Qwerty1999
Зарегистрирован:
3 августа 2013

Последний раз был на сайте:
26 мая 2019 в 00:24
Qwerty1999 — Мысли вслух - понемногу о разном...  RSS блога
ООО «ГлавСеть»
9 мая 2019, 20:17

Немного о Google Pay...

При наличии смартфона с NFC вы элементарно сможете скачать из Play Market приложение GPAY.

Банковские карты в google pay вносятся без проблем самым простым способом — выбираете «Оплата» затем «Способ оплаты» и фотографируете банковскую карту. Остаётся только вручную присвоить название способу оплаты, ввести cvv-код карты и подтвердить операцию одноразовым паролем, который поступит на финансовый телефон в смс-ке.

В результате регистрации карты в google pay в банке будет сгенерирован цифровой токен с уникальным номером банковской виртуальной карты. который возвращается в приложение.

При оплате при помощи google pay в торгово-сервисных сетях в чеке банковского терминала будет фигурировать исключительно номер виртуальной карты (токена). На Минфине неоднократно и красочно описывали удобства и преимущества оплаты смартфоном (google pay / apple pay), я же хочу остановиться на проблемах мошенничества и возможных методах защиты.

Но всё по-порядку...

1. Имея доступ к банковской карте и финансовому номеру мобильного телефона хотя-бы на три-пять минут, мошенник может сфотографировать банковскую карту приложением GPAY, затем ввести вручную cvv-код и подтвердить включение чужой карты в сервис google pay одноразовым паролем из смс-ки, поступившей на финансовый номер телефона. Многие скажут — такое просто не возможно. Я же вспоминаю публикацию годовой давности о том, как бывший бойфренд взял под свой контроль систему управления умным домой своей бывшей подружки и достаточно долго издевался над ней удалённо через интернет меняя параметры системы, а также балуясь с освещением и системой кондиционирования. Поэтому нет никаких гарантий того, что бывшие друзья, подружки и просто случайные знакомые не воспользуются случаем и не зарегистрируют чужую карту без разрешения владельца в своём google pay.

2. Если мошенник получит доступ к вашему аккаунту на gmail.com, то указав ваши регистрационные данные и пароль на своём (тестовом) смартфоне а затем установив приложение GPAY он автоматически получит доступ ко всем картам, которые зарегистрированы в GPAY на вашем смартфоне.

Как от всей этой напасти защититься...

Защита аккаунта на gmail.com подробно описана на сайте почтового сервиса

и я не вижу смысла дублировать все рекомендации команды разработчиков.

Как защититься от мошенничества друзей, знакомых и просто посторонних людей — старайтесь держать всегда при себе или под контролем не только свои банковские карты, но и телефон с финансовым номером.

Что делать, если уже произошла утечка реквизитов и вам поступило сообщение об оплате через сервис google pay вашей картой, но вы ничего такого точно не совершали.

Оперативно связываетесь с банком и на горячей линии просите предоставить вам информацию из настроек (свойств) вашей банковской карты а конкретно из закладки «Токены».

Там будет исчерпывающий перечень моделей смартфонов, на которых в приложении GPAY зарегистрирована ваша банковская карта.

Просите продиктовать весь перечень а затем с помощью оператора горячей линии блокируете токены, которые расположены на смартфонах, отличающихся от вашей конкретной модели.

При попытке оплаты заблокированным токеном банк-эмитент карты откажет в оплате и ваши деньги будут в полной сохранности, а вы возможно даже получите сообщение об отказе от транзакции (многое зависит от конкретного банка-эмитента банковской карты).

Сейчас сложно предоставить исчерпывающий перечень советов на все случаи жизни, но если возникнут вопросы, пожелания или предложения — пишите.

[Update 13/05/2019]

Для защиты денежных средств на кредитных картах, заведенных в google pay я рекомендую всегда дополнительно регистрировать почти нулёвую дебетовую карту, например КДВ Приватбанка в качестве основного средства платежа, а при оплате каждый раз выбирать вместо КДВ с около нулевым балансом кредитку с приличным кредитным лимитом. При таком варианте, даже если мошенники смогут клонировать информацию в приложении GPAY, то им станет доступен только токен карты КДВ с нулевым балансом.

Кстати, проверил возможности горячих линий банков по удалению токенов из клонированных смартфонов — после непродолжительных объяснений проблематики, операторы на ура удаляли цифровые токены, зарегистрированные на «тестовом» смартфоне, что сразу фиксировало приложение GPAY — у способа оплаты пропадал номер виртуальной карты.

Просмотров: 1810, сегодня — 3
Следить за новыми комментариями

Комментарии - 17

+
+37
Qwerty1999
Qwerty1999
9 мая 2019, 20:29
#
На написание данного текста меня натолкнула публикация отзыва клиента Приватбанка

https://minfin.com.ua/company/privatbank/review/126403/

а это значит, что мошенники начали осваивать и данный сервис.
+
0
Qwerty1999
Qwerty1999
9 мая 2019, 20:32
#
В связи с полным отсутствием в семье смартфонов фирмы Apple протестировать аналогичный функционал apple pay не представляется возможным.
+
0
bonv
bonv
10 мая 2019, 9:00
#
Люди… будьте бдительны!
+
0
bonv
bonv
10 мая 2019, 9:01
#
Спасение утопающих — дело рук самих утопающих..
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 13:29
#
Пока ещё никто не «утонул», но у каждой медали две стороны.
Простота и удобство использования подразумевают и адекватные меры по защите от возможного мошенничества.

Например, если украли смартфон с активными картами в google pay — нет смысла блокировать карты, достаточно заблокировать (удалить) соответствующие токены.
+
0
bonv
bonv
10 мая 2019, 13:31
#
Краще подути на холодне ніж обпектися.. Добре що написали цей блог.
+
+24
Станіслав Фролов
Станіслав Фролов
10 мая 2019, 12:10
#
2. Если мошенник получит доступ к вашему аккаунту на gmail.com, то указав ваши регистрационные данные и пароль на своём (тестовом) смартфоне а затем установив приложение GPAY он автоматически получит доступ ко всем картам, которые зарегистрированы в GPAY на вашем смартфоне.
— бред же, на каждом телефоне данные нужно вводить с нуля, google pay не синхронизирует средства оплаты.
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 13:05
#
Станіслав Фролов

Может для вас бред, а у меня работает на ура.

Взял другой смартфон, сделал полный сброс, при первом запуске указал свой существующий аккаунт на gmail com.
Установил GPAY и вуаля — все платежные и дисконтные карты уже в приложении…
Почему так получилось — не вижу смысла дискутировать.
Возможно я делаю что-то не так, но получается прикольно.

Можете в личку выслать мне реквизиты своего аккаунта к смартфона на gmail.com ( почтовый адрес и пароль) — обещаю проверить видны ли ваши карты в google pay или нет и конечно отписаться на форуме…
+
0
vala52
vala52
10 мая 2019, 13:07
#
Согласен полностью.Синхрона нет,все по новой.
+
0
Игорь Петров
Игорь Петров
10 мая 2019, 12:35
#
Ну и конечно финансовый номер меньше светить в объявлениях . У меня была как-то ситуация: жена что-то на олх продавала, но карту для денег дала мою. Так как-то ее ооочень сильно уговаривали дать номер мужа))
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 13:06
#
Неужели так и не уговорили. :-)
+
0
Игорь Петров
Игорь Петров
10 мая 2019, 15:14
#
Нет:-) А какие только сказки не рассказывали )) И сыпали терминами которые могли неопытного человека впечатлить : верифицируют, финансовый мониторинг и в конце козырь : вами займётся.... барабанная дробь... служба финансовых преступлений:-) Я долго ржал и этот перл даже записал :-)
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 20:17
#
Специально для Станіслава Фролова, vala52 и других читателей,
мысленно подвергающих мои высказывания необоснованной критике и скепсису.

