ApplePay и безопасность. Как она есть.

24.05.2017 22:35 11 2 280 просмотров
Давайте сегодня немного поговорим о безопасности? Безопасности ваших денег с точки зрения «у меня есть ойфон и я плачу им». Почему вообще возник этот вопрос? Все просто – вот клиент и он рассказывает нам как его кинул банк и как же он несчастен по этому поводу. Почему клиент врет? Сейчас расскажу.

Мы видим страшную историю, со слов клиента и слов банка. Итак – у клиента украли ойфон, из-за установленного на нем приложения Тинькофф МП привязали его карту к ApplePay и оплатили ей несколько покупок. Разумеется, с точки зрения клиента банк виноват, но вот в чем? Давайте посмотрим, что должен сделать клиент и предполагаемый мошенник для проведения такой операции?

Итак, украден телефон. Ойфон 7 с установленным приложением банка. После чего вор привязывает карту к ApplePay и оплачивает с ее помощью покупку на 8999.9 UAH это все, что нам надо знать для начала. Дальше – разбор ситуации:

1. Все мы знаем, что у ойфонов используется два способа разблокировки. Первый – по отпечатку пальца, второй (для 7) по коду состоящему из 6 цифр. У автора палец не отрубали, иначе он об этом написал бы. Как следствие – вор должен подобрать код из 6 цифр. Просто ли это сделать? Нет! После 5 неверного кода телефон ставит паузу в 1 минуту дня набора следующего, после 6 неверного кода в 5 минут, после 7 неверного кода в 1 час. Правда телефон можно перезагрузить. Это занимает минуту. Итак, для подбора кода из 999999 вариантов вам потребуется пусть не 499999 минут, а в десять раз меньше 49999 минут, это более одного месяца! Только что мы выяснили, что либо клиент передал вору код, либо вор умудрился угадать его за короткое время, что невозможно, месяца на подбор у вора не было.

2. Для разблокировки МП банка требуется так же палец (который не отрубили), либо 4-х значный код. Казалось бы, что проще, подобрать код из 4 цифр? Но – опять нет! Неверный код можно ввести 3 раза, после чего приложение забывает о коде и требует пару логин/пароль. Как следствие, либо вору передали этот код, либо он настолько удачлив, что угадал его с 3 раз. Такого просто не бывает. Если вор обладает такой удачливостью он давно украл миллиарды у ЦБ и ему не нужны карты. Но, продолжаем.

3. Если сумма платежа превышает 200 гривен (по некоторым данным 500) она требует подтверждения по PIN. И это верно в том числе для операций по ApplePay. То есть на нашу операцию покупки в 8999 гравен сделанную в терминале у клиента должен быть запрошен тот самый PIN. Что еще интересней, даже если карта у клиента с приоритетом подписи, при ApplePay PIN все равно запросит. И тут опять же, с первого раза угадать 4 знака?

4. Как мы помним, у нас тут упоминается ойфон? А у него есть такая штука как режим пропажи. В этом случае разблокировать телефон можно только с помощью логина/пароля. При этом телефон передает месторасположение. Но – воспользоваться на нем картами, тем же ApplePay просто невозможно. Клиент этого не сделал, хотя и мог, он же говорит, что режим отслеживания включен. Почему? Выводы чуть дальше.

Итак, выводы. Если мы посмотрим на наше разбирательство, то поймем, что внезапно(!) оплата с помощью телефона даже более безопасна чем оплата с помощью карты с PayPass. У вас есть либо запрос отпечатка, либо 6-тизначный код, для операций до 1000 рублей (у карты вообще ничего не требует), либо PIN и отпечаток с 6-тизначным кодом когда карта требует только PIN. Для привязки карты к телефону вам потребуются либо реквизиты карты и код 3DS из SMS, либо отпечаток и 4-хзначный код для доступа в МП, что тоже надо умудрится потерять.

