час или одни сутки.
Владелец бизнеса сам решает, какие коды — статические или динамические — ему нужны. Статические коды можно распечатать всего один раз, но есть вероятность, что покупатели будут вводить суммы с ошибками. Динамический код исключает такие ошибки, но его нужно формировать каждый раз на компьютере, планшете или смартфоне и показывать покупателю для сканирования.
Сколько придется платить банку
Размер комиссии при оплате через СБП устанавливают банки, которые отправляют и принимают платежи, то есть существует две комиссии — за исходящий и входящий платеж. Максимальный размер комиссии устанавливает Банк России.
Для бизнеса прием входящих платежей через СБП платный:
Максимальная ставка 0,4% установлена для оплаты лекарств, БАДов и других товаров медицинского назначения, исключая медтехнику, благотворительных платежей, а еще — для оплаты услуг самозанятых. Например, клиент заказал у самозанятого услуги по уборке квартиры и оплатил их через СБП. Самозанятый с любого такого поступления заплатит максимум 0,4%.
Для всего остального остается такая же максимально допустимая ставка комиссии в 0,7% от суммы перевода.
максимальная комиссия оплаты через СБП
Малый и средний бизнес может возместить комиссии, уплаченные по операциям через СБП с 1 июля по 31 декабря 2021 года. Банки сами передадут сведения об уплаченных комиссиях, получат субсидию и компенсируют затраты предпринимателям.
Комиссия за прием платежей по QR-кодам значительно ниже, чем комиссия при оплате через эквайринг. За платежи через эквайринг приходится платить 1—3% с каждой оплаты, плюс к этому нужно платить за аренду терминала.
Человек с терминалом, или Снова про бесконтактные платежи
Может ли злоумышленник украсть данные карты или деньги, незаметно используя бесконтактные NFC-платежи?
Тема безопасности бесконтактных платежей, основанных на технологии NFC, продолжает будоражить общественность. Исследователи во всем мире пробуют эту технологию «на прочность», проверяя, не слишком ли мы все беспечны, таская карточки в карманах рюкзаков и сумочек. Что можно потерять — только данные карточки или, быть может, и деньги тоже, невзирая на все меры безопасности?
Тема-то потенциально серьезная. Мои коллеги по работе уже писали об этом не так давно. Изменилось ли что-то за полгода?
Незаметное считывание
Опыты показали, что стандартные приборы для бесконтактной оплаты: телефоны, PoS-терминалы и тому подобное — действительно работают только на ОЧЕНЬ маленьком расстоянии. Получается, что злоумышленники, конечно, могут извлечь какие-то данные вашей карты, но шанс маленький. К тому же требуются довольно недвусмысленные действия, которые можно заметить со стороны. Считыватель, спрятанный в кармане куртки, тут не поможет…
Преступники научились похищать деньги с карт при помощи смартфонов с поддержкой NFC или самодельных терминалов: https://t.co/mniTlYdWu6
…При условии, что он стандартный. Из не слишком дорогого набора деталей исследователям удалось собрать комплект, позволявший «подслушивать» транзакции и считывать данные карты на расстоянии до 45 см. Набор, правда, включал в себя рюкзак и тележку из супермаркета, в котором, собственно, и проводился опыт. В общем, с нестандартным считывателем шанс получить данные карты сильно возрастает, но требуется крупногабаритное оборудование.
Несколько интереснее выглядело заражение троянцем Android-телефона с NFC-модулем. В варианте «храню телефон и деньги у сердца» картина вырисовывалась не слишком приятная: считать карты в таком случае гораздо легче, а главное — никто и не заметит. При желании злоумышленники могли бы установить связь с другим телефоном через сотовый канал связи и, пользуясь таким своеобразным «удлинителем», даже купить что-то на сумму менее тысячи рублей — в пределах ограничения «беспиновой» мини-транзакции. Очень хлопотный и неудобный способ, но вроде как реалистичный.
