Emv ридер что это

Обновлено: 24.01.2025

ВТБ24 продемонстрировала новый способ безопасности системы "Телебанк" - EMV-ридеры. До конца года банк планирует провести тестовое использование этих устройств, а в 2013 году запустить их в массовую продажу. EMV-ридер представляет собой устройство для генерации одноразовых паролей, работающий только при контакте с банковской карточкой клиента, сообщила РИА PrimaMedia пресс-секретарь ВТБ24 по Дальневосточному федеральному округу Анна Летягина.

Внешне устройство похоже на калькулятор – оно имеет дисплей и кнопки. Владелец банковской карты должен вставить ее в ридер и ввести пин-код. В ответ он сгенерирует цифровой ключ для подтверждения операции в системе "Телебанк" (пароль действителен в течение короткого промежутка времени для исключения возможности повторного использования).

Ридер не привязан к конкретной карте, его владелец сможет его использовать для нескольких карт.

"Новое средство подтверждения операций повысит безопасность проведения операций в системе "Телебанк", - отмечает Юлия Деменюк. – клиенту не нужно будет обращаться в офис банка за карточкой переменных кодов, и этот способ аутентификации позволит банку значительно повысить лимиты на суммы проводимых операций".

На сегодня этот способ подтверждения платежей в системах удаленного управления финансами считается наиболее безопасным во всем мире, а внедрение новой технологии для банка обосновано наличием значительной базы состоятельных клиентов.

Международный опыт использования ридеров. Автор: предоставлено банком

По словам вице-президента ВТБ24 Юлии Деменюк, этот способ защиты данных аналогичен картам с переменными кодами, которые уже используются в Телебанке. Клиенты смогут выбрать тот способ безопасности, который сочтут более выгодным и удобным при их степени активности.

Стоимость EMV-ридеров на рынке составляет около 700-750 рублей. ВТБ24 рассматривает несколько вариантов распространения устройства. Возможно, активным клиентам ридер будет передаваться бесплатно (взамен годового обслуживания, которое составляет 300 рублей), для новичков стоимость устройства может составить 250-300 рублей.

Фото Евгения Смирнова, ИА «Клерк.Ру»

Банк ВТБ24 начинает пилотный проект по внедрению в массы так называемых EMV-ридеров, служащих для идентификации владельца банковской карты. Об этом 3 июля в ходе пресс-брифинга сообщила вице-президент, заместитель директора департамента розничного бизнеса ВТБ24 Юлия Деменюк. С места события передает корреспондент Клерк.Ру Сергей Васильев.

EMV-ридеры от ВТБ24 представляют собой устройство размером чуть больше самой банковской карточки. Если вставить в него карточку и ввести правильный пин-код, ридер выдает переменный код подтверждения операции, который нужно ввести в соответствующем поле личного кабинета интернет-банка или мобильного банка. Код сменяется каждые 30 секунд. По утверждению Юлии Деменюк, это способ подтверждения (в сочетании с контрольным вводом отдельных фрагментов транзакции) является наиболее безопасным из всех существующих.

Ридер настроен на работу только с одним банком, зато не привязан к конкретной карте, так что пользоваться им сможет любой из клиентов ВТБ24. Активным клиентам планируется выдавать его бесплатно, новичкам - продавать по 250-300 рублей. Пилотный проект в ближайшие месяцы охватит Москву, Санкт-Петербург и Екатеринбург.

Как известно, тема ридеров звучит и в более масштабном государственном проекте "Универсальная электронная карта". По словам разработчиков, ридеры должны помочь идентифицировать гражданина при проведении платежей за те или иные госуслуги. Объявлено, что готовность присоединиться к единой платежной системе выразили около 100 банков. Но похоже, что ВТБ24 не из их числа. По словам Юлии Деменюк, в банке делают ставку на собственный сервис, и уже к началу 2013 года будут готовы к полной интеграции собственного интернет-банка с системой УНИФО -сервисом учета начислений и фактов оплаты Федерального казначейства РФ.

Отдельно отметим, что готовящиеся поправки в Гражданский кодекс, которые возлагают на банки всю ответственность за возможное мошенничество третьих лиц с картами их клиентов, не распространяются на использование ридеров. Впрочем, с учетом заверений руководства ВТБ24 в том, что это самый безопасный способ использования карты, последнее обстоятельство, наверное, не столь важно.

Ссылки по теме:

Хватит гуглить ответы на профессиональные вопросы! Доверьте их экспертам «Клерка». Завалите лучших экспертов своими вопросами, они это любят!

Краткое описание:
Программа для чтения и сохранения данных с пластиковых и бесконтактных NFC EMV платёжных карт MasterCard, Maestro, VISA.

