Как стать автором
Обновить

Комментарии 225

А ведь на магнитной полосе можно зашифровать информацию и расшифровывать ее на стороне банка. Странно, что такого еще не придумали.
А не всё ли равно кардерам, зашифрованную или нет информацию копировать на другую карту? А вот чипы эту проблемы должны решать.
И как же чип спасёт вас в случае фальшивого банкомата? Чипы только от скимеров защищают.
В чипе можно реализовать протокол с двухсторонней авторизацией
Да зачем там двусторонняя авторизация? Достаточно подписывать, кроме прочего, номер транзакции, переданный банком — остается только MITM в режиме реального времени, что существенно усложняет схему: после первого же SMS информирования вызывается полиция прямо к такому банкомату.
НЛО прилетело и опубликовало эту надпись здесь
Я писал в контексте отличия чипов от магнитной полосы. При запрете платежей через интернет и транзакциях только подписанных приватным ключом с чипа (включая номер транзакции) остается возможной только атака MITM.

Как известно от MITM позволяет защититься дополнительный независимый канал передачи данных — в данном случае SMS информирование сделает MITM заметным и, следовательно, бесполезным.
Для подтверждения операции отправьте слово «ОЛОЛО» на короткий номер...
Зачем минусовать, ведь я предположил один из вариантов эксклюзивного подтверждения выполнения операции со стороны пользователя — это, к примеру, отправка смски с неким временным (разовым) набором символов. Или, напротив — ввести временный (разовый) код, только что присланный по смс.

В другой стране, конечно, не всегда есть возможность юзать мобилку, зато этот способ подтверждения достаточно защищён и использует юзера до начала транзакций. То есть, если злоумышленник угнал дамп, то смска всё равно приходит владельцу карты. Злоумышленнику, в таком случае, требуется не только использовать скиммер и камеру, но и угнать мобилку/симку владельца.
На магнитной полосе и так есть фамилия и срок действия.
С двухсторонней авторизацией между кем и кем?
НЛО прилетело и опубликовало эту надпись здесь
Карта должна [иметь возможность] работать с банкоматом любого банка. В том числе и того, который будет открыт завтра в Африке.
В любом случае идет запрос в банк-эмитент
Но разве запрос не идет по типу id карты и сумма? Максимум пин-код, который клиент сообщил?
Не могу сказать, в теме не силен. По идее в обычных магнитных картах идет id карты, сумма и пин.
В чипованных я предполагаю все таки используются подписи.

UPD: ru.wikipedia.org/wiki/EMV
Открытый PIN никуда не передается и на карте не хранится — PIN вообще не хранится на карте с магнитной лентой ни в какой форме. Правильность PIN сверяется по контрольной сумме или шифроблоку, которую вычисляет сам пин-пад инкрементально во время ввода пользователем — софт банкомата PIN-кода не знает.
Это если банкомат настоящий. :)
А проверка пинкода, кстати, происходит оффлайн.
Что Вы имеете под словом оффлайн?
Вы хотите сказать постфактум?
Зачем тогда он нужен?
Пруф?
Отвечу я.
ПИН бывает двух видов: оффлайн и онлайн.
Оффлайн ПИН проверяется самим чипом
Онлайн ПИН проверяется на стороне банка

На чипе могут быть как оба пина, так и только онлайн (только оффлайн не может).
На магнитке только онлайн

В чем плюс оффлайн — защищенность от перехвата данных посылаемых от терминала к процессингу.
К примеру, у нас в банке до 2010 г., пока виза не потребовала для прохождения PCI DSS, не было SSL на этих каналах, а для Wi-Fi терминалов и банкоматов д сих пор стоят точки доступа в WEP-шифрованием.

Более подробно есть в визовском гайдлайне по пин-секьюрити. (В свободном доступе есть), плюс можно еще почитать про EMV.
КО: Между картой и выдавшей ее банком
Как вы представляете себе авторизациюаутентификацию банка картой?
В чипе находится открытый ключ банка, и свой приватный (конечно недоступные для чтения).
Соответственно входящие запросы в карту подписаны приватным ключем банка, а исходящие запросы в банк подписаны приватным ключем карты.
В реальности может быть по другому, но общая схема мне представляется таким образом.
Против вашего сценария практика снятия наличных с любой карты на любом банкомате. Не верю, что Сбер банк заключил прямой договор с Делаварским банком и лишь благодаря этому я имею возможность снять наличные рубли с банкомата Сбера по Делаварской карте. (Вообще Сбер — самый отстойный банк — даже онлайн-банкинга не предоставляют для счетов — невозможно, тля).
Вы SSL пользовались? Никакие договора не нужны.
Что подразумевается под онлайн-банкингом для счетов? Там можно перевести деньги на любой счёт, посмотреть историю операций.
Как мне давеча сказали — онлайн-банкинг у них только для карточных счетов, для обычных (ака «сберкнижка») не предусмотрен в принципе.
У Сбера очень интересно устроено. Онлайн-банкинг можно подключить только к карточному счету, но после подключения в нем видны все счета: и сберкнижка, и «до востребования», и все вклады. Этими счетами можно оттуда полноценно управлять: переводить деньги, осуществлять платежи, даже закрывать.
Хм. Жаль мне не сказали и я пошел в ВТБ24, где мне просто открыли счёт с онлайн-банкингом. Не очень правда удобно эти одноразовые коды…
Сбер (как и любой другой банк – участник платежей) заключил договор с платежной системой – Visa или Mastercard соответственно. Оттуда и идут запросы.

Что совершенно не противоречит возможности Банка удостоверяться, что запрос идет именно с его карты, а карта удостоверяется, что она общается не с кем попало, а со своим эмитентом.
Все же мне кажется, что именно ПС удостоверяется, что запрос идёт от валидной карты, а банк довольствуется тем, что удостоверяется, что запрос признан валидным ПС и подписан ею.
Там все удостоверяются во всём. Банкомат удостоверяется, что перед ним валидная карта; карта удостоверяется, что её вставили в правильный банкомат; запрос на операцию подписывается картой и уже в этом виде отправляется в ПС.

