7 августа 2012
Последний раз был на сайте:
17 октября 2024 в 04:45
-
ballistic
3 года
-
Анна Молдавская
46 лет, Кривой Рог
-
Lemon0
Харцызск
-
Tsibulino
Тхорівка
-
Арсений Неменко
47 лет, Астрахань
-
Andrey M
45 лет, Киев
-
IndaGame Games
34 года, Киев
-
vadon861
Харьков
-
Lemon75
49 лет, Киев
- 5 мая 2013, 0:05
Безопасность пластиковых карт: вторая кровь
Сложно найти выступление (доклад, мнение, публикацию), посвящённое ситуации на украинском рынке карточных платежей, в котором не упоминалась бы характерная особенность местных владельцев «пластика». Речь идет о нежелании их абсолютного большинства использовать банковские карты по прямому назначению — для расчетов в торговой сети. Несть числа стенаниям представителей банковского сообщества по поводу глупости (дикости, забитости, темноты, кретинизма — нужное подчеркнуть) соотечественников, которые, получив деньги на карточку, тут же бегут снимать их в ближайшем банкомате.
Все эти сетования основаны на неявном предположении, что расчеты карточками это, во-первых, удобно, и, во-вторых, безусловно и однозначно безопасно. На сегодняшний день и банковское сообщество, и широкий круг энтузиастов, довольно категорично утверждают об отсутствии системных проблем с безопасностью карточных платежей. Мол, соблюдение несложных предосторожностей позволяет избежать неприятных сюрпризов.
Полгода назад я уже разбирал проблему, обусловленную распространением так называемой SMS-авторизации для доступа к банковским счетам. Мой вывод, напомню, заключается в следующем: навязаные банкирами процедуры SMS-авторизации содержат в себе ряд изъянов и образуют приличных размеров дыру в безопасности их клиентов, включая и держателей карт. Это первый вывод. Этой дырой регулярно пользуются и будут невозбранно пользоваться мерзавцы всех мастей во-вторых и тот же Приватбанк, аккумулировавший около 40% всех депозитов, не делает ничего, чтобы эту дыру ликвидировать, в-третьих.
За прошедшие месяцы картина, насколько мне известно, не изменилась. Банк тупо проигнорировал все предложения операторов мобильной связи хоть как-то минимизировать риски для их общих клиентов. Например, операторы предложили применять специальный порядок обмена утерянных/испорченных SIM-карт предоплаченной формы услуг, поскольку мошеннические действия такого рода являются основной системной уязвимостью SMS-авторизации. Операторы были готовы совместно разработать и внедрить подобные процедуры для работы с теми SIM-картами, которые используются клиентами Приватбанка. Готовы были сделать это самостоятельно. Всё, о чём они просили Приват, это сообщить им номера, на которые завязаны банковские услуги. Приват их просто проигнорировал.
Поэтому гнойная мразь продолжает воровать деньги украинцев с их карточных счетов в Приватбанке. Последний попавшийся мне на глаза пример — кража пятидесяти восьми тысяч гривен, собранных на лечение тяжело больного ребёнка. Судя по тексту сообщения, и в этом случае имел место мошенническое завладение SIM-картой пользователя карточного счёта при посещении салона мобильной связи. Спасибо тов. Витязю и лично Александру Дубилету за новые великолепные возможности.
Но это касалось лишь одного аспекта вопроса. Теперь пришло время разобраться с другой группой проблем. Причём опять на собственном опыте. Прошлой ночью с карточного счёта близких мне людей в банке «Райффайзен Аваль» были украдены 8000 гривен. Глубокой ночью где-то на Харьковском массиве в течении трёх с небольшим минут последовательно сняли восемь раз тысяче гривен, пока не был достигнут суточный лимит для снятия. Насколько я понимаю, злоумышленники изготовили дубликат пластиковой карты, поскольку оригинал всё это время находился и находится у хозяйки.
За последние пару месяцев эту карту использовали только для снятия денег, причем, за редким исключением, в отделениях самого банка. Плюс раз или два снимали в банкомате, установленном в вестибюле Метрограда на Площади Независимости в Киеве. Также карточку использовали для расчетов в торговых сетях. Всё это время карточку не выпускали из виду, никогда не передавали, например, официанту для того, чтобы «прокатить» где-то за кулисами. Соответственно скопировать магнитную полосу могли только за счет использование накладки на банкомате.
Есть основания полагать, что данные карты были украдены достаточно давно. Злоумышленники ждали праздников, когда люди покидают пределы и, зачастую, им физически тяжело либо невозможно своевременно дозвониться в банк. Да и получить sms с оповещением о несанкционирвоанных транзакциях. При благоприятных для мерзавцев раскладах они могут каждый день ходить и снимать деньги, пока полностью не обнулят счёт. Так что на праздниках приходится быть особенно острожными.
А пока жду рабочего дня, чтобы посмотреть, каким образом Аваль будет реагировать в этой ситуации. Учитывая, в первую очередь, тот факт, что речь идет о клиентах, которым он присвоил статус VIP.
Мне интересны ваше мнение и опыт: каким образом на практике реализуются такого рода атаки на карточные счета в Украине? Каким образом их можно избежать? Интересуют, конечно же, в первую очередь практические советы, которые не делают использование картой попросту бессмысленным. Например, установить нулевой лимит для покупок и каждый раз звонить в сервис-центр, чтобы поднять его. Моё внимание, например, обратил тот факт, что в Авале лимит совершение покупок в интернете соответствует таковому для расчетов в розничной сети. То-есть я не могу, например, сделать лимит для расчётов в интернете нулевым, поскольку тогда будет нулевым и лимит для торгово-розничной сети.
С вероятностью 99,9% в комментариях появятся граждане, которые затянут любимую песню: «сами виноваты… ничего такого не может быть, потому что не может быть никогда… у банков всегда всё хорошо и правильно...» Сразу прошу оставить этот бред при себе. Сфера моих профессиональных интересов связана с рынком мобильной связи. Этот рынок в некоторых отношениях весьма похож на банковский, в частности, масштабами использования ИТ-технологий для обслуживания клиентов.
Так вот, я на собственном опыте, не раз и не два участвуя в разного рода конфликтных ситуациях как со стороны оператора, так и со стороны абонентов, достоверно знаю следующее: а) операторы периодически допускают совершенно чудовищные по своей нелепости и масштабам ошибки; б) их первая, стандартная реакция в случае конфликта с абонентами по поводу денег это «сами виноваты… ничего такого не может быть, потому что не может быть никогда...»; в)если удается, всё-таки, ткнуть оператора носом в собственное дерьмо, одним из элементов соглашения по урегулированию ситуации они настойчиво требуют подписания документов о неразглашении, тем самым максимально затрудняя защиту своих прав другими бедолагами.
Итак, мой вопрос заключается в следующем: каким образом мог быть изготовлен дубликат карточки, включая ПИН-код? Если не были допущены основные проколы в части безопасности карточных платежей: карту не выпускали из виду и никому не передавали.
|
8
|
- 10:22 Курс валют на 15 ноября: евро в банках подешевел на 20 копеек
- 08:02 Курс на 15 ноября: НБУ продолжает укреплять гривну
- 14.11.2024
- 19:04 Какие акции эксперты советовали год назад, и как меняется стратегия сейчас
- 17:31 Курс валют на вечер 14 ноября: доллар и евро подешевели на межбанке на 9 копеек
- 17:02 Глобальный криптовалютный рынок превысил $3 триллиона
- 15:02 Что произойдет с курсом доллара. Прогнозируем влияние Трампа на валютные рынки (видео)
- 14:00 Доход Softbank за 3 месяца достиг $7,7 млрд
- 12:03 Какие изменения помогут направить средства частных инвесторов в бизнес, а не в ОВГЗ
- 11:01 Регулирование криптовалют в Украине: Железняк рассказал о прогрессе в работе над законом
- 10:24 Курс валют на 14 ноября: евро в обменниках подешевел на 25 копеек
Комментарии - 88
У оператора нет способа узнать, какие номера задействованы в процедурах SMS-авторизации. Об этом может знать только банк.
пускай операторы просто усложнят процесс создания дубликата симки. Так как это делается сейчас — назвать три последних номера которые звонили на симку — и в любом салоне сделают дубликат… Звонишь три раза на чью-нибудь симку, идешь в салон — и через 15 минут имеешь ее дубль. И какой банк здесь поможет? Процедуру такого дублирования сам на днях наблюдал.
не уловил мысль. Раскройте её, пожалуйста.
«пускай операторы просто усложнят процесс создания дубликата симки...»
Напомню, что, в отличие от подавляющего большинства окрестных стран, в Украине предоплаченные услуги мобильной связи полностью анонимны. Ни на одном из этапов жизненного цикла такого номера его пользователь не идентифицируется сколь-нибудь приемлемым способом. Это первое.
Второе это отсутствие у операторов каких-либо обязательств в части восстановления утерянных/сломанных и т.п. СИМ-карт предоплаченной связи. Это чистой воды их добрая воля и проявление лояльности к своим абонентам. Ни один из действующих нормативно-правовых актов их к этому не обязывает.
Исходя из этого операторы не считали и не считают разумным чрезмерно усложнять процедуру обмена СИМ-карт. Они исходят их того (и я с ними целиком согласен), что если для человека его номер критически важен, абоненту стоит перейти на контрактную форму обслуживания и юридически закрепить права — и свои, и оператора.
Поэтому тезис «пускай операторы просто усложнят процесс создания дубликата симки» неприемлем ни для операторов, ни для абонентов. Единственный правильный подход это идентификация человека по документу, удостоверяющему его личность. Всё остальное это полумеры, которые можно обойти.
Ответственность банка — донести эти несложные тезисы до своих клиентов, которые пользуются СМС-авторизацией. Предупреждал бы Приват, что СМС-авторизация, завязанная на номере предоплаченных услуг, чревата кражей всех средств со счёта, я был бы на его стороне.
Но в Привате этот простой шаг считают излишним, перелагая почему-то ответственность на операторов.
т.е. человек обращается в салон связи, салон обзванивает 180 банков и спрашивает — не используется ли этот номер в авторизации? Или банки все номера, которые используются в авторизации сливают в одну базу и делают ее доступной всем салонам связи? так завтра эта база будет доступной всем желающим для любого мошенничества…
это не методы.
Во-вторых, альтернатива этому понятна и проста, как на мой вкус. Банки, как минимум, не должны включать механизм авторизации по умолчанию. Кому нужно — подключится. Это первое. Второе, банка обязаны предупредить своих клиентов, подключающх СМС-авторизацию, о необходимости использовать только контрактные подключения, оформленные на самого клиента или его доверенное лицо.
Разве это сложно или нелогично?
не для спора, реально интересно
krebsonsecurity.com/2013/02/pro-grade-point-of-sale-skimmer/
Вкратце: в POS-терминал вставляется плата, собирает данные с магнитной ленты+ПИН коды, отправляет это всё дело потом пачкой через Bluetooth (т.е. можно раз в неделю «проведывать» магазин и сливать данные).
Как избежать — для начала чипованые карты. На ней для обратной соместимости есть мангитная лента, поэтому придется отказываться платить на старых терминалах. Как по АТМ понять — поддерживает он чипы или нет я незнаю, правда. Поэтому чип явно не панацея :(
Дальше уже методы из области жуткого неудобства даже для людей из ИТ. Клиент-банк на телефоне, основной не карточный счёт с деньгами и карточный счёт с небольшой суммой. Перебрасываем деньги, если собираемся покупать что-то.
Если будете готовы продолжить содержательную дискуссию — дайте знать.
Лично мне Аваль блокировал карту за подозрение во фроде при попытке оплатить услугу другому физ.лицу. Правда, там было несколько неудачных попыток (забыл отключить проверку CVV-кода) в течении короткого промежутка времени.
Так что не всё так страшно с этим мини-POS. Страшно только клиенту — я бы, например, свою карту не отдал совать в непонятный телефон с приблудой :)
какбудта нет и не было ПАРОЛЯ к логину-номеру
т.е. если кто-то у кого-то угнал номер мобильного, он еще должен знать пароль входа в систему…
если он его знает — ищите супостата среди имеющих доступ к компу (или локальной сети)
из личного опыта — юзаю Пр24 под номером, который мало кто знает
Ещё с полгода назад не нужно было даже звонить оператору. Отправил СМС с нужного номера, получил пароль и вперёд.
Теперь ввели как-бы препятствие: нужно ответить на несколько вопросов. Это ФИО, дата рождения, серия и номер паспорта. Всё. Все эти данные не проблема получить или найти в открытом доступе.
Поэтому никакого супостата не нужно. Приват «позаботится» обо всё
но ведь и здесь надо иметь сразу и номер телефона и номер карты…
который, кстати, заполучить гораздо труднее номера телефона…
кстати и среди вопросов от банка наверняка есть стандартный секретный вопрос, который если при открытии карты нормально продумать (а не принимать стандартный — девичья фамилия матери) то риска почти не будет…
кароч — нефик ушами хлопать
Теперь, по факту, списать деньги может каждый, кто знает пароль от приложения и номер директорского/главбухгалтерского телефона. А это уже довольно широкий круг лиц.
При этом отключать саму возможнсоть СМС-авторизации для П24 невозможно.
Удивлён тем, что номер карты тяжело получить. В каком смысле тяжело? Для кого? Номер карты кто только не знает.
и как их у меня могут угнать?..
переписать при расчете на кассе? — замечу и буду гневаться…
как еще, если держать их под контролем?..
подозреваю, что надо еще кроме номера знать и срок действия
например я знаю, что ваш логин на минфине = Роман_Химич, но ведь этого недостаточно, чтобы зайти на сайт под вашим именем?
Если в Украине мошенники действуют так же как и зарубежом, есть целая индустрия сбора данных о картах. Которые потом продают, передавая дальше по цепочке уже непосредственно ворам.
он важен только в связке с номером телефона (который еще надо клонировать)…
у меня к картам привязан НИКОМУ не известный телефон…
я тут незнакомым челам номера карты сообщал
как меня можно обокрасть?..
да кто ж спорит…
«… он важен только в связке с номером телефона (который еще надо клонировать)…»
так я ж повторяю — это вполне возможно и теоретически, и практически. И уже неоднократно происходило в интересах мошенников.
«… у меня к картам привязан НИКОМУ не известный телефон…»
Но это же совершенно не то, что продвигает Приватбанк. Изначально (да и сейчас) у людей просят номер их мобильного, подразумевая под ним основной телефон, который для связи. О том, что необходимо использовать какой-то отдельный, глубоко секретный номер, люди не догадываются. В первую очередь потому, что им об этом ничего не говорит сам банк.
Но это же совершенно не то, что продвигают банки. Изначально (да и сейчас) у людей просят номер их мобильного, подразумевая под ним основной телефон, который для связи. О том, что необходимо использовать какой-то отдельный, глубоко секретный номер, люди не догадываются. В первую очередь потому, что им об этом ничего не говорят сами банкиры.
потому проблема не будет решена с чипом.
скимминг очень редок
крадут в основном по быстрым деньгам или сотрудники напрямую через авторизацию или перехват клиент банк
Никто не будет распространять.
В Одессе в апреле сняли скиминг с банкомата на Дерибасовской, милиция с собакой и камерой приезжала, подняли шумиху.
И так будет всегда ибо моск чаще выключен, чем включён.
Кто-то этим людям разъяснял, как картой пользоваться?
Я думаю что 70% не знает элементарных правил безопасности, и их нигде не встречали. А кто-то даже если прочтет их- не поймет.
Хорошо хоть появился реестр судебных решений. Там достаточно много упоминаний судебных споров между абонентами и операторами. И далеко не всегда они решаются в пользу оператора.
В общем, тактика замалчивания проблемы и её масштабов — ключевой элемент пиара больших компаний.
Радует, что по картам есть Виза и МС, которые хоть как-то опыт проблем сводят во что-то общее, и выдают обновления протоколов по безопасности.
перехват ДБО вот это дело. сразу просмотреть остатки и их динамику и спилить 100 К зависших денег. или 8 млн как ребята из привата сделали.
А кредитные карты это лохотрон для аленей -, это нолики на мониторе, и не факт что они есть.)
А на предложение рассчитаться долларами — посоветовали бежать за угол к Моне Осетинскому, он, мол, на деньги поменяет — тогда и приходи…
И что же большие деньги — доллары, или карточка? :)
В любом случае: на карте держать деньги небезопастно Это все равно что хранить все яйца в одной корзине.
Возможно я повторюсь за кем-то.
В данны момент все еще работает старый добрый метод копирования информации:
1) прокатка карты через скимер на банкомате, или электронном замке входа в отделение банка.
2) ПИН-код — подсматривается(это легче, но дольше) или пинкод подсматривается техническим путем видеокамера.
Если первые устройства достаточно стандартизированы :), то вторые уствройства используются в разнообразнейших вариациях. Например, в виде прикрепленного лотка под рекламные листовки рядом с банкоматом. ну и стандартные накладки вместо лампы. Есть очень простой способ проверки пина «ливанская петля».
Банк может полностью самостоятельно проверить была ли операция с картой или с подделкой, если конечно же камеры установлены. КАк найти подход к борьюе с банком: первое получить максимум технической информации: когда (до секунды), где и кем была совершена операция(ии). С использованием пина или без. А дальше будет зависеть от порядочности банка или компенсация, или заявление в милицию и иск в суд.
Проколов со стороны банка по безопасности почти нет, так как все работают с протокалами ВИЗА и МС, соответственно банк также страдает от мошеннических действий. Здесь надо упираться на то, что банкомат это оборудование банка(если повезет и тот же банк что и эмитент) и банк должен заботиться о недопущении установки дополнительного оборудования на банкомат.
Лично видел несколько скимеров, их от заводского оборудования может отличить только человек, который хорошо помнит банкомат по внешнему виду.
С ПИН-кодами, подозреваю, ситуация вообще швах. Камер слежения всё больше, их разрешающая способность — всё выше. Уже не раз фотокорреспонденты снимали с балкона зала ВР содержимое экрана депутатских мобилок. Понятно, что видеокамеры имеют меньшее разрешение, но они ведь и находятся зачастую гораздо ближе. Мы ж привыкли, что если нет никого за спиной — вроде и не угрозы. А она никуда не делась — висит метрах в пяти где нибудь сбоку.
Снимали, судя по всему, в банкомате того же Аваля.
Как может выглядеть правильная позиция в случае судебного спора с банком? Что ничего не знаю — деньги спёрли со счёта, за который вы отвечаете и без моей вины или докажите обратное?
Я думаю СБ банка будет проводить расследование. Если окажется, что не вы одни такие вернут, есть банковская страховка, но и страховой нужно тоже доказать, что был факт мошенничества.
Вот когда всем чипы под кожу вошьют — попроще с доказательствами будет. а пока — …
Народ у нас такой.
как контраргумент банка: это не мы а мошенники, вот заявление в милицию и справка о возбуждении уголовного дела. А суды у нас самые честные.
Наверное надо иметь такие же доказательства как и у банка.
Счет банковский, карточка одна, она никому не передавалась и не рассекречивался номер персонального кода, в интернете не использовалась или использовалась, только на проверенных сайтах ( АНТИВИРУС СТОИТ! (можно даже аваст) и приложить протоколы проверок). И требовать с суда возмещения, так как у банка задача технически обеспечить безопасность операций.
Основная позиция: Пользователь правила не нарушал. Правила устанавливает банк. Карту предоставляет банк, оборудование предоставляет банк, идентификацию и операции проводит банк.
Есть какие то идеи у СБ Аваля? если было устройство то следы легко обнаружить, или заказ дублирующей карты по р/с потерпевшего.
Странно конечно вся история. 8 раз по 1 к, это нормальный лимит на единоразовое по этому пакету у Аваля? и как суточный лимит 8 к по вип карте? и блокировки нет а должна быть и на выходных…
как развиваются события?
8 тыщ это суточный лимит, который предлагают в самом банке. Злоумышленники, видимо, не хотели рисковать, чтобы не попасть под блокировку, и снимали небольшими частями.
Пока события никак не развиваются :-(