Сканеры данных банковских карт - опасно ли это?

Мне тут уже раз двадцать прислали ссылки на статьи о сканерах банковских карт со встроенными чипами RFID. Часть этих статей написаны в паническом стиле из серии: "Шеф, усе пропало, гипс снимают, клиент уезжает". Мол, теперь злоумышленнику со сканером достаточно пройти рядом с вами в магазине, транспорте и так далее, после чего данные ваших банковских карт окажутся у него в руках. И все, ты разорен, трогательно обещают в этих статьях.

Больше всего пишут про некий Contactless Infusion X5 - сканер информации о банковских картах, который действительно продается через Интернет и может, как уверяют продавцы, сосканировать данные любой карты на расстоянии до 8 сантиметров. К сканеру даже прилагается 20 чистых болванок, на которые можно записать сосканированные данные, чтобы, дескать, пользоваться этими картами так же, как и владелец. Продают этот сканер что-то там за $800, но обещают, что владелец сканера ка-а-а-ак выйдет в магазин, ка-а-а-а-ак сосканирует три тыщи двести двадцать десять карт со скоростью 15 карт в секунду, так и настанет ему ЩАСТЕ.

Ну вот меня и спрашивали, что теперь делать. Нужно ли нам, владельцам карт с RFID-чипом (а я такими картами пользуюсь года три), посыпать голову пеплом и рвать эти карты на американский флаг, чтобы они не достались врагу?

Тут еще вспоминается трогательная история, как сотрудник "Лаборатории Касперского" заметил в метро человека с работающим "сканером" и сделал вывод том, что парень сканирует данные карточек всего вагона. По фотографии хорошо видно, что человек держит в руках обычный переносной терминал для приема платежей, но осадочек, как вы понимаете, остался, так что многие пользователи решили немедленно отказаться от пластиковых карт с RFID и перейти на наличку, золотые слитки и ракушки с острова Борнео - их по крайней мере не сосканируют.

А теперь давайте разберемся. Могут ли такие сканеры существовать? Да, могут. Более того, они наверняка существуют. Пока находятся идиоты, которые подобные устройства покупают за $800, то всегда найдутся умные люди, которые эти сканеры будут выпускать.

Цена на них, конечно, скоро будет заметно падать, когда выяснится, что за $800 люди приобретают совершенно бесполезное устройство, но уверяю вас, что до $200 цена упадет еще нескоро.

Так вот. Что теоретически может получить владелец такого сканера? Он может получить номер карты и срок ее действия. Вот и все. Что ему это дает? Вообще ничего. Правда, нет, вру, он на эту карту может перевести деньги - для перевода НА карту достаточно одного номера.

Может ли он снять с нее деньги? Нет, не может: для этого требуется знать код CVC2, который он никак не может получить, нужны данные магнитной полосы, которые с помощью такого сканера достоверно получить невозможно, ну и плюс нужен пин-код, который он также с помощью сканера не может получить.

Может ли он что-то покупать через Интернет по этим данным? Нет, он не знает имени владельца карты и кода CVC2.

Так что он с этим может сделать? Перевести на карту, данные которой получены через сканер, деньги, более ничего. Во всякие тонкости вроде того, что встроенный в карту чип при каждой транзакции генерирует одноразовый код и без него ничего не сделать - сейчас даже влезать не будем. Злоумышленник с помощью полученных данных даже магнитную полосу не сумеет сымитировать, чтобы ее не отклонил банк - не получится.

Поэтому по поводу возможности того, что данные вашей карты смогут получить с помощью подобного сканера - пока, на мой взгляд, можно не беспокоиться: даже если получат, то все равно с этим ничего не смогут сделать.

Другое дело, что если у вас с помощью данного сканера узнали номер карты и срок ее действия, а дальше начали получать недостающие данные с помощью каких-то других способов - да, вот тут уже карта может быть скомпрометирована. Злоумышленник может тупо подсмотреть CVC2-код и ваши ФИ, когда вы будете расплачиваться этой картой на кассе. Впрочем, аналогичным образом он может подсмотреть и запомнить код карты - есть такие шустрики. Но это уже совершенно другой разговор.

Я, собственно, к тому, что только с помощью этого или подобных сканеров невозможно получить данные ваших карт так, чтобы потом оплачивать покупки в Интернете, совершать небольшие платежи без ввода пин-кода (в Испании это суммы до €20) или какими-то другими способами уводить ваши деньги.

Ну а если найдутся идиоты, которые за $800 купят такой сканер - ну так я буду только рад. Идиотов, да еще и мошенников, надо учить. И я с нетерпением жду подачи судебных исков к разработчикам Contactless Infusion X5 из серии: "Я тут решил стать ворюгой, заплатил денег, а устройство для воровства средств с карточек должным образом не работает. Верните мне деньги"! Это будет хорошая ржачка!

Комментарии 166
Безконтактная оплата PayPass с карточки Mastercard Приватбанка не требует ввода пин-кода, если сумма до 100 грн.
08.07.16 10:03
0
Если не ошибаюсь от магазина не требуется обязательное использование CVC2 / CVV2, компании кредитных карт проводят транзакции в обоих случаях, но использование защитного кода поощряется. Транзакции на Amazon возможны без защитного кода, сталкивался с продавцами, которые также его не требовали для снятия денег с карты.
17.06.16 23:39
0
уфф, прям гора с плеч, успокоили!:) не разбираюсь в таких тех. тонкостях карт, а также в возможности воровства денег с них, но неоднократно читала (опять же, не вдаваясь в детали), что была серия мошенничеств, когда либо в банкоматах делали скан карты путем подствы спец. девайсов, а также кассиры прокатывали незаметно карту еще раз через ихнее устройство, а потом каким-то образом уводили деньги. не знаю, подобная ли эта схема, о кот. пишет Алекс. чтобы не рисковать, я лично не держу на счету большие деньги, к кот. привязана карта для покупок. держите крупные суммы на другом счету, переводите на карточный счет, когда и сколько надо. установите лимит на карту, привяжите транзакции к номеру, куда приходят смс оповещения о всех движениях...

вот тут мне давеча случайно попался один пранк, в котором зэк пытается разводить слабоумных с картами, но уже по др., очень примитивной схеме, причем столько зарабатывает, от "клиентов" отбоя нет, что ахтунг полный. смотреть всем: www.youtube.com/watch?v=rv6upGtnbBc
17.06.16 16:22
0
Я всегда считал, что кредитные карточки и т.п. - это по дизайну пониженная безопасность взамен на удобство. Поэтому приходится смириться и считать, что тебя окружают честные люди. Ну а если едешь в место, где ты в этом не уверен - используешь наличные или travel cheques.
17.06.16 12:39
0
igori-san: если едешь в место, где ты в этом не уверен - используешь наличные

Класс, в месте где ты не уверен, что вокруг честные люди - наличные самое оно. Могут по башке дать, наличные вытащить и ищи потом этих "не самых честных"..
17.06.16 14:29
0
igori-san: Ну а если едешь в место, где ты в этом не уверен - используешь наличные или travel cheques.

А мне всегла казалось, что потерять наличные гораздо серьезнее, чем карту. Вот не далее как это зимой утерял (или украли - я не знаю), бумажник со всеми картами. И.. ничего. Через неделю получил две новые карты и все. А наличные бы ушли с концами. ;)
17.06.16 14:31
0
Стоя в час пик в очереди к терминалам продажи билетов на электричку (Ярославский вокзал) можно насобирать кучу ПИНкодов. Клавиатура с цифрами абсолютно открыта и как бы специально поднята повыше, чтобы всем было видно что набирает человек. Во второй руке как правило сумка. На всякий, у меня пэй-пасс и автомат ПИН не просит.
17.06.16 12:11
0
шлюзы, сканеры.... прошлый век!

открывайте интернет магазин и выставляете счета "за разбитое вино"

lenta.ru/news/2016/06/15/wasted/
17.06.16 11:21
0
есть такая контора - Digital River. К ней подключена оплата разных игровых сервисов. И она при оплате не требует никакого подтверждения.

У меня так сняли с бизнес-карты, которой в инете вообще платить невозможно, примерно 200 баксов. А данные карты (номер и фио) слили в Люксембурге, в гостинице.

Карту заблокировал, деньги вернули, но осадок остался.

Кроме того, в инете писали про мошеннические списания по номеру карты и дате окончания, через какой-то сервис Билайна.
kdv
16.06.16 23:03
0
И тут вхожу я со старым добрым паяльником... :D

У меня неск. карт. Мастер кард, к примеру, вообще не требует имени - приходится писать анэмбоссед нейм, а то не все формы считают это поле необязательным. Но для интернет торговли я давно завел для себя виртуальную Визу. Кажется, я уже об этом писал как-то. Между картами через родной банк, а в урби эт орби - только через виртуалку. А тут на халяву получил Кукурузу (покупал с Связном подарок - выдали просто так). Впервые столкнулся с тем, что пина не требуют. Причем в одном сетевике просят расписаться стилусом, в другом просто говорят спасибо. Сумма, заметьте! обычно сильно больше тысячи.

По сабжу. Разумеется, я не буду рекламировать воровство, но, друзья, я вижу кучу дыр во всей этой системе. Почему это слабо эксплуатируется? Да потому что др. способом украсть легче:D
16.06.16 19:28
0
По идее такой сканер уже существует в смартфонах - NFC.
16.06.16 19:05
0
vdvvdv: По идее такой сканер уже существует в смартфонах - NFC

Да щас. Нфц - радиосвязь.
16.06.16 19:43
0
Вот, ведь хотел в этот раз без чертовщины ...

Если изготовить дубликат карты с чипом, а затем с помощью пульта за 800$ создать квантовую запутанность носителей информации с картой потенциальной жертвы в вагоне метро ...
16.06.16 15:17
0
Блин, никто не будет покупать в Макдональдсе, будет много, очень много вводов на мелкие суммы в какое-нибудь казино, зарегистрированное на хрензнаеткаких островах. Даже если большая часть денег потом оспорится и вернется, то консолидированную сумму со счета в казино можно легально вывести. И это будет неплохая суммма. И по факту за руку не поймаешь. Этот дурацкий сканер, конечно, нафиг не нужен, если как ещё одно средство съема данных карт.
16.06.16 13:49
0
vitalyoff: Блин, никто не будет покупать в Макдональдсе, будет много, очень много вводов на мелкие суммы в какое-нибудь казино, зарегистрированное на хрензнаеткаких островах. Даже если большая часть денег потом оспорится и вернется, то консолидированную сумму со счета в казино можно легально вывести. И это будет неплохая суммма. И по факту за руку не поймаешь. Этот дурацкий сканер, конечно, нафиг не нужен, если как ещё одно средство съема данных карт.


Вот именно. Любой работник сферы услуг в проходном месте имеет доступ к данным, написанным на карте, по нескольку десятков раз в день.

А по поводу казино, могу сказать только то, что недолго оно так порезвится, платежные системы просто перекроют им эту возможность достаточно быстро. Тем более, что они имеют доступ к деньгам, поступающим на счета этого казино, и в итоге просто наложат на них штраф. Так что и серьезные гэмблеры не будут этим заниматься, а введут систему авторизации, как положено. Если их на самом деле интересует игровой бизнес, а не мошенничество
16.06.16 14:01
0
Алекс, не стоит так безапелляционно заявлять. Покупки по номеру и сроку карты вполне себе существуют, например в Amazon.com.
16.06.16 13:19
0
Продвинутые банки предлагают для пущей безопасности устанавливать лимиты. Лимиты меняются легко в интернет-банке при необходимости. Например, у меня по кредитке запрещены операции по снятию наличных и операции в интернете. А на оставшиеся операции установлено ограничение на списание в сутки Н-ной суммы. При попытке списать в магазине сверх лимита банк отказывает - недостаточно средств. Если что-то покупаю через инет, временно разрешаю интернет-операции. Либо при крупных покупках увеличиваю дневной лимит. По остальным дебетовым картам тоже можно настроить так же.

В этом же банке можно запретить/разрешить операции за границей. Вроде как указываешь страну, где разрешено списывать, когда едешь из России, но по факту получается варианты "только Россия" либо "везде".

Добавлю: при операциях сверх лимитов приходят SMS-сообщения, о которых тоже не надо забывать для безопасности. В случае, если транзакцию не совершал, то будет понятно, что карта/данные скомпрометированы, но зато деньги не потеряешь.
16.06.16 13:14
0
Очень странное совпадение с вот этой статьей
bankir.ru/publikacii/20160615/psevdokhakery-zarabatyvayut-na-mife-o-nebezopasnosti-beskontaktnykh-platezhei-10007669/

Заказ какой-то прошел?
16.06.16 13:11
0
Мне несколько раз приходила SMS от мошенников, с сообщением, что "ваша банковская карта заблокирована, справки по тел 8-800-100-61-42.

По указаному тел сначала работает автоинформатор, сообщающий, что вы позвонили в Центр безопасности карт VIsa и Mastercard, потом соединяют с оператором, который пытается узнать у вас номер карты и срок действия.

Информацию о имени владельца, коды PIN и CVC/CVV не спрашивают.

Зачем то же они собирают эти данные?
16.06.16 13:09
0
Daniil_B: вам надо звонить не по телефону,который вам указали(вполне возможно,сам звонок стоит денег),а в ваш банк
16.06.16 14:15
0
Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно. Естественно, вывод будет произведен не через обычную торговую точку, а через какое-нибудь онлайн-казино. Тем не менее это 100% работает. А я работаю в процессинге крупного банка :D
16.06.16 13:08
0
vitalyoff: Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно. Естественно, вывод будет произведен не через обычную торговую точку, а через какое-нибудь онлайн-казино. Тем не менее это 100% работает. А я работаю в процессинге крупного банка



Зачем для этого все эти трудности с терминалом и прижиманиями в толпе? Раньше хватало официантов и продавцов за меньшие деньги и усилия
16.06.16 13:14
0
vitalyoff: Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно

А я работаю в процессинге крупного банка

Ваш банк-эмитент примет транзакцию чиповой карты без пина/cvc2 ?

Конечно, если у вас банк-альтруист, то вполне возможно, но имхо таких банков давно нет.
16.06.16 14:42
0
Как в толпе подать питание на чип? !!!
16.06.16 13:01
0
 

BOFH: . Для списания нужен именно чип в карте, а не записанная информация с него.

 Чип имеется. Со сканнером идут чистые болванки на которые инфо и записывается.





MetaReks: Как в толпе подать питание на чип? !!

 По радио или посредством электромагнитной индукции. Ни одной бесконтактной карты или брелока нигода не видели?
16.06.16 13:57
0
Недавно произошли два списания на 1000 и 1500.

В покер походу ушли деньги 826\Isle of man\Stars

Как ушли данные карты особых идей нет.

Сразу заблокировал карту. Как-то странно было бы проигнорировать это. Карту перевыпустил. Написал заявку в банк. Деньги вернули в течении недели, хотя пугали полугодом.
16.06.16 12:38
0
ммм... а как тогда вообще работает система "приложил карточку = заплатил"? например, проходя турникеты в электричку или на кассе? по логике - там же тоже некий сканер?
16.06.16 12:17
0
О, как эта статья в тему! Вчера получила карточку "Райффайзена", про такие чипы знать ничего не знала. В кассе кинотеатра кассир на секунду приложила карточку к экранчику терминала и деньги были списаны. Я под большим впечатлением была, да... А в условиях смс-информирования банка сказано, что смс не приходят, если операция по карте была совершена безавторизационным способом. То есть, получается, пока я не проверю движения по карте в интернет-банкинге, я не буду знать точно ли эту сумму списали. Если я всё правильно поняла в сложившейся ситуации, то меня это совершенно не радует. Параноик я, со стажем.
Ирина Батьковна:
... Если я всё правильно поняла в сложившейся ситуации, то меня это совершенно не радует. Параноик я, со стажем.


И ещё не читатель :-)
Ирина Батьковна: То есть, получается, пока я не проверю движения по карте в интернет-банкинге

Так давно придумали мобильный банк, сразу зашел и проверил. У меня смс вообще не приходят, я все через мобильный банк смотрю, когда мне это удобно и это намного информативней.
Терминал, что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где? Когда покупатель приложил карточку с чипом в магазине обмен данными идёт не только карточка - терминал, а терминал ещё запрашивает информацию из банка, который его туда установил через инфосеть. За 800$ куда будет запрос посылать?
16.06.16 11:55
0
MetaReks: Терминал, что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где?

ИП "Бомжевич" подойдет?
16.06.16 12:40
0
MetaReks: Терминал, что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где? Когда покупатель приложил карточку с чипом в магазине обмен данными идёт не только карточка - терминал, а терминал ещё запрашивает информацию из банка, который его туда установил через инфосеть. За 800$ куда будет запрос посылать?

Да никуда он и ничего не будет посылать. Он просто, прикинувшись терминалом, считает всю доступную информацию с карточки, ее запомнит и потом запишет на болванку.

А потом человек с такой болванкой нацепит парик (отрастит усы, сбреет бороду, ...), придет в МакДачку и поест за ваш счет. Или в кино сходит. Или литров 20 бензина на автоматической АЗС в машину зальет. Ибо при оплате через PayPass/PayWave суммы до 1000 (или даже 1500) р. запрос PIN-кода опционален.

Думаю, если в метро с недельку "порыбачить" таким сканером, то по 10 карт в день собрать получится. 70 человек, с карты каждого стащили по 1000 р. - и имеем 70000 р., т.е. сканер в $800 уже себя окупил. Дальше - чистая прибыль... до момента встречи с представителями банковской СБ или сотрудниками полиции. Но если не зарываться, не жадничать и проявлять определенную осторожность, этот момент можно оттянуть на достаточно долгое время, да и в случае его наступления отделаться минимальным доказанным ущербом (и, соответственно, минимальным же наказанием).

Так что тут далеко не все так радужно, как Алексу хотелось бы...
16.06.16 12:50
0
1. В том же Макдональдсе иногда прикладываение чипа к аппарату срабатывает сразу, а иногда требуется вводить пин-код. То есть никак не привязано к сумме покупки. Банк сам выбирает способ идентификации.

2. На карте есть чип, которому нужно питание, которое поступает на него дистанционно (как дистанционная зарядка девайсов) и тут важно расстояние от аппарата до карты с чипом. То есть весь вагон не насканируешь.
16.06.16 11:28
0
MetaReks: То есть никак не привязано к сумме покупки. Банк сам выбирает способ идентификации.

Подтвержу. Постоянно скупаюсь в продуктовом возле дома - всегда требует пин-код. Закупал стройматериалы месяц назад на несколько тысяч - без кода.
16.06.16 11:45
0
Заметил кстати, что любая другая карта RFID (например проходка em marine) в кошельке крайне мешает считыванию чего либо, даже с очень близкого растояния. Так кредитка с paypass отказалась читаться пока не вытащил из кошелька, и проездной в метро так же. Причем считывание происходит, но видимо данные криво считываются.

Еще, стоит напомнить, что CVV2 или CVC2, который нужен для большенства операций с картой в интернете, написан только на самой карте, и не хранится в чипе или на магнитной полосе. Впрочем необходимость использования CVV2\CVC2 определяется банком. Еще, насколько я помню у всяческих упрощенных карт его вообще нет.
16.06.16 11:24
0
 Насколько я знаю, данные магнитной полосы полностью дублируются на чипе (Обратите внимание: если карта с чипом вставляется в считыватель снизу, то магнитная полоса при этом не считывается и никак не используется). Кстати, не путайте просто чип и RFID, используемый для платежа с помощью PayPass - сейчас большинство карт с чипом, но далеко не все из них используют PayPass. 

В Испании автоматы для продажи билетов на междугородные автобусы принимают только карты с чипом.
16.06.16 11:02
0
Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.
16.06.16 10:59
0
igori-san:

ну тут просто - мы говорим официанту чтоб карту не уносил и принёс терминал сюда.

или сам прохожу к терминалу.
16.06.16 11:13
0
igori-san: Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят.

Вообще ты можешь сходить с ним. Или попросить вынести терминал. Отказать не смогут.
16.06.16 11:43
0
igori-san:
Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.


А вот как раз это нельзя позволять делать. В цивилизованных странах, где карточные платежи повсеместно, вам приносят терминал и вашу карточку даже в руки не берут
16.06.16 22:07
0
igori-san: Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.

У меня за 25 лет воровали раз 5. Каждый раз банк все возвращал, но все равно морока была (они письмо присылают, расписаться надо, что не тратил, и обратно отправить).

Последнее время стало намного лучше. Служба безопасности банка очень четко все отслеживамет. Если раньше не пропускали когда пытались какую-нибудь порнуху оплатить, то последний раз не пропустили когда пытались заплатить в аптеке CVS, а я всегда пользуюсь Walgreens (сразу позвонили и спросили это ли я пытался платить).

Украли данные карточки, насколько я понимаю в ресторане, но от этого мало спасения - на American Express cvv написано на лицевой стороне карты, так что даже если в при вас все делают, то запомнить 4 цифры труда не составляет (не надо даже карту переворачивать).
16.06.16 22:44
0