Qwerty1999
Зарегистрирован:
3 августа 2013

Последний раз был на сайте:
6 июня 2020 в 19:27
Подписчики (130):
20058818
Vitaly Zoroff
viktorr
viktorr
LTanch
LTanch
Kharkivcity
Kharkivcity
Iyusim
Iyusim
04902630
Петр Алексеенко
45 лет, Киев
19007
Віталій .
49 лет, Харків
HELP7
Васян Васькин
89 лет, Марик
62049844
Семен Петрович
55 лет, Полтава
SergeySvvvv
SergeySvvvv
Одесса
FVP
Vitalii U
37 лет, Kharkiv
korjakin1000
korjakin1000
все подписчики
Qwerty1999 — Мысли вслух - понемногу о разном...
9 мая 2019, 20:17

Немного о Google Pay...

При наличии смартфона с NFC вы элементарно сможете скачать из Play Market приложение GPAY.

Банковские карты в google pay вносятся без проблем самым простым способом — выбираете «Оплата» затем «Способ оплаты» и фотографируете банковскую карту. Остаётся только вручную присвоить название способу оплаты, ввести cvv-код карты и подтвердить операцию одноразовым паролем, который поступит на финансовый телефон в смс-ке.

В результате регистрации карты в google pay в банке будет сгенерирован цифровой токен с уникальным номером банковской виртуальной карты. который возвращается в приложение.

При оплате при помощи google pay в торгово-сервисных сетях в чеке банковского терминала будет фигурировать исключительно номер виртуальной карты (токена). На Минфине неоднократно и красочно описывали удобства и преимущества оплаты смартфоном (google pay / apple pay), я же хочу остановиться на проблемах мошенничества и возможных методах защиты.

Но всё по-порядку...

1. Имея доступ к банковской карте и финансовому номеру мобильного телефона хотя-бы на три-пять минут, мошенник может сфотографировать банковскую карту приложением GPAY, затем ввести вручную cvv-код и подтвердить включение чужой карты в сервис google pay одноразовым паролем из смс-ки, поступившей на финансовый номер телефона. Многие скажут — такое просто не возможно. Я же вспоминаю публикацию годовой давности о том, как бывший бойфренд взял под свой контроль систему управления умным домой своей бывшей подружки и достаточно долго издевался над ней удалённо через интернет меняя параметры системы, а также балуясь с освещением и системой кондиционирования. Поэтому нет никаких гарантий того, что бывшие друзья, подружки и просто случайные знакомые не воспользуются случаем и не зарегистрируют чужую карту без разрешения владельца в своём google pay.

2. Если мошенник получит доступ к вашему аккаунту на gmail.com, то указав ваши регистрационные данные и пароль на своём (тестовом) смартфоне а затем установив приложение GPAY он автоматически получит доступ ко всем картам, которые зарегистрированы в GPAY на вашем смартфоне.

Как от всей этой напасти защититься...

Защита аккаунта на gmail.com подробно описана на сайте почтового сервиса

и я не вижу смысла дублировать все рекомендации команды разработчиков.

Как защититься от мошенничества друзей, знакомых и просто посторонних людей — старайтесь держать всегда при себе или под контролем не только свои банковские карты, но и телефон с финансовым номером.

Что делать, если уже произошла утечка реквизитов и вам поступило сообщение об оплате через сервис google pay вашей картой, но вы ничего такого точно не совершали.

Оперативно связываетесь с банком и на горячей линии просите предоставить вам информацию из настроек (свойств) вашей банковской карты а конкретно из закладки «Токены».

Там будет исчерпывающий перечень моделей смартфонов, на которых в приложении GPAY зарегистрирована ваша банковская карта.

Просите продиктовать весь перечень а затем с помощью оператора горячей линии блокируете токены, которые расположены на смартфонах, отличающихся от вашей конкретной модели.

При попытке оплаты заблокированным токеном банк-эмитент карты откажет в оплате и ваши деньги будут в полной сохранности, а вы возможно даже получите сообщение об отказе от транзакции (многое зависит от конкретного банка-эмитента банковской карты).

Сейчас сложно предоставить исчерпывающий перечень советов на все случаи жизни, но если возникнут вопросы, пожелания или предложения — пишите.

[Update 13/05/2019]

Для защиты денежных средств на кредитных картах, заведенных в google pay я рекомендую всегда дополнительно регистрировать почти нулёвую дебетовую карту, например КДВ Приватбанка в качестве основного средства платежа, а при оплате каждый раз выбирать вместо КДВ с около нулевым балансом кредитку с приличным кредитным лимитом. При таком варианте, даже если мошенники смогут клонировать информацию в приложении GPAY, то им станет доступен только токен карты КДВ с нулевым балансом.

