Адрес для входа в РФ: exler.wiki
Иксперды рекомендуют
Помните забавную историю о том, как сотрудник "Лаборатории Касперского" сфотографировал в метро курьера с POS-терминалом для оплаты покупок картой (ко многим наверняка на квартиру такие курьеры нередко приезжают) и высказал предположение, что это мошенник, который похищает данные с карт пассажиров с помощью бесконтактных платежей?
Правда, он этот дурдом выложил у себя в Facebook и на сайте самой "Лаборатории" это не перепечатывали даже в разделе "Один Сотрудник Сказал".
Но зато на всяких мутных сайтах, типа какого-нибудь "Ридуса", тут же понеслась разлюли-малина из серии "Храните ваши денежки", где всякие иксперды советовали народу хранить карточки в кошельках из фольги, ну и еще на член обязательно надевать шапочку из фольги, а то мало ли что. Помнится, я в свое время это читал и ржал в голос.
В нормальных изданиях также были статьи уже настоящих экспертов, которые объясняли, что, хотя чисто теоретически там же в метро возможно снять деньги бесконтактным способом - если терминал совершенно официальный и зарегистрированный, будет подключен к Интернету и если приложить к нему карточку, как вы это делаете в магазине, - но предполагать, что терминал какой-то самосборный и нелегальный и что с его помощью крадут деньги - это по очень многим причинам достаточно нелепо. То есть чисто теоретически такую штуку-то сделать можно и можно даже предположить, что если кошелек с картой у вас лежит в наружном кармане сумки и злоумышленник сумеет поднести к ней терминал нужной стороной, прижать и произвести списание так, что вы этого не заметите, - но чисто практически шанс, что он сумеет это сделать - ничтожен, незаконные списания поймать и вернуть очень легко, ну и в случаи таких действий банк данный терминал заблокирует очень быстро. Так что это со всех сторон просто страшилка.
Ну и не говоря уж о том, что статей "икспердов" про шапочки из фольги в кошельке и на члене - полно (причем эти "защищенные кошельки" китайцы массово продают - спрос ведь есть), а ни одного сообщения от людей, у которых таким образом нелегально сняли деньги - вы не найдете. Потому что это бред.
Однако, как выяснилось, иксперды не успокоились. Причем ладно какие-то иксперды какого-то там "ридуса". В бой вступил не много ни мало - управляющий Отделением по Воронежской области Главного управления Центрального банка Российской Федерации по Центральному федеральному округу Кочегаров Игорь Анатольевич! Центробанк, ребята, Управляющий Отделения Главного Управления. Пишет Игорь Анатольевич в "Блоге ведущих бизнесменов и политиков Черноземья". Причем совсем недавно пишет, в этом месяце.
И что же пишет ведущий бизнесмен и политик Центробанка? Цитирую.
В Россию эта технология пришла в сентябре 2008 года, и мошенники довольно быстро научились с ней "работать". В переполненном общественном транспорте, на рынках, в магазинах злоумышленник прислоняет бесконтактный считыватель или POS-терминал к карманам одежды, стенкам сумок и крадет деньги с карт у ничего не подозревающих жертв. Злоумышленнику достаточно приблизить считыватель к карте на расстояние 5-20 сантиметров, чтобы произвести списание. Полученную информацию мошенники могут также записывать на карты-клоны для дальнейшего хищения средств с настоящих банковских карт.
То есть один в один повторяет страшилки из всяких ридусов. Особенно про 5-20 сантиметров порадовало. Для NFC. Ага, ага. Интересно, этот прекрасный мужчина сам когда-нибудь карточкой бесконтактно платил? Она на расстоянии 2 сантиметров уже не контачит, прикладывать надо.
Как себя обезопасить? Использовать специальные экранированные бумажники (карта кладется в отсек, экранированный фольгой).
Точно. И еще на член обязательно шапочку из фольги, обязательно.
Управляющий отделением Центробанка, my ass. Иксперд.
Впрочем, понятно, что он просто нанял какого-то студентика за него блог вести. Бизнесмен-то ведущий, а Интернет и блоги - это модно. Но смотрится это все убого до невозможности.
И почему нет - www.plusworld.ru/professionals/mify-o-krazhi-deneg-s-beskontaktnyh-kart-chego-ne-stoit-boyatsya-2/
DVD
BlueRay
"Обычные" кредитки с полоской
"Необычные" кредитки с одним из поколений чипов
Защита от копирования DeNuvo
WPS
OpenSSL (даже Open не помог)
Постоянно ухитряются ломать Yahoo, Google и Yandex, и тырить пароли и логины МИЛЛИАРДАМИ.
Периодически лулзы доставляются всему миру, когда ломают оборонные сети, МИД и прочие типа суперзащищённые сервера.
Кажется, не так давно у нас со счетов банков стырили около ярда рублей хакерскими атаками?
Я ничего не забыл? И эти люди запрещают мне ковыряться в носу смеют утверждать, что они сделали что-то принципиально неломаемое, тем более доступное по беспроводному интерфейсу????
Я вам скажу что будет. Какое-то время типа два-три года всё будет шито-крыто, пока беспроводные платежи будут только в Европе и Штатах. Потом, в конце концов, система будет внедрена по-настоящему, без ограничений, в Юго-Восточной Азии, и в Африке. И тут-то и произойдёт, скорее всего, серьёзная утечка информации о её подробном устройстве. После чего надо ждать индустриальных систем взлома.
Да что тут говорить, все говорят о платежах через телефоны. Дайте телефон на 5 минут "не тому человеку" - и он сделает 100% копию Вашего аппарата, включая клон симки, IMEI, MAC. И плакали Ваши деньги, если нет подтверждений на каждый платёж.
Так с этого все и началось - c упоминания в предыдущем треде некоего девайса под названием "Contactless Infusion X5", который полгода назад продавался за $800 и вроде как должен уметь на расстоянии до 8 см читать беспроводные платежные карты и создавать их клоны, для чего в комплекте поставки прилагается некоторое количество болванок (их, наверное, можно потом докупить отдельно).
Естессно, местные суепр-эксперты тут же единым фронтом выступили с заявлениями что этого не может быть, потому что не может быть никогда и предложениями всем сомневающимся пойти и покурить мануалы. Далее - все то же самое, что и здесь.
Это о невзломанных системах защиты. Если хотите, я и в список взломанных добавлю пару пунктов. Но тут получается, что мы подвержены одному из видов когнитивного искажения: мы постоянно получаем информацию о том, что что-то было взломанно, но не получаем информацию о том, что что-то другое не было взломано. Не выходят ежедневно жёлтые газеты с заголовком "Сенсация! Система Х опять не была взломана!", не показывают по новостным каналам "Тысяча самолётов успешно поднялась в воздух и потом все успешно приземлились".
И главное, у вас же есть собственное твёрдое мнение по вопросу опасности безконтактных платежей, достаточные доказательства вашей правоты, зачем вам что-то ещё?
www.ugona.net/page262.html
в действии. И продаётся индустриально!!!!
Банковские карты (если с динамическим кодом) устроены, видимо, посложнее, конечно.
Думаете, наличие "длинной руки" чему-то научило безопасников? Ну конечно, Вы скажете, научило. Угу, вот этому (модели 2016 года!!!!!):
www.ugona.net/page350.html
Короче, либо надо жёстко отделять основной банковский счёт от карточного, либо, как это ни смешно, носить постоянно карту в фольге. Либо потом удивляться "Ну ты смотри, а? Отродясь такого не видали, и вот опять! 😉 Опять стырили всю последнюю зарплату с карты, только теперь не заменой картоприёмника и клавиатуры в банкомате, а обнимашками в метро утром по дороге на работу"
Проведение же аналогий, в вашем случае из обнаруженной "дырявость" охранных систем автомобилей следует потенциальная "дырявость" систем бесконтактных платежей, удобно лишь для подтверждения уже сложившегося собственного мнения.
То есть, хотите убедить себя в опасности бесконтактных платежей - приведите аналогию с проблемными технологиями на которых негде клейма ставить, например с провальной технологией автомобильной охранной системы.
А если хотите убедить себя в безопасности, то проведите параллель с какой-нибудь удачной системой, например с програмной системой шифрования данных TrueCrypt, которую долго и со знанием дела ломали, подвергали тщательному аудиту, но ни одной критичной "дыры" так и не обнаружили.
Относительно бесконтактных платежей я вас убеждать не буду ни в их опасности, ни в безопасности, полагайтесь на собственные ощущения, обычно они самые верные. А в следующий раз когда встретите проведение аналогий, обратите внимание, что это не для выяснения вопроса. Только для подтверждения уже имеющегося мнения.
- Ничего не понимаю, почему меня с кредитной Mega списали 2300р?
- Наверное, - говорю, ты по ней платила.
- Нет, я платила по Сберовской. И пинкод вводила от неё. А Mega у меня просто так, мне её когда-то всучили, я ею вообще не пользовалась.
Проверили по сберонлайну - никакой транзакции вообще не было.
Тут я начал догадываться. Говорю:
- А карта у тебя с собой в кошельке была?
- Да вроде да, я точно не помню куда её засунула.
- Дай посмотреть.
Находим карту у неё в кошельке, смотрю - а ней значок соответствующий стоит, что бесконтактная.
Выходит, жена вставила в терминал сберовскую карту и, видать, придерживала терминал рукой с кошельком. И тот успел снять деньги с Mega в кошельке, не обратив внимания ни на сберовскую карту, ни на ввод пинкода.
Вот так моя жена узнала, что есть и бесконтактные карты. 😄
Правда за это знание ей пришлось немножечко заплатить, так как этим она активировала кредитную карту и с неё сразу сняли какую-то сумму за обслуживание. 😄
Полная чушь. Если она вставила сберовскую и при этом какими-то непонятными путями терминал сработал на бесконтактную, то как он снял деньги с бесконтактной, если был введен пин сберовской?
Сумма немаленькая, пин точно должен был запрашиваться.
Так вот для кого кошельки экранирующие продают 😉
P.S. История - супер.
Кроме того, украденные деньги надо как-то вывести. По-моему, подобная затея экономического смысла не имеет.
Экономический смысл, скорее, имеет подобная схема с украденными данными карты+ПИН (скиммер, работники сферы сервиса и т.п.). И то, как правило, обналичивают через банкоматы в таком случае
Если сильно интересно, пойдите в тор, на все еще существующие кардерские форумы. Узнаете кучу реальных, хитрых и не очень схем, куда и как выводят деньги, в том числе и через терминалы. Экономически все вполне оправданно 😄
И то, как правило, обналичивают через банкоматы в таком случае
И только в банкоматах слаборазвитых стран, которые не работают по чипу. Но всё равно, данные магнитные полосы отличаются (должны!) от данных, прочитанных по бесконтактному интерфейсу.
Саму карточку наверное трудно склонировать - интересно, насколько сложно сделать прокси-карточку, передающую запросы к удаленному ридеру и возвращающую через него ответы карточки жертвы.
Легче лёгкого. Именно потому от 1000 рублей (в России) надо вводить пин. Собственно, не понятно, что кого-то удивляет, что так сделать нельзя? Потому именно NFC, а не "просто" FC.
P.S. А возвращать-то зачем? Чисто для усложнения процесса? 😉
Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.
Это от страны и банка зависит. Могу сказать что например Chase Bank, Citi в Штатах отправляют SMS на для своих карт, но нное количество других банков\карт этого не делает.
В Сингапуре ситуация интереснее - отправление SMS завистит от обьема транзакции. Для кредитных карт - это SGD $10, а вот для дебитных карт - уже SGD $500.
Правда те, кто ходят с дебитными картами они себе злые буратино...
Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.
Да полно! Например, я. Потому что я не согласен платить банку 40-100 рублей в месяц ради того, чтобы банк мог выполнить Закон РФ "О Национальной Платёжной Системе". Опять таки, если кредитная карта, то деньги на ней - не мои, а банка. Вот пусть он и сам за своими деньгами смотрит, пока я ими не пользуюсь.
P.S. А ещё есть банки, которые предлагают держателям кредитных карт страховку от неправильных списаний. Обычно в ответ предлагаю купить страховку мне на автомобиль. А что? Если я плачу за сохранность их денег, почему они не могут в ответ заплатить за сохранность моего авто? 😉
Есть люди, которые эти СМС не читают. Например, мои пожилые родители. Они уже устали от всех этих гаджетов и уведомлений, они просто хотят, чтобы им на карту приходила пенсия (а не стоять в очереди за пенсией на Почте России, как многие до сих пор стоят).
И вот подобные люди как раз и являются лакомым кусочком для воришек данных карт. Трать сколько влезет (но не наглей, а трать понемногу и не каждый день), и человек никогда не заметит пропажи.
"Пощипать" пенсионеров - дело святое для ворья. Так же, как и обнести квартиру, выбить стекло в машине ради магнитолы или регистратора, дёрнуть мобилу в метро у школьника.
Что в свете сегодняшних заявлений "а мы не знаем, вы слишком долго живёте - может пенсии и не получится платить" вполне себе и да.
Круто! Человек разбирается!
Интересует ваше мнение (без сарказма) относительно карт оплаты проезда в Питере (подорожник) или Тройка.
А как насчет них?
Интересует ваше мнение (без сарказма) относительно карт оплаты проезда в Питере (подорожник) или Тройка.
А как насчет них?
А это - платёжные карты стандарта EMV? Что-то мне подсказывает, что нет. Кроме того, мой планшет (Nexus 7 2013) "Тройку" не читает. И "обычные" банковские терминалы - тоже. Так что мне только известно, что такие карты есть. Но там тоже - эмиссионые ключи и пр. лабуда.
Если интересует информация про чиповые карты, могу подсказать хороший сайт: www.emvco.com
Там все спецификации лежат. В открытом доступе. И их можно скачать абсоютно бесплатно и без регистрации.
Кстати, про офлайн. А ты уверен, что паркомат у магазина в городке ты живешь, каждый раз бегает в интернет, чтобы проверить, если ли у тебя пара евро чтобы заплатить за парковку? А в самолете, когда ты покупаешь бутылочку вискаря, тоже думаешь он-лайн?
В чем ты прав, так в том, что тебе на это реально наплевать. Потому что в Евросоюзе, как и в Штатах, давно действует принцип ZL (Zero Liability) владельца карты к возможной потере средств в результате мошеннических действий. Например, можно кратно почитать тут www.cathfcu.com/files/cathfcu/1/file/CATH_SepDiscIN.pdf
А у нас, в нашей замечательной стране, этот принцип не действует. Так что нам приходится спать более беспокойно. У меня лично крали данные карты, сделали клон и сняли деньги в другом городе. Все, что были. Правда банк все вернул после разбирательств. Повезло.
Алекс, давай про вино! Про вино ты на порядок больше знаешь, чем про эти вещи. ) Я с удовольствием почитаю!
Уверен, что не бегает. И чо?
kot_leopold: А у нас, в нашей замечательной стране, этот принцип не действует.
Да что ты говоришь? А как я возвращал транзакции, которые сам не делал в российском банке "Авангард"? Может, мне это приснилось.
kot_leopold: У меня лично крали данные карты, сделали клон и сняли деньги в другом городе.
Ну да, скиммером сняли. И чо?
kot_leopold: Алекс, давай про вино! Про вино ты на порядок больше знаешь, чем про эти вещи. )
Мне не требуются советы по поводу того, что мне давать или не давать. Я буду обсуждать то, что мне будет угодно и так, как мне будет угодно. Если мне потребуются твои советы по этому поводу - я к тебе обращусь. Находись в ожидании.
Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена.
Чувствуется редкий, сказочный "специалист". И там не только "домашний адрес", но и дикий ключ от квартиры, где деньги лежат. Ой, спасибо за ссылку, повесилили! Надо коллег порадовать.
Специально спрашивал многих коллег насчёт того, был у них в банке "бессконтактный фрод" (списание денег с бесконтактной карты без согласия держателя). Пока никто ещё не ответил утвердительно ))))
а кто ж сознается то 😄
только вот "карточные мошенничества"
а если называть вещи своими именами - воровство (если страдает физическое лицо) и
грабеж (это если банк страдает) все процветают и процветают,
если память не подводит то еще в прошлом веке сша убытки связанные с "карточными мошенничествами" привысили суммарные убытки от всех прочих видов криминальных преступлений против собственности исключая мошенничества (что очевидно было бы самозамыканием). в европе эта грань была пересечена гдето в начале нулевых...
перефразируя
"если у вас еще небыло проблемы с банком и картами это не ваша заслуга а наша недоработка"
Я пробовал в Питерском метро канадские и американские карты с пейпассом, был послан системой подальше - не шмогла.
Ну одно требование - подключение к Интернету - судя по всему, можно вычеркнуть. Я-то тоже был долго уверен, что есть некий challenge-response напрямую между платежной системой и моей дебиткой, т.е. если нет подключения, то нет и платежа. Но это, как оказалось, не соответствует действительности. Платеж-таки можно делать в оффлайне и уже потом синхронизировать с банком. По-крайней мере, с Maestro в Европе так 100% можно.
А насчет официального и зарегистрированного терминала - это да. Но так ли уж сложно его получить, в большой-то стране, да со свободой предпринимательства? 😄 И насколько быстро банк заблокирует такой терминал, насколько быстро народ пожалуется (особенно если использовать отсрочку, как я описал выше, чтобы не сразу было видно, что деньги сняты), сколько злоумышленник успеет собрать (если не будет наглеть и будет снимать мелочи) - я думаю, что все это не такие уж глупые вопросы. Тем более в России, где мошенничество, мягко говоря, распространено, а вот страхование клиентов как-то видимо хромает.
Паранойи-то может и не надо, но я не согласен, что чисто технически это прям глупость.
Я вроде написал, как это возможно чисто технически. Но что делает практически невозможным такой вид мошенничества.
Dmitry Perets: Платеж-таки можно делать в оффлайне и уже потом синхронизировать с банком. По-крайней мере, с Maestro в Европе так 100% можно.
Это сути дела, кстати, не меняет. Ну и в той же Испании платежи все делаются только в онлайне, в офлайне платеж сделать невозможно, кроме как продиктовать данные карточки, чтобы они потом сняли.
Еще раз хочу подчеркнуть. То, что описано в статье - действительно ерунда. Никто с терминалом бегать не будет. Но! Использовать ридер, чтобы насобирать данные карт и потом использовать их для изготовления клонов - другое дело.
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ .
Спасибо, сходил по ссылке, прочитал. Половина в статье верно, половина - бред сивой кобылы.
поясню на цитате:
Что касается информации, которую собирает гаджет, то она включает номер карты и срок ее действия. Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена.
После этого можно без проблем создать клон скопированной банковской карты, и использовать ее для различных целей.
Действительно, реально можно считать бесконтактную карту на расстоянии (очень странно, если бы было иначе). А вот насчёт "сделать клон"... Очень интересно, как автор это себе представляет. Ну, да. У тебя есть номер (да что номер! так называемый "трек" - данные карты, записанные на чипе или магнитной полосе). Но, простите, дальше то что?
Бесконтактная карта - это вам не карта с магнитной полосой. "Просто так" прописать данные туда нельзя. А даже если бы было можно, толку то? Для бесконтактных карт формируется так называемый CVC3 код (для MasterCard, для Visa - dCVV). Он - динамический. Сначала его считает чип карты, потом проверяется в процессинге банка. Чтобы его подделать надо знать эмиссионые ключи карты. Вы меня простите, но если банк протерял ЭТО, генерация верных CVC3 по его картам - не самая большая проблема для него 😄)))))
"Да, но можно же считанный трек записать на магнитную полосу!" - скажет мне дотошный читатель. Можно. А ещё на стену туалета. Эффект будет тот же. Во-первых, на треке написано, что эта карта - EMV (чиповая). Во-вторых, в банке, который придерживается правил и стандартов Visa и MasterCard выпускаются карты с 3-мя разными треками:
1. Для магнитной полосы.
2. Для контактного чипа.
3. Для бесконтактного чипа.
И все они - разные. И если в процессинг банка придёт трек с бесконтактного чипа, прочитанный по магнитной полосе... Эффект - предсказуем. В лучшем случае транзакция просто не пройдёт. В худшем кассира проинформируют, что покупатель - мошенник. И его надо арестовать.
Так что с точки зрения "иск-пердов" всё это звучит очень и очень правдоподобно. Жаль, в реальности всё вообще совсем не так. Увы!
О себе: занимаюсь эквайрингом более 17 лет, писал ПО для первой в России терминальной EMV транзакции. То есть, знаю, про что говорю.
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ .
Клон EMV карты? 😉 Ну-ну. Схожу почитаю. Даже интересно стало 😄))))
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ . Более простой ридер на Алиекспрессе - [URL=https://www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-develop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html?spm=2114.13010608.cb0001.4.HpPbch&scm=1007.13441.64707.0&pvid=eb873f75-840d-4d63-917e-8d22f280f273&tpp=1]www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-deve-
lop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html[/URL]
Охота тебе верить в эти бабушкины сказки - ну так верь, я не против. А чего ты сам ридер не купишь и не клонируешь по 15 карт в секунду? Выгодная штука, между прочим. Вот когда купишь и клонируешь - тогда и приходи. Если купишь и ничего не получится - тоже приходи, если ты честный человек.
Да-да. Та же самая старая и очень смешная страшилка. Вот на Али ржут, когда какие-то идиоты эти "ридеры" покупают...
Вот скиммеры - да, вполне реальная штука. Но в скиммер карту надо сунуть.
www.popmech.ru/technologies/9002-my-vas-vidim-vsevidyashchee-oko/
А на Самсунг чехольчик из фольги?
Что. Это. Такое.
Я вообще вначале прочитал как "управляющий отделением кочегаров". Привычка, туды ее в качель, выцеплять главное - реперные точки. И, похоже, сделал только лучше.