- Визитки кончились, что дальше…
- Что такое emv карта?
- Idot. цифровая умная бесконтактная визитка с nfc и qr-кодом
- Nfc software
- Nfc, iso14443 и mifare
- Nfc-визитка: топ-3 компаний, предлагающих электронные визитки nfc
- Nfc-метка-визитка – тренд №1 среди электронных визиток
- Sim-карты
- Как использовать программируемые теги nfc
- Как проверить, поддерживает ли телефон nfc
- Клонируем карту mastercard в режиме magstripe
- Напоследок: какие задачи можно назначить на nfc-метку
- Предназначение технологии
- Преимущества и недостатки технологии
- Процесс имплантации
Визитки кончились, что дальше…
Итак, визитки кончились, контактами обменялись на клочке бумаги, который неудобно хранить, трудно обрабатывать, легко случайно потерять(так как не похож на «важный документ»). Но если все визитки попадают в мусор, то зачем их вообще раздавать? Зачем тратить бумагу? Почему бы не сделать «электронную визитку»?
Выбор сразу почему-то остановился на RFID-картах, причём на именно на картах Mifare. Хотя конечно не сразу и не почему-то, а были следующие размышления:
https://www.youtube.com/watch?v=JqxmDBnCUOs
1. Удобный обмен данными с мобильными устройствами, телефоны с поддержкой NFC, в дальнейшем визитку может заменить сам телефон;
2. Карта позволяет хранить информацию на карте, не только ID-карты, но и другую (Mifare Classic может хранить 1Kb информации);
3. Традиционно, визитка — это прямоугольник с контактами, и наверное он таким и должен оставаться какое-то время, просто необходимо немного поменять способ обмена информацией;
4. Технология NFC набирает обороты, и всё больше устройств появляется с поддержкой NFC;
5. Стоимость карточки Mifare Classic невысокая.
Итак, получаем прямоугольную карту, на которую:
1. Можно нанести визуальную информацию, как и на традиционную визитку (в том числе и QR-код);
2. Внутрь карты можно записать контактную информацию, которая будет быстро считана и обработана устройстом, и саму карту нет необходимости отдавать;
Из недостатков:
Пока небольшое распространение устройств с NFC.
Что такое emv карта?
EMV — это международный стандарт для банковских карт с чипом. В разработке этого стандарта принимали участия
E
uropay
M
asterCard
V
ISA, отсюда и название. Попробуем разобраться, как же все таки карта общается с POS-терминалом по бесконтактному интерфейсу.
Начнем с самых основ.
Бесконтактная EMV карта на физическом уровне работает почти так же, как и RFID метка. Если базисно то, чип попадает в электромагнитное поле, а в замкнутом проводящем контуре (в нашем случае это будет антенна, расположенная по периметру), помещенном в переменное магнитное поле, образуется переменный электрический ток.
Этот ток заряжает специальный конденсатор, подключенный параллельно к резонансному контуру карты. Энергия, запасенная в конденсаторе, используется для выполнения микросхемой карты различных операций. Когда ридер изменяет электромагнитное поле, изменения сразу будут заметны на чипе.
Используя модуляцию сигнала, мы можем передавать информацию в бинарном виде. Если на карте подключить нагрузочное сопротивление и или изменить емкость конденсатора, то можно изменить силу тока в контуре карты, что приведет к изменению создаваемого им электромагнитного поля в области контура ридера, таким образом карточка передает данные.
Сам чип карты представляет собой смарт карту, на которой работает JavaCard, отдельная версия Java для платформ с малыми вычислительными ресурсами и поддержкой криптографических алгоритмов. На JavaCard загружаются апплеты, которые, и являются приложениями.
Также существует GlobalPlatform это некий стандарт для JavaCard, который предоставляет возможность безопасного управления данными на карте и позволяет загружать, изменять и удалять приложения на карте. В этой статье механизмы безопасности самой смарт карты мы рассматривать не будем.
Также еще напомню немного терминологии, для тех, кто не знаком.
POS-терминал (Point of Sale) — устройство продавца, которое считывает карту и инициирует платеж. Далее будем называть это устройство просто терминалом. Банк эмитент — это банк, который выпустил вашу карту.Банк эквайер — банк, который выдает продавцам POS-терминалы и обрабатывает платежи с них.
Платежная система — центральное звено между банком эквайером и банком эмитентом, через нее проходят абсолютно все платежи, и она знает какой банк какому сколько должен перевести денег. Платежных систем в мире не мало, кроме всем известных Visa и MasterCard есть ещё и American Express, China UnionPay и российская платежная система МИР.
Хорошо, карта и ридер могут общаться. Они посылают друг другу APDU-команды в виде Tag-Length-Value т.е. передается название тэга в шестнадцатеричном виде, его длина и само значение. Все команды описаны конечно же в документации и выглядят примерно так:
Стандартная EMV транзакция проходит в несколько этапов, я опишу полный алгоритм взаимодействия в случае контактного интерфейса, для бесконтактного интерфейса алгоритм несколько укорочен:
Коротко рассмотрим каждую операцию.
Выбор приложения. Часто бывает, что на одной карте может быть несколько приложений. Например, банковская карта и проездной билет. И терминалу как-то необходимо разобраться, где и какой алгоритм ему использовать. Для выбора приложения используются так называемые Идентификационные Коды приложения (Application Identifier – AID).