Пока Apple Pay воюет за место под ритейловым солнцем, в Чили взломали платежную систему на базе NFC: http://t.co/RypZavxCnD
Однако за прошедшее с момента публикации исследования время мне так и не удалось обнаружить ни одного подтвержденного случая успешного «удаленного» покушения на NFC-карты.
Данные…
Многочисленные исследования показали, что хакеру с его супермощным считывателем проще всего частично получить данные карты: номер и дату истечения срока действия плюс некоторую информацию о нескольких последних транзакциях. Маловато для чего-то серьезного? В целом скорее да. Однако исследователи из Which?, например, смогли обнаружить магазин, где полученных данных хватило, чтобы совершить покупку, заметно превышающую лимит «мини-транзакции», не требующей PIN.
Несколько более сложный путь данные карты могут проделать, попав в базу данных торговцев-кардеров, чтобы потом, в не вполне обозримом будущем, возможно, стать частью некой теневой операции. С вышеупомянутым набором данных вероятность неприятностей по этой схеме несколько меньше, но ничего хорошего этот сценарий точно не обещает.
Безопасны ли бесконтактные платежи и можно ли украсть деньги с соответствующих карточек: https://t.co/7o4giKbQle pic.twitter.com/wVJdxpqD00
Простейший вариант — вам звонит по телефону некая девушка «из банка» и с целью проверки/расследования инцидента/по другой очень убедительной причине просит вас назвать дополнительные данные карты, достраивая существующий набор до более полного. Понятно, что на самом деле барышня не из банка, потому что настоящие представители банков никогда так не делают.
…или деньги?
Обычных людей больше всего пугает то, что с их карты могут в теории снять деньги, используя функцию «мини-транзакции», когда для списания денег не нужно вводить PIN-код. Считать, конечно, можно — были бы терминал, способный проводить бесконтактные транзакции, и возможность подобраться с ним поближе к карте.
Но тут мы вплотную подходим к тем мерам безопасности, которые даже старше портативных терминалов. Каждый кассовый аппарат с давних времен регистрировался — как минимум в налоговой инспекции. С появлением системы электронных платежей каждый терминал (если это независимый терминал, а не PoS-система) регистрируется при заключении договора с банком-эквайером.
Паспорт и прочие подтверждения сущности/личности фирмы/продавца — обязательны. Без этого денежные взаимоотношения между покупателем и торговцем (по сути, эквивалентные безналичному обмену между банком торговца, банком-эквайером и банком, выдавшим карту покупателю) просто невозможны.
Любая мошенническая транзакция, будучи опротестованной, может быть отслежена до терминала, с которого она была инициирована, и его владельца. Соответственно, опротестованная транзакция отменяется, деньги возвращаются, а владельцем терминала начинают плотно интересоваться компетентные органы.
Тут, однако, начинается серая зона.
Что, если…
Отличная статья на РБК про то, как вернуть украденные с банковской карты деньги: http://t.co/kdbGGC9txg pic.twitter.com/xV5oUUVBfd
При желании можно придумать еще обстоятельства, чаще всего связанные с тем, что кто-то недостаточно тщательно выполняет свою часть действий, обеспечивающих безопасность платежа. Будьте внимательны к тому, с кем именно вы имеете дело, и всегда досконально выясняйте, каковы условия, на которые вы подписываетесь.
Что касается фирм, зарегистрированных на чужое имя, то, мне кажется, подобного рода мошенничество организуется ради гораздо более серьезных операций, нежели попытка увести с чужих карт несколько десятков тысяч рублей, которые попросту не окупят криминальные вложения.
Пять уроков, которые стоит извлечь из взлома кредитной карты: http://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется «пластиком».
Ах да, есть еще вариант с незадачливым курьером, потерявшим терминал. Но он не для преступников: вывести деньги со счета фирмы, на которую зарегистрирован терминал, можно только, например, взломав электронный банк. И зачем тогда, спрашивается, вообще красть терминал?
Что делать-то?
Да и надо ли вообще что-то делать? Каждый решает сам. Просто помните, что эксперимент, требующий рюкзака и тележки из супермаркета, завтра может стать реальностью.
Вот что я решил для себя:
