Comments 141
А какие-то методы противодействия такой деятельности есть? Экранирующие чехлы для карт или нечто подобное?
Ну, фольгированный чехол, по идее, должен помочь.
Достаточно мелкой металлической сетки, более того, они вполне успешно продаются https://goo.gl/tE6I6R
А вы пробовали это делать или знаете из теории? Я например решил поэкспериментировать с мобильным телефоном.
Первый опыт: полностью и плотно завернул телефон в металлическую фольгу от шоколада — вывод телефон прекрасно принимает сигнал и начинает звонит при входящем звонке.
Второй опыт: дополнительно к первому еще и поместил телефон в металлический бокс от шуруповерта, причем предварительно еще и и пометив между слоем фольги диэлектрик что бы слой фольги не соприкасался с металлическим боксом итог эксперимента тот же что и в первом случае…
Третий эксперимент: телефон был помещен в микроволновку разумеется в выключенную =) Там он тоже отлично принимал входящий звонок…
Конечно может уровень сигнала был и слабее при таких экзекуциях, но про полное его экранирования даже речи нет.
ЗЫ я понимаю что возможно с карточкой дело обстоит проще так как все таки она не имеет своего источника питания, но тем не менее.
Первый опыт: полностью и плотно завернул телефон в металлическую фольгу от шоколада — вывод телефон прекрасно принимает сигнал и начинает звонит при входящем звонке.
Второй опыт: дополнительно к первому еще и поместил телефон в металлический бокс от шуруповерта, причем предварительно еще и и пометив между слоем фольги диэлектрик что бы слой фольги не соприкасался с металлическим боксом итог эксперимента тот же что и в первом случае…
Третий эксперимент: телефон был помещен в микроволновку разумеется в выключенную =) Там он тоже отлично принимал входящий звонок…
Конечно может уровень сигнала был и слабее при таких экзекуциях, но про полное его экранирования даже речи нет.
ЗЫ я понимаю что возможно с карточкой дело обстоит проще так как все таки она не имеет своего источника питания, но тем не менее.
Вопрос частот и мощности излучаемого сигнала. Для RFID может оказаться что просто фольги или мелкой сетки достаточно.
не говоря о том что питание карточка получает по факту от считывателя.
Телефон добивает на несколько километров даже при относительно небольшой мощности передатчика, такова у него работа
не говоря о том что питание карточка получает по факту от считывателя.
Телефон добивает на несколько километров даже при относительно небольшой мощности передатчика, такова у него работа
С карточкой всё действительно проще, т.к. она, по-сути, пассивный RFID чип. Фольга должна сработать.
В случае с мобильным телефоном — лучше заземлить фольгу/бокс от шуруповёрта, тогда получится что-то вроде экранирования с заземлением.
В случае с мобильным телефоном — лучше заземлить фольгу/бокс от шуруповёрта, тогда получится что-то вроде экранирования с заземлением.
Я хожу с подобным чехлом на 6 карточек, из которых 4 RFID (2 банковские). Ни один из терминалов ни разу не сработал через металлическую коробочку, регулярно получаю «ошибка считывания». Хотя именно эта ошибка меня настораживает, т.е. считывание началось, но обломилось в какой-то момент (или просто считываться начала не та карта). При этом у жены через кожанный кошелёк и через резиновый кард-холдер на крышке мобильного срабатывал только пропуск в фитнесс через раз.
Считывание происходит за счёт искажения поля передатчика картой, а именно — резкое возрастание потерь в контуре передатчика. Так он реагирует когда подносишь поверхность с высокими потерями — детектирование карточки происходит по изменению поля накачки которым передатчик периодически (раз 10 в секунду) проверяя наличие карты в радиусе действия считывателя, карточка должна ответить на это поле его замыканием, потом идёт процедура считывания. В вашем случае считыватель определил наличие замыкания поля, но последующее считывание естественно дало сплошные нули, о чём терминал скромно сообщил ошибкой считывания ибо контрольная сумма не сошлась.
У меня телефон перестаёт принимать сигналы под толстым слоем одеял и подушек (не фольгированных).
не хочу ставить Ваши слова под сомнение, но завернув свой Nokia NGAGE QD в фольгу обнаружил что он прекрасно «не ловит сеть». Это к чему, есть нюансы, но картам rfid и nfc вполне хватает фольгирования, как и некоторому числу мобильников
Из широко продаваемого — металлическая визитница
Для карт есть Secrid Reddot из титана ($45)
Лучший способ — брать с собой банковскую карту только в случае необходимости.
Ага. А обезопасить себя от ожогов можно перестав пользоваться плитой и чайником. Карты — удобно и не менее безопасно налички. На ГТ иногда просто потрясающий луддизм встречается.
Карты намного безопаснее налички. Если украдут карту — крупную сумму все равно не снимут, и можно будет попробовать обжаловать в банке, а с наличными можно сразу попрощаться.
Не представляю, как люди с ней спокойно ходят. То со сдачей обсчитают, то фальшивку подсунут. Можно даже банально сумку в такси оставить и уже ничего не докажешь.
Бумажки незаменимы только для финансирования террористов. Передавать неудобно, зато анонимно. Куда только фсб смотрит…
Не представляю, как люди с ней спокойно ходят. То со сдачей обсчитают, то фальшивку подсунут. Можно даже банально сумку в такси оставить и уже ничего не докажешь.
Бумажки незаменимы только для финансирования террористов. Передавать неудобно, зато анонимно. Куда только фсб смотрит…
Если украдут карту — крупную сумму все равно не снимутОбоснуйте. Думаете у всех банков скромные суточные лимиты, а уж тем более что у многих есть ещё возможность оперативно менять пользовательские? Тогда хотя бы про Сбербанк вспомните :D
Бесконтактные переводы без пин-кода до 1000 рублей, больше нужен пинкод, которого не знает вор.
Хм, мне почему-то показалось речь шла про снятие наличных.
Но с покупками тоже не всё радужно. Есть в сети места, где можно совершить покупку без CVx-кода и 3D-Secure.
