Комментарии 62
У банкоматов раифф — аналогично.
Тут мне Вконтакте пользователь написал, чтобы народ не пугался. Все так и задумано. Это — сканер штрих-кодов.
Расходимся, интрига раскрыта)
Чтобы оформить платеж с бумажной платежки(например налоговой) и не набирать его руками на экранной клавиатуре
Расходимся, интрига раскрыта)
Нет, сканеры само собой. Ещё и камеры стоят.
Сканеры разные бывают. Если это сканер штрих-кода, то по засветке светодиодом штрих-кода камера его снимает — все гут.
Но не кажется Вам, что это добавляет интриги?
Под видом сканера лепят камеры (которые конечно выполняют свою функцию сканеров штрих-кодов, но и снимают все, что попадает им в фокус).
Сделали бы лазерный там, или имедж-сканер, тогда не было бы вопросов.
А так получается, что с камеры в ОС терминала изображение передается, и потенциально может быть извлечено с целью наживы.
Но не кажется Вам, что это добавляет интриги?
Под видом сканера лепят камеры (которые конечно выполняют свою функцию сканеров штрих-кодов, но и снимают все, что попадает им в фокус).
Сделали бы лазерный там, или имедж-сканер, тогда не было бы вопросов.
А так получается, что с камеры в ОС терминала изображение передается, и потенциально может быть извлечено с целью наживы.
Эти же банки совершенно ясно советуют прикрывать клавиатуру рукой при наборе PIN, а в конкретном банкомате даже «бортики» есть, чтобы кто сбоку не подсмотрел. С этой же камерой, как мне кажется, какой-нибудь злодей не сможет так легко установить накладную клавиатуру для сбора PIN кодов в пару к скиммеру.
Встречал ряд банкоматов Сбербанка, где камера стоит непосредственно (сантиметрах в 10) над клавиатурой. В банке тогда предлагали рукой прикрывать камеру, если я параноик :)
Как я понял, цель этих камер не в том, чтобы записывать ваши пинкоды (хотя они это явно могут, а если могут — значит пишут всё), а фиксирует установку скимминговых устройств, бывают банкоматы, где маленький глазок смотрит и на картоприёмник. Одной камеры, которая смотрит только на клиента — недостаточно. Без подобной видеофиксации невозможно доказать, был ли в тот момент установлены накладки или нет (утром поставил, вечером снял, на момент разбирательства — ничего уже нет).
Так же может фиксировать ваши операции, если вы переводите куда-то средства и т.п. Чтобы у банка были доказательства, что это не ошибка системы (перевод на такой-то счёт), а ввели его вы (ну или человек с вашей картой).
Подобные банкоматы (камера перед клавиатурой) точно были ещё в начале 2014 года
Как я понял, цель этих камер не в том, чтобы записывать ваши пинкоды (хотя они это явно могут, а если могут — значит пишут всё), а фиксирует установку скимминговых устройств, бывают банкоматы, где маленький глазок смотрит и на картоприёмник. Одной камеры, которая смотрит только на клиента — недостаточно. Без подобной видеофиксации невозможно доказать, был ли в тот момент установлены накладки или нет (утром поставил, вечером снял, на момент разбирательства — ничего уже нет).
Так же может фиксировать ваши операции, если вы переводите куда-то средства и т.п. Чтобы у банка были доказательства, что это не ошибка системы (перевод на такой-то счёт), а ввели его вы (ну или человек с вашей картой).
Подобные банкоматы (камера перед клавиатурой) точно были ещё в начале 2014 года
-
Я несколько раз слышал, что СБ Сбербанка отказывает в возмещении убытка, если ты не закрывал рукой ввод своего пина. Наверное, этими камерами отслеживается этот факт.
Я в какой-то статье читал, что эта камера не снимает сам пинпад, вместо него черное пятно. Подтвердить не могу, может и вранье.
я когда деньги снимаю — рукой всегда закрываю клавиатуру, заодно проверяю на накладки на клавиатуре и в картоприемнике. Чего и Вам желаю. (был уже прецедент, попадался на скиммер)
Попались — это когда обнаружили скиммер, или когда операция по снятию без Вашего ведома прошла? Удалось ли вернуть?
Да, снял деньги в левом банкомате. Через месяц были транзакции на снятие в Латинской Америке. Хорошо, что СБ банка (не буду делать рекламу банку) быстро отработали — закрыли карту. Сняли порядка 8 т.р. Потом была процедура написания заявления в банк. Рассматривалось оно где-то месяц-полтора, деньги вернули.
Как я потом выяснил — это не такая уж и экзотика. Данные продаются на черных рынках, потом выпускаются дубликаты карт. И с дубликатов уже обналичиваются.
На скиммер наткнулся на курортах Краснодарского края :)
Как я потом выяснил — это не такая уж и экзотика. Данные продаются на черных рынках, потом выпускаются дубликаты карт. И с дубликатов уже обналичиваются.
На скиммер наткнулся на курортах Краснодарского края :)
Хорошо, что все вернули.
Видимо, смена пин-кода время от времени должна помочь…
Интересно, как часто стоит менять пин? И есть ли статистика по срокам, в течение которого снимают ДС после того, как карточку считали? Может, знает кто?
Видимо, смена пин-кода время от времени должна помочь…
Интересно, как часто стоит менять пин? И есть ли статистика по срокам, в течение которого снимают ДС после того, как карточку считали? Может, знает кто?
у меня украли деньги где-то недели через 3 после снятия в левом банкомате.
У меня такую активность Payoneer заподозрил, и не дал снять + заблокировал карту.
1. Хорошо что карта с чипом
2. Пробовали снять спустя 3 месяца
3. Банкомат обследовал в свое время, и не нашел на момент снятия денег скиммер.
1. Хорошо что карта с чипом
2. Пробовали снять спустя 3 месяца
3. Банкомат обследовал в свое время, и не нашел на момент снятия денег скиммер.
А как можно склонировать карту с чипом? Я думал это невозможно.
Клонировать возможно, но только без чипа.
Дело в том, что на случай выхода чипа из строя (или очень плохого терминала, без поддержки чипов) допускается проводка операции без чипа.
А информация о том что на карте стоит чип зашита на магнитную полосу, что как вы сами понимаете поддается редактированию.
Дело в том, что на случай выхода чипа из строя (или очень плохого терминала, без поддержки чипов) допускается проводка операции без чипа.
А информация о том что на карте стоит чип зашита на магнитную полосу, что как вы сами понимаете поддается редактированию.
А мой банк должен разрешать проводки по полосе при наличии чипа?
С точки зрения безопасности, да, но только после звонка от клиента и пояснением мол «так и так, чип не работает». Допускаем что кардеры не знают П/Д владельцев карт.
Тут точно есть какой-то фокус. У меня внезапно отказал чип, тыркали, тыркали карту в терминале (вроде бы не мой банк был), но он выдаёт ошибку чипа. Продавец провёл полосой и всё нормально. Через часик в другом месте пытался расплатиться и тот же фокус уже не прошёл (терминал был родного банка). Ну и бывают терминалы которые в принципе не знают что бывают чипованные карты. Так что наверняка зависит от прошивки терминала.
Должен. Но в случае каких-то разборок все сомнения трактуются в пользу клиента (чья карта была), т.к. проводка по данным с полоски при исправном чипе это доказательство, что клиент сам эти деньги не снимал, и карту не терял/никому не передавал, а использовалась копия.
А ущерб потом взыскивается с банка обслуживающего терминал, который провел транзакцию «по полоске» с карты имеющей чип. Именно он (терминал и банк-эквайер) обычно отклоняют возможность оплаты по «полоске» для всех чипованых карт.
А ущерб потом взыскивается с банка обслуживающего терминал, который провел транзакцию «по полоске» с карты имеющей чип. Именно он (терминал и банк-эквайер) обычно отклоняют возможность оплаты по «полоске» для всех чипованых карт.
Вы серьезно ждете адекватности в безопасности и отсутствия очень неразумных вещей от сбербанка? Много чего от них видел и слышал и мне кажется странным не ожидать что данные/деньги могут своровать сами работники сбербанка. Может конечно вам в жизни везло и общение со сбером, почтой, поликлиниками не вызвало проблем…
Конечно, Ваш случай с паспортом ту еще фрустацию вызывает.
Какой-то странный и нездоровый ажиотаж вокруг несчастных пин-кодов. Ведь чтобы им воспользоваться, надо иметь как минимум саму карточку, ну или на крайняк её копию с помощью сниффера на банкомате. Поэтому если владелец карты не безбашенный, увести её довольно сложно. Куда важнее CVC2, позволяющий в некоторых случаях снять деньги без подтверждающей смс, т.е совсем без ведома владельца. Разве что уведомление постфактумом придет если карта на телефон подвязана. Код CVC2 действительно имеет смысл зачернить на карте и хранить в строгом секрете.
Согласен. Например, на скайп деньги положить — ни подтверждения не запросит, ничего.
А по поводу ПИН все же стоит немного опасаться.
А по поводу ПИН все же стоит немного опасаться.
Одно из наиболее безопасных решений, особенно когда риск нарваться на неблагонадежный банкомат или интернетовский ресурс — это разделение счетов. Деньги храним отдельно, и перечисляем по мере необходимости небольшую сумму на расчетную карту сервисами банка, которые лучше защищены. Благо современные технологии позволяют это прямо в магазине со смартфона. А основную карту никогда нигде не светим, никуда не вставляем, кроме гарантированно благонадежных банкоматов для пополнения счета. Гемору конечно чуть больше, но сохранность средств того стоит.
Деньги в данном случае нужно хранить именно на счету другой карты, или на расчетном счете/вкладе можно?
А это какие у банка порядки. Зачастую обычные счета открывают только с картами, а те, что вклады — с ограничениями, например на сумму или периодичность снятия. Но по ним уже проценты капают хорошие.
Насчет счетов не в курсе, но с картой удобно. Основную карту можно вообще хранить в тайничке и доставать только для пополнения через надежный банкомат. Все остальные операции посредством компа или смартфона.
Да много что, любая покупка совершается по номеру карты и коду. При том в заграничных магазинах, а там найди попробуй концы.
Уведомление придёт конечно хозяину, но будет поздно.
Уведомление придёт конечно хозяину, но будет поздно.
НЛО прилетело и опубликовало эту надпись здесь
То есть вы считаете, что банкомат не может получить данные о введённых цифрах с клавиатуры, и что для их получения пришлось установить камеру?
Мне кажется, что тут разные полномочии: одни имеют доступ к банкоматам, или вообще к БД, другие нет, но наблюдают за камерами. Вторым в принципе не положено знать то, что знают первые.
Чем больше инструментов для получения данных, тем больше возможностей для их получения и для эксплуатации уязвимостей.
Данные получать «могут не только лишь все. Мало кто может это делать». (с)
Еще нашел материал. Тут ПИН не обязателен. Интересно, еще актуален такой вид мошенничества? Данная камера, думаю, способна снять между делом и номер карты.
Да, часто пин не покидает клавиатуры в незашифрованном виде, и проверяется либо в банке, либо в чипе карты клиента en.wikipedia.org/wiki/PIN_pad
«In some cases, with chip cards, the PIN is only transferred from the PIN pad to the chip (within the PIN pad itself) and it is verified by the chip card.… Like some stand-alone point of sale devices, PIN pads are equipped with hardware and software security features to ensure that the encryption keys and the PIN are erased if someone tries to tamper with the device. The PIN is encrypted immediately on entry and an encrypted PIN block is created.»
«In some cases, with chip cards, the PIN is only transferred from the PIN pad to the chip (within the PIN pad itself) and it is verified by the chip card.… Like some stand-alone point of sale devices, PIN pads are equipped with hardware and software security features to ensure that the encryption keys and the PIN are erased if someone tries to tamper with the device. The PIN is encrypted immediately on entry and an encrypted PIN block is created.»
Всё просто, раскрою интригу: данная камера стоит от «щипачей». Щипачи — это те, кто вставляют карту, снимают сумму с большим количеством купюр, затем выщипывают несколько купюр из стопки. Стоят, ждут 2 минуты. Банкомат благополучно хватает и втягивает внутрь и карту и деньги. А после этого щипач обращается в банк: «Я хотел снять деньги, но не успел, банкомат всё отобрал. Достаньте, пожалуйста, мою карту и верните неснятые деньги на неё».
Чаще всего — камера стоит сбоку от окна диспенсера, выдающего купюры. В данной конструкции, как видите, сбоку камеру не поставить, поэтому её установили сверху. Ещё и более скрытая установка получилась.
А мысль о том, что камера стоит для снятия пин-кода — паранойя.
Чаще всего — камера стоит сбоку от окна диспенсера, выдающего купюры. В данной конструкции, как видите, сбоку камеру не поставить, поэтому её установили сверху. Ещё и более скрытая установка получилась.
А мысль о том, что камера стоит для снятия пин-кода — паранойя.
Какая-то очень хлопотная схема мошенничества.
И много раз её не повторишь.
И много раз её не повторишь.
Зато не требует никаких навыков и инструментов, щипачами бывают даже милые бабушки, снимающие с карточки свою пенсию. Попробуйте просто присмотреться к любым банкоматам. ВСЕГДА и ВО ВСЕХ банкоматах ОБЯЗАТЕЛЬНО есть окошко для камеры, которая снимает выдаваемые купюры. Поэтому почти никто и не слышал о таком мошенничестве: этими камерами его предотвратили ещё до того, как оно стало популярным.
А вот мошенничество со встраиванием камеры в банкомат для подсматривания пин-кодов клиентов — это, действительно, как-то уж чересчур хлопотно. В таком мошенничестве должны участвовать и создатели банкоматов (представьте, как представители Сбера договариваются с Diebold: «А ещё мы хотим, чтобы камерой снимался PIN-код»), и техническая поддержка и многие другие.
А вот мошенничество со встраиванием камеры в банкомат для подсматривания пин-кодов клиентов — это, действительно, как-то уж чересчур хлопотно. В таком мошенничестве должны участвовать и создатели банкоматов (представьте, как представители Сбера договариваются с Diebold: «А ещё мы хотим, чтобы камерой снимался PIN-код»), и техническая поддержка и многие другие.
«То, что у вас паранойя не значит, что за вами не следят» © не мое
Да, похоже, камеры больше для этого. Не знал о «щипачах», точнее под это больше подходят карманные воры. Просветили, спасибо.
Но пины они снимают или могут снимать, объективно это так.
Но пины они снимают или могут снимать, объективно это так.
Я вот не озаботился фотками — но реально видел и пострашнее сберовские банкоматы, с дюралевыми уголками у клавы, подозрительными дырками слева/справа у стенки, чудные засаленные до черноты картоприемники… бррр.
Собственно, всё существенное уже в комментариях написали. Кроме того, что деньги — прЕбудут. Для полноты образа борца со вселенским заговором.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Куда смотрит Сбербанк