Все что вы хотели знать про NFC, но не у кого было спросить.

[Диман]

Я тут "мысью по древу" растекся и написал небольшое FAQ по этой теме.
А то многие спрашивают, а как оно, да что оно.

[ИгНат]

Мне просто интересно сколько надо будет платить продавцам за предоставление такой услуги. Что-то я сомневаюсь что это будет бесплатно. Например сегодня я при приеме кредитки я должен заплатить примерно 2.2-2.5% от суммы полученных денег. А это как бы новая уже услуга, от стоимости которой зависит буду ли я ее предоставлять своим кастомерам или нет.
Это мысли вслух и скорее вопрос к банку наверное

[Discoverer]

Мне интересно, как аппаратно реализовано подключение телефона к терминалу? Иными словами, это реализовано программно или аппаратно, сигнал идет вместе со стандартным сигналом телефона или это какой-то дополнительный чип со своим стандартом?

[ИгНат]

да, это мне тоже интересно.
Для приема кредиток есть девайс (кард ридер) который подключается к телефону, например как этот - https://www.paypal.com/au/webapps/mpp/sell-in-person" onclick="window.open(this.href);return false;

[Диман]

как аппаратно реализовано подключение телефона к терминалу?

Как у обычной бесконтактной кредитной карты. Данные по карте хранятся в специальной зоне SIM чипа на телефоне. NFC - делает эти данные считываемыми в электо-магнитном поле ридера терминала. Грубо говоря - "по радио".

[Гош]

Еще предлагаю добавить описание, как с помощью девайса с NFC могут безконтактно воровать данные кредиток с его поддержкой

Ecardgrabber: Android App Sniffing Contactless Credit Card Details over the Air

Прижал на секунду девайс в метро к кошельку/сумочке в метро - и все данные кредитки из оного кошелька уже на девайсе.

[Discoverer]

Как у обычной бесконтактной кредитной карты. NFC - делает эти данные считываемыми в электо-магнитном поле ридера терминала. Грубо говоря - "по радио".

Не, мне не надо грубо. В симку встроен RLC, так?

[Диман]

Еще предлагаю добавить описание, как с помощью девайса с NFC могут безконтактно воровать данные кредиток с его поддержкой

Ecardgrabber: Android App Sniffing Contactless Credit Card Details over the Air

Прижал на секунду девайс в метро к кошельку/сумочке в метро - и все данные кредитки из оного кошелька уже на девайсе.

Это старая известная пугалка. Разные продавцы "электронепроницаемых" кошельков для карт любят так пугать - для продвижения своего товара. Кстати и девайс с NFC не нужен. Покупаешь простой USB бесконтактный картридер долларов за 7-8, ну и при наличии определенных знаний, можешь "прикладывать к кошелькам в метро".
Только вот, Гош, ну считаешь ты номер бесконтактной карты, что дальше делать будешь? Как себе это в прибыль обернешь?

[Диман]

Не, мне не надо грубо. В симку встроен RLC, так?

Нет, антенны на симке нет. Для связи с терминалом используется антенна NFC контроллера на смартфоне.

[Гош]

Только вот, Гош, ну считаешь ты номер бесконтактной карты, что дальше делать будешь? Как себе это в прибыль обернешь?

Согласно ссылке, удалось бесконтактно извлечь: Credit card number, Valid from date, Expiration date, Bank account number. То есть - осталось узнать ФИО владельца и карточкой уже кое-где можно воспользоваться. А сделать это можно, например, если владелец несет с собой паспорт с RFID (RFID passport identity theft made simple) Считав бесконтактно его данные я получаю Name, nationality, gender, birthday, birthplace and a nicely digitized photo.

Процесс, понятно, легко автоматизируется и одним взмахом телефона около вашего кармана (где лежали картчока и паспорт) - я получаю всю информацию, достаточную чтобы позвонить в банк, сказать, что поменял адрес и попросить выслать новую кредитку на новый адрес и т.п.

Так что, при такой чипизации карт и паспортов - те самые "электронепроницаемые" кошельки становятся просто жизненно важной вещью.

[Siberian_girl]

Процесс, понятно, легко автоматизируется и одним взмахом телефона около вашего кармана (где лежали картчока и паспорт) - я получаю всю информацию, достаточную чтобы позвонить в банк, сказать, что поменял адрес и попросить выслать новую кредитку на новый адрес и т.п.

Когда звонишь в банк, спрашивают пин для телефона, который невозможно считать с карточки, так что вряд ли эта схема рабочая.

[Sergey]

Когда звонишь в банк, спрашивают пин для телефона, который невозможно считать с карточки, так что вряд ли эта схема рабочая.

Сейчас нерабочая - завтра будет рабочая...

Я не специалист в этих вещах, но кажется, что чем дальше будем идти в этот лес, тем толще партизаны больше будет возможностей для злоумышленников.

[Гош]

Когда звонишь в банк, спрашивают пин для телефона, который невозможно считать с карточки, так что вряд ли эта схема рабочая.

У меня TD, BMO и RBC (за прочие - не ручаюсь) никогда никакой пин не спрашивали при звонке по телефону. Номер счета, ФИО и дата рождения - в 90% случаев уже достаточно, чтобы поменять адрес. Ну еще название текущей компании (которая вычисляется по LinkedIn/Facebook при наличии ФИО и фото за 5 мин). Еще правда желательно знать старый адрес...ну тут телефонная книга может помочь.