Бесконтактные оплаты — да, лимитированы по сумме, но есть ли лимит по их количеству? Магазинный POS-терминал на практике может заругаться где-то после третьей NFC-оплаты одной и той же картой (но если мошенники обзаведутся своим, то не будут включать эти ограничения, если они не на стороне процессинга). Прокатка полосой тоже возможна без ввода ПИН. И ещё с чиповыми картами на практике иногда проходит оплата полосой, хотя вроде стандарт запрещает такое (чудеса в решете?). В общем, какой-никакой риск однажды погореть с картами всё равно присутствует, поэтому при отсутствии лимитов от крупных потерь лучше защищаться банально просто — снижать риски, не класть на карту для похода за продуктами и прочих ежедневно-бытовых расходов много денег, в качестве копилки завести другой счёт/пластик, для Интернет-оплат — третий, и т.д.
Но с покупками тоже не всё радужно. Есть в сети места, где можно совершить покупку без CVx-кода и 3D-Secure.
Бесконтактные оплаты — да, лимитированы по сумме, но есть ли лимит по их количеству? Магазинный POS-терминал на практике может заругаться где-то после третьей NFC-оплаты одной и той же картой (но если мошенники обзаведутся своим, то не будут включать эти ограничения, если они не на стороне процессинга). Прокатка полосой тоже возможна без ввода ПИН. И ещё с чиповыми картами на практике иногда проходит оплата полосой, хотя вроде стандарт запрещает такое (чудеса в решете?). В общем, какой-никакой риск однажды погореть с картами всё равно присутствует, поэтому при отсутствии лимитов от крупных потерь лучше защищаться банально просто — снижать риски, не класть на карту для похода за продуктами и прочих ежедневно-бытовых расходов много денег, в качестве копилки завести другой счёт/пластик, для Интернет-оплат — третий, и т.д.
Те места, которые позволяют совершать покупки без кода или без 3d-secure берут на себя ответственность за подобные операции. То-есть, если через украденные данные карты была произведена покупка без авторизации — в случае обжаловании этой операции убытки несёт площадка, где данная покупка была совершена.
Ах да, кража ПИН — отдельная песня, если кража не спонтанная, а продуманная. Снимут скрытой камерой, посмотрят на клавишах отпечатки каким-нибудь УФ-излучением, украдут через накладку, фантазия и возможности нынче богатые. Если банкомат уличный, вмонтирован в стене, без козырька — наверное можно и с квадракоптера подсмотреть, если захотеть. А потом уже завладевать пластиком
Чтобы снять с карты деньги в банкомате, надо знать пинкод. Покупку в магазине можно потом оспорить, да и зачем вору так привлекать внимание, чтобы потом посмотрели камеры кассы в момент транзакции. Через интернет покупка тоже не пройдет — нужна смс с подтверждением. И это все возможно, только если вместе с картой украли еще и телефон, иначе через минуту я её заблокирую.
Никто не заставляет ходить в этот филиал ада, уже много лет есть банки для людей, где лимиты настраиваются в удобном мобильном приложении. Во время приступов особой паранои я держал отдельный счет, с которого переводил понемногу денег на карту. Все это иногда проворачивал прямо в очереди на кассе.
Еще на наличные никто не начислит 8% годовых и не будет давать 1% кэшбека.
Никто не заставляет ходить в этот филиал ада, уже много лет есть банки для людей, где лимиты настраиваются в удобном мобильном приложении. Во время приступов особой паранои я держал отдельный счет, с которого переводил понемногу денег на карту. Все это иногда проворачивал прямо в очереди на кассе.
Еще на наличные никто не начислит 8% годовых и не будет давать 1% кэшбека.
иначе через минуту я её заблокируюЧерез минуту после обнаружения пропажи. Это важный нюанс.
Тем не менее.
Чтобы получить деньги с карты:
Украсть карту, украсть пин-код, засветить рожу в АТМ, обломаться с лимитом.
Украсть карту, украсть телефон, украсть пароль от телефона, купить товар, засветить свой адрес, обломаться с отменой операции или получив товар его нужно еще продать.
Чтобы получить деньги наличкой.
Украсть наличку. Профит.
Чтобы получить деньги с карты:
Украсть карту, украсть пин-код, засветить рожу в АТМ, обломаться с лимитом.
Украсть карту, украсть телефон, украсть пароль от телефона, купить товар, засветить свой адрес, обломаться с отменой операции или получив товар его нужно еще продать.
Чтобы получить деньги наличкой.
Украсть наличку. Профит.
Если я прихожу в супермаркет с 1000 рублей в кармане (а в ~90% случаев мне этого достаточно) у меня больше 1000 рублей не украдут. А вот на карточке — совсем другие суммы. И не говорите, что удобно периодически перекидывать средства со счета на карту…
Понимаете, подавляющее большинство краж — спонтанные. Это карманники, цыгане и т.д. Ну и тупо потерять бумажник можно, когда случайный человек его подберёт. Так вот, в этих случаях просто достают наличку, а остальное выбрасывают, более продвинутые могут поискать в нём бумажку с пин-кодом.
Если вы предполагаете целенаправленную атаку на себя (раздобыть пин, может дубликат сим-карты и т.д.), то вы либо очень богатый человек, либо параноик :)
Если вы предполагаете целенаправленную атаку на себя (раздобыть пин, может дубликат сим-карты и т.д.), то вы либо очень богатый человек, либо параноик :)
30'000 на карте, которую вы носите с собой, будет достаточно на месяц с одной стороны, с другой стороны это не критичная сумма. Плюс выставьте лимит на снятие хоть в 1000. Ну а перевести деньги раз в месяц не проблема. Более того, расплачиваться картой с пэйпас быстрее и не надо с собой носить мелочь. Плюс можете сделать допкарту к основной карте (даже сбер может) и носите с собой. При утере допкарты, просто блокируете её, а деньги всё равно доступны на основной. Более того, хранить большую сумму на карте всё равно не выгодно, так как вы теряете проценты, которые могли бы заработать, положив деньги на счёт или в ИИС или ещё куда-нибудь.
Сейчас телефон страшнее потерять, не говоря уже о перевыпуске симкарты.
Если у вас нет пароля на экране блокировки, вы сами себе буратино.
Если нет пароля на экране блокировки, есть шанс что нашедший позвонит кому-то из Вашего списка контактов чтобы вернуть телефон. Неоднократно наблюдал такой сценарий, и сам так возвращал телефон. А вот когда он запаролен — всё сложнее, но не для плохих парней — они просто придут к знакомому мастеру «имэй перебэй, а?», а потом продадут его где-нибудь в переходе.
