Pull to refresh

Comments 55

ну допустим, а как незаметно заснять того кто вводит PIN чтобы потом забросить данные в нейросеть, и получить тот самый PIN

А как до этого делали? Тот же скиммер с камерой.

Если у вас есть возможность поставить скиммер с камерой, то наверняка есть и возможность поставить накладку на клавиатуру банкомата. Зачем тогда все эти телодвижения с нейросетью?

UFO just landed and posted this here

На банках тех, которыми пользуюсь, знаю. Эта камера, кстати, смотрит вам в лицо, не на пинпад. А на всех не знаю. Одного пинкода ведь мало, нужен еще слепок карты, а значит, нужна накладка на картоприемник. Которую тоже проще увидеть, чем камеру. Так что сомнительно, на мой взгляд, что решение с камерой и накладкой на картоприемник будет эффективнее накладки на клавиатуру и картоприемник.

UFO just landed and posted this here

Сначала подглядеть с помощью нейросети пинкод с 41% вероятность, потом не забыть побежать за человеком (многими) и своровать у них карты? Вы так себе это представляете? Тогда уж реально проще, как заметили ниже, битой и паяльником. Гораздо продуктивнее.

А если дооборудовать не банкомат, а POS-терминал в ларьке?

  1. Камера, направленная на кассу, не вызовет никаких подозрений, её даже не нужно маскировать;

  2. Покупатель вынимает карту и вступает в диалог с продавцом -- достаточно отвлечь его внимание, чтобы на несколько секунд завладеть картой, поманипулировать ею под прилавком, и вернуть обратно покупателю;

  3. В отличие от сценария с битой и паяльником, жалоба в полицию поступит лишь спустя месяц(ы), когда покупатель обнаружит пропажу денег со счёта. Ищи-свищи, кто за это время успел подержать в руках его карточку.

Я не представляю, как надо отвлекать внимание, чтобы человек в процессе "достать карточку, приложить к терминалу, убрать карточку" выпустил её из рук и не заметил этого в течение нескольких секунд.

Разве что, человек положил карточку на терминал заранее и пошёл в конец кассы складывать товары в пакет. Я иногда так делаю, но даже в этом случае заметить, что кассир, вместо того, чтобы пробивать товары, потянулся к терминалу, взял карточку и что-то с ней сделал, довольно легко.

UFO just landed and posted this here

в процессе "достать карточку, приложить к терминалу, убрать карточку"

Вы сильно переоцениваете проникновение бесконтактных платежей.

По состоянию на конец 2020, основная карточка поддерживает NFC у почти трети американцев и у почти половины по миру в целом. У остальных (т.е. у большинства) процесс платежа более сложный, часто требующий на время выпустить карточку из рук. И это -- после года сильного давления со стороны санитарных органов к переходу на бесконтактные платежи.

У нас в Украине уже по-моему все карточки с чипом, бесконтактные. Нельзя оплатить безконтактно разве что на рынке и в маршрутке. Ну, машину мыть пока ещё только за наличку надо, но уже есть прогресс и здесь.

Ничего удивительного, что работа европейских учёных актуальна для европейских условий, а для украинских неактуальна.

Я кстати перешёл по вашим ссылкам про "почти трети американцев и у почти половины по миру в целом" и увидел там 51% и 80% соответственно:

In fact, more than half (51%) of Americans are now using some form of contactless payment... New cardholders typically receive contactless cards first since the old cards are no longer manufactured.

In a Mastercard global consumer study, nearly eight in 10 say they use contactless payments

"some form of contactless payment" - это включая Apple Pay и т.п.

Там ниже есть статистика отдельно по карточкам.

Нет там такой статистики, я не вижу. Процитируйте пожалуйста если я ошибаюсь. Скорее всего вы некорректно прочли это предложение:

Nearly a third of respondents switched out their top-of-wallet card for a card that offers contactless capability due to safety and convenience concerns amid the coronavirus.

которое переводится как "около трети респондентов сменили свои карточки на бесконтактные из соображений (гигиенической) безопасности из-за коронавируса", что вы некорректно восприняли как будто ещё 2/3 респондентов имеют нечипованные карточки, но это не так - среди тех кто не менял карточки есть множество тех, у кого они уже были бесконтактные.

Globally, nearly half of respondents (46 percent) have swapped out their top-of-wallet card for one that offers contactless – this proportion climbs to 52 percent among those under 35 years old.

Для США, соответственно, «nearly a third».

Ну, как я и сказал. Количество людей с бесконтактными карточками не равно количеству людей со всеми карточками минус количество людей сменивших карточку на бесконтактную - вы забыли про тех у кого она уже была бесконтактной на момент опроса.

P.S. и вы ещё упустили момент что нечипованных карт больше не выпускается, соответственно по мере окончания срока действия, они автоматически меняются у всех на бесконтактные чипованные.

вы забыли про тех у кого она уже была бесконтактной на момент опроса.

Не понимаю: пользователи бесконтактных карточек — это не только те, у кого она уже была бесконтактной на момент опроса, но и… кто ещё?

P.S. и вы ещё упустили момент что нечипованных карт больше не выпускается, соответственно по мере окончания срока действия, они автоматически меняются у всех на бесконтактные чипованные.

Выпускаются. Вот та цитата целиком:
When an issuer switches to contactless, new cards aren’t sent out to everyone at once. New cardholders typically receive contactless cards first since the old cards are no longer manufactured.
Перевод: когда оператор карточек переходит на бесконтактные, то все его новые пользователи будут получать бесконтактные.

Лёгкий гуглёж изготовителей карт — показывает, что какие банк закажет, такие и сделают: «Choose magnetic stripe, contactless or EMV chip technology.» (Техас), «Broaden your portfolio and increase protection for you and your customers with EMV-enabled contact-only and contactless-enabled payment cards.» (Висконсин), «Compliant EMV chips in contact or dual interface» (Колорадо), «Gemalto EMV contact and contactless cards offer are built on several levels of specifications and options.» (Нидерланды)

У вас очень своеобразное понимание английского.

Правильный перевод:

Когда эмитент переходит на бесконтактную систему, новые карты не рассылаются всем сразу. Новые держатели карт обычно получают бесконтактные карты в первую очередь, поскольку старые карты больше не выпускаются.

Имеется в виду, что после перехода на бесконтактные карты, банк не рассылает их всем, а даёт только новым клиентам и тем, кто меняет карточку (по причине утери, окончания срока действия или по желанию клиента банка).

С математикой у вас тоже как-то специфично. Из всего количества (100%) держателей карт, есть

  • некоторое количество клиентов с безчиповыми старыми картами (Х%)

  • некоторое количество клиентов имевших сразу безконтактные карты (У%)

  • клиенты которые заменили старые карты новыми, безконтактными (условно треть, 33%).

100% всех = Х% + У% +33%

Итого, количество клиентов (американцев с карточками), у которых карточки без возможности безконтактной оплаты составляет 100% - У% - 33% = Х%

Без знания Х или У ничего нельзя сказать, сколько американцев со старыми карточками. Число может составлять от 0 до 66%.

Лёгкий гуглёж изготовителей карт — показывает, что какие банк закажет, такие и сделают

Неверно, платёжная система определяет какие карты должен заказывать банк. Это, собственно, говорится по вашим же ссылкам, например:

Harland Clarke knows cards. Visa®. MasterCard®. Networks. Processors. Their requirements and expectations. We ensure that your cards meet the design and technical specifications that Visa and MasterCard require, including sending your proof to Visa or MasterCard for approval and manufacturing your cards in a Visa- and MasterCard-certified facility.

Перевод:

Компания Harland Clarke знает, что такое карты. Visa®. MasterCard®. Сети. Процессоры. Их требования и ожидания. Мы обеспечиваем соответствие дизайна и технических характеристик ваших карт требованиям Visa и MasterCard, включая отправку пробных образцов на утверждение Visa или MasterCard и производство карт на предприятии, сертифицированном Visa и MasterCard.

Если вы захотите сувенирную продукцию или что-то типа скидочных карт или карточек членства, вы можете заказать какие хотите. Если вы хотите карточки виза/мастеркард, то закажите те, которые вам они скажут.

Имеется в виду, что после перехода на бесконтактные карты, банк не рассылает их всем, а даёт только новым клиентам и тем, кто меняет карточку

В вашем толковании вы пропустили ключевой момент: после чьего перехода на бесконтактные карты? Платёжной системы целиком, или конкретного оператора (банка или кредитной компании)?

Неверно, платёжная система определяет какие карты должен заказывать банк.

EMV — это как раз и означает «Europay, Mastercard, Visa». Приведённые цитаты (ещё раз: «Compliant EMV chips in contact or dual interface», «Gemalto EMV contact and contactless cards» и т.д.) оставляют какое-то сомнение в том, что Mastercard и Visa разрешают использовать карты без NFC?

В вашем толковании вы пропустили ключевой момент: после чьего перехода на бесконтактные карты?

Issuer это банк. Переходит он по требованию платёжной системы.

Mastercard и Visa разрешают использовать карты без NFC?

https://www.ixbt.com/news/2021/08/17/uhodit-jepoha-mastercard-otkazhetsja-ot-magnitnoj-polosy-na-svoih-kartah.html

Mastercard начнет постепенно избавляться от магнитных полос на своих кредитных и дебетовых картах. Переход начнется в 2024 году, когда магнитная полоса больше не будет требоваться для новых карт, выпускаемых в Европе. В США, где внедрение чипов EMV на расчетных картах происходит медленнее, переход начнется в 2027 году. С 2029 года все новые дебетовые или кредитные карты Mastercard полностью лишатся магнитной полосы.

В настоящее время 86% операций с дебетовыми или кредитными картами в мире осуществляется при помощи чипов EMV, а для подтверждения транзакций используется или пин-код, или отпечаток пальца. Интересно, что в США чипы EMV в картах не так распространены, как в других странах: в прошлом году процент операций по картам с использованием этой технологии в этой стране составил лишь 73%.

Надеюсь хоть это развеет ваши сомнения насчёт процента бесконтактных карт.

Issuer это банк.

Верно.

Переходит он по требованию платёжной системы.

А вот это ваша фантазия; в том тексте нет ничего про требования платёжной системы.

Надеюсь хоть это развеет ваши сомнения насчёт процента бесконтактных карт.

В обоих ваших цитатах нет ни слова про бесконтактные карты.

А вот это ваша фантазия; в том тексте нет ничего про требования платёжной системы.

А как же

С 2029 года все новые дебетовые или кредитные карты Mastercard полностью лишатся магнитной полосы.

Где здесь выбор банка?

В обоих ваших цитатах нет ни слова про бесконтактные карты.

Можно утверждать, что процент бесконтактных карт с чипом EMV близок к 100%.

Где здесь выбор банка?

Во-первых, ваша цитата про далёкое будущее. Во-вторых, она про магнитную полосу, а не про контактную площадку. Может быть, ко второй половине 21в. платёжные системы действительно сделают поддержку NFC обязательной -- в любом случае, сейчас об этом речи нет.

Можно утверждать, что процент бесконтактных карт с чипом EMV близок к 100%.

Вы сейчас про требования платёжных систем, про предложения изготовителей карт, или про фактическое распространение в мире?

Если первое, то вы сами видите, что поддержку NFC они не требуют, и ещё даже не обещают, что когда-то начнут требовать.

Если второе, то я вам привёл ссылки на изготовителей контактных карт, заявляющих о EMV compliance.

Если третье, то пруф или не было.

Ровно такая история громкая уже была лет 5 назад с каким-то американским супермаркетом.

Тут вообще не понятно, почему "все" так не делают - просто удачно установленные камеры над и под терминалом даже без манипуляций могут дать несколько карт в день, а поймать и привлечь торговую точку будет очень сложно.

UFO just landed and posted this here

Имхо, эта процедура сложна и неэффективна. Сколько карт он сворует? Сворует ли вообще? Выхлоп маловат. Накладка проще, даже если ее довольно быстро обнаружат в течение дня. Вы видели как всякие бабушки с банкоматами работают? Да и не только бабушки. Какие там проверки на накладку.

UFO just landed and posted this here

для повторного снятия денег/покупки помимо номера карты требуются одноразовые токены (в случае смартфона) либо ЭЦП, добавляемая чипом карты. нереализуемо

Ну они же предлагают камеру обскуру. Будет маленькая дырочка на нижней части панели над экраном, а не окошко с линзой.

А физическую карту можно прочесть через NFC. Вроде можно считать с полуметра прямо из кармана - в общественном транспорте или на выходе из помещения с банкоматом, например. Но это нужно иметь левый терминал и тд, намного сложнее чем просто снять деньги в банкомате

Это всё конечно непросто, но так наверно и должно быть.

прочитанные через nfc данные даже на повторный платеж не годятся

зачем повторный платёж? транзакция проводится прямо в момент считывания, это известный способ. Не без сложностей - нужен зарегистрированный терминал и способность быстро уводить деньги, но так и раньше было

Я отвечал на вопрос подразумевая копирование карты, узнавание пинкода и последующее использование. Просто провести транзакцию с карты конечно проще. До первых нескольких оспариваний. Заблокированного терминала. Больших проблем для человека на которого этот терминал зарегистрирован в банке. Потери кучи времени и денег на регистрацию этого терминала. И именно поэтому это сказки и в реальности такой кейс невозможен.

Прочесть можно только номер и, в некоторых картах, срок и имя владельца. Этих данных недостаточно, что бы подделать маг. полосу, да и даже для одной бесконтактной операции данных не хватит. Больше как таковой публичной информации не передается. Только данные транзакции и всякие подписи и т. д.

Максимум, если будет вычитаны кроме номера еще и срок действия с именем владельца, то это провести операцию в некоторых американских сервисах, где не нужен CVC/CVV код.

Я не понимаю какая магнитная полоса. Я говорю о фактической транзакции через прокси на настоящий терминал, который находится где-то в другом месте. Все что нужно - это бесконтакный диалог и ввод пин-кода.

Чисто теоретически возможно, даже эксперименты были. Но по факту слишком много условностей должно сложится успешно.

Нужно модифицировать терминал так, что бы прокси и был незаметен, и не мешал работе.

Если нужен ввод пинкода - тоже нужно сначала подсмотреть, а затем достаточно быстро передать его.

У ПС достаточно жесткие тайминги на ответы и обработку. А пока данные туда-сюда через прокси - это время. Может не хватить при плохой связи и/или при необходимости ввода пинкода.

Кроме того, чипы карт не могут обрабатывать несколько транзакций одновременно. Нужно сначала дать терминалу с картой договориться о реальной транзакции, затем дать через прокси пообщаться с другим терминалом. Второе не всегда сработает из-за того, что много оплат телефоном, и потребуется повторное подтверждение, да и карты не все оставляют на терминале, а быстро прикладывают до сигнала и сразу убирают - можно просто не успеть.

Кроме того, антифрод системы банков. Банки могут заподозрить и отклонить вторую транзакцию при физической оплате с разницей в секунду-две в разных местах. Особенно, в разных городах и, тем более, странах.

Если нужен ввод пинкода - тоже нужно сначала подсмотреть

Комментируемая статья -- как раз об упрощении этого этапа.

Точность в 41% на текущий момент, плюс нужно некоторое железо. Не так и много, но больше, чем при обычном скаме.

Камеры, клавиатуры у банкоматов повидал разные, очень много похожих на самые дешевые скиммеры, звонил в банк, жаловался, они проблемы не видят

С тем же успехом можно сказать "зачем вам камера, если есть бита и паяльник". :)

ну допустим, сможете увидеть, если сзади Вас человек, который стоит к банкомату в очереди, начнет снимать Вас на видео?

Я стараюсь снимать деньги в АТМ которые поддерживают NFC так, чтобы не надо было вставлять карточку. Интересно насколько это безопаснее?

А вообще 2-х факторная авторизация, и одноразовые пинкоды на телефон я думаю смогут сделать труд скиммеров неоправданно сложным.

Вы где все это видели ? Банки массово отказываются от любых нормальных способов подтверждения. Скоро всем выдадут ЭЦП и при ее утечке можно будет сразу с моста прыгать, т.к. за тебя подпишут все, начиная с кредитов и заканчивая сделками на передачу недвиги.

Раньше с помощью телефонных звонков банкам тоже можно было проворачивать разные махинации. Всё решаемо, если продумать безопасность подобных сделок.

Банкоматы одного зелёного банка тоже поддерживают NFC, но пин-код вводить всё равно надо. В банкомате банка имени одного человека, совсем недавно заплатившего американской налоговой очень много денег, такая же фигня. Так какая тогда разница?

Есть плюс в том что банкомат не сожрет карту. Я один раз так остался без карты в 3 часа ночи в чужом городе. было еще до эпохи nfc и гуглпэев, очень неприятная ситуация

В данной статье вроде рассматривается факт ввода пинкода и его распознование сторонними лицами. От этого nfc не спасёт.

Хотя я видел забытую карту на банкомате, лежащую в месте считывателя. Так что от забытой карты тоже не спасёт. Уж лучше пусть её съест банкомат. ))

Ранее «Сбер» начал выдавать необеспеченные кредиты до 5 млн рублей для зарплатных клиентов

Если вы сами не возьмете кредит, за вас это сделает (зачеркнуто, солдаты НАТО) злоумышленник.

Меня еще удивляет, почему при вводе ПИН не надо нажимать ввод? Во-первых тем самым банкомат подсказывает длину кода, т.к. он автоматически засчитает ввод по достижению нужной длины. Во-вторых, нельзя ошибаться в последней цифре, т.к. редактирование более не работает и будет зачтена неверная попытка. Кто придумал такое ухудшение безопасности? Настроить разумеется ничего нельзя.

В некторых приложениях такая же ситуация

Банкоматы открытия ждут подтверждения после ввода цифр, а так же дают ввести 4-5 цифр.

Все это круто, но на практике оно ломается вдребезги. Во первых ставить камеру нужно, с нее сливать видеопоток или быть рядом, высокая вероятность поимки. Да и я только в одном магазине карту вставлял и набирал пин-код из-за дубового терминала. Во всех других карту прикладываю и оно без пинкода.

Злоумышленникам проще поставить скиммер, использовать портативный терминал или RFID считыватель (проблемы с смс подтверждением и 3D secure), использовать терморектальный криптоанализатор или просто брать и скамить.

С этого всего проще и безопаснее для жопы это скамить, представлятся техподдержкой банка и прочие махинации.

Всю жизнь я набирал пин-код "с шумом". Десяток-полтора нажатий пальцами, из которых только 4 дожимают кнопки полностью, а остальные - "фейковые".

Теперь это становится не просто блажью :)

Sign up to leave a comment.

Other news