NFC EMV Card Reader считывает и сохраняет данные и информацию с бесконтактных платежных карт (кредитных, дебетовых, предоплаченных и т.д.) на вашем устройстве на базе Android. С помощью этого приложения вы можете считывать данные со своей существующей пластиковой или цифровой платежной карты.

Возможности:
• Чтение, хранение и управление несколькими платежными картами.
• Просмотр доступных данных и записей приложения.
• Извлечение конфиденциальной информации о платежных картах.
• Просмотр данных «Дорожка 1» и «Дорожка 2» (которые наиболее активно используются при обработке платежных карт).
• Просмотр последних совершенных транзакций.

Дополнительная информация:
• POS/POP-терминалы по всему миру используют стандарт EMV для обработки бесконтактных транзакций. Используя это приложение, вы сможете увидеть пример связи между POS/POP-устройством и платежной картой, которую вы хотите прочитать.
• Важно - за использование этого приложения плата не взимается. Это также означает, что с платежных карт, которые вы читаете, НЕ будут списываться средства.
• Приложение можно использовать в основном для справок или анализа.
• Если вы собираетесь считывать данные цифровой платежной карты с другого устройства Android (например, из Google Pay, Android Pay или другого приложения для цифрового кошелька), перед началом работы необходимо отключить Android Beam на обоих устройствах.

Поддерживаемые в настоящее время платежные карты (с AID):
• Mastercard - Кредитная или дебетовая (глобальная) - A0000000041010
• Mastercard - Common (только для США) - A0000000042203
• Mastercard - Обычная - A0000000049999
• Maestro - Дебетовая - A0000000043060
• Maestro - Дебет (внутри Великобритании) - Maestro UK (Switch) / Solo (Switch) - A0000000050001 / A0000000050002
• Visa - Кредитная или дебетовая (международная) - A0000000031010
• Visa - Common (только для США) - A0000000980840
• Visa Electron - Кредитная или дебетовая (международная) - A0000000032010

Обновление 2.2 - поддерживаются все платежные карты с неопределенными идентификаторами AID и следующими идентификаторами RID:
A000000004, A000000005, A000000003.
Это означает, что принимаются почти все платежные карты Mastercard и Visa, выпущенные во всем мире.

Перед тем, как начать читать карты:
• Убедитесь, что платежные карты, которые вы хотите прочитать, являются бесконтактными (на них напечатан логотип RFID).
• Убедитесь, что в настоящее время это приложение поддерживает платежные карты.
• Включите NFC (связь ближнего поля) в настройках (если он не включен).

Примечания по безопасности:
• Приложение использует только разрешения «NFC» и «VIBRATE». Нет разрешения «ИНТЕРНЕТ». Это означает, что разработчик не отправляет и не хранит никаких данных.
• Данные платежных карт хранятся в частном порядке в базе данных на устройстве, используемом в качестве считывателя.
• В целях защиты конфиденциальности некоторые конфиденциальные данные скрыты до выполнения дополнительной разблокировки.

Техническая информация:
• Операционное устройство должно иметь оборудование NFC, необходимое для этого приложения.

Правовая оговорка:
• Это программное обеспечение должно использоваться только для чтения ваших собственных платежных карт, если это разрешено законом. Его нельзя использовать в незаконных целях.
• Это программное обеспечение предоставляется без каких-либо гарантий и вы используете его на свой страх и риск. Риск невелик, но ваши платежные карты могут прийти в негодность.

Оплата по номеру карты исторически — самая старшая. Раньше на картах не было ничего, кроме этого номера. Номер был «эмбоссирован» — выдавлен на карте. При оплате карта «прокатывалась» на специальном устройстве, что позволяло продавцу быстро внести номер в древнюю замену базы данных, то есть отпечатать на листе бумаги.

В конце рабочего дня или недели эти данные собирались и передавались в банк‑эквайер. Далее банк отправлял запросы на списание этих денег у владельцев карт через банки‑эмитенты. Это было так давно, что немного людей знают, откуда появился трехзначный код верификации платежей, записанный на обратной стороне карты, так называемый CVV2/CVC2. До нас дошла информация, что этот код использовался скорее как контрольная сумма, нужная, чтобы владелец карты не ошибся и корректно ввел всю информацию при оплате. Похоже на правду, если учесть, насколько короткий этот код.

Сейчас физическая карта может и вовсе не участвовать в оплате. Это называется card not present и чаще всего используется при оплате в интернете. Если номер карты вводится при оплате в платежном терминале, а это характерно для отелей, бизнесов, ведущих дела по телефону, а также для большинства терминалов в США, такой подтип платежей называется PAN Key Entry.

Многие до сих пор считают, что поле Cardholder name с лицевой стороны карты нужно вводить корректно и что оно проверяется. Это не так — ни один банк не проверяет это поле.

Магнитная полоса

Операции с магнитной полосой — один из самых простых методов. Он ассоциируется у людей с определенными типами мошенничества. Скимминг в банкоматах, двойные снятия в ресторанах — все это возможно благодаря недостаткам магнитной полосы. Магнитную полосу легко скопировать — для этого необходим только специальный ридер/энкодер магнитной полосы. Дальше клонированной магнитной полосы достаточно для того, чтобы расплачиваться в большинстве супермаркетов мира. Для верификации владельца карты предполагалось использовать подпись на чеке, которую кассир должен сверить с подписью на обратной стороне карты.

На картинке выше ты видишь пример записанной на карту информации. Черные полоски — это единицы, белые — нули. Существуют open source решения для декодирования этих данных — к примеру, magstripe.

На самом деле по изображению видно, что на карте не одна, а целых две магнитные полосы разной плотности (Track1 и Track2). Какие данные содержатся на магнитной полосе?

Чип/EMV

На смену магнитной полосе в девяностых пришли смарт‑карты, для популяризации которых создали консорциум EMV (Europay, MasterCard, Visa). Продвигаемая консорциумом идея была проста: используя особенности смарт‑карт, симметричную криптографию и криптографию с открытым ключом, решить все проблемы, связанные с магнитной полосой. Операции со смарт‑картой обеспечивают три степени защиты:

Аутентификация карты. Проверка платежным терминалом того, что карта подлинная и действительно была выпущена банком N, а не была создана злоумышленниками в домашних условиях.
Верификация плательщика. Проверка того, что эта карта принадлежит покупателю, стоящему перед платежным терминалом.
Авторизация транзакции. От карты до банка‑эмитента путь долгий. Банк должен убедиться, что данные операции нигде не были искажены злоумышленниками. Что сумма осталась неизменной, что дата операции корректная, что эта операция уникальна, а не была уже проведена в прошлом месяце.

Давай пройдемся по используемым методам.

Аутентификация карты

Для аутентификации карты используется криптография с открытым ключом по протоколу RSA. Текущие минимальные требования по длине ключа — 1024 бита. Ограниченное число центров сертификации выпускают ключи для банков, а банки их уже привязывают к самим картам. Приватный ключ хранится на самой смарт‑карте в области, недоступной для чтения. Корневые сертификаты устанавливаются на терминал при его настройке. Во время транзакции карта предоставляет публичные ключи платежному терминалу вместе с информацией, зашифрованной приватным ключом в режиме цифровой подписи. Если публичный ключ доверенный и информация, переданная картой, успешно расшифровывается этим ключом, то терминал считает карту аутентичной, выпущенной именно тем банком, который подписал приватный ключ, выданный центром сертификации.

Всего существует три режима аутентификации карты:

SDA — static data authentication;
DDA — dynamic data authentication;
CDA — combined dynamic data authentication.

В первом методе использовалось только одно статическое поле, хранящееся на карте. Оно подписывалось приватным ключом и проверялось терминалом. Это было EMV-поле AIP (application interchange profile). Но консорциум EMV быстро понял, что для популярных в то время офлайновых терминалов (они не выходили в онлайн для сверки криптограммы) этого было явно недостаточно — любой мог клонировать публичный ключ и подписанную статическую строку, чтобы создать подделку.

Следующий метод полагался на динамические данные, приходящие от терминала. Терминал генерирует поле UN — Unique Number, которое подписывается приватным ключом карты. Энтропия этого поля — 2 32 , чего достаточно для защиты от первой атаки.

Однако в 2009 году исследователи из Кембриджского университета представили работу, описывающую так называемую атаку PIN OK (PDF). Специальное устройство, располагающееся между картой и терминалом, совершало атаку «человек посередине» и подменяло одно из полей, которые отправляла карта. Эту подмену нельзя было обнаружить на терминале с помощью описанных выше методов. Для защиты от таких атак консорциум EMV еще до находки исследователей предусмотрел новый механизм защиты — схему CDA. Во время нее терминал может проверить целостность большинства полей, которые передает карта и которые участвуют в фазе под названием «риск‑менеджмент».

Офлайновая аутентификация создавалась в первую очередь для защиты офлайновых платежей, когда терминал не подключен к интернету постоянно. Именно поэтому, если результат работы режимов DDA или CDA не заканчивается успехом, в современных терминалах, подключенных к интернету, это не приведет к отказу транзакции в 99% случаев, так как банк‑эмитент авторизует ее с помощью криптограммы, как описано ниже. Однако некоторые платежные системы рекомендуют обращать внимание на постоянные неуспешные аутентификации, особенно если они происходят в разных терминалах.

Верификация плательщика

Есть два основных способа верификация плательщика: ПИН‑код и подпись. На самом деле их немного больше — ПИН‑код может проверяться в офлайне (на самой карте) и онлайн. Он может быть зашифрован (с помощью симметричного ключа 3DES) или передаваться в открытом виде.