Другой вопрос, что эта цепочка работает только в идеальном случае чиповой карты, банкомата с чип-ридером и готовности всех участников играть по этим правилам. А на практике — если что не так, сразу идёт деградация до менее секурного варианта (скажем, если карта не чипованная).

Операция в этом случае тоже произойдёт, просто ответственность распределится по-другому.
Согласно стандарту EMV на чипе хранятся ключи как симметричных, так и асимметричных алгоритмов шифрования. Их в фальшивом банкомате не прочитаешь. Подделать микропроцессорную карту чрезвычайно сложно и дорого.
Оцените прелесть произошедшей со мной ситуации:
Была у меня(2005-20хх) АС Сберкарт, та что только с чипом. Срок её вышел и пошёл я менять на новую. Банк в виде девочки-оператора выдала мне: «Чиповые карты мы больше не выпускаем, мы выпускаем только с магнитной полосой, потому что чипы — это старая технология, а у нас современный банк с современными технологиями.»
Вот так я стал пользователем visa с магнитной полосой и неменяемым 4хсимвольным пин-кодом, безакцепным списанием моих денег и игранием очка после оплаты в незнакомых местах.
А ведь на этой «старой» ламповой чиповой карте карте пин был 8 символов и менял я его регулярно.
IF(карта с чипом и двухсторонней авторизацией) {
заглотнуть карту после ввода пина;
return FALSE;
}
И как это поможет в ситуации, когда злоумышленник получил дамп и знает PIN?
Пишем дамп на карту и руками используем, но как то это банально.
Должен быть еще же способ, верно?
Насколько я понимаю, чип вы не скопируете. Другое дело, что в России все карты либо чисто на магн. полосе, либо двойные. Карте с чипом без магнитной полосы такой банкомат не страшен. Остаются интернет операции, но в банке можно попросить допускать только 3d-secure и без вашего телефона(физически, а не номера) злоумышленник ничего не сможет сделать, даже скопировав все данные на пластике.
есть множество сервисов, которые снимают деньги без подтверждения с 3d-secure, в том числе и яндекс деньги и 2co.
так что в умелых руках хватит и данных сфотанных с карты.
НЛО прилетело и опубликовало эту надпись здесь
К пейпалу карту еще привязать нужно, а это без данных выписки сделать затруднительно.
Хотя, вроде, небольшие суммы и без этого проводят — не помню уже, давно привязывал.
Для проверенных аккаунтов ничего не надо.
Ага, если имя в пейпале и на карте совпадают.
Блин, а я не знал и не стал вводить ViSa Holder// ^(
Да, точно (:
Не очень представляю, как вы проведете интернет-транзакцию без одобрения банка. А как обрабатывать 3d-secure — дело банка. В любом случае нужен код — не обязательно с телефона, можно с бумажки, взятой в банке или из личного кабинета.
3дсекур — штука опциональная. Вот пейпал, например, забивает на неё болт и снимает деньги с карты без кодов. Вообще, 3дсекур существует только для того, чтобы снять с банка ответственность за фрод. Если кто-то снял деньги и смог воспользоваться вашим кодом, то деньги банк ввам возвращать не будет — вы типа сами виноваты и до свидания.
Так я и писал, что нужно не 3d-secure интернет-операции запретить.
но в банке можно попросить допускать только 3d-secure

В принципе, для этого он и создавался. Я думаю, вскоре более-менее все перейдут на эту систему.
«Карте с чипом без магнитной полосы такой банкомат не страшен» — из таких карт знаю только VISA одна какая-то есть, которая только в некоторых странах Европы выпускается…
карту с чипом но без полосы Вы просто не сможете вставить в большинство банкоматов, т.к. дверца картоприемника открывается только после поднесения магнитной полосы к ней.
Зато есть карты с полосой и чипом, но транзакции по которым, если не ошибаюсь, осуществляются только по чипу (имею ввиду бывший Сберкарт, а ныне ПРО100 / УЭК).
Интересно, а если магнитную полоску размагнитить петлей, т.е стереть с нее инфу и таким образом юзать только чип, банкомат примет?
да вроде все равно банкомат сначала читает инфу с полосы и только потом, обнаружив информацию о чипе, читает чип.
Хотя может быть и не везде такое.
Неа. В маленьких терминалах чипованные карты и вставляются даже не полностью — только на глубину контактов.
В банкоматах щель для карты разблокируется только если карту правильной стороной вставлять.
Думаю «на глубине контактов» нужная инфа уже есть.
Там просто датчик магнитной полосы. А информация записана по всей длинне полосы, хоть и разделена на несколько дорожек.
Вот эту зашифрованную информацию и украдут, и потом банк ее расшифрует, но не для владельца карты.
Ключи невозможно извлечь из чипа )
Тем более обычным чтением ридером.
Тогда, ИМХО, будет много головной боли банкам.
Пусть есть банки А, Б, остальные банки (коих сотни) и карточка банка А.
Если ключ знает только банк А (создается при изготовлении карты), то при попытке снять деньги в банкомате Б имеем проблемы (Б не может расшифровать запрос). Чтобы это разрешить, А и Б нужно тесное взаимодействие (скажем, Б видит, что это карточка А, перенаправляет запрос туда). Но банков многие сотни, надо заключить кучу межбанковских контрактов, это сложно.
Если карта шифруется без ключа, или есть единая база данных ключей, или ключ вычисляется по номеру карты на месте, то этот шифр ничего почти не стоит, ибо получить к нему доступ, думаю, легко.
+ Есть всякие терминалы в магазинах и т.п.
Запрос и так перенаправляется в нужный банк
НЛО прилетело и опубликовало эту надпись здесь
Чтобы это разрешить, А и Б нужно тесное взаимодействие (скажем, Б видит, что это карточка А, перенаправляет запрос туда). Но банков многие сотни, надо заключить кучу межбанковских контрактов, это сложно.

Для этого и существуют Международные Платежные Системы(МПС) — Visa, Mastercard и прочие.
Для асимметричного алгоритма шифрования достаточно только открытого ключа, закрытый ключ хранится на банкомате или терминале, его нет в фальшивом банкомате, а без секретного ключа ничего не сделаешь — платежная система не пропустит.
Странно это. Чтоб поставить банкомат, нужно заключить договор на использование места/земли/магазина. Это должен быть реальный человек, которого где-то записали камеры наблюдения, пусть он использовал все поддельные документы.
А как Вы себе представляете поиск человека по записям с камер наблюдения? Имеется ввиду в текущей реальности, а не в непонятном будущем.

p.s.: Но вообще идея с банкоматами действительно непонятная. Ладно бы «банкомат» конфисковывал карту, пин-код уже введет, вечером опустошили и вот — пожалуйста, даже чипованные карты ломаются на раз-два. Но он же вроде отдавал карты назад, а народ не любит чужие банкоматы из-за лишних комиссий, поэтому популярностью он не должен был пользоваться.
А вот представим ситуацию: вы в аэропорту и вам срочно нужны наличные на покушать\такси\еще что. Допустим, карточка у Вас не самого популярного банка и такого банкомата в аэропорту не обнаружилось. Вы понимаете, что комиссия есть везде и, впрочем, не суть важно где снимать, а рядом оказывается именно этот банкомат. Велика вероятность, что потенциальный Вы пойдете именно к этому банкомату.

Одно дело он бы стоял на улице, а другое — в очень оживленном месте.
То что банкомат КЕМ-ТО будет посещаем — это понятно, причины могут быть.
Но вот стоит альфа, мастербанк, втб24, сбер.
У кардеров выбор — навесить на них на всех скиммер или вкрячить рядом банкомат неизвестного банка. Скиммеры при чем дешевле обойдутся и вполне возможно будут безпалевнее. Количество прокатанных карт — к гадалке не ходи будет больше даже на одном из скиммеров.
И в чем смысл левого банкомата в таком разрезе? Гиморой на ровном месте имхо, или мы что-то не замечаем?
То есть если бы банкомат после ввода пин-кода отбирал бы карту, тогда это было бы понятно. Был бы хороший набор карт с пин-кодами. Но просто для целей сканирования…
У кардеров выбор — навесить на них на всех скиммер или вкрячить рядом банкомат неизвестного банка.

1) Скиммеры на таких банкоматах очень быстро снимают (в теории, ведь сейчас даже по ТВ кучу передач и новостей), а цена у них не две копейки.
2) Я думаю, большое количество камер наблюдения, как в самих банкоматах, так и вокруг них.
3) За скиммерами надо приходить, а в банкомат можно поставить 3g модем и он будет заливать все данные на Ваш сервер в Сингапуре.

Да, цена на банкомат много выше скиммера, но он привлекает меньше подозрений (как выяснилось), большая удобность и практичность.
1) Наверное Вы правы, хотя мы крайне вряд ли опознали бы скиммер, несмотря на просмотр этих передач.
3) Точно? Учитывая размеры современных телефонов — есть ощущение что 3g\wifi модуль с небольшим аккумулятором вполне в скиммер можно вкрячить.
Да даже если он будет крайне малых размеров, как вы себе это представляете? Ведь нас интересует исключительно пара дамп+пин. А если тянуть провода через половину банкомата, то будет ну крайне подозрительно :)
А нельзя скиммер заставить передавать на недалеко спрятанный передатчик данные, скажем по wi-fi или даже Bluetooth?
Вы скиммер хоть раз видели? Куда Вы там всю эту доброту пихать будете?
Вы не поверите… Есть с чем угодно: блютус, вайфай, gsm.
Прайсик

У нас в банке один раз кардера повязали:
1. Поступила жалоба с подозрением на скиммер
2. Пока СБ собиралась, мы глянули камеры.
3. На камерах засветился чувак с ноутбуком — сидел четко напротив банкомата, один, с ноутбуком, в небольшом магазине в котором люди с ноутбуком вряд ли сидеть будут.

У него был скиммер с блютусом и камера с флеш-памятью и активацией записи по движению.
Ничего себе, до чего они дошли уже. Интересно посмотреть на начинку, как они там разместили все это дело.
А там и скиммеры уже не просто маленькие накладки внутрь или на прорезь.
Там вот такие махины есть:
Скрытый текст
image


При желании в англоязычном интернете много информации как самому такой сделать. При большом желании в немецкоязычном(не знаю почему именно на немецком) еще больше информации.
купить б/у банкомат (частично нерабочий) — нужен ридер и моник
выпотрошить внутренности
поставить туда мини-атх какой-нибудь и 3g
все.

думаю выйдет цена одного порядка с скиммером.
Сберовский банкомат, как мне известно, стоит около 1,5 ляма рублей (это с gps и прочими приблудами). Классом хуже, который в Москве еще поискать надо, положим 1 лям. Минус скидка за б\у. Выходит около 700к за штуку. Но это все по тем ценам, что я слышал. Может есть и за 500к банкоматы какие, понятия не имею. Цена скиммера же порядка 50-150к рублей. Разница ощутима, не?
В США порой подержаные банкоматы продаются чуть ли не на craigslist и ebay.
Это я в курсе. Вы из США банкомат попрете? Или по почте закажите? Хотя, может и у нас аналоги есть, не слышал о таком в России.
Я — не попру. Кардеры, которые оборачивают сотни тысяч и миллионы в месяц — запросто.
Это было риторическое «Вы». Я не представляю, кто их с этим в самолет пустит.
Вы меня троллите, или что? Из Америки частники автомобили возят десятками, причем арендуя палубу на корабле-сухогрузе, а вы «банкомат — проблема довезти». Вы себе представлете грузопоток между США и Европой хоть?
Нет, я не могу понять с какой целью это могут делать. Слишком проблемно же будет все это делать и оформлять. Не факт, что вообще большая выгода в итоге выйдет если перевозить не как личный багаж (образно).
(устало) С целью быстро украсть много денег.
«Слишком проблемно» — для вас. Но если у вас есть много незаработанных денег это все занимает ровно один телефонный звонок.
Но ведь тогда и в России можно купить аналогичный банкомат, получив его в более короткие сроки?
Я непонимать, простите :(
Зачем покупать _настоящий_ банкомат? Злоумышленникам требуется сделать просто похожий внешне, хоть из окрашенной фанеры. Т.е. расходы — корпус+ридер+комп+камера. Всё вполне себе укладывается в 2-3 килобакса — взятки нужным людям наверняка больше, чем стоимость такого фейка.
В России нет открытого рынка банкоматов, невозможно прийти с улицы и купить один штук. В США — можно.
У нас в банке стоит банкомат нафиг никому не нужный уже года 3. Домой хотел себе забрать =), но вес останавливает.

А так, когда банкомат совсем барахло, если есть знакосмые в банке — можно совсем за копейки забрать под списание.
не-не… купить бу можно тыс за 200к-250к. это если не заморачиваться и покупать рабочий или почти-что рабочий.
но он не нужен рабочий. а значит будет- еще дешевле.

к тому же я хотел бы настаивать, что, в случае с таким применением и подходом, когда банкомат у вас месяц стоит и вы просто собираете данные о картах нет никакой разницы стоит он 150к или 700к. по итогам, так-сказать.
Месяц он еще простоять все же должен. Но если Вы в договоре с начальством данного заведения, как заметили выше, то тогда конечно разницу не особо ощутите )
Мне кажется, даже если пару часов простоит — уже окупится. Начальство банкоматы не считает по утрам. Оно приезжает, возможно через другой вход, а может и не приезжает, а сиди в офисе, в центре…

Думаю зловреды официально нанаяли мужиков в форме, сказали где сгрузить и куда подключить (кстати — это может быть самой большой проблемой) а затем тупо ждали — проскочит или нет.

Охрана в еропорту может была отвелечена параллельно ерундой какой, возможно доили подставного человека или просто мух не ловит.

Вообще такой обман как тут — был описан давно, думаю лет 12-15 назад я точно видел списки возможных незаконных поступков с примерами. Банкоматы, правда, были дороже и их временно привозили, а потом вывозили. Дело было в юса.

Ну теперь то реестром заблокируют такие списки и мы заживем! :)
Ну я думаю они заключили стандартный договор на установку банкомата, как бы через подрядчика и всё. В новости же не сказано что их поставили тайно, просто банка такого нет, а установили то их я думаю по договорам как и положено.
Можно сделать просто муляж. Коробка, по форме похожая на банкомат, экран, кнопки и считыватель. Такое будет стоить копейки.
НЛО прилетело и опубликовало эту надпись здесь
Сорри за оффтоп, но Вы неправильно пишете слово «геморрой» =)
Пару дней назад это уже резануло глаз в комментарии здесь, но тогда я прошел мимо, мало ли, мб опечатка и вот опять, тенденция налицо.
«Геморрой» это болезнь прямой кишки.
«Гиморой» («Гимор») — болезнь мозга.
;)
После того, как банкомат «съел» карту, большинство обычно карту блокируют. Выгоднее сканировать, чтобы пользователь не заподозрил неладное.
Это аэропорт с кучей иностранцев. Сомнительно, что они отличат альфа-банк от втб, а тот, в свою очередь, от «левого» банка. В этом, видимо, идея и заключалась.
НЛО прилетело и опубликовало эту надпись здесь
Если вы иностранный гражданин — вам до лампочки, «альфа», «сбер», «втб» или «дед иван и внуки». Вы видите две заветных иконки — Visa и MasterCard — значит вашу карту примут.
К тому же, в аэропорту большой трафик иностранцев, которые точно о местных якобы более надёжных банкоматных сетях не в курсе.
Плюс, есть банки, выпускающие карты, но не имеющие своих банкоматов вообще или почти не имеющие — ТКС банк (вообще нет банкоматов) окаянный, Связной Банк (только в отделениях), QIWI Банк, Авангард (банкоматов ОЧЕНЬ мало)
Собственно как и в любом другом случае (описание очевидцев, фоторобот и т.п.)
ИМХО в аэропортах много иностранцев для которых наши банкоматы наверно все чужие.
так самый прикол в том, что у них есть полная копия карты + пин и человек, который на пару недель улетает, в отпуск, например.
они, вообще, могли сразу бабки не снимать. держать копию. а когда понадобится (когда банкомат насосет много данных) — уже сделать свое черное дело (да хоть через полгода, когда все забудут кто и куда чего совал)

Если банкомат зажует карту, то человек поднимет шум — фальшивку быстро обнаружат, карту заблокируют и т.д. А так, человек просто подумает, что банкомат неисправен, заберет карту и пойдет к другому банкомату. Преступники получат скан и пинкод.
ЗЫ: Отстаете. У нас, в Киеве, таким развлекаются еще с 2010 года finance.obozrevatel.com/business-and-finance/militsiya-zaderzhala-vladeltsev-falshivogo-bankomata-v-karavane.htm ))))
Интересно мы отстаем или полиция :)
Полиция то как раз на коне.
Это мог быть реальный подставной человек (обычный наемный менеджер которому дали доверенность с правом подписи и отправили подписать договор)
НЛО прилетело и опубликовало эту надпись здесь
В крупных ТЦ и уж тем более в аэропортах появление «вооруженных людей в камуфляже» согласовывается с обслуживающим чоп-ом или увоошниками, а в аэропортах и с «настоящей» полицией. Без согласования и извещения — даже если бы дали поставить банкомат — на этом бы все и закончилось.
Ну так все как обычно: сначала руководство договаривается с энтузиастами об откате, затем энтузиасты зарабатывают, не забывая делиться. Ну а когда спалят конторку — руководство ничего не знает, ага.
НЛО прилетело и опубликовало эту надпись здесь
При тех заработках, что нынче получают гребаные кардеры, им не напряжется _официально_ нанять ЧОП и оформить все необходимые документы. Что вы как иностранец какой. Вот приходит человек, кладет на стол пачку денег в долларах, и говорит: «Нам надо, чтобы все было чисто, аккуратно и быстро. Это — задаток». Все сделают и не поинтересуются. А уж если и документы на банковскую организацию (ликвидированную в 1999 году, но это никто не знает) имеются, то и вообще — в чем проблема?

