Комментарии 199
Хаб 'DIY или Сделай Сам' отлично подходит к теме.
Думаю, что банкоматы единого стандартизированного вида сильно усложнили бы задачу мошенникам.
А кстати что на счет банкоматов с сенсорным экраном (отсутствие клавиатуры) и большой монолитной панелью с щелью для карты (навесное устройство уже будет выбиваться из «колорита»)? Уже такие появляются.
А кстати что на счет банкоматов с сенсорным экраном (отсутствие клавиатуры) и большой монолитной панелью с щелью для карты (навесное устройство уже будет выбиваться из «колорита»)? Уже такие появляются.
Всегда будет щит и меч, даже если авторизация будет по отпечатку лба :)
Клавиатура в банкоматах это вроде как еще и шифровальное устройство (вводимый пин сначала шифруется клавиатурой а только потом передается дальше)
НЛО прилетело и опубликовало эту надпись здесь
На всех его элементах должна быть случайная раскраска как у зебры, тогда чтобы добавить скриммер надо подогнать рисунок еще.
Хотя от супер миниатюрных не защитит.
Хотя от супер миниатюрных не защитит.
Казалось бы, что же мешает банкам сэкономить миллиарды долларов клиентов и перейти только на чиповые карты…
Банкам плевать на миллиарды долларов чужих денег
Так-то!
Банки зачастую возвращают уведенные деньги. Так что им не плевать а просто потери пока ниже стоимости внедрения более совершенных систем безопасности.
Ню ню, возвращают они деньги… Дайте мне Вашу карту на 30 минут и потом бегите в банк с криком, что вас треснули по голове, отобрали карту, а предварительно пригрозив горячим паяльником Вы сказали им пин-код и я посмотрю через сколько недель-месяцев мучений Вам вернут деньги и вернут ли вообще.
Я знаю тех кому возвращали, скажем так.
Знаете, не нужно обобщать опыт отдельно взятой страны на весь мир. Я не то что «знаю тех, кому возвращали» (как комментатор выше), а лично мне банк (канадский) вернул $820 когда кто-то совершил покупку по копии моей карты. Мне даже никуда «бежать» не пришлось, мне хватило а) позвонить в банк и сообщить о «чужой» транзакции, и б) подписать присланное банком заявление в духе «я не совершал эту покупку и никому не передавал свою карту для ее совершения», после чего отправить его по почте.
Деньги вернули, карту блокировали и через неделю прислали по почте новую. Нет, не было никакого «приходите в отделение с паспортом, пишите заявление, собирайте кучу справок, и ждите два-три месяца, пока мы решим, вернуть ли вам деньги».
Деньги вернули, карту блокировали и через неделю прислали по почте новую. Нет, не было никакого «приходите в отделение с паспортом, пишите заявление, собирайте кучу справок, и ждите два-три месяца, пока мы решим, вернуть ли вам деньги».
Покупка по карте — это не то же самое, что обналичка денег в банкомате. Во-первых, для покупки обычно не требуется вводить пин, а только расписаться. Такие транзакции могут быть отозваны в большинстве банков-эмитентов, а убытки ложатся на торговую точку, т.к. это по вине точки личность картодержателя не была установлена надлежащим образом. По этой же причине иногда в магазинах спрашивают паспорт при оплате по кредитке.
Покупка или обналичка с вводом пина — это совершенно другое. Мне в одном немецком банке сказали, что в случае ввода пина вся ответственность за такие транзакции ложится на клиента. Клиент несет всю ответственность за содержание своего пина в тайне. А ответственность торговых точек и банкоматов ограничиваются проверкой пина.
Вы можете, конечно, обратиться в полицию. В результате расследования может быть установлено, что это действительно не вы совершили транзакцию, и пин поступил в руки злоумышленников против вашей воли и несмотря на все разумные меры, которые вы могли принять в этой ситуации. Может быть, после этого банк вернет вам деньги, хотя не факт, что закон возлагает ответственность на банк в этом случае.
Покупка или обналичка с вводом пина — это совершенно другое. Мне в одном немецком банке сказали, что в случае ввода пина вся ответственность за такие транзакции ложится на клиента. Клиент несет всю ответственность за содержание своего пина в тайне. А ответственность торговых точек и банкоматов ограничиваются проверкой пина.
Вы можете, конечно, обратиться в полицию. В результате расследования может быть установлено, что это действительно не вы совершили транзакцию, и пин поступил в руки злоумышленников против вашей воли и несмотря на все разумные меры, которые вы могли принять в этой ситуации. Может быть, после этого банк вернет вам деньги, хотя не факт, что закон возлагает ответственность на банк в этом случае.
А я вам и про обналичку в банкомате расскажу, не вопрос :)
Буквально в первый месяц нашего присутствия в Канаде брат жены, у которого мы остановились на первое время, рассказал, что буквально на днях у них был такой фрод: кто-то сделал «депозит» на 500 долларов, и тут же снял 450 долларов. Тут нужно пояснение: при получении на руки бумажного чека (от работодателя, от социальных служб, еще от кого-нибудь), его можно положить как в отделении банка, так и непосредственно через банкомат. Выбирается опция «Депозит», вводится сумма, указанная на чеке, а чек кладется в специальный конверт и суется в банкомат. Если вы давний клиент банка, то вам «верят на слово» и указанная сумма зачисляются на счет моментально, тогда как содержимое депозитной ячейки изымается и проверяется только раз в сутки.
Так вот: сделали «депозит» на 500 долларов (сунув пустой конверт), и тут же сняли 450. Фейковый депозит нужен был на случай, если на счету денег недостаточно. Разумеется, при проверке депозитной ячейки обнаружился пустой конверт, и на следующий день им позвонили из банка с закономерным вопросом «какого хрена?» Ну и разумеется, после того, как в ответ услышали «човаще??», и получили подписанную бумажку «я не я и корова не моя», деньги вернули. А обращением в полицию и установлением факта, были это вы или кто-то другой, занимается уже сам банк.
Тут просто фишка в том, что законопослушному гражданину нет никакого смысла заниматься подобным фродом с самим банком, т.к. если это вскроется, то на кредитной истории можно ставить крест. А хреновая кредитная история — это полный пипец нормальной финансовой жизни: ни тебе кредита на дом, ни тебе кредита на машину, ни даже полноценной кредитки. И все это ради шанса поиметь на халяву несколько сотен долларов? Как-то не стоит свеч такая «игра»…
Буквально в первый месяц нашего присутствия в Канаде брат жены, у которого мы остановились на первое время, рассказал, что буквально на днях у них был такой фрод: кто-то сделал «депозит» на 500 долларов, и тут же снял 450 долларов. Тут нужно пояснение: при получении на руки бумажного чека (от работодателя, от социальных служб, еще от кого-нибудь), его можно положить как в отделении банка, так и непосредственно через банкомат. Выбирается опция «Депозит», вводится сумма, указанная на чеке, а чек кладется в специальный конверт и суется в банкомат. Если вы давний клиент банка, то вам «верят на слово» и указанная сумма зачисляются на счет моментально, тогда как содержимое депозитной ячейки изымается и проверяется только раз в сутки.
Так вот: сделали «депозит» на 500 долларов (сунув пустой конверт), и тут же сняли 450. Фейковый депозит нужен был на случай, если на счету денег недостаточно. Разумеется, при проверке депозитной ячейки обнаружился пустой конверт, и на следующий день им позвонили из банка с закономерным вопросом «какого хрена?» Ну и разумеется, после того, как в ответ услышали «човаще??», и получили подписанную бумажку «я не я и корова не моя», деньги вернули. А обращением в полицию и установлением факта, были это вы или кто-то другой, занимается уже сам банк.
Тут просто фишка в том, что законопослушному гражданину нет никакого смысла заниматься подобным фродом с самим банком, т.к. если это вскроется, то на кредитной истории можно ставить крест. А хреновая кредитная история — это полный пипец нормальной финансовой жизни: ни тебе кредита на дом, ни тебе кредита на машину, ни даже полноценной кредитки. И все это ради шанса поиметь на халяву несколько сотен долларов? Как-то не стоит свеч такая «игра»…
Т.е. если у тебя уведут деньги особо изощренным способом, а ты потом еще не сможешь доказать, что «я не я и корова не моя», то еще и кредитную историю тебе испортят?
Нет, вы не поняли. Мне ничего доказывать не надо. Я просто подписываю бумажку, что «я не я и корова не моя» — и все. А вот если после этого банк (или полиция) докажет, что это на самом деле сделал я, вот тогда кредитной истории и хана.
Понимаете, тут выражение «презумпция невиновности» существует не только на бумаге, и не нужно доказывать, что ты не верблюд :)
Понимаете, тут выражение «презумпция невиновности» существует не только на бумаге, и не нужно доказывать, что ты не верблюд :)
Мне кипрский банк возвращал 2.5к евро, украденные с карты. Процедура была такая же как у вас, через 3 месяца вернули. А ситуация была следующая: загрузил на карту деньги для оплаты аренды и т.д. за месяц. Сижу в офисе, начинают сыпаться СМС со списанием случайных сумм, сняли все подчистую с карты. Я позвонил в банк, попросил заблокировать карту по этому поводу.
Не смотря на весь негатив к нашим банкам скажу, что мне лично возвращал Сбербанк. Перевыпустили карту через неделю, а через 2 вернули на счёт деньги. Всё что мне пришлось сделать — позвонить и сообщить о ложной транзакции, а затем прийти в отделение и написать 2 заявления на перевыпуск и возврат средств.
Месяцев десять назад моя жена сунула свою карточку (ситибанк) в оснащённый скиммером банкомат в аэропорту Рио де Жанейро. Через сутки точно так же и в том же самом месте опростоволосился её сослуживец (у него тиньковская).
Упёртые деньги жене вернули через две недели, сослуживцу через месяц. В Россию для этого ездить не пришлось. Ещё через месяц ситибанк прислал жене новую карту.
Что они сделали не так?
Упёртые деньги жене вернули через две недели, сослуживцу через месяц. В Россию для этого ездить не пришлось. Ещё через месяц ситибанк прислал жене новую карту.
Что они сделали не так?
Тинькофф. Не вернули деньги. Карту украли и сняли все деньги. Месяц проводили расследование. Вывод — был введен корректный пин. Пин приравнивается к подписи владельца. Сами виноваты. Из полиции тоже никаких известий.
Не знаю зачем крали карту (вытащили вместе с бумажником). Либо не было скиммера, только камера, либо скиммер не сработал.
Не знаю зачем крали карту (вытащили вместе с бумажником). Либо не было скиммера, только камера, либо скиммер не сработал.
мне возвращал банк. причем их служба безопасности сама позвонила мне по поводу транзакции (правда, я уже отнес к этому моменту заявление). но возвращали долго, месяцев 7. Пришлось напомнить даже :)
сумма была небольшой, около 20000.
сумма была небольшой, около 20000.
Наверное миллиарды долларов требуемых на модернизацию :) а так постепенно переходят. В европе быстрее, у нас как всегда
Вы банковскими картами пользуетесь вообще? Почти все карты у меня в бумажнике чипованные. Даже Instant Issue (Моментум от Сбербанка, Связной Банк неименная тоже была чипованная). И я даже не в столице живу.
Проблема в том, что в банках «дефолтное» значение у сотрудников при выпуске карты — сунуть простую. При этом проблемы выпустить чиповку у них нету и если при выпуске таки ПНУТЬ, то можно получить с чипом…
В России ситуация ещё норм. Может это не совсем так, но в Штатах, по-моему, абсолютное большинство карт без чипа, и оплата в Сети часто происходит даже без подтверждения по СМС.
По моему в большинстве мест используются терминалы для работы с чипами. Т.е. магнитную полосу можно уже спокойно убирать с карты. Ну или давать клиенту две карты, подключенные к одному счету. Одну с чипом, а вторую с магнитной полосой (для раритетных терминалов и банкоматов, если с такими придется столкнуться.)
Ведь без магнитной полосы скиммер бесполезен.
Ведь без магнитной полосы скиммер бесполезен.