Что бы в этом разобраться терминал посылает команду SELECT. Например, AID карты Visa Classic будет выглядеть следующим образом: A0000000031010. Если в ответ придет несколько таких кодов и терминал умеет работать с несколькими приложениями, то терминал выведет на экран список и предложит выбрать нужное нам приложение. Если терминал не поддерживает ни один из кодов приложений, то операция будет отклонена терминалом.
Инициализация обработки приложения. Здесь сначала проверяется географическое место пребывания. Например, карты Maestro Momentum могут работать для оплаты только в России. Этот этап сделан для того, чтобы предоставить эмитентам возможность применять существующие онлайн методы риск-менеджмента при проведении офлайн операций.
На этом этапе EMV-транзакция может быть отменена по инициативе самой карты, если данный тип операции запрещен в данной стране мира эмитентом. Далее карта передает терминалу набор специально структурированной информации, содержащей описание функциональности карты и приложения.
https://www.youtube.com/watch?v=6nm3-wvd5wU
Считывание данных приложения. Терминалу передаются различные данные карты необходимые для транзакции, например номер карты, expiration date, счетчик транзакций и много других данных. О некоторых из них будет сказано далее.
Пример данных:
Также передается сертификат публичного ключа банка эмитента и самой карты. Для того чтобы терминал был способен проверить цифровую подпись некоторых данных карты используется PKI-инфраструктура (Public Key Infrastructure). Вкратце, у платежной системы есть пара ключей — публичный и приватный и платежная система является для всех участников CA (Center Authority).
По сути платежная система для каждого банка эмитента выпускает новую пару ключей, и при этом формирует сертификат публичного ключа банка эмитента, подписывая его приватным ключом CA. Далее, когда банк выпускает новую карту, он соответственно генерирует для карточки пару ключей, и также формирует сертификат публичного ключа карты, подписывая его с помощью приватного ключа банка.
В терминалах обычно зашит сертификат публичного ключа для различных платежных систем. Таким образом, когда карточка передает сертификат публичного ключа банка эмитента и сертификат самой карты, терминал может с легкостью проверить всю цепочку, используя публичный ключ платежной системы.
Терминал с помощью публичного ключа платежной системы сначала проверяет подлинность сертификата банка эмитента, если он подлинный, то значит ему можно доверять и теперь с помощью сертификата банка эмитента можно проверить сертификат самой карты. Более подробней в статье про безопасность EMV .
Офлайн аутентификация. Терминал определяет тип поддерживаемого метода оффлайн аутентификации. Существует статичная (Static Data Authentication – SDA), динамическая (Dynamic Data Authentication – DDA) и комбинированная (Combined Data Authentication – CDA).
Эти методы также построены на основе PKI. SDA это просто подписанные данные на приватном ключе банка эмитента, DDA — терминал посылает какое-то случайное число и карточка должна подписать его, используя свой приватный ключ, а терминал проверит эту подпись используя полученный ранее сертификат карты, таким образом терминал удостовериться в том, что карточка и правда обладает приватным ключом — следовательно является подлинной. CDA это просто комбинация обоих способов.
Обработка ограничений. Здесь терминал проверяет полученные ранее данные с карты на условие пригодности для данной операции. Например, проверяет срок начала/окончания действия приложения Application Expiration Date (Tag ‘5F24’) и Application Effective Date (Tag ‘5F25’).
Также производится проверка версии приложения. Результаты операций, проводимых на данном этапе, также записываются в отчет TVR (Terminal verification results). По результатам этого этапа транзакция не может быть отменена, даже в случае, если, например, срок действия приложения истек.
Проверка держателя карты. Верификация держателя карты производится для того, чтобы аутентифицировать человека, предоставившего карту и проверить, является ли он подлинным владельцем карты. Стандарт EMV предоставляет различные методы верификации держателя карты (Cardholder Verification Method).
Список поддерживаемых методов верификации:
Вот
также есть интересная информация на эту тему.
Риск-менеджмент на стороне терминала. На этом этапе терминал проводит внутреннюю проверку параметров транзакции, исходя из установок риск-менеджмента банка-эквайера. Процедуры риск-менеджмента могут быть выполнены терминалом в любое время между моментами завершения процесса чтения данных карты и формирования терминалом первой команды GENERATE AC. Риск-менеджмент на стороне терминала включает в себя три механизма:
Анализ действий терминала. На этом этапе терминал анализирует результаты предыдущих шагов транзакции. По результатам анализа терминал принимает решение о том, следует ли провести операцию в online-режиме, разрешить ее проведение в офлайн режиме или отклонить операцию.
Риск-менеджмент на стороне карты. Карта, получив из команды GENERATE AC данные, касающиеся транзакции, терминала и результатов проверок терминала, в свою очередь выполняет собственные процедуры управления рисками и выносит собственное решение о способе завершения операции.
Анализ действий карты. На этом этапе карта завершает проведение процедур риск-менеджмента и формирует ответную криптограмму терминалу. Если карта решает одобрить транзакцию, то формируется Transaction Certificate. Если карта принимает решение о выполнение операции в режиме реального времени, то она формирует ARQC (Authorization Request Cryptogram).
Еще одна криптограмма ARPC (Authorization Response Cryptogram) нужна для аутентификации эмитента. Эмитент формирует криптограмму ARPC и отсылает криптограмму карте, если карта подтвердит пришедшую криптограмму, то следовательно, эмитент аутентифицирован картой.
Немного о безопасности ключей и взаимной аутентификации карты и эмитента из книги И. М. Голдовского:
Смысл взаимной аутентификации заключается в том, что карта и терминал аутентифицируют друг друга с помощью проверки подлинности криптограмм ARQC и ARPC. Криптограммы представляют собой данные, формируемые с использованием секретного ключа (который известен карте и банку эмитенту), номера транзакции, случайного числа, сгенерированного терминалом, а также некоторых реквизитов транзакции, терминала и карты. В случае ARPC к перечисленным данным еще добавляется авторизационный код ответа эмитента. Без знания секретного ключа карты для генерации криптограммы вычислить значения ARQC/ARPC невозможно за обозримое время с текущим уровнем технологий, и потому факт их успешной верификации указывает на подлинность карты и эмитента. Онлайн аутентификация является наиболее надежным способом аутентификации карты. Это связано с тем, что она выполняется непосредственно эмитентом, без посредника в виде терминала. Кроме того, для онлайновой аутентификации используется алгоритм 3DES с временным ключом размером 112 битов, криптостойкость которого соответствует криптостойкости алгоритма RSA с длиной модуля асимметричного ключа, используемого для офлайн аутентификации приложения карты, более 1700 бит. Использование на карте асимметричных ключей такой длины все еще достаточная редкость. Обычно используются ключи с модулем длиной 1024, 1152 или 1408 бит.
В конечном итоге онлайн транзакция проходит по цепочке: Карта <—> POS-Терминал <—> Банк Эквайер <—> Платежная Система <—> Банк Эмитент.
Idot. цифровая умная бесконтактная визитка с nfc и qr-кодом
Мы официально подключены к сервису быстрых приемов донатов и чаевых
Cloud Tips
. Это продукт компании Cloudpayments, группа компаний Тинькофф. Все расчеты и переводы обеспечивает банк Тинькофф.
Чтобы вам начать прием донатов или чаевых достаточно в редакторе выбрать кнопку «Чаевые Cloud Tips» и указать свой номер мобильного телефона без » » в формате 7905XXXXXXX. Также у вас есть возможность дать название этой плитке, например «Поблагодарить» или «Отправить мне донат/чаевые» или любое другое текстовое описание.
Когда кто-то открывает вашу визитку и кликает по плитке с чаевыми, он попадает на платежную форму с которой можно одним кликом перевести любую сумму от 49 до 10,000 руб. через Apple Pay или Google Pay. Также есть возможность перевода с любой банковской карты. После того, как вам сделали перевод, вам придет смс-уведомление о том, что вам перечислили деньги. В сообщении будет уникальная ссылка, по которой вам будет предложено зарегистрировать аккаунт в
Cloud Tips
, чтобы привязать карту для вывода полученных денег.
Комиссия: при выводе на карты Тинькофф — 5%, на карты других банков — 7%.
Комиссию может заплатить как тот, кто переводит вам деньги (есть ползунок в платежной форме), так и вы при выводе денег на привязанную карту.
Очень подробная пошаговая инструкция как подключить Cloud Tips к Айдот читайте в
этой статье
нашей базы знаний.
Посмотрите
информационное видео
об интеграции Айдот и Cloud Tips
Nfc software
Дальше нужно было найти правильный софт, чтобы записать максимально возможную контактную информацию на «волшебной визитке». Я перепробовал весь возможный набор из Google play и остановился на программе от производителя чипов (NXP) – TagWriter.
Помимо чтения и записи, она может на время или полностью делать метку read-only, копировать метки, читать полные данные из чипа и так далее. К тому же записывает максимально возможную визитку, а не только заранее записанные типы данных.
Какую информацию в принципе можно записать на метку?
- визитку;
- ссылку на сайт;
- просто текст;
- смс (причем можно и номер, и сообщение записать);
- электронное письмо (адрес, тема, сообщение);
- телефонный номер;
- Bluetooth-данные для автоматического присоединения к устройству;
- координаты;
- ссылку файл на файловой системе устройства или в интернете;
- запуск приложения на телефоне.
Довольно неплохой перечень. В других приложениях записи NFC попадались и экзотические варианты, например, записи данных для доступа к Wi-Fi сети или автоматической отсылки смс на определенный номер с текстом, но для обычных ситуаций такого набора вполне хватает.
Выбираем визитку и выбираем из адресной книги наш контакт (предварительно его создав), который может включать имя, фамилию, различные телефоны, электронные адреса, веб-сайты, физический адрес, дату рождения, заметки. По идее можно и фотографию, но она, конечно, в килобайтную визитку не поместится. Сохраняем данные на метку плюс добавляем запуск приложения «Контакты»
Теперь если вы попадёте на конференцию, где будут не только iOS-девайсы (например, я так пользовался «волшебной визиткой» на Google IO), можете запросто дать приложить свою «дополненную визитку» к устройству и тут же сохранить ваш контакт в адресную книгу посетителя. WOW-эффект обеспечен. А с учётом вероятной поддержки NFC в новом iPhone, ареал использования существенно расширяется.
Кстати, есть и ещё один способ использования NFC-меток, в том числе и использованных (например, старых карт метро): записать последовательность действий при обнаружении рядом метки с этим ID. Лидер в этой области – приложение Trigger (бывший NFC Task Launcher, который добавил поддержку триггеров Wi-Fi, Bluetooth, координат, времени, процентов батарейки).
Можно, например, повесить метку дома, в машине и на работе, чтобы подключатьотключать wi-fi, передачу данных, bluetooth, беззвучный режим, отправлять сообщения, запускать навигационные или рабочие приложения, начинать проигрывать музыку и т.д. Очень клёвый способ автоматизации привычных действий.
Nfc, iso14443 и mifare
Стандартов ближней радиосвязи и беспроводных меток в частности, существует великое множество. Чаще всего используются частоты 125 кГц (LF-диапазон, см. первую часть, самые частые представители — EM-Marin, HID Proximity), 13,56 МГц (HF-диапазон, представители — семейство Mifare, семейство HID iClass) и 860-960 МГц (UHF-диапазон).
Вообще в пределах каждого диапазона существует такая легкая мешанина из стандартов ISO, расширений стандартов ISO другими, но совместимыми, коммерческих названий семейств и продуктов, частично или полностью реализующих один из стандартов. Это может добавить сложностей и неожиданных проблем, когда вы ожидаете, что ваша метка будет открывать вот эту дверь, а стандарт на самом деле не совсем тот — и ничего не работает.
Давайте кратко пробежимся по основным стандартам:
ISO 14443 — один из базовых стандартов для карт беспроводного доступа, определяет рабочую частоту (13,56 МГц), предельное расстояние (10 см), прочие физические параметры интерфейса, скорости (до 106 кбодс в изначальном стандарте) и протоколы передачи данных между считывателем и картой, определение коллизий, если в поле считывателя более одной карты и т.д. Стандарт не оговаривает применяемого шифрования, а также точного формата данных на карте.
ISO 15693 — менее распространенный стандарт, несовместимый с предыдущим. Предполагает ту же рабочую частоту, но меньшую скорость обмена данных (до 26 кбодс) в обмен на большую дальность считывания.
NFC — Near Field Communication — довольно большой набор стандартов, частично совместимый с ISO 14443, описывающий как физический уровень интерфейса (в целом основанный на ISO 14443), так и многое другое, формат хранения данных NDEF (стандартизирующий способы кодирования URL, контактных данных и т.д.), режим совместимости с ISO 14443.
Благодаря последнему, каждое NFC-устройство (и радиометка, и смартфон) может как минимум вернуть свой идентификационный номер в понятном считывателю, рассчитанному на более старые карты, формате. Ну и обычно NFC-считыватель способен читать и другие RFID-карты, не являющиеся NFC, но тоже основанные на ISO 14443.
MIFARE — большое семейство стандартов, также основанное на ISO 14443, отличающееся объемом памяти (от сотен байт до десятков килобайт), шифрованием (от отсутствия или проприетарного алгоритма до AESDES), часто используемое в качества карт доступа, платежных карт.
Nfc-визитка: топ-3 компаний, предлагающих электронные визитки nfc
Toch — новичок по электронным визиткам из Украины.
Toch производят:
Делают ли Toch свои визитки с антиметаллическим покрытием тоже не известно. И у них так жеможно заказать визитки, как с фирменным логотипом так и со своим логотипом.
Функционал электронной визитки Toch:
Настраивается через веб-форму.
Минусы: нет возможности индивидуальный дизайн настроить на странице визитки; нет веб-аналитики; нет ни форм оплаты, ни форм обратной связи; нельзя добавлять файлы или выставить геолокацию. В общем просто ссылки на соц.сети, сайт и номер телефона на странице. Не все соц.сети доступны.
Toch практически не отличается по функционалу от Popl в общем-то.
Минимальная цена за одну nfc-визитку— 250 гривен (685 рублей).
Цифрова nfc-визитка — это удобно, с помощью нее можно предоставить потенциальному клиенту все контакты сразу.
Мы с вами рассмотрели ТОП-3 представителей nfc-визиток из разных стран:
- Jusl из России: nfc-визитки с антиметаллическим покрытием, больше функционала, можно менять дизайн и добавлять формы;
- Popl из США: стандартные nfc-визитки; функционал ограничен размещением ссылок на источник; нельзя поменять дизайн.
- Toch из Украины: практически аналог предыдущего представителя.
Цена визиток nfc у всех представителей примерно в одном диапазоне.
Nfc-метка-визитка – тренд №1 среди электронных визиток
Сейчас становятся популярными NFC-метки-визитки: как правило, внешне такие метки похожи на таблетку от ключа домофона или на 5-рублевую монету. И, как выше я описала, если поднести к метке телефон на дистанцию до 5 см, то в поднесенном телефоне тут же откроется страница цифровой визитки.
Вот такая цифровая визитка откроется у вас, если вы поднесете свой телефон к моей NFC-метке:
Sim-карты
Внешне симки с NFC модулем выглядят также, как и обычные. Есть форматы:
Приобрести такую несложно в мобильном салоне. При наличии карты без НФС, пользователь имеет возможность произвести бесплатную замену на ту, которая с модулем. При помощи такого встраиваемого чипа, можно переводить деньги со счета на счет, осуществлять бесконтактные платежи в торговых точках, платить за проезд, покупать билеты в кино.
В данном случае следует учитывать, что:
- потребуется привязать к сим-карте банковскую карту;
- во время проплат не будет никакой идентификации личности, что не совсем безопасно;
- порой приходится менять оператора, так как не все выпускают сим-карты с НФС (поддерживают технологию операторы: Билайн, МТС, Мегафон, Йота, Теле2).
Для установки карточки с чипом бесконтактной оплаты, нужно:
- Позвонить в салон и убедиться в наличии симки с модулем.
- Посетить офис и обменять старую карточку или просто купить новую СИМ.
- Поставить симку в смартфон.
- Осуществить привязку банковского инструмента.
Одна симка может держать в себе несколько платежных инструментов. Поддерживаемыми финансовыми организациями являются:
- МТС;
- Райфайзен;
- ВТБ24;
- Яндекс Деньги;
- Тинькофф;
- Сбербанк и др.
Узнать, можно ли карту вашего банка привязать к сим-карте, несложно у консультанта самого финансового учреждения.
Чтобы пополнить счет сим-карты с модулем НФС, можно:
- сделать банковский перевод;
- открыть онлайн-приложение;
- воспользоваться банкоматом;
- использовать официальный сайт мобильного оператора;
- посетить кассу банка.
Нужная сумма поступит на счет за секунды.
Как использовать программируемые теги nfc
Если это ваш первый раз с помощью тега NFC, возможно, вы захотите узнать несколько практических советов о том, как использовать их в повседневной жизни. Мы обобщили для вас некоторые из них.
- Дома: Вы можете запрограммировать теги NFC и прикрепить их к двери или на столе, чтобы вам было проще выполнять такие действия, как включение Wi-Fi, выключение Bluetooth, приглушенный свет. Вы также можете прикрепить программируемую метку NFC к прикроватной тумбочке и запрограммировать ее на отключение звука, включение будильника, отключение автосинхронизации, выключение световых сигналов.
- Во время движения: Очень важно сделать метку NFC и прикрепить ее рядом с приборной панелью или средней панелью управления, чтобы помочь вам быстро подключиться к Bluetooth вашего автомобиля и воспроизвести свои любимые песни.
- Готовьтесь к работе: Создайте несколько тегов NFC в своем кабинете или офисе и запрограммируйте его на отключение звука, включение Wi-Fi, открытие ежедневных событий, переход в музыкальное приложение и другие задачи в зависимости от ваших предпочтений.
- Подключите WIFI: Если вы хотите, чтобы гости дома (или в офисе) использовали Wi-Fi без необходимости вводить пароль, создайте тег NFC WiFi, чтобы ваши гости могли легко подключаться к вашему Wi-Fi.
- Брелок NFC: Прикрепите метку NFC к существующей цепочке ключей и запрограммируйте ее на то, что вы часто делаете, например, переводить телефон в горячий режим, включать любимую песню или звонить кому-то из ваших контактов. Тогда вы сможете справиться с этими задачами проще и удобнее, особенно когда вы находитесь в переполненном общественном транспорте или на улице.
Как проверить, поддерживает ли телефон nfc
Сразу нужно предупредить, что не все мобильные устройства поддерживают такую технологию, особенно это касается устаревших моделей. Сейчас разработчики стараются установить данный чип в каждый свой телефон. У популярного бренда Apple модули стали появляться с Айфона 6 версии и выше, а у Самсунг у последних линеек с буквой S и J в наименовании.
Если не знаете, но хотите проверить, установлен ли у вас модуль NFC, то существует несколько простых способов уточнить это:
- Попробуйте снять заднюю крышку мобильного устройства, если она съемная. На поверхности аккумуляторной батареи или внутренней стороне крышки увидите соответствующий значок NFC.
- Иногда смартфоны выпускаются с цельным корпусом и встроенной батареей. В данном случае значок располагается на задней стенке самого телефона.
- Чтобы не заморачиваться в сборке и разборке девайса, зайдите в его системные настройки. Перейдите в раздел беспроводного доступа, если технология доступна для вас, то в перечне функций найдете ее.
На некоторых смартфонах NFC встроен в конструкцию, но требует ручной активации, иначе он работать не будет. Для запуска потребуется:
- Зайти в настройки мобильного телефона и выбрать вкладку сетей беспроводного доступа.
- Найти пункт NFC и нажать на него.
- На дисплее появится меню наладки. Поставить флажок в активное состояние.
- Аналогичным способом запуск можно произвести из всплывающего верхнего меню.
Клонируем карту mastercard в режиме magstripe
Перейдем непосредственно к принципу клонирования. Данный метод атаки на бесконтактные карты был опубликован двумя исследователями
из Австрийского университета. В его основе лежит общий принцип, который называется
Skimming
. Это такой сценарий, при котором злоумышленник крадет деньги с банковской карточки путем считывания (копирования) информации с этой карты. В общем случае здесь важно сохранять PIN-код в тайне и не допускать его утечки. Но в методе австрийских ребят это нам знать не нужно.
(MasterCard PayPass M/Chip)MagStripe (MasterCard PayPass MagStripe)
режим.
MagStripe — это режим поддержки карт с магнитной полосой. Этот режим реализуется на картах MasterCard с бесконтактным интерфейсом. Режим MagStripe скорее нужен для банков которым сложно переводить всю инфраструктуру для поддержки чиповых бесконтактных EMV транзакций. Кстати, у карт Visa также есть аналогичный режим работы — PayWave MSD (Magnetic Stripe Data).
Процесс обработки транзакции для бесконтактных карт урезан в сравнении с чиповыми и обычно работает в следующем режиме:
- Терминал отправляет команду SELECT PPSE (Proximity Payment System Environment). Карта шлет список поддерживаемых приложений.
- Терминал отправляет команду SELECT. В ответ получает необходимые детали приложения.
- Терминал отправляет команду GET_PROCESSING_OPTIONS. Карта отвечает какой тип аутентификации она поддерживает и существует ли там верификация держателя карты.
- Терминал отправляет команду READ_RECORDS. Карта в ответе посылает Track1 и Track2 практически аналогичный тому, что записан на магнитной полосе карты.
- Терминал отправляет команду COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Которая означает, что карта должна на основе переданного Unpredictable Number сгенерировать значение CVC3.
Карта поддерживает специальную команду COMPUTE CRYPTOGRAPHIC CHECKSUM, аргументом которой являются данные, определенные в объекте Unpredictable Number Data Object (UDOL).
В результате карта с помощью алгоритма 3DES и секретного ключа вычисляет динамическую величину CVC3 (Card Verification Code).
В качестве аргумента функции 3DES используется конкатенация данных UDOL и счетчика транзакции (Application Transaction Counter,ATC).
Таким образом, значение величины CVC3 всегда зависит от объектов UN и ATC.
Другими словами, эта команда нужна, чтобы карта сгенерировала некую “подпись” для того, чтобы эмитент мог верифицировать карту. Однако, в этой подписи отсутствует подпись самой транзакции. В подписи содержатся значения ATC — 2 байта, CVC3 (Track1)
— 2 байта, CVC3 (Track2) — 2 байта, которые генерируются картой на основе секретного ключа, который также знает банк-эмитент и счетчика транзакций (ATC). При этом также для генерации подписи POS-терминал сообщает карте UN (Unpredictable Number)
— 4 байта, который также используется в генерации подписи. Unpredictable Number препятствует формированию кодов аутентификации на реальной карте для последующего использования в мошеннических транзакциях. Для атаки нам сильно мешает UN, поскольку 4 байта не представляется возможным перебрать, не выйдя за пределы счетчика транзакций. Однако, в спецификации этого есть некоторые слабости.
Во-первых, спецификация ограничивает UN кодировкой чисел, а именно Двоично-Десятичным Кодом (BCD), что по сути означает что, если мы посмотрим на такое закодированное число в HEX, то мы увидим только цифры от 0 до 9, все остальные значения считаются как бы запрещенными. Таким образом, количество UN уменьшается с 4,294,967,295 до 99,999,999.
Во-вторых, количество значащих цифр UN определяется картой. Таким образом в зависимости от специальных параметров в треках количество цифр в UN может быть от 10 до 10000 в зависимости от типа карты, на практике чаще всего встречается 1000 значений.
Таким образом план атаки выглядит следующий:
- Считываем карту и узнаем количество значащих цифр у UN, которое будет предоставлять терминал
- Перебираем все UN, получаем все возможные значения функции COMPUTE_CRYPTOGRAHIC_CHECKSUM, сохраняем их в соответствующей таблице с мапингом UN -> Result
- Подносим к POS-терминалу, узнаем число, которое просит POS-терминал.
- Выбираем из таблицы нужный результат и подставляем его в ответ терминалу.
- Транзакция уходит.
- PROFIT. Но успех одобрения транзакции не гарантирован, поскольку банк эмитент может отклонить такую транзакцию.
Стоит отметить также, что счетчик транзакций (ATC) препятствует повторному использованию ранее использованных кодов аутентификации, а значит что если мы использовали такую атаку, то необходимо копировать карту заново, поскольку счетчик транзакции уже использовался для получения информации и был использован в подписи, что значит, что если мы имели счетчик транзакций 1000, а после отправили транзакцию в банк, то банк уже не примет транзакции со счетчиком ниже <1001.
В большинстве случаев передаваемые данные с карты статические для всех транзакций. Конечно, кроме COMPUTE_CRYPTOGRAPHIC_CHECKSUM. Для генерации динамического CVC3 кода, приложение карты должно быть прочитано командой SELECT, затем GET_PROCESSING_OPTIONS, а только потом COMPUTE_CRYPTOGRACHIC_CHECKSUM и это довольно важный момент.
Для работы с терминалом и картой использовалась программа Terminal Simulator от MasterCard. Он прекрасно работает с различными NFC-считывателями и считывателями смарт карт. К тому же он абсолютно бесплатен. Он позволяет тестировать карты при различных настройках POS-терминала и ведет подробный лог всех запросов от терминала и ответов карты. Также его можно использовать для тестирования приложения на телефоне, работающего в режиме карты.
Для чтения карты использовался NFC считыватель ACR122.
Теперь давайте попробуем все это преобразовать в код. Приложение будем писать на языке Kotlin под Android. Сначала попытаемся описать общую структуру команды.
data class Command(
var CLA: String = 0x00.toString(),
var INS: String = 0x00.toString(),
var P1: String = "",
var P2: String = "",
var Lc: String = "",
var Nc: String = "",
var Le: String = "",
var Nr: String = "",
var SW1WS2: String = ""
) {
fun split(): ByteArray {
return getHexString().hexToByteArray()
}
fun getHexString() = CLA.plus(INS).plus(P1).plus(P2).plus(Lc).plus(Nc).plus(Le).plus(Nr).plus(SW1WS2)
}
Для начала нам нужно настроить работу с NFC. На телефоне мы можем работать в двух режимах. В режиме карты, это когда мы отвечаем на команды от терминала, и в режиме терминала когда отсылаем команды и производим считывание, например карты. Т.е. сначала мы можем клонировать карту, а потом сделать так чтобы на запросы от терминала мы отвечали уже заготовленными командами.
Далее упрощенная реализация взаимодействия с NFC:
private var nfcAdapter: NfcAdapter? = null /*!< represents the local NFC adapter */
private var tag: Tag? = null /*!< represents an NFC tag that has been discovered */
private lateinit var tagcomm: IsoDep /*!< provides access to ISO-DEP (ISO 14443-4) */
private val nfctechfilter = arrayOf(arrayOf(NfcA::class.java.name)) /*!< NFC tech lists */
private var nfcintent: PendingIntent? = null
....
override fun onCreate(savedInstanceState: Bundle?) {
super.onCreate(savedInstanceState)
setContentView(R.layout.activity_main)
nfcAdapter = NfcAdapter.getDefaultAdapter(this)
nfcintent = PendingIntent.getActivity(this, 0, Intent(this, javaClass).addFlags(Intent.FLAG_ACTIVITY_SINGLE_TOP), 0)
cardEmulation = CardEmulation.getInstance(nfcAdapter)
nfcAdapter?.enableForegroundDispatch(this, nfcintent, null, nfctechfilter)
}
....
override fun onNewIntent(intent: Intent) {
super.onNewIntent(intent)
tag = intent.getParcelableExtra(NfcAdapter.EXTRA_TAG)
cardReading(tag)
}
.....
override fun onResume() {
super.onResume()
if (canSetPreferredCardEmulationService()) {
this.cardEmulation?.setPreferredService(this, ComponentName(this, "com.nooan.cardpaypasspass.NfcService"));
}
}
override fun onPause() {
if (canSetPreferredCardEmulationService()) {
this.cardEmulation?.unsetPreferredService(this)
}
super.onPause()
}
private fun cardReading(tag: Tag?) {
tagcomm = IsoDep.get(tag)
try {
tagcomm.connect()
} catch (e: IOException) {
error = "Reading card data ... Error tagcomm: " e.message
Toast.makeText(applicationContext, error, Toast.LENGTH_SHORT).show()
return
}
try {
when {
commands != null -> readCardWithOurCommands()
mChip -> readCardMChip()
else -> readCardMagStripe()
}
} catch (e: IOException) {
error = "Reading card data ... Error tranceive: " e.message
Toast.makeText(applicationContext, error, Toast.LENGTH_SHORT).show()
return
} finally {
tagcomm.close()
}
}
protected fun execute(command: Command, log:Boolean): ByteArray {
val bytes = command.split()
listLogs.add(bytes.toHex())
val recv = tagcomm.transceive(bytes)
listLogs.add(recv.toHex())
return recv
}
Здесь описывается последовательность команд и перебор значений Unpredictable Number в цикле от 0 до 999, в нужную нам команду изменяем Nc на «00000${String.format(»d», i)}».replace(«..(?!$)».toRegex(), «$0 «). И не забываем выполнять GET_PROCESSING_OPTIONS каждый раз перед COMPUTE_CRYPTOGRAPHIC_CHECKSUM иначе чек сумма подсчитываться не будет.
В результате это все можно записать в файл и использовать уже при работе с настоящим терминалом. Здесь же мы получаем Имя и Номер карточки, можем отобразить это на экране.
Напоследок: какие задачи можно назначить на nfc-метку
Примеры задач, которые можно повесить на iPhone при использовании NFC-меток — ниже указываю популярные сценарии, которые имеют какой-то смысл с моей колокольни.
Исходящие вызовы. Сначала кажется, что в совершении исходящих вызовов с помощью NFC-меток нет ровным счетом никакого смысла. Тем не менее, и у этой возможности есть очень интересные сценарии использования. К примеру, многие механизмы для автоматического открытия ворот можно использовать не только с помощью пульта, но и по звонку.
Да, достаточно позвонить на заданный номер, и ворота начнут открываться. Если установить NFC-метку на удобное место в автомобиле, не нужно будет искать пульт или ковыряться в приложении «Телефон». Чтобы запустить механизм, достаточно будет лишь приложить iPhone к тегу.
Активация музыки. С помощью NFC-метки можно запустить воспроизведение альбома, плейлиста или любого другого перечня музыкальных записей и даже выбрать источник, через который это нужно сделать. Тег, как вариант, можно разместить аккурат на домашнем тренажере — например, на орбитреке, если такой имеется.
Приклеиваем метку на любое удобное место, становимся на указанный тренажер и тут же слушаем любимую музыку для тренировок. Можно даже редакторский плейлист из Apple Music для подобных целей использовать — в фирменном музыкальном стриминговом сервисе компании таких предостаточно.
Создание будильника. Все используют данный способ контроля времени абсолютно по разному. Некоторые с помощью него только утром вовремя просыпаются, но есть и те, кто через него даже напоминания создает. Через NFC-метки логично активировать будильник на утро, если он нужен не каждый день.
Если вы, как вариант, работаете посуточно, и просыпаться рано не нужно регулярно, можно решить это с помощью тега. Достаточно будет лишь прикоснуться к нему перед сном, и проспать выход на работу уже не выйдет. Это лишь один из сценариев, который вы можете додумать по своему усмотрению.
Запуск таймера. Если хотите значительно повысить свою эффективность на протяжении рабочего времени, лучше начать с фотографии дня. Для этого нужно хотя бы раз в 15 минут фиксировать то, чем вы сейчас занимаетесь. Нужно положить рядом блокнот, разметить его по заданным промежуткам и писать дела — работа, отдых, социальные сети и мессенджеры, прочее.
Включение Apple TV. С помощью специального тега можно также активировать свою фирменную телевизионную приставку Apple, если она находится в режиме сна. Можно даже выполнить сразу две команды — сначала включить Apple TV, а потом запустить на iPhone пульт для ее управления.
Что же, в итоге получается, что этот и другие подобные сценарии действительно помогут избавить себя от внушительного числа рутинных действий и повысят комфорт жизни с iPhone в руке. Зачет.
Предназначение технологии
Функция ближней беспроводной связи считается скоростной, удобной и безопасной в использовании.
Своим появлением в 2004 году она обязана корпорации Apple, обеспечившей обмен данными между гаджетами при помощи чипа НФС. Пересылка сведений возможна на расстояние до десяти сантиметров с использованием радиочастот. В мобильное устройство интегрируется чип, работающий благодаря функции Android Beam. Главным отличием технологии НФС от Блютуз является скорость – соединение устанавливается в течение десятой доли секунды.
Можно ли установить наличие микросхемы? Для этого используют один из следующих способов:
- проверяют пункт настроек «еще»;
- изучают руководство по эксплуатации смартфона (раздел – технические параметры);
- просматривают наличие соответствующего логотипа на задней панели мобильного телефона;
- уточняют информацию на официальных сайтах.
Убедившись в наличии модуля в смартфоне, выполняют его активацию. Для этого переходят в подраздел «дополнительно», находят сведения о соединениях бесконтактным способом, выставляют отметку аткивирования, после чего Андроид Бим включается автоматически.
Если этого не произошло, включить опцию возможно ручным способом.
При правильном выполнении всех манипуляций, смартфон осуществляет поддержку бесконтактных платежей.
Технология НФС в мобильном устройстве используется тремя способами:
- для оплаты воспроизводится образ кредитной карты;
- считываются метки;
- передача информации по каналу одноранговой сети.
Чтобы осуществить отправку информации, следует войти в нужный контент, разместить передающее устройство к принимающему задними панелями, дождаться синхронизации гаджетов, отправить информацию и выждать, пока операция подтвердится соответствующим сигналом.
С помощью такой технологии решаются многочисленные повседневные задачи. К примеру, при соответствующем для персонального компьютера адаптере, вы через модуль NFC перешлете видеоролики, маршруты карт, веб-страницы, выполните иные действия. Немалый интерес в модуле вызывает автоматизация изменений настроек и запуск мобильных приложений. Кроме того, предоставляется возможность сохранять настройки в тегах.
Преимущества и недостатки технологии
Неоспоримым ее преимуществом является интеграция высоких технологий в процесс создания полиграфической продукции. К достоинствам можно отнести и то, что получателю визитки нужно затратить несколько минут на считывание информации с чипа, и за это время он сможет и сам с ней ознакомиться. Это поспособствует тому, что она отложится в его памяти.
Но перед тем как заказать NFC-визитки, стоит ознакомиться и с некоторыми особенностями технологии, которые можно причислить к ее недостаткам. Дело в том, что для распознавания информации получатель визитки должен использовать специальное приложение для считывания.
Кроме того, деловой человек может воспринять как личную обиду получение визитки, которой он не может воспользоваться ввиду отсутствия такой технической возможности. Поэтому и предлагать применить такие визитки нужно осторожно – тактично, деликатно. Еще человек может не сразу заметить чип на печатной продукции, поэтому может сам и не догадаться, что он там есть.
Некоторые неудобства может испытывать и сам владелец таких визитных карточек. Говоря о том, как сделать визитку с NFC, не стоит забывать, что каждый чип нужно программировать отдельно. Несмотря на то что для каждого из них эта процедура составляет несколько секунд, это может занять часы, если нужно внести информацию на большое их количество.
Визитки с NFC-чипом – интересная идея, которая может послужить эффективным маркетинговым инструментом для современного креативного человека, идущего в ногу со временем. Такой подход оценят и партнеры, и клиенты. Но ввиду того, что сегодня эта технология широкого распространения пока не имеет, помимо таких необычных вариантов, в вашем арсенале должны быть стандартные визитки с нанесенной на их поверхность нужной информацией.
Процесс имплантации
А вот и нет — на самом деле, ничего этого не понадобится! Это фотография инструментов из первой части статьи.
Так как метка приходит уже стерилизованной и в шприце, ее имплантация существенно более проста, без проблем выполняется самостоятельно без чьей-либо помощи. В общих чертах, процесс выглядит примерно так:
- Выбор места размещения метки. Как уже было сказано в первой части, чаще всего выбирают пространство между большим и указательным пальцами руки, так как это место обычно не испытывает давления при повседневной жизни. Если меток больше одной, как у меня, нежелательно располагать их совсем близко, лучше отступить 1-2 см друг от друга.
- Анестезия новокаином — вводим раствор новокаина 20 мг/мл подкожно в предполагаемое место разреза, попутно раздвигая ткани и упрощая дальнейшее размещение метки, ждем в течение 5-10 минут для проникновения в окружающие ткани. Осторожнее с новокаином — при наличии у вас аллергии иили кривых рук может вызвать множество самых неприятных последствий, вплоть до смертельного исхода! Не делайте этого самостоятельно, если вы не врач. Также не делайте этого в одиночестве и будьте готовы звонить в «скорую», если что.
В принципе, обезболивание можно пропустить, пережить укол толстой иглы в руку не так уж сложно. В таком случае желательно, чтобы введение метки все же выполняли не вы сами, а другой человек — чтобы другой рукой сделать кожную складку.
- Имплантация — дважды протираем кожу спиртом, прокалываем кожную складку или «пузырь» с новокаином, держа иглу почти горизонтально к коже, вводим иглу на 15-20 мм, затем, нажимая на поршень шприца, выдавливаем метку через иглу под кожу. Аккуратно извлекаем иглу.
Вот видео (не мое) о том, как это выглядит:
- Завершение — разрез в данном случае еще меньше, чем был в первый раз, поэтому достаточно просто заклеить его лейкопластырем. Если все было сделано правильно, через 3-5 дней пластырь можно будет снять, а на коже останется лишь небольшой шрам, который через несколько месяцев исчезнет совсем. Если в течение этих дней поднимется температура — опять же, идем к врачу, не откладывая.