Еще возможен способ верификации NoCVM — то есть отсутствие верификации. Хороший пример таких операций — те, которые не превышают лимиты 3000 рублей и не требуют ввода ПИН‑кода. Их иногда называют Tap & Go.

Другой способ, который в зависимости от платежной системы называется CDCVM или On-Device CVM, делает возможной верификацию на мобильном телефоне владельца карты. Как ты уже догадался, он используется в Google Pay и Apple Pay.

Авторизация транзакции

Для авторизации транзакции смарт‑карты создают платежную криптограмму. Карта отправляет терминалу список полей — их набор зависит от версии криптограммы и настроек карты. Как правило, это сумма операции, валюта, дата и другие важные для этапа риск‑менеджмента настройки терминала. Далее карта дополняет эти поля своими внутренними полями: счетчик операций, версия криптограммы.

Полученная строка шифруется с помощью записанного на карте секретного ключа 3DES в режиме цифровой подписи и передается банку вместе со всей подписанной информацией. Банк‑эмитент использует аппаратный модуль безопасности (hardware security module, HSM), на котором в защищенной от чтения области памяти содержится копия симметричного ключа карты.

HSM также создает цифровую подпись по данным от платежного терминала. Если он получит такую же криптограмму, то транзакция будет считаться авторизованной. Это значит, что никто не подменил данные операции во время их передачи от карты до банка эмитента. На этом же этапе расшифровывается и сверяется ПИН‑код карты, в случае если используется онлайн‑сверка ПИН.

Обрати внимание, что все эти три функции работают хорошо только вместе. Чтобы корректно работала верификация, она должна контролироваться с помощью аутентификации. Если нет авторизации — вся транзакция становится высокорисковой, и так далее.

Бесконтактные платежи

Бесконтактные платежи стали набирать популярность с середины 2010-х годов. Банки и платежные системы продвигают их как быстрый и удобный способ оплаты. Оно и понятно — чем больше народ платит картами, тем больше можно заработать на комиссиях! С развитием технологий нужно развивать и безопасность, но это далеко не всегда так. И бесконтактные платежи как раз пример из неудачных.

Когда создавались бесконтактные платежи, карты с чипом в США еще не были особенно распространены, поэтому Visa и MasterCard предусмотрели промежуточный шаг, когда новыми бесконтактными картами можно платить на старых несовременных платежных терминалах, которые не поддерживают современную криптографию. Этот шаг называется Legacy modes — режимы, степень безопасности которых значительно ниже, чем у платежей EMV и современных форм бесконтактных платежей.

Legacy modes по степени защиты больше напоминают операции с магнитной полосой, только проводятся через NFC. Несмотря на то что эти режимы предполагалось использовать лишь в нескольких странах, а через какое‑то время и вовсе отменить, мы в 2020 году встречаем их повсеместно — в том числе в России, где даже магнитная полоса запрещена.

Отдельная проблема — это то, как платежные системы подошли к реализации бесконтактных платежей. Вместо того чтобы придумать что‑то новое, в компаниях Visa и MasterCard решили и здесь использовать EMV, но каждая сделала это по‑своему, так что де‑юре они перестали быть частью стандарта EMV.

Что из этого следует:

Во‑первых, механизмы защиты и их проблемы, описанные в начале 2000-х годов, сохранились. В большинстве карт даже криптографические ключи, используемые для криптограмм EMV и NFC, одни и те же.
Во‑вторых, ассоциация EMV не могла больше влиять на то, как будет построен платежный процесс.

В компании Visa были недовольны слишком долгим временем проведения платежа. Когда для этого использовался чип, проблем не было — карта вставлялась в терминал. Однако в Visa посчитали, что держать карту у терминала, ожидая, пока пройдут все шаги EMV, — это не очень‑то удобно. Этап, который вызывал основную задержку, — это офлайновая аутентификация карты.

Одновременно с этим в MasterCard приняли диаметрально противоположное решение — признали, что офлайновая аутентификация важна и для тех карт, которые поддерживают наиболее безопасную схему аутентификации CDA, и сделали ее обязательной. В спецификации EMV, если взаимодействие по схеме CDA не заканчивается успешно, терминал все еще может отправить криптограмму для онлайновой авторизации. Тогда как для бесконтактных платежей MasterCard неудачная аутентификация CDA всегда ведет к отмене платежа. Разница во времени операций незначительная, однако это остается решающим фактором для Visa.

Выводы

Теперь, когда ты знаешь, как работают электронные и в том числе бесконтактные платежи, ты готов к разговору об уязвимостях в этих схемах. Это мы обсудим в следующих статьях, а заодно разберем самые громкие кейсы мошенничества.

Читайте также: