Источник
Мне тут уже раз двадцать прислали ссылки на статьи о сканерах банковских карт со встроенными чипами RFID. Часть этих статей написаны в паническом стиле из серии: «Шеф, усе пропало, гипс снимают, клиент уезжает». Мол, теперь злоумышленнику со сканером достаточно пройти рядом с вами в магазине, транспорте и так далее, после чего данные ваших банковских карт окажутся у него в руках. И все, ты разорен, трогательно обещают в этих статьях.
Больше всего пишут про некий Contactless Infusion X5 — сканер информации о банковских картах, который действительно продается через Интернет и может, как уверяют продавцы, сосканировать данные любой карты на расстоянии до 8 сантиметров. К сканеру даже прилагается 20 чистых болванок, на которые можно записать сосканированные данные, чтобы, дескать, пользоваться этими картами так же, как и владелец. Продают этот сканер что-то там за $800, но обещают, что владелец сканера ка-а-а-ак выйдет в магазин, ка-а-а-а-ак сосканирует три тыщи двести двадцать десять карт со скоростью 15 карт в секунду, так и настанет ему ЩАСТЕ.
Ну вот меня и спрашивали, что теперь делать. Нужно ли нам, владельцам карт с RFID-чипом (а я такими картами пользуюсь года три), посыпать голову пеплом и рвать эти карты на американский флаг, чтобы они не достались врагу?
Тут еще вспоминается трогательная история, как сотрудник «Лаборатории Касперского» заметил в метро человека с работающим «сканером» и сделал вывод том, что парень сканирует данные карточек всего вагона. По фотографии хорошо видно, что человек держит в руках обычный переносной терминал для приема платежей, но осадочек, как вы понимаете, остался, так что многие пользователи решили немедленно отказаться от пластиковых карт с RFID и перейти на наличку, золотые слитки и ракушки с острова Борнео — их по крайней мере не сосканируют.
А теперь давайте разберемся. Могут ли такие сканеры существовать? Да, могут. Более того, они наверняка существуют. Пока находятся идиоты, которые подобные устройства покупают за $800, то всегда найдутся умные люди, которые эти сканеры будут выпускать.
Цена на них, конечно, скоро будет заметно падать, когда выяснится, что за $800 люди приобретают совершенно бесполезное устройство, но уверяю вас, что до $200 цена упадет еще нескоро.
Так вот. Что теоретически может получить владелец такого сканера? Он может получить номер карты и срок ее действия. Вот и все. Что ему это дает? Вообще ничего. Правда, нет, вру, он на эту карту может перевести деньги — для перевода НА карту достаточно одного номера.
Может ли он снять с нее деньги? Нет, не может: для этого требуется знать код CVC2, который он никак не может получить, нужны данные магнитной полосы, которые с помощью такого сканера достоверно получить невозможно, ну и плюс нужен пин-код, который он также с помощью сканера не может получить.
Может ли он что-то покупать через Интернет по этим данным? Нет, он не знает имени владельца карты и кода CVC2.
Так что он с этим может сделать? Перевести на карту, данные которой получены через сканер, деньги, более ничего. Во всякие тонкости вроде того, что встроенный в карту чип при каждой транзакции генерирует одноразовый код и без него ничего не сделать — сейчас даже влезать не будем. Злоумышленник с помощью полученных данных даже магнитную полосу не сумеет сымитировать, чтобы ее не отклонил банк — не получится.
Поэтому по поводу возможности того, что данные вашей карты смогут получить с помощью подобного сканера — пока, на мой взгляд, можно не беспокоиться: даже если получат, то все равно с этим ничего не смогут сделать.
Другое дело, что если у вас с помощью данного сканера узнали номер карты и срок ее действия, а дальше начали получать недостающие данные с помощью каких-то других способов — да, вот тут уже карта может быть скомпрометирована. Злоумышленник может тупо подсмотреть CVC2-код и ваши ФИ, когда вы будете расплачиваться этой картой на кассе. Впрочем, аналогичным образом он может подсмотреть и запомнить код карты — есть такие шустрики. Но это уже совершенно другой разговор.
Я, собственно, к тому, что только с помощью этого или подобных сканеров невозможно получить данные ваших карт так, чтобы потом оплачивать покупки в Интернете, совершать небольшие платежи без ввода пин-кода (в Испании это суммы до €20) или какими-то другими способами уводить ваши деньги.
Ну а если найдутся идиоты, которые за $800 купят такой сканер — ну так я буду только рад. Идиотов, да еще и мошенников, надо учить. И я с нетерпением жду подачи судебных исков к разработчикам Contactless Infusion X5 из серии: «Я тут решил стать ворюгой, заплатил денег, а устройство для воровства средств с карточек должным образом не работает. Верните мне деньги»! Это будет хорошая ржачка!
Источник
Smart CardReader
— распознавание банковских карт платежных систем МИР, VISA, MasterCard, American Express, JCB, Maestro, Union Pay, Diners Club, в том числе карт с номером на обратной стороне и с вертикальной ориентацией.
Smart CardReader позволяет сканировать и распознавать банковские дебетовые и кредитные карты всех основных платежных систем, обеспечивая извлечение не только номера (14-19 цифр), но и срока действия и имени владельца. Автоматически распознаются карты с персонификацией, выполненной выдавливанием (embossed), гравировкой (indent) и плоской печатью (flat printed), в портретной и альбомной ориентациях, и даже когда данные нанесены на оборотную сторону в свободном формате. При необходимости возможна настройка дополнительных шаблонов для карт лояльности и скидочных карт.
Используя Smart CardReader пользователю не надо прицеливаться телефоном — разработанный нами ИИ сам находит карту даже если видны не все края или пользователь повернет ее на 90, 180, 270 градусов. При этом система устойчива к перепаду освещения, ракурсу съемки, перекосам, избыточному и недостаточному освещению, точность распознавания номера карты достигает 99.68%, скорость 0.074 секунды на кадр.
Распознавание выполняется автоматически в режиме реального времени на устройствах без передачи данных вовне и нетребовательно к вычислительным ресурсам. Это позволяет распознавать данные карты даже на устройствах с ограниченной вычислительной мощностью смартфоны, планшеты, тонкие клиенты, терминалы сбора данных, мобильные кассы и др. При этом высочайшая производительность программного обеспечения позволяет создавать технические решения, способные обрабатывать тысячи сканов, фотографий и видеопоследовательностей в секунду.
Smart CardReader НЕ передает данные и изображения на обработку в сторонние сервисы и/или третьим лицам для ручного ввода, НЕ сохраняет данные или изображения (вся обработка ведется в локальной оперативной памяти устройства) и НЕ требует сетевого соединения.
Технология предлагает качественно новый уровень удобства и безопасности пользователю при вводе данных банковских карт для оплаты, пополнения счетов и осуществления денежных переводов в мобильных приложениях и используется в экосистеме Тинькофф, Почта Банке, ДелоБанке, МТС Банке, СКБ-банке и НСПК «МИР».
Особенности продукта
GreenOCR
Разработанная учеными и инженерами нашей компании в рамках инициативы Green AI технология GreenOCR обеспечивает непревзойденные качество и скорость распознавания при минимальном потреблении энергии и воздействии на окружающую среду.Точность
Мы создали новое поколение технологий OCR, преодолевшее рубеж качества традиционных подходов за счет использования наших последних достижений в вычислительном интеллекте и глубоком обучении. Точность распознавания карт достигает 99.68%.Производительность
Высочайшая производительность достигается за счет комбинирования алгоритмов компьютерного зрения и глубокого обучения компактных нейронных сетей. Распознавание всей информации о карте занимает на современном телефоне 0.074 секунды.