Так что это — первая ласточка. А с учетом того, что полиция в России в основном занимается крышеванием (и изредка, когда уж совсем нечем заняться больше — ловит преступников), то предсказываю, что таких «банкоматов» мы увидим еще много. Золотое дно жеж.
Нельзя не париться на счет аренды — банкомат занимает место и владелец этого места есессно хочет денег и спросит какого тут стоит эта будка. У банков нет права раскидывать свои банкоматы где вздумается.
НЛО прилетело и опубликовало эту надпись здесь
Ну Вы поставьте себя на место владельца (охраны) аэропорта. Приехала машина, люди выгрузили будку, поставили, подключили (!)
Сдается мне дело не обошлось без согласия руководства аэропорта…
НЛО прилетело и опубликовало эту надпись здесь
В том-то и дело, что то, что не прокатит в семейном магазине, где именно владелец постоянно всё «инспектирует», вполне может прокатить в здоровой структуре, тем более полугосударственной. Назвали той же охране фамилию кого-нить из топов, сунули под нос бумагу типа с его подписью и всё, да сказали что-нибудь типа «можешь позвонить ему, рн как раз с нашим шефом обедает». А следующая смена ещё один банкомат так вообще может не заметить.

В общем наглость — второе счастье. Помнится на военный аэродром проезжали на машине без всяких документов — просто с нами бывший майор был, рявкнул как надо и сомневаться в его полномочиях ни у кого даже мысли не возникло.

Я такую тупую охрану только в кино видел (если «хороший» пытается проникнуть внутрь, конечно)
Я в реале видал и не раз. Это и старичок-вахтер может быть, и полицейский, и охранник, и лейтенант армейский. Есть люди, которые умеют с ними разговаривать так, что если возникают сомнения, то держат при себе, чтобы идиотом не оказаться. Могут возражать типа «у меня инструкция...», а им говорят куда эту инструкцию засунуть, ведь есть просьба высокого человека. И слушаются.

У меня так не получается, видимо чувствуют как-то мою неуверенность, но вот людей у которых получается знал раньше. Все бывшие служаки в звании не ниже капитана.
У меня по жизни сложилось мнение, что нет «высоких» людей.
Буду хорошим охранником, наверное.
Видимо вы просто в своей (недолгой;) жизни таких не встречали.
А можно пофамильно, кто у нас «высокий»?
Любой, при разговоре с которым вам хочется бежать срочно делать все, что он вам говорит. Это может быть ваша мама, например, да мало ли.
«Мамой клянусь!» ©
Какой-то Вы впечатлительный и подвержены влиянию других. Надо свое мнение иметь все же.
В армии, я так понимаю, вы тоже не служили? ;)
В реале это провернуть гораздо проще, чем кажется. Лично видел, как инкассаторы подъезжали не на своих бронированных автомобилях, как обычно, а на убитой белой шестёрке и забирали кассу. Настоящие оказались, по какой причине были на таком авто — непонятно. А переодеться в их форму любой может. Слова никто не сказал. Вот история с банком, и я склонен ей верить.

В местах большого скопления людей всегда крутится обслуживающий персонал у банкоматов и терминалов, разные компании, разные лица и прочее, их инкассируют, их чинят, реже — отвозят/привозят. И охрана это постоянно видит, для неё в этом ничего сверхъестественного. Надел спецовку, сделал тупую морду, ткнул бумажкой, и вперёд.

А вот куда бежать потом, когда вскроется мошенничество, а ты попал в объектив десятков камер — это другой вопрос.
Бывает всякое.

Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.
— Я — Фунт, — повторил он с чувством. — Мне девяносто лет. Я всю жизнь сидел за других. Такая моя профессия — страдать за других.
— Ах, вы подставное лицо?
— Да, — сказал старик, с достоинством тряся головой. — Я — зицпредседатель Фунт. Я всегда сидел. Я сидел при Александре Втором «Освободителе», при Александре Третьем «Миротворце», при Николае Втором «Кровавом».
И старик медленно загибал пальцы, считая царей.
От подавляющего большинства проблем с картами в оффлайне помог бы запрет от ЦБ в адрес банков проводить операции по картам эмитированным российскими банками по магнитной полосе. Кроме этого необходима изначальная блокировка, с возможностью отменить заявлением, любых зарубежных транзакций. Это снимет проблему снятия дампов карт. Останутся только операции в интернете. Тут так же можно запретить транзакции без дополнительного кода. Тем не менее Руководство добро и щедро, не даст умереть кардерам.
НЛО прилетело и опубликовало эту надпись здесь
Без регулирования ситуация не изменится. Чиповые карты уже более 10 лет существуют, а с карт как воровали так и воруют. При этом есть страны где запрещены операции по полосе по внутренним картам.

Основная причина — карта с чипом стоит в 10 или больше раз больше магнитной. И все остальное банки устраняет устраивает. А клиенты как теряли деньги так и продолжат.
Клиенты, которые не хотят терять деньги, пользуются чиповыми картами.
Чип на карте не решает проблемы воровства. Платеж по полосе и пин вполне легитимная операция в оборудовании без поддержки чипа. Всё что даёт чип это правила платёжной системы, но почитайте форум банки.ру и увидите как порой призрачна польза чипа.
В любом случае, первична проблема не магнитной полосы, а интернет-платежей по текстовым реквизитам, считать которые с карты можно без спец. оборудования. Как мне кажется, большинство кардинговых операций происходит как раз в интернете.
Сложно без статистики утверждать чего больше, но сама система устарела и если совсем её невозможно перебороть, то можно сделать более безопасной одну страну.
Разница в распределении ответственности.
Интернет-фрод отбивается почти в 100%. Транзакцию, подкреплённую пин-кодом, отбить практически нереально.
А зачем эти запреты?
Банков навалом. Несложно выбрать банк выдающий карту с чипом (в случае если карта с чипом, то операция по магнитной полосе отменяется на раз-два, без лишних вопросов вообще), позволяющим блокировать зарубежные транзакции (хотя это не необходимо, если карта с чипом, ведь транзакции по дампам уже не проведешь) и проводящего операции в интернете только через 3д секьюре (или как там его, все время забываем) и/или же позволяющего их контроллировать (допустим в ИБ отдельный пункт с лимитами для этих операций).
Так что это вопрос выбора банка потребителем и не более того.
Мне другое непонятно: почему до сих пор нет технологии интернет-платежей, использующей чип карты для подписи транзакций. Чтобы получить информацию, необходимую для оплаты в инете, не надо даже близко к владельцу карты подходить.
Если мы правильно Вас поняли, то Вы предлагаете использовать чип карты вместо своеобразного токена? Тогда ответ простой — каждому нужно будет всучить доп.оборудование для работы с этим чипом.
Совершенно верно. Это доп. оборудование стоит 500 рублей. А если бы такое применение карт стало массовым, через пару лет кардридер был бы в каждом ноутбуке.
А чем это принципиально лучше подтверждения транзакции по СМС допустим?
Плюсов масса:
1. Не требуется взаимодействие с сервером банка, который генерирует код и отправляет СМС.
2. Не требуется находиться в зоне действия сети (заграница, подвальное помещение, много чего ещё)
3. Не надо ждать, пока будет отправлено и доставлено СМС
4. Не надо вводить дополнительные коды
5. И главное – не надо каждый раз заполнять кучу полей
Уже давно в неск. российских банках для интернет-банкинга можно заказать криптокалькуляторы, все операции в интернет-банке при этом подтверждаются спец. кодом который генерирует этот калькулятор. Штука стоит 500 р., размером с пластиковую карту, в принципе удобно и не нужен сотовый телефон.

Подробнее можно почитать тут
community.indeed-id.com/viewtopic.php?id=277
Проблема в том, что все эти калькуляторы применимы только для ИБ и не работают с 3d secure.
К тому же, см. список. Эти калькуляторы решают только третью проблему. Остальные остаются.
НЛО прилетело и опубликовало эту надпись здесь
Не любой, а только тот, кто знает пин. Узнать пин от карты сложнее, чем узнать реквизиты карты того, чей телефон вы нашли. Кроме того, нормальные люди блокируют карту в случае утери.
НЛО прилетело и опубликовало эту надпись здесь
> Подскажите как же узнать реквизиты карты того, чей мобильник нашли?
> Узнать пин от карты можно например подсмотрев ввод пинкода в ресторане.
Подскажите, пожалуйста, как можно подсмотреть в ресторане ввод пинкода от карты, которую я нашёл.

> Да и потом вы просто предлагаете запрашивать пин онлайн
Каждый день узнаёшь о себе что-то новое.
3D Secure — защита от «у вас увели аккаунт от сервиса, который помнит данные вашей карты». Не вижу в нем ничего, что могло бы защитить от человека с фотоаппаратом и вашей картой в руках.
3D-Secure подразумевает дополнительную авторизацию непосредственно между кардхолдером и эмитентом с использованием другого канала связи.

Не вижу в нем ничего, что могло бы защитить от человека с фотоаппаратом и вашей картой в руках.


Одна из схем — приходит одноразовый пароль в sms, который надо ввести в форму эмитента на сайте. Ни фотоаппарат, ни наличие карты, здесь не помогут.
3D-Secure подразумевает дополнительную авторизацию непосредственно между кардхолдером и эмитентом с использованием другого канала связи.

Есть нюанс. Исключительно в том случае, если мерчант поддерживает 3D Secure. Иначе все по старинке. К примеру, пейпал, амазон и колоссальное количество прочих принимающих карты мест не поддерживают. Потому, как я уже говорил, 3D Secure защитит вас только от угона аккаунта. Даже защиты от злонамеренного мерчанта нет — он сможет применить данные вашей карты в любом другом месте.

И да, я прекрасно знаю, что это, и нередко сталкиваюсь с секьюркодом.
Вы абсолютно правы. Но если 3D-Secure нет, действуют совершенно другие правила игры и опротестовать такую транзакцию значительно легче.

Собственно, сейчас имеется явный вектор переноса ответственности с мерчанта на кардхолдера. Настолько, что многие банки даже стали разрешать ТСП-транзакции по чиповым картам без обязательного ввода пин-кода.
Если короче, то сильно сокращается количество точек отказа, повышается скорость.
Dell Latitude. Уже много лет картридеры в поставке.
Тем более.
Другое дело, что там тоже заморочка. Картридеры на чипах от Broadcom, а в них RFID, например, через CCID по умолчанию выключен, а включается только через проприетарный броадкомовский протокол проприетарной броадкомовской утилитой, существующей только для Windows, посему лучи ненависти и поноса броадкому за это.
Panasonic Toughbook аналогично. Смарткарт ридер в базовой поставке большинства машин серии уже лет как восемь.
В Украине так работает НСМЭП. Не прижилось особо. Несмотря на продвижение национальной системы государством)
Но более-менее доверять ему можно только если это твой компьютер. На чужом мало чем отличается от ввода номера и cvc
На чужом есть опасность подписать не ту транзакцию – не более. Никаких секретных данных злоумышленник всё равно не получит. И то там уже должен быть троян, который заготовил транзакцию на подпись и только и ждёт, как бы кто карточку вставил. А вообще – не стоит совать крипто-токены в недоверенные девайсы.
Не в курсе технологий в картах, то заточенный под кардинг ридер не даст никаких преимуществ?

