Минфин - Курсы валют Украины

Установить
Khimich
Роман Химич Деньги 2.0
Зарегистрирован:
7 августа 2012

Последний раз был на сайте:
10 ноября 2014 в 13:56
Подписчики (35):
naf422
naf422
ballistic
ballistic
21 год
anna77
Анна Молдавская
44 года, Кривой Рог
Lemon0
Lemon0
Харцызск
Tsibulino
Tsibulino
Тхорівка
astratube
Арсений Неменко
44 года, Астрахань
AndreyM
Andrey M
43 года, Киев
alexl62
alexl62
indagame
IndaGame Games
32 года, Киев
vadon861
vadon861
Харьков
Lemon75
Lemon75
47 лет, Киев
2283028
2283028
все подписчики
Роман Химич — Деньги 2.0
эксперт рынка телекоммуникаций
5 мая 2013, 0:05

Безопасность пластиковых карт: вторая кровь

Сложно найти выступление (доклад, мнение, публикацию), посвящённое ситуации на украинском рынке карточных платежей, в котором не упоминалась бы характерная особенность местных владельцев «пластика». Речь идет о нежелании их абсолютного большинства использовать банковские карты по прямому назначению — для расчетов в торговой сети. Несть числа стенаниям представителей банковского сообщества по поводу глупости (дикости, забитости, темноты, кретинизма — нужное подчеркнуть)  соотечественников, которые, получив деньги на карточку, тут же бегут снимать их в ближайшем банкомате.

Все эти сетования основаны на неявном предположении, что расчеты карточками это, во-первых, удобно, и, во-вторых, безусловно и однозначно безопасно. На сегодняшний день и банковское сообщество, и широкий круг энтузиастов, довольно  категорично утверждают об отсутствии системных проблем с безопасностью карточных платежей. Мол, соблюдение несложных предосторожностей позволяет избежать неприятных сюрпризов. 

Полгода назад я уже разбирал проблему, обусловленную распространением так называемой SMS-авторизации для доступа к банковским счетам. Мой вывод, напомню, заключается в следующем: навязаные банкирами процедуры SMS-авторизации содержат в себе ряд изъянов и образуют приличных размеров дыру в безопасности их клиентов, включая и держателей карт. Это первый вывод. Этой дырой регулярно пользуются и будут невозбранно пользоваться мерзавцы всех мастей во-вторых и тот же Приватбанк, аккумулировавший около 40% всех депозитов, не делает ничего, чтобы эту дыру ликвидировать, в-третьих. 

За прошедшие месяцы картина, насколько мне известно,  не изменилась. Банк тупо проигнорировал все предложения операторов мобильной связи хоть как-то минимизировать риски для их общих клиентов. Например, операторы предложили применять специальный порядок обмена утерянных/испорченных SIM-карт предоплаченной формы услуг, поскольку мошеннические действия такого рода являются основной системной уязвимостью SMS-авторизации. Операторы  были готовы совместно разработать и внедрить подобные процедуры для работы с теми SIM-картами, которые используются клиентами Приватбанка. Готовы были сделать это самостоятельно. Всё, о чём они просили Приват, это сообщить им номера, на которые завязаны банковские услуги. Приват их просто проигнорировал.  

Поэтому гнойная мразь продолжает воровать деньги украинцев с их карточных счетов в Приватбанке. Последний попавшийся мне на глаза пример — кража пятидесяти восьми тысяч гривен, собранных на лечение тяжело больного ребёнка. Судя по тексту сообщения, и в этом случае имел место мошенническое завладение SIM-картой пользователя карточного счёта при посещении салона мобильной связи. Спасибо тов. Витязю и лично Александру Дубилету за новые великолепные возможности. 

Но это касалось лишь одного аспекта вопроса. Теперь пришло время разобраться с другой группой  проблем. Причём опять на собственном опыте.  Прошлой ночью с карточного счёта близких мне людей в банке «Райффайзен Аваль» были украдены  8000 гривен. Глубокой ночью где-то на Харьковском массиве в течении трёх с небольшим минут последовательно сняли восемь раз тысяче гривен, пока не был достигнут суточный лимит для снятия.  Насколько я понимаю, злоумышленники изготовили дубликат пластиковой карты, поскольку оригинал всё это время находился и находится у хозяйки.  

За последние пару месяцев эту карту использовали только для снятия денег, причем, за редким исключением, в отделениях самого банка. Плюс раз или два снимали в банкомате, установленном в вестибюле Метрограда на Площади Независимости в Киеве. Также карточку использовали для расчетов в торговых сетях. Всё это время карточку не выпускали из виду, никогда не передавали, например, официанту для того, чтобы «прокатить» где-то за кулисами. Соответственно скопировать магнитную полосу могли только за счет использование накладки на банкомате.  

Есть основания полагать, что данные карты были украдены достаточно давно. Злоумышленники ждали праздников, когда люди покидают пределы и, зачастую, им физически тяжело либо невозможно своевременно дозвониться в банк. Да и получить sms с оповещением о несанкционирвоанных транзакциях. При благоприятных для мерзавцев раскладах они могут каждый день ходить и снимать деньги, пока полностью не обнулят счёт. Так что на праздниках приходится быть особенно острожными.

А пока жду рабочего дня,  чтобы посмотреть, каким образом Аваль будет реагировать в этой ситуации. Учитывая, в первую очередь, тот факт,  что речь идет о клиентах, которым он присвоил статус VIP.  

Мне интересны ваше мнение и опыт: каким образом на практике реализуются такого рода атаки на карточные счета в Украине? Каким образом их можно избежать? Интересуют,  конечно же, в первую очередь практические советы, которые не делают использование картой попросту бессмысленным. Например, установить нулевой лимит для покупок и каждый раз звонить в сервис-центр, чтобы поднять его. Моё внимание, например, обратил тот факт, что в Авале лимит совершение покупок в интернете соответствует таковому для расчетов в розничной сети. То-есть я не могу, например,  сделать лимит для расчётов в интернете нулевым, поскольку тогда будет нулевым и лимит для торгово-розничной сети. 

С вероятностью 99,9%  в комментариях появятся граждане, которые затянут любимую песню: «сами виноваты… ничего такого не может быть, потому что не может быть никогда… у банков всегда всё хорошо и правильно...» Сразу прошу оставить этот бред при себе. Сфера моих профессиональных интересов связана с рынком мобильной связи. Этот рынок в некоторых отношениях весьма похож на банковский, в частности, масштабами использования ИТ-технологий для обслуживания клиентов.

Так вот, я на собственном опыте, не раз и не два участвуя в разного рода  конфликтных ситуациях как со стороны оператора, так и со стороны абонентов, достоверно знаю следующее: а) операторы периодически допускают совершенно чудовищные по своей нелепости и масштабам ошибки; б) их первая, стандартная реакция в случае конфликта с абонентами по поводу денег это «сами виноваты… ничего такого не может быть, потому что не может быть никогда...»; в)если удается, всё-таки,  ткнуть оператора носом в собственное дерьмо, одним из элементов соглашения по урегулированию ситуации они настойчиво требуют подписания документов о неразглашении, тем самым максимально затрудняя защиту своих прав другими бедолагами. 

Итак, мой вопрос заключается в следующем: каким образом мог быть изготовлен дубликат карточки, включая ПИН-код? Если не были допущены основные проколы в части безопасности карточных платежей: карту не выпускали из виду и никому не передавали.  

Просмотров: 1989, сегодня — 0
Следить за новыми комментариями

Комментарии - 88

+
0
Dreamer
Dreamer
5 мая 2013, 5:35
#
Я делаю дубликат основной карты с очень ограниченным лимитом(200-300 долл) и свечу только её, основную лучше не пользовать, потому что есть и другие способы скопировать карту не прикасаясь к ней.
+
0
tyutyun
tyutyun
5 мая 2013, 6:44
#
А банк то здесь причём? Когда вина банка, обычно явление массовое.
+
0
Роман Химич
Роман Химич
5 мая 2013, 11:36
#
Я не утверждаю вину банка. Сначала хочу понять, как такие вещи происходят. Определять меру вины можно только после этого.
+
0
shlema
shlema
5 мая 2013, 9:59
#
Самый простой и логичный вариант (сам на такое попадал) — банкомат со скиммером и камерой или накладкой на клавиатуре.
+
0
Роман Химич
Роман Химич
5 мая 2013, 11:37
#
Я пока тоже склоняюсь к этой версии. А вот скажите, если знаете, насколько сложно распознать накладку? Точнее, насколько незаметной для непосвящённого она может выглядеть?
+
0
tyutyun
tyutyun
5 мая 2013, 12:36
#
Для непосвящённого всё божья роса
+
0
Роман Химич
Роман Химич
5 мая 2013, 12:46
#
Раскройте свою мысль пожалуйста.
+
0
tyutyun
tyutyun
5 мая 2013, 13:03
#
А кто из нас эксперд?
+
0
Роман Химич
Роман Химич
5 мая 2013, 13:12
#
Дерзите, что ли, дядя?
+
0
yarg
yarg
5 мая 2013, 11:19
#
«Банк тупо проигнорировал все предложения операторов мобильной связи хоть как-то минимизировать риски для их общих клиентов. Например, операторы предложили применять специальный порядок обмена утерянных/испорченных SIM-карт предоплаченной формы услуг, » — не совсем понятно — зачем операторам для этого банки. Они сами не могут ввести такой порядок? Или необходимость согласования с банками (почему не с гастрономами) — это просто отговорка?
+
0
Роман Химич
Роман Химич
5 мая 2013, 11:38
#
«… не совсем понятно — зачем операторам для этого банки...»

У оператора нет способа узнать, какие номера задействованы в процедурах SMS-авторизации. Об этом может знать только банк.
+
0
yarg
yarg
5 мая 2013, 12:14
#
Ага. а у банка нет возможности узнать какие симки утеряны…
пускай операторы просто усложнят процесс создания дубликата симки. Так как это делается сейчас — назвать три последних номера которые звонили на симку — и в любом салоне сделают дубликат… Звонишь три раза на чью-нибудь симку, идешь в салон — и через 15 минут имеешь ее дубль. И какой банк здесь поможет? Процедуру такого дублирования сам на днях наблюдал.
+
0
Роман Химич
Роман Химич
5 мая 2013, 12:27
#
«а у банка нет возможности узнать какие симки утеряны…»

не уловил мысль. Раскройте её, пожалуйста.

«пускай операторы просто усложнят процесс создания дубликата симки...»

Напомню, что, в отличие от подавляющего большинства окрестных стран, в Украине предоплаченные услуги мобильной связи полностью анонимны. Ни на одном из этапов жизненного цикла такого номера его пользователь не идентифицируется сколь-нибудь приемлемым способом. Это первое.

Второе это отсутствие у операторов каких-либо обязательств в части восстановления утерянных/сломанных и т.п. СИМ-карт предоплаченной связи. Это чистой воды их добрая воля и проявление лояльности к своим абонентам. Ни один из действующих нормативно-правовых актов их к этому не обязывает.

Исходя из этого операторы не считали и не считают разумным чрезмерно усложнять процедуру обмена СИМ-карт. Они исходят их того (и я с ними целиком согласен), что если для человека его номер критически важен, абоненту стоит перейти на контрактную форму обслуживания и юридически закрепить права — и свои, и оператора.

Поэтому тезис «пускай операторы просто усложнят процесс создания дубликата симки» неприемлем ни для операторов, ни для абонентов. Единственный правильный подход это идентификация человека по документу, удостоверяющему его личность. Всё остальное это полумеры, которые можно обойти.

Ответственность банка — донести эти несложные тезисы до своих клиентов, которые пользуются СМС-авторизацией. Предупреждал бы Приват, что СМС-авторизация, завязанная на номере предоплаченных услуг, чревата кражей всех средств со счёта, я был бы на его стороне.

Но в Привате этот простой шаг считают излишним, перелагая почему-то ответственность на операторов.
+
0
tyutyun
tyutyun
5 мая 2013, 12:37
#
Не на операторов, а на клиентов
+
0
Роман Химич
Роман Химич
5 мая 2013, 12:48
#
Именно на операторов. В ходе консультаций, которые инициировали операторские компании, им было заявлено представителями Приватбанка, что его всё устраивает в сложившейся ситуации, он ничего не собирается менять, а за факты кражи денег путём «восстановления» СИМ-карт отвечают сами операторы.
+
0
tyutyun
tyutyun
5 мая 2013, 13:03
#
Ссылочко?
+
0
Роман Химич
Роман Химич
5 мая 2013, 13:11
#
На что? Это рабочие консультации. Я о них осведомлён по долгу своей работы.
+
0
yarg
yarg
5 мая 2013, 12:40
#
Вы пишите «У оператора нет способа узнать, какие номера задействованы в процедурах SMS-авторизации. Об этом может знать только банк.»

т.е. человек обращается в салон связи, салон обзванивает 180 банков и спрашивает — не используется ли этот номер в авторизации? Или банки все номера, которые используются в авторизации сливают в одну базу и делают ее доступной всем салонам связи? так завтра эта база будет доступной всем желающим для любого мошенничества…
это не методы.
+
0
Роман Химич
Роман Химич
5 мая 2013, 12:51
#
Нет. Банк уведомляет операторские компании (их всего четыре, кстати), какие именно номера их абонентов задействованы в процедурах СМС-авторизации. Зная эти номера, операторы всякий раз, когда кто-то пытается что-то с этим номером сделать, применяют максимально жёсткие процедуры. Например, в обязательном порядке требуют паспортные данные.
+
0
yarg
yarg
5 мая 2013, 12:56
#
Т.е. должна быть база абонентов — клиентов банков и она должна быть доступна салонам связи? Куча рисков. 170 банков должны будут онлайново обновлять эту базу. будет куча злоупотреблений этой информацией…
+
0
tyutyun
tyutyun
5 мая 2013, 13:00
#
Ага, а кроме банков ещё мульён компаний, что шлют отп на телефон
+
0
Роман Химич
Роман Химич
5 мая 2013, 13:10
#
Во-первых, салоны напрямую не работают с базами данных. У них есть компьютер, на нём специальная программа. Пришёл человек, назвал номер или фамилию, сотрудники салона обращаются к операторской БД. При этом они и так имеют доступ к ней. Какие здесь возникают дополнительные риски?

Во-вторых, альтернатива этому понятна и проста, как на мой вкус. Банки, как минимум, не должны включать механизм авторизации по умолчанию. Кому нужно — подключится. Это первое. Второе, банка обязаны предупредить своих клиентов, подключающх СМС-авторизацию, о необходимости использовать только контрактные подключения, оформленные на самого клиента или его доверенное лицо.

Разве это сложно или нелогично?
+
0
yarg
yarg
5 мая 2013, 16:03
#
Ну остальные банки, кроме привата, так и работают. Проблема скорее в специфике привата…
+
0
Роман Химич
Роман Химич
5 мая 2013, 20:08
#
Отож…
+
0
il1
il1
7 мая 2013, 12:54
#
Это не будет работать, да и на уровне законодательства «О защите персональных данных» надо подписывать соглашения, устанавливать протоколы обмена инфо и т.д. И с какого перепугу банк будет диктовать оператору, что надо делать с клиентом оператора?
+
0
yarg
yarg
5 мая 2013, 12:26
#
Собственно — быстрее перейти на чиповые карточки и уменьшатся проблемы с дубликатами.
+
0
Роман Химич
Роман Химич
5 мая 2013, 12:32
#
А кто из укр.банков из Топ-10 уже внедрил чиповые карты? И требуется ли поддержка этой технологии банкоматами/терминалами?
+
0
tyutyun
tyutyun
5 мая 2013, 12:36
#
Дохрена кто. Народ просто тупой и жадной
+
0
Роман Химич
Роман Химич
5 мая 2013, 13:13
#
Конкретнее можете? По второму вопросу тоже, пожалуйста.
+
0
tyutyun
tyutyun
5 мая 2013, 13:21
#
Да куда уже конкретнее. Карты с чипом это сильно промежуточная стадия развития, при этом очень затратная для банка. И особенно, если переделывать с предыдущей, лентовой технологии. Поэтому все ждут NFC, совмещённого с СИМ-картой
+
0
Роман Химич
Роман Химич
5 мая 2013, 13:27
#
Спасибо.
+
0
mybank
mybank
5 мая 2013, 20:29
#
Кстати НФС сейчас проходит тестирования в некоторых банках в разных странах. т.е. процесс идет… но помоему он далекий еще, не только для нас, а вообще
+
0
tyutyun
tyutyun
5 мая 2013, 20:55
#
Да бросьте, в Польше всё работает
+
0
mybank
mybank
5 мая 2013, 21:12
#
Для расширения кругозора, есть какая то ссылка?

не для спора, реально интересно
+
0
tyutyun
tyutyun
5 мая 2013, 21:20
#
Я наблюдал живьём. кассы самообслуживания чего стоят
+
0
mib
mib
7 мая 2013, 17:40
#
www.nfcworld.com/list-of-nfc-trials-pilots-tests-and-commercial-services-around-the-world/
+
0
mib
mib
7 мая 2013, 17:52
#
Есть ещё MasterCard PayPass. Смысл тот же (приложил и отплатил), но не нужен телефон с NFC.
+
0
il1
il1
7 мая 2013, 17:57
#
Пайпас вроде как должен был Ощад тестить в Макдональдсе в Киеве.
+
+3
mib
mib
5 мая 2013, 16:12
#
Скиммеры нынче и в POS-терминалы устанавливают. Пока новости только из-за рубежа, но может уже и до нас технологии дошли:
krebsonsecurity.com/2013/02/pro-grade-point-of-sale-skimmer/

Вкратце: в POS-терминал вставляется плата, собирает данные с магнитной ленты+ПИН коды, отправляет это всё дело потом пачкой через Bluetooth (т.е. можно раз в неделю «проведывать» магазин и сливать данные).

Как избежать — для начала чипованые карты. На ней для обратной соместимости есть мангитная лента, поэтому придется отказываться платить на старых терминалах. Как по АТМ понять — поддерживает он чипы или нет я незнаю, правда. Поэтому чип явно не панацея :(

Дальше уже методы из области жуткого неудобства даже для людей из ИТ. Клиент-банк на телефоне, основной не карточный счёт с деньгами и карточный счёт с небольшой суммой. Перебрасываем деньги, если собираемся покупать что-то.
+
0
Роман Химич
Роман Химич
5 мая 2013, 20:09
#
Меня в этом плане умиляет шумиха вокруг мини-POS, которые цепляются прямо на смартфон мелкого предпринимателя. Все данные клиентской карты прямо в чей-то смартфон… А cvv запомнить — немного труда нужно.
+
0
tyutyun
tyutyun
5 мая 2013, 20:19
#
Можете продемонстрировать? Или бла-бла?
+
0
Роман Химич
Роман Химич
6 мая 2013, 11:56
#
Ещё раз, последний, прошу следить за лексикой. Если что-то интересует или есть замечания по существу: милости просим. Если чисто проявить свой Богатый Внутренний Мир, здесь это лишнее.

Если будете готовы продолжить содержательную дискуссию — дайте знать.
+
0
mib
mib
7 мая 2013, 18:01
#
Без ПИН-кода только этих данных будет достаточно лишь для оплаты в Интернет. А подобные транзакции проще оспорить, как мне кажется (сомневаюсь что хоть в одном договоре указано хранить CVV в секрете с учетом того, что он уже самим банком напечатан на карте). Там либо адрес доставки товара будет чужой, либо услуга, которую оказали явно не вам.

Лично мне Аваль блокировал карту за подозрение во фроде при попытке оплатить услугу другому физ.лицу. Правда, там было несколько неудачных попыток (забыл отключить проверку CVV-кода) в течении короткого промежутка времени.

Так что не всё так страшно с этим мини-POS. Страшно только клиенту — я бы, например, свою карту не отдал совать в непонятный телефон с приблудой :)
+
0
mybank
mybank
5 мая 2013, 20:27
#
Мини посы, как вы их назвали, очень не соответствуют требованиям безопасности Визы, и все об этом знают. поэтому никто вторым не будет как и с валютообменом он-лайн. ИМХО
+
0
gdadiz
gdadiz
5 мая 2013, 22:10
#
Непонятна шумиха вокруг опастности восстановления симки…
какбудта нет и не было ПАРОЛЯ к логину-номеру
т.е. если кто-то у кого-то угнал номер мобильного, он еще должен знать пароль входа в систему…
если он его знает — ищите супостата среди имеющих доступ к компу (или локальной сети)
из личного опыта — юзаю Пр24 под номером, который мало кто знает
+
0
Роман Химич
Роман Химич
6 мая 2013, 12:02
#
Посмотрите этот ролик: privatbank.ua/ekstrenniye-dangi/

Ещё с полгода назад не нужно было даже звонить оператору. Отправил СМС с нужного номера, получил пароль и вперёд.

Теперь ввели как-бы препятствие: нужно ответить на несколько вопросов. Это ФИО, дата рождения, серия и номер паспорта. Всё. Все эти данные не проблема получить или найти в открытом доступе.

Поэтому никакого супостата не нужно. Приват «позаботится» обо всё
+
0
gdadiz
gdadiz
6 мая 2013, 22:25
#
А-а-а… вы об экстренных деньгах?.. я-то думал о Пр24…
но ведь и здесь надо иметь сразу и номер телефона и номер карты…
который, кстати, заполучить гораздо труднее номера телефона…
кстати и среди вопросов от банка наверняка есть стандартный секретный вопрос, который если при открытии карты нормально продумать (а не принимать стандартный — девичья фамилия матери) то риска почти не будет…
кароч — нефик ушами хлопать
+
0
Роман Химич
Роман Химич
6 мая 2013, 22:46
#
В Приват 24 ещё веселее. Версия для юридических лиц/ЧП позволяет подписать платёжку с помощью всё того же динамического пароля. На очень многих предприятиях доступ к приложению есть у нескольких лиц — гендиректора, главбуха, финдиректора. Плюс, понятно, ИТ-специалисты, а часто и рядовые бухгалтеры, клепающие платёжки для их последующей подписи первыми лицами. А вот эл.ключ обычно один. Ну два.

Теперь, по факту, списать деньги может каждый, кто знает пароль от приложения и номер директорского/главбухгалтерского телефона. А это уже довольно широкий круг лиц.

При этом отключать саму возможнсоть СМС-авторизации для П24 невозможно.

Удивлён тем, что номер карты тяжело получить. В каком смысле тяжело? Для кого? Номер карты кто только не знает.
+
0
gdadiz
gdadiz
6 мая 2013, 22:55
#
Например я номера своих-то карт не знаю (не помню)
и как их у меня могут угнать?..
переписать при расчете на кассе? — замечу и буду гневаться…
как еще, если держать их под контролем?..
подозреваю, что надо еще кроме номера знать и срок действия
+
0
gdadiz
gdadiz
6 мая 2013, 23:04
#
Да и сам по себе номер карты ничего не значит — его надо знать в привязке к номеру телефона…
например я знаю, что ваш логин на минфине = Роман_Химич, но ведь этого недостаточно, чтобы зайти на сайт под вашим именем?
+
0
Роман Химич
Роман Химич
6 мая 2013, 23:06
#
Если бы для регистрации на сайте требовался номер мобильного, то, поверьте, найти его не составило бы труда.
+
0
Роман Химич
Роман Химич
6 мая 2013, 23:05
#
Хех… Бухгалтерия предприятия, перечисляющего пенсию, зарплату и т.п. это раз. Куча народа в банке — два. Никто давно уже не переписывает номера, для этого есть «правильные» терминалы, неотличимые от обычных. Это три. Как минимум. И срок действия, кстати, есть у всех.

Если в Украине мошенники действуют так же как и зарубежом, есть целая индустрия сбора данных о картах. Которые потом продают, передавая дальше по цепочке уже непосредственно ворам.
+
0
gdadiz
gdadiz
6 мая 2013, 23:17
#
Повторюсь — номер карты сам по себе ничего не значит…
он важен только в связке с номером телефона (который еще надо клонировать)…
у меня к картам привязан НИКОМУ не известный телефон…
я тут незнакомым челам номера карты сообщал
как меня можно обокрасть?..
+
0
Роман Химич
Роман Химич
7 мая 2013, 5:59
#
«Повторюсь — номер карты сам по себе ничего не значит…»

да кто ж спорит…

«… он важен только в связке с номером телефона (который еще надо клонировать)…»

так я ж повторяю — это вполне возможно и теоретически, и практически. И уже неоднократно происходило в интересах мошенников.

«… у меня к картам привязан НИКОМУ не известный телефон…»

Но это же совершенно не то, что продвигает Приватбанк. Изначально (да и сейчас) у людей просят номер их мобильного, подразумевая под ним основной телефон, который для связи. О том, что необходимо использовать какой-то отдельный, глубоко секретный номер, люди не догадываются. В первую очередь потому, что им об этом ничего не говорит сам банк.
+
0
tyutyun
tyutyun
7 мая 2013, 6:15
#
Уважаемый, а почему атакуете именно Приват?
+
0
Роман Химич
Роман Химич
7 мая 2013, 6:39
#
Ок, пусть будет так:

Но это же совершенно не то, что продвигают банки. Изначально (да и сейчас) у людей просят номер их мобильного, подразумевая под ним основной телефон, который для связи. О том, что необходимо использовать какой-то отдельный, глубоко секретный номер, люди не догадываются. В первую очередь потому, что им об этом ничего не говорят сами банкиры.
+
+3
yarg
yarg
7 мая 2013, 8:03
#
Никто больше не требует при любой операции номер мобильного и не предлагает услуг типа экстренные деньги.
+
0
rem1
rem1
6 мая 2013, 10:54
#
Скорее всего был заказан дубликат карты на отделении.
потому проблема не будет решена с чипом.
скимминг очень редок
крадут в основном по быстрым деньгам или сотрудники напрямую через авторизацию или перехват клиент банк
+
0
Роман Химич
Роман Химич
6 мая 2013, 12:02
#
Спасибо
+
+3
il1
il1
7 мая 2013, 12:46
#
Скиминг очень даже не редок, просто информация по нему — это или уголовные дела, или имидж банка.
Никто не будет распространять.
В Одессе в апреле сняли скиминг с банкомата на Дерибасовской, милиция с собакой и камерой приезжала, подняли шумиху.
+
0
tyutyun
tyutyun
7 мая 2013, 13:01
#
А чём вы говорите? Люди сплошь и рядом передают карты в чужие руки, светят на фишинговых сайтах и т.д.
И так будет всегда ибо моск чаще выключен, чем включён.
+
0
il1
il1
7 мая 2013, 13:16
#
Это опыт пользования.
Кто-то этим людям разъяснял, как картой пользоваться?
Я думаю что 70% не знает элементарных правил безопасности, и их нигде не встречали. А кто-то даже если прочтет их- не поймет.
+
0
tyutyun
tyutyun
7 мая 2013, 13:17
#
Скиминг на фоне дремучести юзеров ничто
+
0
Роман Химич
Роман Химич
7 мая 2013, 13:17
#
А, ну да, ровно как у мобильных операторов. Вы будете смеяться, но, например, они отрицают наличие проблемы с контент-услугами, когда люди попадают на деньги. Или с роуминговыми счетами, когда биллинг оператора по ошибке (????) тарифицирует несуществующие звонки или сессии передачи данных. Мол, у нас нет достаточных оснований утверждать о наличии проблемы. Ну нет обращений и всё тут.

Хорошо хоть появился реестр судебных решений. Там достаточно много упоминаний судебных споров между абонентами и операторами. И далеко не всегда они решаются в пользу оператора.

В общем, тактика замалчивания проблемы и её масштабов — ключевой элемент пиара больших компаний.
+
0
il1
il1
7 мая 2013, 13:22
#
Именно, кто-то культурный и пытается решить, а кто-то ложит «саморассосется» на проблему.
Радует, что по картам есть Виза и МС, которые хоть как-то опыт проблем сводят во что-то общее, и выдают обновления протоколов по безопасности.
+
0
rem1
rem1
7 мая 2013, 16:48
#
Скиминг это глупо. откатать 10 карт на которых по 1 К гривен. что за чепуха

перехват ДБО вот это дело. сразу просмотреть остатки и их динамику и спилить 100 К зависших денег. или 8 млн как ребята из привата сделали.
+
0
Роман Химич
Роман Химич
14 мая 2013, 15:24
#
Насчёт редкости скимминга: bankomet.com.ua/2013/05/v-kieve-zaderzhali-kitayskogo-vzlomshtika-bankomatov/
+
0
tyutyun
tyutyun
15 мая 2013, 9:34
#
Надо потребовать от НБУ оглашать статистику обнаружения фактов скимминга и потерь от него
+
0
yarg
yarg
15 мая 2013, 9:36
#
А у НБУ она есть? Вы уверены что при обнаружении — все бегут докладывать в НБУ?
+
0
tyutyun
tyutyun
15 мая 2013, 9:37
#
Регулятор может обязать
+
+3
yarg
yarg
15 мая 2013, 9:41
#
Обязать можно только в том случае, если можно проверить выполнение. Думаю что он и сейчас обязал — а толку?
+
0
DollarLove
DollarLove
6 мая 2013, 12:18
#
Карты для аленей, эталон денег — доллар!
+
0
yarg
yarg
6 мая 2013, 12:22
#
Кааак ???? необеспеченная зеленая бумажка, которую печатает частная лавочка ФРС ??? оужасужас!!!
+
0
DollarLove
DollarLove
6 мая 2013, 12:26
#
А по вашему какая валюта обеспечена?!)… Все валюты не обеспечены, и золото ничем не обеспечено, обеспечно — значит что за них можна купить товар, продукты, технику, недвижимость.
А кредитные карты это лохотрон для аленей -, это нолики на мониторе, и не факт что они есть.)
+
0
yarg
yarg
6 мая 2013, 12:38
#
Не факт что есть? сегодня в магазине товар за карточку дали.
А на предложение рассчитаться долларами — посоветовали бежать за угол к Моне Осетинскому, он, мол, на деньги поменяет — тогда и приходи…
И что же большие деньги — доллары, или карточка? :)
+
+8
DollarLove
DollarLove
6 мая 2013, 12:43
#
Но ведь на карточке можна держать разные валюты. А вы знаете что цены на продукты в магазине существенно выросли, о чем это свидетельствует:) …
В любом случае: на карте держать деньги небезопастно Это все равно что хранить все яйца в одной корзине.
+
0
yarg
yarg
6 мая 2013, 23:27
#
Вообще не выросли. что свидетельствует о нерушимости гривны.
+
+3
il1
il1
7 мая 2013, 12:37
#
Толковая статья.
Возможно я повторюсь за кем-то.
В данны момент все еще работает старый добрый метод копирования информации:

1) прокатка карты через скимер на банкомате, или электронном замке входа в отделение банка.
2) ПИН-код — подсматривается(это легче, но дольше) или пинкод подсматривается техническим путем видеокамера.

Если первые устройства достаточно стандартизированы :), то вторые уствройства используются в разнообразнейших вариациях. Например, в виде прикрепленного лотка под рекламные листовки рядом с банкоматом. ну и стандартные накладки вместо лампы. Есть очень простой способ проверки пина «ливанская петля».

Банк может полностью самостоятельно проверить была ли операция с картой или с подделкой, если конечно же камеры установлены. КАк найти подход к борьюе с банком: первое получить максимум технической информации: когда (до секунды), где и кем была совершена операция(ии). С использованием пина или без. А дальше будет зависеть от порядочности банка или компенсация, или заявление в милицию и иск в суд.

Проколов со стороны банка по безопасности почти нет, так как все работают с протокалами ВИЗА и МС, соответственно банк также страдает от мошеннических действий. Здесь надо упираться на то, что банкомат это оборудование банка(если повезет и тот же банк что и эмитент) и банк должен заботиться о недопущении установки дополнительного оборудования на банкомат.
Лично видел несколько скимеров, их от заводского оборудования может отличить только человек, который хорошо помнит банкомат по внешнему виду.
+
0
Роман Химич
Роман Химич
7 мая 2013, 13:13
#
Спасибо за поддержку.

С ПИН-кодами, подозреваю, ситуация вообще швах. Камер слежения всё больше, их разрешающая способность — всё выше. Уже не раз фотокорреспонденты снимали с балкона зала ВР содержимое экрана депутатских мобилок. Понятно, что видеокамеры имеют меньшее разрешение, но они ведь и находятся зачастую гораздо ближе. Мы ж привыкли, что если нет никого за спиной — вроде и не угрозы. А она никуда не делась — висит метрах в пяти где нибудь сбоку.

Снимали, судя по всему, в банкомате того же Аваля.

Как может выглядеть правильная позиция в случае судебного спора с банком? Что ничего не знаю — деньги спёрли со счёта, за который вы отвечаете и без моей вины или докажите обратное?
+
0
Harkonen
Harkonen
7 мая 2013, 22:27
#
Простите, но у меня к Вам курьезный вопрос: «А как Вы докажете, что деньги украли?». Может клиент их самм снял?
Я думаю СБ банка будет проводить расследование. Если окажется, что не вы одни такие вернут, есть банковская страховка, но и страховой нужно тоже доказать, что был факт мошенничества.
+
0
Роман Химич
Роман Химич
7 мая 2013, 23:08
#
О, это был бы сильный, острый ход со стороны банка :-) Но у нас все ходы записаны! В таком случае пострадавшая обратится к своему оператору связи с просьбой предоставить сведения о месте регистрации её телефона в момент снятия денег.
+
0
yarg
yarg
7 мая 2013, 23:15
#
А справку о том, что телефон был именно у нее в руках, а не у знакомого? :)
Вот когда всем чипы под кожу вошьют — попроще с доказательствами будет. а пока — …
+
0
Роман Химич
Роман Химич
7 мая 2013, 23:20
#
В таком случае и банку нужно как-то обосновывать свои даже не подозрения, а обвинения. Впрочем, конечно, это всё чистая, как слезе ребёнка, теория.
+
0
Harkonen
Harkonen
7 мая 2013, 23:36
#
Дело не в том, что кто-то что-то будет обосновывать. Вопрос как поставить дело, если дать заявку на так называемую «спорную транзакцию», то банк будет разбираться. Если он найдет истину — Вам вернут деньги, если в принципе будет непонятно то ли крали, то ли не крали — тогда вам врядли вернут. Если Вы подаете в суд на банк — нужно доказать свои обвинения, у нас презумкция невиновности.
+
0
Harkonen
Harkonen
7 мая 2013, 23:54
#
Банк сам заинтересован найти бандюков — скандалы не нужны никому, но если не проводить расследование, и просто всем возмещать, то завтра по Украины со своих же карточек будет на другом конце города, села… в маске снимать деньги и сразу в банк с криком: Обокрали!!! Верните!!!
Народ у нас такой.
+
+3
il1
il1
7 мая 2013, 13:30
#
Вот про позицию не скажу, не видел еще практики по таким судам.

как контраргумент банка: это не мы а мошенники, вот заявление в милицию и справка о возбуждении уголовного дела. А суды у нас самые честные.

Наверное надо иметь такие же доказательства как и у банка.
Счет банковский, карточка одна, она никому не передавалась и не рассекречивался номер персонального кода, в интернете не использовалась или использовалась, только на проверенных сайтах ( АНТИВИРУС СТОИТ! (можно даже аваст) и приложить протоколы проверок). И требовать с суда возмещения, так как у банка задача технически обеспечить безопасность операций.
Основная позиция: Пользователь правила не нарушал. Правила устанавливает банк. Карту предоставляет банк, оборудование предоставляет банк, идентификацию и операции проводит банк.
+
0
rem1
rem1
7 мая 2013, 16:46
#
Роман а чем же закончилось с вашим потерпевшим?
Есть какие то идеи у СБ Аваля? если было устройство то следы легко обнаружить, или заказ дублирующей карты по р/с потерпевшего.
Странно конечно вся история. 8 раз по 1 к, это нормальный лимит на единоразовое по этому пакету у Аваля? и как суточный лимит 8 к по вип карте? и блокировки нет а должна быть и на выходных…

как развиваются события?
+
0
Роман Химич
Роман Химич
7 мая 2013, 23:10
#
Заявление в Авале написали. В РОВД — написали. Все взяли тайм-аут на «выяснение обстоятельств»

8 тыщ это суточный лимит, который предлагают в самом банке. Злоумышленники, видимо, не хотели рисковать, чтобы не попасть под блокировку, и снимали небольшими частями.

Пока события никак не развиваются :-(
Чтобы оставить комментарий, нужно войти или зарегистрироваться