Какие наивные взглады на жизнь. Как все просто =) взять и отменить наличку и наступит тишь на благодать. Вот не надо ерунды говорить, эти же самые нехорошие люди финансируются как раз большими банковскими переводами отмытыми так или иначе, никто не возит чемоданы денег через океан.
Ну и то есть вы полностью уверены что никто и никогда не сможет наклевать левых карт по левым данным? Оригинально. В вашем мире жить хорошо =)
Ну и то есть вы полностью уверены что никто и никогда не сможет наклевать левых карт по левым данным? Оригинально. В вашем мире жить хорошо =)
Я не говорил что надо отменять наличку, а лишь что карты более безопасны. Наличку в россии надо оставить ради бабулек, которые привыкли хранить бумажки под подушкой и искать мелочь на кассе.
Неужели ресурс скатился до того, что к финансированию террористов наличкой нужно приделывать тег <сарказм>?
Я уверен, что мой счет в банке кто-то защищает от взломов и других угроз, а пачку бумаги из сумки в этой стране может вытащить кто угодно абсолютно безнаказанно и необратимо. Я и сам бумажки потерять могу.
Пользоваться сейчас наличкой — это все равно что хранить важные данные на домашнем компе без бэкапа. А банк — это как облачный провайдер.
Неужели ресурс скатился до того, что к финансированию террористов наличкой нужно приделывать тег <сарказм>?
Я уверен, что мой счет в банке кто-то защищает от взломов и других угроз, а пачку бумаги из сумки в этой стране может вытащить кто угодно абсолютно безнаказанно и необратимо. Я и сам бумажки потерять могу.
Пользоваться сейчас наличкой — это все равно что хранить важные данные на домашнем компе без бэкапа. А банк — это как облачный провайдер.
не знаю, не знаю
формулировки комментария совсем не оставляют места для сарказма
формулировки комментария совсем не оставляют места для сарказма
Забавно: «кто-то» защищает (не знаю, кто, но кто-то ведь должен!). Действительно, как хорошо жить в Вашем мире. В сети полно примеров, когда человек, потеряв деньги, остантся один-на-один с проблемой, а банк сразу самоустраняется.
потеряв кошелек с наличкой вы остаетесь один на один с пустотой.
Я вам из личной жизни могу привести примеры, когда у меня крали наличку, а милиция сразу самоустранялась.
С банком какой-никакой шанс есть.
Статистику искать не буду, но мне кажется, что % возвратов банков по украденным картам больше, чем возвратов украденной налички.
Опять же, карты — не 100% защита, но там есть хотя бы различные инструменты, вроде лимитов, разных счетов, страховки, паролей, шифрования. У налички нет ничего, даже надежной защиты от подделки — только механический замок и ваша бдительность защищают сбережения.
С банком какой-никакой шанс есть.
Статистику искать не буду, но мне кажется, что % возвратов банков по украденным картам больше, чем возвратов украденной налички.
Опять же, карты — не 100% защита, но там есть хотя бы различные инструменты, вроде лимитов, разных счетов, страховки, паролей, шифрования. У налички нет ничего, даже надежной защиты от подделки — только механический замок и ваша бдительность защищают сбережения.
Меня не надо вгитировать, я пользуюсь преимуществеено картами с бесконтактом, кстати. Просто бросаться из стороны в сторону не стОит: страховка покрывает не все, банк может оказаться отнюдь не клиентоориентированным. В некоторых торговых точках карты не принимают. Потому я против лозунгов «давайте откажемся от одного в пользу другого». Все имеет свои преимущества и недостатки. Да, и не забываем: при любой оплате картой вы всегда платите посредникам, то есть скрытая комиссия так или иначе присутствует (не важно, где: заложена в стоимость товара, обслуживания и т. п.) С наличкой вы не платите посредникам (ну, или существенно меньше)
«банк может оказаться отнюдь не клиентоориентированным» — бегите от такого сразу же.
Да, при оплате картой надо платить 2-3% комиссии банку. Но для налички нужно купить кассу с ящиком для денег, нужно каждый день проводить инкассацию, что тоже не бесплатно. Еще постоянно есть риск ограбления кассы, который с картами исключен.
«В некоторых торговых точках карты не принимают.» — это только вопрос времени. Уже сейчас никто не мешает узаконить и упростить прием карточек через дешевую приставку к смартфону. Раньше и дорог для машин не строили, но это же не повод был от них отказываться.
Да, при оплате картой надо платить 2-3% комиссии банку. Но для налички нужно купить кассу с ящиком для денег, нужно каждый день проводить инкассацию, что тоже не бесплатно. Еще постоянно есть риск ограбления кассы, который с картами исключен.
«В некоторых торговых точках карты не принимают.» — это только вопрос времени. Уже сейчас никто не мешает узаконить и упростить прием карточек через дешевую приставку к смартфону. Раньше и дорог для машин не строили, но это же не повод был от них отказываться.
банк — наличка
СЧЁТ
1:1?
СЧЁТ
1:1?
ресурс всегда таким и был.
"Не представляю, как люди с ней спокойно ходят."
Если это про физическую безопасность — курсы самообороны или навыки боевых искусств(исключительно на случай грабежа\разбоя)
<vanga_mode> Простите, Вы из той породы людей, что используют карту как «ту штуку, с помощью которой я вытаскиваю свою зарплату наликом из шайтан-коробки „Сбербанка“»? </vanga_mode>
В моём мире брать с собой карту — необходимость каждодневная, коммунизм ещё не наступил. И даже если это отдельная дебетовка с небольшим балансом (на каждый день) кража данных — малоприятная ситуация.
В моём мире брать с собой карту — необходимость каждодневная, коммунизм ещё не наступил. И даже если это отдельная дебетовка с небольшим балансом (на каждый день) кража данных — малоприятная ситуация.
Для этого достаточно иметь карту для расчетов в магазинах и онлайн покупок, сумма на которую переводится перед самой покупкой. На счету данной карты есть небольшая сумма для мелких трат, потеря которой не является существенной, карту можно иметь даже обезличенную.
Параноики могут носить карту без RFID, чуть ниже удобство, но безопасно.
У нас, например, всего один банкомат понимает такие карты, ни в одном магазине подобного нет. Благо, цивилизация дошла, почти во всех магазинах хоть карты стали принимать, а то приходилось налик таскать.
У нас, например, всего один банкомат понимает такие карты, ни в одном магазине подобного нет. Благо, цивилизация дошла, почти во всех магазинах хоть карты стали принимать, а то приходилось налик таскать.