Сегодня провел натурный эксперимент.
На руках два смартфона — основной и тестовый.

Активировал на тестовом смартфоне свою действующую учётную запись с gmail.com, под управлением которой работает мой основной смартфон с NFC и установленным GPAY.
Установил из Play Market софт GPAY и автоматически получил полную копию как дисконтных карт так и банковских в GPAY на тестовом смартфоне.

Но решил не останавливаться на достигнутом и пошёл экспериментировать дальше.

1. На основном смартфоне добавляю дисконтную карту в разделе «карты» и секунд через десять на тестовом смартфоне появляется эта же дисконтная карта.

2. На основном смартфоне добавляю банковскую карту в «способы оплаты», кстати решил добавить карту жены — значит и имя с отчеством другие и пол совсем противоположный да и дата рождения и номер паспорта никак не совпадают.
Но после фотографирования карты, ввода cvv-кода и подтверждения операции одноразовым смс-паролем карта сначала успешно появилась на основном смартфоне в GPAY ну а опять же секунд через десять и на тестовом.

Желающие могут провести такие эксперименты самостоятельно.
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 20:34
#
Конечно мои оппоненты и заядлые критики могут сказать, что можно можно заблочить всякие синхронизации и резервные копирования на смартфонах и возможно тогда всё будет в норме и ничего не будет синхронизироваться, но ведь подавляющее большинство пользователей смартфонов это не делали, не делают и делать не будут.

А значит их банковские карты и сервис google pay достаточно уязвим при компрометации учётных записей почтового сервиса.

Возможно сейчас такие случаи пока ещё единичны, но жизнь не стоит на месте да и мошенники не дремлют.

Кто предупреждён — тот вооружён…
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 20:45
#
Кстати, я буду всячески приветствовать проведение аналогичного эксперимента с другими смартфонами и другими экспериментаторами, а особенно если экспериментатор поиграется с параметрами безопасности и добьётся устойчивого результата с полным отсутствием синхронизации в ПО GPAY между двумя смартфонами при работе под одной и той же учётной записью.

Ну а затем выложит рекомендации — что и где в настройках основного смартфона надо отключить, включить или переключить…
+
0
Shipiloff Vitaliy
Shipiloff Vitaliy
13 мая 2019, 16:08
#
Не ради хайпа и поспамить. Первый способ что тут написан, получение данных, очень часто используют мошенники на OLX. https://androidp1.ru/top-10-shem-kak-razvodyat-moshenniki-na-olx-avito/ Так что лучше свои данные  не разглашать даже жене или мужу)))
+
+1
Qwerty1999
Qwerty1999
14 мая 2019, 0:47
#
После дополнительных экспериментов и общения с сотрудниками горячих линий некоторых украинских банков у меня появилась дополнительная и достаточно важная информация а также выкристализовался метод пассивного противодействия мошенникам, получившим доступ к почтовому аккаунту google.com. При клонировании, полностью копируется информация о всех дисконтных картах в приложении GPAY. Также полностью копируется информация о способах оплаты, но цифровой токен копируется только у способа оплаты, назначенного основным.
Поэтому, для защиты денежных средств на кредитных картах, заведенных в google pay я рекомендую дополнительно регистрировать почти всегда нулёвую дебетовую карту, например КДВ Приватбанка в качестве основного средства платежа, а при оплате выбирать вместо КДВ с около нулевым балансом кредитку с приличным кредитным лимитом. При таком варианте, даже если мошенники смогут клонировать информацию в приложении GPAY, то им станет доступен только токен карты КДВ с нулевым балансом.
Кстати, проверил возможности горячих линий банков по удалению токенов из клонированных смартфонов — после непродолжительных объяснений проблематики, операторы на ура удаляли цифровые токены, зарегистрированные на «тестовом» смартфоне, что сразу фиксировало приложение GPAY — у способа оплаты пропадал номер виртуальной карты.
Чтобы оставить комментарий, нужно войти или зарегистрироваться