Создание темы
1
Немного об ИБ: Пластиковые карточки
17 Март 2016
Давно была идея написать ряд заметок-статей на тему информационной безопасности в мой блог. Так уж вышло, что ИБ я начал увлекаться еще в 1999-2000 годах, с покупки первых номеров журнала Хакер. С тех пор я получил «жутко полезный» диплом конструктора двигателей внутреннего сгорания, но работать по специальности не стал. Сначала работал экикейщиком и программистом, а потом хобби в виде интереса к хакерству и ИБ стало и работой. Вот уже больше 6 лет прошло с того момента как я свернул профессионально на этот путь и хотелось бы поделиться заметками на тему персональной информационной безопасности в простом и понятном ключе.
К сожалению, большинство из нас мало уделяют персональной информационной безопасности и мой цикл (я надеюсь это будет полноценный цикл, а не пара записей и «надоело») я хочу сделать именно практичным, то есть таким, инфу из которого будет просто использовать любому читателю в своей жизни.
Вообще моя работа в ИБ довольно рутинная и связана не с весьма яркими на интересные события фродом или взломами (а там истории бывают весьма веселые), а больше с криптографией (СКЗИ, УЦ и тд), но так как это не только работа, но и хобби, то стараюсь впитывать инфу по всем аспектам ИБ.
[Пластиковые карточки]
Так уж вышло, что в одной группе вконтакта (военного городка, в котором я долгое время прожил) очень часто появляются записи на тему «нашел карту на имярек». Подавляющее большинство этих записей содержат фотографию лицевой стороны карты без замазывания сведений о дате выпуска, номера карты и тд. Думаю многие из вас также наивно полагают, что без CVC2/CVV2 кода с обратной стороны карты допустимо светить ее в этих ваших интернетах.
Это не так. Есть подробная информация о том какие бывают карточки и какая информация на них наносится на хабрахабре: https://habrahabr.ru/post/190258/
Если кратко – на лицевой стороне находится следующая критически важная информация:
1. Имя держателя (Cardholder)
2. Срок действия
3. Номер карты
4. Иногда – штрихкод.
На оборотной стороне находится:
1. Магнитная полоса
2. CVV2/CVC2 код – 3 цифры последних на поле с образцом подписи, это просто разное название у Visa/Mastercard одного и того же кода. Требуется для оплаты в интернете.
3. Образец росписи. Лично у меня ВСЕГДА это поле пустое, либо стирается подпись через несколько месяцев использования карты. Во всяких АШАНах висят огромные предупреждения о том, что поле образца подписи должно быть заполнено обязательно, но никогда проблем не было, хотя оплата там производится путем расписывания на терминале специальном (то есть по идее кассир должен сравнить что я написал на электронном экране и какая подпись на карте).
Вся эта информация КРИТИЧНА. Просто запомните это.
Если вы нашли карточку кого-либо и хотите в соц.сетях сообщить об этом – напишите в крайнем случае что-то вроде «Найдена карточка Сбербанк на имя Васи Пупкина».
Если вы тот самый Вася, то СРАЗУ же звоните в коллцентр банка и блокируйте карточку. Даже если вы безразмерно доверяете доброжелателю, решившему вернуть вашу карту – ее могли до этого уже сфоткать с двух сторон другие люди и увести через какой-нить киви ваши бабки к черту на куличики.
Потерянная карта => сразу же блокировка. Почему же доброжелателю стоит заморачиваться и попытаться сообщить владельцу о найденной карте – все просто, возможно Вася не заметил потери или думает, что оставил карточку на работе/у бабушки в гостях.
Есть некоторые способы снять сумму с карты, имея фотку лицевой стороны, в таком случае не понадобится ни магнитная полоса, ни CVV2/CVC2 код. Причем это официальные способы. Требование указать при совершении операций данный код не обязательно для продавца, некоторым хватит номера карты, имя владельца и срок действия.
Но одно дело потерять карту и знать об этом (то есть заблочить сразу), а другое «потерять» информацию о карте не зная об этом или не догадываясь о последствиях.
Вообще пластиковая карта это крайне ненадежный инструмент изначально, поэтому банки и платежные системы стараются костылями допилить безопасность поверх изначально небезопасной системы.
Начнем с Интернета. Чтобы оплатить покупку в инете вам понадобится указать:
1. Номер карты
2. Имя владельца
3. Срок действия
4. CVV2/CVC2 код (но как я уже сказал – это не всегда обязательно).
Согласно требований платежных систем CVV2/CVC2 код они не должны хранить у себя и должны запрашивать на каждую операцию. Но iTunes/GooglePlay и тд как-то же работают? Кроме того, запрос CVV2/CVC2 кода это лишь ПРАВО, а не ОБЯЗАННОСТЬ продавца. Именно по этой причине злоумышленники завладев сведениями с лицевой стороны смогут найти таких продавцов, которые не заморачиваются на счет данного кода. Единственное что сможет их остановить – запрет банком-эмитентом (издателем карты) на определенные операции без указания данного кода для данного типа карты.
Кстати, число 2 в конце данного номера не просто так, на самом деле это второй CVV/CVC код, первый записан на магнитную полоску (магнитная дорожка).
Ежедневно с карточек воруется огромное число бабок. Делают это как через фишинговые сайты (сайты, которые выдают себя за доверенные, но об этом в других статьях уже будет подробнее), так и через взлом интернет-магазинов, а то и банального фотографирования ваших карточек в процессе оплаты в реальной жизни. Ну и троянчиков никто не отменял.
Как мне рассказывал мой коллега, на прошлой работе в другом банке начальник его при получении новой карты сразу же стирал нафиг CVV2/CVC2 код так, чтобы его было невозможно прочитать. Ходят байки о том, что это запрещено платежными системами, но все это фигня. На вопрос коллеги «А как же платежи в Интернете» тот товарищ сделал удивленное выражение лица и сказал «В интернете? Картой? Боже упаси».
С точки зрения безопасности – лучше действительно не оплачивать никогда ничего в Интернете, да и вообще не иметь карты и снимать з/п в кассе в виде налички. Но пластиковые карты появились не просто так – это достаточно удобный способ оплачивать покупки, который работает по всему миру (ну почти, хотя я видел у себя на районе хлебный ларек метр на полтора с табличкой «мы принимаем к оплате карты»).
Чтобы в этих ваших интернетах воровали меньше денег, чем следует – были придуманы разные системы защиты. Наверняка вы сталкивались с такой штукой как 3-D Secure. Для простых смертных – код подтверждения по SMS (либо по USSD сообщению) на телефон, который нужно ввести на сайте банка, нужно больше инфы – гуглите. Краткая суть понятна – помимо ввода реквизитов карты нужно еще указать секретный код, который ваш банк вам пришлет на телефон. Но некоторые раздолбайские банки имеют 1 код на все операции, что снижает уровень безопасности. 3-D это значит трехсторонняя (трехдоменная), согласно этой процедуры оплата разбивается на: магаз-банк магаза-твой банк. То есть ты общаешься не с левым магазом, а со своим банком и левый магаз не знает полной инфы для оплаты с твоей карты. Но проблема в том, что магаз может не поддерживать данную технологию.
Но даже такие дополнительные средства не панацея. Ведь ваш телефон могут:
1. Взломать трояном, особенно если телефон рутованный.
2. Номер вашего телефона могут тупо клонировать и получать SMS на него.
Так что расчехляйте обратно свою Nokia 3310 – она подойдет как невзламываемый аппарат для смсок с кодами для банковских операций. Хотя нет, зачехлите и ее обратно, если ваша паранойя выше среднего по больнице.
Недавно было громкое дело, когда одну известную женщину круто так трахнул оператор связи, выдавая направо и налево ПО ВСЕЙ СТРАНЕ дубликаты ее карты левым людям. У меня у покойной бабушки был телефон, зареганный на паспорт моего бати. Так вот, мудаки из МТС еубт ему уже год мозг с долгом в 3к рублей, который он типа «заработал» звоня с телефона в еб@нный Узбекистан. Естественно разгадка простая. Какие-то доброжелатели пошли и выпустили дубликат SIM-карты на ПРОСРОЧЕННЫЙ паспорт моего бати (он в 45 лет поменял его, а симка бабушки была на старый) и продали каким-то узбекам. Очевидно, что просто какой-то мальчик в офисе МТС понарегал в том числе на моего батю всяких левых симок, используя инфу из их профилей в МТС. Батя конечно шлет их нахуй, но он еще хорошо отделался. Подумаешь мудаки нечистоплодные из МТС (офис МТС с Мытищах обслуживают в массе своей такие же узбеки) ушли на телефоне в минус, а могли бы выпустить дубликат на его телефон для SMS-ок из банка.
Банки тоже не лыком шиты и стараются бороться с дубликатами симок, по этой причине если вы смените симку (как я менял при покупке айфона на микро-симку), то банк может обнаружить это (ему по идее оператор сообщит) и предложит вам отправиться в офис банка и подтвердить это. Ну либо через звонок в службу поддержки и указание «секретного слова».
Но проблема в том, что ДАЛЕКО НЕ ВСЕ банки так умеют, а еще хуже – все банки делают это в той или иной степени криво. То есть некоторые живут долго и счастливо с новой симкой, а потом ВНЕЗАПНО банк прозревает и начинает сообщать, что дескать вы ж симку сменили, а нам не рассказали – ай ай ай!!. Но даже так лучше, чем ничего.
Недавно за долгое время работы с пластиковыми картами в инете ЧЕРЕЗ ФИРМЕННОЕ ЗАКРЫТОЕ приложение моего банка я перевел 500 рублей маме на телефон. То есть приложения все еще нет в паблике, доступ был только сотрудникам + по инвайтам. Операция не прошла, я повторил платеж, а тут мне позвонила девушка и поинтересовалась действительно ли я хочу перевести 500 рублей на ранее неизвестный банку номер (на который я никогда не переводил ранее).
Так вот, еще возможно вам позвонит оператор и уточнит действительно ли вы хотите оплатить товар/перевести деньги. Это как вы понимаете редкий случай (живого человека найти это вам не смс-ки рассылать), но случается. Наверняка вы не знаете, но банки, как и любые серьезные колл-центры используют специальные умные системы, которые анализируют ваш голос. По этой причине когда вы звоните заблочить карту или подтвердить смену карты – вас просят назвать ФИО полностью. Это образец вашего голоса, система анализирует похож ли голос на ваш и вам в карму на пульте управления оператора дается плюсик. Система не настолько тупая, чтобы просто сравнивать ваш голос, но умеет и несколько полезных для любителей не тратить время на бесконечные минуты ожиданий и на «я уже объяснял вашим двум предыдущим коллегам о своей проблеме, какого хрена вы меня пинаете туда-сюда». Это анализ вашей агрессивности. Лайф хак – если у вас пожарит так, что жизнь не мила и вы звоните в какой-нить Билайн (я тестировал – работает на Билайне точно), то говорите в более-менее агрессивном тоне (нет, не стоит начинать разговор «КАКОГО БДЯЛЬ ХЯУ ВЫ СИПЗДИЛИ МАИ БАБОСИКИ», но выразить недовольство и сразу же попросить переключить вас на начальство стоит, если вам не хочется как в моем случае ждать «штатных 5 рабочих дней». Конечно, вас не переключат на директора Билайна, но свой путь вы начнете не с девочки-припевочки, а со специалиста, у которого знаний поболее. Не будьте мудаками, если вам реально помогли – говорите в итоге вежливо и благодарите, это тоже идет в отчет успешности работы оператора и вы ему возможно поможете подняться по карьерной лестнице (зачеркнуто) сохранить свое рабочее место.
Плохо, что у моего интернет-провайдера такой хрени (зачеркнуто) полезной фишки нет и после звонка ждешь как дебил по 20 (ДВАДЦАТЬ) минут.
И еще, есть такая штука как PIN код, он передается вам в запечатанном непрозрачном конверте и НИКТО кроме вас его не знает (товарища майора из КГБ не берем в расчет, также как и процессинг банка). Поэтому не сообщайте его при звонках в банк. Там вас спросят обычно ФИО и секретное слово, которое вы должны были придумать при написании заявления на карту.
Вернемся на этой ноте в реальную жизнь, ведь интернет-зависимость это плохо.
Для начала теория.
Карты бывают нескольких видов, основные из них:
1. Карта с магнитной полоской – слабая защищенность от копирования. Защиты считай толком нет.
2. Карта с чипом и магнитной полоской – чип нельзя скопировать, но для поддержки древней технологии магнитную полоску оставили и это брешь в безопасности
3. Карта с чипом и NFC – всякие PayPass и тд, для бесконтактной оплаты, можно стащить ваши деньги (провести операцию с использовании бесконтактного платежа) прижавшись к вашему кошельку в тесном метро, например. Такие дела. Плюс все та же магнитная полоска.
Скиммер – устройство (весьма мобильное) для копирования магнитной полоски. Стащил скиммером данные с магнитной полоски и PIN код , заказал выпуск дубликата карты (aka «картон») на черном рынке и отправил за % бедного студента (aka «дроп») снять деньги в каком-нить банкомате. Если дропа поймают, то до хацкеров редко добираются.
Скиммер бывает совершенно разный, некоторые модели толщиной в миллиметры.
Что вы можете сделать с картой и как у вас при этом стащат деньги:
1. Снимите деньги в банкомате.
Банкоматы это самый треш, хотя вроде бы должен быть самым безопасным. Да, лично я бездушной коробке с монитором доверяю больше, чем Зульфие на кассе Пятерочки. Но для воровства бабок через банкомат мошенникам не нужно полагаться на продажного кассира, например. А в таком деле чем меньше живых человеков в курсе – тем лучше.
Что вас поджидает в банкомате:
a) Прям на входе в круглосуточный банкомат стоит дверь, которую нужно открыть типа картой банка. Кулхацкеры (зачеркнуто) мошенники добрались и до дверей, ставят там скиммер на эту дверь, а внутри вешают микро-камеру, направленную на экран клавиатуры и палят ваш PIN.
b) Поверх клавиатуры и щели для приема карты ставят свои фальшивые клавиатуры и щели со скиммером. Делают все под стать оригинальному дизайну, хрен определишь. Учитывая, что у меня внутри банка для работников 3 СОВЕРШЕННО разных банкомата стоят – запомнить все виды и все размеры всех элементов нереально, но банки рекомендуют внимательно изучать банкоматы перед снятием бабла.
c) ВНУТРЬ существующей щели для карты ставят свое устройство. Да, такое тоже уже умеют делать. PIN воруют снимая вас на скрытую камеру, либо все также фальшивой накладной клавиатурой для вводы PIN.
d) Тупо ставят левый банкомат Банка АО «Ромашки-Васильки», который ворует все ваши данные, а вместо операции выдает «ошибка, п..здуйте в другой банкомат». И только потом денежки улетают «куда следует».
Как защититься:
- Не снимайте деньги в незнакомом месте, в том числе во всяких малолюдных местах, лучше откройте приложуху банка и найдите там ближайший банкомат/офис.
- Изучите банкомат на предмет непонятных конструкций (нестандартные формы, выпирающие части и тд), но это не панацея в современно мире =(
- Закрывайте рукой клавиатуру для ввода PIN-кода, есть банкоматы, в которых клавиатуру закрывает специальная «крыша» с щелями.
- Двери к банкоматам открывайте любой картой с магнитной полоской (например, от фитнессцентра), в большинстве случаев нет нужды сувать карту вашего банка.
- Если карта застряла – сразу звоните в банк, чтобы ее вернули, а еще лучше заблочьте. Злоумышленники могут специально сломать картоприемник, чтобы когда вы свалите не дождавшись карты – забрать ее, а PIN стащив той же видеокамерой или подсмотрев «из-за плеча». На случай любопытных глаз на банкомате есть зеркала, которые показывают не палит ли вас кто-то.
2. Расплатитесь в магазине.
Добрый кассир может соскимить вашу карту, уволиться, вернуться в свой солнечный Таджикистан, а данные продать на черном рынке. Такие дела.
Недавно начали поверх платежного терминала ставить корпуса собственного производства. На всю операцию 3 секунды, глядите
Имейте ввиду, что если на карте есть чип, то вашу карту должны сунуть в проем для чипованных карт (еще лучше сделать это самому), а не провести магнитной дорожкой. Если провели магнитной дорожкой, а был чип – в случае чего виноватым будет магазин. От тупой продавщицы никто не застрахован, если ВНЕЗАПНО карту начали сувать не туда – сообщите об этом продавщице/сообщите администратору/покиньте магазин/смените страну проживания/etc. Кстати, на чипованную карту почти всегда не просят PIN-код. Если вдруг запросили – шлите нафиг. Ну либо меняйте банк. ТКС карта Яндекс.Денег у меня (под платежи в малознакомых местах) никогда не просила PIN, более того, я даже не помню его.
Еще я начал встречать такую тему. Продавщица берет твою карту (что уже не айс, не давайте ей карту), а вместо PIN просит (либо смотрит сама) последние 4 цифры номера карты. Теперь чем это грозит вам и магазину. Если вы не вбивали PIN, не ставили роспись и тд, а продавец этого не потребовал, то после покупки нового майбаха можете спокойно делать возврат незаконно списанных средств и пусть магазин вместе с продавцом ипется потом с банком. Конечно, не рекомендую этим заниматься, но так доходчивее показывается ответственность сторон при оплате картой.
Для чипованной карты все посекьюрнее, поэтому лучше перейдите на чипованную.
3. Расплатитесь в кафе.
Если в какой-нить условной Шоколаднице вас просят дать карту, после чего официант с ней уходит и возвращает с чеком – будьте уверены, он ходил и сувал вашу карточку в скиммер. Либо пусть несет терминал к вам, либо сами ножками сходите к кассе. Береженного бог бережет.
Как же не потерять бабосики с карточки?
Правильный ответ – не пользоваться пластиковыми карточками. Реальный – соблюдать «гигиену» при пользовании карты и «предохраняться», а потерять на карте не больше, чем вы «планировали» при учете рисков.
Каждый из вас может завести несколько карточек на 1 счет (себе и жене), также как и несколько счетов на 1 карту. Кроме этого вы можете завести просто несколько счетов (например, основной для хранения денег и платежный – привязанный к карте). Так как каждый из вас таскает в кармане мобилу, то с помощью мобильного приложения банка (а если у вашего банка нет мобильного приложения – подумайте стоит ли доверять таким раздолбаями) вы можете легко управлять этими счетами.
То есть свои бабки вы храните на основном счете, а когда собираетесь в условную Пятерочку – положили через мобилу на карту 2000 рублей, сходили и потратили. Хотите заплатить в инете – перевели на счет карты нужную сумму и оплатили. То есть вы никогда не храните на счету карты сумму, которую вам жалко было бы потерять. Деньги в рамках вашего счета переводятся мгновенно (в пределах одного банка, естественно).
Для оплаты же в инете параноикам я рекомендую просто пользоваться либо яндекс.деньгами какими-нить (с двухфакторной авторизацией), либо выпустить в своем банке или каком-нить Киви виртуальную карту с четким лимитом. Обычно это не составляет труда и ничего не стоит.
Мой коллега, который в ИБ больше 20 лет поступает куда веселее – в день з/п снимает к карты все бабки и спит спокойно, но новому поколению Интернета это кажется уже архаизмом. Мы хотим больше удобства, хотим больше возможностей и пластиковые карты пока самый популярный способ заполнить эту нишу. Конечно всякие эпплы и тд идут дальше – прикручивают оплату самим мобильником, наверное будущее все-таки за смартфонами. Людей со смартфонами больше, чем с пластиковыми карточками, этот рынок будет востребован.
Вы же согласились на тотальную слежку АНБ за вашими покупками по карте, вместо теплого лампового и почти неотслеживаемого кэша? Вам не составит труда свести все что нужно о вас знать в одно мобильное устройство, товарищ майор будет доволен. Но об этом в других статьях.
К сожалению, большинство из нас мало уделяют персональной информационной безопасности и мой цикл (я надеюсь это будет полноценный цикл, а не пара записей и «надоело») я хочу сделать именно практичным, то есть таким, инфу из которого будет просто использовать любому читателю в своей жизни.
Вообще моя работа в ИБ довольно рутинная и связана не с весьма яркими на интересные события фродом или взломами (а там истории бывают весьма веселые), а больше с криптографией (СКЗИ, УЦ и тд), но так как это не только работа, но и хобби, то стараюсь впитывать инфу по всем аспектам ИБ.
[Пластиковые карточки]
Так уж вышло, что в одной группе вконтакта (военного городка, в котором я долгое время прожил) очень часто появляются записи на тему «нашел карту на имярек». Подавляющее большинство этих записей содержат фотографию лицевой стороны карты без замазывания сведений о дате выпуска, номера карты и тд. Думаю многие из вас также наивно полагают, что без CVC2/CVV2 кода с обратной стороны карты допустимо светить ее в этих ваших интернетах.
Это не так. Есть подробная информация о том какие бывают карточки и какая информация на них наносится на хабрахабре: https://habrahabr.ru/post/190258/
Если кратко – на лицевой стороне находится следующая критически важная информация:
1. Имя держателя (Cardholder)
2. Срок действия
3. Номер карты
4. Иногда – штрихкод.
На оборотной стороне находится:
1. Магнитная полоса
2. CVV2/CVC2 код – 3 цифры последних на поле с образцом подписи, это просто разное название у Visa/Mastercard одного и того же кода. Требуется для оплаты в интернете.
3. Образец росписи. Лично у меня ВСЕГДА это поле пустое, либо стирается подпись через несколько месяцев использования карты. Во всяких АШАНах висят огромные предупреждения о том, что поле образца подписи должно быть заполнено обязательно, но никогда проблем не было, хотя оплата там производится путем расписывания на терминале специальном (то есть по идее кассир должен сравнить что я написал на электронном экране и какая подпись на карте).
Вся эта информация КРИТИЧНА. Просто запомните это.
Если вы нашли карточку кого-либо и хотите в соц.сетях сообщить об этом – напишите в крайнем случае что-то вроде «Найдена карточка Сбербанк на имя Васи Пупкина».
Если вы тот самый Вася, то СРАЗУ же звоните в коллцентр банка и блокируйте карточку. Даже если вы безразмерно доверяете доброжелателю, решившему вернуть вашу карту – ее могли до этого уже сфоткать с двух сторон другие люди и увести через какой-нить киви ваши бабки к черту на куличики.
Потерянная карта => сразу же блокировка. Почему же доброжелателю стоит заморачиваться и попытаться сообщить владельцу о найденной карте – все просто, возможно Вася не заметил потери или думает, что оставил карточку на работе/у бабушки в гостях.
Есть некоторые способы снять сумму с карты, имея фотку лицевой стороны, в таком случае не понадобится ни магнитная полоса, ни CVV2/CVC2 код. Причем это официальные способы. Требование указать при совершении операций данный код не обязательно для продавца, некоторым хватит номера карты, имя владельца и срок действия.
Но одно дело потерять карту и знать об этом (то есть заблочить сразу), а другое «потерять» информацию о карте не зная об этом или не догадываясь о последствиях.
Вообще пластиковая карта это крайне ненадежный инструмент изначально, поэтому банки и платежные системы стараются костылями допилить безопасность поверх изначально небезопасной системы.
Начнем с Интернета. Чтобы оплатить покупку в инете вам понадобится указать:
1. Номер карты
2. Имя владельца
3. Срок действия
4. CVV2/CVC2 код (но как я уже сказал – это не всегда обязательно).
Согласно требований платежных систем CVV2/CVC2 код они не должны хранить у себя и должны запрашивать на каждую операцию. Но iTunes/GooglePlay и тд как-то же работают? Кроме того, запрос CVV2/CVC2 кода это лишь ПРАВО, а не ОБЯЗАННОСТЬ продавца. Именно по этой причине злоумышленники завладев сведениями с лицевой стороны смогут найти таких продавцов, которые не заморачиваются на счет данного кода. Единственное что сможет их остановить – запрет банком-эмитентом (издателем карты) на определенные операции без указания данного кода для данного типа карты.
Кстати, число 2 в конце данного номера не просто так, на самом деле это второй CVV/CVC код, первый записан на магнитную полоску (магнитная дорожка).
Ежедневно с карточек воруется огромное число бабок. Делают это как через фишинговые сайты (сайты, которые выдают себя за доверенные, но об этом в других статьях уже будет подробнее), так и через взлом интернет-магазинов, а то и банального фотографирования ваших карточек в процессе оплаты в реальной жизни. Ну и троянчиков никто не отменял.
Как мне рассказывал мой коллега, на прошлой работе в другом банке начальник его при получении новой карты сразу же стирал нафиг CVV2/CVC2 код так, чтобы его было невозможно прочитать. Ходят байки о том, что это запрещено платежными системами, но все это фигня. На вопрос коллеги «А как же платежи в Интернете» тот товарищ сделал удивленное выражение лица и сказал «В интернете? Картой? Боже упаси».
С точки зрения безопасности – лучше действительно не оплачивать никогда ничего в Интернете, да и вообще не иметь карты и снимать з/п в кассе в виде налички. Но пластиковые карты появились не просто так – это достаточно удобный способ оплачивать покупки, который работает по всему миру (ну почти, хотя я видел у себя на районе хлебный ларек метр на полтора с табличкой «мы принимаем к оплате карты»).
Чтобы в этих ваших интернетах воровали меньше денег, чем следует – были придуманы разные системы защиты. Наверняка вы сталкивались с такой штукой как 3-D Secure. Для простых смертных – код подтверждения по SMS (либо по USSD сообщению) на телефон, который нужно ввести на сайте банка, нужно больше инфы – гуглите. Краткая суть понятна – помимо ввода реквизитов карты нужно еще указать секретный код, который ваш банк вам пришлет на телефон. Но некоторые раздолбайские банки имеют 1 код на все операции, что снижает уровень безопасности. 3-D это значит трехсторонняя (трехдоменная), согласно этой процедуры оплата разбивается на: магаз-банк магаза-твой банк. То есть ты общаешься не с левым магазом, а со своим банком и левый магаз не знает полной инфы для оплаты с твоей карты. Но проблема в том, что магаз может не поддерживать данную технологию.
Но даже такие дополнительные средства не панацея. Ведь ваш телефон могут:
1. Взломать трояном, особенно если телефон рутованный.
2. Номер вашего телефона могут тупо клонировать и получать SMS на него.
Так что расчехляйте обратно свою Nokia 3310 – она подойдет как невзламываемый аппарат для смсок с кодами для банковских операций. Хотя нет, зачехлите и ее обратно, если ваша паранойя выше среднего по больнице.
Недавно было громкое дело, когда одну известную женщину круто так трахнул оператор связи, выдавая направо и налево ПО ВСЕЙ СТРАНЕ дубликаты ее карты левым людям. У меня у покойной бабушки был телефон, зареганный на паспорт моего бати. Так вот, мудаки из МТС еубт ему уже год мозг с долгом в 3к рублей, который он типа «заработал» звоня с телефона в еб@нный Узбекистан. Естественно разгадка простая. Какие-то доброжелатели пошли и выпустили дубликат SIM-карты на ПРОСРОЧЕННЫЙ паспорт моего бати (он в 45 лет поменял его, а симка бабушки была на старый) и продали каким-то узбекам. Очевидно, что просто какой-то мальчик в офисе МТС понарегал в том числе на моего батю всяких левых симок, используя инфу из их профилей в МТС. Батя конечно шлет их нахуй, но он еще хорошо отделался. Подумаешь мудаки нечистоплодные из МТС (офис МТС с Мытищах обслуживают в массе своей такие же узбеки) ушли на телефоне в минус, а могли бы выпустить дубликат на его телефон для SMS-ок из банка.
Банки тоже не лыком шиты и стараются бороться с дубликатами симок, по этой причине если вы смените симку (как я менял при покупке айфона на микро-симку), то банк может обнаружить это (ему по идее оператор сообщит) и предложит вам отправиться в офис банка и подтвердить это. Ну либо через звонок в службу поддержки и указание «секретного слова».
Но проблема в том, что ДАЛЕКО НЕ ВСЕ банки так умеют, а еще хуже – все банки делают это в той или иной степени криво. То есть некоторые живут долго и счастливо с новой симкой, а потом ВНЕЗАПНО банк прозревает и начинает сообщать, что дескать вы ж симку сменили, а нам не рассказали – ай ай ай!!. Но даже так лучше, чем ничего.
Недавно за долгое время работы с пластиковыми картами в инете ЧЕРЕЗ ФИРМЕННОЕ ЗАКРЫТОЕ приложение моего банка я перевел 500 рублей маме на телефон. То есть приложения все еще нет в паблике, доступ был только сотрудникам + по инвайтам. Операция не прошла, я повторил платеж, а тут мне позвонила девушка и поинтересовалась действительно ли я хочу перевести 500 рублей на ранее неизвестный банку номер (на который я никогда не переводил ранее).
Так вот, еще возможно вам позвонит оператор и уточнит действительно ли вы хотите оплатить товар/перевести деньги. Это как вы понимаете редкий случай (живого человека найти это вам не смс-ки рассылать), но случается. Наверняка вы не знаете, но банки, как и любые серьезные колл-центры используют специальные умные системы, которые анализируют ваш голос. По этой причине когда вы звоните заблочить карту или подтвердить смену карты – вас просят назвать ФИО полностью. Это образец вашего голоса, система анализирует похож ли голос на ваш и вам в карму на пульте управления оператора дается плюсик. Система не настолько тупая, чтобы просто сравнивать ваш голос, но умеет и несколько полезных для любителей не тратить время на бесконечные минуты ожиданий и на «я уже объяснял вашим двум предыдущим коллегам о своей проблеме, какого хрена вы меня пинаете туда-сюда». Это анализ вашей агрессивности. Лайф хак – если у вас пожарит так, что жизнь не мила и вы звоните в какой-нить Билайн (я тестировал – работает на Билайне точно), то говорите в более-менее агрессивном тоне (нет, не стоит начинать разговор «КАКОГО БДЯЛЬ ХЯУ ВЫ СИПЗДИЛИ МАИ БАБОСИКИ», но выразить недовольство и сразу же попросить переключить вас на начальство стоит, если вам не хочется как в моем случае ждать «штатных 5 рабочих дней». Конечно, вас не переключат на директора Билайна, но свой путь вы начнете не с девочки-припевочки, а со специалиста, у которого знаний поболее. Не будьте мудаками, если вам реально помогли – говорите в итоге вежливо и благодарите, это тоже идет в отчет успешности работы оператора и вы ему возможно поможете подняться по карьерной лестнице (зачеркнуто) сохранить свое рабочее место.
Плохо, что у моего интернет-провайдера такой хрени (зачеркнуто) полезной фишки нет и после звонка ждешь как дебил по 20 (ДВАДЦАТЬ) минут.
И еще, есть такая штука как PIN код, он передается вам в запечатанном непрозрачном конверте и НИКТО кроме вас его не знает (товарища майора из КГБ не берем в расчет, также как и процессинг банка). Поэтому не сообщайте его при звонках в банк. Там вас спросят обычно ФИО и секретное слово, которое вы должны были придумать при написании заявления на карту.
Вернемся на этой ноте в реальную жизнь, ведь интернет-зависимость это плохо.
Для начала теория.
Карты бывают нескольких видов, основные из них:
1. Карта с магнитной полоской – слабая защищенность от копирования. Защиты считай толком нет.
2. Карта с чипом и магнитной полоской – чип нельзя скопировать, но для поддержки древней технологии магнитную полоску оставили и это брешь в безопасности
3. Карта с чипом и NFC – всякие PayPass и тд, для бесконтактной оплаты, можно стащить ваши деньги (провести операцию с использовании бесконтактного платежа) прижавшись к вашему кошельку в тесном метро, например. Такие дела. Плюс все та же магнитная полоска.
Скиммер – устройство (весьма мобильное) для копирования магнитной полоски. Стащил скиммером данные с магнитной полоски и PIN код , заказал выпуск дубликата карты (aka «картон») на черном рынке и отправил за % бедного студента (aka «дроп») снять деньги в каком-нить банкомате. Если дропа поймают, то до хацкеров редко добираются.
Скиммер бывает совершенно разный, некоторые модели толщиной в миллиметры.
Что вы можете сделать с картой и как у вас при этом стащат деньги:
1. Снимите деньги в банкомате.
Банкоматы это самый треш, хотя вроде бы должен быть самым безопасным. Да, лично я бездушной коробке с монитором доверяю больше, чем Зульфие на кассе Пятерочки. Но для воровства бабок через банкомат мошенникам не нужно полагаться на продажного кассира, например. А в таком деле чем меньше живых человеков в курсе – тем лучше.
Что вас поджидает в банкомате:
a) Прям на входе в круглосуточный банкомат стоит дверь, которую нужно открыть типа картой банка. Кулхацкеры (зачеркнуто) мошенники добрались и до дверей, ставят там скиммер на эту дверь, а внутри вешают микро-камеру, направленную на экран клавиатуры и палят ваш PIN.
b) Поверх клавиатуры и щели для приема карты ставят свои фальшивые клавиатуры и щели со скиммером. Делают все под стать оригинальному дизайну, хрен определишь. Учитывая, что у меня внутри банка для работников 3 СОВЕРШЕННО разных банкомата стоят – запомнить все виды и все размеры всех элементов нереально, но банки рекомендуют внимательно изучать банкоматы перед снятием бабла.
c) ВНУТРЬ существующей щели для карты ставят свое устройство. Да, такое тоже уже умеют делать. PIN воруют снимая вас на скрытую камеру, либо все также фальшивой накладной клавиатурой для вводы PIN.
d) Тупо ставят левый банкомат Банка АО «Ромашки-Васильки», который ворует все ваши данные, а вместо операции выдает «ошибка, п..здуйте в другой банкомат». И только потом денежки улетают «куда следует».
Как защититься:
- Не снимайте деньги в незнакомом месте, в том числе во всяких малолюдных местах, лучше откройте приложуху банка и найдите там ближайший банкомат/офис.
- Изучите банкомат на предмет непонятных конструкций (нестандартные формы, выпирающие части и тд), но это не панацея в современно мире =(
- Закрывайте рукой клавиатуру для ввода PIN-кода, есть банкоматы, в которых клавиатуру закрывает специальная «крыша» с щелями.
- Двери к банкоматам открывайте любой картой с магнитной полоской (например, от фитнессцентра), в большинстве случаев нет нужды сувать карту вашего банка.
- Если карта застряла – сразу звоните в банк, чтобы ее вернули, а еще лучше заблочьте. Злоумышленники могут специально сломать картоприемник, чтобы когда вы свалите не дождавшись карты – забрать ее, а PIN стащив той же видеокамерой или подсмотрев «из-за плеча». На случай любопытных глаз на банкомате есть зеркала, которые показывают не палит ли вас кто-то.
2. Расплатитесь в магазине.
Добрый кассир может соскимить вашу карту, уволиться, вернуться в свой солнечный Таджикистан, а данные продать на черном рынке. Такие дела.
Недавно начали поверх платежного терминала ставить корпуса собственного производства. На всю операцию 3 секунды, глядите
Имейте ввиду, что если на карте есть чип, то вашу карту должны сунуть в проем для чипованных карт (еще лучше сделать это самому), а не провести магнитной дорожкой. Если провели магнитной дорожкой, а был чип – в случае чего виноватым будет магазин. От тупой продавщицы никто не застрахован, если ВНЕЗАПНО карту начали сувать не туда – сообщите об этом продавщице/сообщите администратору/покиньте магазин/смените страну проживания/etc. Кстати, на чипованную карту почти всегда не просят PIN-код. Если вдруг запросили – шлите нафиг. Ну либо меняйте банк. ТКС карта Яндекс.Денег у меня (под платежи в малознакомых местах) никогда не просила PIN, более того, я даже не помню его.
Еще я начал встречать такую тему. Продавщица берет твою карту (что уже не айс, не давайте ей карту), а вместо PIN просит (либо смотрит сама) последние 4 цифры номера карты. Теперь чем это грозит вам и магазину. Если вы не вбивали PIN, не ставили роспись и тд, а продавец этого не потребовал, то после покупки нового майбаха можете спокойно делать возврат незаконно списанных средств и пусть магазин вместе с продавцом ипется потом с банком. Конечно, не рекомендую этим заниматься, но так доходчивее показывается ответственность сторон при оплате картой.
Для чипованной карты все посекьюрнее, поэтому лучше перейдите на чипованную.
3. Расплатитесь в кафе.
Если в какой-нить условной Шоколаднице вас просят дать карту, после чего официант с ней уходит и возвращает с чеком – будьте уверены, он ходил и сувал вашу карточку в скиммер. Либо пусть несет терминал к вам, либо сами ножками сходите к кассе. Береженного бог бережет.
Как же не потерять бабосики с карточки?
Правильный ответ – не пользоваться пластиковыми карточками. Реальный – соблюдать «гигиену» при пользовании карты и «предохраняться», а потерять на карте не больше, чем вы «планировали» при учете рисков.
Каждый из вас может завести несколько карточек на 1 счет (себе и жене), также как и несколько счетов на 1 карту. Кроме этого вы можете завести просто несколько счетов (например, основной для хранения денег и платежный – привязанный к карте). Так как каждый из вас таскает в кармане мобилу, то с помощью мобильного приложения банка (а если у вашего банка нет мобильного приложения – подумайте стоит ли доверять таким раздолбаями) вы можете легко управлять этими счетами.
То есть свои бабки вы храните на основном счете, а когда собираетесь в условную Пятерочку – положили через мобилу на карту 2000 рублей, сходили и потратили. Хотите заплатить в инете – перевели на счет карты нужную сумму и оплатили. То есть вы никогда не храните на счету карты сумму, которую вам жалко было бы потерять. Деньги в рамках вашего счета переводятся мгновенно (в пределах одного банка, естественно).
Для оплаты же в инете параноикам я рекомендую просто пользоваться либо яндекс.деньгами какими-нить (с двухфакторной авторизацией), либо выпустить в своем банке или каком-нить Киви виртуальную карту с четким лимитом. Обычно это не составляет труда и ничего не стоит.
Мой коллега, который в ИБ больше 20 лет поступает куда веселее – в день з/п снимает к карты все бабки и спит спокойно, но новому поколению Интернета это кажется уже архаизмом. Мы хотим больше удобства, хотим больше возможностей и пластиковые карты пока самый популярный способ заполнить эту нишу. Конечно всякие эпплы и тд идут дальше – прикручивают оплату самим мобильником, наверное будущее все-таки за смартфонами. Людей со смартфонами больше, чем с пластиковыми карточками, этот рынок будет востребован.
Вы же согласились на тотальную слежку АНБ за вашими покупками по карте, вместо теплого лампового и почти неотслеживаемого кэша? Вам не составит труда свести все что нужно о вас знать в одно мобильное устройство, товарищ майор будет доволен. Но об этом в других статьях.
3-D secure шняга полная. Зависит она не от карты, а от сайта на котором совершаешь платёж. На сайте того же деливери - такой проверки нету, так же как и вконтактике.
Для платежей в интернете лучше всего завести себе карточку с ограничением в сумме транзакции - это самый лёгкий способ не потерять деньги.
Так же никогда не регистрируйтесь на сайтах со своего основного е-мэйла (и не дай бог он находится на mail.ru или яндекс), на которых зарегистрированы ваши электронные кошельки. Буквально пару недель назад взломали мои skrill зная всего лишь мой е-мэйл. У знакомого так увели кошелек neteller. Гуглил потом в интернете - оказалось, что администрация pokerstrategy слила базу с почтами каким-то мудакам, которые в общей сложности украли более сотни тысяч евро с аккаунтов игроков. Так же, если есть возможность, подключайте двойную аутентификацию. Она позволяет избежать ненужных заходов.
И самое главное забыл написать - никогда не несите ваши ксерокопии документов во всякие агенства\банки.
Зная всего лишь ваше имя и фамилию можно спокойно нарисовать паспорта\выписки из банка, заказать карты разных платёжных систем и залить всякую грязь, после чего она снимается в банкомате, а на вас заводится уголовное дело по статье 187 УК РФ :)