Иксперды рекомендуют

Помните забавную историю о том, как сотрудник "Лаборатории Касперского" сфотографировал в метро курьера с POS-терминалом для оплаты покупок картой (ко многим наверняка на квартиру такие курьеры нередко приезжают) и высказал предположение, что это мошенник, который похищает данные с карт пассажиров с помощью бесконтактных платежей?

Правда, он этот дурдом выложил у себя в Facebook и на сайте самой "Лаборатории" это не перепечатывали даже в разделе "Один Сотрудник Сказал".

Но зато на всяких мутных сайтах, типа какого-нибудь "Ридуса", тут же понеслась разлюли-малина из серии "Храните ваши денежки", где всякие иксперды советовали народу хранить карточки в кошельках из фольги, ну и еще на член обязательно надевать шапочку из фольги, а то мало ли что. Помнится, я в свое время это читал и ржал в голос.

В нормальных изданиях также были статьи уже настоящих экспертов, которые объясняли, что, хотя чисто теоретически там же в метро возможно снять деньги бесконтактным способом - если терминал совершенно официальный и зарегистрированный, будет подключен к Интернету и если приложить к нему карточку, как вы это делаете в магазине, - но предполагать, что терминал какой-то самосборный и нелегальный и что с его помощью крадут деньги - это по очень многим причинам достаточно нелепо. То есть чисто теоретически такую штуку-то сделать можно и можно даже предположить, что если кошелек с картой у вас лежит в наружном кармане сумки и злоумышленник сумеет поднести к ней терминал нужной стороной, прижать и произвести списание так, что вы этого не заметите, - но чисто практически шанс, что он сумеет это сделать - ничтожен, незаконные списания поймать и вернуть очень легко, ну и в случаи таких действий банк данный терминал заблокирует очень быстро. Так что это со всех сторон просто страшилка.

Ну и не говоря уж о том, что статей "икспердов" про шапочки из фольги в кошельке и на члене - полно (причем эти "защищенные кошельки" китайцы массово продают - спрос ведь есть), а ни одного сообщения от людей, у которых таким образом нелегально сняли деньги - вы не найдете. Потому что это бред.

Однако, как выяснилось, иксперды не успокоились. Причем ладно какие-то иксперды какого-то там "ридуса". В бой вступил не много ни мало - управляющий Отделением по Воронежской области Главного управления Центрального банка Российской Федерации по Центральному федеральному округу Кочегаров Игорь Анатольевич! Центробанк, ребята, Управляющий Отделения Главного Управления. Пишет Игорь Анатольевич в "Блоге ведущих бизнесменов и политиков Черноземья". Причем совсем недавно пишет, в этом месяце.

И что же пишет ведущий бизнесмен и политик Центробанка? Цитирую.

В Россию эта технология пришла в сентябре 2008 года, и мошенники довольно быстро научились с ней "работать". В переполненном общественном транспорте, на рынках, в магазинах злоумышленник прислоняет бесконтактный считыватель или POS-терминал к карманам одежды, стенкам сумок и крадет деньги с карт у ничего не подозревающих жертв. Злоумышленнику достаточно приблизить считыватель к карте на расстояние 5-20 сантиметров, чтобы произвести списание. Полученную информацию мошенники могут также записывать на карты-клоны для дальнейшего хищения средств с настоящих банковских карт.

То есть один в один повторяет страшилки из всяких ридусов. Особенно про 5-20 сантиметров порадовало. Для NFC. Ага, ага. Интересно, этот прекрасный мужчина сам когда-нибудь карточкой бесконтактно платил? Она на расстоянии 2 сантиметров уже не контачит, прикладывать надо.

Как себя обезопасить? Использовать специальные экранированные бумажники (карта кладется в отсек, экранированный фольгой).

Точно. И еще на член обязательно шапочку из фольги, обязательно.

Управляющий отделением Центробанка, my ass. Иксперд.

Впрочем, понятно, что он просто нанял какого-то студентика за него блог вести. Бизнесмен-то ведущий, а Интернет и блоги - это модно. Но смотрится это все убого до невозможности.

Комментарии 159

Очередная волна этой фигни (теперь от канала "Чё?").

И почему нет - www.plusworld.ru/professionals/mify-o-krazhi-deneg-s-beskontaktnyh-kart-chego-ne-stoit-boyatsya-2/




08.09.17 13:05
0 0

Убедительно прошу мне привести пример хотя бы одной массовой системы защиты, которую бы не сломали. В том числе систем, про которые знали - их будут ломать. Ну вот, пожалуй, TrueCrypt, да. Потому как Opensource, и потому как он локальный, никаких облаков, никаких беспроводных каналов, вообще, если на то пошло, никаких каналов передачи данных. Я так понимаю, RSA вроде бы не сломана (как алгоритм). А теперь давайте посмотрим на шибко коммерческие ужасно секретные:


DVD
BlueRay
"Обычные" кредитки с полоской
"Необычные" кредитки с одним из поколений чипов
Защита от копирования DeNuvo
WPS
OpenSSL (даже Open не помог)
Постоянно ухитряются ломать Yahoo, Google и Yandex, и тырить пароли и логины МИЛЛИАРДАМИ.
Периодически лулзы доставляются всему миру, когда ломают оборонные сети, МИД и прочие типа суперзащищённые сервера.
Кажется, не так давно у нас со счетов банков стырили около ярда рублей хакерскими атаками?

Я ничего не забыл? И эти люди запрещают мне ковыряться в носу смеют утверждать, что они сделали что-то принципиально неломаемое, тем более доступное по беспроводному интерфейсу????

Я вам скажу что будет. Какое-то время типа два-три года всё будет шито-крыто, пока беспроводные платежи будут только в Европе и Штатах. Потом, в конце концов, система будет внедрена по-настоящему, без ограничений, в Юго-Восточной Азии, и в Африке. И тут-то и произойдёт, скорее всего, серьёзная утечка информации о её подробном устройстве. После чего надо ждать индустриальных систем взлома.

Да что тут говорить, все говорят о платежах через телефоны. Дайте телефон на 5 минут "не тому человеку" - и он сделает 100% копию Вашего аппарата, включая клон симки, IMEI, MAC. И плакали Ваши деньги, если нет подтверждений на каждый платёж.
20.12.16 01:02
0 0

jiri : Могу предложить Керберос, набор протоколов и стандартов аутентификации и, конкретно, реализацию в доменах Windows. Массовость применения вроде бы достаточная, передача данных по открытам каналам с учётом умышленных и неумышленных искажений тоже на лицо. Или что-то менее очевидное очевидное, но то же массовое: ПИН-пады Cryptera, вся их функциональсть связанная с работой с ключами шифрования. В сочетании с какими-нибудь HSM то же имеем каналы передачи данных, можно и беспроводные. Если пользуетесь банкоматами, то и сами пользовались этими технологиями и продуктами даже не подозревая об этом.

Это о невзломанных системах защиты. Если хотите, я и в список взломанных добавлю пару пунктов. Но тут получается, что мы подвержены одному из видов когнитивного искажения: мы постоянно получаем информацию о том, что что-то было взломанно, но не получаем информацию о том, что что-то другое не было взломано. Не выходят ежедневно жёлтые газеты с заголовком "Сенсация! Система Х опять не была взломана!", не показывают по новостным каналам "Тысяча самолётов успешно поднялась в воздух и потом все успешно приземлились".

И главное, у вас же есть собственное твёрдое мнение по вопросу опасности безконтактных платежей, достаточные доказательства вашей правоты, зачем вам что-то ещё?
20.12.16 16:16
0 0

jiri: Потом, в конце концов, система будет внедрена по-настоящему, без ограничений, в Юго-Восточной Азии, и в Африке. И тут-то и произойдёт, скорее всего, серьёзная утечка информации о её подробном устройстве. После чего надо ждать индустриальных систем взлома.

Так с этого все и началось - c упоминания в предыдущем треде некоего девайса под названием "Contactless Infusion X5", который полгода назад продавался за $800 и вроде как должен уметь на расстоянии до 8 см читать беспроводные платежные карты и создавать их клоны, для чего в комплекте поставки прилагается некоторое количество болванок (их, наверное, можно потом докупить отдельно).
Естессно, местные суепр-эксперты тут же единым фронтом выступили с заявлениями что этого не может быть, потому что не может быть никогда и предложениями всем сомневающимся пойти и покурить мануалы. Далее - все то же самое, что и здесь.
21.12.16 11:38
0 0

По поводу всех этих бесплатных платежей - конечно, по закону больших чисел лично Вас, скорее всего, не долбанёт. Хотя, кто знает, я думаю, пасти будут людей которые одеваются в дорогую одежду, ездят на дорогих машинах и т.д. Взломщики, скорее всего, сейчас уже делают что-то типа "длинной руки" для беспроводных карт. А по поводу того, что "Visa умная" - надо полагать, в фирмах Mercedes, BMW, Infinity, Toyota/Lexus, Range Rover сидели тоже не идиоты, которые типа тоже пытались придумать надёжную систему охраны. Однако, как мы видим:

www.ugona.net/page262.html

в действии. И продаётся индустриально!!!!

Банковские карты (если с динамическим кодом) устроены, видимо, посложнее, конечно.

Думаете, наличие "длинной руки" чему-то научило безопасников? Ну конечно, Вы скажете, научило. Угу, вот этому (модели 2016 года!!!!!):

www.ugona.net/page350.html

Короче, либо надо жёстко отделять основной банковский счёт от карточного, либо, как это ни смешно, носить постоянно карту в фольге. Либо потом удивляться "Ну ты смотри, а? Отродясь такого не видали, и вот опять! 😉 Опять стырили всю последнюю зарплату с карты, только теперь не заменой картоприёмника и клавиатуры в банкомате, а обнимашками в метро утром по дороге на работу"
18.12.16 21:15
0 0

jiri : Отделять сновной банковский счёт от карточного, да и сам основной счёт поделить на несколько в разных банках, а лучше и в разных странах, это хорошая практика, и стоит это делать по гораздо более прозаичным причинам нежели технологические опасности.

Проведение же аналогий, в вашем случае из обнаруженной "дырявость" охранных систем автомобилей следует потенциальная "дырявость" систем бесконтактных платежей, удобно лишь для подтверждения уже сложившегося собственного мнения.

То есть, хотите убедить себя в опасности бесконтактных платежей - приведите аналогию с проблемными технологиями на которых негде клейма ставить, например с провальной технологией автомобильной охранной системы.

А если хотите убедить себя в безопасности, то проведите параллель с какой-нибудь удачной системой, например с програмной системой шифрования данных TrueCrypt, которую долго и со знанием дела ломали, подвергали тщательному аудиту, но ни одной критичной "дыры" так и не обнаружили.

Относительно бесконтактных платежей я вас убеждать не буду ни в их опасности, ни в безопасности, полагайтесь на собственные ощущения, обычно они самые верные. А в следующий раз когда встретите проведение аналогий, обратите внимание, что это не для выяснения вопроса. Только для подтверждения уже имеющегося мнения.
19.12.16 01:41
0 0

Алекс, насколько я помню, в 2008 (?) году, вполне было можно украсть данные карточки в метро и на улице. НО это были другие корточки (чипы).тогда не деньги снимали, а воровали информа (имя, номер карточки). У меня такая пару месяцев была, а потом банк (Chase), срочно прислал другулять без чипв, а это приказал порезать на мелкие кусочки. Современная технология безконтактных платежей совсем другая. Так что может быть банкир говорящик про 2008 просто во времени застрял.
15.12.16 22:10
0 0

Вспомнилась тут история с моей женой. Ездила она в какой-то магазин, купила там что-то на 2300р (ну или около того, точно не помню). Вернувшись домой,заглядывает в телефон и говорит:

- Ничего не понимаю, почему меня с кредитной Mega списали 2300р?

- Наверное, - говорю, ты по ней платила.

- Нет, я платила по Сберовской. И пинкод вводила от неё. А Mega у меня просто так, мне её когда-то всучили, я ею вообще не пользовалась.

Проверили по сберонлайну - никакой транзакции вообще не было.

Тут я начал догадываться. Говорю:

- А карта у тебя с собой в кошельке была?

- Да вроде да, я точно не помню куда её засунула.

- Дай посмотреть.

Находим карту у неё в кошельке, смотрю - а ней значок соответствующий стоит, что бесконтактная.

Выходит, жена вставила в терминал сберовскую карту и, видать, придерживала терминал рукой с кошельком. И тот успел снять деньги с Mega в кошельке, не обратив внимания ни на сберовскую карту, ни на ввод пинкода.

Вот так моя жена узнала, что есть и бесконтактные карты. 😄

Правда за это знание ей пришлось немножечко заплатить, так как этим она активировала кредитную карту и с неё сразу сняли какую-то сумму за обслуживание. 😄








































15.12.16 19:38
0 0

Амбал:Вот так моя жена узнала, что есть и бесконтактные карты.

Так вот для кого кошельки экранирующие продают 😉



P.S. История - супер.
15.12.16 19:43
0 0

Амбал: Выходит, жена вставила в терминал сберовскую карту и, видать, придерживала терминал рукой с кошельком. И тот успел снять деньги с Mega в кошельке, не обратив внимания ни на сберовскую карту, ни на ввод пинкода.

Полная чушь. Если она вставила сберовскую и при этом какими-то непонятными путями терминал сработал на бесконтактную, то как он снял деньги с бесконтактной, если был введен пин сберовской?

Сумма немаленькая, пин точно должен был запрашиваться.
15.12.16 19:44
0 0

Регистрация юрлица и получение терминала требуют денег и усилий. Если потом мошенничать с бесконтактными транзакциями (а они до 1000 руб. без ПИНа), то прикиньте, как быстро банк заблокирует данный терминал после первого заявления пострадавшего с СМС-оповещением.
Кроме того, украденные деньги надо как-то вывести. По-моему, подобная затея экономического смысла не имеет.
Экономический смысл, скорее, имеет подобная схема с украденными данными карты+ПИН (скиммер, работники сферы сервиса и т.п.). И то, как правило, обналичивают через банкоматы в таком случае
15.12.16 19:16
0 0

BOFH:

И то, как правило, обналичивают через банкоматы в таком случае

И только в банкоматах слаборазвитых стран, которые не работают по чипу. Но всё равно, данные магнитные полосы отличаются (должны!) от данных, прочитанных по бесконтактному интерфейсу.
15.12.16 19:18
0 0

BOFH: Кроме того, украденные деньги надо как-то вывести. По-моему, подобная затея экономического смысла не имеет. Экономический смысл, скорее, имеет подобная схема с украденными данными карты+ПИН (скиммер, работники сферы сервиса и т.п.). И то, как правило, обналичивают через банкоматы в таком случае

Если сильно интересно, пойдите в тор, на все еще существующие кардерские форумы. Узнаете кучу реальных, хитрых и не очень схем, куда и как выводят деньги, в том числе и через терминалы. Экономически все вполне оправданно 😄
15.12.16 19:25
0 0

Боже, храни эту страну от идиотов....
15.12.16 19:05
0 0

Саму карточку наверное трудно склонировать - интересно, насколько сложно сделать прокси-карточку, передающую запросы к удаленному ридеру и возвращающую через него ответы карточки жертвы.
15.12.16 16:31
0 0

Paskin:
Саму карточку наверное трудно склонировать - интересно, насколько сложно сделать прокси-карточку, передающую запросы к удаленному ридеру и возвращающую через него ответы карточки жертвы.


Легче лёгкого. Именно потому от 1000 рублей (в России) надо вводить пин. Собственно, не понятно, что кого-то удивляет, что так сделать нельзя? Потому именно NFC, а не "просто" FC.

P.S. А возвращать-то зачем? Чисто для усложнения процесса? 😉
15.12.16 16:43
0 0

Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях. Прошла транзакция на 1000р которая левая, заблокировал карточку 5 мин времени в нормальном банке, на следующий день получил новую, в чем проблема то. Понятно - бывает форс-мажор, сеть не доступна и т.д. и т.п., но тут уже из серии про "Аннушка пролила масло..."(с)
15.12.16 14:44
0 0

Evgen1812: Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.

Есть люди, которые эти СМС не читают. Например, мои пожилые родители. Они уже устали от всех этих гаджетов и уведомлений, они просто хотят, чтобы им на карту приходила пенсия (а не стоять в очереди за пенсией на Почте России, как многие до сих пор стоят).

И вот подобные люди как раз и являются лакомым кусочком для воришек данных карт. Трать сколько влезет (но не наглей, а трать понемногу и не каждый день), и человек никогда не заметит пропажи.

"Пощипать" пенсионеров - дело святое для ворья. Так же, как и обнести квартиру, выбить стекло в машине ради магнитолы или регистратора, дёрнуть мобилу в метро у школьника.








15.12.16 15:15
0 0

Evgen1812:
Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.


Да полно! Например, я. Потому что я не согласен платить банку 40-100 рублей в месяц ради того, чтобы банк мог выполнить Закон РФ "О Национальной Платёжной Системе". Опять таки, если кредитная карта, то деньги на ней - не мои, а банка. Вот пусть он и сам за своими деньгами смотрит, пока я ими не пользуюсь.

P.S. А ещё есть банки, которые предлагают держателям кредитных карт страховку от неправильных списаний. Обычно в ответ предлагаю купить страховку мне на автомобиль. А что? Если я плачу за сохранность их денег, почему они не могут в ответ заплатить за сохранность моего авто? 😉
15.12.16 15:46
0 0

Evgen1812:
Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.


Это от страны и банка зависит. Могу сказать что например Chase Bank, Citi в Штатах отправляют SMS на для своих карт, но нное количество других банков\карт этого не делает.

В Сингапуре ситуация интереснее - отправление SMS завистит от обьема транзакции. Для кредитных карт - это SGD $10, а вот для дебитных карт - уже SGD $500.

Правда те, кто ходят с дебитными картами они себе злые буратино...
16.12.16 10:17
0 0

Эксперт Центробанка может предупреждать о мошенниках снимающих тайно деньги только в одном случае - если деньги тайно собирается снимать сам Центробанк.

Что в свете сегодняшних заявлений "а мы не знаем, вы слишком долго живёте - может пенсии и не получится платить" вполне себе и да.

"Бесконтакстным", говоришь?
15.12.16 13:36
0 0

To Rostislav.

Круто! Человек разбирается!

Интересует ваше мнение (без сарказма) относительно карт оплаты проезда в Питере (подорожник) или Тройка.

А как насчет них?


















15.12.16 13:04
0 0

kot_leopold:
Интересует ваше мнение (без сарказма) относительно карт оплаты проезда в Питере (подорожник) или Тройка.

А как насчет них?




















А это - платёжные карты стандарта EMV? Что-то мне подсказывает, что нет. Кроме того, мой планшет (Nexus 7 2013) "Тройку" не читает. И "обычные" банковские терминалы - тоже. Так что мне только известно, что такие карты есть. Но там тоже - эмиссионые ключи и пр. лабуда.

Если интересует информация про чиповые карты, могу подсказать хороший сайт: www.emvco.com

Там все спецификации лежат. В открытом доступе. И их можно скачать абсоютно бесплатно и без регистрации.
15.12.16 13:10
0 0

Алекс, спор становится неинтересен. Дальше можно только перейти к оскорблениям ))) Хочешь, я пришлю тебе документацию 2014 года (University of Amsterdam)? Они подробно описали, как с помощью устройства, на которое я дал ссылку, произвести атаку на распространнные типы алгоритмов шифрования информации на картах. Я уверен, ты заскучаешь на второй странице, там сугубо техническая информация по протоколам, секторам, алгоритмам и прочему. Но вывод простой - да, так можно сделать.

Кстати, про офлайн. А ты уверен, что паркомат у магазина в городке ты живешь, каждый раз бегает в интернет, чтобы проверить, если ли у тебя пара евро чтобы заплатить за парковку? А в самолете, когда ты покупаешь бутылочку вискаря, тоже думаешь он-лайн?

В чем ты прав, так в том, что тебе на это реально наплевать. Потому что в Евросоюзе, как и в Штатах, давно действует принцип ZL (Zero Liability) владельца карты к возможной потере средств в результате мошеннических действий. Например, можно кратно почитать тут www.cathfcu.com/files/cathfcu/1/file/CATH_SepDiscIN.pdf

А у нас, в нашей замечательной стране, этот принцип не действует. Так что нам приходится спать более беспокойно. У меня лично крали данные карты, сделали клон и сняли деньги в другом городе. Все, что были. Правда банк все вернул после разбирательств. Повезло.

Алекс, давай про вино! Про вино ты на порядок больше знаешь, чем про эти вещи. ) Я с удовольствием почитаю!
























15.12.16 12:59
0 0

kot_leopold: А ты уверен, что паркомат у магазина в городке ты живешь, каждый раз бегает в интернет, чтобы проверить, если ли у тебя пара евро чтобы заплатить за парковку? А в самолете, когда ты покупаешь бутылочку вискаря, тоже думаешь он-лайн?

Уверен, что не бегает. И чо?



kot_leopold: А у нас, в нашей замечательной стране, этот принцип не действует.

Да что ты говоришь? А как я возвращал транзакции, которые сам не делал в российском банке "Авангард"? Может, мне это приснилось.



kot_leopold: У меня лично крали данные карты, сделали клон и сняли деньги в другом городе.

Ну да, скиммером сняли. И чо?



kot_leopold: Алекс, давай про вино! Про вино ты на порядок больше знаешь, чем про эти вещи. )

Мне не требуются советы по поводу того, что мне давать или не давать. Я буду обсуждать то, что мне будет угодно и так, как мне будет угодно. Если мне потребуются твои советы по этому поводу - я к тебе обращусь. Находись в ожидании.
15.12.16 13:09
0 0

Кстати, зачем что-то покупать? Вот любят люди бабки тратить! Есть приложение для Andorid с NFC. Прекрасно карты читает. Есть в маркете, могу ссылку дать 😄
15.12.16 12:55
0 0

Простите с первого раза не увидел:


Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена.


Чувствуется редкий, сказочный "специалист". И там не только "домашний адрес", но и дикий ключ от квартиры, где деньги лежат. Ой, спасибо за ссылку, повесилили! Надо коллег порадовать.
15.12.16 12:59
0 0

Специально спрашивал многих коллег насчёт того, был у них в банке "бессконтактный фрод" (списание денег с бесконтактной карты без согласия держателя). Пока никто ещё не ответил утвердительно 😄))))
15.12.16 12:38
0 0

Rostislav:
Специально спрашивал многих коллег насчёт того, был у них в банке "бессконтактный фрод" (списание денег с бесконтактной карты без согласия держателя). Пока никто ещё не ответил утвердительно ))))


а кто ж сознается то 😄

только вот "карточные мошенничества"

а если называть вещи своими именами - воровство (если страдает физическое лицо) и

грабеж (это если банк страдает) все процветают и процветают,

если память не подводит то еще в прошлом веке сша убытки связанные с "карточными мошенничествами" привысили суммарные убытки от всех прочих видов криминальных преступлений против собственности исключая мошенничества (что очевидно было бы самозамыканием). в европе эта грань была пересечена гдето в начале нулевых...

перефразируя

"если у вас еще небыло проблемы с банком и картами это не ваша заслуга а наша недоработка"


15.12.16 17:21
0 0

Ну их нафиг, эти пей-пасс((( Сделали проход в метро по ним, (в Питере) вроде все клево, насобачился бегать, но как то пошли вдвоем, пропустил друга, снова прикладываю, фигушки...Оказывается, для них действуют ровно те же правила, что и для социальных карт, блокируются на какое то время после прохода, хотя я за каждый проход честно плачу. Дурацкая система.
15.12.16 12:14
0 0

Мелан Холик: у их нафиг, эти пей-пасс((( Сделали проход в метро по ним, (в Питере) вроде все клево, насобачился бегать, но как то пошли вдвоем, пропустил друга, снова прикладываю, фигушки...

Я пробовал в Питерском метро канадские и американские карты с пейпассом, был послан системой подальше - не шмогла.
15.12.16 12:19
0 0

Alex Exler: чисто теоретически там же в метро возможно снять деньги бесконтакстным способом - если терминал совершенно официальный и зарегистрированный, будет подключен к Интернету и если приложить к нему карточку, как вы это делаете в магазине

Ну одно требование - подключение к Интернету - судя по всему, можно вычеркнуть. Я-то тоже был долго уверен, что есть некий challenge-response напрямую между платежной системой и моей дебиткой, т.е. если нет подключения, то нет и платежа. Но это, как оказалось, не соответствует действительности. Платеж-таки можно делать в оффлайне и уже потом синхронизировать с банком. По-крайней мере, с Maestro в Европе так 100% можно.

А насчет официального и зарегистрированного терминала - это да. Но так ли уж сложно его получить, в большой-то стране, да со свободой предпринимательства? 😄 И насколько быстро банк заблокирует такой терминал, насколько быстро народ пожалуется (особенно если использовать отсрочку, как я описал выше, чтобы не сразу было видно, что деньги сняты), сколько злоумышленник успеет собрать (если не будет наглеть и будет снимать мелочи) - я думаю, что все это не такие уж глупые вопросы. Тем более в России, где мошенничество, мягко говоря, распространено, а вот страхование клиентов как-то видимо хромает.

Паранойи-то может и не надо, но я не согласен, что чисто технически это прям глупость.
15.12.16 12:13
0 0

Dmitry Perets: Паранойи-то может и не надо, но я не согласен, что чисто технически это прям глупость.

Я вроде написал, как это возможно чисто технически. Но что делает практически невозможным такой вид мошенничества.



Dmitry Perets: Платеж-таки можно делать в оффлайне и уже потом синхронизировать с банком. По-крайней мере, с Maestro в Европе так 100% можно.

Это сути дела, кстати, не меняет. Ну и в той же Испании платежи все делаются только в онлайне, в офлайне платеж сделать невозможно, кроме как продиктовать данные карточки, чтобы они потом сняли.
15.12.16 12:22
0 0

Алекс, купи этот ридер и приложи свою карту. И после этого, я гарантирую, смешно тебе уже не будет. Мне честно говоря все равно, можешь меня идиотом или шизофреником считать. Ты написал статью, сказал это бред. Я тебе говорю - это возможно и практикуется. Если ты опять скажешь, что я идиот, да ради бога, я не обижусь. Если хочешь поспорить и тебе действительно интересно, я тебе могу послать техническую документацию, как осуществить перехват и клонирование. Если тебе лень разбираться, давай забьем, ха ха ха, это все бред, у меня уязвленная гордость, карту дистанционно клонировать невозможно.






15.12.16 12:13
0 0

Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ . Более простой ридер на Алиекспрессе - www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-develop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html

Еще раз хочу подчеркнуть. То, что описано в статье - действительно ерунда. Никто с терминалом бегать не будет. Но! Использовать ридер, чтобы насобирать данные карт и потом использовать их для изготовления клонов - другое дело.










15.12.16 11:43
0 0

kot_leopold: Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 10-15 см) и использовать в платежах реальна.

Да-да. Та же самая старая и очень смешная страшилка. Вот на Али ржут, когда какие-то идиоты эти "ридеры" покупают...

Вот скиммеры - да, вполне реальная штука. Но в скиммер карту надо сунуть.
15.12.16 11:54
0 0

kot_leopold:
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ . Более простой ридер на Алиекспрессе - [URL=https://www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-develop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html?spm=2114.13010608.cb0001.4.HpPbch&scm=1007.13441.64707.0&pvid=eb873f75-840d-4d63-917e-8d22f280f273&tpp=1]www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-deve-

lop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html[/URL]






Охота тебе верить в эти бабушкины сказки - ну так верь, я не против. А чего ты сам ридер не купишь и не клонируешь по 15 карт в секунду? Выгодная штука, между прочим. Вот когда купишь и клонируешь - тогда и приходи. Если купишь и ничего не получится - тоже приходи, если ты честный человек.
15.12.16 12:24
0 0

kot_leopold:
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ .












Клон EMV карты? 😉 Ну-ну. Схожу почитаю. Даже интересно стало 😄))))
15.12.16 12:38
0 0

kot_leopold:
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ .













Спасибо, сходил по ссылке, прочитал. Половина в статье верно, половина - бред сивой кобылы.

поясню на цитате:


Что касается информации, которую собирает гаджет, то она включает номер карты и срок ее действия. Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена.

После этого можно без проблем создать клон скопированной банковской карты, и использовать ее для различных целей.


Действительно, реально можно считать бесконтактную карту на расстоянии (очень странно, если бы было иначе). А вот насчёт "сделать клон"... Очень интересно, как автор это себе представляет. Ну, да. У тебя есть номер (да что номер! так называемый "трек" - данные карты, записанные на чипе или магнитной полосе). Но, простите, дальше то что?



Бесконтактная карта - это вам не карта с магнитной полосой. "Просто так" прописать данные туда нельзя. А даже если бы было можно, толку то? Для бесконтактных карт формируется так называемый CVC3 код (для MasterCard, для Visa - dCVV). Он - динамический. Сначала его считает чип карты, потом проверяется в процессинге банка. Чтобы его подделать надо знать эмиссионые ключи карты. Вы меня простите, но если банк протерял ЭТО, генерация верных CVC3 по его картам - не самая большая проблема для него 😄)))))



"Да, но можно же считанный трек записать на магнитную полосу!" - скажет мне дотошный читатель. Можно. А ещё на стену туалета. Эффект будет тот же. Во-первых, на треке написано, что эта карта - EMV (чиповая). Во-вторых, в банке, который придерживается правил и стандартов Visa и MasterCard выпускаются карты с 3-мя разными треками:

1. Для магнитной полосы.

2. Для контактного чипа.

3. Для бесконтактного чипа.

И все они - разные. И если в процессинг банка придёт трек с бесконтактного чипа, прочитанный по магнитной полосе... Эффект - предсказуем. В лучшем случае транзакция просто не пройдёт. В худшем кассира проинформируют, что покупатель - мошенник. И его надо арестовать.



Так что с точки зрения "иск-пердов" всё это звучит очень и очень правдоподобно. Жаль, в реальности всё вообще совсем не так. Увы!



О себе: занимаюсь эквайрингом более 17 лет, писал ПО для первой в России терминальной EMV транзакции. То есть, знаю, про что говорю.
15.12.16 12:53
0 0

А вот еще помните? А ведь народ повёлся.

www.popmech.ru/technologies/9002-my-vas-vidim-vsevidyashchee-oko/


15.12.16 11:42
0 0

ну вот у меня бесконтактная карта в в кошельке замотана в фольгу, но не из-за паранои, а потому что она глючит с проездной "тройкой" когда в одном кошельке лежит и приходится вытаскивать тройку чтобы через турникет пройти. А все покупки я делаю телефоном samsung pay - очень удобно и на всех терминалах работает даже древних.
15.12.16 11:29
0 0

Alexander_SoS: А все покупки я делаю телефоном samsung pay - очень удобно и на всех терминалах работает даже древних.

А на Самсунг чехольчик из фольги?
15.12.16 12:36
0 0

Кочегаров подкидывает стране угля. Мелкого, но черного и много.
15.12.16 11:29
0 0

Alex Exler: управляющий Отделением по Воронежской области Главного управления Центрального банка Российской Федерации по Центральному федеральному округу Кочегаров Игорь Анатольевич!

Что. Это. Такое.

Я вообще вначале прочитал как "управляющий отделением кочегаров". Привычка, туды ее в качель, выцеплять главное - реперные точки. И, похоже, сделал только лучше.
15.12.16 11:28
0 0
Теги
Сортировать по алфавиту или записям
BLM 11
calella 97
авто 334
видео 2579
вино 269
еда 324