При виникненні деяких спірних ситуацій банк може скасувати списання грошей по конкретному платежу.
Наприклад: операції на однакові суми з коротким (незначним) проміжком між ними. Якось глюк терміналу (у Ощад за часів gprs було регулярно) при якому перша спроба передати інформацію в банк про оплату закінчилася невдачею на останньому підтвердження (їх при обміні між процессингом і терміналом два або три, від реалізації системи), при цьому в банку ВЖЕ заблоковані гроші (сліп), а термінал про це не знає.
Термінал перепосилает операцію, з його точки зору це все та ж перша операція, а з точки зору банку - вже інша.
Увечері термінал вивантажується, і раптом. виявляється що в ньому цієї операції немає. Нормальний банк тут же відміняє сліп і передає всі операції за ознакою термінал + карта на контроль "живому" оператору.
Тепер та ж ситуація але з реальними двома поспіль покупками на одну і ту ж суму (купив банку пива, подруга теж пива захотіла, купив другу) - друга операція може бути скасована процессингом, і повернута вже живим оператором.
Комбінація покупка-відміна-покупка так само може потрапити на ручний контроль (тому що нетипова в загальній масі), і оператор може повернути скасовану операцію до з'ясування.
Тепер що відбувається з точки зору клієнта:
заправив машину, оплатив карткою, через пару днів операція відмінилася чомусь, а розбиратися не став.
Витратив все гроші з карти в нуль, і раптом назад прилітає та сама скасована операція покупки.
Карта (на якій умовно 0) різко йде в мінус (а це можливо для всіх дебетовок, і пофіг що у вас не підключений овердрафт), відсотки вважаються по спец. ставкою, клієнт потрапляє на гроші.
Або варіант два:
Варто згадати що процесинг в більшості випадків не належить банку (якщо це не ощадні), і доводити що ти (клієнт) не верблюд стає ще цікавіше.
Чого. Який набір цифр. Токен?
При чому тут токен і фізичний номер карти по якій проводяться операції?
банк-емітент карти при підключенні вашої карти до Android pay створює віртуальну карту, через яку і йдуть всі оплати.
При цьому йдуть вони відмінно і в сторону оплати і в сторону повернення коштів.
При появі a-p (ще 23.05) була команда на роботі "перевірити відповідність функціонала", тестував з терміналом ощадбанку (ingenico) - вільно проходить і оплата і скасування і повернення коштів (скасування і повернення - це різні операції).
Потрібні пруф - можу зробити окрему зйомку.
Розкрити гілка 0
Так-то перехоплення можливий, просто інформація, що підтверджує платіж, втратить актуальність до того моменту, як зловмисник зможе нею скористатися. А щодо номера карти - я звертав увагу на незакриті циферки номера карти на чеках при різних платежах за допомогою Apple pay. При використанні однієї і тієї ж карти цифри все ж однакові, а значить однакова і карта. Тут фішка в іншому - якщо карта з магнітною смугою, інформація на ній статична і передається терміналу в незашифрованому вигляді, а обчислення підтверджує платіж інформації проводиться на терміналі. На картах з чіпами (в т.ч. NFC-картах і всяких різних ApplePay, AndroidPay і т.д.) обчислення підтверджує інформації проводиться на чіпі всередині карти / пристрої, а ключ, за допомогою якого вона вираховується, не покидає меж цього чіпа
Розкрити гілка 0
Розкрити гілка 10
Щоб поїсти потрібен рот, або досить ложки і супу
Розкрити гілка 0
Так. NFC зобов'язати бути і він повинен бути включений.
Android pay, ощадні, яндекс-гроші - це вже додатки, які з джерел коштів через NFС перекидають бабло.