Comments 204
И когда изобретут одноразовые пинкоды через СМС. Заказал пинкод действующий полчаса/час — и совершаешь операции с пластиком.
Давно изобрели. Даже в русских ТКС и БРС (из известных нам) — есть возможность сменить пин-код прямо в реалтайме.
Это не то. Возможность сменить пин-код в реалтайме и когда выдаются только одноразовые пароли это разные вещи. Например большинство интернет логинов (логинов на почтовые сервисы, на сайты финансовых и госучереждений.....) позволяют менять пароль в реалтайме, но только очень малая часть меняет пароли.
Это не то, но это даже лучше.
Хочешь одноразовый — пожалуйста, смени сразу после использования.
Хочешь многоразовый — не меняй.
Хочешь одноразовый — пожалуйста, смени сразу после использования.
Хочешь многоразовый — не меняй.
Одноразовый пинкод — это, двухфакторная аутентификация, получается. С ней тоже могут быть проблемы — запоздала смс на пару минут, и вот ты уже не защищённый покупатель, а чудило задерживающий всю очередь.
Бесконтактная оплата (картой, мобильным телефоном, а для эстетов — и часами :) мне видится более лучшим средством защиты от перехвата ваших данных.
Бесконтактная оплата (картой, мобильным телефоном, а для эстетов — и часами :) мне видится более лучшим средством защиты от перехвата ваших данных.
Что мешает получить пинкод до совершения операции, большие очереди? Увеличим время жизни до 3 часов ;)
Возможно не так поняли - "Заказал пинкод действующий полчаса/час — и совершаешь операции с пластиком." Пинкод заказывается заранее, он не приходит при операции с картой для подтверждения списания денег.
Достаточно просто не хранить основной запас денег на карте, которая используется при оплате через терминалы и оплате в интернете.
Так то вы правы. Но как будто это защищает от кражи.
Количество украденых денег = вероятность угона карты × количество денег на карте. Первый множитель свести к нулю не получится, как бы мы не старались, а второй множитель достаточно легко уменьшить.
UFO just landed and posted this here
Однако есть небольшая проблема — большинство карт кредитные с довольно ощутимым лимитом в минус… не все догадываются лимит уменьшить до нуля.
Вы правы, я об этом не подумал. Действительно ли кредитных карт большинство? Я живу в России, практически все карты, которые я видел и про которые слышал, дебетовые, а при кредитную слышал лишь один раз.
Да море их. Например самый популярный зеленый банк сейчас выдаёт акциями всем подряд кредитки с бесплатным обслуживанием и лимитом 300 000р. Для многих — неподъёмная сумма при краже.
В Москве много у кого кредитные карты — это удобнее чем дебетовые.
Любые проблемы с накладками решает Apple Pay (у самсунга тоже что-то было) — вы не дотрагиваетесь до терминала руками, подтверждение обладания карты происходит на вашем апарате через сканер отпечатка. Даже если будет скимер — он ничего не сможет сделать
Любые проблемы с накладками решает Apple Pay (у самсунга тоже что-то было) — вы не дотрагиваетесь до терминала руками, подтверждение обладания карты происходит на вашем апарате через сканер отпечатка. Даже если будет скимер — он ничего не сможет сделать
Даже с виду не кредитка, а в условиях — акция, 60+1 дней бесплатного кредита… Сейчас же на каждом углу пытаются впарить кредит, чтобы брали и брали побольше. Чтобы оформить себе чистую дебетовую карту надо много раз сказать НЕТ и идти к этому целенаправленно — только дашь слабину и смотришь уже какой-то кредитный лимит на карте появился… акция, понимаешь, бесплатная.
Хуже того, в СМС-ках по операциям приходит баланс с учётом кредитного лимита(всё в одну сумму складывается)… не знаю, специально ли так делают…
Хуже того, в СМС-ках по операциям приходит баланс с учётом кредитного лимита(всё в одну сумму складывается)… не знаю, специально ли так делают…
обратно банк не даст вернуть лимит, если он, например, выше расчетного (менее рискованного для банка)
Это, конечно, поможет минимизировать собственные потери, совет правильный.
Но это, скорее всего, никак не скажется на потерях банков. Даже если будут уводить маленькие суммы денег, но таких транзакций будет много, потери банка будут значительны.
Достаточно просто не хранить основной запас денег на карте, которая используется при оплате через терминалы и оплате в интернете.Недостаточно.
Оффлайн операции на ура проходят (при них баланс не проверяется), при чем они могут пройти даже на банкомате при снятии наличных (а не только при оплате). Будет так называемый технический овердрафт, который мало того что надо будет погасить, так еще и штраф с процентами прилетит.
Одноразовые пин-коды, действующие полчаса/час. Как-то не стыкуется.
В каком смысле? хотя ниже предложили интересный вариант, но параноик не позволяет ставить банковские приложения на смартофон.
Заходите в магазин, через сотовый/смартофон — приложение или sms запрашиваете pin код. Через sms или приложение приходит список кодов. Этот код действует в течении определенного времени и он одноразовый. Не надо запрашивать код стоя перед терминалом, можно заказать заранее.
Если злоумышленник получит данные карты и видеонаблюдением, накладкой или другим способом узнает пин код, то использовать его не сможет.
В чем преимущество списка одноразовых кодов, ограниченных по времени, перед одним одноразовым кодом на одну операцию, без ограничения по времени?
Вообще, раньше в некоторых банках были карты одноразовых кодов со стираемой полосой, и это было очень удобно, правда, применялись они только для доступа в интернет-банкинг, даже в 3D Secure не использовались. Сейчас они, вроде бы, остались только в одном банке, а все другие заставляют пользоваться либо СМС-кодами, что мне совсем неудобно, либо покупать TOTP-токен в виде устройства, за дополнительные деньги.
Вообще, раньше в некоторых банках были карты одноразовых кодов со стираемой полосой, и это было очень удобно, правда, применялись они только для доступа в интернет-банкинг, даже в 3D Secure не использовались. Сейчас они, вроде бы, остались только в одном банке, а все другие заставляют пользоваться либо СМС-кодами, что мне совсем неудобно, либо покупать TOTP-токен в виде устройства, за дополнительные деньги.
В чем преимущество списка одноразовых кодов, ограниченных по времени, перед одним одноразовым кодом на одну операцию, без ограничения по времени?
В том что без ограничения по времени забываются… а так мало различий… но они есть.
У меня при операциях в терминалах и банкоматах для карт двух крупных банков только pin код или авторизация через подпись.
И нету одноразовых кодов для авторизации.
раньше в некоторых банках были карты одноразовых кодов со стираемой полосой, и это было очень удобно
В ВТБ24 образца года эдак 2010 эти одноразовые коды можно было получить в ограниченном количестве отделений, причем только в том регионе, где Вы зарегистрированы. Ну и разумеется, больше 2 карточек не давали. На карточке было 120+ кодов, которые улетали за пару-тройку месяцев. В общем, это было дичайше неудобно, когда появились смски, стало ощутимо проще.
Можно что-то типа Google Auth использовать. Вставил карту в банкомат, посмот рел гугл аус, ввел сгенеренный пин.
ага… я так оказался в Варшаве с симкой оператора большой тройки которая решила что суммы в 500р не достаточно для включения роуминга и отказалась регистрироваться в сети… пополните счёт… введите код из СМС… ага который мы вам отправили на отключенную симку..«а чо? у всех есть телефоны»
Включается по желанию клиента.
