Адрес для входа в РФ: exler.bar
Сканеры данных банковских карт - опасно ли это?
Мне тут уже раз двадцать прислали ссылки на статьи о сканерах банковских карт со встроенными чипами RFID. Часть этих статей написаны в паническом стиле из серии: "Шеф, усе пропало, гипс снимают, клиент уезжает". Мол, теперь злоумышленнику со сканером достаточно пройти рядом с вами в магазине, транспорте и так далее, после чего данные ваших банковских карт окажутся у него в руках. И все, ты разорен, трогательно обещают в этих статьях.
Больше всего пишут про некий Contactless Infusion X5 - сканер информации о банковских картах, который действительно продается через Интернет и может, как уверяют продавцы, сосканировать данные любой карты на расстоянии до 8 сантиметров. К сканеру даже прилагается 20 чистых болванок, на которые можно записать сосканированные данные, чтобы, дескать, пользоваться этими картами так же, как и владелец. Продают этот сканер что-то там за $800, но обещают, что владелец сканера ка-а-а-ак выйдет в магазин, ка-а-а-а-ак сосканирует три тыщи двести двадцать десять карт со скоростью 15 карт в секунду, так и настанет ему ЩАСТЕ.
Ну вот меня и спрашивали, что теперь делать. Нужно ли нам, владельцам карт с RFID-чипом (а я такими картами пользуюсь года три), посыпать голову пеплом и рвать эти карты на американский флаг, чтобы они не достались врагу?
Тут еще вспоминается трогательная история, как сотрудник "Лаборатории Касперского" заметил в метро человека с работающим "сканером" и сделал вывод том, что парень сканирует данные карточек всего вагона. По фотографии хорошо видно, что человек держит в руках обычный переносной терминал для приема платежей, но осадочек, как вы понимаете, остался, так что многие пользователи решили немедленно отказаться от пластиковых карт с RFID и перейти на наличку, золотые слитки и ракушки с острова Борнео - их по крайней мере не сосканируют.
А теперь давайте разберемся. Могут ли такие сканеры существовать? Да, могут. Более того, они наверняка существуют. Пока находятся идиоты, которые подобные устройства покупают за $800, то всегда найдутся умные люди, которые эти сканеры будут выпускать.
Цена на них, конечно, скоро будет заметно падать, когда выяснится, что за $800 люди приобретают совершенно бесполезное устройство, но уверяю вас, что до $200 цена упадет еще нескоро.
Так вот. Что теоретически может получить владелец такого сканера? Он может получить номер карты и срок ее действия. Вот и все. Что ему это дает? Вообще ничего. Правда, нет, вру, он на эту карту может перевести деньги - для перевода НА карту достаточно одного номера.
Может ли он снять с нее деньги? Нет, не может: для этого требуется знать код CVC2, который он никак не может получить, нужны данные магнитной полосы, которые с помощью такого сканера достоверно получить невозможно, ну и плюс нужен пин-код, который он также с помощью сканера не может получить.
Может ли он что-то покупать через Интернет по этим данным? Нет, он не знает имени владельца карты и кода CVC2.
Так что он с этим может сделать? Перевести на карту, данные которой получены через сканер, деньги, более ничего. Во всякие тонкости вроде того, что встроенный в карту чип при каждой транзакции генерирует одноразовый код и без него ничего не сделать - сейчас даже влезать не будем. Злоумышленник с помощью полученных данных даже магнитную полосу не сумеет сымитировать, чтобы ее не отклонил банк - не получится.
Поэтому по поводу возможности того, что данные вашей карты смогут получить с помощью подобного сканера - пока, на мой взгляд, можно не беспокоиться: даже если получат, то все равно с этим ничего не смогут сделать.
Другое дело, что если у вас с помощью данного сканера узнали номер карты и срок ее действия, а дальше начали получать недостающие данные с помощью каких-то других способов - да, вот тут уже карта может быть скомпрометирована. Злоумышленник может тупо подсмотреть CVC2-код и ваши ФИ, когда вы будете расплачиваться этой картой на кассе. Впрочем, аналогичным образом он может подсмотреть и запомнить код карты - есть такие шустрики. Но это уже совершенно другой разговор.
Я, собственно, к тому, что только с помощью этого или подобных сканеров невозможно получить данные ваших карт так, чтобы потом оплачивать покупки в Интернете, совершать небольшие платежи без ввода пин-кода (в Испании это суммы до €20) или какими-то другими способами уводить ваши деньги.
Ну а если найдутся идиоты, которые за $800 купят такой сканер - ну так я буду только рад. Идиотов, да еще и мошенников, надо учить. И я с нетерпением жду подачи судебных исков к разработчикам Contactless Infusion X5 из серии: "Я тут решил стать ворюгой, заплатил денег, а устройство для воровства средств с карточек должным образом не работает. Верните мне деньги"! Это будет хорошая ржачка!
Глаза. Вырвите всем глаза.
Плюсь бывший коллега, который весьма близко к технологическим частям банков сам пользуется такими картами, а он человек дотошный, в его действия в этом плане я готов поверить.
К вопросу о подглядывании CVС-кода, я свой запомнил и соскреб с карточки. Смотрите сколько хотите.
Плюсь бывший коллега, который весьма близко к технологическим частям банков сам пользуется такими картами, а он человек дотошный, в его действия в этом плане я готов поверить.
о, идея, щас пойду свой код заклею пластырем:)
Все-таки, есть дыра в этой технологии, я считаю. Ее использование на Западе сдерживают суровые законы на эту тему. А в России...
В нашем сельпо (гипермаркете) можно на выбор - вводить пин код или не вводить, но тогда предъявлять документ.
Держатель карты за свои неправомерно списанные полторы тыр банку глотку порвёт, а уж тот найдёт, как разобраться с торговым предприятием, а оно - кассира научит правильно работать с денежными потоками.
P.S. Вот. Не, реклама, а для информации: cardcover.ru/category/chehli-nfc-blokiratori
По-моему до тысячи, и это не настройки терминала, а правила платежной системы.
Teomit: При оплате в Макдаке c помощью PayPass, у меня не запрашивает пинкод.
Сумма покупки менее 1000 рублей. Вы ведь не настолько фанат макдака, чтобы на большую сумму за раз съедать? 😄))
При оплате в Макдаке c помощью PayPass , у меня не запрашивает пинкод. Однако в некоторых супермаркетах запрашивает. Получается, Макдональдс является доверенным магазином для банка?
у нас есть супермаркеты, где предварительно спрашивают, с пином ли ваша карта. тоже наводит на опр. размышления. а есть супермаркеты (речь в обоих случаях идет о крупных ритейлерах), где снимают деньги без пина, но это редкость. в большинстве же случаев не спрашивают о наличии пина, берут сразу карту чуть ли не под прилавок, лично мне не понятно, какие манипуляции и в какой кол-ве они могут с картой осуществить до того, когда тебе протягивают машинку для ввода пина. меня это немгого напрягает, и вообще мне не нравится давать карту в чужие руки. мне больше нра те торговые сети, где карту вставляешь саморучно в терминал, который вмонтирован в прилавок кассы, в котором еще и предусмотрены бортики с трех сторон, чтобы набор пинкода не увидели особо любопытные.
Только следить за трансакциями надо
Фотка со "сканером карт" отдельно повеселила. Сейчас с таким "сканером " каждый второй курьер/доставщик пиццы рассекает по городу. 😄
Начинайте бороться с видеокамерами над кассовыми терминалами в гипермаркетах. А то они уже много лет скрытно и несанкционированно получают, и сохраняют данные вашей карты. 😉
Михалков получает процент за потенциальное воровство контента с каждого проданного носителя информации, значит и они потенциальные преступники. Надо всех расстрелять!
Неправда, открыто (обязательное публичное предупреждение о видеонаблюдении) и санкционированно (установлены по определенным нормативам).
И какой процент обворованных на такие суммы обратятся в банк?
Да, это всегда умиляло. Как и камеры у банкоматов. А когда еще и кассир берет карту в руки... А сканер - баловство, по сравнению с этим.
Один из них - игровые мёрчанты, работающие с эквайрерами, которые принимают любые транзакции, без всяких имён, CVV и 3D Secure. Специфика в том, что часто дети воруют карты родителей и покупают свои золотые монетки в танках. Некоторые родители напишут заявку на чардж-бек, но большинство просто надают ребёнку по жопе и смирятся с потерей 1000 рублей.
Ещё у некоторых банков можно платить бесконтактно без пина до некоторой суммы. Возможно мошенники не воруют данные карты, а просто проводят транзакцию.
Что, и фио холдера, и название банка тоже не запрашивают?
Вообще ты можешь сходить с ним. Или попросить вынести терминал. Отказать не смогут.
Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.
А вот как раз это нельзя позволять делать. В цивилизованных странах, где карточные платежи повсеместно, вам приносят терминал и вашу карточку даже в руки не берут
У меня за 25 лет воровали раз 5. Каждый раз банк все возвращал, но все равно морока была (они письмо присылают, расписаться надо, что не тратил, и обратно отправить).
Последнее время стало намного лучше. Служба безопасности банка очень четко все отслеживамет. Если раньше не пропускали когда пытались какую-нибудь порнуху оплатить, то последний раз не пропустили когда пытались заплатить в аптеке CVS, а я всегда пользуюсь Walgreens (сразу позвонили и спросили это ли я пытался платить).
Украли данные карточки, насколько я понимаю в ресторане, но от этого мало спасения - на American Express cvv написано на лицевой стороне карты, так что даже если в при вас все делают, то запомнить 4 цифры труда не составляет (не надо даже карту переворачивать).
В Испании автоматы для продажи билетов на междугородные автобусы принимают только карты с чипом.
2. На карте есть чип, которому нужно питание, которое поступает на него дистанционно (как дистанционная зарядка девайсов) и тут важно расстояние от аппарата до карты с чипом. То есть весь вагон не насканируешь.
Подтвержу. Постоянно скупаюсь в продуктовом возле дома - всегда требует пин-код. Закупал стройматериалы месяц назад на несколько тысяч - без кода.
ИП "Бомжевич" подойдет?
Да никуда он и ничего не будет посылать. Он просто, прикинувшись терминалом, считает всю доступную информацию с карточки, ее запомнит и потом запишет на болванку.
А потом человек с такой болванкой нацепит парик (отрастит усы, сбреет бороду, ...), придет в МакДачку и поест за ваш счет. Или в кино сходит. Или литров 20 бензина на автоматической АЗС в машину зальет. Ибо при оплате через PayPass/PayWave суммы до 1000 (или даже 1500) р. запрос PIN-кода опционален.
Думаю, если в метро с недельку "порыбачить" таким сканером, то по 10 карт в день собрать получится. 70 человек, с карты каждого стащили по 1000 р. - и имеем 70000 р., т.е. сканер в $800 уже себя окупил. Дальше - чистая прибыль... до момента встречи с представителями банковской СБ или сотрудниками полиции. Но если не зарываться, не жадничать и проявлять определенную осторожность, этот момент можно оттянуть на достаточно долгое время, да и в случае его наступления отделаться минимальным доказанным ущербом (и, соответственно, минимальным же наказанием).
Так что тут далеко не все так радужно, как Алексу хотелось бы...
... Если я всё правильно поняла в сложившейся ситуации, то меня это совершенно не радует. Параноик я, со стажем.
И ещё не читатель 😄
Так давно придумали мобильный банк, сразу зашел и проверил. У меня смс вообще не приходят, я все через мобильный банк смотрю, когда мне это удобно и это намного информативней.
В покер походу ушли деньги 826\Isle of man\Stars
Как ушли данные карты особых идей нет.
Сразу заблокировал карту. Как-то странно было бы проигнорировать это. Карту перевыпустил. Написал заявку в банк. Деньги вернули в течении недели, хотя пугали полугодом.
Чип имеется. Со сканнером идут чистые болванки на которые инфо и записывается.
MetaReks: Как в толпе подать питание на чип? !!
По радио или посредством электромагнитной индукции. Ни одной бесконтактной карты или брелока нигода не видели?
Зачем для этого все эти трудности с терминалом и прижиманиями в толпе? Раньше хватало официантов и продавцов за меньшие деньги и усилия
А я работаю в процессинге крупного банка
Ваш банк-эмитент примет транзакцию чиповой карты без пина/cvc2 ?
Конечно, если у вас банк-альтруист, то вполне возможно, но имхо таких банков давно нет.
По указаному тел сначала работает автоинформатор, сообщающий, что вы позвонили в Центр безопасности карт VIsa и Mastercard, потом соединяют с оператором, который пытается узнать у вас номер карты и срок действия.
Информацию о имени владельца, коды PIN и CVC/CVV не спрашивают.
Зачем то же они собирают эти данные?
В этом же банке можно запретить/разрешить операции за границей. Вроде как указываешь страну, где разрешено списывать, когда едешь из России, но по факту получается варианты "только Россия" либо "везде".
Добавлю: при операциях сверх лимитов приходят SMS-сообщения, о которых тоже не надо забывать для безопасности. В случае, если транзакцию не совершал, то будет понятно, что карта/данные скомпрометированы, но зато деньги не потеряешь.
Вот именно. Любой работник сферы услуг в проходном месте имеет доступ к данным, написанным на карте, по нескольку десятков раз в день.
А по поводу казино, могу сказать только то, что недолго оно так порезвится, платежные системы просто перекроют им эту возможность достаточно быстро. Тем более, что они имеют доступ к деньгам, поступающим на счета этого казино, и в итоге просто наложат на них штраф. Так что и серьезные гэмблеры не будут этим заниматься, а введут систему авторизации, как положено. Если их на самом деле интересует игровой бизнес, а не мошенничество
Если изготовить дубликат карты с чипом, а затем с помощью пульта за 800$ создать квантовую запутанность носителей информации с картой потенциальной жертвы в вагоне метро ...
Да щас. Нфц - радиосвязь.
У меня неск. карт. Мастер кард, к примеру, вообще не требует имени - приходится писать анэмбоссед нейм, а то не все формы считают это поле необязательным. Но для интернет торговли я давно завел для себя виртуальную Визу. Кажется, я уже об этом писал как-то. Между картами через родной банк, а в урби эт орби - только через виртуалку. А тут на халяву получил Кукурузу (покупал с Связном подарок - выдали просто так). Впервые столкнулся с тем, что пина не требуют. Причем в одном сетевике просят расписаться стилусом, в другом просто говорят спасибо. Сумма, заметьте! обычно сильно больше тысячи.
По сабжу. Разумеется, я не буду рекламировать воровство, но, друзья, я вижу кучу дыр во всей этой системе. Почему это слабо эксплуатируется? Да потому что др. способом украсть легче:D
У меня так сняли с бизнес-карты, которой в инете вообще платить невозможно, примерно 200 баксов. А данные карты (номер и фио) слили в Люксембурге, в гостинице.
Карту заблокировал, деньги вернули, но осадок остался.
Кроме того, в инете писали про мошеннические списания по номеру карты и дате окончания, через какой-то сервис Билайна.
открывайте интернет магазин и выставляете счета "за разбитое вино"
lenta.ru/news/2016/06/15/wasted/ [URL=https://lenta.ru/news/2016/06/15/wasted/">
Класс, в месте где ты не уверен, что вокруг честные люди - наличные самое оно. Могут по башке дать, наличные вытащить и ищи потом этих "не самых честных"..
А мне всегла казалось, что потерять наличные гораздо серьезнее, чем карту. Вот не далее как это зимой утерял (или украли - я не знаю), бумажник со всеми картами. И.. ничего. Через неделю получил две новые карты и все. А наличные бы ушли с концами. 😉
вот тут мне давеча случайно попался один пранк, в котором зэк пытается разводить слабоумных с картами, но уже по др., очень примитивной схеме, причем столько зарабатывает, от "клиентов" отбоя нет, что ахтунг полный. смотреть всем: