Адрес для входа в РФ: exler.wiki
Теперь мои банковские карты в безопасности!
Страшно полезная штука - налетай, там всего 1095 штук осталось, всем может не хватить - металлический чехол для банковских карт.
Под 400 отзывов из серии "теперь мои карты защищены". Но странно, что при этом в комплекте также не идет шапочка из фольги - как же без шапочки-то?!!
Страшилки по поводу того, что ежели у вас, значить, карточка лежит в заднем кармане джинсов, то какой-нибудь негодяй в метро может приложить вам к заднице беспроводной терминал и, значить, снять деньги - они, конечно, давно гуляют, но я только не слышал ни об одном достоверном случае, чтобы это в реальности произошло. Кроме того, покажите мне идиота, который носит карты в заднем кармане джинсов, откуда их незаметно вытащить - раз плюнуть. Такому и шапочки из фольги не помогут.
В действительности же снять какую-то небольшую сумму (суммы свыше €20 уже требуют ввода пинкода) с карты, лежащей в в сумке в кошельке, прислонив к ней переносной беспроводной терминал - невозможно.
Но чехол AntiRFID нужно купить, да. Вместе с шапочкой из фольги. Тогда и карточки будут защищены, и МОСК.
P.S. В комментариях дали ссылку на очень полезную для понимания данного вопроса статью на Хабре.
- вы можете позабыть зарядить смартфон.
Как всё плохо в ваших европах. За пять лет в Нью-Йорке я вообще ни разу не слышал, чтоб у кого-либо что-либо вытащили. Может, где-нибудь в глубине Бронкса или, наоборот, на Таймс-Сквере такое и бывает, но я никогда с этим не сталкивался. Могут выпросить денег, могут продать полуторадолларовую сосиску за пять долларов, могут утащить телефон, если его где-нибудь забыть, но карманников просто тупо не бывает. Я обычно кошелёк со всеми картами ношу в заднем кармане, стараюсь застёгивать на пуговицу, но обычно забываю.
С другой стороны, единственный раз в жизни, что я столкнулся с тем, что могут (попытаться) утащить сумку, было на Placa d'Espanya в Барселоне, так что это просто какой-то ваш местный колорит.
С третьей стороны, в США всё так плохо с безопасностью кредитных карт (вообще не используют пин-коды), что непонятно, зачем рисковать, можно просто купить где-нибудь ворованный номер кредитки. Это как раз у меня происходит регулярно.
1. У мошенника полностью рабочий обыкновенный POS-терминал, подключенный к банку-эквайеру, такой же, как в магазинах и у курьеров. Прошивка терминала не модифицирована.
2. Сценарий, в котором банк-эквайер находится в сговоре с мошенником маловероятен, потому как лицензия для работы с МПС стоит сильно больше, чем любые потенциальные прибыли от такого вида мошенничества.
Возражение на 1 чисто техническое: "С чего бы это мошеннику использовать обычный, а не специальный терминал? Мерседесы тоже угоняют при помощи обычных отмычек моделей начала XX века, что ли? Ясное дело, это будет специализированный терминал, специально разработанный на стягивание денег. Естественно, со встроенным рандомизатором сумм, товаров и т.д."
Возражение на 2: "Банк, конечно, не будет находиться в сговоре. В отличие от какого-нибудь обиженного менеджера. Кто-то же сливает базы Сбера и прочих крупных банков"
В-общем, схема сложная, но не невозможная, мне так представляется. Самое сильное место защиты - это банк-эквайер, к которому прикреплён терминал, и который должен быть на стороне покупателя. А что, если он в Зимбабве (я серьёзно)?
Ты серьёзно считаешь, что деньги перетекают из карточки в терминал? Физически перетекают?
Хоть обмодифицируйся прошивками, деньги все равно в банке, а не на карте.
Хотя уже понимаю, что нифига ты не поймёшь... Чисто в силу очень гуманитарного образования))))
Срисовать у лоха данные обычной карты, включая код намного проще.
И даже в Москве легко подключают на "типа хакерские" тарифные планы "для своих" - которые есть у всех опсосов, которых выдаётся как бы ограниченное количество на каждого сотудника, и на которые на самом деле подключают всех желающих в неограниченных количествах за определённую цену.
«Хакерские тарифные планы», lol. Что ж в них хакерского-то? Мне их раз в пару месяцев прямо в приложении мобильного оператора предлагают
Единственная проблема тут, что по морде лица некоторые модельки могут и по фото разлочить, а код подсмотреть можно. Поэтому ежели телефон попал в правильные руки - будет сильно веселее.
И позывных не передавать.
©ВСВ
===
А ещё есть такая штука - "Клетка Фарадея" называется.
Очень удобно при паранойи.
О! Точно. Оззи надо послушать. Параноид.
И не надо, что я их инициировал. Тут постараться было надо.
А вообще - прикольно. Зачёт:)))
К статье по ссылке. Многие, не знакомые со стандартом EMV (см. сайт emvco.com, там всё в открытом доступе), забывают, что КАЖДАЯ операция подписывается ОТДЕЛЬНОЙ криптограммой. Поэтому даже если вы вдруг зачем-то считали трек "по воздуху", толку от него нет. Криптограмма зависит от кучи факторов (например, суммы операции).
P.S. Visa недавно разрешила в России до 3 тысяч без пина.
- в некоторых магазинах пин запрашивается даже на копеечные суммы;
- в некоторых (точно помню один случай в аэропорту при доплате за что-то в билетах) пин НЕ запрашивается даже при существенно более высокой сумме, и подпись на чеке при этом тоже не требовали;
то есть получается, что настройки терминала все равно имеют преимущество перед моими банковскими? А значит, можно настроить на терминале что угодно?
Например, у терминала этот список выглядит так:
1. PIN с проверкой offline.
2. Подпись.
3. PIN с проверкой online.
А у карты так:
1. Подпись.
2. PIN offline
3. PIN online.
Наверняка запросят подпись. И не стоит забывать, что карты - смарт (то есть, умные). И могут спрашивать не каждый раз, а при превышении какой-то суммы. А люди потом удивляются: покупал на 1000 - не спросили, купли на 200 - спросили. Это всё не относится к бесконтактной оплате.
А вот чтобы без пина и и подписи, это уже нарушение точки. Так жить нельзя 😄
И, да. "Можно настроить терминал на что угодно". Ну, не совсем так. Есть всё таки отраслевые стандарты 😄
Вот совсем не понимаю как при такой настройке можно требовать при 200 и не требовать при 1000. Наверное смарт-карты умнее меня. Я вот не понимаю. 😄
Зато четко вижу зависимость от терминала. Одни и те же терминалы ведут себя одинаково (например в одной сети супермаркетов) и никогда иначе.
А смарт-карты - реально умные. Могут по операции в 200 гривен "верить на слово" и не посылать операцию online в банк (потом ещё многие жалуются, что заплатили, а смс не сразу пришла!). Но проверить что-то хотят. Потому и спрашивают PIN (для offline проверки). На самом деле вы удивитесь, как часто вам "верят на слово" и не проверяют, есть ли у вас деньги на счету. А операция посылается потом, со следующей операцией, которые надо послать. Это называется умным словом "advice" 😄
"— Скажите потерпевшая, где у Вас были спрятаны деньги???
— В бюстгальтере!
— Почему же Вы не кричали, когда обвиняемый засунул туда руку???
— Так я думала, что он с добрыми намерениями!"
Причем знаю коллег, которые купили. Айтишная фирма, между прочим....
Могу только представить, что проездной ооооооооооочень тормозит с ответом.
А еще удобно что минское метро чтобы не спамить посылает информацию о списании смской после третьей оплаты. То есть несколько раз проходишь, а о том что платишь картой узнаешь сильно позже.
Возможно, это сработало бы, если бы можно было снять больше 1000 рублей (по крайней мере сейчас это максимальная сумма снятия без пин-кода в России) или если можно было бы снять несколько раз подряд, к концу дня перевести деньги на счет в офшоре и быстро слинять из страны, но и то, и другое невозможно.
Чтобы воспользоваться терминалом нужно подключить эквайринг, заключить договор с компанией принимающей платежи, привязать счёт на который будут перечисляться деньги. Кроме того на частное лицо вы не подключите оплату, только на организацию.
Вот например, решил я сделать так. Нащелкал карт, деньги на счёт к слову поступают не моментально, и к тому времени как они зачислятся скорей всего уже кто-то из пострадавших сообщит в банк. Далее заблокируют эквайринг, отзовут транзакции, заблокируют счёт и т.д.
Вопрос с регистрацией терминала в банке отдельный - уверен есть соотв схемы.
Тут говорится что невозможно списать деньги с карты находящейся в сумке или кошельке в кармане. Я не понимаю с чего бы это?
А теперь вычтем из этих доходов всю возню с открытием ИП и подключением терминала с минимальным шансом заработать и неиллюзорной возможностью присесть за такие фокусы.
Если вы не будете - ваши проблемы. Я слежу за своими счетами через приложение на телефоне, все операции мне приходят в виде пуш- или смс-сообщений.
Возится с заявлением? Серьезно?? Открываю в этом же приложении "чат с ТП", пишу "здрасьте, вчера сняли 1000 р, я этого товара и магазина в глаза не видел".
Возможно вы не увидели мое второе сообщение - но вот тут все очень подробно описано habr.com
И там говорится что вариант атаки с подставным юр лицом реален, хотя и не выгоден. Но ведь технологии не стоят на месте 😄
Единственное, в чём вижу проблему - в том, что СМС о списании обычно приходит почти мгновенно, это надо чтобы банк, который посылает запрос на получение денег, давал задержку минут пять, чтобы чувак из вагона спокойно вышел... Сложная схема, не спорю. Но не невозможная. Угон топовых Мерседесов с заводской защитой тоже представлялся невозможным, однако.
Тырить в метро у граждан по рублику, стоимость такого левого терминала не отобьется, раньше поймают. А списание более крупной суммы требует акцептования транзакции холдером .