Кстати, проверил возможности горячих линий банков по удалению токенов из клонированных смартфонов — после непродолжительных объяснений проблематики, операторы на ура удаляли цифровые токены, зарегистрированные на «тестовом» смартфоне, что сразу фиксировало приложение GPAY — у способа оплаты пропадал номер виртуальной карты.

Просмотров: 2233, сегодня — 0
Следить за новыми комментариями

Комментарии - 33

+
+37
Qwerty1999
Qwerty1999
9 мая 2019, 20:29
#
На написание данного текста меня натолкнула публикация отзыва клиента Приватбанка

https://minfin.com.ua/company/privatbank/review/126403/

а это значит, что мошенники начали осваивать и данный сервис.
+
0
Qwerty1999
Qwerty1999
9 мая 2019, 20:32
#
В связи с полным отсутствием в семье смартфонов фирмы Apple протестировать аналогичный функционал apple pay не представляется возможным.
+
0
bonv
bonv
10 мая 2019, 9:00
#
Люди… будьте бдительны!
+
0
bonv
bonv
10 мая 2019, 9:01
#
Спасение утопающих — дело рук самих утопающих..
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 13:29
#
Пока ещё никто не «утонул», но у каждой медали две стороны.
Простота и удобство использования подразумевают и адекватные меры по защите от возможного мошенничества.

Например, если украли смартфон с активными картами в google pay — нет смысла блокировать карты, достаточно заблокировать (удалить) соответствующие токены.
+
0
bonv
bonv
10 мая 2019, 13:31
#
Краще подути на холодне ніж обпектися.. Добре що написали цей блог.
+
+24
Станіслав Фролов
Станіслав Фролов
10 мая 2019, 12:10
#
2. Если мошенник получит доступ к вашему аккаунту на gmail.com, то указав ваши регистрационные данные и пароль на своём (тестовом) смартфоне а затем установив приложение GPAY он автоматически получит доступ ко всем картам, которые зарегистрированы в GPAY на вашем смартфоне.
— бред же, на каждом телефоне данные нужно вводить с нуля, google pay не синхронизирует средства оплаты.
+
+13
Qwerty1999
Qwerty1999
10 мая 2019, 13:05
#
Станіслав Фролов

Может для вас бред, а у меня работает на ура.

Взял другой смартфон, сделал полный сброс, при первом запуске указал свой существующий аккаунт на gmail com.
Установил GPAY и вуаля — все платежные и дисконтные карты уже в приложении…
Почему так получилось — не вижу смысла дискутировать.
Возможно я делаю что-то не так, но получается прикольно.

Можете в личку выслать мне реквизиты своего аккаунта к смартфона на gmail.com ( почтовый адрес и пароль) — обещаю проверить видны ли ваши карты в google pay или нет и конечно отписаться на форуме…
+
0
vala52
vala52
10 мая 2019, 13:07
#
Согласен полностью.Синхрона нет,все по новой.
+
0
Игорь Петров
Игорь Петров
10 мая 2019, 12:35
#
Ну и конечно финансовый номер меньше светить в объявлениях . У меня была как-то ситуация: жена что-то на олх продавала, но карту для денег дала мою. Так как-то ее ооочень сильно уговаривали дать номер мужа))
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 13:06
#
Неужели так и не уговорили. :-)
+
0
Игорь Петров
Игорь Петров
10 мая 2019, 15:14
#
Нет:-) А какие только сказки не рассказывали )) И сыпали терминами которые могли неопытного человека впечатлить : верифицируют, финансовый мониторинг и в конце козырь : вами займётся.... барабанная дробь... служба финансовых преступлений:-) Я долго ржал и этот перл даже записал :-)
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 20:17
#
Специально для Станіслава Фролова, vala52 и других читателей,
мысленно подвергающих мои высказывания необоснованной критике и скепсису.

Сегодня провел натурный эксперимент.
На руках два смартфона — основной и тестовый.

Активировал на тестовом смартфоне свою действующую учётную запись с gmail.com, под управлением которой работает мой основной смартфон с NFC и установленным GPAY.
Установил из Play Market софт GPAY и автоматически получил полную копию как дисконтных карт так и банковских в GPAY на тестовом смартфоне.

Но решил не останавливаться на достигнутом и пошёл экспериментировать дальше.

1. На основном смартфоне добавляю дисконтную карту в разделе «карты» и секунд через десять на тестовом смартфоне появляется эта же дисконтная карта.

2. На основном смартфоне добавляю банковскую карту в «способы оплаты», кстати решил добавить карту жены — значит и имя с отчеством другие и пол совсем противоположный да и дата рождения и номер паспорта никак не совпадают.
Но после фотографирования карты, ввода cvv-кода и подтверждения операции одноразовым смс-паролем карта сначала успешно появилась на основном смартфоне в GPAY ну а опять же секунд через десять и на тестовом.

Желающие могут провести такие эксперименты самостоятельно.
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 20:34
#
Конечно мои оппоненты и заядлые критики могут сказать, что можно можно заблочить всякие синхронизации и резервные копирования на смартфонах и возможно тогда всё будет в норме и ничего не будет синхронизироваться, но ведь подавляющее большинство пользователей смартфонов это не делали, не делают и делать не будут.

А значит их банковские карты и сервис google pay достаточно уязвим при компрометации учётных записей почтового сервиса.

Возможно сейчас такие случаи пока ещё единичны, но жизнь не стоит на месте да и мошенники не дремлют.

Кто предупреждён — тот вооружён…
+
0
Qwerty1999
Qwerty1999
10 мая 2019, 20:45
#
Кстати, я буду всячески приветствовать проведение аналогичного эксперимента с другими смартфонами и другими экспериментаторами, а особенно если экспериментатор поиграется с параметрами безопасности и добьётся устойчивого результата с полным отсутствием синхронизации в ПО GPAY между двумя смартфонами при работе под одной и той же учётной записью.

Ну а затем выложит рекомендации — что и где в настройках основного смартфона надо отключить, включить или переключить…
+
0
Shipiloff Vitaliy
Shipiloff Vitaliy
13 мая 2019, 16:08
#
Не ради хайпа и поспамить. Первый способ что тут написан, получение данных, очень часто используют мошенники на OLX. https://androidp1.ru/top-10-shem-kak-razvodyat-moshenniki-na-olx-avito/ Так что лучше свои данные  не разглашать даже жене или мужу)))
+
+1
Qwerty1999
Qwerty1999
14 мая 2019, 0:47
#
После дополнительных экспериментов и общения с сотрудниками горячих линий некоторых украинских банков у меня появилась дополнительная и достаточно важная информация а также выкристализовался метод пассивного противодействия мошенникам, получившим доступ к почтовому аккаунту google.com. При клонировании, полностью копируется информация о всех дисконтных картах в приложении GPAY. Также полностью копируется информация о способах оплаты, но цифровой токен копируется только у способа оплаты, назначенного основным.
Поэтому, для защиты денежных средств на кредитных картах, заведенных в google pay я рекомендую дополнительно регистрировать почти всегда нулёвую дебетовую карту, например КДВ Приватбанка в качестве основного средства платежа, а при оплате выбирать вместо КДВ с около нулевым балансом кредитку с приличным кредитным лимитом. При таком варианте, даже если мошенники смогут клонировать информацию в приложении GPAY, то им станет доступен только токен карты КДВ с нулевым балансом.
Кстати, проверил возможности горячих линий банков по удалению токенов из клонированных смартфонов — после непродолжительных объяснений проблематики, операторы на ура удаляли цифровые токены, зарегистрированные на «тестовом» смартфоне, что сразу фиксировало приложение GPAY — у способа оплаты пропадал номер виртуальной карты.
+
0
Qwerty1999
Qwerty1999
14 июня 2019, 12:56
#
В процессе пользования сервисом google pay выяснилась прикольная фишка - при блокировании карты токен продолжает быть активным и даже при заблокированной карте возможна оплата google pay. Способ борьбы тривиальный - кроме блокирования карты необходимо удалять (блокировать) все цифровые токены этой карты.
+
+15
sanch ☺
sanch ☺
9 января 2020, 16:00
#
При передачи телефона другим лицам, мало сбросить настройки до заводских. В первую очередь необходимо удалить все аккаунты.
Если этого не сделаете, с большой вероятностью новый владелец получит доступ к ним.

Кстати некоторые телефоны (к примеру Ксиоми) привязываются к Ми Аккаунту, он в свою очередь имеет сервисы запоминания паролей, синхронизации в облаке и т.п. Поэтому придется их полностью отвязывать от телефона.
+
0
ballistic
ballistic
9 января 2020, 20:52
#
Якщо це правда, то це серйозний баг авторизації.
І якщо для Сяомі це допустимо, до для Гугл це епік фейл.
+
0
Qwerty1999
Qwerty1999
9 января 2020, 21:10
#
В чём вы видите серьёзный баг авторизации?

