🙏🏿 😵 🌎 المعاملات غير المتصلة بالنقل العام - الأمن ومكافحة الاحتيال 💞 👏 💶

ولم يمر يوم ، لأنني أكتب مقالًا جديدًا يتعلق أيضًا بتقنية NFC. وهي المعاملات غير المتصلة بالإنترنت في وسائل النقل العام ، ولماذا وما هي إيجابيات وسلبيات الركاب وشركات النقل التي تحملها. منذ حوالي خمس سنوات ، أحدثت فضائح عديدة تتعلق باختراق بطاقات الترويكا في موسكو ضوضاء. ثم احتاج المتسللون للحصول على مفاتيح الوصول إلى محتويات بطاقات Mifare 1K وما شابه ، بالإضافة إلى برنامج محدد تمامًا للعمل معهم. في الوقت نفسه ، كان احتمال اكتشافه مرتفعًا جدًا - تم إرسال بطاقات ذات تناقضات في المحتوى وخادم Troika بسرعة إلى قائمة التوقف ، وعند محاولة المرور عبر هذه البطاقة ، ألقى الباب الدوار صرخة ثاقبة ، مما جذب الانتباه. ما الذي تغير عندما بدأت الأجهزة الطرفية في دعم البطاقات المصرفية؟

هذه هي الصورة بالضبط عندما يمكن ملاحظة دفع الأجرة في بعض المدن الكبيرة. يمكن أن تعمل المحطات الطرفية الجديدة مع بطاقات Mifare القديمة وبطاقات EMV اللاتلامسية. هل من الضروري أن نقول أنه على الرغم من الفضائح التي اندلعت ، فإن نقاط ضعف Mifare القديمة لم تختف؟ ولكن في هذه المقالة ، سنتحدث عن نقاط الضعف التي يجلبها دعم EMV.

تحذير للمنبوذين والمحتالين والمتسللين من جميع الخطوط:

الموصوف أدناه هو بالمعلومات وغني بالمعلومات بطبيعته. أفهم أن هذا التحذير لن يوقف بعض القراء لبعض الأسباب الذاتية ، ولكن لا يزال يتذكر - هناك مواد من القانون الجنائي للاتحاد الروسي رقم 159 ورقم 272!

جزء من النظرية

EMV (Europay Mastercard Visa) - معيار يصف سلوك شريحة بطاقة الدفع في سيناريوهات مختلفة لضمان أعلى قدر ممكن من الأمان للمدفوعات. يمكنك قراءة المزيد عن هذا هنا في منشور محترمAlexgre. نحن مهتمون فقط بحقيقة أن البروتوكول يسمح في بعض الحالات بالمعاملات التي تتم دون اتصال بالإنترنت ، أي العملية التي تجريها البطاقة والمحطة الطرفية فيما بينهما حصريًا ، ويتم إرسال معلومات المعاملات إلى البنك المستحوذ لاحقًا. ميزة هذا النهج هي بلا شك أن هذا الحل مثالي للظروف التي لا يوجد فيها اتصال ، أو أن الاتصال غير مستقر - مثل الحافلة نفسها ، على سبيل المثال. يتبع ناقص من الاسم - لا تستطيع الوحدة الطرفية التحقق من توفر الأموال على البطاقة ، وكذلك حالة البطاقة نفسها. سيتمكن البنك فقط من تأكيد أو رفض عمليات الشطب لمعاملة معينة أثناء المزامنة. ماذا يحدث إذا عرضت على الموصل بطاقة فارغة أو محظورة؟ ولكن لن يحدث شيء.باستخدام أوامر APDU الأساسية ، ستطلب الوحدة الطرفية من البطاقة تاريخ انتهاء صلاحيتها ومقارنتها بوقت النظام - إذا لم تكن قد انتهت صلاحيتها ، فستطلب من البطاقة رقم PAN الخاص بها - هذا هو نفس رقم البطاقة المختوم عليه. بعد حفظ هذه البيانات ، وفقًا لتقدير TRM (إدارة المخاطر الطرفية ، إدارة المخاطر النهائية) ، ستقوم الوحدة الطرفية بتحويل رقم عشوائي إلى البطاقة ، وتجزئته وتوقيعه بمفتاحه ، ويحفظ الجهاز الرقم الأصلي واستجابة البطاقة حتى يمكن تحويله لاحقًا إلى البنك. بعد إجراء هذه العمليات ، ترسل الوحدة الطرفية أمرًا لإنهاء الاتصال بالبطاقة وإنهاء الاتصال عن طريق طباعة بطاقة شيك. في وقت لاحق ، لن تتمكن المحطة من شطب الأموال من هذه البطاقة - يتم إرسال بطاقة PAN إلى قائمة التوقف - حتى يسددوا الدين ، لن يقبلوا هذه البطاقة في أي حافلة. نظام مثالي ، أليس كذلك؟ يبدو أن هناك نقاط ضعف ،لا توجد هدايا مجانية تدفع مقابل كل شيء في النهاية. كل شيء كان سيبقى على حاله ، إن لم يكن لواحد كبير "لكن" ... أو القليل.

Apple/Samsung/Google Pay —

وفي 9 سبتمبر 2014 ، قدمت شركة Apple طريقة دفع جديدة بدون تلامس عبر البنية التحتية الحالية. ركزت Apple Pay على البساطة والسرعة والخصوصية. تم توفير البساطة (وتوفر) من خلال الواجهة البديهية لـ Wallet ، ويتم ضمان الخصوصية من خلال الترميز. عند إضافة بطاقة إلى Wallet ، يقوم نظام الدفع (مثل Mastercard أو Visa) بإنشاء رمز مميز. الرمز المميز هو PAN - ولكن ليس هو الرمز الذي تم طرحه على البطاقة المضافة ، ولكن ما يعادله في نظام الدفع. من الآن فصاعدًا ، سيتم النظر في طلبات POS الطرفية لهذا PAN الافتراضي من قبل نظام الدفع كما لو كان رقم بطاقة فعلية. باستخدام هذا النهج ، حتى المحطة الطرفية التي يُحتمل أن تكون عرضة للاختراق ، لا ترى رقم البطاقة الحقيقي - يمكن استخدام الرمز المميز فقط للمدفوعات على أجهزة نقطة البيع ، وفي حالات أخرى ، لا فائدة منه.في وقت لاحق ، بدأ Samsung Pay و Google Pay (سابقًا Android Pay) في العمل على نفس المبدأ.

الرموز في المعاملات دون اتصال

نعم. إن الجهاز غير المتصل هو بمثابة بطاقة مادية. وفي حالة حدوث خطأ في الدفع ، ستضع المحطة الطرفية في الحافلة رقم PAN في قائمة التوقف. لقد انتصرت العدالة! فقط ... PAN سريع الزوال! في كل مرة تضيف فيها بطاقة إلى جهاز محمول ، سيكون الرمز المميز مختلفًا. وبناءً على ذلك - نضيف البطاقة إلى الجهاز - وخرجنا من قائمة التوقف دون دفع أي سنت. كرر إذا لزم الأمر. وبالتالي ، لإعادة إنتاج هذا الهجوم ، فإن أي جهاز قادر على إجراء الدفع بدون تلامس مناسب. وهذا يمثل 90 بالمائة من جميع الهواتف المزودة بتقنية NFC.

كيفية محاربة؟

غير متصل - مستحيل. إطلاقا. لا توجد طريقة لتحديد ما إذا كان الرمز المميز ينتمي إلى أي حساب. لذلك ، نحتاج إلى المحطات الطرفية التي يمكن أن تكون غير متصلة بالإنترنت فقط عند الضرورة ، والبقاء على الإنترنت لأطول فترة ممكنة. أفهم أن مجموع المخاطر صغير ، لكن الضعف سهل التشغيل بحيث يمكن للجميع الاستفادة منه. يمكنك إصلاح الموقف - هناك مدققون متخصصون لوسائل النقل العام.

نوع من هذا.

, . .

ما هي النتائج؟

لن تكون الابتكارات المتسرعة آمنة وموثوقة دائمًا. كما هو الحال مع نظام النقل ، لم يتم إصلاح نقاط الضعف القديمة حتى الآن ، ولكنها جلبت بالفعل نقاط ضعف جديدة يسهل استغلالها. والعكازات سيئة. آمل أن يساعد بحثي الصغير بعض شركات النقل على إعادة التفكير في أولوياتها.