Эту проблема создал оператор, т.к. сегодня в России получал сообщения из банка на заблокированную за неуплату симку.
Что включается? у меня симка говорила «Нет сети»… и «волшебным образом» ожила при пересечении границы в Бресте
Включается эта нереализованная опция.
т.е. я должен по отключенному телефону позвонить оператору и попросить включить мне телефон.
P.S. Допустим я совсем олень, у меня один телефон, нет в шаговой доступности интернета и я не помню наизусть полный номер техподдержки чтобы позвонить оператору
P.S.S. всё естественно происходит заграницей в роуминге
P.S. Допустим я совсем олень, у меня один телефон, нет в шаговой доступности интернета и я не помню наизусть полный номер техподдержки чтобы позвонить оператору
P.S.S. всё естественно происходит заграницей в роуминге
А что мешает позвонить с другого телефона, или отправить смс — кинь денег друг на мой телефон.
А то вдруг еще телефон украли, симкарту нужно заменить и т.д. и т.п для усложнения
Вам не кажется что это уже попытки решить системную проблему костылями?
Так можно договорится до того что «Надо пользоваться наличкой, карты не нужны»
Приведу пример попроще, иногда у некоторых банков из топ10, СМСки приходят с задержкой в 30-60 минут.
проблема в том что СМС имеют очень большой архитектурный минус с механизмом доставки у которого нет механизмов гарантированных сроков передачи сообщения. я сталкивался несколько раз с тем что не мог оплатить чтото тупо потому что СМС приходила ровно через буквально 5 минут после того как заканчивался тамаут ожидания ввода кода подтверждения.
Так можно договорится до того что «Надо пользоваться наличкой, карты не нужны»
Приведу пример попроще, иногда у некоторых банков из топ10, СМСки приходят с задержкой в 30-60 минут.
проблема в том что СМС имеют очень большой архитектурный минус с механизмом доставки у которого нет механизмов гарантированных сроков передачи сообщения. я сталкивался несколько раз с тем что не мог оплатить чтото тупо потому что СМС приходила ровно через буквально 5 минут после того как заканчивался тамаут ожидания ввода кода подтверждения.
я сталкивался несколько раз с тем что не мог оплатить чтото тупо потому что СМС приходила ровно через буквально 5 минут после того как заканчивался тамаут ожидания ввода кода подтверждения.
Часто сталкиваюсь, и ничего не поделаешь — приходится откладывать платёж до того времени, пока система не заработает.
Дайте другое решение проблемы борьбы считывания данных карты и ее пинкода при операциях в банкоматах и терминалах
Электронный генератор кодов. Небольшой девайс, который генерит код на текущую операцию. В некоторых банках российских такие были (в райфайзене вроде и еще где-то). Там правда не пин-коды генерились, а коды для ИБ, но это не принципиальная разница.
А если он потерян, или украден, или забыт в номере отеля… Понятно что к большей части можно придраться.
Тут приводили примеры с генератором на карте — когда физическая карта "сделает ноги" при краже кошелька этот генератор никак не усложнит угон средств.
иногда для усиления надёжности двухфакторки делают дополнительный код который добавляется к сгенерированному токеном при вводе
Этот дополнительный код постоянен?
там где я это видел — да
Это как пин, который надо помнить. фактически защита от кражи токена
Это как пин, который надо помнить. фактически защита от кражи токена
Это как пин, который надо помнить. фактически защита от кражи токена
Кроме случаев подсмотреть (в том числе видеосъемкой) пин при операции и сделать карте ноги.
Эти усложнения спасают только если злоумышленник не имеет физического контакта с картой.
А разговор с самого начала был как усложнить если злоумышленник может подсмотреть пин при операции в терминале в торговой точке или в банкомате.
UFO just landed and posted this here
Ну есть и другой вариант. Не очень и хороший. Одновременно могут работать два пинкода — один постоянный, другой временный, запрошенный для совершения операции. И человек сам решает что вводить.
В моем банке есть платежи blik, позволяют пользоваться банкоматом без карты, с помощью интенет-банкинга и одноразовых кодов.
Лучше б изобрели клавиатуру для ввода пинкода непосредственно на карте.
apple pay / samsung pay? :)
Магнитная полоса еще в ходу? Дикари-с!
Микрухи тоже подделывали. Точнее отклик от них.
можно подробнее. Банковские карты не слышал чтоб подделывали. Даже SIM карты сейчас не клонируют.
Не подскажешь — как подделать отклик от «микрухи» макированный 3DES ключом сгенерированным на сессию выведенный на ключе, который никогда не покидает «микруху» (читай не может быть скопирован).
Думаю вот так. https://habrahabr.ru/company/panda/blog/270231/ И это только начало подделок.
Ну там всё это для SDA карты (карт со статической аутентификацией). Карты с DDA(динамической) такому не подвержены.
И для них придумают варианты. На каждые двери придумывают свой лом.
в указанном выше случае, если не ошибаюсь применяется off-line PIN. т.е. от банка информации нет, а банкомат/терминал проверят только отклик от чипа правильно/неправильно.
в указанном выше случае, если не ошибаюсь применяется off-line PIN. т.е. от банка информации нет, а банкомат/терминал проверят только отклик от чипа правильно/неправильно.
В банкомате исключительно онлайн пин. Все современные карты поддерживают определенные криптографические протоколы. Безопасность этих протоколов обеспечивает безопасность данных и операций. Когда взломают 3DES, RSA тогда и можно будет говорить о потенциальных уязвимостях. Ну или другой способ — получить секреты карты путём анализа данных на ней, но в к эти данным возможен исключительно физический доступ, затрудненный опять же сложной защитой. Пока оборудование и усилие для клонирования одной карты значительно превышает возможный профит и не поддаётся масштабирования (т.е. лаборатория).
В банкомате исключительно онлайн пинВ чипованной карте есть и оффлайн-пин. Онлайн-пин только в магнитных картах.
1. Оффлайн пин в чиповых картах есть, но не во всех — зависит от карты.
2. В банкоматах используется только онлайн пин. Никакие оффлайновые способы аутентификации не используются. Это онлайн-онли девайс.
3. Проверочное значение пин-кода когда-то хранилось и на магнитной полосе, что позволяло проверить пин в оффлайне. Сейчас это не используется.
2. В банкоматах используется только онлайн пин. Никакие оффлайновые способы аутентификации не используются. Это онлайн-онли девайс.
3. Проверочное значение пин-кода когда-то хранилось и на магнитной полосе, что позволяло проверить пин в оффлайне. Сейчас это не используется.
2) Не только. а) можно нагуглить про оффлайн пин в банкоматах, он таки и в банкоматах бывает. б) сами лично сталкивались умудрившись снять больше имеющегося, что при онлайн невозможно
Ты несешь бред. Банкомат онлайн-онли девайс. Команда снятия наличных приходит с сервера. Расценивай это как тонкий клиент. Я работаю в этой индустрии более 10 лет. Поверь.
А вот не скажите, бывают схемы работы, когда сумма остатка хранится на самой карте и решение о выдаче принимается без центра авторизации с проверкой пина в offline. Хотя в современных реалиях с повсеместным интернетом — это конечно экзотика.
В банкоматах — нет. Они не имеют механизмов принятия решений.
Единственным источник каких-либо действий связанных с обслуживанием пользователя будь то подтверждение принятия наличных, выдача наличных или печать баланса, является Transaction reply содержащий код операции(печать, печать и выдача карты, выдача наличных печать и выдача карты, выдача наличных и печать — всего около 10 вариантов) и атрибуты транзакции(количество купюр и номера кассет, чековые данные, содержание экрана для показа пользователю и т.п.).
В принципе, в большинстве случаев, банкомат даже не знает сумму которую он выдаёт — ему поступает(в одном из полей), к примеру, строка 00010200 что означает выдать 1 купюру из второй кассеты и 2 купюры из третьей. Что в этих кассетах, даже если содержимое случайно перепутано, ему по-барабану(помните ситуации когда запрашивали 500 рублей а получали 5000). Единственное что может сделать банкомат самостоятельно — это зарубить невалидную карту на входе.
В пос-терминалах, однако, такая возможность существует:
В стандарте EMV есть понятие offline transaction.
Если терминал(online with offline capability) + карта поддерживают проведение платежей в оффлайн + сумма последовательных оффлайн транзакций не превышает определенного лимита + количество последовательных оффлайн транзакций не превышает лимита + некоторые параметры валюты могут быть и прочие мелочи(всё это решает карта у себя внутри) то такая операция возможна.
Дальше: если терминал аутентифицировал карту процедурами DDA/CDA (SDA уже не поддерживается почти нигде) и карта аутентифицировала картходера то операция вполне может быть проведена оффлайн.
Как это происходит(грубо):
Терминал собирает данные и шлёт на карту данные о транзакции и пожелание завершить транзакцию в оффлайн. Карта отвечает либо апрувом, либо деклайном либо пожеланием завершить транзакцию онлайн. Вместе с этим ответом как правило идут данные аутентифицирующие карту.
Лет 10 назад на Волге на прогулочных параходиках можно было встретить оффлайн терминалы — там это был единственный вариант ввиду отсутствия связи. Сейчас где не знаю. В самолетах 100% бывают, но там до сих пор много где магнитная полоса (наверное потому что там клиента точно можно идентифицировать по билету).
Единственным источник каких-либо действий связанных с обслуживанием пользователя будь то подтверждение принятия наличных, выдача наличных или печать баланса, является Transaction reply содержащий код операции(печать, печать и выдача карты, выдача наличных печать и выдача карты, выдача наличных и печать — всего около 10 вариантов) и атрибуты транзакции(количество купюр и номера кассет, чековые данные, содержание экрана для показа пользователю и т.п.).
В принципе, в большинстве случаев, банкомат даже не знает сумму которую он выдаёт — ему поступает(в одном из полей), к примеру, строка 00010200 что означает выдать 1 купюру из второй кассеты и 2 купюры из третьей. Что в этих кассетах, даже если содержимое случайно перепутано, ему по-барабану(помните ситуации когда запрашивали 500 рублей а получали 5000). Единственное что может сделать банкомат самостоятельно — это зарубить невалидную карту на входе.
В пос-терминалах, однако, такая возможность существует:
В стандарте EMV есть понятие offline transaction.
Если терминал(online with offline capability) + карта поддерживают проведение платежей в оффлайн + сумма последовательных оффлайн транзакций не превышает определенного лимита + количество последовательных оффлайн транзакций не превышает лимита + некоторые параметры валюты могут быть и прочие мелочи(всё это решает карта у себя внутри) то такая операция возможна.
Дальше: если терминал аутентифицировал карту процедурами DDA/CDA (SDA уже не поддерживается почти нигде) и карта аутентифицировала картходера то операция вполне может быть проведена оффлайн.
Как это происходит(грубо):
Терминал собирает данные и шлёт на карту данные о транзакции и пожелание завершить транзакцию в оффлайн. Карта отвечает либо апрувом, либо деклайном либо пожеланием завершить транзакцию онлайн. Вместе с этим ответом как правило идут данные аутентифицирующие карту.
Лет 10 назад на Волге на прогулочных параходиках можно было встретить оффлайн терминалы — там это был единственный вариант ввиду отсутствия связи. Сейчас где не знаю. В самолетах 100% бывают, но там до сих пор много где магнитная полоса (наверное потому что там клиента точно можно идентифицировать по билету).
Вы хорошо описали работу банкомата по стандартным протоколам и это его типовое использование, но не будем забывать, что внутри банкомата обычная писишка для которой можно написать собственную программу управления. Уверяю вас, что расширение функционала стандартного ПО отнюдь не редкость и в стандартном ПО предусмотрены специальные хуки для такого расширения.
Эта «нередкость» возможно и встречается в 0.0001% случаев, но я лично не знаком с подобным.
Работал с Tellme, Kalignate, Agilis, Procash, Aptra т.е. 99% того что есть на рынке. Разумеется всё вышеперечисленное можно кастомизировать, причём достаточно сильно, но всё таки делать поддержку оффлайн снятия наличных никто никогда не станет. Обычно добавляют работу в новыми типами устройств, веб-экзиты, поддержку новых протоколов, но не опасный и бесполезный функционал.
Если Вы имеете какие-то конкретные контр примеры, я бы попросил привести их тут.
Работал с Tellme, Kalignate, Agilis, Procash, Aptra т.е. 99% того что есть на рынке. Разумеется всё вышеперечисленное можно кастомизировать, причём достаточно сильно, но всё таки делать поддержку оффлайн снятия наличных никто никогда не станет. Обычно добавляют работу в новыми типами устройств, веб-экзиты, поддержку новых протоколов, но не опасный и бесполезный функционал.
Если Вы имеете какие-то конкретные контр примеры, я бы попросил привести их тут.
Золотая корона
Что золотая корона? Это платежная система, порядком забытая. Примеры банков, на банкоматах которых стоит ПО позволяющее снимать деньги в оффлайн приведите.
Я работаю в этой индустрии более 10 лет. Поверь.Я работаю в этой индустрии более 20 лет все более и более отчетливо понимаю сколько же я не знаю.
Примеры банков, на банкоматах которых стоит ПО позволяющее снимать деньги в оффлайн приведите.В Росcии? В мире? Не знаю. Технически — это возможно сделать и было сделано.
Где это было сделано? Приведите пример. Иначе этого не было. Я тоже могу сейчас написать банкоматное ПО которое выдаёт деньги сразу после того как карта была вставлена, и скажу что это было сделано. Но это не значит что это когда-либо где-то применялось. Ещё раз: 99.9% банкоматов — онлайн онли девайсы.
Ещё раз: 99.9% банкоматов — онлайн онли девайсы.
В мире или в РФ?
Так как раз карты «Золотая корона» — чистый кошелек — лимит на самой карте. Терминалу нужно фактически выходить на связь только в случае переводов со банковского счета на кошелек на карте. В банке сумма на счете уменьшается на карте сумма на кошельке увеличивается. На банкомат ставилось спец ПО (что конечно сужало парк используемых банкоматов), мало того на ней и полосы не было — это к теме топика кстати. Как эта карта сейчас себя чувствует — не знаю. Понятно, что карта специфическая так, что путь развития пошел по пути кобренда с VISA и UnionPay кажется. И это не единственный из известных мне кошельковых проектов, правда единственный из известных и взлетевших.
Что бы не было недопонимания: конечно банкомат работает с сетью тут и мониторинг и передача финансового статуса, но решение об авторизации может принимать и карта.
Это совсем другое. Это доступ к оффлайн кошельку — к некой сущности специально созданной для доступа оффлайн.
И я упомянул об этом выше в одном из сообщений:
Так то на emv-карте может быть много чего интересного — например приложение генератор одноразовых кодов для CPA операций, программы лояльности и многое многое другое.
Я говорю про обычное EMV CPA/ADVT/MCHIP приложение или магнитную полосу (Треки 1 и 2) — то с чем работают все банкоматы мира вне зависимости от приложения.
И я упомянул об этом выше в одном из сообщений:
Эта «нередкость» возможно и встречается в 0.0001%.
Так то на emv-карте может быть много чего интересного — например приложение генератор одноразовых кодов для CPA операций, программы лояльности и многое многое другое.
Я говорю про обычное EMV CPA/ADVT/MCHIP приложение или магнитную полосу (Треки 1 и 2) — то с чем работают все банкоматы мира вне зависимости от приложения.
тут важно понимать что реалии пластиковых карт в РФ и в других странах мира несколько отличаются.
Ты несешь бред.Хотелось Вам подробно объяснить как и почему это работает, но после подобного Вашего вступления желание пропало. Учитесь разговаривать с людьми.
Гугл и форум банки.ру поможет Вам найти информацию если Ваша агрессия обусловлена незнанием, а не желанием потроллить и ЧСВ.
умудрившись снять больше имеющегося
Скорее всего, технический овердрафт за счет комиссий при использовании «чужого» банкомата — т.е. не «сняли больше имеющегося», а «счет в минус ушел»
В банкоматах используется только онлайн пин… Это онлайн-онли девайс
Ворованными картами/данными могут воспользоваться не только на родине, но и в каких-то малоразвитых странах, где онлайн — редкость.
- Карты используют не только в банкоматах, но и в магазинах.
Первый момент это то, что даже карты имеющие чип — имеют магнитную полосу. Без нее чипованная карта в большинстве банкоматов не сработает. Так что в ходу, везде и еще долго будет.
Второй момент это законодательство. В россии даже CNP операции оспорить довольно затруднительно, «там» деньги без проблем возвратят даже если сняли по пину. Тут вопрос интересный что цивилизованнее — 100%-ная страховка от мошенничества с картами и слабая защита или же 0%-ная страховка и сильная защита.
Второй момент это законодательство. В россии даже CNP операции оспорить довольно затруднительно, «там» деньги без проблем возвратят даже если сняли по пину. Тут вопрос интересный что цивилизованнее — 100%-ная страховка от мошенничества с картами и слабая защита или же 0%-ная страховка и сильная защита.
«что даже карты имеющие чип — имеют магнитную полосу.»
На полосе открытая информация и метка, что нужно использовать чип.
на сколько знаю, чипованные карты еще не подделывают. т. е. скимеры безсильны.
На полосе открытая информация и метка, что нужно использовать чип.
на сколько знаю, чипованные карты еще не подделывают. т. е. скимеры безсильны.
На полосе открытая информацияТа же что и на нечипованной карте. ФИО владельца, номер и срок действия карты, немного «мусора», это считывается с полосы. Плюс пин-код считывается с пин-пада.
чипованные карты еще не подделывают. т. е. скимеры безсильны.Чипы не подделывают. Но это и не надо.
Для отскимменой чипованной карты на основе данных ее магнитной полосы делается клон без чипа, а потом с использованием пин-кода снятого с пин-пада с карты снимаются деньги.
По большому счету когда Вы платите в магазине картой, если кто-то подсмотрел фио/дату выпуска/номер карты (или заснял одной из хд камер) и сумел увидеть ввод пин-кода (или заснял одной из хд камер, благо пин-пады в магазинах тоже не особо прячут) этого уже достаточно для изготовления клона с магнитной полосой. Даже скиммировать электронно ничего не надо.
«Для отскимменой чипованной карты на основе данных ее магнитной полосы делается клон без чипа»
И толку? если на полосе только данные без возможности сделать транзакцию.
У меня ни разу не дало провести платеж без чипа. Есть старые банкоматы, они не принимают чипованные карты, хотя полоса как бы есть.
И толку? если на полосе только данные без возможности сделать транзакцию.
У меня ни разу не дало провести платеж без чипа. Есть старые банкоматы, они не принимают чипованные карты, хотя полоса как бы есть.
А у меня вот давало, Visa Сбербанка. Я немного офигел когда увидел что оплата по полосе сработала. Так как точно помню что много лет назад когда я получил первую их карту, почти все продавцы сперва пробовали оплату по полосе и потом только вставляли чипом когда не срабатывало. И я думал что уже с тех времен магнитная полоса только для красоты. Ан нет. До сих пор кое-где работает.
Магнитная полоса всегда содержит данные карты, более того, если их там не окажется, то по стандарту и чип не должен приниматься.
Принимать или не принимать магнитную полосу вообще, принимать или не принимать магнитную полосу в случае наличия чипа — это зависит от настроек банкомата и настроек банка (если операция онлайн).
Принимать или не принимать магнитную полосу вообще, принимать или не принимать магнитную полосу в случае наличия чипа — это зависит от настроек банкомата и настроек банка (если операция онлайн).
К сожалению сейчас не найду, но где-то на geektimes была статья о том как договариваются карта и пос-тернимал о том что они будут использовать: полоса или чип, без авторизации/подпись/пин-код,… если кратко, то у карты и пос-терминала имеются приоритеты используемых режимов, и они их сопоставляют, выбирая оптимальный.
Краткая https://geektimes.ru/post/240644/ 24 октября 2014 — "Когда запрашивается PIN-код при оплате?"
Про "CVM-лист (CVM – Cardholder Verification Method)" https://habrahabr.ru/post/244107/ 25 ноября 2014 — "PIN-код при оплате картой — точки над i" — "во время транзакции два CVM-листа (карты и терминала) сравниваются. Срабатывают только те методы проверки, которые совпадают в обоих листах"
Подробная https://habrahabr.ru/post/281438/ 12 апреля 2016 "Платежная EMV-карта. Механизмы обеспечения безопасности платежа" — "5. Безопасность EMV-транзакции"
UFO just landed and posted this here
И толку? если на полосе только данные без возможности сделать транзакцию.На полосе всегда только данные, транзакцию проводит банкомат, а не полоса.
У меня ни разу не дало провести платеж без чипа.Потому что как Вы верно подметили у Вас на чипованной карте стоит «метка, что нужно использовать чип». Банкомат видит эту метку и требует вставить карту чипом.
Кардеры эту метку на карту не наносят, поэтому у них чип банкомат не требует.
Но банк-то знает, что карта выпущена с чипом, и по идее должен заблокировать такую транзакцию, нет? По крайней мере если транзакция осуществляется онлайн?
А если терминал не умеет работать с чипами?
Зависит от «настроек» банка и терминала оплаты, для чипованных карт обычно, но не всегда, приоритет такой — чип, магнитная полоса с пин-кодом, магнитная полоса без пин-кода. И да, вы действительно во многих местах можете отказаться вводить код, для этого на терминале бывает специальная кнопочка. В этом случае придётся «по старинке» подписать чек, ну и в случае проблем с платежом будет сложнее его оспорить в банке.
И банк в запросе транзакции получает трек2, отличающийся от оригинального. В этом случае транзакция тоже не пройдет. Трек2 копируют полностью, на карту без чипа или с испорченным чипом. В этом случае алгоритм
трек2->чип->fallback на магнитку по причине нерабочего чипа. Подозрений ноль.
трек2->чип->fallback на магнитку по причине нерабочего чипа. Подозрений ноль.
У меня на одной карте сдох чип и терминалы спокойно принимают «полоску».
На другой карте есть рабочий чип, но некоторые магазины имеют настройки, что принимают только «полоску» (хотя, само железо умеет читать чип). Продавцы говорят, что типа «не настроено ещё».
На другой карте есть рабочий чип, но некоторые магазины имеют настройки, что принимают только «полоску» (хотя, само железо умеет читать чип). Продавцы говорят, что типа «не настроено ещё».
Только как снять магнитную полосу, если она при вставке в терминал на до конца входит, а часто даже едва ли наполовину?
В связи с этим вопрос, почему блин эту инфу не прятать под сдвижной крышкой? Терминалу ваши ФИО и данные карты визуально не нужны, все же с чипа да магнитной полосы? Так зачем это палится открыто во все стороны?
оператор должен иметь возможность убедится в подлинности карты, в т.ч. по надписям и кодам. (один из пунктов контроля — соответствие номера карты типу платёжной системы)
Хотя конечно когда сейчас стали массово отдавать терминал на откуп покупателю это не так актуально… но очень интересно как влияет на распространённость фродовых карт
Хотя конечно когда сейчас стали массово отдавать терминал на откуп покупателю это не так актуально… но очень интересно как влияет на распространённость фродовых карт
UFO just landed and posted this here
1. SDA-карты подделывают, но их уже не используют.
2. Если есть магнитная полоса и пин то можно испортив чип, провести транзакцию в режиме fall-back на тех устройствах где это разрешено. Ридер читает трек2, по сервис-коду определяет что карта имеет чип, контачит чип и в случае если чип не рабочий, fall-back не запрещен — переходит снова на магнитную полосу.
2. Если есть магнитная полоса и пин то можно испортив чип, провести транзакцию в режиме fall-back на тех устройствах где это разрешено. Ридер читает трек2, по сервис-коду определяет что карта имеет чип, контачит чип и в случае если чип не рабочий, fall-back не запрещен — переходит снова на магнитную полосу.
UFO just landed and posted this here
Я слышал совершенно противоположное, что сбербанк и прочие топ10 банков мгновенно отзывают перевод по требованию, рассказывали о мошенничестве на авито.
UFO just landed and posted this here
Это теория.
На практике соблюдение клиентом требований этого закона для получения компенсации проблематично (это не просто «пожаловался и вернули»).
Банки тоже крайне редко по нему что-то возвращают, отправляя в суд, где опять же не всегда клиент выигрывает (снятие по пину например практически проигрышное дело, т.к. «клиент обязан добросовестно себя вести и хранить тайну пина»).
На практике соблюдение клиентом требований этого закона для получения компенсации проблематично (это не просто «пожаловался и вернули»).
Банки тоже крайне редко по нему что-то возвращают, отправляя в суд, где опять же не всегда клиент выигрывает (снятие по пину например практически проигрышное дело, т.к. «клиент обязан добросовестно себя вести и хранить тайну пина»).
А насколько эта магнитная полоса устойчива к внешним воздействиям? И насколько это критично для работы карты? Просто у меня на основной карточке эта полоска стёрта до дыр, но это нисколько не мешает пользоваться банкоматами. А в терминалах карта сразу вставляется чипом.
Мне кажется все эти накладки с инженерной точки зрения относительно легко выявлять, но по какой-то причине банки не тратятся на это.
На терминале в нескольких местах расставить датчики приближения, при одновременном срабатывании двух и более датчиков включать сигнализацию и/или блокировать терминал до ввода пин-кода продавца/оператора.
А если человек прикрывает терминал руками, чтобы не смотрели пинкод? Всё, незя?
Насмотрелся про ТРИЗ, попробую сымитировать: лучшая защита та, которой нет (в идеале — лучший терминал тот, которого нет).
Так вот, чтобы защита работала — надо сделать терминал полностью прозрачным. Каждый слой такого терминала будет виден и сразу заметны лишние детали.
Не согласен. Ну будет видно проводочки в терминале, а как понять — лишние ли они, если по цвету даже похожи? А еще у таких терминалов есть датчики вскрытия, насколько мне известно, и если они будут прозрачными, то вскрывать будет легче.
Тогда нужно. чтобы все терминалы были прозрачными, иначе неспециалист не поймёт должен именно этот быть таким или нет. Ну и временная это мера, опять же. Клавиатуру можно читать миниатюрной камерой или считывать инфракрасный тепловой след на кнопках, а данные с полосы со временем научатся читать с помощью наклейки размером с почтовую марку на внутренней стороне штатной щели.
ТРИЗ же уже подключили, и комплексное решение, в общем-то, есть. Это упрощенный отзыв транзакции банком, камера на банкомате, двухфакторная авторизация. Из сего этого самое главное — это отмена транзакций. Безопасность таких вещей должна быть проблемой банка, а не пользователя. Нельзя требовать от простого человека, извиняюсь, жопой чуять аутентичность сорта пластика и пропорции щели терминала.
ТРИЗ же уже подключили, и комплексное решение, в общем-то, есть. Это упрощенный отзыв транзакции банком, камера на банкомате, двухфакторная авторизация. Из сего этого самое главное — это отмена транзакций. Безопасность таких вещей должна быть проблемой банка, а не пользователя. Нельзя требовать от простого человека, извиняюсь, жопой чуять аутентичность сорта пластика и пропорции щели терминала.
электросчетчики сейчас вовсю делают прозрачными, чтоб визуально было заметно вмешательство без рапломбировки/вскрытия
А нельзя ли вообще сделать накладки бессмысленными? Например, сканеры отпечатков пальцев сейчас дешевы, встроить их в клавиатуру — если система распознает отпечатки (каждый раз отличные от других) — значит кнопок касается человек и можно проводить транзакцию. Правда, будут проблемы с перчатками. Ну или простой емкостный датчик на кнопках — накладка его заблокирует. Ну или еще можно что-то придумать.
Отпечатки все же дорого и сильно усложняют конструкцию, плюс кнопки надо будет держать в относительной чистоте. Ёмкостные датчики можно обмануть, если на обратную сторону кнопок накладки нанести материал, на который сработают датчики (как на перчатках, которые годятся для использования со смартфонами).
Банкам пока дешевле принимать эти риски, чем костылить. А со временем *смартфон*-пэи и отпечатки вместо пинов (в смартах и терминалах) решат эту проблему.
Банкам пока дешевле принимать эти риски, чем костылить. А со временем *смартфон*-пэи и отпечатки вместо пинов (в смартах и терминалах) решат эту проблему.
3D-принтеры, способные подделать отпечаток пальца, сейчас тоже дешевы. А с учетом поголовной дактилоскопии и полнейшей незаинтересованностью спецслужб в безопасности баз данных с собранными отпечатками, ибо ответственности за утечку никакой, этот метод аутентификации надо признать безнадежно устаревшим.
Можно.
Но пин-код, если что, сбросить можно. А скомпрометированные отпечатки уже не переделаешь.
Но пин-код, если что, сбросить можно. А скомпрометированные отпечатки уже не переделаешь.
Сканеры-то дешевые, заменить ВСЕ уже имеющиеся по всему миру терминалы и банкоматы — вот что крайне дорого, особенно с учетом того что в каждой стране свои законы и все такое. Значит, нужна обратная совместимость, значит накладки будут работать.
UFO just landed and posted this here
А ведь есть очевидное решение проблемы. Каждый клиент должен носить собственный терминал, который по защищённому от MITM протоколу подключается к банкомату и имеет собственную клавиатуру для ввода пинкода. В принципе, можно усложнить банковские карты, добавив эти функции в них напрямую.