Если на двух смартфонах под Андроид указать один и тот же аккаунт gmail,
то мы формально делаем клонирование.
Об этом варианте клонирования информации GPay я в блоге собственно и писал — и это не баг а фича.

Сделайте полный сброс до заводских настроек и всё должно быть нормально.

На счёт смартфонов Xiaomi и описания возможных проблем — никогда не проверял такую возможность из-за отсутствия такой необходимости.
+
0
ballistic
ballistic
9 января 2020, 22:18
#
Серйозний баг, якщо після форматування можна отримати доступ до аккаунту без повторного введення пароля. Але схоже бага нема (див. нижче).
+
0
sanch ☺
sanch ☺
9 января 2020, 21:14
#
С ксиоми - на собственном опыте. Отдал телефон племяннику, отформатировал память, отключил все аккаунты, сбросил до заводских настроек. Но вот при загрузке телефона начал требовать пароль в Ми аккаунте (без этого не грузиться - хоть убей). Ввел старый и обнаружил, что аккаунт gmail.com оказался доступным, как и почтовые ящики.
Могу предположить, что и Google Pay можно было пользоваться.
+
0
Qwerty1999
Qwerty1999
9 января 2020, 21:57
#
Sanch ☺

Может вы не до конца выполнили процедуру «отвязки» Ми-аккаунта.

Знакомые говорят, что надо на сайте https://i.mi.com/
зайти в свой Ми-аккаунт с компа и в настройках удалить устройство.

В интернете есть подробные инструкции — как это сделать правильно…

Воспользуйтесь гугл-поиском по строке:
«Как правильно отвязать Mi аккаунт от телефона Xiaomi»
+
0
sanch ☺
sanch ☺
10 января 2020, 9:06
#
«не до конца выполнили процедуру» абсолютно верно
+
0
ballistic
ballistic
9 января 2020, 22:14
#
"при загрузке телефона начал требовать пароль в Ми аккаунте"
- на базі цього кейсу Ви зробити висновок, що «с большой вероятностью новый владелец получит доступ к ним»?!
+
0
sanch ☺
sanch ☺
10 января 2020, 9:09
#
Немного преувеличил, так как Ми аккаунт не единственный в своем роде.
+
0
ballistic
ballistic
10 января 2020, 10:56
#
Те, що система пам'ятає який аккаунт був прив'язаний, не є проблемою, бо без введення паролю авторизації не буде як і доступу до даних.
+
0
sanch ☺
sanch ☺
10 января 2020, 13:41
#
Вы не поняли или я некорректно написал.
В МиАккаунте есть функционал запоминания паролей, сохранения в облаке и еще куча прелестей. При этом ПО телефона навязывает пользователю регистрацию.
Если не отвязать телефон от этого аккаунта, то по факту Вы его не загрузите после сброса настроек без пароля или перепрошивки.

Через время о прелестях этого Ми забываешь, а если ввести пароль, то окажется, что с этого телефона есть доступ и к другим учетным записям.
+
0
Qwerty1999
Qwerty1999
10 января 2020, 13:58
#
Для этого надо в Ми-облаке в настройках всего-лишь удались конкретное устройство и всё сразу забудется - и пароли и доступы...
+
0
ballistic
ballistic
10 января 2020, 16:51
#
Дійсно не дуже зрозуміло.

Я зреагував на "с большой вероятностью новый владелец получит доступ к ним".
І після Ваших пояснень я зрозумів, що несанкціонований доступ до даних без авторизації все ж таки неможливий. Якщо так, то проблеми з безпекою нема. Інші незручності — то пусте на фоні можливих проблем з безпекою.
+
0
sanch ☺
sanch ☺
10 января 2020, 13:47
#
Если привязать к google pay карту с истекающим сроком, вместо «почти нулевой дебетовой карты» для защиты, никто не пробовал?
+
0
Qwerty1999
Qwerty1999
10 января 2020, 14:01
#
Ничего страшного не случиться до последнего числа месяца действия карты.

После окончания срока действия карта
она  автоматически станет недоступной для попыток оплаты,
но будет продолжать и дальше болтаться в Google Pay,
пока вы ручками её не удалите.
Чтобы оставить комментарий, нужно войти или зарегистрироваться
 
Реклама