Вот только если отключить на банкомате дедект магнитной полосы в него столько гОвна натолкают, что удивишься как его можно было протолкнуть через столь узкую щель.
Чип достаточная защита сам по себе. И магнитная полоса — не ущерб безопасности чипованой карты. Если её соскимят и накатают на другой пластик, терминал/банкомат способный принимать чипы, работать с нею откажется. Если же терминал не читает чипы, финансовую ответственность за подобный фрод несет эквайер, не обновивший оборудование. Именно таким способом — медленно, но уверенно — сети заставляют эквайеров обновлять его.
Я специально смотрел, какие терминалы не умеют принимать чипованные карты вовсе. Ожидал увидеть что-то типа Южного Сомали, но как выяснилось, больше всего банкоматов и POS-терминалов ВООБЩЕ без поддержки чипа — в США. У нас такие POS-терминалы — мобильные терминалы от Связного Банка или ПриватБанка (те, что подключаются к смартфону через гнездо для наушников).
Так что всё-таки лучше блокировать карту в случае чего.
Так что всё-таки лучше блокировать карту в случае чего.
Более того, этим летом в Ирландии столкнулся с тем, что в некоторых точках принимают только карты с чипами, а на терминалах либо вообще нет считывателя магнитной полосы, либо он выключен. При этом мой украинский банк предлагает мне завести карту Голд для решения этого вопроса.
На самом деле, нет — очень во многих местах до сих пор пробивают по магнитной полосе, не то, что Paypass. Вот эти парни даже стартап на этом сделали — потому что малому бизнесу, на самом деле, довольно фиолетово, есть в терминале чип-ридер, главное чтобы транзакции ходили. Причем в РФ, (где-то читал, могу врать) довольно высокая скорость адаптации как чип-ридеров, так и paypass, и в тех же штатах с этим все не так круто.
Вот эти парни даже стартап на этом сделали
У нас есть такой же в рф — тукан. У них уже есть штука для считывания с чиповых карт
А можно ссылочку и/или вкратце, в чем суть?
Бразилия ещё весьма густо оснащена POS-терминалами. Карточкой можно расплатиться даже с уличными торговцами, причём не только в столицах, а и в какой-нибудь перди типа Убатубы или Кабо Фрио.
Я всё жду, когда нищие просекут тему.
Я всё жду, когда нищие просекут тему.
«В Штатах не так круто» — довольно громко сказано. Точнее будет «вообще никак».
Вот здесь варианты. Почти все имеют стоимость обслуживания, что довольно неприятно.
Вот здесь варианты. Почти все имеют стоимость обслуживания, что довольно неприятно.
Почти все имеют стоимость обслуживания, что довольно неприятноС другой стороны, многие кредитные карты предлагают хорошие бонусы, которые, при правильном использовании, в разы окупают стоимость обслуживания.
Посмотрел я бонусы карт по ссылке. Неплохо, но хуже, чем у обычных кредиток.
В общем, идею в массы никак не продвигают.
В общем, идею в массы никак не продвигают.
/режим зануды
А какие есть бонусы у «обычных кредиток» (кроме конечно тех, что автоматически идут от visa, mastercard, amex согласно типу карт)?
А какие есть бонусы у «обычных кредиток» (кроме конечно тех, что автоматически идут от visa, mastercard, amex согласно типу карт)?
Например, Chase предлагает возврат 1-5% от покупок. Плюс бесплатное пользование.
Есть ещё какие-то плюшки вроде беспроцентного кредита на первый год пользования.
На фоне этого ещё и платить за карту считаю кощунством.
Есть ещё какие-то плюшки вроде беспроцентного кредита на первый год пользования.
На фоне этого ещё и платить за карту считаю кощунством.
Согласен с тем, что платить за кредитку, которая мало что даёт, не имеет смысла.
Но с другой стороны, тот же Chase предлагает отличную карту для путешественников: Sapphire Preferred, которая позволяет экономить 20% при бронировании авиа билетов, отелей и прочих, связанных с путешествиями, вещей при оплате баллами, различные страховки, в том числе primary car rental insurance (во многих странах и даже в США, что является редкостью), отсутствие комиссии за транзакции «за рубежом». Их текущий 40 000 бонус (а совсем недавно был 50 тысяч, а ещё и за дополнительного пользователя карты дают 5000) превращается в 480$, которые можно потратить при оплате баллами. На этом фоне оплата за обслуживания в размере 95$ начиная со второго года (первый бесплатно) не кажется такой то уж и большой.
А если ещё использовать способы относительно бесплатной/дешевой траты денег (имею в виду термин increase spending), то бонусы можно грести лопатой, пусть и небольшой, но стабильно.
Я не знаю ни одной бесплатной карты, которая была бы лучше этого предложения. Кстати, приведённый вами пример в сочетании с этой картой даёт ещё больший эффект экономии для путешествий.
Вообщем, везде надо искать свои плюсы и минусы. «Платные» карты могут дать в разы больше бенефитов, чем стоимость годового обслуживания.
Но с другой стороны, тот же Chase предлагает отличную карту для путешественников: Sapphire Preferred, которая позволяет экономить 20% при бронировании авиа билетов, отелей и прочих, связанных с путешествиями, вещей при оплате баллами, различные страховки, в том числе primary car rental insurance (во многих странах и даже в США, что является редкостью), отсутствие комиссии за транзакции «за рубежом». Их текущий 40 000 бонус (а совсем недавно был 50 тысяч, а ещё и за дополнительного пользователя карты дают 5000) превращается в 480$, которые можно потратить при оплате баллами. На этом фоне оплата за обслуживания в размере 95$ начиная со второго года (первый бесплатно) не кажется такой то уж и большой.
А если ещё использовать способы относительно бесплатной/дешевой траты денег (имею в виду термин increase spending), то бонусы можно грести лопатой, пусть и небольшой, но стабильно.
Я не знаю ни одной бесплатной карты, которая была бы лучше этого предложения. Кстати, приведённый вами пример в сочетании с этой картой даёт ещё больший эффект экономии для путешествий.
Вообщем, везде надо искать свои плюсы и минусы. «Платные» карты могут дать в разы больше бенефитов, чем стоимость годового обслуживания.
