Сегодня в автобусе у кондуктора возникла сложность при бесконтактном чтении банковской карты МИР. Но кондуктор не растерялась и вставила карту чипом в терминал. Произошла авторизация и вылез чек. Мне казалось что чипованные операции все без исключения зашифрованы и подписаны кардхолдером путём ввода пина. И тут такое. Какие-то инновации от НСПК?
Форум
Транзакция без ввода PIN
06.07.2021 22:20 | |
06.07.2021 22:52
Необходимость подтверждения вводом пина для чипованной карты опциональна. Все зависит от настроек из банка, так и настроек терминала. | |||
06.07.2021 23:07
Помимо того что это ломает всю устоявшуюся логику обращения с картами когда бесконтакт допускает неподтверждённые списания до лимита а чип нет, стандарт EMV предполагает подписывание транзакций либо пином либо подписью. В данном кейсе не было ни того ни другого, операция оказалась не подписана ничем. Если данная неаутентифицированная авторизация ещё неотбиваема и по последствиям аналогична бесконтактной (в случае утери/кражи) то становится совсем грустно за безопасность ЭСП. | |||
06.07.2021 23:09 Либо ввод пин-кода, либо подпись на чеке - зависит от настроек, Тинькофф, например, позволяет в Интернет-банке их менять, выбирая для себя наиболее привлекательный | |
06.07.2021 23:21 По всей видимости в кондукторовском сберотерминале и на моей сберомиркарте сошлись CVM-листы и холдера можно не аутентифицировать вообще, даже по чипу. Очень оригинальное решение при наличии бесконтакта а главное очень «безопасное». Остаётся открытым вопрос как такие транзакции отбивать если что. | |
06.07.2021 23:24 В транспорте система терминалов своя и там как правило нет запроса пина на терминалах, даже если вставить чипом карту. Более того, там и передача данных безавторизационная, в отличии от обычных точек продаж, то есть даже если у вас на карте 0 вы можете спокойно проехать и потом вашу карту добавят в стоп лист.  - -Если человек с деньгами встречает человека с опытом, то человек с опытом уходит с деньгами, а человек с деньгами уходит с опытом! | |
06.07.2021 23:34
Регулярно так и езжу  Авторизует поездку не в момент прохода а пару минут спустя когда чек уже на руках. Но думаю что от стандарта даже в этих терминалах не ушли и с карты всё равно приходит CVM-лист предполагающий что без пина по чипу можно списывать. Значит параноики поздно спохватились с перерезанием антенны на карте потому что в транспорте прижмутся. Оказывается всё это время и по чипу можно было просто так списывать. | |||
07.07.2021 02:18
Это не так по двум причинам. Во-первых, бесконтактные операции, например, это тоже операции по чипу, только используется бесконтактный интерфейс, и эти операции тоже соответствуют стандарту EMV, и не требуют ни подписи, ни пин-кода при определенных условиях. Во-вторых, транзакция подписывается не пином, не подписью, а криптограммой, которую генерирует чип карты на основе приватного ключа. И в данном случае чип точно также сгенерировал криптограмму. | |||
07.07.2021 11:17 В какой-нибудь Швеции или Норвегии вообще не так часто запрашивают пинкод. Это чисто политика банка. | |
13.07.2021 13:14
Всегда так было. В САТ3 терминалах.
Клиент подписывает транзакцию ПИНом. Карта подписывает транзакцию криптограммой. Если ПИН неправильный - клиент ненастоящий. Если криптограмма неправильная - карта ненастоящая. | |||||
14.07.2021 10:49
И от суммы операции. | |||