Ну как же, как же у этого клиента украли более 9000 гривен? Все просто. В совокупности мер безопасности, для клиента остается только один вариант – он сам, передал «вору» телефон и все коды. Код блокировки телефона, код МП банка, PIN карты. Все три! Как он это сделал – не суть важно, либо лично, что бы попытаться обмануть банк, либо написав эти коды на самом телефоне (тоже лично), до кучи - человек не сделал ничего, что бы заблокировать украденный телефон! Особо важно то, что без прямого и деятельного участия клиента украсть данные карты через ApplePay просто нельзя. Так что – пользуйтесь и не забывайте, коды надо хранить аккуратно и лучше всего в памяти вашей головы и сейфе, но никак не записывая их маркером на телефоне.

PS. Ах да, тут был вопрос – нафига клиенту так палиться? Я боюсь, что клиент просто не знает ничего из вышеперечисленного. Ни как работают коды, ни о количестве попыток подбора. Более того, клиент считает, что ApplePay это дубликат карты и надеялся, что при оплате через телефон, когда оригинал карты на руках банк подумает, что кто-то сумел сделать клон чипа PayPass. Неа, банк для ApplePay выпускает виртуалку которую вы не видите от слова вообще и четко понимает как, когда и кто ее привязал.

Комментарии 11

mr_simm  (mr_simm)
#
Цитата
1. Все мы знаем, что у ойфонов используется два способа разблокировки. Первый – по отпечатку пальца, второй (для 7) по коду состоящему из 6 цифр. У автора палец не отрубали, иначе он об этом написал бы. Как следствие – вор должен подобрать код из 6 цифр.
Языками не владею, но… https://www.forbes.com/sites/patrickmoorhead/2017/05/18/why-complete-end-to-end-fingerprint-security-matters/
mr_simm  (mr_simm)
#
Цитата
3. Если сумма платежа превышает 200 гривен (по некоторым данным 500) она требует подтверждения по PIN. И это верно в том числе для операций по ApplePay. То есть на нашу операцию покупки в 8999 гравен сделанную в терминале у клиента должен быть запрошен тот самый PIN. Что еще интересней, даже если карта у клиента с приоритетом подписи, при ApplePay PIN все равно запросит. И тут опять же, с первого раза угадать 4 знака?
Не знаток Apple Pay, но по ссылке же не уточняется, о каких операциях идёт речь (не в курсе, возможно ли бесконтактно снять наличные, например, или оплатить с помощью Apple Pay онлайн-покупки), но даже если предположить, что телефон использовался в качестве обычного пластика для покупок, то… оплата таксо и гостиниц вполне допускает авторизацию на одну сумму (на те же 200 гривен, чтобы не было запроса PIN), а списание – на другую (как в меньшую, так и в большую сторону).
PS: не пытаюсь оправдывать клиента, просто хочу сказать, что случай требует разбирательств.
Владимир Тихонов  (lordkaho)
#
Цитата
mr_simm пишет:
Не знаток Apple Pay, но по ссылке же не уточняется, о каких операциях идёт речь (не в курсе, возможно ли бесконтактно снять наличные, например, или оплатить с помощью Apple Pay онлайн-покупки), но даже если предположить, что телефон использовался в качестве обычного пластика для покупок, то… оплата таксо и гостиниц вполне допускает авторизацию на одну сумму (на те же 200 гривен, чтобы не было запроса PIN), а списание – на другую (как в меньшую, так и в большую сторону).
PS: не пытаюсь оправдывать клиента, просто хочу сказать, что случай требует разбирательств.


Операция была именно ApplePay. Использовать ApplePay для снятия налички невозможно, для оплаты в интернет тоже, если не покупать с самого ойфона на специальных сайтах со специальным модулем продажи. С гостиницей - да, можно такое провернуть, но вторая операция на 8999 гривен была обычной оплатой в обычном магазине, с вводом PIN. Ну вот никак не страстается у клиента история.
Eugene L  (EugeneL)
#
А разве ПИН-код не при создании виртуалки генерируется, что сами "злоумышленники" сделали 14.05, судя по ответу банка? Может ПИН в виде флеш-сообщения был прислан на всё тот же ойфон?
Владимир Тихонов  (lordkaho)
#
Цитата
Евгений Лобанов пишет:
А разве ПИН-код не при создании виртуалки генерируется, что сами "злоумышленники" сделали 14.05, судя по ответу банка? Может ПИН в виде флеш-сообщения был прислан на всё тот же ойфон?


Нет, PIN виртуальной карты ApplePay соответствует PIN той карты которую вы привязали.

14.05 "злоумышленник" привязал карту из МП к ApplePay с трех раз угадав PIN для МП.
Владимир Тихонов  (lordkaho)
#
Цитата
mr_simm пишет:
https://www.forbes.com/sites/patrickmoorhead/2017/05/18/why-complete-end-to-end-fingerprint-security-matters/


То есть, требовалось - подсунуть клиенту читалку отпечатков. Получить надежный отпечаток, а это минимум три-пять попыток чтения, сгенерировать поддельный палец и им разблокировать телефон и приложение? При таких возможностях не нужно даже телефон красть, вы уже миллионеры, потому как опять же - грабанули какой-нибудь банк на 100500 миллионов.
Serg742  (Serg742)
#
Небольшая правка. Чтобы подобрать код из двух цифр нужно 100 попыток, а не 99. Из трех цифр - 1000 попыток, а не 999 и так далее. А то глаз устает девятки читать.
Владимир Тихонов  (lordkaho)
#
Цитата
Serg742 пишет:
Небольшая правка. Чтобы подобрать код из двух цифр нужно 100 попыток, а не 99. Из трех цифр - 1000 попыток, а не 999 и так далее. А то глаз устает девятки читать.


Верно, но не верно smile:) 9 выглядит круче. А вообще среднее время "угадывания" кода из 2 цифр - 50 попыток. Ну при бесконечно большой выборке smile:)
Камо Haiku_OS_User  (камо)
#
В 99 % краж с карт виновен тот самый человеческий фактор на стороне клиента... smile:uncap:
Вечное Лето  (mouse2)
#
а сей айфон различит живой отпечаток пальца живого клиента и сканированный и отпечатанный потом на добротном принтере отпечаток пальца клиента?
как варианты:
1) отпечаток из базы УВД,
2) фото отпечатка пальца клиента на бокале из под шампанского (граненый стакан будет очевидно не так удобен)
3) если клиент сильно бухой, то "подруги" могут разгрузить его счет пока клиент "отдыхает"
smile:D
тоже планирую покупку такого гаджета, но ставить на него приложение дрейфю smile:)
Вечное Лето  (mouse2)
#
про угадывание: как то столкнулась с тем, что на угадывание шифрованного пароля из 11 символов ущло времени намного меньше ожидаемых 5 лет (блокировок после неудач конечно там не было), т.к. для открывания паролей при хранении зашифрованного пароля вполне пригодны первые попавшиеся комбинации, которые при зашифровке дадут тот же результат, что и настоящий пароль. т.е. комбинаций потребовалось в 999 раз меньше расчетного количества smile:)
/ничего криминально, просто любопытный эксперимент был на тестовых паролях/
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

Белый список банков.
Альфа*Ренессанс*Запсибкомбанк*ХКФ*Металлинвест*Союз*Тинькофф*Авангард*Экспобанк Сургутнефтегазбанк*Алмазэргиэнбанк*СДМ,Акцепт*Челиндбанк*Кредит Урал*Челябинвестбанк*Банк
6
Брокер, депозитарий, НРД... Как это работает. Что происходит при банкротстве брокера.
На инвестиции в ценные бумаги действие АСВ не распространяется. И кроме вопроса надежности самих бумаг, становится актуальным вопрос надежности брокера.
2
Микрозайм по вашим ПД. Результат.
Не так давно, всего пол года назад, я писал о том как легко и просто получить долг. Неожиданно оформленный на вас микрозайм, исключительно по вашим ПД,
6
Авторский рейтинг надежности МФО от thinks (не аккредитован ЦБ) - декабрь 2018
Авторский рейтинг надежности МФО от thinks (не аккредитован ЦБ) - декабрь 2018 В рейтинге в названии МФО выставлена ссылка на статистику сайтов данных
1
Об одной очень надежной, сверхнадежной Ценной Бумаге
Предлагаю занятное мысленное упражнение. Представьте, Правительство предлагает вам приобрести некую очень надежную Ценную Бумагу стоимостью 10 миллионов
5

Новые сообщения