Сейчас все стараются карты выпускать с бесконтактной оплатой, типа это круто. Теперь у новых карт нет даже своего счета, она напрямую завязана на банковский счет, поэтому если мошенник получил доступ к карте с пин кодом, можно лишиться сразу всего что есть на счету. Теперь для безопасности приходится либо открывать дополнительный счет, либо накопительный, либо вклад с возможностью снятия и пополнения.
У меня, например, две карты: зарплатная (локальная, действует в пределах региона), лежит дома и на её счету хранятся крупные суммы (относительно крупные, открывать вклад из-за них смысла не имеет), вторая — для пользования, как интернет-покупок, так и для оффлайновых. Раз в неделю перекидываю на неё 2-3к на продукты, либо разово крупную сумму если что-то задумал дорогое купить. Как-то так.
Банковская карта и так представление счёта в банке. Вы можете перевести либо по номеру карты, либо номеру банковского счёта. Мой банк позволяет настроить необходимость ввода пинкода при бесконтактной оплате. Хранить деньги на вкладе, а не на карте разумно, потому что там они будут приносить больший доход.
Очень часто на тематических форумах, в темах, где люди друг другу продают/покупают разные штуки, оставляют в открытом виде номера карт. Меня всегда это очень удивляло — нафига светить номер карты, когда можно оставить номер счета?
А потому что для перевода по номеру карты нужно ввести только сумму и номер карты. А для перевода по счёту нужно вводить и БИК банка, и номер счёта, и корр.счёт, и иногда ИНН ещё, и хз что ещё. В принципе, можно и оставить ТОЛЬКО номер карты. И не поддаваться на дальнейшие уговоры и уловки «у меня банк ещё и срок действия карты требует», «надо указать ФИО, что на карте», или самое наглое (редко, но бывает): «пришлите три цифры на обратной стороне которые, без них деньги не отправляются». Но народ ведётся, да. И сами же отправляют дополнительные сведения. Конечно, эти сведения можно и другим путём получить (ФИО легко из соц.сетей найти, или просто спросить, дату — тупо подбором).
Когда человек что-то очень хочет продать, а покупателей не очень-то много — то скорее согласится с тем способом оплаты, что предложит покупатель (всё тот же перевод по номеру карты).
Когда человек что-то очень хочет продать, а покупателей не очень-то много — то скорее согласится с тем способом оплаты, что предложит покупатель (всё тот же перевод по номеру карты).
К тому же перевод по номеру карты доступен мгновенно, а банковский по номеру счёта может идти до нескольких дней.
Перевод по номеру карты тоже может до 3х дней идти, если в разных банках. ВТБ -> сбер, например, не сразу проходит — от 3 часов до пары дней.
Ну это проблема конкретно сбера, во многих других банках мгновенно.
Мгновенно только если на карту того же банка или сети банков. Иначе, банк инициирует тот же самый банковский перевод и жди положенные три дня…
Именно так. Но три банковских дня — это максимальный срок, в основном и обычные межбанковские переводы прилетают за несколько минут.
Не обязательно, по карточным платежам банки между собой рассчитываются по общей сумме транзакций туда-сюда, но лично у меня например при поступлении платежа им сразу можно пользоваться. На счёте при этом может показываться минус, если деньги за покупку спишут раньше, чем рассчитается банк отправителя, но баланс карты считается отдельно и никаких дополнительных проблем это не вызывает.
Я, правда, не в России, но думаю, что там банки тоже такое умеют.
При покупках то же самое: баланс карты уменьшается моментально, у продавца появляется моментально, хотя физически банковской транзакции ещё не было, у покупателя просто сумма на счете блокируется, продавец видит приход по платёжной системе, а на реальном счёте пусто.
А дальше банки спокойно эту сумму(ы) переводят между собой банковской транзакцией.
А дальше банки спокойно эту сумму(ы) переводят между собой банковской транзакцией.
Ненене. Народ в основном оставляет номера карт сбера, как самые распространенные. Там можно сделать перевод 1) по номеру карты, 2) по номеру счета, 3) по номеру телефона. Если вместо карты оставить номер счета — дополнительных реквизитов не надо. Скопипастил и всё, тебе показали имя-отчество и первую букву фамилии получателя, если норм — переводишь. Ничем не отличается от перевода по номеру карты.
Хотя я много раз делал переводы в другие банки, по полным реквизитам. На самом деле это дольше секунд на 30, максимум на минуту. Там всё автоматом подтягивается, просто глазами пробежаться по последним цифрам и всё. Т.е. ввёл БИК — автоматом притянулись все реквизиты банка, ИНН, КПП и что-то там ещё. Дальше номер счета и ИНН получателя если нужен — готово.
Хотя я много раз делал переводы в другие банки, по полным реквизитам. На самом деле это дольше секунд на 30, максимум на минуту. Там всё автоматом подтягивается, просто глазами пробежаться по последним цифрам и всё. Т.е. ввёл БИК — автоматом притянулись все реквизиты банка, ИНН, КПП и что-то там ещё. Дальше номер счета и ИНН получателя если нужен — готово.
Уже лет 5 создаются экранированные кошельки, портмане, чехлы для паспортов, небольшие сумки и тд.
RFID blocking wallet фраза для поиска
RFID blocking wallet фраза для поиска
свинцовый кошелек :)
Не забудьте еще и шапочку из фольги на голову одеть, тогда кардер точно поймет, что вы человек защищенный и не подойдет к вам.
Не факт, что это сработает. На самом деле шапочка порой дает обратный эффект. В MIT в 2005 проверяли. :)
Как же достали тупые ублюдки, которые минусят но при этом не могут объяснить причину минуса, наверное мозги заплыли от горячего пукана.
Ну например за то что вы быдло.
И где же это видно? Обоснуйте свои слова.
Ну к примеру получив пару минусов сразу начать орать, что кругом одни д'артаньяны не является признаком интеллигента, читающего умные книги.
Если бы минусы были обоснованы или скажем написали, я поставил тебе минус потому что считаю тебя быдлом не читающим книги, но складывается такое умозаключение, что тут сидят люди нахапавшие кармы и теперь просто ставят минусы всем без разбора, опять же как можно определить по посту читает ли человек «умные» книги или нет? Как определить «умность» книги? Этот параметр очень размытый, каждый решает для себя полезна ли ему эта книга или же нет, так что считаю ваше сообщение тоже не совсем корректным.
Вы, видимо, мало читали GT/H — не один раз писалось об этой карме и прочем. Конкретно про поведение здешних обитателей — если получили минус, не надо сразу вопить и ругаться («за что бл** !!1111»), это только приводит к дополнительным минусам, в т.ч. и в карму. Лучше исправить свой последний комментарий, если минусы были (предположительно) из-за него, и времени немного прошло, и забыть. Или просто не обращать внимания, а набирать плюсы хорошими комментариями и написанием статей. Тем более после недавних нововведений, когда можно плюсовать и тех, кто сейчас в минусе (раньше нельзя было).
Ещё раз повторю свой комментарий: появление такие устройство вопрос времени, для повышения безопасности нужно копать в сторону того, откуда у злоумышленников появились закрытые ключи для платёжных карт, ведь без таких ключей карту прочитать просто нельзя. Или же имело место использование уязвимостей?
P.S. Зачем та USB3? Неужели с карт считываются гигабайты данных, а не несколько килобайт служебных полей?
P.S. Зачем та USB3? Неужели с карт считываются гигабайты данных, а не несколько килобайт служебных полей?
USB используется для зарядки батареи.
USB 2.0 ток — 500 мА, против USB 3.0 — 900 мА.
USB 2.0 ток — 500 мА, против USB 3.0 — 900 мА.
Это если следовать спецификациям. Однако это не мешает существовать зарядным устройствам, выдающим по 2.1А по обычному USB2.0 кабелю :)
Не знаю с чем это связано, но не все порты USB выдают показатели питания согласно спецификации. Например все порты USB моего Dell Inspiron N5110 выдают 1.2А. Не зависимо от версии порта. Замерял лично, мультиметром при зарядке литий полимерных аккумуляторов.
Держал в руках материнку, где линии питания USB были напрямую посажены на шины питания 5В от БП. Просто напрямую, без всяких ключей и защит. С них хоть 20А снимай, пока БП в защиту не уйдёт или разъём не сгорит.
Так что да, спецификации есть, но мало кто им следует.
Так что да, спецификации есть, но мало кто им следует.
в 2016 найти чип с usb 3.0 наверно проще чем с usb 2
И еще вопрос, что делать потом со считанными данными? Платежи же надо проводить через банк в любом случае. То-есть нужен контроль в банке, через который все списывается, а не шапочка из фольги.
CNP-платежи — головная боль магазинов, экваеров и банков-эмитентов. Любая CNP-транзакция может быть оспорена в пол-пинка и у экваера нет никаких доказательств проведения платежа. Этот тот тип фрода, который может немного помотать нервы, но относительно безвредный.
Не надо путать с ситуацией, когда тырят pin & card, в этой ситуации деньги снимают с банкомата, и вероятность их оспорить — микроскопическая.
CNP = card not present.
Не надо путать с ситуацией, когда тырят pin & card, в этой ситуации деньги снимают с банкомата, и вероятность их оспорить — микроскопическая.
CNP = card not present.
Деньги снимают в балаклавах?
Какая разница? Даже если баз балаклав.
А нафига балаклава нужна?
«Есть работа — покупка и пересылка товаров, как вы понимаете, не каждый житель нагонии может взять и купить ипхон 6 в США/Англии/ВставьтеСюдаЕщёГде, наш сервис помогает им купить телефон почтой. Нам нужны курьеры, которые будут покупать телефоны и отправлять их в наш центр исполнения заказов.»
«Мы обеспечиваем бесперебойную работу наших курьеров. Но поскольку мы не очень доверяем им работу с фирменными кредитными картами нашей компании, то нам срочно нужны люди с хорошей репутацией (мы её проверим), для выдачи наличных денег курьерам».
И по этим объявлениям гребём мулов лопатой.
«Есть работа — покупка и пересылка товаров, как вы понимаете, не каждый житель нагонии может взять и купить ипхон 6 в США/Англии/ВставьтеСюдаЕщёГде, наш сервис помогает им купить телефон почтой. Нам нужны курьеры, которые будут покупать телефоны и отправлять их в наш центр исполнения заказов.»
«Мы обеспечиваем бесперебойную работу наших курьеров. Но поскольку мы не очень доверяем им работу с фирменными кредитными картами нашей компании, то нам срочно нужны люди с хорошей репутацией (мы её проверим), для выдачи наличных денег курьерам».
И по этим объявлениям гребём мулов лопатой.
Эмм, а разве идея чиповых карт не в том, что закрытый ключ от карты хранится на чипе и прочитать его оттуда невозможно, не разбирая чип? В таком случае это либо очередная страшилка для хомячков, либо какой-то конкретный банк ставит заведомо дырявые чипы, и туда должны придти добрые дяди с проверками.
Это не платеж с использованием чипа. Это бесконтактная оплата (MasterCard PayPass и Visa payWave). Работает она далеко не на всех картах.
А разве NFC не по тому же принципу работает? Какой ещё, нафиг, RFID в банковской карте?
А в бесконтактной оплате разве нет электронной подписи (какого-нибудь HMAC) с ключем который зашит в карту и прочитать его невозможно?
Чип все-таки используется. Вики говорит:
Технология PayPass предотвращает прямое считывание содержимого чипа RFID, в том числе ключей шифрования. Чип не содержит в себе имени держателя карты, но можно считать номер карты и срок её действия, чего, как правило, недостаточно для проведения операций в интернете при запросе добавочного кода CVC2 с обратной стороны карты и имени её держателя. Для каждой операции бесконтактной оплаты на основе хранящихся в защищённой области чипа секретных тройных 112-битных ключей по алгоритму шифрования DES и реквизитов карты её чип динамически генерирует одноразовый код, являющийся подтверждением платёжной операции.[10] Если постороннее лицо сможет считать такой код до его использования, это позволит создать один клон карты с магнитной полосой. В случае когда оригинальной картой этот код используется раньше, то будет сгенерирован новый код подтверждения и скопированный для клона уже будет недействителен
Не могу найти информацию, везде реклама… Насколько я знаю, пассивный RFID работает довольно просто — при запросе чип отдаёт какую-то последовательность данных. Без какой либо проверки, без каких-либо протоколов безопасности, типа «скажи код» — «код 123456». Для сложного взаимодействия уже нужен источник питания. Всё-таки что-то придумали новое, и RFID PayPass отдаёт каждый раз разные данные и сохраняет что-то в своей энергонезависимой памяти? Иначе, что мешает записать ответ чипа и отдавать его терминалам?
Нет тут подразумевается не безконтактная оплата, а именно получение номера карты для использования в CMP транзакциях. payPass/payWave не копируется на другую карту, т.к. при них подписываются конкретные транзакции закрытым ключом внутри карты, который скопировать невозможно.
Отмечу, что для внешнего, технически не подкованного наблюдателя этот пост мало отличается от документалки vice про шоплифтинг — описывает методы и поцедуры проведения мошенничества.
Vice за это заблокировали на территории России. Наверное статье нужен дисклеймер.
Vice за это заблокировали на территории России. Наверное статье нужен дисклеймер.
Не совсем понял. «Владельцы устройства без проблем расшифровывают данные при помощи прилагаемого к Х5 программному обеспечению.» Это какое такое «шифрование» на карте, что его можно вскрыть на домашнем компьютере? Или RFID светит этими данными в открытую?
Про шифрование говорилось, что само устройство шифрует скопированные данные, которые впоследствии расшифровываются специальной утилитой. Мошенники и то больше заботятся о безопасности, чем некоторые крупные корпорации.
А вот к вопросу насчёт RFID присоединяюсь.
А вот к вопросу насчёт RFID присоединяюсь.
Имеется ввиду, что само устройство X5 шифрует считанные с карты данные.
Какое шифрование, там явно электронная подпись (какой-нибудь HMAC), ключ для которой нельзя прочитать из карты штатными методами, т.е. по тому же NFC (если конечно там нет «дырки»), а расшифровывать электронную подпись — можно пожелать удачи.
После прочтения не забудьте изготовить шапочки из фольги для своих карт =)
По поводу «шапочки» (то есть, чехла) для карты — кто-нибудь знает, каков размер антенны в карте, поддерживающей бесконтактную оплату? Ведь можно обрезать карточку до размера антенны (ну и электроники, если она за пределами антенны), и хранить карточку где-нибудь под крышкой батареи смартфона. Для современных проблем наверное не будет — они достаточно широкие, а вот у меня nokia c5-00 — туда никак не впихнёшь — телефон размером меньше карточки. А то можно было бы хранить в телефоне — металл везде, особо-то не просканируешь.
Или вот ещё идея для производителей карт — надо делать в каком-то месте карты типа мембранной кнопки, которая разомкнута изначально, а при нажатии пальцем — восстанавливает цепь антенны (без которой не будет работать). Надо платить — просто взять карточку, нажав пальцем в нужную точку. Не надо платить — кнопка разомкнута, просканировать не получится.
Или вот ещё идея для производителей карт — надо делать в каком-то месте карты типа мембранной кнопки, которая разомкнута изначально, а при нажатии пальцем — восстанавливает цепь антенны (без которой не будет работать). Надо платить — просто взять карточку, нажав пальцем в нужную точку. Не надо платить — кнопка разомкнута, просканировать не получится.
UFO just landed and posted this here
Даже если пластик выкрашен чёрным цветом? Это каким же прожектором его просвечивать надо? Самому похоже нужно одевать очки для сварки при этом…
UFO just landed and posted this here
Прожектор можно заменить светодиодным фонариком дающим узкий луч с плоскими краями вокруг стекла/линзы (чтобы можно было плотно прижимать к карте, не светя сильно «по сторонам») + темную-темную комнату (например ванную с выключенным светом) в которой посидеть несколько минут пока чувствительность глаз не вырастет на несколько порядков адаптируясь к темноте.
А пока глаза настраиваются, чтобы нескучно было — в качестве тренировки вспомнить детское развлечение: сделай «рентген» ладони и пальцев при помощи фонарика. На просвет хорошо все косточки и сосуды (почему-то даже лучше костей) видно.
А пока глаза настраиваются, чтобы нескучно было — в качестве тренировки вспомнить детское развлечение: сделай «рентген» ладони и пальцев при помощи фонарика. На просвет хорошо все косточки и сосуды (почему-то даже лучше костей) видно.
Антена у таких карт пошире чем nokia c5. В некоторых случаях она вообще по периметру карты идёт, то есть обрезать практически ничего не получится. Хотя те стикеры, с которыми я сталкивался, были такого размера, что спокойно разместились бы даже на более узкой C2-00.
Стикеры это те же самые contactless карты, но уменьшенного размера, как раз для того, чтобы клеить на телефон.
Карты с кнопками — дорого. Дешевле всех на смартфоны с NFC загнать.
Стикеры это те же самые contactless карты, но уменьшенного размера, как раз для того, чтобы клеить на телефон.
Карты с кнопками — дорого. Дешевле всех на смартфоны с NFC загнать.
На Хабре был пост про препарирование карты Яндекс.Денег, там как раз антенна оказалась идущей по периметру
О, вот у меня как раз от Яндекс.Денег. Погуглите за меня, пожалуйста. В смысле, дайте ссылку на статью.
яндекс.деньги хабр карта — вторая ссылка в выдаче гугла
Внутренности карты Яндекс.Денег
ЯД теперь сам эмитентом стал, так что может быть новый пластик устроен иначе
(на старых на обороте поминается GEMALTO SGP, на новых — ALIOTH)
Внутренности карты Яндекс.Денег
ЯД теперь сам эмитентом стал, так что может быть новый пластик устроен иначе
(на старых на обороте поминается GEMALTO SGP, на новых — ALIOTH)
Или вот ещё идея для производителей карт — надо делать в каком-то месте карты типа мембранной кнопки, которая разомкнута изначально, а при нажатии пальцем — восстанавливает цепь антенныНа фоне того, что уже делают карты с дисплеями, показывающими генерируемый для инет-платежей CVx-код, отсутствие такой банальной кнопочки действительно выглядит очень странным.
По поводу хранения в телефоне — так проще тогда уж начать дешёвые телефоны NFC оснащать и в самой памяти устройства виртуальные карты хранить, управляя передачей сигнала программно или в идеале тоже аппаратно, кнопкой
UFO just landed and posted this here
А можно просто платить телефоном, причем функцию NFC включать только на кассе.
Еще в том году так кассиров удивлял.
Еще в том году так кассиров удивлял.
обрезайте обрезайте. Только потом не плачьте, что карта недействительна для обычных платежей и банкоматов.
У человека в руках не «сканер», а серийный терминал, по виду VeriFone. Мы как-то раз специально командировали человека покататься с таким терминалом по метро, чтобы проверить возможность использования мобильной связи для проведения операций по картам на разных станциях. Но это было сравнительно давно, лет пять назад.
Более того, мошенник не стал бы так откровенно палиться, завернул хотя бы в обычный полиэтиленовый пакет с принтом
Сколько бабушек в трамвае знает что это такое?
Ну а кроме бабушек никто тревогу не поднимет.
Ну а кроме бабушек никто тревогу не поднимет.
Только вот тревогу подняли не «бабушки», а так называемые «эксперты», которые имеют «экспертное мнение»: Новый вид мошенничества: в метро крадут деньги с банковских карт
Сообщение о новом виде мошенничестве в московской подземке выложил в социальную сеть сотрудник лаборатории Касперского.
Считывает данные только с магнитной ленты: имя держателя карты, номер и срок годности карты; и что с этими данными делать мошеннику?
Устройство собирает только ту инфу которая отдаёт сама EMV-карта. Данных достаточных для проведения EMV-операции таким способом не добыть.
Ту информацию что удастся считать(номер карты, срок действия) возможно будет использовать в тех интернет-магазинах, где нет проверки CVC/CVV (такие ещё остались). Абсолютное большинство таких операций можно будет оспорить и вернуть деньги.
Ту информацию что удастся считать(номер карты, срок действия) возможно будет использовать в тех интернет-магазинах, где нет проверки CVC/CVV (такие ещё остались). Абсолютное большинство таких операций можно будет оспорить и вернуть деньги.
Начал читать заголовок, и понял — в таком стиле обычно пишет marks. Перевел взгляд под пост — точно он.
А по теме — когда в банке выдали карту без функции бесконтактной оплаты, сначала загрустил было, что технологии меня минули, а сейчас смотрю — спасибо жабности банкиров!
А по теме — когда в банке выдали карту без функции бесконтактной оплаты, сначала загрустил было, что технологии меня минули, а сейчас смотрю — спасибо жабности банкиров!
www.youtube.com/watch?v=kp63MZ6RudE
Отличное видео в тему
Отличное видео в тему
Через бесконтактную часть можно прочитать номер карты, срок действия, иногда имя держателя и список последних транзакций ( даже приложение на маркете есть). Как правильно отметили выше, cvc/cvv там нет. В чем новшество — не понятно — то есть юз кейс только в миниатюрности/удобстве устройства, чтобы считать незаметно данные карты и потом воспользоваться этими данными в сервисах, где нет проверки cvc и 3d secure, так что ли?
Как то не ожидаешь на geektimes таких желтых статей, достойных совсем желтых газет.
Ну если уж начал писать статью, то будь добр хоть немного в теме разбирайся (EMV платежи. В том числе и бесконтактные). Ну и вообще стиль автора статьи просто желтый желтый… и как раз характеризует уровень его технической грамотности.
Ага… "по этим изоляторам потечет ток в родной город" (подпись под снимком опоры электропередач)
Ну все же он правильно и грамотно рассказал! Детали заключаются в том, что ничего особо с этой информацией и не сделаешь.
Разве что продать наивным кардерам, покупающим "номера кредитных карт".
Запихнули в ридер (по виду похож на ACR128) еще и платку контроллера с SD картой (дешево и просто).
Развод наивных покупателей такого устройства, неспособных для Android телефона (c NFC) за пару часов простейшую программку написать.
EMV спецификации не секретны. Программка считывания статических данных в рамках EMV транзакции проста.
Если уж хочется данные карт собирать — поставь радом с терминалом (несколько метров) SDR приемник, да и слушай себе 13.56 МГц. T=CL не шифрован. SDR приемник копейки стоит. Только смысл?
А продажа этой железки — это для "коооол хакеров"… Заработают на этом только продавцы этих железок.
Ну если уж начал писать статью, то будь добр хоть немного в теме разбирайся (EMV платежи. В том числе и бесконтактные). Ну и вообще стиль автора статьи просто желтый желтый… и как раз характеризует уровень его технической грамотности.
В корпусе находится 5-вольтовая батарея, заряжаемая посредством кабеля USB 3.0 (прилагается).
Ага… "по этим изоляторам потечет ток в родной город" (подпись под снимком опоры электропередач)
При определенной ловкости – сможет. Но черт, как обычно, кроется в деталях», — пояснил Александр Бородкин
Ну все же он правильно и грамотно рассказал! Детали заключаются в том, что ничего особо с этой информацией и не сделаешь.
Разве что продать наивным кардерам, покупающим "номера кредитных карт".
Если раньше злоумышленники для этой же цели использовали довольно габаритные девайсы, которые можно было рассмотреть, то размеры этого устройства позволяют положить его в карман.
Запихнули в ридер (по виду похож на ACR128) еще и платку контроллера с SD картой (дешево и просто).
Развод наивных покупателей такого устройства, неспособных для Android телефона (c NFC) за пару часов простейшую программку написать.
EMV спецификации не секретны. Программка считывания статических данных в рамках EMV транзакции проста.
Если уж хочется данные карт собирать — поставь радом с терминалом (несколько метров) SDR приемник, да и слушай себе 13.56 МГц. T=CL не шифрован. SDR приемник копейки стоит. Только смысл?
А продажа этой железки — это для "коооол хакеров"… Заработают на этом только продавцы этих железок.
Ну скопируют они nfc карту — а потом что. Нужно же еще найти где ей рассчитаться можно :) а это знатный квест. Не так давно потерял кредитку одного банка, блокировать не стал — выставил мизерные суточные лимиты и отключил платежи через интернет. Думал буду проводить оплату телефоном через приложение — пока не восстановлю карту, попробовал провести оплату в 3 федеральных продуктовых сетях — эффект нулевой. Единственное место где смог расплатиться терминалом — Мак Дональдс.
p.s. Ради интереса звонил в горячую линию одного из ритейлеров — узнать поддерживают ли их ККМ paywave/paypass. Отправили писать письмо в поддержку — ответа нет 3й месяц.
> Единственное место где смог расплатиться терминалом — Мак Дональдс.
Какой вообще порядок использования приложения? Кассир вводит сумму и подносите смартфон? Или наоборот?
Какой вообще порядок использования приложения? Кассир вводит сумму и подносите смартфон? Или наоборот?
В единственном случае когда получилось, порядок был такой.
1) Кассир вводит сумму,
2) указывает что оплата бесконтактная,
3) на экране терминале выводится информация о том что нужно поднести карту,
4) в мобильном приложении выбираю бесконтактную карту, ввожу ее пин,
5) подношу к терминалу.
6) проходит списание.
Думаю порядок действий сильно зависит от конкретного терминала.
Новость из разряда страшилок.
В общих чертах, NFC это всего лишь беспроводной транспорт данных, точно также как контактная площадка чипа. И ничего более. В Америке до некоторых пор были популярны магнитные карты в силу наследия. Популярны и сейчас, но МПС эту ситуацию меняют. Таким образом, есть NFC карты с EMV, и NFC карты с MSR (mag stripe).
Данные MSR статичны. И, судя по всему, это девайс предназначен именно для карт NFC MSR.
Даже если считать какую-то информацию с NFC EMV карты, то в дальнейшем провести операцию по созданному клону будет невозможно, просто в силу спецификаций EMV (можно загуглить про сессионные ключи, сертификаты EMV, SDA/DDA а еще лучше почитать EMV Book 2 (спеки находятся в открытом доступе))
Сейчас единственный известный мне способ сделать фрод чисто по NFC EMV карте — это проксировать сам NFC. По нему есть что-то вроде whitepaper. Но, естественно, это надо еще умудриться создать условия.
Что касается CNP операций, то для них используется CVV2. В трэке для NFC идет CVV3 (по аналогии с iCVV для EMV)
Поэтому я пока буду спать спокойно.
В общих чертах, NFC это всего лишь беспроводной транспорт данных, точно также как контактная площадка чипа. И ничего более. В Америке до некоторых пор были популярны магнитные карты в силу наследия. Популярны и сейчас, но МПС эту ситуацию меняют. Таким образом, есть NFC карты с EMV, и NFC карты с MSR (mag stripe).
Данные MSR статичны. И, судя по всему, это девайс предназначен именно для карт NFC MSR.
Даже если считать какую-то информацию с NFC EMV карты, то в дальнейшем провести операцию по созданному клону будет невозможно, просто в силу спецификаций EMV (можно загуглить про сессионные ключи, сертификаты EMV, SDA/DDA а еще лучше почитать EMV Book 2 (спеки находятся в открытом доступе))
Сейчас единственный известный мне способ сделать фрод чисто по NFC EMV карте — это проксировать сам NFC. По нему есть что-то вроде whitepaper. Но, естественно, это надо еще умудриться создать условия.
Что касается CNP операций, то для них используется CVV2. В трэке для NFC идет CVV3 (по аналогии с iCVV для EMV)
Поэтому я пока буду спать спокойно.
> В Америке до некоторых пор были популярны магнитные карты в силу наследия
До сих пор. Даже новые большие красивые сенсорные терминалы читают только магнитку. В некоторых местах стоят терминалы с чип-ридером и антенной nfc, но они отключены, кассир просит провести карту полосой. За две недели (май сего года) меня просили вставить карту чипом только в Macy's и в одной кофейне.
Считается, что убытки от карточного мошенничества в США меньше, чем будет стоить массовый переход на чип.
До сих пор. Даже новые большие красивые сенсорные терминалы читают только магнитку. В некоторых местах стоят терминалы с чип-ридером и антенной nfc, но они отключены, кассир просит провести карту полосой. За две недели (май сего года) меня просили вставить карту чипом только в Macy's и в одной кофейне.
Считается, что убытки от карточного мошенничества в США меньше, чем будет стоить массовый переход на чип.
Я далек от темы кардинга, но неужели обмен данными между терминалом и картом нельзя шифровать ассиметричным ключом? в этом случае злоумышленник не узнает закрытого ключа и не сможет сделать копию карты. Это не спасет от чувака с настоящим терминалом, который держит его возле твоего кармана, но все же снизит риски.
— Значит, хорошие сапоги, надо брать.
А если использовать бесконтактную технологию платежей со сматрфона? Заранее привязать карты к телефону и не возить с их собой, а оплату осуществлять только с активации и подтверждения программы оплаты. Сделать NFC чип не активным постоянно, например.
Сделать эмулятор фейковой карточки и пусть сканируют. Или управляемый ЭМИ-генератор, который при попытке несанкционированно считать карту выдаёт короткий ЭМИ и просто сжигает входные цепи приёмника.
Где-то не так давно мимо глаз проходила схема ЭМИ-генератора от батарейки на лавинном эффекте(лавинный пробой К-Э перехода транзистора КТ940 например), который давал помехи бытовой аппаратуре за 4 метра от антенны.
Где-то не так давно мимо глаз проходила схема ЭМИ-генератора от батарейки на лавинном эффекте(лавинный пробой К-Э перехода транзистора КТ940 например), который давал помехи бытовой аппаратуре за 4 метра от антенны.
Интересен вопрос легализации украденных таким образом денег.
Допустим мошенник стащил данные карты и для коллекции купил себе на алиэксперссе леденец, который грыз Чак Норрис в третьем классе. Но при этом он или указывает адрес доставки, или получает в пункте выдачи по паспорту. В крайнем случае указывает номер телефона на который ему придет номер заказа. Что мешает поймать такого нехорошего человека?
Еще более непонятна ситуация с воровством безнала с помощью переносного платежного терминала. деньги при этом попадают на счет, который никак не может быть обезличенным.
Единственное, что мне приходит в голову — кражи на небольшие суммы расследуют не в первую очередь, и они могут долго пролежать в столе. Но по мне довольно зыбкая причина не переживать за свою свободу.
Допустим мошенник стащил данные карты и для коллекции купил себе на алиэксперссе леденец, который грыз Чак Норрис в третьем классе. Но при этом он или указывает адрес доставки, или получает в пункте выдачи по паспорту. В крайнем случае указывает номер телефона на который ему придет номер заказа. Что мешает поймать такого нехорошего человека?
Еще более непонятна ситуация с воровством безнала с помощью переносного платежного терминала. деньги при этом попадают на счет, который никак не может быть обезличенным.
Единственное, что мне приходит в голову — кражи на небольшие суммы расследуют не в первую очередь, и они могут долго пролежать в столе. Но по мне довольно зыбкая причина не переживать за свою свободу.
Sign up to leave a comment.
Contactless Infusion X5: девайс, способный удаленно копировать данные 15 банковских карт в секунду