Как работают банковские карты?

Хотелось бы знать как работают банковские карты. Вот я человек, который о банковском деле ничего не знает, но разбирается в криптографии.
Как я представляю себе это: Карта - ключ доступа к банковскому счёту, позволяющий снимать наличные в банкомате, оплачивать покупки в магазинах и онлайн, при этом у карты есть номер платёжной системы Visa, MasterCard или МИР, которая является посредником для совершения переводов, таким образом карта предоставляет доступ именно к платёжной системе, а не к расчётному счёту. Ключ скорее всего представляет собой сертификат электронно-цифровой подписи стандарта PKCS, возможно PKCS#12, им владелец подписывает свои действия, а, если есть сертификат, то должен быть и удостоверяющий центр, в роли которого выступает банк, платёжная система либо некая организация, которой все банки и платёжные системы доверяют. Также нужно, чтобы стороннее лицо, завладевшее картой, не смогло бы ей воспользоваться, для этого сам сертификат зашифровывается, для расшифровки требуется пин-код, ещё нужны некие средства защиты, препятствующие копированию карты, для этого нужен встроенный в карту чип, пришедший на замену магнитной полосе, про бесконтактные карты я даже рассуждать пытаться не буду, тут сложно.
А теперь ещё 2 фактора, из которых следует, что все мои предположения - неверны.
1) Мы можем сделать свою пластиковую карту электронной, добавив её в приложение GPay, то есть копировать её всё же можно.
2) Онлайн-покупки, при которых мы предъявляем только номер карты, CVC-код и секретный код из СМС, но сам цифровой сертификат не предъявляем. Могу предположить, что это означает, что карта не содержит никакого цифрового сертификата для доступа к платёжной системе, а данный сертификат на самом деле хранится в базе данных банка, а вот карта содержит сертификат для доступа к этому сертификату, альтернативным способом доступа является двухфакторная авторизация при помощи СМС, онлайн-банка или мобильного приложения

На неделе получал карту Райффайзенбанка, в процессе общения с сотрудником банка не было подписано ни одной бумаги, все действия выполнялись исключительно в мобильном приложении, в том числе и подписание договора. Но поразило другое - теперь есть возможность сбрасывать пин-код карты при помощи мобильного приложения, в Сбербанке кстати тоже такая фишка есть. Так содержится ли на карте информация, которая зашифрована этим самым пин-кодом или нет? И что же это получается, теперь любой, кто завладеет телефоном владельца карты сможет получить доступ к его счёту?

Так что в дополнении к вопросу как работают банковские карты возник ещё вопрос, безопасно ли пользоваться мобильными приложениями банков, СМС-банками и приложениям типа GPay, а также существуют ли сейчас банки, которые позволяют получать полный объём услуг по банковской карте без обязательной установки мобильного приложения?
  • Вопрос задан
  • 671 просмотр
Пригласить эксперта
Ответы на вопрос 5
firedragon
@firedragon
Не джун-мидл-сеньор, а трус-балбес-бывалый.
не парьтесь. Клонировать чипованную карту невозможно.
Телефон ну тут уж пин код не передавайте и телефон держите с собой.
Можно еще завести 2 карту и ее использовать, и с основной перекидывать деньги только с компа.
Ну и практически все "ограбления" это социальная инженерия. Вы сами вводите код подтверждения или данные карты.
Ответ написан
DMGarikk
@DMGarikk
Lead Software Developer
Попробую совсем кратко описать:
Пластиковая банковская карта - это буквально номер карты, датадействия, некоторая техническая информация и ВСЁ. так было изначально. никаких ключей и т.п. изначально на ней не было. но и потом когда они появились - стали выполнять несколько иную ф-цию чем подпись транзакций

в конце нулевых появились массово чиповые (emv) карты, которые помимо номера карты действительно хранят некий ключ и могут оффлайн проверять пинкод (чтобы не отправлять запросы в процессинг и для оффлайн операций) и запоминать последний остаток денег. но и всё. повышение безопасности тут в том что у карты всёравно остаётся полоса где записан её номер и дата для поддержки старых стандартов
Безопасность этой схемы обеспечивается тем что все операции по чиповой карте должны производится по чипу, если-же они проводятся по полосе (вместо чипа) и потом опротестовываются - банк должен возвращать вам деньги без особых расследования на полгода.

Системы типа GPay - не делают копию карты, они выпускают некий аналог виртуальной карты и делают оплаты от лица этой 'виртуальной'...списывая деньги с вашей, также как если бы вы подписались на онлайн кинотеатр с ф-цией автооплаты.

Далее, двухфакторная авторизация не является обязательной, вообще. в РФ она чуть больше распространена чем в остальном мире, но она всегда опциональна и защищает не покупателя (как бы странно это ни звучало)
==
и самое главное и непонятно-недоступное многим, даже некоторым сотрудникам банка

операцию по банковской карте можно провести имея ТОЛЬКО номер карты. ВСЁ. не нужны ни CVV/CVC ни даты действия ни имя владельца, ни данные чипа, ничего, ТОЛЬКО номер.
Эту операцию конечно не сможет сделать любой сотрудник в магазине (лет 7 назад прикрыли оч большую дырку в этом направлении кстати), но она возможна и ей часто пользуются например отели.
Ответ написан
yakovlev_13
@yakovlev_13
Шаманство, экзорцизм и некромантия.
Самое опасное изобретение это чехол для смартфона с кармашками для карточек. А самое фиаско это когда телефон не запаролен. Или же пароль на долю секунды отображается при вводе. Его легко запомнить.
Суть опасений ясна, но нас так много, что ворам и мошенникам не приходится прибегать с хитроумным высокотехнологичным взломам простых мирян. Всегда есть приличная масса индивидов, которые расстаются с средствами добровольно.
Как пели в известном фильме кот и лиса: "На дурака не нужен нож..."
Спите спокойно))
Ответ написан
Комментировать
@ehevnlem
Программирую с 1975, в интернете с 1993.
я в деталях работы карты не разбираюсь, но думаю что завладевший вашим телефоном получает доступ к вашему счету.даже если мобил запаролен его можно вскрыть. я думаю единственной гарантией будет если данные карты хранятся зашифрованными и вы помните ключ или держите его гдето отдельно от мобилы. и данные перадются банку после расшивровки. и при этом история интернет запросов в мобиле не сохраняктся. с другой стороны человек умеющий так вскрывать мобилы хорошо зарабатывает и если у вас на счету не очень много возиться не будет. а получив доступ к счету эти деньги еще както надо обналичить что рисковано
Ответ написан
@Iskatel_S Автор вопроса
А можно подробнее про то, что процессинговый центр может отключить требование предъявить пин-код либо CVC-код, это закон какой есть? А могу ли я отправить обращение в банк, чтобы некоторые операции, такие как сброс логина и пароля для приложения невозможно было бы сделать в самом приложении, а только при личном визите в офис банка?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы