Адрес для входа в РФ: exler.world

Иксперды рекомендуют

15.12.2016 11:04  12236   Комментарии (159)

Помните забавную историю о том, как сотрудник "Лаборатории Касперского" сфотографировал в метро курьера с POS-терминалом для оплаты покупок картой (ко многим наверняка на квартиру такие курьеры нередко приезжают) и высказал предположение, что это мошенник, который похищает данные с карт пассажиров с помощью бесконтактных платежей?

Правда, он этот дурдом выложил у себя в Facebook и на сайте самой "Лаборатории" это не перепечатывали даже в разделе "Один Сотрудник Сказал".

Но зато на всяких мутных сайтах, типа какого-нибудь "Ридуса", тут же понеслась разлюли-малина из серии "Храните ваши денежки", где всякие иксперды советовали народу хранить карточки в кошельках из фольги, ну и еще на член обязательно надевать шапочку из фольги, а то мало ли что. Помнится, я в свое время это читал и ржал в голос.

В нормальных изданиях также были статьи уже настоящих экспертов, которые объясняли, что, хотя чисто теоретически там же в метро возможно снять деньги бесконтактным способом - если терминал совершенно официальный и зарегистрированный, будет подключен к Интернету и если приложить к нему карточку, как вы это делаете в магазине, - но предполагать, что терминал какой-то самосборный и нелегальный и что с его помощью крадут деньги - это по очень многим причинам достаточно нелепо. То есть чисто теоретически такую штуку-то сделать можно и можно даже предположить, что если кошелек с картой у вас лежит в наружном кармане сумки и злоумышленник сумеет поднести к ней терминал нужной стороной, прижать и произвести списание так, что вы этого не заметите, - но чисто практически шанс, что он сумеет это сделать - ничтожен, незаконные списания поймать и вернуть очень легко, ну и в случаи таких действий банк данный терминал заблокирует очень быстро. Так что это со всех сторон просто страшилка.

Ну и не говоря уж о том, что статей "икспердов" про шапочки из фольги в кошельке и на члене - полно (причем эти "защищенные кошельки" китайцы массово продают - спрос ведь есть), а ни одного сообщения от людей, у которых таким образом нелегально сняли деньги - вы не найдете. Потому что это бред.

Однако, как выяснилось, иксперды не успокоились. Причем ладно какие-то иксперды какого-то там "ридуса". В бой вступил не много ни мало - управляющий Отделением по Воронежской области Главного управления Центрального банка Российской Федерации по Центральному федеральному округу Кочегаров Игорь Анатольевич! Центробанк, ребята, Управляющий Отделения Главного Управления. Пишет Игорь Анатольевич в "Блоге ведущих бизнесменов и политиков Черноземья". Причем совсем недавно пишет, в этом месяце.

И что же пишет ведущий бизнесмен и политик Центробанка? Цитирую.

В Россию эта технология пришла в сентябре 2008 года, и мошенники довольно быстро научились с ней "работать". В переполненном общественном транспорте, на рынках, в магазинах злоумышленник прислоняет бесконтактный считыватель или POS-терминал к карманам одежды, стенкам сумок и крадет деньги с карт у ничего не подозревающих жертв. Злоумышленнику достаточно приблизить считыватель к карте на расстояние 5-20 сантиметров, чтобы произвести списание. Полученную информацию мошенники могут также записывать на карты-клоны для дальнейшего хищения средств с настоящих банковских карт.

То есть один в один повторяет страшилки из всяких ридусов. Особенно про 5-20 сантиметров порадовало. Для NFC. Ага, ага. Интересно, этот прекрасный мужчина сам когда-нибудь карточкой бесконтактно платил? Она на расстоянии 2 сантиметров уже не контачит, прикладывать надо.

Как себя обезопасить? Использовать специальные экранированные бумажники (карта кладется в отсек, экранированный фольгой).

Точно. И еще на член обязательно шапочку из фольги, обязательно.

Управляющий отделением Центробанка, my ass. Иксперд.

Впрочем, понятно, что он просто нанял какого-то студентика за него блог вести. Бизнесмен-то ведущий, а Интернет и блоги - это модно. Но смотрится это все убого до невозможности.

Комментарии 159

Очередная волна этой фигни (теперь от канала "Чё?").

И почему нет - www.plusworld.ru/professionals/mify-o-krazhi-deneg-s-beskontaktnyh-kart-chego-ne-stoit-boyatsya-2/




08.09.17 13:05
0 0

Убедительно прошу мне привести пример хотя бы одной массовой системы защиты, которую бы не сломали. В том числе систем, про которые знали - их будут ломать. Ну вот, пожалуй, TrueCrypt, да. Потому как Opensource, и потому как он локальный, никаких облаков, никаких беспроводных каналов, вообще, если на то пошло, никаких каналов передачи данных. Я так понимаю, RSA вроде бы не сломана (как алгоритм). А теперь давайте посмотрим на шибко коммерческие ужасно секретные:


DVD
BlueRay
"Обычные" кредитки с полоской
"Необычные" кредитки с одним из поколений чипов
Защита от копирования DeNuvo
WPS
OpenSSL (даже Open не помог)
Постоянно ухитряются ломать Yahoo, Google и Yandex, и тырить пароли и логины МИЛЛИАРДАМИ.
Периодически лулзы доставляются всему миру, когда ломают оборонные сети, МИД и прочие типа суперзащищённые сервера.
Кажется, не так давно у нас со счетов банков стырили около ярда рублей хакерскими атаками?

Я ничего не забыл? И эти люди запрещают мне ковыряться в носу смеют утверждать, что они сделали что-то принципиально неломаемое, тем более доступное по беспроводному интерфейсу????

Я вам скажу что будет. Какое-то время типа два-три года всё будет шито-крыто, пока беспроводные платежи будут только в Европе и Штатах. Потом, в конце концов, система будет внедрена по-настоящему, без ограничений, в Юго-Восточной Азии, и в Африке. И тут-то и произойдёт, скорее всего, серьёзная утечка информации о её подробном устройстве. После чего надо ждать индустриальных систем взлома.

Да что тут говорить, все говорят о платежах через телефоны. Дайте телефон на 5 минут "не тому человеку" - и он сделает 100% копию Вашего аппарата, включая клон симки, IMEI, MAC. И плакали Ваши деньги, если нет подтверждений на каждый платёж.
20.12.16 01:02
0 0

jiri: Потом, в конце концов, система будет внедрена по-настоящему, без ограничений, в Юго-Восточной Азии, и в Африке. И тут-то и произойдёт, скорее всего, серьёзная утечка информации о её подробном устройстве. После чего надо ждать индустриальных систем взлома.

Так с этого все и началось - c упоминания в предыдущем треде некоего девайса под названием "Contactless Infusion X5", который полгода назад продавался за $800 и вроде как должен уметь на расстоянии до 8 см читать беспроводные платежные карты и создавать их клоны, для чего в комплекте поставки прилагается некоторое количество болванок (их, наверное, можно потом докупить отдельно).
Естессно, местные суепр-эксперты тут же единым фронтом выступили с заявлениями что этого не может быть, потому что не может быть никогда и предложениями всем сомневающимся пойти и покурить мануалы. Далее - все то же самое, что и здесь.
21.12.16 11:38
0 0

jiri : Могу предложить Керберос, набор протоколов и стандартов аутентификации и, конкретно, реализацию в доменах Windows. Массовость применения вроде бы достаточная, передача данных по открытам каналам с учётом умышленных и неумышленных искажений тоже на лицо. Или что-то менее очевидное очевидное, но то же массовое: ПИН-пады Cryptera, вся их функциональсть связанная с работой с ключами шифрования. В сочетании с какими-нибудь HSM то же имеем каналы передачи данных, можно и беспроводные. Если пользуетесь банкоматами, то и сами пользовались этими технологиями и продуктами даже не подозревая об этом.

Это о невзломанных системах защиты. Если хотите, я и в список взломанных добавлю пару пунктов. Но тут получается, что мы подвержены одному из видов когнитивного искажения: мы постоянно получаем информацию о том, что что-то было взломанно, но не получаем информацию о том, что что-то другое не было взломано. Не выходят ежедневно жёлтые газеты с заголовком "Сенсация! Система Х опять не была взломана!", не показывают по новостным каналам "Тысяча самолётов успешно поднялась в воздух и потом все успешно приземлились".

И главное, у вас же есть собственное твёрдое мнение по вопросу опасности безконтактных платежей, достаточные доказательства вашей правоты, зачем вам что-то ещё?
20.12.16 16:16
0 0

По поводу всех этих бесплатных платежей - конечно, по закону больших чисел лично Вас, скорее всего, не долбанёт. Хотя, кто знает, я думаю, пасти будут людей которые одеваются в дорогую одежду, ездят на дорогих машинах и т.д. Взломщики, скорее всего, сейчас уже делают что-то типа "длинной руки" для беспроводных карт. А по поводу того, что "Visa умная" - надо полагать, в фирмах Mercedes, BMW, Infinity, Toyota/Lexus, Range Rover сидели тоже не идиоты, которые типа тоже пытались придумать надёжную систему охраны. Однако, как мы видим:

www.ugona.net/page262.html

в действии. И продаётся индустриально!!!!

Банковские карты (если с динамическим кодом) устроены, видимо, посложнее, конечно.

Думаете, наличие "длинной руки" чему-то научило безопасников? Ну конечно, Вы скажете, научило. Угу, вот этому (модели 2016 года!!!!!):

www.ugona.net/page350.html

Короче, либо надо жёстко отделять основной банковский счёт от карточного, либо, как это ни смешно, носить постоянно карту в фольге. Либо потом удивляться "Ну ты смотри, а? Отродясь такого не видали, и вот опять! 😉 Опять стырили всю последнюю зарплату с карты, только теперь не заменой картоприёмника и клавиатуры в банкомате, а обнимашками в метро утром по дороге на работу"
18.12.16 21:15
0 0

jiri : Отделять сновной банковский счёт от карточного, да и сам основной счёт поделить на несколько в разных банках, а лучше и в разных странах, это хорошая практика, и стоит это делать по гораздо более прозаичным причинам нежели технологические опасности.

Проведение же аналогий, в вашем случае из обнаруженной "дырявость" охранных систем автомобилей следует потенциальная "дырявость" систем бесконтактных платежей, удобно лишь для подтверждения уже сложившегося собственного мнения.

То есть, хотите убедить себя в опасности бесконтактных платежей - приведите аналогию с проблемными технологиями на которых негде клейма ставить, например с провальной технологией автомобильной охранной системы.

А если хотите убедить себя в безопасности, то проведите параллель с какой-нибудь удачной системой, например с програмной системой шифрования данных TrueCrypt, которую долго и со знанием дела ломали, подвергали тщательному аудиту, но ни одной критичной "дыры" так и не обнаружили.

Относительно бесконтактных платежей я вас убеждать не буду ни в их опасности, ни в безопасности, полагайтесь на собственные ощущения, обычно они самые верные. А в следующий раз когда встретите проведение аналогий, обратите внимание, что это не для выяснения вопроса. Только для подтверждения уже имеющегося мнения.
19.12.16 01:41
0 0

Алекс, насколько я помню, в 2008 (?) году, вполне было можно украсть данные карточки в метро и на улице. НО это были другие корточки (чипы).тогда не деньги снимали, а воровали информа (имя, номер карточки). У меня такая пару месяцев была, а потом банк (Chase), срочно прислал другулять без чипв, а это приказал порезать на мелкие кусочки. Современная технология безконтактных платежей совсем другая. Так что может быть банкир говорящик про 2008 просто во времени застрял.
15.12.16 22:10
0 0

Вспомнилась тут история с моей женой. Ездила она в какой-то магазин, купила там что-то на 2300р (ну или около того, точно не помню). Вернувшись домой,заглядывает в телефон и говорит:

- Ничего не понимаю, почему меня с кредитной Mega списали 2300р?

- Наверное, - говорю, ты по ней платила.

- Нет, я платила по Сберовской. И пинкод вводила от неё. А Mega у меня просто так, мне её когда-то всучили, я ею вообще не пользовалась.

Проверили по сберонлайну - никакой транзакции вообще не было.

Тут я начал догадываться. Говорю:

- А карта у тебя с собой в кошельке была?

- Да вроде да, я точно не помню куда её засунула.

- Дай посмотреть.

Находим карту у неё в кошельке, смотрю - а ней значок соответствующий стоит, что бесконтактная.

Выходит, жена вставила в терминал сберовскую карту и, видать, придерживала терминал рукой с кошельком. И тот успел снять деньги с Mega в кошельке, не обратив внимания ни на сберовскую карту, ни на ввод пинкода.

Вот так моя жена узнала, что есть и бесконтактные карты. 😄

Правда за это знание ей пришлось немножечко заплатить, так как этим она активировала кредитную карту и с неё сразу сняли какую-то сумму за обслуживание. 😄








































15.12.16 19:38
0 0

Амбал: Выходит, жена вставила в терминал сберовскую карту и, видать, придерживала терминал рукой с кошельком. И тот успел снять деньги с Mega в кошельке, не обратив внимания ни на сберовскую карту, ни на ввод пинкода.

Полная чушь. Если она вставила сберовскую и при этом какими-то непонятными путями терминал сработал на бесконтактную, то как он снял деньги с бесконтактной, если был введен пин сберовской?

Сумма немаленькая, пин точно должен был запрашиваться.
15.12.16 19:44
0 0

Амбал:Вот так моя жена узнала, что есть и бесконтактные карты.

Так вот для кого кошельки экранирующие продают 😉



P.S. История - супер.
15.12.16 19:43
0 0

Регистрация юрлица и получение терминала требуют денег и усилий. Если потом мошенничать с бесконтактными транзакциями (а они до 1000 руб. без ПИНа), то прикиньте, как быстро банк заблокирует данный терминал после первого заявления пострадавшего с СМС-оповещением.
Кроме того, украденные деньги надо как-то вывести. По-моему, подобная затея экономического смысла не имеет.
Экономический смысл, скорее, имеет подобная схема с украденными данными карты+ПИН (скиммер, работники сферы сервиса и т.п.). И то, как правило, обналичивают через банкоматы в таком случае
15.12.16 19:16
0 0

BOFH: Кроме того, украденные деньги надо как-то вывести. По-моему, подобная затея экономического смысла не имеет. Экономический смысл, скорее, имеет подобная схема с украденными данными карты+ПИН (скиммер, работники сферы сервиса и т.п.). И то, как правило, обналичивают через банкоматы в таком случае

Если сильно интересно, пойдите в тор, на все еще существующие кардерские форумы. Узнаете кучу реальных, хитрых и не очень схем, куда и как выводят деньги, в том числе и через терминалы. Экономически все вполне оправданно 😄
15.12.16 19:25
0 0

BOFH:

И то, как правило, обналичивают через банкоматы в таком случае

И только в банкоматах слаборазвитых стран, которые не работают по чипу. Но всё равно, данные магнитные полосы отличаются (должны!) от данных, прочитанных по бесконтактному интерфейсу.
15.12.16 19:18
0 0

Боже, храни эту страну от идиотов....
15.12.16 19:05
0 0

Саму карточку наверное трудно склонировать - интересно, насколько сложно сделать прокси-карточку, передающую запросы к удаленному ридеру и возвращающую через него ответы карточки жертвы.
15.12.16 16:31
0 0

Paskin:
Саму карточку наверное трудно склонировать - интересно, насколько сложно сделать прокси-карточку, передающую запросы к удаленному ридеру и возвращающую через него ответы карточки жертвы.


Легче лёгкого. Именно потому от 1000 рублей (в России) надо вводить пин. Собственно, не понятно, что кого-то удивляет, что так сделать нельзя? Потому именно NFC, а не "просто" FC.

P.S. А возвращать-то зачем? Чисто для усложнения процесса? 😉
15.12.16 16:43
0 0

Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях. Прошла транзакция на 1000р которая левая, заблокировал карточку 5 мин времени в нормальном банке, на следующий день получил новую, в чем проблема то. Понятно - бывает форс-мажор, сеть не доступна и т.д. и т.п., но тут уже из серии про "Аннушка пролила масло..."(с)
15.12.16 14:44
0 0

Evgen1812:
Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.


Это от страны и банка зависит. Могу сказать что например Chase Bank, Citi в Штатах отправляют SMS на для своих карт, но нное количество других банков\карт этого не делает.

В Сингапуре ситуация интереснее - отправление SMS завистит от обьема транзакции. Для кредитных карт - это SGD $10, а вот для дебитных карт - уже SGD $500.

Правда те, кто ходят с дебитными картами они себе злые буратино...
16.12.16 10:17
0 0

Evgen1812:
Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.


Да полно! Например, я. Потому что я не согласен платить банку 40-100 рублей в месяц ради того, чтобы банк мог выполнить Закон РФ "О Национальной Платёжной Системе". Опять таки, если кредитная карта, то деньги на ней - не мои, а банка. Вот пусть он и сам за своими деньгами смотрит, пока я ими не пользуюсь.

P.S. А ещё есть банки, которые предлагают держателям кредитных карт страховку от неправильных списаний. Обычно в ответ предлагаю купить страховку мне на автомобиль. А что? Если я плачу за сохранность их денег, почему они не могут в ответ заплатить за сохранность моего авто? 😉
15.12.16 15:46
0 0

Evgen1812: Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.

Есть люди, которые эти СМС не читают. Например, мои пожилые родители. Они уже устали от всех этих гаджетов и уведомлений, они просто хотят, чтобы им на карту приходила пенсия (а не стоять в очереди за пенсией на Почте России, как многие до сих пор стоят).

И вот подобные люди как раз и являются лакомым кусочком для воришек данных карт. Трать сколько влезет (но не наглей, а трать понемногу и не каждый день), и человек никогда не заметит пропажи.

"Пощипать" пенсионеров - дело святое для ворья. Так же, как и обнести квартиру, выбить стекло в машине ради магнитолы или регистратора, дёрнуть мобилу в метро у школьника.








15.12.16 15:15
0 0

Эксперт Центробанка может предупреждать о мошенниках снимающих тайно деньги только в одном случае - если деньги тайно собирается снимать сам Центробанк.

Что в свете сегодняшних заявлений "а мы не знаем, вы слишком долго живёте - может пенсии и не получится платить" вполне себе и да.

"Бесконтакстным", говоришь?
15.12.16 13:36
0 0

To Rostislav.

Круто! Человек разбирается!

Интересует ваше мнение (без сарказма) относительно карт оплаты проезда в Питере (подорожник) или Тройка.

А как насчет них?


















15.12.16 13:04
0 0

kot_leopold:
Интересует ваше мнение (без сарказма) относительно карт оплаты проезда в Питере (подорожник) или Тройка.

А как насчет них?




















А это - платёжные карты стандарта EMV? Что-то мне подсказывает, что нет. Кроме того, мой планшет (Nexus 7 2013) "Тройку" не читает. И "обычные" банковские терминалы - тоже. Так что мне только известно, что такие карты есть. Но там тоже - эмиссионые ключи и пр. лабуда.

Если интересует информация про чиповые карты, могу подсказать хороший сайт: www.emvco.com

Там все спецификации лежат. В открытом доступе. И их можно скачать абсоютно бесплатно и без регистрации.
15.12.16 13:10
0 0

Алекс, спор становится неинтересен. Дальше можно только перейти к оскорблениям ))) Хочешь, я пришлю тебе документацию 2014 года (University of Amsterdam)? Они подробно описали, как с помощью устройства, на которое я дал ссылку, произвести атаку на распространнные типы алгоритмов шифрования информации на картах. Я уверен, ты заскучаешь на второй странице, там сугубо техническая информация по протоколам, секторам, алгоритмам и прочему. Но вывод простой - да, так можно сделать.

Кстати, про офлайн. А ты уверен, что паркомат у магазина в городке ты живешь, каждый раз бегает в интернет, чтобы проверить, если ли у тебя пара евро чтобы заплатить за парковку? А в самолете, когда ты покупаешь бутылочку вискаря, тоже думаешь он-лайн?

В чем ты прав, так в том, что тебе на это реально наплевать. Потому что в Евросоюзе, как и в Штатах, давно действует принцип ZL (Zero Liability) владельца карты к возможной потере средств в результате мошеннических действий. Например, можно кратно почитать тут www.cathfcu.com/files/cathfcu/1/file/CATH_SepDiscIN.pdf

А у нас, в нашей замечательной стране, этот принцип не действует. Так что нам приходится спать более беспокойно. У меня лично крали данные карты, сделали клон и сняли деньги в другом городе. Все, что были. Правда банк все вернул после разбирательств. Повезло.

Алекс, давай про вино! Про вино ты на порядок больше знаешь, чем про эти вещи. ) Я с удовольствием почитаю!
























15.12.16 12:59
0 0

kot_leopold: А ты уверен, что паркомат у магазина в городке ты живешь, каждый раз бегает в интернет, чтобы проверить, если ли у тебя пара евро чтобы заплатить за парковку? А в самолете, когда ты покупаешь бутылочку вискаря, тоже думаешь он-лайн?

Уверен, что не бегает. И чо?



kot_leopold: А у нас, в нашей замечательной стране, этот принцип не действует.

Да что ты говоришь? А как я возвращал транзакции, которые сам не делал в российском банке "Авангард"? Может, мне это приснилось.



kot_leopold: У меня лично крали данные карты, сделали клон и сняли деньги в другом городе.

Ну да, скиммером сняли. И чо?



kot_leopold: Алекс, давай про вино! Про вино ты на порядок больше знаешь, чем про эти вещи. )

Мне не требуются советы по поводу того, что мне давать или не давать. Я буду обсуждать то, что мне будет угодно и так, как мне будет угодно. Если мне потребуются твои советы по этому поводу - я к тебе обращусь. Находись в ожидании.
15.12.16 13:09
0 0

Кстати, зачем что-то покупать? Вот любят люди бабки тратить! Есть приложение для Andorid с NFC. Прекрасно карты читает. Есть в маркете, могу ссылку дать 😄
15.12.16 12:55
0 0

Простите с первого раза не увидел:


Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена.


Чувствуется редкий, сказочный "специалист". И там не только "домашний адрес", но и дикий ключ от квартиры, где деньги лежат. Ой, спасибо за ссылку, повесилили! Надо коллег порадовать.
15.12.16 12:59
0 0

Специально спрашивал многих коллег насчёт того, был у них в банке "бессконтактный фрод" (списание денег с бесконтактной карты без согласия держателя). Пока никто ещё не ответил утвердительно 😄))))
15.12.16 12:38
0 0

Rostislav:
Специально спрашивал многих коллег насчёт того, был у них в банке "бессконтактный фрод" (списание денег с бесконтактной карты без согласия держателя). Пока никто ещё не ответил утвердительно ))))


а кто ж сознается то 😄

только вот "карточные мошенничества"

а если называть вещи своими именами - воровство (если страдает физическое лицо) и

грабеж (это если банк страдает) все процветают и процветают,

если память не подводит то еще в прошлом веке сша убытки связанные с "карточными мошенничествами" привысили суммарные убытки от всех прочих видов криминальных преступлений против собственности исключая мошенничества (что очевидно было бы самозамыканием). в европе эта грань была пересечена гдето в начале нулевых...

перефразируя

"если у вас еще небыло проблемы с банком и картами это не ваша заслуга а наша недоработка"


15.12.16 17:21
0 0

Ну их нафиг, эти пей-пасс((( Сделали проход в метро по ним, (в Питере) вроде все клево, насобачился бегать, но как то пошли вдвоем, пропустил друга, снова прикладываю, фигушки...Оказывается, для них действуют ровно те же правила, что и для социальных карт, блокируются на какое то время после прохода, хотя я за каждый проход честно плачу. Дурацкая система.
15.12.16 12:14
0 0

Мелан Холик: у их нафиг, эти пей-пасс((( Сделали проход в метро по ним, (в Питере) вроде все клево, насобачился бегать, но как то пошли вдвоем, пропустил друга, снова прикладываю, фигушки...

Я пробовал в Питерском метро канадские и американские карты с пейпассом, был послан системой подальше - не шмогла.
15.12.16 12:19
0 0

Alex Exler: чисто теоретически там же в метро возможно снять деньги бесконтакстным способом - если терминал совершенно официальный и зарегистрированный, будет подключен к Интернету и если приложить к нему карточку, как вы это делаете в магазине

Ну одно требование - подключение к Интернету - судя по всему, можно вычеркнуть. Я-то тоже был долго уверен, что есть некий challenge-response напрямую между платежной системой и моей дебиткой, т.е. если нет подключения, то нет и платежа. Но это, как оказалось, не соответствует действительности. Платеж-таки можно делать в оффлайне и уже потом синхронизировать с банком. По-крайней мере, с Maestro в Европе так 100% можно.

А насчет официального и зарегистрированного терминала - это да. Но так ли уж сложно его получить, в большой-то стране, да со свободой предпринимательства? 😄 И насколько быстро банк заблокирует такой терминал, насколько быстро народ пожалуется (особенно если использовать отсрочку, как я описал выше, чтобы не сразу было видно, что деньги сняты), сколько злоумышленник успеет собрать (если не будет наглеть и будет снимать мелочи) - я думаю, что все это не такие уж глупые вопросы. Тем более в России, где мошенничество, мягко говоря, распространено, а вот страхование клиентов как-то видимо хромает.

Паранойи-то может и не надо, но я не согласен, что чисто технически это прям глупость.
15.12.16 12:13
0 0

Dmitry Perets: Паранойи-то может и не надо, но я не согласен, что чисто технически это прям глупость.

Я вроде написал, как это возможно чисто технически. Но что делает практически невозможным такой вид мошенничества.



Dmitry Perets: Платеж-таки можно делать в оффлайне и уже потом синхронизировать с банком. По-крайней мере, с Maestro в Европе так 100% можно.

Это сути дела, кстати, не меняет. Ну и в той же Испании платежи все делаются только в онлайне, в офлайне платеж сделать невозможно, кроме как продиктовать данные карточки, чтобы они потом сняли.
15.12.16 12:22
0 0

Алекс, купи этот ридер и приложи свою карту. И после этого, я гарантирую, смешно тебе уже не будет. Мне честно говоря все равно, можешь меня идиотом или шизофреником считать. Ты написал статью, сказал это бред. Я тебе говорю - это возможно и практикуется. Если ты опять скажешь, что я идиот, да ради бога, я не обижусь. Если хочешь поспорить и тебе действительно интересно, я тебе могу послать техническую документацию, как осуществить перехват и клонирование. Если тебе лень разбираться, давай забьем, ха ха ха, это все бред, у меня уязвленная гордость, карту дистанционно клонировать невозможно.






15.12.16 12:13
0 0

Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ . Более простой ридер на Алиекспрессе - www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-develop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html

Еще раз хочу подчеркнуть. То, что описано в статье - действительно ерунда. Никто с терминалом бегать не будет. Но! Использовать ридер, чтобы насобирать данные карт и потом использовать их для изготовления клонов - другое дело.










15.12.16 11:43
0 0

kot_leopold:
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ .













Спасибо, сходил по ссылке, прочитал. Половина в статье верно, половина - бред сивой кобылы.

поясню на цитате:


Что касается информации, которую собирает гаджет, то она включает номер карты и срок ее действия. Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена.

После этого можно без проблем создать клон скопированной банковской карты, и использовать ее для различных целей.


Действительно, реально можно считать бесконтактную карту на расстоянии (очень странно, если бы было иначе). А вот насчёт "сделать клон"... Очень интересно, как автор это себе представляет. Ну, да. У тебя есть номер (да что номер! так называемый "трек" - данные карты, записанные на чипе или магнитной полосе). Но, простите, дальше то что?



Бесконтактная карта - это вам не карта с магнитной полосой. "Просто так" прописать данные туда нельзя. А даже если бы было можно, толку то? Для бесконтактных карт формируется так называемый CVC3 код (для MasterCard, для Visa - dCVV). Он - динамический. Сначала его считает чип карты, потом проверяется в процессинге банка. Чтобы его подделать надо знать эмиссионые ключи карты. Вы меня простите, но если банк протерял ЭТО, генерация верных CVC3 по его картам - не самая большая проблема для него 😄)))))



"Да, но можно же считанный трек записать на магнитную полосу!" - скажет мне дотошный читатель. Можно. А ещё на стену туалета. Эффект будет тот же. Во-первых, на треке написано, что эта карта - EMV (чиповая). Во-вторых, в банке, который придерживается правил и стандартов Visa и MasterCard выпускаются карты с 3-мя разными треками:

1. Для магнитной полосы.

2. Для контактного чипа.

3. Для бесконтактного чипа.

И все они - разные. И если в процессинг банка придёт трек с бесконтактного чипа, прочитанный по магнитной полосе... Эффект - предсказуем. В лучшем случае транзакция просто не пройдёт. В худшем кассира проинформируют, что покупатель - мошенник. И его надо арестовать.



Так что с точки зрения "иск-пердов" всё это звучит очень и очень правдоподобно. Жаль, в реальности всё вообще совсем не так. Увы!



О себе: занимаюсь эквайрингом более 17 лет, писал ПО для первой в России терминальной EMV транзакции. То есть, знаю, про что говорю.
15.12.16 12:53
0 0

kot_leopold:
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ .












Клон EMV карты? 😉 Ну-ну. Схожу почитаю. Даже интересно стало 😄))))
15.12.16 12:38
0 0

kot_leopold:
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ . Более простой ридер на Алиекспрессе - [URL=https://www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-develop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html?spm=2114.13010608.cb0001.4.HpPbch&scm=1007.13441.64707.0&pvid=eb873f75-840d-4d63-917e-8d22f280f273&tpp=1]www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-deve-

lop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html[/URL]






Охота тебе верить в эти бабушкины сказки - ну так верь, я не против. А чего ты сам ридер не купишь и не клонируешь по 15 карт в секунду? Выгодная штука, между прочим. Вот когда купишь и клонируешь - тогда и приходи. Если купишь и ничего не получится - тоже приходи, если ты честный человек.
15.12.16 12:24
0 0

kot_leopold: Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 10-15 см) и использовать в платежах реальна.

Да-да. Та же самая старая и очень смешная страшилка. Вот на Али ржут, когда какие-то идиоты эти "ридеры" покупают...

Вот скиммеры - да, вполне реальная штука. Но в скиммер карту надо сунуть.
15.12.16 11:54
0 0

А вот еще помните? А ведь народ повёлся.

www.popmech.ru/technologies/9002-my-vas-vidim-vsevidyashchee-oko/


15.12.16 11:42
0 0

ну вот у меня бесконтактная карта в в кошельке замотана в фольгу, но не из-за паранои, а потому что она глючит с проездной "тройкой" когда в одном кошельке лежит и приходится вытаскивать тройку чтобы через турникет пройти. А все покупки я делаю телефоном samsung pay - очень удобно и на всех терминалах работает даже древних.
15.12.16 11:29
0 0

Alexander_SoS: А все покупки я делаю телефоном samsung pay - очень удобно и на всех терминалах работает даже древних.

А на Самсунг чехольчик из фольги?
15.12.16 12:36
0 0

Кочегаров подкидывает стране угля. Мелкого, но черного и много.
15.12.16 11:29
0 0

Alex Exler: управляющий Отделением по Воронежской области Главного управления Центрального банка Российской Федерации по Центральному федеральному округу Кочегаров Игорь Анатольевич!

Что. Это. Такое.

Я вообще вначале прочитал как "управляющий отделением кочегаров". Привычка, туды ее в качель, выцеплять главное - реперные точки. И, похоже, сделал только лучше.
15.12.16 11:28
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3992
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 190
СМИ 2758
софт 930
США 131
шоу 6