Карта интересная, да.
Но для путешественников, как основную всё равно выгоднее получить другую, ту же Chase Freedom.
А как в США с терминалами, везде карты с чипами проходят?
Но для путешественников, как основную всё равно выгоднее получить другую, ту же Chase Freedom.
А как в США с терминалами, везде карты с чипами проходят?
Как мне сказали буквально вчера в Chase, для карты Freedom нет варианта с чипом. Если человек хочет посетить Европу, то это как минимум не самая выгодная карта, а с учётом наличия комиссии за транзакции и проблемы из-за отсутствия чипа, будет где-то в конце списка карт для путешествий, тогда как мой пример будет где-то в top 5.
Внедрение новых терминалов идёт медленными темпами, но тот же Walmart, как пишут (пруф найти не могу, где-то потерял) уже обновил порядка 80% всего парка. Начинают подтягиваться Target, Sams Club (это всё большие ритейлеры). Процесс пошёл.
Внедрение новых терминалов идёт медленными темпами, но тот же Walmart, как пишут (пруф найти не могу, где-то потерял) уже обновил порядка 80% всего парка. Начинают подтягиваться Target, Sams Club (это всё большие ритейлеры). Процесс пошёл.
Мой московский банк уже прислал письмо, краткое содержание: карты с магнитной полосой с 1 октября переводятся в ограниченный режим пользования — только для зачисления наличности и для интернет-покупок. Всё, снять денежку с неё или расплатиться в нормальном магазине уже не получится. Так что придется переходить на чип; хорошо, что банк нормальный и за перевыпуск денег не возьмёт. Так что кое-кто из них уже работает…
Авангард?
зато карта без чипа была с бесплатным обслуживанием, а с чипом у них платная даже маэстро.
Ну на 600 руб в год ещё можно согласиться. Но я бы взял карточку китайской или японской систем, чего Авангард (пока, надеюсь) предложить не может.
Если поток средств на карте больше 5000 в месяц — бесплатная. Если привёл друга — тоже. С Visa Classic и MasterCard Standard действуют такие же схемы, только оборот должен быть больше на пару тысяч, если мне не изменяет память.
А сколько будет стоить к примеру карта visa gold, signature?
Думаю, это уже оффтоповые вопросы для Хабра. Посмотрите на сайте.
Я ни коим образом не хочу пиарить банк, так как у него тоже есть свои проблемы в виде не очень большой сети банкоматов в небольших городах типа Архангельска. Да и у других банков подобные системы бонусов есть. У кого-то такие же: пропускай больше N рублей в месяц через карту и она будет бесплатной. У кого-то другие: держи на карте больше N рублей в месяц.
Я ни коим образом не хочу пиарить банк, так как у него тоже есть свои проблемы в виде не очень большой сети банкоматов в небольших городах типа Архангельска. Да и у других банков подобные системы бонусов есть. У кого-то такие же: пропускай больше N рублей в месяц через карту и она будет бесплатной. У кого-то другие: держи на карте больше N рублей в месяц.
В Европе почти полностью уже перешли на chip and pin.
Не знаю, что мешает банкам, но вот что мешает мне перейти на чип: Екатеринбург, из 5 ближайших к дому магазинов 3 принимают только карты с магнитной полосой.
Друзья были в Нидерландах и рассказывали, что там без чипованной карты вообще сложно жить. Наличка имеет очень ограниченное хождение, для мелких покупок. Картой с магнитной полосой тоже далеко не всё оплатишь. Зато чипованной можно оплатить всё вплоть до билетиков на городской автобус. Видимо, единственное, что мешает другим так сделать — отсутствие желания это делать.
А вот мне как пользователю чипованая карта это не самый лучший вариант.
Недвано перешл на чипованную карту — стало сильно менее удобней.
Во-первых — в местах где снимаются мелкие суммы до 1к рублей (ну типа макдональса например) — там при предыдущей карте с магнитной полосой — вообще ничего не требовали — ни подписи, ни ввода кода. Сейчас убейся — но вводи пин, даже если 10 рублей оплачиваешь.
Во втрых собственно — раньше как в ресторане, официант пришел — принес чек на подпись вместе с картой и ушел, над душой не стоит — ты подписал и он забрал. А сейчас стоит с девайсом — вводи пин прямо тут мол.
А безопасность — 1к рублей в год за страховку всех транзакций по карте — и все тебе сначала возвращают деньги в течении 1 суток, и потом разбираются только почему что и как.
Недвано перешл на чипованную карту — стало сильно менее удобней.
Во-первых — в местах где снимаются мелкие суммы до 1к рублей (ну типа макдональса например) — там при предыдущей карте с магнитной полосой — вообще ничего не требовали — ни подписи, ни ввода кода. Сейчас убейся — но вводи пин, даже если 10 рублей оплачиваешь.
Во втрых собственно — раньше как в ресторане, официант пришел — принес чек на подпись вместе с картой и ушел, над душой не стоит — ты подписал и он забрал. А сейчас стоит с девайсом — вводи пин прямо тут мол.
А безопасность — 1к рублей в год за страховку всех транзакций по карте — и все тебе сначала возвращают деньги в течении 1 суток, и потом разбираются только почему что и как.
Хорошая подборка.
Первоначальным источником информации, как я понимаю, является Брайан Кребс, если кто-то хочет почитать подробности, то вот ссылка, именно он этим плотно занимается:
krebsonsecurity.com/all-about-skimmers/
Первоначальным источником информации, как я понимаю, является Брайан Кребс, если кто-то хочет почитать подробности, то вот ссылка, именно он этим плотно занимается:
krebsonsecurity.com/all-about-skimmers/
Ну, честно говоря, заявленный декабрь 2002 года — как эпоха появления скиммеров — внушает сомнения.
Я лично начал работать в банке с картами в марте 2002 года — и то я тогда уже знал про скиммеры.
Банкоматы появились в 70-х и, уверен, ушлые ребята с тех самых пор размышляли как нагреть руки на этом изобретении человека.
Я лично начал работать в банке с картами в марте 2002 года — и то я тогда уже знал про скиммеры.
Банкоматы появились в 70-х и, уверен, ушлые ребята с тех самых пор размышляли как нагреть руки на этом изобретении человека.
Но с введением двухфакторной авторизации увести деньги становится уже сложнее, не так ли?
Проблема лишь в том, что многие сервисы, почему-то не запрашивают дополнительную авторизацию, довольствуясь лишь CVC кодом, может быть, кто-то в курсе почему банки такое позволяют? Можно ли как принудить всегда требовать дополнительную авторизацию?
Проблема лишь в том, что многие сервисы, почему-то не запрашивают дополнительную авторизацию, довольствуясь лишь CVC кодом, может быть, кто-то в курсе почему банки такое позволяют? Можно ли как принудить всегда требовать дополнительную авторизацию?
Усложнение операций с картой приведёт к тому, что ими будут меньше пользоваться. В т.ч. поэтому такое не вводят принудительно. Должен быть некий баланс между мерами обеспечения безопасности и удобством использования. Для IT'шников он представляется совсем другим, чем для большинства людей.
Банкам без разницы как магазин авторизовал клиента, если дополнительный код не запрошен то при мошеннической сделке страдает и делает рефанд сам магазин, если код запрашивался то ответственность переносится на клиента, банк всегда ни при чем.
Но если уж говорить о скимерах, то полученные с них данные используют не в интернете, а для снятия денег в банкоматах же, там авторизация стандартная: карта и пинкод.
Но если уж говорить о скимерах, то полученные с них данные используют не в интернете, а для снятия денег в банкоматах же, там авторизация стандартная: карта и пинкод.
Как раз Visa и MasterCard недавно начали программу по добровольно-принудительному введению дополнительной авторизации.
Насколько я слышал, это зависит в первую очередь от банка-эквайера, а не банка-эмитента карты.
Например, я расплачиваюсь одной и той же картой в разных торговых точках, и в некоторых у меня требуют подпись для дополнительной авторизации, а в некоторых — нет. Думаю, на банках.ру или в специализированном хабе даже найдётся кто-то, кто расскажет про процесс согласования авторизации.
Хотя меня вполне устраивает сложившаяся ситуация: у меня много карточек и все, кроме одной — чипованные. Опротестовать транзакцию — несложно, был опыт у приятеля. Единственный минус — деньги ему вернули примерно через 3 недели. Возможно, два популярных банка, которые всячески навязывают услугу по страхованию от несанкционированных покупок, вернут быстрее (если использовать их страховку).
Например, я расплачиваюсь одной и той же картой в разных торговых точках, и в некоторых у меня требуют подпись для дополнительной авторизации, а в некоторых — нет. Думаю, на банках.ру или в специализированном хабе даже найдётся кто-то, кто расскажет про процесс согласования авторизации.
Хотя меня вполне устраивает сложившаяся ситуация: у меня много карточек и все, кроме одной — чипованные. Опротестовать транзакцию — несложно, был опыт у приятеля. Единственный минус — деньги ему вернули примерно через 3 недели. Возможно, два популярных банка, которые всячески навязывают услугу по страхованию от несанкционированных покупок, вернут быстрее (если использовать их страховку).
Помню историю, когда ребята просто поставли банкомат. Он принимал любой пинкод и выдвал требуемую суму денег. В итоге все это многократно окупилось.
Проверка подобных банкоматов — ввести первый раз пин код неправильным. Если прошло — банкомат поддельный.
Часто вы вводите неправильный пинкод при снятии денег?
Вообще-то банкоматы принимают любой пин код. Вводить правильный не обязательно. Пускает без проблем. Но когда захотите выполнить операцию, то вылезет чек о том, что пин код не верный. Попробуйте сами.
Не всегда, зависит от модели банкомата. Более-менее новые у федеральных крупных банков делают именно так. Старые винкоры у местных регионалов — не пускают без пина никуда.
Почему именно к такой модели решили придти? Мне кажется, что сразу сообщить, что пин не верный, более юзер-френдли и вообще логичнее.
Пустить с неправильным пином дальше окна ввода этого пина или нет зависит не от типа банкомата, а от настроек процессинга в банке.
Ок, тогда почему кому-то в голову может придти идея сделать такие настройки? Судя по тому, что написал BeaVisS, это сделано сознательно.
Уверены? На одинаковых моделях банкоматов разных банков я видел одинаковые процессы. К тому же эта настройка от процессинга не зависит.
Уверен, я там работаю.
Для того что бы проверить пинкод надо прогнать всю транзакцию до банка эмитента. А это опять же затраты и нагрузка на оборудование. А Visanet или MC это вам не сеть tcp/ip это очень сложный механизм. Как говорится пинг 5 сек. в Visanet это очень не плохо :)
Да и не очень кошерно хранить пинблок для последующей транзакции блокировки средств или оплаты.
Да и не очень кошерно хранить пинблок для последующей транзакции блокировки средств или оплаты.
а банкомат же не знает до операции (связи с процессингом) правильный пин или нет, как он узнает что он неверный на этапе ввода?
Какие шансы встретить такой банкомат в своей жизни?: о)
Не понятно только как себя обезопасить обывателю. Я всегде осматриваю банкомат перед тем как туда карту вводить. Стараюсь посмотреть на приемник карт, и поковырять клавиатуру. Но понимаю что я отстал от «прогресса» на несколько лет и такие скиммеры я не обнаружу.
Искать банкоматы в защищённых местах. Например, у нас есть банкомат прямо в офисе, в который с улицы попасть постороннему не так и просто. И ещё он под камерами и рядом с постом охраны. Повесить туда скиммер задача не из лёгких.
Аналогично. Думаю самое простое, это закрывать ввод пин кода. И пофигу что они получат номер карты, без пин кода клон они не сделают. К примеру можно газеткой прикрывать.
Переходите на чипованые карты. Если такую карту перекатают, воспользоваться нею будет почти что невозможно, и даже если все таки деньги снимут — их гарантировано вернут.
У меня и так чипованная карта. Вот недавно я прекрасно платил ей ней свайпом в США. Мне вот интересно как эта карта будет работать если на ней заклеить чип. У меня такое ощущение что есть некая экосистема чипов и полос, и все более менее безопасно лишь только когда ты в первом мире, как только ты попадаешь во второй то вся твоя чипованная секюрность превращается в тыкву. Я наверное не прав, но ощущение такое.
Если заклеишь чип и тебя обслужат, есть вероятность 60% вернуть деньги.
См. habrahabr.ru/post/234933/#comment_7914795
У меня самого однажды в магазине продавец зачем-то провел магнитной полосой, хотя терминал поддерживал и чипованные карты тоже. Терминал показал какую-то ошибку.
У меня самого однажды в магазине продавец зачем-то провел магнитной полосой, хотя терминал поддерживал и чипованные карты тоже. Терминал показал какую-то ошибку.
Старые терминалы и банкоматы будут и дальше работать с полосой. Но в случае фрода со скиммингом, все ваши потери обязан возместить еквайер (грубо говоря — банк-поставщик устаревшего терминала магазину). Таким образом системы пытаются избавиться от backward compatibility.
Если на карте есть и чип и магнитная полоса:
На карте идет признак наличия чипа. Если ридер умеет считывать и чипы и полосу, то при прокатывании он напишет, чтобы вставили чипом. Сответственно и банкомат, если поддерживает чипы, будет использовать его.
Если же терминал/банкомат старый — пройдет по полосе. На магнитной полосе есть зарезервированные поля, одно из полей используется сейчас как признак чипа, соответственно такой терминал просто проигнорирует его.
В случае фрода же у платежных систем принцип «кто с чипом тот и прав».
На карте идет признак наличия чипа. Если ридер умеет считывать и чипы и полосу, то при прокатывании он напишет, чтобы вставили чипом. Сответственно и банкомат, если поддерживает чипы, будет использовать его.
Если же терминал/банкомат старый — пройдет по полосе. На магнитной полосе есть зарезервированные поля, одно из полей используется сейчас как признак чипа, соответственно такой терминал просто проигнорирует его.
В случае фрода же у платежных систем принцип «кто с чипом тот и прав».
Очень познавательно. Не знал, что скиммеры уже настолько миниатюрны. Теперь будем бдительны!
Если вас хоть что-то настораживает в облике банкомата, просто дерните за это «что-то» посильнее, подковырните ключом или ударьте сбоку, чтобы убедиться, что это родной элемент банкомата.
НЛО прилетело и опубликовало эту надпись здесь
Просто нужно иметь несколько карт.
В подозрительных местах использовать ту, на которой мало баланса.
И когда нужны деньги, переводить (конечно с помощью интернет-банк на своём ноутбуке) на эту карту нужное количество средств с другой, которую никогда нигде не использовать.
В подозрительных местах использовать ту, на которой мало баланса.
И когда нужны деньги, переводить (конечно с помощью интернет-банк на своём ноутбуке) на эту карту нужное количество средств с другой, которую никогда нигде не использовать.
В Европе почти везде принимают чипованные карты, с ними подобные махинации не страшны. С банкоматом проблема потому что там магнитная полоса всегда оказывается в физическом контакте.
НЛО прилетело и опубликовало эту надпись здесь
Продублированы, но пока вы карту из рук не выпускаете и не проводите полосой то все более менее безопасно. Когда оплата чипом то вам дают терминал и вы сами суете карту. Кстати можно взять тупо и размагнитить полосу если паранойя. Например держать специальную карту с чипом и размагниченной полосой для подозрительных ситуаций.
2006 году на фриласе подкатил дядька, говорит 3D модель… базарили пол года, летом прислал лазерный скан образец передней панели банкомата. Сделали с помощью ручного сканера, предварительно покрасив? банкомат, так как у разных поверхностей разные степени отражения и для точности нужна однородная поверхность. К сожалению, модель лежит на дохлом винте, инфу с которого доставать дороговато.
Как тут в статье говорилось и на сколько я понимаю этот процесс, карту с чипом (плюс магнитная лента) почти полностью защищает от считывания магнитной леты и утечки пина. Ведь ни один банкомат не должен выдать деньги, если карта имеет чип. А если банкомат и выдаст, то все расходы уже покрывает собественник банкомата, а не банк, которому принадлежала эта карта. Год назад, когда у меня еще была карта без чипа, я не смог в Париже снять деньги ни в одном банкомате, но возможно в какой-нибудь банановой республике это и получиться сделать.
Извиняюсь если я не совсем прав.
Извиняюсь если я не совсем прав.
В банановых штатах Америки например. Там чипы совершенно не развиты и все магнитными полосами пользуются. У меня чипованная карта которая в Европе работает только чипом, платежи по магнитной полосе отклоняются. А вот в Америке эта карта прекрасно свайпалась.
НЛО прилетело и опубликовало эту надпись здесь
А не подскажите, вы пробывали снимать в банкомате деньги? т.к. когда я был в Америке, то тоже везде только свайпали (карта чиповая), но наличку я не пробывал снимать.
Пробовал, прекрасно снимается. И с чипом и без. На самом деле меня США в этом плане поражает, у них чуть ли не милларды долларов уходит через карточный фрод и при этом никто не спешит чипы вводить.
У них ещё распространены банкоматы, в которых карта один раз проводится по сканеру и дальше всё операции идут «авансом».
Вообще самое красивое решение — поддельный банкомат. Где-то в Англии вроде ставили на улице. В процессе он выдавал ошибку и возвращал карту…
А меня вот напрягают несколько камер в банкоматах сбербанка, одна из которых находится возле окошка выдачи денег и вполне способна снимать то, что набираются на клавиатуре.
У нас на просторах страны за отклеенный скиммер можно получить травму или срок будьте осторожны )
Когда у меня была украинская карта с чипом, я просто убил магнитную полосу.
В банкоматах этого банка(ПУМБ) все работало.
В банкоматах этого банка(ПУМБ) все работало.
Москва. Ашан. Отец проверил баланс и лишился 60 т.р. Попытки вернуть ни к чему не привели. Сбербанк.
НЛО прилетело и опубликовало эту надпись здесь
Тогда решил, что видимо, это такая мода пошла в банкоматной среде. Оказалось так и есть.
И самое печальное, что так сразу и не скажешь – это хорошо прикрепленный скимер или антискимер от банка (злоумышленники иногда маскируют свои устройства под такие зеленые полусферы) ;-)
Не все банки в США дают zero liability guarantee по дебетовым картам, обычно ограничиваются только кредитными. Недавно у знакомой так увели несколько тысяч долларов, снимая деньги в разных банкоматах города. Банк ничего не вернул.
Хм, почему-то не нашел упоминания ни в камментах, ни в статье, что один из способов борьбы с считыванием магнитной полосы скиммером является наличие в банкомате механизма рандомного продвижения карты для считывателя. То есть банкомат знает на сколько мм он ее «съел», потом чуток высунул назад, потом еще сколько-то съел, потом опять назад раз или два, и так до полного поглощения. Скиммеру эти данные неизвестны, поэтому считать данные не представляется возможным, так как ему будет ехать всякая фигня по итогу. Вот. Удивился, что про это ничего не сказано :)
Да, по поводу США. Тут действительно большинство карт выпускаются без чипа. Хотя вот последняя кредитка для жены пришла уже с чипом. Мне 3 месяца назад — без. Но тут Zero liability, если зарепортить вовремя. Поэтому никто шибко не парится. Но последнее время банки и платежные системы суетятся по этому поводу. Грозятся перейти на чиповые карты через год-два.
Да, по поводу США. Тут действительно большинство карт выпускаются без чипа. Хотя вот последняя кредитка для жены пришла уже с чипом. Мне 3 месяца назад — без. Но тут Zero liability, если зарепортить вовремя. Поэтому никто шибко не парится. Но последнее время банки и платежные системы суетятся по этому поводу. Грозятся перейти на чиповые карты через год-два.
То есть выходит у нас сейчас система работает лучше чем в США? Удивительно как то даже о таком знать.
Не знаю про систему в целом, но впечатления пока что не в пользу США. Например, смс-ки о транзакциях не летят мгновенно, как это было в России. Возможно, конечно, что это BofA такой, я пока все банки не пробовал. У Discover в целом так же, кроме случаев, когда они засылают код авторизации для проведения транзакции. Правда, он ни разу мне так и не пригодился. Проводили покупки и без этого кода.
А вот АТМами пока вообще не пользовался. Наличные тут нигде не нужны, в принципе. А если нужны, то «покупаешь» их в магазине и всё. 20-100 долларов можно таким вот образом купить. Ну, то есть я ношу в бумажнике 20-120 долларов на непредвиденные расходы в какой-нибудь дыре, и всё.
А вот АТМами пока вообще не пользовался. Наличные тут нигде не нужны, в принципе. А если нужны, то «покупаешь» их в магазине и всё. 20-100 долларов можно таким вот образом купить. Ну, то есть я ношу в бумажнике 20-120 долларов на непредвиденные расходы в какой-нибудь дыре, и всё.
Legacy. У нас это появилось значительно позже, когда уже была онлайн-авторизация и всё такое.
А там культура людей, которые ещё не так давно расплачивались тупо чеками, это совсем другое. Больше доверия.
А там культура людей, которые ещё не так давно расплачивались тупо чеками, это совсем другое. Больше доверия.
Любую проблему можно решать административными или техническими методами.
У нас система работает хуже, поэтому все вынуждены внедрять чипы.
Вопрос надо ставить о том, сколько денег уводят(и возвращают) не смотря на чипы у нас и у них.
У нас то уводят через выпуск левых симок и оплату онлайн, и чип не спасает.
У нас система работает хуже, поэтому все вынуждены внедрять чипы.
Вопрос надо ставить о том, сколько денег уводят(и возвращают) не смотря на чипы у нас и у них.
У нас то уводят через выпуск левых симок и оплату онлайн, и чип не спасает.
а еще у нас домашний интернет быстрее, мобильная связь дешевле итд.
Скиммеру эти данные неизвестны, поэтому считать данные не представляется возможным, так как ему будет ехать всякая фигня по итогу.
Если на банкомате стоит аудиоскимер, то можно (хоть и сложно) декодировать дамп карты правильно.
Ооо, узнаю ПриватБанк (Украинский). Я-то думал это глюки банкомата, и не понимал зачем он карту туда-сюда суёт. А это, оказывается, защита…
НЛО прилетело и опубликовало эту надпись здесь
Тем не менее, мою чипованную визу им удалось скопировать. Об этом мне сообщил банк, и перевыпустил карту. И это при том, что я каждый раз ковыряю клавиатуру и кард-ридер на предмет наличия накладок.
Чип не подделывается (пока). С чиповой карты можно украсть только магнитную полосу. Далее, вычислив CVV2 (та-дааам! да, это вычисляемая величина, в отличие от ПИН-кода), можно совершать покупки в интернете. Австралия в этом плане показательно отличилась. В 2009-м решили, что чип — это серебрянная пуля, и запретили магнит вообще. По итогам года классический фрод сократился, а CNP (это покупки в интернете, грубо говоря) при этом подрос. Итоговое увеличение фрода — в два раза. Так что, как говаривал в свое время Шиллер, «на чип надейся, но сам не лажай».
> Об этом мне сообщил банк
Одна из версий: на банкомате сработал антискиммер (а они, бывает, на всякую фигню реагируют) и все карты, засветившиеся до отбоя тревоги, автоматом пошли на перевыпуск.
> Об этом мне сообщил банк
Одна из версий: на банкомате сработал антискиммер (а они, бывает, на всякую фигню реагируют) и все карты, засветившиеся до отбоя тревоги, автоматом пошли на перевыпуск.
Есть еще замки на дверях в фойе, где стоит банкомат. Ставят их чтобы только клиент банка смог попасть внутрь.
Думаю на них тоже стоит обращать внимание.
Кто-нибудь пытался размагнитить полосу на карте? Что будет? Как это лучше сделать? Очень удивился когда однажды увидел что отверстие для чипованых карт было просто заклеено скотчем, а кассир настаивал провести магнитной лентой и все оплатилось.
Думаю на них тоже стоит обращать внимание.
Кто-нибудь пытался размагнитить полосу на карте? Что будет? Как это лучше сделать? Очень удивился когда однажды увидел что отверстие для чипованых карт было просто заклеено скотчем, а кассир настаивал провести магнитной лентой и все оплатилось.
Большинство таких замков проверяют сам факт наличия магнитной полосы. Самому не удавалось проверить, т.к. у нас часто бывает (причем в разных банках), что даже поздно вечером в выходной дверь открыта, хотя считыватель такой есть. Однако знакомый как-то проходил в одном отделении, проводя обычной скидочной картой.
Кроме того, можно использовать старые банковские карты, у многих они остаются.
Кроме того, можно использовать старые банковские карты, у многих они остаются.
Я подозревал что подойдет любая карта. Но важно не это, а то что там тоже может стоять скиммер. Наверно туда ставить удобнее: и форма не замысловатая, и контроля меньше. А без пин-кода можно как минимум расплатиться в магазине.
«Хозяйке на заметку» — в отелях — где используется карта-ключ для доступа в номер — зачастую используется эта же система для включения электричества в номере.
Вошёл — вставил карточку, загорелся свет, заработал кондиционер и розетки.
А что же делать — если требуется зарядить телефон или ноутбук? Так бы оставил на зарядке телефон и ушёл. Но нет! Выходя ты забираешь карточку и выключаешь таким образом свет.
Какой выход? Правильно! Датчик реагирует на наличие карты с магнитной полосой. Оставляем там свою дисконтную карту или старую кредитку и идём спокойно со своим картой-ключём по своим делам. Розетки остались рабочими.
Вошёл — вставил карточку, загорелся свет, заработал кондиционер и розетки.
А что же делать — если требуется зарядить телефон или ноутбук? Так бы оставил на зарядке телефон и ушёл. Но нет! Выходя ты забираешь карточку и выключаешь таким образом свет.
Какой выход? Правильно! Датчик реагирует на наличие карты с магнитной полосой. Оставляем там свою дисконтную карту или старую кредитку и идём спокойно со своим картой-ключём по своим делам. Розетки остались рабочими.
В большинстве отелей, где я был, это устройство проверяет не наличие карты с магнитной полосой, а тупо просто наличие предмета, похожего на карту ))))
Как работает — там просто контакты, при засовывании карты они отходят и перемыкаются с другими контактами, замыкающими нужные реле и все!
Проверить очень просто — берет любую визитку (она оп размеру вполне подходит), или вырезаете из плотной бумаги шаблон, соответствующий карте и засовываете ее туда и усе — да будет свет!
Как работает — там просто контакты, при засовывании карты они отходят и перемыкаются с другими контактами, замыкающими нужные реле и все!
Проверить очень просто — берет любую визитку (она оп размеру вполне подходит), или вырезаете из плотной бумаги шаблон, соответствующий карте и засовываете ее туда и усе — да будет свет!
Я в последний отпуск столкнулся со считываетем в отеле, который проверял какую-то метку на карте. Обмануть его вставкой другой карты не получалось — свет тут же выключался. Удавалось лишь оттянуть неизбежное — если вставляя «левую» карту, одновременно приложить настоящую. Тогда свет какое-то время горел.
А вот интересно, если оставить в щели какую-нибудь фигню, чтобы работал кондиционер и уйти, а горничная это заметит, то не будет потом проблем от администрации?
Да, в такие замки бывает ставят скиммеры.
В этом случае больше времени проходит между чтением карты скиммером и захватом пин-кода.
Можно подождать несколько минут или понажимать лишние кнопки на банкомате, сначала воспользоваться другой картой итд, это затруднит сопоставление дампа полосы и настоящего пин-кода.
В этом случае больше времени проходит между чтением карты скиммером и захватом пин-кода.
Можно подождать несколько минут или понажимать лишние кнопки на банкомате, сначала воспользоваться другой картой итд, это затруднит сопоставление дампа полосы и настоящего пин-кода.
Было бы здорово увидеть подобную статью для чипованных карт, какие там есть уязвимости и какой прогресс по их считыванию достигли правонарушители.
Не специалист в этом вопросе, но думаю слово «считывание» тут не подходит. Считать с чипа карты ничего нельзя, чип сам подписывает транзакцию ключом известным только карте (может еще банку) и никуда его не передает. Может Markeralex добавит в конец статьи принципиальные отличия чипа от ленты?
Моя прохладная история.
Был долгое время в NYC. Снял как-то я деньги с банкомата, после чего заметил какие-то левые транзакции, сняли ок 150$, причем это бродвей, банкомат перед входом в банк Чейз.
Звоню в свой банк
Я — заблокируйте карту.
Они — ок.
Я — как быть со снятыми средствами?
Они — приходите в офис — пишите заявление на возврат.
Я — я сейчас с штатах, буду нескоро.
Они — как приедете — напишете.
Я — удаленно никак?
Они — никак.
Приехал, написал заявление, пару недель они его рассматривали.
Вердикт — деньги не вернем, так как по регламенту вы должны написать заявление в течение 40 дней.
ВТБ 24.
Был долгое время в NYC. Снял как-то я деньги с банкомата, после чего заметил какие-то левые транзакции, сняли ок 150$, причем это бродвей, банкомат перед входом в банк Чейз.
Звоню в свой банк
Я — заблокируйте карту.
Они — ок.
Я — как быть со снятыми средствами?
Они — приходите в офис — пишите заявление на возврат.
Я — я сейчас с штатах, буду нескоро.
Они — как приедете — напишете.
Я — удаленно никак?
Они — никак.
Приехал, написал заявление, пару недель они его рассматривали.
Вердикт — деньги не вернем, так как по регламенту вы должны написать заявление в течение 40 дней.
ВТБ 24.
ФЗ 161 статья п 5.
ФЗ 161 статья п 11.
Они свои обязательства выполнили? У Вас в Договоре прописаны способы уведомления о использовании карты без согласия клиента?
Оператор по переводу денежных средств обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента.
ФЗ 161 статья п 11.
В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
Они свои обязательства выполнили? У Вас в Договоре прописаны способы уведомления о использовании карты без согласия клиента?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Эволюция банкоматных скиммеров