Скорость
Оригинальный целочисленный конвейер обработки изображений, включающий 8- и 4-битные глубокие нейросетевые архитектуры, позволил достичь высокой скорости распознавания даже на бюджетных телефонах за счет максимального использования аппаратных ресурсов.Безопасность
Благодаря достижениям наших ученых и разработчиков, все вычисления выполняются на устройствах без передачи данных на сервер, что подтверждено независимым международным аудитом. Это обеспечивает высочайший уровень безопасности нашим клиентам.Удобство
Наши передовые алгоритмы сами обнаруживают карту на кадре, автоматически определяют ее тип и распознают поля. Мы не пытаемся обучить пользователя попадать в мишень и подбирать оптимальные углы, мы сделали систему, которая облегчает жизнь клиенту.
Надежность
Для повышения надежности результата мы используем распознавание видеопотока, получаемого напрямую с камеры. Это дает возможность нашим алгоритмам автоматически определить момент достижения максимально точного результата.Охват
Мы поддерживаем карты, выполненные по стандартам платежных систем: МИР, UnionPay Mastercard, VISA, American Express, JCB, Maestro, Diners Club c длиной номера от 14 до 19 цифр. Поддерживается распознавание как отдельных изображений, так и видео.Покрытие
Система находит и распознает номер, срок действия и имя владельца на картах разных форматов и типов печати. Это карты с выдавливанием (embossed), гравировкой (indent) и плоской печатью (flat printed), в портретной и альбомной ориентации, и даже с информацией на оборотной стороне.
Как это работает в мобильном приложении
1. Распознавание данных осуществляется в режиме реального времени. Для того чтобы ввести данные карты в мобильном приложении пользователю нужно показать ее камере.
2. Программа сама находит карту и автоматически распознает в видеопотоке все цифровые и буквенные поля, не требуя указания типа карты.
3. Smart CardReader позволяет извлекать данные при различном освещении, для любых фоновых изображений карт и для старых (затертых) карт.
4. Для платежных сервисов мобильного и интернет эквайринга реализована возможность ввода данных банковских карт клиентов при оплате в мобильном приложении или на сайте по одной фотографии.
5. Для подтверждения операций можно использовать решения Smart Engines по распознаванию удостоверений личности (паспорт РФ, водительские права) в мобильных приложениях.
Наш SDK просто интегрировать в программы на языках программирования Objective-C, Swift, C, C++, Java, C#, PHP, и Python для широкого круга систем: МОС «Аврора», iOS, Android, Sailfish Mobile, Linux, Windows, macOS, Solaris и др.
Мы комплектуем SDK примерами интеграции на всех указанных языках программирования для каждой операционной системы.
Попробуйте технологию Smart CardReader в действии
Источник
Сегодня мы испытаем на себе сканеры для распознавания номеров банковских карт. Если вы никогда ими не пользовались, — попробуйте. Сервис этот очень удобный, а найти его можно в мобильном приложении своего банка.
Хорошо реализованный сканер распознавания карт может избавить вас от ручного ввода данных карточки вручную. А вводить все 16 цифр номера карточки — занятие из малоприятных.
Вопрос только в одном — насколько эти сканеры работоспособны, и все ли карты они могут распознать?
Немного теории. Курс начинающего держателя карточек
Сотрудники многих банков, выдавая карточки, часто говорят клиенту с придыханием:
— Ваша карточка с эмбоссированием!
Перепуганный клиент, в первый раз столкнувшийся с эмбоссированием, обычно начинает выяснять, а что это значит? И внезапно для себя узнает, что это такой метод персонализации карточек, при которой на лицевой части карточки выдавливаются рельефные буковки и циферки. Обычно рельефными, выпуклыми или, попросту эмбоссированными, бывают номер карты, срок ее действия и имя с фамилией держателя.
На вопрос клиента:
— А зачем оно нужно, ваше эмбоссирование? — сотрудники банков или начинают рассказывать о статусности, или загадочно молчат.
Между тем, эмбоссирование влияет на скорость выпуска карточки, и считается, что неэмбоссированную карту банк может выдать в тот же день, а вот на выпуск эмбоссированой карточки (даже в других странах) уходит несколько дней.
Кстати, выдавленные на пластике цифры и буквы иногда еще и окрашивают в другой цвет, чаще всего — золотистый или серебристый, но можно встретить и другие цвета. Процесс окраски выпуклых знаков называют типпированием
Другими словами, в банке обычно не объясняют, зачем нужно эмбоссирование, и держатель постепенно сам приходит к неожиданному открытию — на ощупь в кармане джинсов эмбоссированную банковскую карточку от скидочной карты магазина или проездного на метро отличить в разы проще, чем неэмбоссированную. А еще цифры на эмбоссированных карточках видны гораздо лучше!
Но, оказывается, эмбоссирование помогает не только «в кармане». Попробуем пропустить через сканеры карт в мобильном приложении оба типа карт.
Что и как мы изучали?
Для тестирования сканирующих устройств мы взяли:
- эмбоссированную типпированную карту Альфа-Банка
- эмбоссированную карту Паритетбанка
- неэмбоссированную карту Приорбанка (с хорошо читающимися цифрами)
- неэмбоссированную карту БНБ-Банка (с плохо читающимися цифрами)
Затем мы разбили исследование на 2 этапа.
Первый — «упрощённый». Мы выбрали 2 карты, на которых все цифры видны отчётливо: карта Альфа-Банка и карта Приорбанка. На первой цифры выпуклые, на второй обычные.
Для второго этапа мы выбрали карточки, информация на которых плохо различима для глаз. На первой карте Паритетбанка номер карты выпуклый, на второй карте БНБ-Банка — нет.
Но нам стало интересно — если номера таких карт плохо видны даже нам — смогут ли с ними справиться современные технологии?
В эксперименте приняли участие сканеры всех белорусских банков и «московский гость» — сканер из Тинькофф Банка.
Результаты шокируют!
Оказалось, что все сканеры белорусских банков выглядят и работают совершенно одинаково. А работают они не очень хорошо!
Из всех четырёх карт им удалось считать номер только первой «выпуклой» карточки — от Альфа-Банка!!! Напомним, это эмбоссированная карта с типпированием серебряной фольгой.
Очевидно, что сканеры считываю только выпуклые номера, которые легко различить.
Поэтому первое место в рейтинге занял сканер в мобильном банке Тинькофф Банка. Системе удалось считать три из четырёх карт — отличный результат.
С карточками от Альфа-Банка (с выпуклыми цифрами) и Приорбанка (неэмбоссированная, но легко читаемые цифры) приложение справилось без проблем.
Но у сканера Тинькофф Банка возникли сложности с картой Паритетбанка (выпуклые цифры).
А вот как системе удалось распознать цифры с карты БНБ-Банка, так и осталось для нас загадкой. Цифры сильно сливаются с рисунком на пластике.
Несколько неожиданных решений
Хоть все остальные сканеры белорусских банков и смогли считать только номер карточки Альфа-Банка, кое-кто смог нас удивить интересными разработками.
Второе место мы отдали Белинвестбанку за новую услугу — сканирование номера карты по NFC.
Функцию мы протестировали — работает безотказно. Однако считать номер карточки можно лишь при условии, что она бесконтактная, а ваш телефон поддерживает технологию NFC!
Всё что от вас требуется — поднести бесконтактный пластик к задней крышке телефона. Номер карточки считывается мгновенно!
Третье место мы присудили Белгазпромбанку, которой тоже смог нас порадовать необычным способом набора номера карты — голосовым вводом.
Чтобы голосовая функция сработала, надо назвать номер карточки по цифрам. У нас получилось с первого раза!
Все результаты эксперимента в таблице…
Итог
Считать данные карточки сканерами белорусских банков у вас получится, только если номер чётко виден, а цифры эмбоссированные с типпированием, в ином случае вас, скорее всего, постигнет неудача.
Отечественными сканерами нам удалось прочитать только карту Альфа-Банка. Сканер Тинькофф Банка справился с задачей гораздо лучше, но и у него возникли определенные трудности.
Среди интересных решений, позволяющих заменить оптические сканеры:
- сканер NFC-чипа от Белинвестбанка
- голосовой ввод номера от Белгазпромбанка
В остальных случаях все 16 цифр придется вводить руками. Если они конечно видны на пластике невооруженным взглядом…
Источник: www.infobank.by
Источник