Я схему сам, понятно, не проверял и не собираюсь, но она, как не печально, выглядит рабочей.

[Anastassia]

У меня Скошия всегда спрашивает девичью фамилию матери - она, естественно, нигде в перечисленных источниках не значится.

[witch]

У меня Скошия всегда спрашивает девичью фамилию матери - она, естественно, нигде в перечисленных источниках не значится.

+1.
Точно не помню где, но вроде в РC Financial, спрашивали такие детали, что без последнего стэйтмента в руках, сам не ответишь (какая была последняя транзакция, на какую сумму, какие recurring payments вы делаете с этого счета и т.п.).
Но в целом, мне такой способ оплаты кажется бессмысленным и потенциально проблемным.

[Диман]

Только вот, Гош, ну считаешь ты номер бесконтактной карты, что дальше делать будешь? Как себе это в прибыль обернешь?

Согласно ссылке, удалось бесконтактно извлечь: Credit card number, Valid from date, Expiration date, Bank account number. То есть - осталось узнать ФИО владельца и карточкой уже кое-где можно воспользоваться. А сделать это можно, например, если владелец несет с собой паспорт с RFID (RFID passport identity theft made simple) Считав бесконтактно его данные я получаю Name, nationality, gender, birthday, birthplace and a nicely digitized photo.

Процесс, понятно, легко автоматизируется и одним взмахом телефона около вашего кармана (где лежали картчока и паспорт) - я получаю всю информацию, достаточную чтобы позвонить в банк, сказать, что поменял адрес и попросить выслать новую кредитку на новый адрес и т.п.

Так что, при такой чипизации карт и паспортов - те самые "электронепроницаемые" кошельки становятся просто жизненно важной вещью.

По пунктам
1.

Согласно ссылке, удалось бесконтактно извлечь: Credit card number, Valid from date, Expiration date, Bank account number.

тут сразу мимо - ребята слабо понимают о чем говорят. На картах не хранится Bank account number. Т.е. источник некомпетентен, задача публикации - напугать.
2. Ссылка про RFID паспорт. Гош, скажи честно - сам то все прочитал, что там написано? Там автору в комментах популярно объясняют что он "не совсем понимает как это все устроено и немножно врет". И он там еще что-то пишет про то, что 52-х битный ключ очень слаб и легко дешифруется. Это он о "каменном веке" что-ли? Ну ладно, Гош, ты не специалист, но про какой паспорт ты нам рассказываешь - про канадский? Ну ок, заходим наканадский сайт про паспортаи в два клика узнаем, что для канадских ePasspots используется 2048-битный ключ. Раз это все

легко автоматизируется

, то я с нетерпением жду, когда ты, Гош, представишь результаты дешифрования информации с этого чипа. Ради этого я готов подписаться на ePasspots и предоставить данные с чипа в паспорте тебе для экспериментов. Только уговор - если ты информацию

одним взмахом телефона

не считаешь, или в приемлемое время (типа 1-2 дня) не дешифруешь, то ящик бурбона (какого я скажу) мне поставишь - идет?
3. Ну а домыслы типа что в Канаде (ведь ты Гош собираешься в Канаде телефоном махать) каждый носит в одном кармане бесконтактную карту, вложенную в ePasspots (который он специально заказал, чтобы носить в нем кредитку) они как-то не похожи на действительность - или это не так?

Вывод. В интернете есть очень много неправды. Не надо всему верить. Не будьте совками - "телевизор сказал, газета написала - значит правда".

Вопрос к Гошу - если ты не понимаешь как работают технологии, зачем разносишь необоснованные слухи и заведомую ложь?

[Диман]

Я не специалист в этих вещах, но кажется, что чем дальше будем идти в этот лес, тем толще партизаны больше будет возможностей для злоумышленников.

Это не так. После того как кредитки мигрировали на чип с магнитной полосы количество фрода (мошенничества по кредиткам) упало значительно (собственно ради этого миграция и затевалась). Т.е. для злоумышленников возмошностей в этой области стало значительно меньше. (Я специалист в этих вещах)

[Sergey]

После того как кредитки мигрировали на чип с магнитной полосы количество фрода (мошенничества по кредиткам) упало значительно (собственно ради этого миграция и затевалась). Т.е. для злоумышленников возмошностей в этой области стало значительно меньше. (Я специалист в этих вещах)

Главный результат чипов для меня лично - что, по-моему, теперь при непонятных транзакциях откатить их не получится так просто, как было раньше.
Т.е. ранее я вообще не волновался о кредитках, а сейчас с ужасом думаю, что делать, если появится какой-то неизвестный науке мне платёж в стейтменте

[ИгНат]

А разве это твоя проблема если деньги с кредитки сперли жулики?

[Sergey]

А разве это твоя проблема если деньги с кредитки сперли жулики?

Да вот я и не знаю.
Раньше было как? С кредитки можно было откатить практически любую транзакцию, за которую ты не расписывался.
А с дебетки - фигушки, ибо там чип, и любой платёж идёт через него, отчего считается, что с дебетки просто так деньги списаться не могут.

А вот сейчас кредитки тоже стали такими же.
И куда, кроме Спортлото, теперь бежать, если таки у меня непонятный платёж прошёл каким-то образом?