Вы только что описали Samsung-pay, apple-pay и подобные :)
Так банковская карта по сути и так уже мини-компьютер, который наружу выдает шифрованные данные и цифровую подпись. Ключи при этом есть у карты и банка изначально, перехватить их не получится. Все что должен сделать терминал — это упаковать данные в нужный формат и отправить в процессинговый центр. Даже ПИН проверяется самой картой в оффлайне (ну это один из возможных вариантов, но наиболее предпочтительный и распространенный).
Поэтому транзакции по чипу не подделать — злоумышленник не сможет вычислить правильную подпись.
Осталось только избавиться от пережитков вроде магнитной полосы, которые все никак не умрут.
Поэтому транзакции по чипу не подделать — злоумышленник не сможет вычислить правильную подпись.
Осталось только избавиться от пережитков вроде магнитной полосы, которые все никак не умрут.
Сейчас карты научились генерировать одноразовые коды для интернет-покупок сами, интересно, а почему не делать одноразовые пины также?
Visa Platinum
Сейчас в терминалы устанавливают качественные матрицы, но софт остаётся старым. Нужно просто показывать рекламное видео самого терминала. Не гипотетического, а именно той самой марки.
Когда человек видит терминал в ролике и в реале, накладка (если таковая имеется) — видна сразу.
Когда человек видит терминал в ролике и в реале, накладка (если таковая имеется) — видна сразу.
У меня есть две карты двух банков, у которых в мобильном приложении есть функция защиты. По умолчанию карта заблокирована. Если нужно снять или оплатить, я должен в приложении указать максимальную сумму, кол-во транзакций и временное окно. Однако возникают сложности с автоплатежами, но для этого у меня другая карта.
Очень круто. А если не секрет, что за банки такие продвинутые?
это круто, вот только вчера меня подвела более простая защита — изменение месячного лимита в личном кабинете, на самом деле не происходило, и я не смог оплатить покупку. Банк сказал что проблема повсместная, и ее решают
И получаем стандартный дедлок. Карта не работает, потому что нет связи, а нет связи, потому что нельзя оплатить. Особенно актуально при поездках за границу.
Большинство и не выезжает.
ошибся
Я думаю это лучше, чем «деньги мошенники сняли, в банк позвонить не можем, потому что денег оплатить нет». А вообще при должном планировании ни разу не возникало проблем. В наличности всегда какая то необходимая сумма. Пару раз телефон садился и я просто открывал окно на 2-3 транзакции на пару сотен долларов на несколько часов.
«нет связи» это по моему мнению не аргумент, сейчас гораздо сложнее найти банкомат, чем бесплатный wifi.
«нет связи» это по моему мнению не аргумент, сейчас гораздо сложнее найти банкомат, чем бесплатный wifi.
Эксперты, которые обследовали такие скиммеры, утверждают, что многие компоненты берутся из телефонов Samsung.
Пришла мысль: если торренты запрещают на том основании, что через них могут скачать якобы «пиратский» контент, то здесь прямо напрашивается рекомендация госорганам запретить технику Самсунг, чтобы злоумышленники не могли делать скиммеры.
Шутка, конечно, но оцените идентичность логики!
1. Банкомат считывает маркер на конце полосы и открывает карт ридер (именно по этому нельзя вставить карту другой стороной) — это поведение по умолчанию, но может быть изменено настройками ПО банкомата
2. Терминал считывает полосу на которой записан сервисный код и если он указывает, что карты чиповая: банкомат — заталкивает карты дальше в чип ридер, терминал — выводит на экран «воспользуетесь чип ридером»
3. Чип инициализируется и читается номер карты, номер карты прочитанный с чипа вовсе не обязан совпадать с номер карты на полосе хотя бы потому что карта может изображать несколько карт с разными номерами (несколько платежных приложений) мало того витали идеи вообще отказаться от записи настоящего номера карту на полосу, а забивать его нулями
Все это поведение регулируется правилами платежных систем и естественно может быть изменено сообразно им.
Перейти полностью на чип можно:
4. Перестав использовать карты без чипа — и тут смешно то что % карт с полосой велик именно в США, где и издаются/меняются правила основных ПС — VISA, MCI
5. Перестав использовать полосу в терминалах, что очевидно можно сделать только как все терминалы будут работать с чиповыми картами и после того как все карты станут чиповыми
Итого — проблема в огромной инерции системы.
Это же надо принимать волевое решение по разворачиванию этой махины в нужном направлении, как было сделано, например, во Франции — где все терминалы уже несколько лет принимают только чиповые карты.
Но видимо той же VISA и MCI куда интереснее проталкивать другие модные идеи на которых можно поднять деньжат.
У нас, кстати, заставить всех использовать чип — вполне возможно, опыт есть, вспомнить те же кассовые аппараты. Найдутся люди кому это выгодно и все вперед под козырек. :)
Шаги в этом направлении уже делаются — в ПС МИР — все карты только чиповые.
2. Терминал считывает полосу на которой записан сервисный код и если он указывает, что карты чиповая: банкомат — заталкивает карты дальше в чип ридер, терминал — выводит на экран «воспользуетесь чип ридером»
3. Чип инициализируется и читается номер карты, номер карты прочитанный с чипа вовсе не обязан совпадать с номер карты на полосе хотя бы потому что карта может изображать несколько карт с разными номерами (несколько платежных приложений) мало того витали идеи вообще отказаться от записи настоящего номера карту на полосу, а забивать его нулями
Все это поведение регулируется правилами платежных систем и естественно может быть изменено сообразно им.
Перейти полностью на чип можно:
4. Перестав использовать карты без чипа — и тут смешно то что % карт с полосой велик именно в США, где и издаются/меняются правила основных ПС — VISA, MCI
5. Перестав использовать полосу в терминалах, что очевидно можно сделать только как все терминалы будут работать с чиповыми картами и после того как все карты станут чиповыми
Итого — проблема в огромной инерции системы.
Это же надо принимать волевое решение по разворачиванию этой махины в нужном направлении, как было сделано, например, во Франции — где все терминалы уже несколько лет принимают только чиповые карты.
Но видимо той же VISA и MCI куда интереснее проталкивать другие модные идеи на которых можно поднять деньжат.
У нас, кстати, заставить всех использовать чип — вполне возможно, опыт есть, вспомнить те же кассовые аппараты. Найдутся люди кому это выгодно и все вперед под козырек. :)
Шаги в этом направлении уже делаются — в ПС МИР — все карты только чиповые.
дел
Никогда не понимал инерции этой системы, если карты меняются регулярно по установленному сроку. Запретить выпуск нечипованных карт — через n лет у нас на руках только чипованные карты.
А кто должен «запретить выпуск»? Это у нас мановением руки регулятора весь бизнес строем идёт покупать новые ККМ, а у них я боюсь все строем пойдут в суд с исками за навязывание функционала и злоупотребление монополией (и ещё и сговором всех МПС которые запретили старые карты)
Да ладно, у них запретов в сфере безопасности дофига и больше.
А ККМ не не обязательно заменять вот здесь и сейчас, а менять по мере выхода из строя и при закупке новых. Старые ККМ прекрасно работают с чипованными картами.
А ККМ не не обязательно заменять вот здесь и сейчас, а менять по мере выхода из строя и при закупке новых. Старые ККМ прекрасно работают с чипованными картами.
Я не про POS терминалы, а ККМ, которые согласно нового закона с 18 года должны уметь передавать инфу в интернет. У нас само собой разумюещееся такие решения регуляторов.
с 18 года должны уметь передавать инфу в интернетНет, с июня этого года, кто уже работает. При покупке нового — уже сейчас только онлайн-ККМ
ну там всётаки есть какието сроки после которых «ну всё теперь окончательно всё». старые ККМ то ещё можно использовать… а будет время после которого нельзя
ну там всётаки есть какието сроки после которых «ну всё теперь окончательно всё». старые ККМ то ещё можно использовать… а будет время после которого нельзя
А что делать с девайсами, с софтом. С сертификацией всего этого добра? Там процесс архисложный.
считывает полосу на которой записан сервисный код и если он указывает, что карты чиповая: банкомат — заталкивает карты дальше в чип ридер
Индийские банкоматы плюют на это и работают только по магнитной полосе.
Интересно, а с бесконтактными картами скиммеры работают?
Перехватить обмен терминал-бесконтактная карта можно хотя это и не просто, но в таких операциях используются одноразовые данные.
Значит бесконтактные карты — безопаснее, это есть хорошо.
Ну, эт как посмотреть — номер карты там честный летает, дата истечения тоже — довольно ценные данные, например, для совершения интернет платежей (не везде конечно) не хватает всего ничего — трех цифр CVС2. Что бы и номер карты не летал придумали всякие ApplePay/SumsungPay и т.п. там вместо него летает токен.
Но вообще — есть ли скиммеры, перехватывающие бесконтактные карты? Или пока все по старинке работают?
UFO just landed and posted this here
Ну безопасники то никогда не молчат о скиммерах, на каждом углу про них кричать готовы. Так что, если бы им попался такой скиммер — это было бы во всех профильных новостях.
Ажиотаж вокруг скиммеров связан с магнитной полосой — использование чисто «полосной» аутентификации по полосе и пину позволяет легко делать дубликаты, соскиммировав данные.
Чипы и бесконтактка в этом плане защищеннее — и с их подделкой все намного тяжелее. Либо переводить в бесчиповые (но тогда из перехваченного обмена надо вытащить данные карты, что, я подозреваю, нетривиально), либо полностью дублировать (что еще менее тривиально).
И зачем брать на себя лишнюю работу, если текущие скиммеры неплохо работают?
Чипы и бесконтактка в этом плане защищеннее — и с их подделкой все намного тяжелее. Либо переводить в бесчиповые (но тогда из перехваченного обмена надо вытащить данные карты, что, я подозреваю, нетривиально), либо полностью дублировать (что еще менее тривиально).
И зачем брать на себя лишнюю работу, если текущие скиммеры неплохо работают?
Значит чиповая карта и бесконтактная — вполне себе защищена от большинства скиммеров?
Если их не совать туда, где можно прочитать запись на полосе — да, защищеннее.
Если совать — увы, те же записи на полосе снимаются ровно теми же обычными скиммерами.
Поэтому создавать продвинутые скиммеры именно для чиповых/бесконтактных карт — бессмысленно. Старые, намного более дешевые, методы работают — зачем платить больше?
Если совать — увы, те же записи на полосе снимаются ровно теми же обычными скиммерами.
Поэтому создавать продвинутые скиммеры именно для чиповых/бесконтактных карт — бессмысленно. Старые, намного более дешевые, методы работают — зачем платить больше?
Но разве на полосе не записано, что это чипованная карта и полоса для транзакций не используется? Выходит, что бесконтактные платежи, особенно через телефонные приложения — самые безопасные?
Вы приходите в банкомат.
Вставляете карту.
Банкомат на карте читает номер вашей карты и метку, требуется ли авторизация через чип.
При загрузке карты в банкомат скиммер сосканировал номер вашей карты, а камерой считали пин.
Злоумышленник делает карту, аналогичную вашей, но без метки «требовать чиповую авторизацию» на магнитной ленте. И приходит в банкомат. И тот работает, свято уверенный, что чип проверять — не требуется. Бинго!
Если карту никуда не втыкать вообще, а хранить в тумбочке — скиммеры ей будут не страшны.
Но если вы используете бесконтактные платежи, там могут быть иные угрозы, которые к скиммерам отношения не имеют. Если вы платите через телефонные приложения — там еще пучок угроз возникает, которым бесконтактные карты также подвержены. Если вы привязываете карту к чему-то — вы получаете новую пачку угроз. Надо смотреть ваш сценарий использования карт — и смотреть именно ваши потенциальные проблемы.
То, что автомобили никогда не входят в штопор, не делает их более безопасным транспортом, чем самолеты — у них просто разные типовые сценарии катастроф.
Вставляете карту.
Банкомат на карте читает номер вашей карты и метку, требуется ли авторизация через чип.
При загрузке карты в банкомат скиммер сосканировал номер вашей карты, а камерой считали пин.
Злоумышленник делает карту, аналогичную вашей, но без метки «требовать чиповую авторизацию» на магнитной ленте. И приходит в банкомат. И тот работает, свято уверенный, что чип проверять — не требуется. Бинго!
Если карту никуда не втыкать вообще, а хранить в тумбочке — скиммеры ей будут не страшны.
Но если вы используете бесконтактные платежи, там могут быть иные угрозы, которые к скиммерам отношения не имеют. Если вы платите через телефонные приложения — там еще пучок угроз возникает, которым бесконтактные карты также подвержены. Если вы привязываете карту к чему-то — вы получаете новую пачку угроз. Надо смотреть ваш сценарий использования карт — и смотреть именно ваши потенциальные проблемы.
То, что автомобили никогда не входят в штопор, не делает их более безопасным транспортом, чем самолеты — у них просто разные типовые сценарии катастроф.
>Злоумышленник делает карту, аналогичную вашей, но без метки «требовать чиповую авторизацию» на магнитной ленте.
Неа, данные на полосе подписаны, подпись на той же полосе. Так что можно только полную копию сделать вместе с меткой что карта чиповая.
Неа, данные на полосе подписаны, подпись на той же полосе. Так что можно только полную копию сделать вместе с меткой что карта чиповая.
Так что можно только полную копию сделать вместе с меткой что карта чиповая.
Но тогда копию можно будет использовать на терминалах, не поддерживающих чип, просто по магнитной полосе? Правильно понимаю?
Хм. Не знал. думал, там подписи нет.
Но тогда для использования можно просто искать банкомат или торговую точку, которые не умеют работать с чипом.
Но тогда для использования можно просто искать банкомат или торговую точку, которые не умеют работать с чипом.
Насколько я в курсе, если транзакция чипованной картой проведена только по магнитной полосе — то ее на порядки проще оспорить.
А какие угрозы есть для бесконтактной оплаты через банкомат или терминал? Недавно обсуждали, насколько это сложно — получить в распоряжение терминал бесконтактной оплаты и вывести через него деньги.
А какие угрозы есть для бесконтактной оплаты через банкомат или терминал? Недавно обсуждали, насколько это сложно — получить в распоряжение терминал бесконтактной оплаты и вывести через него деньги.
Ну например — если сделать пару «считыватель — карта», которые тупо передают в обе стороны по собственному радиоканалу любой трафик (играя роль «удлиннителя») — можно этой новой картой расплачиваться за небольшие покупки, помещая считыватель возле ничего не подозревающего владельца бесконтактной карты.
Тогда «чехол фарадея».
Еще вопрос назрел.
Скиммер и «удлинители» NFC — это все дорогое и штучное оборудование, без большой маржи его и делать и покупать нерентабельно. Так имеет ли смысл париться на сет бесконтактной карты и этого удлинителя, если без пин-кода можно покупать только на кассах и только всякую мелочь в пределах 1000 рублей /*допустим — такой лимит*/? Мне кажется — не стоит овчинка выделенки.
Скиммер и «удлинители» NFC — это все дорогое и штучное оборудование, без большой маржи его и делать и покупать нерентабельно. Так имеет ли смысл париться на сет бесконтактной карты и этого удлинителя, если без пин-кода можно покупать только на кассах и только всякую мелочь в пределах 1000 рублей /*допустим — такой лимит*/? Мне кажется — не стоит овчинка выделенки.
Смотрите — риск (причем — негативный) есть.
И вы можете его:
а) игнорировать (забить болт и считать незначимым),
б) избегать — отказаться от использования уязвимых карт,
в) передать — навесить компенсацию возможного ущерба на кого-то другого, например, застраховать такое событие,
г) обработать — предпринять какие-то меры по снижению риска — например, держать на уязвимой карте одну копейку, пополняя ее перед самой транзакцией и удаляя излишек после транзакции.
Как вы поступаете с каждым конкретным риском — это дело вашего вкуса. Если вы считаете, что овчинка выделки не стоит — идите по варианту а).
И вы можете его:
а) игнорировать (забить болт и считать незначимым),
б) избегать — отказаться от использования уязвимых карт,
в) передать — навесить компенсацию возможного ущерба на кого-то другого, например, застраховать такое событие,
г) обработать — предпринять какие-то меры по снижению риска — например, держать на уязвимой карте одну копейку, пополняя ее перед самой транзакцией и удаляя излишек после транзакции.
Как вы поступаете с каждым конкретным риском — это дело вашего вкуса. Если вы считаете, что овчинка выделки не стоит — идите по варианту а).
И я пока не слышал про бесконтактные банкоматы. Они обычно предполагают все же заглатывание карты целиком.
Тут надо заметить, что банк может просто не подтверждать операции по магнитной полосе по желанию держателя карты. т.е. будет облом. Но и вы сами не сможете оплатить в местах где оплата проходит только по магнитной полосе. Т.е. отключив операции по магнитной полосе для своей карты скиммеры будут бессильны. Но остаётся другая проблема — онлайн платежи по реквизитам карты, зная пин-код и то что записано на магнитной полосе злоумышленники могут расплачиваться в интернете, потом морока с возвратом средств… или опять же отключить возможность оплаты с данной карты через интернет.
Но остаётся другая проблема — онлайн платежи по реквизитам карты, зная пин-код и то что записано на магнитной полосе злоумышленники могут расплачиваться в интернете, потом морока с возвратом средств… или опять же отключить возможность оплаты с данной карты через интернет.
Не совсем так для интернет платежей пин-код не используектся — нужен либо код CVC2 (а его нет на полосе, он печатается на пластике) либо, например, подтвержение одноразовым паролем, который приходит по sms.
Не совсем так для интернет платежей пин-код не используектся — нужен либо код CVC2 (а его нет на полосе, он печатается на пластике) либо, например, подтвержение одноразовым паролем, который приходит по sms.
А ещё нужна сооветствующая политика банка. Существуют сайты, где оплата проходит и без указания трёхзначного кода, и без смс, и даже сайты, где не нужно вводить имя — только номер карты и срок действия.
На самом деле зависит от политики магазина (или посредника если магазин принимает через посредника), т.е. мерчанта.
Именно мерчант решает сколько корректных данных ему нужно запросить у пользователя что бы провести платеж. По минималке достаточно номера карты и всё.
Понятно, что чем меньше данных мерчант требует, тем выше для него риски опротестовывания платежа, но тут все зависит от клиентоориентированности мечарнта.
На амазоне, например, раньше было достаточно номера карты, можно было даже со сроком действия ошибиться, о цвц даже не упоминалось (сейчас не знаем как, давно не пользовались). Платеж в случае чего возвращал сам амазон по первому же обращению в службу поддержки, даже в банк можно было не обращаться.
ФИО кстати, как и биллинг адрес, в 99% случаев не проверяется вообще, а если банк и мерчант в принципиально разных странах (сша-россия, сша-евросоюз, китай-япония) то не могут быть проверены в принципе (из-за ограничений на передачу персональных данных).
Именно мерчант решает сколько корректных данных ему нужно запросить у пользователя что бы провести платеж. По минималке достаточно номера карты и всё.
Понятно, что чем меньше данных мерчант требует, тем выше для него риски опротестовывания платежа, но тут все зависит от клиентоориентированности мечарнта.
На амазоне, например, раньше было достаточно номера карты, можно было даже со сроком действия ошибиться, о цвц даже не упоминалось (сейчас не знаем как, давно не пользовались). Платеж в случае чего возвращал сам амазон по первому же обращению в службу поддержки, даже в банк можно было не обращаться.
ФИО кстати, как и биллинг адрес, в 99% случаев не проверяется вообще, а если банк и мерчант в принципиально разных странах (сша-россия, сша-евросоюз, китай-япония) то не могут быть проверены в принципе (из-за ограничений на передачу персональных данных).
Смысла перехватывать карту нет, там данные зашифрованы и ничего не дадут для проведения другой операции по карте. Но тут делают по другому — организуют радиоудлинитель и расплачиваются реальной картой которая находится у владельца в кармане. Ньюансы конечно есть в зависимости от настроек карты и лимитов сумм для снятия без подтверждения/пин-кода и т.д.
UFO just landed and posted this here
Потому что в щель для карты можно вставить тонкий скиммер таким образом, что при беглом осмотре его видно не будет.
А вот почему нельзя на экран транслировать эталонный вид конкретного банкомата вместе со средствами противодействия скиммерам (накладки на картоприемную щель, клавиатуру и так далее) — не знаю.
А вот почему нельзя на экран транслировать эталонный вид конкретного банкомата вместе со средствами противодействия скиммерам (накладки на картоприемную щель, клавиатуру и так далее) — не знаю.
UFO just landed and posted this here
Пока затраты на создание такой сети будут выше, чем потери банков (а собственно потери от такого рода криминальных действий для банков не слишком велики, как я полагаю) — не будет этого.
Ну и опять же — где-то одна камера, где-то две. А вторая — точно банком поставлена, а не для подглядывания пин-кода?
А чего это вот этот гражданин клавиатуру пакетом прикрывает? Это он не собирается пин палить или накладку устанавливает под прикрытием пакета?
Ну и опять же — где-то одна камера, где-то две. А вторая — точно банком поставлена, а не для подглядывания пин-кода?
А чего это вот этот гражданин клавиатуру пакетом прикрывает? Это он не собирается пин палить или накладку устанавливает под прикрытием пакета?
А вот почему нельзя на экран транслировать эталонный вид конкретного банкомата вместе со средствами противодействия скиммерам (накладки на картоприемную щель, клавиатуру и так далее) — не знаю.
Это крайне сложно в организационном плане, вплоть до того что при изменении антискиммера правильную картинку могут очень долго не поставить.
более того я уже такое видел, когда на картинке вообще банкомат другого типа
Потому, что думать не умеют.
Поставить что нить типа «гильотины» которая каждый раз после возврата карты проходит по щели и по «считывателю» и убирает все лишнее, можно было тогда когда только появилась проблема со скиммерами.
Поставить что нить типа «гильотины» которая каждый раз после возврата карты проходит по щели и по «считывателю» и убирает все лишнее, можно было тогда когда только появилась проблема со скиммерами.
Sign up to leave a comment.
Злоумышленники становятся все изобретательнее в создании скиммеров