А если не совать в чужие компы, то многие преимущества карты пропадают.
> Не в курсе технологий в картах, то заточенный под кардинг ридер не даст никаких преимуществ?
Если я правильно понимаю, на чипе записан закрытый ключ нессиметричной пары, которым он и подписывает транзакции. Соответственно, никакие ридеры не помогут снять с него данные, которыми можно невозбранно пользоваться. Пин требуется, чтобы убедить чип в необходимости подписать транзакцию, которую ему подсовывают.

> А если не совать в чужие компы, то многие преимущества карты пропадают.
Какие, например? Лично я за всю жизнь ни разу даже не испытывал необходимости произвести интернет-оплату с чужого компа.
Банальная необходимость пополнить счёт мобильника в командировке. И вообще куча кейсов, если придерживаться копирайта — пришел в гости и хочешь послушать свою любимую песню или посмотреть фильм.
Вы не совсем правы — есть куча важных удобств, которые при смене банка пропадут. Например, удобство и стоимость обслуживания расчётного счёта для юр.лица или ИП, удобство быстрого и бесплатного перевода с зарплатной карты или расчётного счёта, кредитный лимит на хороших условиях, удобство оплаты всяких автокредитов, удобство расположение банкоматов и офисов в конце-концов.

Ну и, помимо прочего, подавляющее большинство потребителей имеет только зарплатную карту — какую дали. Тут уж…
Даже сбер давно чиповые выпускает по умолчанию. Какие с этим проблемы могут быть?
А если человек пользуется тем, что дали, то это его личные сложности.
Давно — это немногим больше недели: www.1prime.ru/banks/20130701/764569925.html
Раньше они выдавали кучу всяких maestro только с полосой.
Мне больше четырёх лет назад выдавали. Чиповые.
Это Мастеркард или Виза Классик, Электрон или Маэстро только с полосой.
Маэстро и электрон – это изначально недокарты.
Мне осень заблокировали карту из-за «подозрительных» транзакций. А я всего лишь за платную дорогу заплатил пару долларов. Причём там даже пин-код вводить не надо было, просто свайпнуть карту. В итоге 10 минут международных разговоров и перевыпуск карты, всю поездку приходилось платить другими карточками.

Если вы попросите у банка проводить транзакции только подписанные чипом, то вы не сможете пользоваться картой в США. Там давно пользуются безналичной оплатой, легаси и всё такое. В отличие от них в Голландии невозможно пользоваться картой без чипа.
Я написал про территорию России. За границей карта должна работать как обычно.
Ну звонить каждый раз не особо удобно. Да и оказаться в месте, где только старый аппарат, не понимающий чипованные карты, в России тоже можно. Причём это произойдёт в там, где вы не ожидали подвоха.
Идея в том, что бы банки сначала везде расставили чиповое оборудование и одновременно эмитировали только карты с чипом (чип не исключает полосу). Можно ввести запретительные пошлины на оборудование только с полосой и бланки с одной полосой. Когда всё готово — полосатые операции в стране прекращаются, всё только по чипу. Перед поездкой снимаем в банке ограничения по странам. Можно при заказе снять ограничения и т.д. главное ограничения установлены по умолчанию и действуют на то большинство которое не ездит заграницу, а именно у них чаще всего крадут деньги (их просто больше). Заодно отмирает целый пласт преступности. Если внутри России все операции будут по 3д секьюр, то пропадает смысл делать фото карт.

Останется только прямое насилие и кражи от которых технологически не защититься.

Можно ещё скостить налоги визе и мастеру за массовую рекламу виртуальных карт и способов безопасности при обращении с картами, но это как то будет слишком профессионально.
Основная проблема — что банков в стране порядка тысячи (конечно, не все они занимаются пластиком, но тем не менее), а оборудование это весьма недешёвое.
Попробуйте сорганизовать тысячу контор в разумные сроки купить и заменить оборудование.
Нужно регулирование того в чем сами банки договориться не могут. Текущая ситуация с чипами не даёт особого преимущества перед полосой.
Фальшивый банк, ненастоящий аэропорт, поддельная страна…
Я из-за вас в очередной раз «Ширли-Мырли» пересмотрел, нельзя так над людьми издеваться.
Да, такую капусточку не дай Бог никому.
Могли бы ещё и деньги фальшивые выдавать:)
А вместе с вывеской «Комиссия 0%!» пользовался бы дикой популярностью.
Да можно было и доплачивать пару процентов, типа, «Аттракцион невиданой щедрости», чего уж там :D
Вы будете смеяться, но в нашей деревне, для маскировки, на небольшие суммы съема деньги выдавались. Самые настоящие.
Видел в СПБ в ТРК Сити-Молл банкомат, оранжевый такой, без опознавательных знаков вообще — нигде нет названия, телефона саппорта и подобных атрибутов. Только список услуг, в т.ч. «смена пинкода».

Пытался погуглить что это — безуспешно. Показывал фотку знакомым «что не так с банкоматом» — кажется никто не понял.
Полицию вызывать надо бы в таких случаях — кроме того, что банкомат подозрительный, это может быть вообще взрывное устройство.
Надо всегда начеку быть — в современном мире. К сожалению.
Ну… уж слишком это всё странно и невероятно.

В ТРК есть охрана, руководство которое продало место. До прочтения новости в посте не поверил бы, что можно так установить левый банкомат в проходном месте с охраной и собственниками.
Можно ещё и унести не левый банкомат.
Ну вы как не в России живете. За деньги, при наличии не выглядящих откровенно липовыми документов — да что угодно, тем более на выделенные под аренду площади, тем более за хорошие деньги (а у кардеров сейчас крутятся весьма большие деньги). И банкомат никакой не подозрительный. Обменнгики от «Банка Ухтакогалымзолото» у вас не подозрительны, а стандартный банкомат — подозрителен.
Сомневаюь, что дошло до заинтересования заинтересованных лиц. Скорее воспользовались «социальной инженерии».
По просьбам в личке — вот фотка.
habrastorage.org/storage2/463/0bb/bc3/4630bbbc3526e666ee36d1532dd5e89e.jpg

Может кто-нибудь опознает девайс и скажет что всё в порядке, и это новый просто дизайнерский ход только что открытого банка?
Ну, теоретически, вполне возможен банкомат не от банка. Другое дело, что в России такое пока совсем не встречается, а в США — сплошь и рядом, например.
Когда впервые с этим в Канаде столкнулся, очень некомфортно себя чувствовал. Голая машина без каких-то знаков с древним мелким ЭЛТ-монитором и одной надписью ATM сверху. Но рядовое дело, как оказалось.
А еще этот странный считыватель магнитной полосы, в который надо карту совать и тут же выдергивать…
От обделённого в хабраправах пользователя пришло предположение, что это банкомат Мастер-банка, «даже анимация на экране мастер банка».

Посмотрел в гуглокартинках — действительно похож. Но отсутствие логотипа ещё больше укрепляет меня во мнении, что это скорее honeypot/фишинг.
Позвоните в Мастер Банк, и попробуйте у них уточнить.Очень похоже на их банкомат.
Похож на Мастер.Банк

image
Суровые русские скиммеры…
Вместе с сайтом (где присутствует раздел «ипотека») — высший пилотаж!
Вот это СБ отработало! А потом удивляются что бомбу пронесли в аэропорт. Усилили безопасность называется.
И даже не важно, что руководство, вероятно, знало об этой махинации. Крайним будет безопасник, на его месте, как только такая идея бы появилась, я бы сразу свалил.
Ссылку на РИА, ИФАКС или ТАСС не помешало бы. Что «МК», что «ТРУД»… Одни уточники, другие копипастеры.
Как-то выглядит не правдоподобно пока.
Спасибо за инфу. Будем лишний раз знать, что не стоит пользоваться непонятными банкоматами. А у меня и так любой банкомат со «стрёмным» названием всегда вызывает недоверие. Если не украдут данные карты, так влупят комиссию огромную.

Кстати, украсть данные карты можно и через «нефальшивый» (т.е. настоящий) банкомат. Об этом была ещё сто лет назад передача на Дискавери. Человек, который обслуживал легальные банкоматы слепил девайс, который поставил внутрь банкомата и при помощи него просто копировал на свой носитель все данные с кард-ридера и клавиатуры. Было это так давно, что ещё 3G не было и преступник сам же и забирал дамп приходя на следующее «обслуживание» банкомата. Конечно, вычислили его легко, т.к. список пострадавших ограничивался пользователями одного и того же банкомата. ))

Мне, кстати, раза 3 карту блокировали, потому что она побывала в банкомате, который «был скомпрометирован». После того как один человек пожаловался, СБ смотрит список всех клиентов кто пользовался данным банкоматом и сообщает в их банки, а там блокируют.
Меня вот только одного поражает, что в то время, как «корабли бороздят простроры космоса», а самая «бедная» банковая система не удосужилась внедрить безопасный метод работы с деньгами. Или это так специально делают…
Вы еще в США не были, где до сих пор чековые книжки и от руки выписываемые чеки вполне в ходу. И банкоматы, кроме магнитной полосы не умеющие с карты ничего читать вообще.
Какой например? Чтобы был не менее удобный для пользователей.
В комментах по-выше есть пару вариантов. Было бы прекрасно, чтобы был выбор с различными показателями УДОБСТВО/БЕЗОПАСНОСТЬ и каждый сам бы себе решал, что для него лучше.
общая тенденция вроде как сам приниаешь решение", а за ошибку платят налогоплтельщики.
Терял как-то деньги с карты. 20К. Написал заявление в банк, вернули. Хоть и через 7 месяцев, но тем не менее, доволен. С тех пор на карте денег не держу :)
А почему на фото банкомат Русского Стандарта?
еще и cash-in only, видимо)
Руководство аэропорта даже не в курсе кто ЭТО поставил там? Т.е. я могу придти с улицы с банкоматом подмышкой и поставить его? Или руководство ради своей прибыли разрешают таскать банкоматы всем подряд без проверки?
Метя тоже это удивило, особенно, в аэропортах. Куда смотрит служба безопасности? Таким образом можно и под фейковый банкомат бомбу заделать.
Служба безопасности, если орехи не щелкает, реагирует на уже осуществившиеся угрозу. Люой вектор атаки предсказать она не в состоянии в принципе — затыкают ( и то не факт) самые простые дыры.
Руководство, скорее всего, в курсе — просто такую информацию журналюгам обычно не дают «в интересах следствия».
А что касается «придти с банкоматом» — ну в аэропорту десятка полтора, наверное, банков арендует место под банкоматы. Пришёл ещё один, арендовал 2 кв.м. — форма договора стандартная, печать есть, какие проблемы? Дело обычное.
Дизайн сайта отсюда взяли — btabank.by
Да и контент тоже.
Еще нужны поддельные терминалы пополнения счетов мобильных операторов, онлайн-игр, погашения кредитов, оплаты услуг ЖЭКа и прочего, где осознание того, что что-то пошло не так, придет максимум через пару часов.
Кредитов, а особенно услуг ЖКХ осознание придёт только через месяц (с новой платёжкой или в случае кредита чуть раньше — банк начнёт присылать смски счастья).
Значит точно администрация аэропорта была в деле.
Представители Шереметьево подчеркнули, что внести и установить банкомат в терминал аэропорта невозможно без согласования с ответственными службами.

Если в цепочки возможностей участвует человеческий фактор, то точно нет ничего невозможнго.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории