Сканеры данных банковских карт - опасно ли это?
16.06.2016 10:04
32240
Комментарии (165)
Мне тут уже раз двадцать прислали ссылки на статьи о сканерах банковских карт со встроенными чипами RFID. Часть этих статей написаны в паническом стиле из серии: "Шеф, усе пропало, гипс снимают, клиент уезжает". Мол, теперь злоумышленнику со сканером достаточно пройти рядом с вами в магазине, транспорте и так далее, после чего данные ваших банковских карт окажутся у него в руках. И все, ты разорен, трогательно обещают в этих статьях.
Больше всего пишут про некий Contactless Infusion X5 - сканер информации о банковских картах, который действительно продается через Интернет и может, как уверяют продавцы, сосканировать данные любой карты на расстоянии до 8 сантиметров. К сканеру даже прилагается 20 чистых болванок, на которые можно записать сосканированные данные, чтобы, дескать, пользоваться этими картами так же, как и владелец. Продают этот сканер что-то там за $800, но обещают, что владелец сканера ка-а-а-ак выйдет в магазин, ка-а-а-а-ак сосканирует три тыщи двести двадцать десять карт со скоростью 15 карт в секунду, так и настанет ему ЩАСТЕ.
Ну вот меня и спрашивали, что теперь делать. Нужно ли нам, владельцам карт с RFID-чипом (а я такими картами пользуюсь года три), посыпать голову пеплом и рвать эти карты на американский флаг, чтобы они не достались врагу?
Тут еще вспоминается трогательная история, как сотрудник "Лаборатории Касперского" заметил в метро человека с работающим "сканером" и сделал вывод том, что парень сканирует данные карточек всего вагона. По фотографии хорошо видно, что человек держит в руках обычный переносной терминал для приема платежей, но осадочек, как вы понимаете, остался, так что многие пользователи решили немедленно отказаться от пластиковых карт с RFID и перейти на наличку, золотые слитки и ракушки с острова Борнео - их по крайней мере не сосканируют.
А теперь давайте разберемся. Могут ли такие сканеры существовать? Да, могут. Более того, они наверняка существуют. Пока находятся идиоты, которые подобные устройства покупают за $800, то всегда найдутся умные люди, которые эти сканеры будут выпускать.
Цена на них, конечно, скоро будет заметно падать, когда выяснится, что за $800 люди приобретают совершенно бесполезное устройство, но уверяю вас, что до $200 цена упадет еще нескоро.
Так вот. Что теоретически может получить владелец такого сканера? Он может получить номер карты и срок ее действия. Вот и все. Что ему это дает? Вообще ничего. Правда, нет, вру, он на эту карту может перевести деньги - для перевода НА карту достаточно одного номера.
Может ли он снять с нее деньги? Нет, не может: для этого требуется знать код CVC2, который он никак не может получить, нужны данные магнитной полосы, которые с помощью такого сканера достоверно получить невозможно, ну и плюс нужен пин-код, который он также с помощью сканера не может получить.
Может ли он что-то покупать через Интернет по этим данным? Нет, он не знает имени владельца карты и кода CVC2.
Так что он с этим может сделать? Перевести на карту, данные которой получены через сканер, деньги, более ничего. Во всякие тонкости вроде того, что встроенный в карту чип при каждой транзакции генерирует одноразовый код и без него ничего не сделать - сейчас даже влезать не будем. Злоумышленник с помощью полученных данных даже магнитную полосу не сумеет сымитировать, чтобы ее не отклонил банк - не получится.
Поэтому по поводу возможности того, что данные вашей карты смогут получить с помощью подобного сканера - пока, на мой взгляд, можно не беспокоиться: даже если получат, то все равно с этим ничего не смогут сделать.
Другое дело, что если у вас с помощью данного сканера узнали номер карты и срок ее действия, а дальше начали получать недостающие данные с помощью каких-то других способов - да, вот тут уже карта может быть скомпрометирована. Злоумышленник может тупо подсмотреть CVC2-код и ваши ФИ, когда вы будете расплачиваться этой картой на кассе. Впрочем, аналогичным образом он может подсмотреть и запомнить код карты - есть такие шустрики. Но это уже совершенно другой разговор.
Я, собственно, к тому, что только с помощью этого или подобных сканеров невозможно получить данные ваших карт так, чтобы потом оплачивать покупки в Интернете, совершать небольшие платежи без ввода пин-кода (в Испании это суммы до €20) или какими-то другими способами уводить ваши деньги.
Ну а если найдутся идиоты, которые за $800 купят такой сканер - ну так я буду только рад. Идиотов, да еще и мошенников, надо учить. И я с нетерпением жду подачи судебных исков к разработчикам Contactless Infusion X5 из серии: "Я тут решил стать ворюгой, заплатил денег, а устройство для воровства средств с карточек должным образом не работает. Верните мне деньги"! Это будет хорошая ржачка!
Войдите, чтобы оставить комментарий.
Безконтактная оплата PayPass с карточки Mastercard Приватбанка не требует ввода пин-кода, если сумма до 100 грн.
Если не ошибаюсь от магазина не требуется обязательное использование CVC2 / CVV2, компании кредитных карт проводят транзакции в обоих случаях, но использование защитного кода поощряется. Транзакции на Amazon возможны без защитного кода, сталкивался с продавцами, которые также его не требовали для снятия денег с карты.
уфф, прям гора с плеч, успокоили!:) не разбираюсь в таких тех. тонкостях карт, а также в возможности воровства денег с них, но неоднократно читала (опять же, не вдаваясь в детали), что была серия мошенничеств, когда либо в банкоматах делали скан карты путем подствы спец. девайсов, а также кассиры прокатывали незаметно карту еще раз через ихнее устройство, а потом каким-то образом уводили деньги. не знаю, подобная ли эта схема, о кот. пишет Алекс. чтобы не рисковать, я лично не держу на счету большие деньги, к кот. привязана карта для покупок. держите крупные суммы на другом счету, переводите на карточный счет, когда и сколько надо. установите лимит на карту, привяжите транзакции к номеру, куда приходят смс оповещения о всех движениях...
вот тут мне давеча случайно попался один пранк, в котором зэк пытается разводить слабоумных с картами, но уже по др., очень примитивной схеме, причем столько зарабатывает, от "клиентов" отбоя нет, что ахтунг полный. смотреть всем:
вот тут мне давеча случайно попался один пранк, в котором зэк пытается разводить слабоумных с картами, но уже по др., очень примитивной схеме, причем столько зарабатывает, от "клиентов" отбоя нет, что ахтунг полный. смотреть всем:
Я всегда считал, что кредитные карточки и т.п. - это по дизайну пониженная безопасность взамен на удобство. Поэтому приходится смириться и считать, что тебя окружают честные люди. Ну а если едешь в место, где ты в этом не уверен - используешь наличные или travel cheques.
igori-san: если едешь в место, где ты в этом не уверен - используешь наличные
Класс, в месте где ты не уверен, что вокруг честные люди - наличные самое оно. Могут по башке дать, наличные вытащить и ищи потом этих "не самых честных"..
igori-san: Ну а если едешь в место, где ты в этом не уверен - используешь наличные или travel cheques.
А мне всегла казалось, что потерять наличные гораздо серьезнее, чем карту. Вот не далее как это зимой утерял (или украли - я не знаю), бумажник со всеми картами. И.. ничего. Через неделю получил две новые карты и все. А наличные бы ушли с концами. 😉
Стоя в час пик в очереди к терминалам продажи билетов на электричку (Ярославский вокзал) можно насобирать кучу ПИНкодов. Клавиатура с цифрами абсолютно открыта и как бы специально поднята повыше, чтобы всем было видно что набирает человек. Во второй руке как правило сумка. На всякий, у меня пэй-пасс и автомат ПИН не просит.
шлюзы, сканеры.... прошлый век!
открывайте интернет магазин и выставляете счета "за разбитое вино"
lenta.ru/news/2016/06/15/wasted/ [URL=https://lenta.ru/news/2016/06/15/wasted/">
открывайте интернет магазин и выставляете счета "за разбитое вино"
lenta.ru/news/2016/06/15/wasted/ [URL=https://lenta.ru/news/2016/06/15/wasted/">
есть такая контора - Digital River. К ней подключена оплата разных игровых сервисов. И она при оплате не требует никакого подтверждения.
У меня так сняли с бизнес-карты, которой в инете вообще платить невозможно, примерно 200 баксов. А данные карты (номер и фио) слили в Люксембурге, в гостинице.
Карту заблокировал, деньги вернули, но осадок остался.
Кроме того, в инете писали про мошеннические списания по номеру карты и дате окончания, через какой-то сервис Билайна.
У меня так сняли с бизнес-карты, которой в инете вообще платить невозможно, примерно 200 баксов. А данные карты (номер и фио) слили в Люксембурге, в гостинице.
Карту заблокировал, деньги вернули, но осадок остался.
Кроме того, в инете писали про мошеннические списания по номеру карты и дате окончания, через какой-то сервис Билайна.
И тут вхожу я со старым добрым паяльником... 😄
У меня неск. карт. Мастер кард, к примеру, вообще не требует имени - приходится писать анэмбоссед нейм, а то не все формы считают это поле необязательным. Но для интернет торговли я давно завел для себя виртуальную Визу. Кажется, я уже об этом писал как-то. Между картами через родной банк, а в урби эт орби - только через виртуалку. А тут на халяву получил Кукурузу (покупал с Связном подарок - выдали просто так). Впервые столкнулся с тем, что пина не требуют. Причем в одном сетевике просят расписаться стилусом, в другом просто говорят спасибо. Сумма, заметьте! обычно сильно больше тысячи.
По сабжу. Разумеется, я не буду рекламировать воровство, но, друзья, я вижу кучу дыр во всей этой системе. Почему это слабо эксплуатируется? Да потому что др. способом украсть легче:D
У меня неск. карт. Мастер кард, к примеру, вообще не требует имени - приходится писать анэмбоссед нейм, а то не все формы считают это поле необязательным. Но для интернет торговли я давно завел для себя виртуальную Визу. Кажется, я уже об этом писал как-то. Между картами через родной банк, а в урби эт орби - только через виртуалку. А тут на халяву получил Кукурузу (покупал с Связном подарок - выдали просто так). Впервые столкнулся с тем, что пина не требуют. Причем в одном сетевике просят расписаться стилусом, в другом просто говорят спасибо. Сумма, заметьте! обычно сильно больше тысячи.
По сабжу. Разумеется, я не буду рекламировать воровство, но, друзья, я вижу кучу дыр во всей этой системе. Почему это слабо эксплуатируется? Да потому что др. способом украсть легче:D
По идее такой сканер уже существует в смартфонах - NFC.
vdvvdv: По идее такой сканер уже существует в смартфонах - NFC
Да щас. Нфц - радиосвязь.
Вот, ведь хотел в этот раз без чертовщины ...
Если изготовить дубликат карты с чипом, а затем с помощью пульта за 800$ создать квантовую запутанность носителей информации с картой потенциальной жертвы в вагоне метро ...
Если изготовить дубликат карты с чипом, а затем с помощью пульта за 800$ создать квантовую запутанность носителей информации с картой потенциальной жертвы в вагоне метро ...
Блин, никто не будет покупать в Макдональдсе, будет много, очень много вводов на мелкие суммы в какое-нибудь казино, зарегистрированное на хрензнаеткаких островах. Даже если большая часть денег потом оспорится и вернется, то консолидированную сумму со счета в казино можно легально вывести. И это будет неплохая суммма. И по факту за руку не поймаешь. Этот дурацкий сканер, конечно, нафиг не нужен, если как ещё одно средство съема данных карт.
vitalyoff: Блин, никто не будет покупать в Макдональдсе, будет много, очень много вводов на мелкие суммы в какое-нибудь казино, зарегистрированное на хрензнаеткаких островах. Даже если большая часть денег потом оспорится и вернется, то консолидированную сумму со счета в казино можно легально вывести. И это будет неплохая суммма. И по факту за руку не поймаешь. Этот дурацкий сканер, конечно, нафиг не нужен, если как ещё одно средство съема данных карт.
Вот именно. Любой работник сферы услуг в проходном месте имеет доступ к данным, написанным на карте, по нескольку десятков раз в день.
А по поводу казино, могу сказать только то, что недолго оно так порезвится, платежные системы просто перекроют им эту возможность достаточно быстро. Тем более, что они имеют доступ к деньгам, поступающим на счета этого казино, и в итоге просто наложат на них штраф. Так что и серьезные гэмблеры не будут этим заниматься, а введут систему авторизации, как положено. Если их на самом деле интересует игровой бизнес, а не мошенничество
Алекс, не стоит так безапелляционно заявлять. Покупки по номеру и сроку карты вполне себе существуют, например в Amazon.com.
Продвинутые банки предлагают для пущей безопасности устанавливать лимиты. Лимиты меняются легко в интернет-банке при необходимости. Например, у меня по кредитке запрещены операции по снятию наличных и операции в интернете. А на оставшиеся операции установлено ограничение на списание в сутки Н-ной суммы. При попытке списать в магазине сверх лимита банк отказывает - недостаточно средств. Если что-то покупаю через инет, временно разрешаю интернет-операции. Либо при крупных покупках увеличиваю дневной лимит. По остальным дебетовым картам тоже можно настроить так же.
В этом же банке можно запретить/разрешить операции за границей. Вроде как указываешь страну, где разрешено списывать, когда едешь из России, но по факту получается варианты "только Россия" либо "везде".
Добавлю: при операциях сверх лимитов приходят SMS-сообщения, о которых тоже не надо забывать для безопасности. В случае, если транзакцию не совершал, то будет понятно, что карта/данные скомпрометированы, но зато деньги не потеряешь.
В этом же банке можно запретить/разрешить операции за границей. Вроде как указываешь страну, где разрешено списывать, когда едешь из России, но по факту получается варианты "только Россия" либо "везде".
Добавлю: при операциях сверх лимитов приходят SMS-сообщения, о которых тоже не надо забывать для безопасности. В случае, если транзакцию не совершал, то будет понятно, что карта/данные скомпрометированы, но зато деньги не потеряешь.
Мне несколько раз приходила SMS от мошенников, с сообщением, что "ваша банковская карта заблокирована, справки по тел 8-800-100-61-42.
По указаному тел сначала работает автоинформатор, сообщающий, что вы позвонили в Центр безопасности карт VIsa и Mastercard, потом соединяют с оператором, который пытается узнать у вас номер карты и срок действия.
Информацию о имени владельца, коды PIN и CVC/CVV не спрашивают.
Зачем то же они собирают эти данные?
По указаному тел сначала работает автоинформатор, сообщающий, что вы позвонили в Центр безопасности карт VIsa и Mastercard, потом соединяют с оператором, который пытается узнать у вас номер карты и срок действия.
Информацию о имени владельца, коды PIN и CVC/CVV не спрашивают.
Зачем то же они собирают эти данные?
Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно. Естественно, вывод будет произведен не через обычную торговую точку, а через какое-нибудь онлайн-казино. Тем не менее это 100% работает. А я работаю в процессинге крупного банка 😄
vitalyoff: Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно. Естественно, вывод будет произведен не через обычную торговую точку, а через какое-нибудь онлайн-казино. Тем не менее это 100% работает. А я работаю в процессинге крупного банка
Зачем для этого все эти трудности с терминалом и прижиманиями в толпе? Раньше хватало официантов и продавцов за меньшие деньги и усилия
vitalyoff: Тут уже говорили, повторю - для воровства денег достаточно номера и срока действия. ФИО, CVC/CVV и прочее не нужно
А я работаю в процессинге крупного банка
А я работаю в процессинге крупного банка
Ваш банк-эмитент примет транзакцию чиповой карты без пина/cvc2 ?
Конечно, если у вас банк-альтруист, то вполне возможно, но имхо таких банков давно нет.
Как в толпе подать питание на чип? !!!
BOFH: . Для списания нужен именно чип в карте, а не записанная информация с него.
Чип имеется. Со сканнером идут чистые болванки на которые инфо и записывается.
MetaReks: Как в толпе подать питание на чип? !!
Чип имеется. Со сканнером идут чистые болванки на которые инфо и записывается.
MetaReks: Как в толпе подать питание на чип? !!
По радио или посредством электромагнитной индукции. Ни одной бесконтактной карты или брелока нигода не видели?
Недавно произошли два списания на 1000 и 1500.
В покер походу ушли деньги 826\Isle of man\Stars
Как ушли данные карты особых идей нет.
Сразу заблокировал карту. Как-то странно было бы проигнорировать это. Карту перевыпустил. Написал заявку в банк. Деньги вернули в течении недели, хотя пугали полугодом.
В покер походу ушли деньги 826\Isle of man\Stars
Как ушли данные карты особых идей нет.
Сразу заблокировал карту. Как-то странно было бы проигнорировать это. Карту перевыпустил. Написал заявку в банк. Деньги вернули в течении недели, хотя пугали полугодом.
ммм... а как тогда вообще работает система "приложил карточку = заплатил"? например, проходя турникеты в электричку или на кассе? по логике - там же тоже некий сканер?
О, как эта статья в тему! Вчера получила карточку "Райффайзена", про такие чипы знать ничего не знала. В кассе кинотеатра кассир на секунду приложила карточку к экранчику терминала и деньги были списаны. Я под большим впечатлением была, да... А в условиях смс-информирования банка сказано, что смс не приходят, если операция по карте была совершена безавторизационным способом. То есть, получается, пока я не проверю движения по карте в интернет-банкинге, я не буду знать точно ли эту сумму списали. Если я всё правильно поняла в сложившейся ситуации, то меня это совершенно не радует. Параноик я, со стажем.
Ирина Батьковна:
... Если я всё правильно поняла в сложившейся ситуации, то меня это совершенно не радует. Параноик я, со стажем.
... Если я всё правильно поняла в сложившейся ситуации, то меня это совершенно не радует. Параноик я, со стажем.
И ещё не читатель 😄
Ирина Батьковна: То есть, получается, пока я не проверю движения по карте в интернет-банкинге
Так давно придумали мобильный банк, сразу зашел и проверил. У меня смс вообще не приходят, я все через мобильный банк смотрю, когда мне это удобно и это намного информативней.
Терминал, что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где? Когда покупатель приложил карточку с чипом в магазине обмен данными идёт не только карточка - терминал, а терминал ещё запрашивает информацию из банка, который его туда установил через инфосеть. За 800$ куда будет запрос посылать?
MetaReks: Терминал, что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где?
ИП "Бомжевич" подойдет?
MetaReks: Терминал, что установлен в магазине, фастфуде, кафе зарегистрирован на это учреждение. А терминал, что ты купил за 800$ - где? Когда покупатель приложил карточку с чипом в магазине обмен данными идёт не только карточка - терминал, а терминал ещё запрашивает информацию из банка, который его туда установил через инфосеть. За 800$ куда будет запрос посылать?
Да никуда он и ничего не будет посылать. Он просто, прикинувшись терминалом, считает всю доступную информацию с карточки, ее запомнит и потом запишет на болванку.
А потом человек с такой болванкой нацепит парик (отрастит усы, сбреет бороду, ...), придет в МакДачку и поест за ваш счет. Или в кино сходит. Или литров 20 бензина на автоматической АЗС в машину зальет. Ибо при оплате через PayPass/PayWave суммы до 1000 (или даже 1500) р. запрос PIN-кода опционален.
Думаю, если в метро с недельку "порыбачить" таким сканером, то по 10 карт в день собрать получится. 70 человек, с карты каждого стащили по 1000 р. - и имеем 70000 р., т.е. сканер в $800 уже себя окупил. Дальше - чистая прибыль... до момента встречи с представителями банковской СБ или сотрудниками полиции. Но если не зарываться, не жадничать и проявлять определенную осторожность, этот момент можно оттянуть на достаточно долгое время, да и в случае его наступления отделаться минимальным доказанным ущербом (и, соответственно, минимальным же наказанием).
Так что тут далеко не все так радужно, как Алексу хотелось бы...
1. В том же Макдональдсе иногда прикладываение чипа к аппарату срабатывает сразу, а иногда требуется вводить пин-код. То есть никак не привязано к сумме покупки. Банк сам выбирает способ идентификации.
2. На карте есть чип, которому нужно питание, которое поступает на него дистанционно (как дистанционная зарядка девайсов) и тут важно расстояние от аппарата до карты с чипом. То есть весь вагон не насканируешь.
2. На карте есть чип, которому нужно питание, которое поступает на него дистанционно (как дистанционная зарядка девайсов) и тут важно расстояние от аппарата до карты с чипом. То есть весь вагон не насканируешь.
MetaReks: То есть никак не привязано к сумме покупки. Банк сам выбирает способ идентификации.
Подтвержу. Постоянно скупаюсь в продуктовом возле дома - всегда требует пин-код. Закупал стройматериалы месяц назад на несколько тысяч - без кода.
Насколько я знаю, данные магнитной полосы полностью дублируются на чипе (Обратите внимание: если карта с чипом вставляется в считыватель снизу, то магнитная полоса при этом не считывается и никак не используется). Кстати, не путайте просто чип и RFID, используемый для платежа с помощью PayPass - сейчас большинство карт с чипом, но далеко не все из них используют PayPass.
В Испании автоматы для продажи билетов на междугородные автобусы принимают только карты с чипом.
В Испании автоматы для продажи билетов на междугородные автобусы принимают только карты с чипом.
Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.
igori-san: Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят.
Вообще ты можешь сходить с ним. Или попросить вынести терминал. Отказать не смогут.
igori-san:
Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.
Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.
А вот как раз это нельзя позволять делать. В цивилизованных странах, где карточные платежи повсеместно, вам приносят терминал и вашу карточку даже в руки не берут
igori-san: Меня больше смущает то, что любой бензолей или официант забирают мою карту куда-то и делают с ней все, что хотят. Причем у меня они еще и без чипа. Но пока ничего, вот уже 25 лет, как пользуюсь картами - полет нормальный. Ни одного доллара/фунта/йэны не потерял.
У меня за 25 лет воровали раз 5. Каждый раз банк все возвращал, но все равно морока была (они письмо присылают, расписаться надо, что не тратил, и обратно отправить).
Последнее время стало намного лучше. Служба безопасности банка очень четко все отслеживамет. Если раньше не пропускали когда пытались какую-нибудь порнуху оплатить, то последний раз не пропустили когда пытались заплатить в аптеке CVS, а я всегда пользуюсь Walgreens (сразу позвонили и спросили это ли я пытался платить).
Украли данные карточки, насколько я понимаю в ресторане, но от этого мало спасения - на American Express cvv написано на лицевой стороне карты, так что даже если в при вас все делают, то запомнить 4 цифры труда не составляет (не надо даже карту переворачивать).
Как человек, работающий в одном из крупнейших платёжных шлюзов Европы (да и мира, что уж там), могу сказать, что одного номера карты может быть достаточно, чтобы снять деньги с вашей карты. Есть специальные виды бизнеса, которые живут за счёт этого и они готовы платить огромное количество чардж-беков.
Один из них - игровые мёрчанты, работающие с эквайрерами, которые принимают любые транзакции, без всяких имён, CVV и 3D Secure. Специфика в том, что часто дети воруют карты родителей и покупают свои золотые монетки в танках. Некоторые родители напишут заявку на чардж-бек, но большинство просто надают ребёнку по жопе и смирятся с потерей 1000 рублей.
Ещё у некоторых банков можно платить бесконтактно без пина до некоторой суммы. Возможно мошенники не воруют данные карты, а просто проводят транзакцию.
Один из них - игровые мёрчанты, работающие с эквайрерами, которые принимают любые транзакции, без всяких имён, CVV и 3D Secure. Специфика в том, что часто дети воруют карты родителей и покупают свои золотые монетки в танках. Некоторые родители напишут заявку на чардж-бек, но большинство просто надают ребёнку по жопе и смирятся с потерей 1000 рублей.
Ещё у некоторых банков можно платить бесконтактно без пина до некоторой суммы. Возможно мошенники не воруют данные карты, а просто проводят транзакцию.
FlashXL: Один из них - игровые мёрчанты, работающие с эквайрерами, которые принимают любые транзакции, без всяких имён, CVV и 3D Secure.
Что, и фио холдера, и название банка тоже не запрашивают?
Это дистанционный сканер смарт-карт, частной разновидностью которых являются и ьанковские карты с RIFD, SIM-карты и т.п. т.е. на чип может быть записано все что угодно - например ФИО, должность, уровень доступа и т.д. Подобные устройства, только бОльших размеров стоят на различных проходных и КПП. То что они, отчасти, могут спрособствовать чтению определенной информации с банковских карт и это вынесено в рекламу - ну так без лохА...
Алекс, справедливости ради есть ряд интернет магазинов, которые провояд платеж только по номерка карты и Exparation Date, без запроса CVC или разовых паролей. Правда надо понимать, что в таком случае все риски несет сам магазин и все, что нужно сделать владельцу карты, это обратиться в свой банк с претензией о спорной операции.
Фотка со "сканером карт" отдельно повеселила. Сейчас с таким "сканером " каждый второй курьер/доставщик пиццы рассекает по городу. 😄
Начинайте бороться с видеокамерами над кассовыми терминалами в гипермаркетах. А то они уже много лет скрытно и несанкционированно получают, и сохраняют данные вашей карты. 😉
Фотка со "сканером карт" отдельно повеселила. Сейчас с таким "сканером " каждый второй курьер/доставщик пиццы рассекает по городу. 😄
Camel1000: НО ведь нельзя не согласиться, что любое устройство, позволяющее скрытно и несанкционированно получить чужие данные - это дырка в безопасности?
Начинайте бороться с видеокамерами над кассовыми терминалами в гипермаркетах. А то они уже много лет скрытно и несанкционированно получают, и сохраняют данные вашей карты. 😉
Khul: Сейчас с таким "сканером " каждый второй курьер/доставщик пиццы рассекает по городу.
Михалков получает процент за потенциальное воровство контента с каждого проданного носителя информации, значит и они потенциальные преступники. Надо всех расстрелять!
Khul: они уже много лет скрытно и несанкционированно получают, и сохраняют данные вашей карты.
Неправда, открыто (обязательное публичное предупреждение о видеонаблюдении) и санкционированно (установлены по определенным нормативам).
Khul: и все, что нужно сделать владельцу карты, это обратиться в свой банк с претензией о спорной операции.
И какой процент обворованных на такие суммы обратятся в банк?
Khul: Начинайте бороться с видеокамерами над кассовыми терминалами в гипермаркетах. А то они уже много лет скрытно и несанкционированно получают, и сохраняют данные вашей карты.
Да, это всегда умиляло. Как и камеры у банкоматов. А когда еще и кассир берет карту в руки... А сканер - баловство, по сравнению с этим.
На наших просторах страховка возместит ущерб, если что...
Только следить за трансакциями надо
Только следить за трансакциями надо
Ну вообще-то мелкие сумы можно тратить в магазинах таким способом. Но нужно быть действительно идиотом, чтобы купить сканер за 800 баксов, а потом светить своей рожей за 1000 рублей.
При оплате в Макдаке c помощью PayPass , у меня не запрашивает пинкод. Однако в некоторых супермаркетах запрашивает. Получается, Макдональдс является доверенным магазином для банка?
ЛевЧандр: Но терминал можно настроить так, что он до 1500 р. не обязан спрашивать пин-код.
По-моему до тысячи, и это не настройки терминала, а правила платежной системы.
Teomit: При оплате в Макдаке c помощью PayPass, у меня не запрашивает пинкод.
По-моему до тысячи, и это не настройки терминала, а правила платежной системы.
Teomit: При оплате в Макдаке c помощью PayPass, у меня не запрашивает пинкод.
Сумма покупки менее 1000 рублей. Вы ведь не настолько фанат макдака, чтобы на большую сумму за раз съедать? 😄))
Teomit:
При оплате в Макдаке c помощью PayPass , у меня не запрашивает пинкод. Однако в некоторых супермаркетах запрашивает. Получается, Макдональдс является доверенным магазином для банка?
При оплате в Макдаке c помощью PayPass , у меня не запрашивает пинкод. Однако в некоторых супермаркетах запрашивает. Получается, Макдональдс является доверенным магазином для банка?
у нас есть супермаркеты, где предварительно спрашивают, с пином ли ваша карта. тоже наводит на опр. размышления. а есть супермаркеты (речь в обоих случаях идет о крупных ритейлерах), где снимают деньги без пина, но это редкость. в большинстве же случаев не спрашивают о наличии пина, берут сразу карту чуть ли не под прилавок, лично мне не понятно, какие манипуляции и в какой кол-ве они могут с картой осуществить до того, когда тебе протягивают машинку для ввода пина. меня это немгого напрягает, и вообще мне не нравится давать карту в чужие руки. мне больше нра те торговые сети, где карту вставляешь саморучно в терминал, который вмонтирован в прилавок кассы, в котором еще и предусмотрены бортики с трех сторон, чтобы набор пинкода не увидели особо любопытные.
Я так понимаю, основное беспокойство, что по правилам PayPass и аналогичной системы бесконтактных платежей от Visa, платежи до 1000 рублей не требуют подтверждение пин-кода. И злоумышленник теоретически может 999 рублей снять у тебя с карты, если поднесет терминал к ней достаточно близко. Как по-мне, технически это возможно. Поэтому продаются уже специальные конверты для карт, экранирующие rfid-метку.
P.S. Вот. Не, реклама, а для информации: cardcover.ru/category/chehli-nfc-blokiratori
P.S. Вот. Не, реклама, а для информации: cardcover.ru/category/chehli-nfc-blokiratori
А как тогда в магазине проходит оплата такими карточками путем простого прикладывания ее к терминалу? Да иногда надо вводить пин-код. Но терминал можно настроить так, что он до 1500 р. не обязан спрашивать пин-код.
Все-таки, есть дыра в этой технологии, я считаю. Ее использование на Западе сдерживают суровые законы на эту тему. А в России...
Все-таки, есть дыра в этой технологии, я считаю. Ее использование на Западе сдерживают суровые законы на эту тему. А в России...
ЛевЧандр: А как тогда в магазине проходит оплата такими карточками путем простого прикладывания ее к терминалу? Да иногда надо вводить пин-код. Но терминал можно настроить так, что он до 1500 р. не обязан спрашивать пин-код.
В нашем сельпо (гипермаркете) можно на выбор - вводить пин код или не вводить, но тогда предъявлять документ.
Держатель карты за свои неправомерно списанные полторы тыр банку глотку порвёт, а уж тот найдёт, как разобраться с торговым предприятием, а оно - кассира научит правильно работать с денежными потоками.
К вопросу о подглядывании CVС-кода, я свой запомнил и соскреб с карточки. Смотрите сколько хотите.
Плюсь бывший коллега, который весьма близко к технологическим частям банков сам пользуется такими картами, а он человек дотошный, в его действия в этом плане я готов поверить.
Плюсь бывший коллега, который весьма близко к технологическим частям банков сам пользуется такими картами, а он человек дотошный, в его действия в этом плане я готов поверить.
Dr_Alexis:
К вопросу о подглядывании CVС-кода, я свой запомнил и соскреб с карточки. Смотрите сколько хотите.
Плюсь бывший коллега, который весьма близко к технологическим частям банков сам пользуется такими картами, а он человек дотошный, в его действия в этом плане я готов поверить.
К вопросу о подглядывании CVС-кода, я свой запомнил и соскреб с карточки. Смотрите сколько хотите.
Плюсь бывший коллега, который весьма близко к технологическим частям банков сам пользуется такими картами, а он человек дотошный, в его действия в этом плане я готов поверить.
о, идея, щас пойду свой код заклею пластырем:)
НО ведь нельзя не согласиться, что любое устройство, позволяющее скрытно и несанкционированно получить чужие данные - это дырка в безопасности?
Camel1000: НО ведь нельзя не согласиться, что любое устройство, позволяющее скрытно и несанкционированно получить чужие данные - это дырка в безопасности?
Глаза. Вырвите всем глаза.
Теги
Информация
Что ещё почитать
На велосипеде
28.07.2025
31
Отдел нераскрытых дел
08.09.2025
94
Паспортные сбитени святого Беспилотия
19.09.2025
75
