Настольные игры и здравый смысл
522,47
рейтинг
23 июня 2014 в 09:40

Разработка → Безопасность магазина в рознице: основные атаки



Вынос товара


Тащат всё, даже ненужное. Кажется, из спортивного интереса, по привычке или просто потому, что получилось. Но есть и настоящие профи. В простом случае товар банально кладётся в карман, в более сложных — избавляется от меток для противокражных ворот либо экранируется специальной сумкой с аналогом решетки Фарадея в стенках (от этого страдают магазины одежды). Крутые дорогие противокражные ворота умеют отличать редкоземельные магниты и сумки с экранирующими камерами на входе — поэтому новым витком стали аналоги средств РЭБ, в частности, разные китайские глушилки. Но куда чаще несут в кармане, рукаве, штанах, за голенищем или в коробке другого товара.

DDoS-атака на магазин с воровством


Представьте, в магазин внезапно заходит человек 15. Например, цыганский табор. Уследить за товаром просто физически невозможно. Мера — сначала напоказ нажимается тревожная кнопка (ещё на момент входа). Иногда такую атаку пытаются предпринять школьники, заваливаясь целым классом, но их-то найти по школам довольно просто (лица есть на видеонаблюдении).

Атака на размен 5000 рублей


Это красивый социнжиниринговый метод. К продавцу подходит злоумышленник-покупатель, долго обсуждает товар, колеблется, потом покупает что-то мелкое (до тысячи), протягивает 5000 рублей, ждёт сдачи, отказывается, снова берёт товар — и потом, в результате, всё-таки покупает и уходит. Суть атаки в том, что свою купюру он так и не отдал. Лечение простое — не давать сдачу, пока деньги от покупателя не в руках. Тем не менее, такие атаки пробуют примерно раз в неделю на магазин на потоке.

Фальшивые деньги


На точке просто должно быть оборудование для проверки купюр. Не все подделки можно отличить визуально — я видел году так в 2007 купюры, где водяной знак был нарисован тонким карандашом как настоящий. Талантливого художника искали, кстати, но не нашли. Реализация атаки обычно такая — минут 15 двое обсуждают товар, вникают в детали, набирают кучу мелочей, заставляют продавца бегать туда-сюда, выматывают. Потом пробуют быстро расплатиться и получить сдачу (около 3-4 тысяч рублей с купюры 5 тысяч). Если продавец при этом отвлечён разговором, каким-то действием с мелочью и вымотан — может пропустить момент проверки.

Атака по скидке от сотрудника


Когда у сотрудника есть право ставить ощутимую скидку, он может продать вам товар по одной цене (розничной), а занести продажу в отчёт как продажу со скидкой. Мер две: первая — в принципе не делать больших скидок (это часть маркетинга — цена должна быть честной, и не обесцениваться скидками). Вторая мера — мониторинг чеков и причин скидки.

Атака на объединение заказов в крупный


Иногда за крупный заказ полагается подарок, бонус или что-то ещё (скидка). Продавец-злоумышленник может не пробивать 2-3 чека, а затем забить всё проданное в один, и забрать себе подарок. Решается так же — мониторинг чеков, жёсткая политика IT, жёсткие пендюли за невыдачу чека.

Возврат виртуального возврата


Это разновидность воровства, но здесь продавец-злоумышленник продаёт другому злоумышленнику товар, а затем делает возврат по документам, выдавая деньги обратно (или просто оформляет возврат на какой-либо купленный другим покупателем товар себе «в карман»). Меры: каждый возврат — это отчётность, чёткое слежение за товаром и понимание точных причин возврата.

Развод с местным интернетом по монопольной цене


Это атака владельца помещения, направленная на арендатора. Достаточно часто в торговых центрах, бизнес-центрах и так далее разрешается подключить кабельный интернет только от одного провайдера, причём по конской цене. При попытке протащить любой другой кабель собственник может формально разрешить, но создать кучу проблем, случайно перерубать кабель раз в сутки и так далее. У кого-то вон спутниковую антенну сдувало ветром (с аккуратно скрученными болтами).

Развод со «входными»


Управляемый издалека торговый центр может официально брать «входные» (разовую сумму за право арендовать помещение), а может делать это неофициально — так иногда грешат небольшие ТЦ в регионах, стремящиеся заработать самостоятельно, не информируя владельца в Москве или Европе. Смотрите договор внимательно, чтобы уточнить статус каждого платежа. Ещё одна разновидность такого развода — внезапно возникающие платежи «за витрину» после окончания ремонта и так далее, которых нет в договоре. Они могут быть как реальными (раздолбайство ещё никто не отменял), равно как и попыткой стрясти с вас немного денег. Читайте договор. Нет в договоре — не должно быть и в реальности.

Воровство


У нас как-то обчистили магазин на Таганской (старый, на Товарищеском). У нас утащили денег, ноутбук и набор покера — рядом был магазин иксбоксов, вот у них вынесли вообще всё. В целом, невозможно сделать магазин полностью защищённым от вора. Но можно сделать его неинтересным в сравнении с соседними магазинами — это как при убегании ото льва, не надо бежать быстрее него. Надо бежать быстрее соседа. Крепкие двери, пара замков, видеонаблюдение, складывающее архив на удалённом сервере, тревожная кнопка. Своевременная инкассация. Всё это очень помогает. Правда, тут история как с бекапом — есть те, кто это не делает, и те, кто уже делает.

Данные наблюдения


Данные видеонаблюдения обычно используются для определения факта воровства товара. Как правило, они хранятся несколько дней, плюс транслируются в реальном времени на охранника. Охранник, по-умному, должен меняться с тем, что в зале — чтобы не уставал. В общем случае лицо вора будет найдено на одном из кадров, отдано в полицию и распечатано на стене магазина в подсобке, если персонаж явно действовал профессионально. В магазинах одежды очень интересно заходить в помещения для персонала — там иногда галереи таких людей и описания методик краж применительно к данному магазину.

Видеонаблюдение очень актуально для ловли людей, ворующих изнутри: кассирш из бывшего СССР, у которых соблазн оказался сильнее разума; ушлых сотрудников склада; продавцов, бьющих штрих-код со своего рукава, а не товара, и т.п. Один известный мне безопасник крупного розничного магазина провернул отличный фокус. Персонал знал, что камерами всю территорию не покрыть, и поэтому рассчитывал сектора видимости. Мужик, ранее работавший в интересном месте, зафигачил бескорпусных камер в разные продукты питания на верхних полках и повесил новых муляжей больших камер так, чтобы воры выходили ровно на его «засады». За три дня спалилось два десятка человек.

Уязвимость видеонаблюдения


Про то, что можно подключаться к камерам, просто торчащим ip «наружу», вы наверняка знаете. Таких в Гугле можно найти тысячи. Уязвимость для магазина в том, что HD-камера, висящая над кассой, отлично показывает все нажатия на клавиатуру, в том числе — вводы всех паролей.

Итак, как всё это лечится со стороны магазина?


  1. Отбором нормальных людей.
  2. Жёстким контролем складских остатков и документами по каждому перемещению.
  3. Отслеживанием возвратов и их причин.
  4. Отслеживанием залежавшегося товара и регулярными физическими инвентаризациями.
  5. Ведением детальных логов каждой операции от приёмки до продажи. Плюс видеонаблюдением.
  6. Регулярными проверками тайными покупателями.
  7. Проверкой отзывов и обратной связью по всем каналам.
  8. Регулярными сверками кассы и регулярной инкассацией.
  9. Жёсткими правилами работы с кассой: не поворачиваться спиной к клиенту, ящик для денег всегда должен быть закрыт. Деньги – только в ящике. Всегда стоит держать купюру-ловушку – тысячную купюру, номер которой записан в блокнот.
  10. Физической безопасностью, например, при увольнении сотрудника необходимо менять личинку замка и все пароли, используемые в магазине.

Уязвимостей и их вариаций ещё сотни. Поражает, с одной стороны, просто нечеловеческая изобретательность некоторых индивидуумов, а с другой — порой, тупость, граничащая с идиотизмом. Например, я знаю ситуацию, когда продавец одного из салонов сотовой связи вытащил деньги из кассы, потом увидел над головой камеру. Не найдя «видеомагнитофона» (ну ещё бы, данные складывались сразу на удалённый сервер) этот гений решил, что просто фигово искал. И, чтобы замести следы, поджёг точку.

Если вы дополните топик и расскажете в комментариях известные вам уязвимости, будет очень круто.

UPD:
zomby: «Самая айтишная атака — поиск продавцами уязвимостей в ПО POS-терминала. В одном сотовом салоне нашли и какое-то время успешно эксплуатировали чудо-баг: программа позволяла продать 0,1 телефона, при этом с остатков списывался целый.»
dimitrimus: «Насчет паролей — как-то видел в одном крупном супермаркете загрузку ОС на кассе, видимо кто-то включил и ушел по делам. Не знаю уж, насколько критична там защита (может там нет публичных сетей или защищать информацию нет необходимости), но во время загрузки на консоли прямо в логе были пароли от баз данных и прочего.»
ncix: «Это что, как-то обратился клиент с проблемой по моему тогдашнему проекту (кассовый софт). Затребовали базы данных — получили в ответ интернетовский адрес, в который беззастенчиво смотрит сервер Firebird со стандартным логином/паролем, за которым скрываются боевые БД нескольких касс.»
domino_47: «Однажды снимал деньги со счёта, кассирша выдала пачками мелких купюр после пересчёта на машинке. А за ним уже очередь, и стала поторапливать, а он взял да и перещитал, нехватало 10 000 рублей, когда он спросил где недостающие деньги, она с удивлёнными глазами передала ещё одну пачку, которая «завалялась» сбоку от окошка выдачи естественно с её стороны.»
NovgorodovNikolay: «В бытность работы руководителем ИТ «Евросеть ДВ» был классический случай в Анадыре:
Продавец делал по документам возврат телефонов, проданных 11 месяцев назад. Документы на возврат заполнял сам, копию паспорта использовал от документов на выдачу кредитов любого человека. Затем в программе с помощью «левой» обработки менял статус товара с «возврат» на «новый» и оформлял его повторную реализацию клиенту. Поскольку время отправки/получения «ремотного оборудования» с Анадыря в Хабаровск или Москву превышало все установленные нормы, то никто валом переводов из «клиентского товара» в «товар фирмы» не интересовался особо. В чем выгода продавца — разница цен на товар между «сейчас» и «год назад». Новинка телефонии может продаваться например за 25000 рублей (особенно в Анадыре), а через год — за 7000 рубликов лежать.»
perk: «Ркипер в кафе. Официантка отключала терминал от интернет и данные не попадали на сервак, а деньги в кассу. Нашли месяца через 4, после внимательного анализа отчетов и видео. Камера стояла рядом, но не фиксировала что происходит именно отключение. Видно что лазит под стойкой, ручку ищет или бумажку или салфетку или еще что.»
Автор: @Milfgard
Мосигра
рейтинг 522,47
Настольные игры и здравый смысл

Комментарии (315)

  • +37
    Атака на размен 5000 рублей


    Симметричную атаку при мне провела продавщица одного из бутиков в Атриуме.
    Покупал коллега вещь за 2999, протянул 5000. Диалог:

    Продавщица: У Вас 2 рубля есть, чтобы сдачу дать?
    Покупатель: ???
    Продавщица: Ну хорошо, я так сдачу дам.

    И протягивает 2 сотки и 1 рубль.

    Мой коллега стоит в затупоне секунды 3 и говорит о том, что сдачу неправильно дали.
    А суть в том, что вас отвлекли задачей которая не имеет решения: зачем 2 рубля. Вариантов куча в голове. И попытались обдурить.
    • +4
      Ещё атаки в обратную сторону были в прошлом топике про безопасность покупателя.
      • +8
        Про безопасность покупателя: мне однажды продавец в вашем магазине на Лиговском предложил попить чаю, который он стоял и пил в этот момент :-D
        • +44
          Петербург. Душевный город.
          Там рядом ещё пекут французские булки. Могли бы поесть их, да выпить чаю.
          • +2
            Я тогда работал на кассе в кофейне Starbucks, что в «Невском Центре», тоже недалеко от вашего магазина. Один раз коллега попала на разводку с 5000, но на меня такие кадры не выходили.
      • +2
        Добавьте ссылку в основную статью, интересно же!
    • +1
      От этого хорошо помогает учёт финансов. Недостаток 2 тыс. наликом быстро заметишь.
    • +1
      Меня так два раза пытались обмануть — один раз в мелком магазине, второй раз в метро.
      Давали мелочь с 500 рублей, «забыв» отдать 3 сотни.
      • +6
        Не всегда в этом есть преступный замысел. Иногда продавец просто запаривается. У нас недавно был случай продавец обсчитал клиента на 200 рублей… понял это, когда покупатель уже убежал и очень переживал по этому поводу… благо покупатель заполнил анкету на дисконтную карту и указал в ней свой телефон. Скинули ему 200 рублей на счет и отправили смс с извинениями.
        • 0
          Ну два раза в течении недели, и оба раза 300 рублей с 500 — это было для меня слишком.
        • +1
          Вы бы рассказали как вы там топиком. В целом. Интересно же.
          • +1
            Да как-то ничего особо выдающегося нету… обычные «трудовыебудни» :) Но посмотрим, может родим чего :)
          • +1
            Господа, платите картами.
            • +18
              и мы плавно переходим к теме мошенничества с пластиком :)
              • +6
                Хотелось бы прочитать пост об этом (только о реальном опыте).
                PS Сам активно пользуюсь картами для оплаты покупок оффлайн и онлайн. При оффлайн оплате авторизация через подпись, а если плачу через paypass (до 1000 рублей), то вообще без какого либо дополнительного подтверждения (ни ПИН кода, ни подписи). Поэтому и интересно, «чем черевато».
                • НЛО прилетело и опубликовало эту надпись здесь
                  • 0
                    С какой целью списать, технически или для обмана?
                    Технически — в одном магазине у нас например сумма списывается, тут же возвращается (по идее это hold, т.е. проверка наличия суммы без списания, но в уведомлениях/истории разницы нет), и опять списывается уже на оплату.
                    Для обмана — по идее можно произвести одну операцию через скажем магнитную полосу, а вторую — через чип. Однако мне кажется такое быстро обнаружится.
                    • 0
                      С целью ошибки, как правило. У меня так в одном магазине было, когда я нечаянно на зеленую кнопку терминала 2 раза нажал, правда понял это уже дома.
                  • 0
                    У меня один раз дважды списали — в терминале закончилась бумага и кассир сказала что надо второй раз заплатить. По факту деньги ушли и в первый раз тоже. Благо было это в Икее, и они без проблем потом вернули деньги назад.
                    Но вопрос у меня остается — что делать в таком случае? С одной стороны деньги списываются, с другой стороны у кассира нет никакого чека и он вроде как не может меня отпустить.
                    • 0
                      В таком случае меняется чековая лента и аппарат должен допечатать. По крайней мере по идее.
                      • 0
                        На практике аппарат напечатал невнятный обрывок чека и после замены бумаги сделал вид что ничего не было.
                    • 0
                      На кассе можно распечатать копию ранее выбитого чека.
                      • 0
                        Спасибо, буду знать.
                        В случае Икеи мне было проще не усложнять и вернуть деньги потом, при том что я и сам не знал прошла ли транзакция. Да и вообще в Австрии в любом случае 2 платежа с одинаковой суммой весьма несложно опротестовать.
                  • 0
                    Недавно дал кассирше карту, ввёл пин, после чего терминал очень долго показывал что-то невыразительное типа «Ожидание ответа». Подождали, не дождались, заплатил наличными, через три минуты списались деньги со счёта. Случайность, списанное через пару часов прислали обратно, но можно попробовать и в корыстных целях поэксплуатировать.
                    • 0
                      Это повод к разбирательству с эквайрингом. На операции по карте стоят лимиты около 7 секунд.
                      • 0
                        Даже если терминал с GPRS и двумя симками? Там вроде на одну попытку соединения идет какой-то лимит, а попыток я видел по 2-3 на одну симку
                        • 0
                          Авторизация платежа прошла. Но требования к процессингу по времени были не выдержаны, поэтому (виза или мастер) во время выгрузки клиринга (фактический финансовый документ) платеж пометили как фейловый и деньги «вернулись» (реально они и не уходили).
                  • 0
                    Никак к теме не относится, просто забавный случай.

                    … или просто лишний нолик дописать. Пошёл в кино, 2 билета стоили мне 960 рублей. На кассе — блондиночка 17-18 лет и с выражением лица «да-пошло-оно-всё-нахрен» и сидит одним пальчиком с полузакрытыми глазами вбивает сумму. В итоге через 5 секунд глаза по пять рублей, шок и смотрит на меня и говорит: «Я у Вас 9600 списала!!!111». Что примечательно — деньги мне вернули из кассы (!). Я не законник, но вроде бы так делать вообще нельзя, т.к. что-то связанное с отмыванием и терроризмом связано.
                    • 0
                      Вообще говоря есть какие-то ситуации, когда изъятие из кассы возможно + есть обходные пути во всей этой тонне законов, но в данном случае вам должны были просто отменить платёж.
              • +2
                Не знаю, можно ли это назвать «атакой на карту», но расскажу небольшую историю.

                Работал я прошлым летом в Америке в ресторане (очень проходном ресторане, к слову). И когда меня поставили официантом, обнаружился интересный момент. Многие покупатели платили картой, а на самом чеке писали размер чаевых и подписывались. Сама сумма чая вводилась потом в свободное время непосредственно официантом. То есть, ввести можно было любую сумму по любой транзакции. Или аккуратно поменять цифру на чеке и ввести её в компьютер.

                После этого я всегда внимательно проверял, сколько с меня списывали после похода в кафе / ресторан и оплате картой. :)

                P.S. Есть у меня грешок, в котором я даже раскаиваюсь. Был очень долгий рабочий день и одна компания за большим столиком весь вечер меня гоняла, а чаевых не оставила вообще (учитывая, что 10% в Америке оставляют даже недовольные клиенты). Я обиделся и «чарджанул» их на 10% от счёта.
              • 0
                Одному мужику в фастфуде вместо 300.00 руб пытались снять 30000 руб. А всего то разница в одну точку. Ему повезло, таких денег на счету не оказалось. Самое забавное, что он совсем не возмутился, а вызвал менеджера со словами: «Вы тут разбирайтесь, а я пока пойду поем».
                • 0
                  ОТдельная подстава в том, что на многих терминалах оплаты оплата идет в копейках.
                  И на экране 300 рублей вполне себе будут выглядеть как 30000. Без всяких точек.
              • 0
                Правильно. Поэтому я исправлю:

                Господа, платите биткойнами. :-)
              • 0
                Есть у меня одно предположение с мухлежом по картам. Сам не пробовал.
                1. Имеется карта Альфа-банка, которая связана бонусами с МВидео: Описание.
                2. За каждые потраченные 60 рублей начисляется 1 руб для покупок в МВидео. Бонус начисляется в течение 3-7 дней
                3. Суть в том, что оплачивать покупки этой картой, ждать начисления бонусов, а потом делать возврат товара по той покупке.
                • 0
                  Большинство магазинов не возвращают бонусные баллы при возврате товаров (про МВидео — не в курсе).
                  • 0
                    речь не про возврат товара, купленного за баллы, а про тот, за который было заплачено реальным деньгами.

                    знаю некоторые системы, которые баллы начисляют только через месяц, например. возможно из-за этого.

                    а можно и баллы в минус уводить :)
                    • 0
                      Обычно в договоре этот момент оговаривается: при возврате товара начисленные баллы/бонусы тоже отбираются. Хотя конкретно про М-Видео не скажу, есть ли там такой пункт.
                      • 0
                        Давайте я конкретизирую.
                        Баллы в МВидео начисляются за любую покупку в любом магазине.
                        Например ДНС. У ДНС свои собственные баллы начисляются. Эти баллы начисляются через 14 дней.
                        Т.е. если я за 14 дней не вернул товар, то мне после 14 дней начисляются баллы в ДНС.
                        Я покупаю что-то в ДНС по безналу.
                        Через 3-7 дней мне падают в МВидео баллы.
                        Так вот я говорю о том, что я бы купил в ДНС товар, подождал бы 3-7 дней, а потом бы вернул товар в ДНС.
                        При этом понятно, что баллов от ДНС не будет, но в МВидео они как бы никуда не денутся.
                        • 0
                          А, значит, я неправильно сначала понял схему. Я думал, речь идёт о покупках в М-Видео, за которые начисляют баллы того же М-Видео. Тогда не знаю, может, и сработает. Хотя не исключено, что у них есть система мониторинга, которая отлавливает подозрительно частые пары операций «расход + возврат»…
                        • +1
                          Через >7 дней сложно вернуть… Да и баллов-то будут копейки… В общем овчинка выделки не стоит.
                          • –1
                            1. Вернут товар больше чем через 7 дней, ничуть не труднее чем вернуть через 1 день. Никаких препятствий нет.
                            2. Давайте посчитаем по деньгам: вы покупаете товар на 60 000 руб. Через 7 дней на МВидео приходит бонус 1000 баллов. Вы сдаете товар и возвращаете себе 60 000 руб. И так по кругу. За один раз вы получили 1000 баллов. Потом еще 1000 и еще 1000.
                            • 0
                              1. Зависит от компании-продавца и типа товара. Очень многие виды товара замучаешься сдавать (если не жечь их «через ком-порт»).
                              2. На сколько-нибудь крупных суммах отследят и сделают ай-яй-яй. Ну и в любом случае «деньги» можно будет потратить только в МВидео
                              • 0
                                жечь ничего не надо — можно возвращать товар в идеальном состоянии.

                                а вот могут мошенничество впаять за такое «эх раз, да ещё раз».
                                абсолютно согласен, за такие копейки никакого смысла нет…
                                • 0
                                  Ну возьмём простой пример: ноутбук относится к классу сложной техники, возврат которой возможен только по гарантии (т.е. если что-то не работает) — это по закону, но магазины идут навстречу покупателю давая возможность в течении 1-7 дней (больших сроков не видел) сдать технику без объяснения причин. В этой ситуации — как можно вернуть без порчи имущества?
            • 0
              Кстати, тот самый обсчет, о котором я писал выше — был по карте… сотрудник вводил цену на терминале от руки и опечатался… клиент не проверил сумму… выяснилось это позже при проверки оборотов за день…
    • +2
      На предыдущей работе был «Магнит», куда иногда на обед за вкусняшками ходили. Так там каждый день кого-то жулили. Причём, с такими фокусами. И не докажешь же ничего. Ну, обсчитался продавец. Адово извинился. Бывает. Но когда в коллегами поговоришь — а он практически у каждого «обсчитался». Причём, всегда в одну сторону. Я уже собрался целенаправленно ловить гада, но уволился. А так, там какой-то профессиональный шуллер был её богу.
      И ловкость рук — демонстративный подсчёт купюр, где одна сложенная. И показать купюру покупателю, помахать, а потом убрать обратно в кассу. И «математика вслух», когда десятки путаются с рублями, а сотни с десятками. И долгая возня с кассой, когда очередь стоит, чтобы покупатель занервничал, а потом сунуть ему в руку мелочь без счёта. И игра на очередь — специально выставляют покупателя идиотом перед очередью, а потом мухлют. И двойные продажи. И даже продажа сходного по названию, но более дорого товара (потом, видимо, возврат делается).
      • +2
        Тоже дело в «Магните» было — однажды под вечер был обслужен довольно взведенным кассиром, гляжу на лоток — а там сдачи больше, чем я положил денег. Говорю, мол, у вас сдача-то неправильная. Тетка сначала включила ежа (похоже трудный день был), но через пяток секунд поняла ситуацию и случился катарсис
        • +2
          Тоже был похожий случай.
          Покупаю пирожное много.
          В голове прикинул, что должно быть около 400 руб.
          А мне продавец сказала около 300 заплатить.
          Я переспросил, мы пересчитали и действительно с меня еще нужно было 100 руб.
          Мне не нужна халява, я всегда плачу по счетам, а продавщица поблагодарила.
          «Хорошо делать приятное людям».
  • +21
    Поджечь точку чтобы «замести следы» — это сильно.
    • +1
      В фильме каком-то было. Чтобы не платить выигрыш по лотерейному билету, сожгли гостиницу, в которой жил обладатель билета.
      • +4
        Мне кажется, если вы будете читать обычные утренние сводки, можно не смотреть фильмы.
        Заодно можно познакомиться с колоритнейшими русскими персонажами вроде служебной собаки по имени Яндекс, названной так за хороший нюх при досмотрах (2007 год).
        • +3
          Да, круто.
          — Яндекс, искать!
  • +4
    Недавно «изобрёл» атаку на продуктовый магазин, но не стал экспериментировать, а вместо этого рассказал продавцам, чтобы не попадались.

    В магазине несколько отделов, в некоторых есть POS-терминалы (например, в отделе с конфетами), а в некоторых нет (например, в хлебном отделе). И если я за хлеб хочу расплатиться с помощью пластиковой карточки, мне надо пойти в отдел конфет, выбить там чек, с ним вернуться за хлебом.

    Чеков дают два, потому что один для продавца, а второй для покупателя. Хлебная продавщица мельком смотрит только на сумму (дату на чеке ещё найти надо и написана она мелким шрифтом). А значит, можно платить за хлеб через раз — так как всегда можно отовариться по вчерашнему чеку, который остаётся у покупателя.
    • +2
      А разве кассиры надрывают чеки не для предотвращения именно такой атаки?
      • 0
        Может и должны надрывать, но ленятся. Мне никогда ни в каких магазинах не надрывали чеки.

        Кроме того, чек выдаёт одна продавщица (которая пока надрывать их не имеет права, да и толку в тот момент от этого нет), а принимает в качестве оплаты другая (которая вообще не любит когда, ей суют два одинаковых чека, ведь ей нужен только один, а второй она обязана тут же вернуть).
        • +2
          В бытность централизованных касс сам печатал дома чеки на принтере. Были, как настоящие.
          • +1
            Помнится была такая программа, Kassy проде называлась. Она позволяла эмулировать чеки многих моделей касс, включая недостатки печати. Отпечаток на принтере пропускался потом через факс :) использовали не для того чтобы нажиться, а для того, чтобы обойти тупую бюрократию.
          • 0
            на матричном?
            • 0
              Да, на матричном Amstrad DMP-1000.
      • +2
        Имеет смысл надрывать только в случае возможного повторного использования чека, но зачем рвут в обычных магазинах где ты в любом случае проходишь через кассу — для меня загадка.
        • +10
          И в стопиццотый раз:

          ПОЛОЖЕНИЕ ПО ПРИМЕНЕНИЮ КОНТРОЛЬНО-КАССОВЫХ МАШИН ПРИ ОСУЩЕСТВЛЕНИИ ДЕНЕЖНЫХ РАСЧЕТОВ С НАСЕЛЕНИЕМ

          (в ред. «Постановления» Правительства РФ от 07.08.1998 N 904)




          6. Чеки погашаются одновременно с выдачей товара (оказанием услуг) с помощью штампов или путем надрыва в установленных местах.


          • 0
            Интересно, а я думал это пережиток СССР. Зачем же их «гасить», если в современном мире практически не применяется схема «покажи чек — получи товар»?
            • 0
              В Москве в ЦУМе сначала оплачиваешь товар, потом получаешь чек, который показываешь продавцу и он отдает покупку.
            • 0
              на самом деле, встречаются еще такие места, где вначале чек — потом товар.
              • 0
                Юлмарт, например.
                • 0
                  В юлмарте чек сканируется на выдаче товара. Я думаю, он гасится в базе данных. Поэтому два раза нельзя получить товар.
          • +1
            Для меня этот раз оказался первым, спасибо. Но при этом многие магазины не надрывают чеки и вполне комфортно себя чувствуют. Например, та же Мосигра или Азбука вкуса. Что интересно, это постановление и данный в нём пункт не уточняют, когда именно выдавался погашаемый чек: до выдачи товара или вместе с оной. Для последнего случая я бы всё-таки отменил необходимость погашения.
    • 0
      Хм, в том же макдоналдсе (если заказываете сами в терминале) прямо пишется Customer/Merchant (некоторые продавцы и многие покупатели конечно зависают от английского, ну это уже их проблемы..), и в некоторых POS-терминалах в магазинах обычно идет что-то подобное, типа «экземпляр покупателя», или еще какие-то отличия на чеках.
  • +9
    Поясните пожалуйста, зачем нужна купюра ловушка?
    • +19
      Для фиксации факта того, что конкретно вот эта пачка денег в кармане не была принесена в магазин злоумышленником, а, напротив, стырена из него.
      • +2
        «Всегда стоит держать купюру-ловушку – тысячную купюру, номер которой записан в блокнот»
        Да, это действительно самое интересное в статье :)
        Точнее самое не банальное. Спасибо.
        • 0
          Кхм… а в фильмах/передачах про копов/ментов вы не видели никогда про «меченые» и «переписанные» купюры?
        • +5
          Этот трюк проводил еще некий Сизиф из Древней Эллады, когда пометил копыта лошадей, которых пытался украсть вор Автолик, дедуля Одиссея.
      • 0
        То есть с каждым разменом обновлять купюру-ловушку?
        Или давать её только подозрительным лицам?
        • 0
          Она больше для других случаев, когда из кассы вынимают всю стопку.
          • 0
            Ну да, так я и подумал изначально.
            Только вот коммент смутил меня.
            Просто трудно мне представить человека, который сначала стырит пачку денег из кассы, а затем будет делать морду кирпичем.
            Разве что для помощи полиции в доказательстве преступления если его задержат позже. Но думается мне, что как доказательство написанные в блокноте номера купюр вряд ли пойдут.
            • 0
              Зря, как раз этот случай.
  • +3
    Сейчас есть системы анализирующие поведение кассира и выдающие ежедневный отчет с видео где, возможно, совершается нарушение. Контроль кассовых операций называется.
    Кстати, если кто-то имеет отношение к ним интересно было бы почитать как это работает.
    • +5
      Работает это примерно так — подробный лог кассовых операций накладывается на видеоизображение с той же кассы (или каким-то образом синхронизируется по времени). Тревожными считаются чеки возвратов, отмены позиций (сторно), открытия ящиков без необходимости, многократные использования одних и тех же дисконтных карт и тому подобные события. Т.е. анализируется не видеоряд а кассовый лог. Далее находим время операции в логе и смотрим что происходило на кассе. Как-то так.
      • +1
        Плюс проверяются закономерности типа количества чеков к количеству выданных пакетов, отслеживаются резкие изменения показателей, не соответствующие шаблонам обучения во время «обычного периода».
      • 0
        Да. Забыл добавить. Если этого не делает обычный софт кассы, то на этом уровне могут отслеживаются странные ситуации типа пробивания ровно одного килограмма картошки.
        • +15
          У нас в местном супермаркете работает странная продавщица. Когда я прошу её отрезать полкило колбасы, она отрезает ровно 500 грамм. Не всегда с первой попытки, но часто. Проверял и на контрольных весах, и дома — всё точно, ровно 500.
          • +5
            Old school :)
          • +15
            Рука наработана, наверное.

            Анекдот
            Барная стойка. Подходит мужчина и заказывает 3 по 200 грамм. Бармен разливает из полулитровой бутылки. Мужчина смотрит на бармена, показывает удостоверение, за недолив взымает штраф.

            Ровно через месяц тот же самый бар и тот же бармен. Подходит тот же мужчина и делает тот же заказ. Бармен опять разливает из поллитры. Снова штраф.

            Еще через месяц. Тот же бар и бармен. Снова тот же заказ, снова штраф бармену. Мужчина:
            — Вот скажи мне, ты ведь меня наверняка запомнил. Знаешь же, что я тебя проверяю.
            — Конечно, знаю!
            — Так почему ты мне недоливаешь?
            — Да ну, из-за одного козла руку сбивать!
  • +1
    Насчет паролей — как-то видел в одном крупном супермаркете загрузку ОС на кассе, видимо кто-то включил и ушел по делам. Не знаю уж, насколько критична там защита (может там нет публичных сетей или защищать информацию нет необходимости), но во время загрузки на консоли прямо в логе были пароли от баз данных и прочего.
    • +3
      Это что, как-то обратился клиент с проблемой по моему тогдашнему проекту (кассовый софт). Затребовали базы данных — получили в ответ интернетовский адрес, в который беззастенчиво смотрит сервер Firebird со стандартным логином/паролем, за которым скрываются боевые БД нескольких касс.
  • +13
    Самая айтишная атака — поиск продавцами уязвимостей в ПО POS-терминала. В одном сотовом салоне нашли и какое-то время успешно эксплуатировали чудо-баг: программа позволяла продать 0,1 телефона, при этом с остатков списывался целый.
    • +2
      Это прекрасно. Сейчас подниму в топик.
  • 0
    Спасибо, интересно. Не знаете ли, за границей тоже проводят подобные атаки? Есть какие-то специфичные для России уловки?
    • +1
      В целом — всё более-менее одинаково по принципам везде, меняется только соотношение атак.
      Где монеты имеют больший номинал, в целом, учащаются атаки на терминалы с ними. У нас же склеивают купюру-обманку из блоков пятитысячной и номиналом поменьше (одной пятитысячной хватает на несколько таких обманок для датчиков).
      • +14
        image
        • +4
          Что это? Зачем? Превращение одной пятитысячной купюры в две посредством добавления элементов других купюр?
          • +22
            Привет, Капитан Неуверенная Очевидность.
          • +1
            Например, да. Профит всё равно налицо, почти вдвое.
          • 0
            Видимо да, через терминалы как 2 прокатывают.
            • +1
              Не понимаю — разве терминалы не логают — какая бумажка от какого платежа?
              • 0
                Зачислил ты 5000 на телефон. А когда к владельцу телефона придут с предъявой — ну так, мол, не знаю, я не зачислял, само упало.
                • 0
                  И что? Ничего нельзя сделать? Возврата потребовать, etc?
                  • 0
                    Не знаю. Я к тому, что сомнительна полезность логов терминала.

                    Положим, какой-нибудь сервис принимает оплату своих услуг получая деньги на телефон. Ну бывает такое, сам видел. И получится, что мошенники обманули этот сервис, причём сами остались неизвестными. Терминал-то анонимный.
                    • 0
                      Если виновного не найдут — пострадавшим будет скорее всего или платежная система, или ее агент (который владеет терминалом с логотипом ПС). Причем подозреваю, что Агент, ибо ПС не дура, на себя лишние риски брать.

                      Сервис (какой-нибудь МТС-Билайн) получил от них информацию о платеже — зачислил деньги, теперь ожидает самих денег по договору. Сколько там уже фальшивых купюр они напринимали (да и был ли мальчик? может только в документах указали, что фальшивые были) — его уже не волнует.
                  • +2
                    Такие зачисления делаются на подставные номера-дропы. Единственная цель существования которых — моментально слить пришедшие деньги дальше. Это могут быть казино, платные контент-провайдеры, банковские карточки опять-таки дропов. Вернуть деньги, ушедшие на такой номер практически нереально.
                • 0
                  сомневаюсь, что без последствий обойдется… особенно с двумя подряд
                  • 0
                    Два подрять запросто можно не бросать на один телефон.
                    • 0
                      тут дело в том, что если есть связь купюра-платеж. то вероятность прихода органов — ~100%
                      • 0
                        Прихода к кому? К владельцу телефона? Ну и что, что с ним сделают? Доказать связь его с купюрой невозможно.
                        • 0
                          Видеофиксация в терминале?
                      • +1
                        Прихода к бомжу, на которого зарегены все эти 100500 симок, участвовавших в атаке. И который мертвый. Деньги с телефонов, конечно, нужно успеть перелить в сервис и из сервиса вывести.
                        • –2
                          ну глупости же… теоретизируете тут, а на практике разберутся и посадят…
                          • 0
                            Я, будучи в Москве в командировках покупал симки в переходе с рук за 100 рублей (кажется). К кому пойдут, с кем разбираться?
                            • –5
                              удачи вам в вырезании купюр… пойдут к вам скорее всего, хотя нет, вы же профессионал, при нарезании купюр не оставите дактилоскопии/потожировых отпечатков, а к терминалу подойдете бочком, предварительно замотавшись шарфом, чтобы лишить возможности запечатлеть вас не только камере терминала, но и уличной камере возле кафе напротив… в общем не сомневаюсь в ваших способностях…
                              • +1
                                Вы путаете две крайности.

                                1. Гарантию безопасности для мошенника, при всех обстоятельствах против него.
                                2. Гарантию неотвратимости наказания для мошенника, при всех обстоятельствах за него.

                                В реальности ситуация всегда где-то посередине. И видеокамера то есть, то нет. И кассир может случайно заляпать своими отпечатками купюру (а когда заметит фальшивую — вся бухгалтерия а потом и вся СБ будут ее вертеть в руках, смотреть на просвет, слюнявить, пробовать на зуб и окончательно сотрут все возможные следы). Его уже могут подозревать и «вести» (тем самым обеспечивая дополнительные улики). А могут и нет.

                                Но факт есть факт — есть такой бизнес воровства через терминалы (что доказывает, что можно своровать и даже не попасться достаточно долгое время). Так же как и факт того, что некоторые «бизнесмены» уже сидят.
                                • 0
                                  согласны ли вы с тем, что вероятность поимки увеличивается с каждой такой купюрой?
                                  стоит ли овчинка выделки? за эти 5р в случае поимки на тебя повешают все аналогичные инциденты,
                                  Как по мне — очень маленький куш, чтобы так рисковать…

                                  И дело ведь не в крайностях — когда мне угрожает лишение свободы(пусть даже гипотетическое) я предпочитаю размышление о худшем варианте.
                                  Зачем мне знать, что в среднем до поимки люди зарабатывают этим способом до 200тыс руб.? Во первых, это в среднем, без гарантии, что первый же блин выйдет комом, во вторых, сумма эта настолько мизерна, что не идет ни в какое сравнение с рисками…
                                  • +2
                                    > согласны ли вы с тем, что вероятность поимки увеличивается с каждой такой купюрой?

                                    Согласен. «воровать или не воровать» — вопрос величины этой вероятности (вероятность получить метеоритом по башке — тоже ведь увеличивается с каждым выходом из дома — но нас не пугает), оценки этой вероятности преступником (он может быть настолько туп, что просто не видеть тех гигантских возможностей его поймать, которые он оставляет, и считает себя почти неуязвимым, а на самом деле не пойман только потому что следователь еще тупее), и поведения преступника (если он и вправду профессор Мориарти — тогда он и на самом деле улик не оставляет).

                                    за эти 5р в случае поимки на тебя повешают все аналогичные инциденты
                                    Ну у нас все таки не настолько Уганда в правовом плане. А то и курить в неположенном месте совсем нельзя, и скорость превышать — а то повешают еще убийство Кеннеди.

                                    когда мне угрожает лишение свободы(пусть даже гипотетическое) я предпочитаю размышление о худшем вариант
                                    Это вопрос психологического «портрета» хм… назовем так «преступника». У людей разные склонности к риску. Кого-то пугает ночью по улице пройтись (и он прав — это на самом деле опасно). Кто-то без проблем работает пожарным, или в полиции — и его не сильно пугает шальная пуля. Кто-то даже в армии служит по-контракту в горячих точках, где такие шансы еще выше.

                                    А тем, кому вообще мало адреналина в жизни — катаются на мотоциклах и горных лыжах, прыгают с парашютом, занимаются паркуром.

                                    Кроме того, даже в такой сфере, думаю, серьезные группы делятся так же как у кардеров — «пехота» (дропы) — расходный материал, а самые умные — даже ближайшие партнеры не знают о них ни имени, ни пола, ни возраста, ни страны проживания.

                                    Но у нас странный разговор все равно выходит. С одной стороны — вроде как вы доказываете мне нелепость, что этим заниматься однозначно невыгодно (хотя очевидно, что раз есть воры — значит им выгодно). С другой — вроде как я вас нелепо «уговариваю» заниматься этим :-)
                          • +2
                            Разберутся? Вы часто обращались к разбирателям, чтобы они разбирались?
                            На практике вынесли телефоны из офиса, есть 100500 видео с камер, есть люди, которые столкнулись с убегавшим вором на лестнице и были готовы опознать если что. Менты посмотрели видео, даже не изымали, просто посмотрели на мониторах охраны, нее, чет мы такого не знаем, давайте мы не будем дело заводить, ну где его искать теперь. Отпечатки и не думали снимать, нафига? Одна девочка, у которой кроме телефона еще фотик умыкнули, написала заяву и настояла, чтобы приняли. Нас всех опросили, свидетельские показания, как положено. Через месяц позвонила узнать как чего, ее обматерили и попросили больше не звонить, не то хуже будет. Поплакала и забыла. И это вор-одиночка, просто левый урка, дергавший двери наудачу. А продажа симок без документов и сервисы по выводу денег — это целые индустрии, работающие не первый год.
                  • 0
                    вообще, думаю вряд ли бумажки привязываются к платежам… но это домысел
              • +3
                Бывают терминалы, которые принимают сразу пачку и, похоже, как-то плохо логают, раз такое проходит.
                Терминалы разные бывают. У меня один из 30 бумажек 4 особо свежие отказался принимать. Скормил посредством сминания. Но последнюю уж мял-мял, разве что не прыгал на ней, отказывался. С 10 попытки он мне эту бумажку засчитал, но все равно выплюнул :) Проще подарить 1000 рублей, чем объяснить глупому пользователю, что его бумажка плохая :)
              • 0
                нет, единственный способ смотреть по суммам платежа или по порядку купюр, но для последнего надо знать об атаке
                • 0
                  Но ведь проводится выборка, а купюры в том порядке, в котором были приняты — сверить логи вряд ли такая большая проблема… по крайней мере, если аппарат рассчитан на это.
                  • 0
                    на момент, когда купюра будет замечена, половина денег будет уже пересортирована)
                  • 0
                    большая ибо по процедуре реально сверить порядок купюр можно только если об атаке заранее известно ибо это слишком трудоемко. в логах есть только номер и сумма. как правило в терминалах редко проходят платежи на большие суммы и номер легко вычисляется. а дальше или разговор с авторитетными людьми если мошейники лохи или их никто не найдет
                    • 0
                      На самом деле было бы прекрасно (с точки зрения защиты от такой атаки), если бы терминал сохранял изображение каждой купюры (так, чтобы было видно в том числе номер), с привязкой к конкретному платежу (для которого купюра была использована).
                      • +1
                        Проще поставить датчики на всю купюру.
              • 0
                можно кофе заказать на всех :) обычно кофейные автоматы по тупее :)
                • 0
                  Они, обычно, не принимают купюры больше 100/500 рублей.
          • +1
            Если следовать букве закона, то разрывая купюру ровно на две половины (по 50% каждая), злоумышленик теряет эти 5000. Ибо купюра считается валидной (и, скажем, её обязан принять банк для замены), если сохранено 51% банкноты или больше.
            • НЛО прилетело и опубликовало эту надпись здесь
            • +5
              Берём две купюры, одну делим пополам, из второй вырезаем серединку. Серединку тоже режем пополам, добавляем к частям первой купюры, ВАУ, теперь у нас три купюры и у каждой «сохранено» больше 51%
  • +6
    добавлю, что некоторые слишком верят в видео наблюдение, особенно когда камеры распиханы по углам под потолками.
    Ну да, увидели, как кто то в зеленой шапочке сунул что то в карман и все…
    уже 3 знакомых убедил спрятать 2-3 дорогие бескорпусные камеры, которые снимают лица входящих, когда они отворачиваются от муляжа.

    думал азы, а оказывается масса народу так не делает.

    ну аж пересылку видео на удаленный сервер, это не убедить -дорого, хлопотно и тд…
    • 0
      которые снимают лица входящих, когда они отворачиваются от муляжа

      А это вообще законно?
      • +6
        Если перед входом висит уведомление о том, что ведется видеонаблюдение, не важно как и где расположены камеры, и насколько явно они видны.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +3
            Важнее не допустить кражу показав камеры, чем ловить и разбираться. Слышал про супермаркет в Канаде, где нет ни охранников ни камер и на вопрос о безопасности управляющий ответил, что потери от краж менее затратны, чем содержание охраны и средств наблюдения.
            • +1
              В Канаде — зависит от района. В приличном районе — согласен, всё может быть довольно просто, так как кражи редки. В районе, где есть бедные — будет всё: и охранники, и видео, и решётки на окнах, дверях и витринах с дорогим товаром.
          • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      А это (скрытые бескорпусные камеры) не подпадает под статью о скрытом видеонаблюдении?
      Не получится, что в случае с разборкой вор пойдёт по административной статье (если сумма небольшая), а безопасник — по уголовной.

      Лучше расскажите как юридически безопасно для магазина установить такие камеры.
      Достаточно ли на входе повесить баннер «ведётся видеонаблюдение» или нужно ещё что-то сделать?
      • 0
        Не путайте безобъективные (пинхолы, их использовать нельзя) и бескорпусные.
        • 0
          Размер маленького объектива может легко укладываться в кубик 1x1x1 см (и даже меньше, вспомним объективы в мобилках — в эти размеры спокойно укладывается сразу 2 камеры вместе с объективами)…

          Я правильно понимаю, что нельзя только пинхол?
          Но при этом никто не мешает взять камеру с мобильника и запихать её куда угодно (кроме разве что туалета)?
          • НЛО прилетело и опубликовало эту надпись здесь
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Погодите… По крайней мере и по вашей ссылке, и по тому, что вроде находил, не указывается о комбинировании обычных камер + скрытых…

              У меня создалось впечатление, что в основном в подобных статьях говорится о том случае, когда все видеонаблюдение скрыто, табличек нет и т.д. — скрывается сам факт наличия видеонаблюдения.

              А в нашем случае подразумевается что таблички есть, видимые камеры (реальные/муляжи), направленные на ту же территорию, тоже есть — т.е. в данном случае не скрывется факт видеонаблюдения за конкретной территорией, скрываются местоположения некоторых камер, которые смотрят на ту же территорию, что и видимые, но под другим ракурсом. Было бы интересно узнать про именно такие варианты и толкование законов относительно такой ситуации.
              • НЛО прилетело и опубликовало эту надпись здесь
                • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  Я так понимаю ещё есть один вариант — «закамуфлированные» под непонятно что (например какой-нибудь куб/ещё что-нибудь, что нельзя назвать бытовым предметом, но и камеру в нём не опознать).
                  • 0
                    Да может стоять просто маленькая камера, заметная, если прямо конкретно её искать, а если «отворачиваться от других» — то и не заметишь. Для этого не обязательно прямо уж мегакамуфлировать — достаточно, чтобы она просто была гораздо менее заметна — она может стоять где-нибудь в глубине витрины в тени, а рядом будут яркие отвлекающие внимание товары.
                    • 0
                      Скорее не рядом — а чуть в стороне, чтобы внимание именно отвлекали.
                  • +6
                    Камера закамуфлированная под камеру. Смотрит вроде в один бок, но снимает в другой.
      • +1
        на входе есть табличка с информацией что работают камеры.
        Камеры не какие то шпионские, а обычные, просто маленькие.
        место публичное
        видео с них никто не собирается использовать в коммерческих целях

        не вижу проблем

        и видео с камеры одного из магазинов точно один раз показывалось полиции, реакция местного опера была:
        — о! {фамилия} прическу сменила.
        каких то вопросов по расположению он не говорил
        • +1
          Про магазины ясно, спасибо.

          А теперь более интересный вопрос — а в подъездах такое можно вешать? :)
          С табличкой «внимание, ведётся видео-запись» и с согласия соседей, чья дверь может попасть в объектив камеры?
          • 0
            на хабре достаточно статей, где описывается видеонаблюдение в подъезде.
            я не думаю, что юридически это чем то отличается от видео наблюдения в магазине, тем более если есть разрешение минимум от половины владельцев
      • НЛО прилетело и опубликовало эту надпись здесь
  • +5
    На точке просто должно быть оборудование для проверки купюр.
    Не все ягоды одинаково полезны. Много раз видел, что оборудование есть, но продавцы не умеют (или не хотят) им пользоваться. Например, стоит просмотровый детектор банкнот (инфракрасный), продавщица не глядя сует в него деньги, вертит туда-сюда, убирает в кассу.
    Спрашиваю:
    — А вы знаете, что именно на деньгах смотреть надо?
    — Без понятия, но начальство требует этой штукой проверять — проверяю.

    Так что либо нормальный инструктаж и проверки персонала, либо автоматические детекторы.
    • +1
      У нас принцип простой. Если оборудования нет — пропущенная купюра — это косяк территориального управляющего. Если оборудование есть — текущей смены. Ну и обучение, конечно. Не было ещё такого, чтобы мотивация конкретно к этому обучению была низка.
    • 0
      Недавно столкнулся с темой проверки банкнот.
      Решил закупить купюросчетных машинок парочку. Натыкался на magner 75 бушные с ценой в 3-4к, когда по официальным каналам 20-25.
      Очень удивлялся, как так, почти на порядок дешевле. Потом выяснил что раньше года 3-4 они были стандартом де-факто в банковском секторе, а затем цбшные «госты» сменились и их стало нельзя применять, поэтому их и выплыло на вторичный рынок столько.
      Это я все веду к вопросу о надежности таких инфракрасных датчиков на кассах. Ибо машинка (magner 75) содержала их три типа, но тем не менее была признана ненадежной.
      Поэтому меня берут сомнения, может ли человек после краткого обучения (часы-дни, а не недели-месяцы) распознать современные фальшивки, когда аппараты среднего уровня — нет.
      • 0
        Поделку высокого уровня и эксперт не сразу обнаружит, но шанс нарваться на такую довольно мал. «Рядовую» подделку вполне сможет распознать человек, вооруженный простейшим детектором, после нескольких часов обучения.

        Что касается нормативов ЦБ, то они, скажем так, довольно странные, и плохо связаны с возможностью прибора ловить фальшивки.
        • +3
          А какой вообще сценарий при получении фальшивой купюры? Или вот вчера мне где-то дали сдачу, сегодня я ей пытаюсь расплатиться, а купюра фальшивая.
          • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Ну хоть и могут вменить, а на деле разве если только из-за 5000… У меня как-то раз оказалась 1000 руб поддельная — в магазине заметили, попросили подождать участкового. Он так и не явился на вызов. Эта сумма даже под уголовку не попадает.
            • 0
              По изготовлению фальшивых денег нижнего предела скорее всего не существует.
              • 0
                Разве изготовление и сбыт — одно и то же?
                • 0
                  С точки зрения ст. 186 УК РФ — да.
                  Статья 186. Изготовление, хранение, перевозка или сбыт поддельных денег или ценных бумаг
                  1. Изготовление в целях сбыта поддельных банковских билетов Центрального банка Российской Федерации, металлической монеты, государственных ценных бумаг или других ценных бумаг в валюте Российской Федерации либо иностранной валюты или ценных бумаг в иностранной валюте, а равно хранение, перевозка в целях сбыта и сбыт заведомо поддельных банковских билетов Центрального банка Российской Федерации, металлической монеты, государственных ценных бумаг или других ценных бумаг в валюте Российской Федерации либо иностранной валюты или ценных бумаг в иностранной валюте — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до восьми лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет или без такового.
                  • 0
                    Там написано "заведомо поддельных". В случае, если я не знал что она поддельная (дали сдачу в предыдущем магазине, не проверял), то она не «заведомо», то есть теоретически меня должны рассматривать в качестве свидетеля или пострадавшего, а не в качестве преступника.
                  • 0
                    заведомо поддельных
                    вроде бы должен быть доказан умысел
  • +3
    >жесткие пендюли за невыдачу чека.
    Увольнение по статье, а не пендюли. Однажды я стоял в очереди с налоговиком, так нам кассирша забыла пробить пакет, и 2 рубля положила не в кассу, потому что лень новый чек пробивать, а в пластиковый стаканчик. Мы ей популярно объяснили, что магазин только что «залетел» на 50 тысяч. Пообещала больше не лениться.
    • +4
      При борьбе за средний чек это часто случается. В фастфуде клиент иногда вспоминает, что ему нужна влажная салфетка — её часто просто дарят.
      • +8
        Это позорище, когда ещё и за салфетку надо платить. Особенно в центрах, где туалет, например, платный.
        • +1
          Да и пакеты платные это тоже некрасиво, вообще говоря, и удивляет людей, которые приезжают в Россию (Беларусь, Украину и так далее).
          • 0
            иначе эти пакеты будут разгребать пачками, как по началу гребли одноразовые пакеты «майки»
            • +1
              Вот мы даём бесплатный пакет. Даже большой. И они у нас прочные, из офигенного толстого полиэтилена.
              Мы пакуем игры на кассе (спрашиваем, сколько пакетов, если много) — то есть вопроса, что кто-то взял кучу, ещё не видели.
            • +1
              в Казахстане они бесплатны, и никто не разгребает…

              А отсутствие «Пакет н-нада?» бесценно
          • +2
            Вообще, наоборот — во многих странах пластиковые пакеты либо запрещены, либо имеют минимальную разрешённую стоимость (т.е. обязаны стоить не менее установленного уровня), либо облагаются заметным налогом или утилизационным сбором, чтобы люди не выкидывали их после первого же использования, плодя неразлагающийся мусор, а использовали повторно.
            Wiki: Phase-out of lightweight plastic bags
            • 0
              и помогает? если за одноразовый пакет взять 1евро — он от этого не перестанет быть одноразовым…
              • 0
                Как вы определяете, что он одноразовый? Он что, рассыпается в пыль после использования? А вообще, да, помогает. Из упомянутой статьи на Вики:
                Ireland introduced a €0.15 tax in March 2002. Levied on consumers at the point of sale, this led to 90% of consumers using long-life bags within a year. The tax was increased to €0.22 in 2007. The revenue is put into an Environment Fund.
                Ирландия ввела налог в €0.15 (за пакет, видимо) в марте 2002. Собираемый с покупателей в точках продаж, он привёл к тому, что в течение года доля потребителей, использующих долгоживущие многоразовые пакеты(сумки, мешки) выросла до 90%

              • 0
                Если за пакет взять 1 евро, то какая-то часть покупателей принесет свой. Уже хорошо.
                В Сан-Франциско, например, вообще запрещены пластиковые пакеты. Хочешь такой — приходи со своим, в супермаркетах только бумажные.
                • 0
                  На эту тему есть интересный доклад: о том действительно ли бумага лучше пластика.
              • 0
                Зато его за 1 евро можно и постирать
                • 0
                  я немного не о том — если беспокоят подобные проблемы, нужно не поднимать цены нв «майки», а предлагать альтернативу в виде хороших удобных многоразовых пакетов, которые сразу после приобретения превращаются в «пакет для похода в магазин».
                  • +1
                    Так они и так, вроде, продаются.
                    • 0
                      Продаются, но недолго. Я застал открытие нового гипермаркета «Ашан».
                      В день открытия перед кассами были бумажные эко-пакеты на 5 кг. за 8 руб. И сумки всякие — от 20 до 60 руб. Где-то через месяц всё это исчезло, остались бесплатные «майки» и 5-рублёвые пакеты на 20 кг из толстого полиэтилена.

                      Видно, они изучают спрос и оптимизируют закупки. То, что не расходится — не привозят больше. А жаль — в первый месяц нашёл массу качественных товаров (хотя и дорогих).
                      • 0
                        Эти бумажные пакеты — ужость. Мало того что это не то, чтобы действительно экологично, так ещё и «лямки» ручки режут пальцы при сколько-нибудь адекватной (2-3 кг) нагрузке.
                        Толстый полиэтилен… Странно, вроде же на 8кг они, или я что-то путаю или у вас совсем другие?
                        • 0
                          Есть даже майки на 20 кг — www.agrotema.ru/1764/
                          Сейчас под рукой жёлтый пакет из магнита — 25 кг держит, судя по маркировке
                          • 0
                          • 0
                            Сейчас под рукой жёлтый пакет из магнита — 25 кг держит, судя по маркировке

                            Я недавно в такой пакет сунул мешок 10 кг сахара — ручки оторвались через несколько секунд, даже выйти из магнита не успел.

                            Возьмите ручные пружинные весы («безмен») и нагрузите в ведро 25 кг чего-нибудь. За раз отвесить 25 кг вы не сможете — на весах обычно градуировка до 10-ти. Поднимите теперь это в ведре.
                            А потом посмотрите на этот пакет «на 25 кг» и подумайте, удержит ли он это. Если всё ещё думаете, что удержит — нагрузите в пакет и попробуйте его поднять. (Не сможете даже оторвать от пола — ручки порвутся прямо в момент подъёма.)

                            По поводу этих пакетов пора бы уже какой-нибудь подзаконный акт выпуститить о том, чтобы указывали, сколько реально груза туда можно положить, а не китайские килограммы. И штрафовать тех, кто делает вот такие пакеты, как «на 25 кг» в магните, в которые боишься положить 5 кг картошки, чтоб ручки не оторвались. А уж про острые края предметов и прорывание пакета лежащей в нём коробкой даже и думать страшно.
                            • 0
                              Килограмм по 15 я ношу каждую неделю в жёлтом пакете.
                              Еда на неделю: пару кило мяса, пару — картошки, апельсинов, сока литровая банка, консервы, яйца и т.п.
                              Полный пакет, пока донесёшь — упаришься. Но если нести осторожно, не трясти, а при укладывании обращать внимание на острые края — вполне нормально и даже запас есть по весу.
                            • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        Странно, в Питере в Окее, в Карусели, в Ленте и в Призме — везде и всегда вижу различные сумки.
                        • 0
                          Да, я тоже их вижу регулярно. У самого даже есть вот такая ашановская:
                          Скрытый текст
                          • 0
                            А я ИКЕЯ'вскими пользуюсь :). У них еще есть удобные складные сумочки — не столь вместительные, зато места не занимают.
            • 0
              • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Вы не поверите, они у нас (Украина Харьков) не только платные, еще и обманывают,
            сегодня например — купил средний пакет, в чеке вижу «Большой» который в 2 раза дороже.
            Пошел к администратору, молча вернули разницу.
            Написал в книгу жалоб.
            И это одна из крупнейших торговых сетей.

            Слышал что на пакетах довольно большой доход получается, особенно в больших супермаркетах.
      • +2
        Не знаю как с юридической точки зрения насчет подарка, но именно «взять денег и не выдать чек» может обернуться серьезными проблемами.
        • 0
          Это понятно.
          Там немного другая причина. У них считается за показатель средний чек. Поэтому они чтобы не портить картину чеком в 2 рубля, не берут деньги и дают салфетку. Обычно это правило устанавливает старший точки, которому проще иметь неучитываемые в IT салфетки (по факту) и восполнять их запасы, чем ухудшать отчёт по точке.
          • 0
            Спасибо, любопытно.
          • +4
            Какой-то очень тупой показатель, прямо средняя температура по больнице.
          • НЛО прилетело и опубликовало эту надпись здесь
    • +7
      Хитрость в том, что контроль чека в интересах владельца организации и надзорной организации, продавца тут в списке нет, и покупателя в принципе тоже.
      Решается это по-разному.
      Можно устроить проверки надзорной организацией, это самое банальное и самое неэффективное. Дорого в исполнении, редко получается, покрытие мало.
      Владелец организации, посылающий тайных покупателей уже эффективнее. Или сверяющий досконально все бумаги. Так, в Нижнем Новгороде в маршрутках билеты водители и кондукторы выдают сами, а в Москве никогда не дёрнутся сами оторвать. На нижегородских водителей пристально смотрят работодатели.
      Контроль покупателем довольно сложно реализуем. Одна из частных автобусных компаний в Москве, обслуживающая Мегу-Икею попробовала сначала мотивировать водителей, а потом решила замотивировать пассажиров брать билеты, указывая на них, что каждый билет является страховым свидетельством на время перевозки. Работает не очень.
      Самое красивое решение, направленное на контроль покупателями, встретил в Грузии. В Грузии вообще много гениальных решений было. Так вот, все чеки государственного образца одновременно являются билетами государственной ежемесячной лотереи. Покупателю выгодно получить чек, ведь вдруг с него можно выиграть стотыщ лари. И эти сотни тысяч лари государству выгодно отдать на лотерею, поскольку профит от такого контроля гораздо больше в масштабах государства.
      • +1
        С водителями просто есть несколько схем оплаты:
        — з/п — тут нужна полная отчётность по билетам, понятно
        — з/п + премия при определённом количестве билетов (опять же нужна отчётность)
        — з/п + норматив по билетам + премия (опять нужна отчётность)
        — «аренда» — за выход на рейс водила платит некую сумму, всё что накатал больше — его.
        • 0
          А зачем ему (водителю) особо билеты, он же потом отдает нанимателю N денег налички, и там и без билетов понятно, сколько пассажиров было.
          • 0
            В первых трёх описанных мной случаях — водителю не зачем, но очень нужны хозяину/предприятию. В последнем — всем до лампочки билеты.
            • +1
              Хозяин, в случае чего, может сам отмотать неоторванные билеты и оторвать их в мусорку.
              По моему смысл в билете — лишь как доказательство того, что ты оплатил проезд на случай какого-то разбирательства (контроль/водитель страдает склерозом/пр.) А вот водителю на это все равно в любом случае — он деньги получил и доволен (как и сама компания, нанявшай водителя). А оторвал ты себе билет или нет — это их не особо волнует. Вот если оторвешь больше чем надо, тогда да могут возникнуть вопросы «Почему билетов потрачено 10, а по деньгам было 9 пассажиров».
              Т.е. я к тому, что какая-то отчетность по количеству билетов, на которое стало их меньше — это странно. Ведь никто не мешает самому отрывать эти билеты в любом количестве.
              • 0
                Ещё раз: в последнем случае — действительно билеты нужны только пассажирам / контролёрам.

                Во всех остальных случаях предприятию необходимо знать, сколько было пассажиров, чтобы проконтролировать, что водитель отдал все деньги, а не зажал себе часть.
                Несовпадение билетов/денег неприятно в данном случае обоим сторонам:
                — в большую сторону ошибка (билетов ушло больше, чем отдал денег) — вред водителю и он будет контролировать (а не вывешивать на видное место) билеты. Предприятие будет вправе взыскать разницу с водителя.
                — в меньшую (билетов ушло меньше, чем отдал денег) — вред предприятию (водитель явно не выдаёт билеты всем, значит контроль слабый и невозможно доказать, что он не кладёт часть денег себе в карман.

                PS да хоть заотрывайся билеты сам водитель — ему просто придётся больше денег сдать.
                • 0
                  — в меньшую (билетов ушло меньше, чем отдал денег)

                  А вот кто это будет контроллировать? Водителю получается не выгодно. Нанимать еще одного человека, что будет просто отрывать билеты? С ним можно договориться.
                  Или видеонаблюдение ставить? Но тогда и билеты не особо нужны для отчетности.
                  • 0
                    Да, да, да! Любая система оценки и проверки упирается в соотношение качество — надёжность — цена.
                    — В советское время были контролёры (а водители вообще билеты не отрывали) и компостеры. Контролёры контролировали пассажиров.
                    — Недавно вернули кондукторов (на крупные автобусы) и передали права продажи билетов водителям (мелкие автобусы / непопулярные маршруты). Контролёры контролируют пассажиров-кондукторов/водителей (штраф водителю/кондуктору + штраф пассажиру). Если у организации нет собственных контролёров эту обязанность выполняет ГИБДД.
                    — Для мелких автобусов (ПАЗы) некоторые владельцы придумали схему «аренда автобуса» — водитель после смены обязан сдать некую сумму, остальное — делится между ним и кондуктором (если есть кондуктор). Схему придумали как раз потому, что контролировать сложно.
                    — В Москве внедрили электронную систему проездных.
                    • 0
                      А в Москве все автобусы с таким или только государственные? Просто в Питере очень большое количество частных (не государственных) маршрутчиков, которые еще далеко не все умеют принимать Подорожник (наш вариант электронного кошелька для оплаты проезда), да и очень мало кто ими платит. В Гос. транспорте — там да, кондукторы, все дела.
                      • 0
                        Ну так я тоже в СПб живу (в профиле отмечено). В Москве был пару раз. Насколько видел — стандартная схема: крупные перевозчики со всякими автоматизациями (билетики, например) и более крупными автобусами + «частники-маршрутчики».
                        Кстати, по СПб — достаточно много маршруток принадлежит третьему (или 7мому?) автобусному парку, при этом так же как и остальные маршрутки — считывателями не оборудованы. А вот «основные» рейсы у них оборудованы.

                        PS а на автобусах подорожник — невыгодно :-)
                        • 0
                          достаточно много маршруток принадлежит третьему (или 7мому?)

                          3му, так скажем из тех, что я всегда замечаю.

                          PS а на автобусах подорожник — невыгодно :-)

                          Это если Вы часто ездите, то не выгодно — выгоднее купить проездной, а если не очень — то очень даже выгодно — там скидка даже есть при каких-то условиях (видимо так же, как и в метро -после некоторого количества поездок в месяц). Но в общем мы немного в оффтопик ушли :)
                      • 0
                        в москве турникеты на входе в автобус и контры, иногда злые. а кондукторов я не видел уже лет нырнадцать.

                        а вот в московской области, где царит мострансавто, там да — кондуктор в каждом автобусе. впрочем, в ленобласти вроде так же. и карточки с ручными терминалами-валидаторами.
                        • 0
                          В Москве на некоторых маршрутах сейчас делают вход через любую дверь и отсутствие турникетов, просто входишь, прикладываешь к валидатору билет и едешь. Например 17й трамвай (Останкино-Медведково ходит). Ну и контролеры ходят порой.
                          • 0
                            хмы. про 17й не знал, тк обитаю на другом конце москвы, впрочем сомневаюсь что в обозримом будущем они соизволят сделать такое удобство на других маршрутах
  • +19
    Про POS-терминалы и обучение продавцов, хе-хе…
    — Многие до сих пор не могут выучить «введен PIN — подпись не спрашивать, PIN не требуется — спрашивать». В итоге я частенько плачу картой Яндекс.Денег, и потом мне кассиры не дают чек на подпись — а ведь такой платеж можно оспорить, нет?
    — Другие привыкли, что карты Сбера постоянно запрашиают PIN (если с чипом), и у них общее впечатление «Магнитная полоса — только подпись, чип — только PIN», потом удивляются, когда карта Я.Д его не запрашивает.

    Отдельный набор историй — Карта Я.Д у меня с PayPass (забыл кодовое слово самой первой карты, пришлось перевыпускать для получения PINа, зато с плюшками и потенциальными лулзами ;) ).
    До этого года нигде в городе не было терминалов с поддержкой беспроводной оплаты.
    В магазины «Магнит» в наконец-то завезли терминалы и начали принимать карты. Сразу отметил наклейку с логотипом PayPass. Продавцы, как обычно не обучены — вначале требуют карту, а потом выбирают тип оплаты — по карте. Когда говорю «вы просто приложите к экрану», удивляются, но прикладывают — после этого традиционно оклик других продавцов «Глядите тут какая система o_O», «А это все карты так могут?» и т.д. — у друга после этого в том же магазине все пытались продавцы приложить карту сбербанка, с удивленным вопросом «А что, у вас так нельзя?» :D
    В макдоналдсе — «Это что это вы сделали???»
    «Весело» было, когда операцию в магните в кой-то веке начали до того, как спросить карту, и ридер лежал рядом — я просто приложил чехол с телефоном (там как раз есть отделение для карт и относительно тонка стенка, карту специально когда иду в такие магазины кладу, «авось прокатит»). После этого там чуть ли не охрану хотели вызывать, «хакеры расплатились мобильным!!!» :D

    Короче это все я веду к тому, что есть много возможных атак из-за незнания продавцами принципов и вариаций методов оплаты по карте. Это еще я не упомянул про «красную кнопку», т.е. отказ от ввода PIN-а, при котором некоторые карты разрешают операцию с подписью — тоже путанница у продавцов. Кроме того, некоторые продавцы недовольно смотрят, когда уже я хочу для безопасности видеть, куда они там вставляют мою карту, если ридер под прилавком, или не даю карту, если ридер в соседнем отделе, а говорю что дам уже в той кассе.
    • 0
      Хм, насчет отказа от ввода PIN:
      Позвонил только что в свой Юникредит, мне сказали, что если я прикладываю чип, что должен ввести PIN, если же я прокатываю магнитную полосу, то должен поставить подпись в чеке. Перекрестный же вариант (чип+подпись) использовать не получится.
      • +6
        Это зависит от банка, у ТКС именно чип, который не запрашивает пин, а значит нужно ставить подпись.
        • 0
          Не совсем. Сначала зависит от банка, следом может наложиться ограничение на пос-терминале. Редко, но бывает, что в посах устанавливают принудительно способ авторизации владельца карты. Это ограничение имеет приоритет перед ограничениями эмитента.
          • 0
            А там разве не выбор наиболее строгого режима из предложенных картой/терминалом?
            • 0
              Да нет особой разницы по строгости пин или подпись. Приоритет отдается хотелкам пос-точки. В подавляющем большинстве настройка дефолтная — в соответствии с правилами эмитента.
              Сам только один раз в Испании попал на терминал с принудительным способом авторизации.
          • 0
            Это да, в некоторых местах паранойя повышенная (медиамаркт, например) там всегда пин требуют.
      • 0
        Именно поэтому и "… при котором некоторые карты разрешают операцию с подписью..." — тут уже зависит от банка и логики работы чипа.
        Кстати, обычно у всех карт/терминалов, если и терминал со считывателем чипов и карта с чипом, то терминал не даст прокатить магнитную полосу — на магнитной полосе есть метка что карта с чипом и терминал напишет что операция только по чипу. Т.е. операцию с подписью провести в любом случае не удастся, если у терминала есть считыватель чипов
        • 0
          зависит от настроек эквайринга, похоже. у меня была разок ситуация что терминал увидел чип, но попросил прокатать полосу. фирмовая АЗС где-то на трассе Дон.
          • 0
            В Воронежской области на заправках Роснефти через раз требуют ввода пина на ТКСную карту. Один раз кассир на мое очередное удивление сказал, что это он сам запросил пин.
            • 0
              забавно. в моем случае это была сберовская виза и точно не роснефть
    • +3
      В Австрии (может и в других странах, не знаю) терминалы стоят так, чтобы покупатель сам вставлял карту. Давать карту в руки продавцу надо в каких-то очень редких случаях и местах. В ресторанах как правило предлагают пройти на кассу и воспользоваться картой самому — вариант «отдать карту официанту и потом подписать чек» не видел ни разу.
      С подписью + ПИНом в Киеве постоянно требовали и то и другое, а в Австрии пока ни разу. Мне кажется, проблема решается просто — продавец должен знать, что если на чеке есть место для подписи — клиент должен подписать, иначе нет. И ему все равно, вводил я пин, или оплатил с чипа быстрой оплаты (без пина и без подписи), или бесконтактно — ПО должно само разобраться.
      • +3
        терминалы стоят так, чтобы покупатель сам вставлял карту

        У нас в крупных торговых сетях обычно тоже так. Терминал закреплен лицом в сторону покупателя. А там, где терминал не закреплен, продавцы обычно его убирают чтобы не сбили, и потом не дают самим вставить с классическим «вы еще сломаете».

        Мне кажется, проблема решается просто — продавец должен знать, что если на чеке есть место для подписи — клиент должен подписать, иначе нет

        В том-то и суть, что ПО само убирает поле подписи клиента, иногда вообще ничего не пишется вместо него, иногда заменяется на «введен PIN-код», а иногда на лучший вариант «подпись клиента не требуется». А вот некоторые касссиры в первом (и иногда во втором) случаях все равно дают чеки на подпись, и приходится долго объяснять что там нет поля подписи.
    • +3
      Ну в случаях, когда появляются/обновляются терминалы — 90% точек не знают про новый функционал.

      Тоже после получения PayPass было забавно — в Теремке (кафешка-блинная) наконец-то появились терминалы (ура!!!) и сразу с PP — к счастью кассир оказался более-менее адекватен, в том плане, что просто удивился что такое возможно и спросил как это работает (мне не жалко — объяснил), потом ещё пару раз натыкался на удивление, потом привыкли.

      Но больше всего меня убивают точки, где не клиент управляет своей картой, а кассир это пытается сделать. Вот жесточайшее раздражение вызывают — чек до 1000 рублей (по PP проводится без подписи/пина — быстро и удобно), на терминале значок PP… но эти ;"%№; берут и сперва проводят магнитной полосой, получают уведомление «карта обслуживается только по чипу», вставляют чипом… Да ещё долго всматриваются а что и как нажать…
      • +2
        Но больше всего меня убивают точки, где не клиент управляет своей картой, а кассир это пытается сделать.

        У нас в «Магните» (продовольственный) это выглядит так, причем постоянно: (кроме тех, где кассиры меня и моего друга уже запомнили :) )
        Пропипкивается товар, я говорю что плачу картой. Пока я достаю карту, кассир ничего не делает (хотя можно было бы уже выбрать тип оплаты и достать с полки терминал). Когда уже достал, кассир упорно держит руку, чтобы я отдал ему карту, и только после ее получения начинает выбирать метод оплаты и тянется за терминалом. Если я говорю что карта беспроводная, на меня бросается странный взгляд, далее говорю «ну вы там выберите оплату по карте сразу», и прикладываю карту — вначале смотрят как на сумасшедшего, потом фигеют от вылезшего чека, на котором даже написано что подпись не требуется — не могут поверить что все так просто.

        Казалось бы — положить терминал рядом с блюдцем для монет и начинать операции когда покупатель говорит фразу «по карте» или когда держит карту в руках, не ожидая, пока ее отдадут продавцу.

        Хотя канители с «сперва полосу, потом прочитать про чип, воткнуть чип» вроде уже год не видел, вроде все уже научились у нас…

        Кстати, еще был смешной случай, когда кассирша попросила карту (в том магазине я не был уверен насчет наличия PayPass), взяла ее, зажав между средним и указательным пальцами, выбрала оплату по карте, только собиралась взять терминал с полки той же рукой, в которой была карта (проведя таким образом картой над считывателем), как уже напечатался чек :D

        Среди друзей-знакомых теперь пошла шутка на тему Star Wars — посмотреть бы реакцию, если жестом внушения проводить ладонью над считывателем со словами «Вам не нужна моя карта», когда кассир просит карту, а считыватель рядом :)
        • 0
          Ну вот я про подобных и говорю — благо всё больше распространяется веяние на доступ к терминалу покупателя. Просто «разбаловали» меня в Ашане — там у них терминалы на поворотных… хреновинах установлены — клиент говорит «плачу по карте» — к нему поворачивают, он производит операцию. А в Окее только недавно приёмный модуль терминала выставили к покупателю. Ну а в магнитах и подобных я стараюсь не закупаться — долго, грустно по ассортименту, да ещё и дорого.
    • 0
      После этого там чуть ли не охрану хотели вызывать, «хакеры расплатились мобильным!!!» :D

      Отстали они от жизни. У нас сейчас разрабатывается МобиКеш — как раз оплата счетов телефоном. Так что вскоре это может стать уже совсем неудивительным.
  • +1
    Именно от примера атаки с 5000 рублей с которых даётся или не даётся сдача помогает простой алгоритм.
    — Полученная от клиента сумма кладётся на видное место, а не в кассу.
    — Клиент получает сдачу. Если он не согласен со сдачей, то сразу всё можно решить без споров сколько клиент дал. Его деньги всё ещё лежат на видном месте.
    — Если клиент согласен со сдачей, заплаченная им сумма убирается в кассу.
    Всё элементарно.
    Пункт 2.10, например
  • –2
    кассирш из бывшего СНГ, у которых соблазн оказался сильнее разума


    Простите, а только из бывшего СНГ кассирши воруют? Остальные не воруют?
    • 0
      Воруют. Но здесь особая ситуация. Конкретно я знаю город, где регулярно повторяется случай, когда они приезжают из ближних стран, встают на кассу, терпят несколько недель, а потом забирают деньги и пробуют убежать за границу, которая в 50-120 километрах. Схема обучения подразумевает показ камеры над головой и детальное объяснение того, что кассу пересчитают после смены. Но не помогает.
      • +2
        Меня, кстати, всегда напрягали именно камеры над головой кассиров — в результате, если платить карточкой, можно оставить все данные карты на видео — которых будет достаточно, чтобы оплатить что-либо картой в интернете.
        Конечно, далеко не все камеры позволят такое качество, но потенциальная уязвимость есть.
        • +2
          Совет-лайфхак: закрасьте CVV черным маркером (лучше в несколько слоев), тогда его не увидишь просто так и тем более не сфоткать на кармеру. То же самое можно проделать и с номером карты.
          • 0
            CVV я просто затирал до нечитаемости — благо на моей карте был полосе для подписи и сравнительно легко стерся.
            А если активирована «Verified By Visa» то одного CVV будет не достаточно, правильно?

            А номером карты зачем закрашивать? Если я правилно понимаю, номер счета вообще не является тайной, он и так остается на всех чеках, и уязвимости не создает. Ну и всякие предприниматели светят номер счета где везде — чтобы все желающие платить могли.
            • +1
              На чеках только часть, вроде последние 4 цифры… Знания полного номера карты например достаточно, чтобы «восстановить» доступ к чужому PayPal.
            • +2
              Verified by visa так же как и 3d secure от Мастер кард, это бонус, а не обязанность продавца. Если продавец хочет и поддерживает — будет доп авторизация. Не поддерживает — скорее всего платёж пройдет без доп. подтверждения. Хотя может зависеть от конкретной карты, наверное.
              • 0
                Если карта 3d Secure, а продавец не поддерживает, то, если я правильно помню, ответственность несёт продавец (в смысле можно сделать возврат)… Разве нет?
                • 0
                  Теоретически если пина не вводили — да.
                • 0
                  Ну в случае спорной ситуации некий приоритет будет на вашей стороне, так же как и в случае с чипом против магнитной ленты. На практике же — всё равно неприятно, если что-то случится.
                • 0
                  [сорри, видимо не проснулся еще]
            • 0
              Многие иностранные интернет магазины берут карточки без CVV вообще, только номер.
          • 0
            Дальше — русская рулетка по поводу того, где лучше соблюдают требования безопасности карт. С хорошо закрашенным номером изымают.
            • 0
              На каком основании изымают? Там же тиснение, то есть абсолютно все данные карты видны под углом даже если они закрашены. В этом и смысл. Хозяин карты легко и просто (наклонив карту под углом) видит все ее авторизационные данные, а, например, кассир в супермаркете не видет (не будет же он у вас на глазах вертеть карту и приглядываться!).
              • +1
                Я и говорю — русская рулетка. О том, были ли вы правы, можно узнать уже с половинками карты в руках.
                • +1
                  Да, но, мне кажется (именно кажется, потому что точно не знаю), что кассиры будут бояться ножницами налево-направо размахивать, ибо, если они ошибочно испортят карту, то могут огрести по закону (порча чужого имущества). Если я ошибаюсь, то поправьте, пожалуйста.
                  • +1
                    Верно. Там вообще процедура может быть куда сложнее — изъять, запереть карту, приостановить работу, вызвать полицию.
                  • 0
                    у меня приятель CVV заклеивал хорошим скотчем. получаем два в одном, прочитать с ходу нельзя, а если попытаются — повод прямо на месте отзвониться в банк и заодно полицию вызвать.
                    • 0
                      А она не боялся, что когда такую карту он засунет в банкомат, то она может там застрять или заблокироваться или еще что-нибудь пострашнее?
                      • +2
                        одна из моих карт сломана пополам и с обоих сторон перетянута скотчем...(перевыпустить нет пока возможности, она казахская, а я в России сейчас) и ничего, работает…
                  • 0
                    Карта — собственность банка, так что вряд ли что сможете им предъявить.
            • +1
              А простое и логичное объяснение что я просто не хочу чтобы _все_ необходимые для платежа через инет данные были на виду не прокатывает? Может им еще ключи от квартиры отдать?

              Лично я стираю CVV монеткой, инцидентов не было, но если случится буду возмущаться.
      • 0
        Сложно вам с такими кадрами. Я сам когда-то работал в руководстве супермаркета, но до такого не доходило если честно, даже не предполагал такой возможности. Милиция, я так понимаю, в этом случае не помощник?
        • 0
          Это не про нас. Из практики коллег из продуктовой розницы.
          У них внутренняя служба безопасности оперативнее полиции. Дальше либо полюбовно, если сумма небольшая (там 2000 рублей — уже целое состояние для некоторых), либо передают информацию им.
  • +17
    Давным-давно работал в супермаркете. Там был охранник, который ловил больше всех «мышей». Он был не в форме, брал корзинку, кидал туда несколько единиц различного товара и слонялся по торговому залу, наблюдая за посетителями.
    • +2
      Так делают в Европе, называются торговые детективы. Они ещё работают с несколькими магазинами и как «приличные покупатели» в течении дня ходят из магазина в магазин, наблюдая за покупателями.
  • +8
    А мне в салоне сотовой связи пробили в чек оплату 50р какого-то левого номера. Конечно же я сразу обнаружил, продавец сделал poker-face и молча отдал полтинник. Я сказал ему что о нем думаю — мошенничество на смешные 50 рублей а риск — уголовный. Ну и в головной офис написал про ситуацию — правда без ответа.
  • 0
    На днях покупал икру в одном и з супермаркетов
    Висит акционный ценник ( около -35%) а в чек пробили обычную цену.
    На мой вотпрос «чоза???» пришел администратор и сказал что я взял не ту банку, а скидка указана на другую.
    Надо отметить что ценники там были растыканы как попало и я сверял банки и ценники особо тщательно, так что моя ошибка была исключена.
    Пошли к витрине, сверили — он убедился что таки все правильно — вернули разницу деньгами.
    • +1
      а в Перекрестке еще ни разу не удалось добиться чтоб продали по той цене, что была на ценнике, даже когда штрихкоды совпадали. интересно как именно надо на них надавить?
      • 0
        полагаю юридически ценник должен подпадать под классификацию «договор публичной оферты» wiki оферта
        • 0
          Он и подпадает. Так что в случае несовпадения и наличии желания+времени — можно вызывать администратора магазина, если и он в отказку — вызывать РосПотребНадзор или какую-то другую надзирательскую инстанцию…
          • 0
            … к приезду которого улик уже не останется
            • 0
              А вы забыли зафоткать? Ну ССЗБ.
              • 0
                А как же правило во многих магазинах, что фото-видео съемка — только с разрешения администрации?
                (кстати, имеют на это право? если да — то тайком сделаная фотография — уже не может являться уликой? если нет — имеют ли право как-то повлиять, вывести из магазина, если заметят?)
                • +2
                  Ни в малейшей степени не имеют (если не смогут доказать что ты фоткал/снимал частное лицо — клиента! магазина. Т.е. даже работника можно снимать. Другое дело, что не безопасно — в качестве примера можно привести активность прокремлёвской молодёжной организации Хрюши Против, о которой уже давно ничего не слышал).
                • +2
                  по поводу что где можно снимать — есть хорошая подборка ответов на antirao.ru/faq/nophoto и еще можно у Зяльта в жж покопаться, он с товарищами в свое время немало голов повзрывал, добиваясь чтоб не мешали снимать там где можно по закону.
                • +1
                  Фиксировать цены можно, об этом было в прошлом посте.
      • 0
        на кассе в магните показал фото ценника, сделанное 10 секунд назад. Вызвали администратора, тот побурчал, в итоге со словами «старые ценники еще не убрали» вернули разницу. Фото пошел делать в зал после того, как оплатил и на выходе высчитал в чеке подставу.
        • 0
          Кстати, не всегда это подстава, в некоторых случаях — действительно работники зала не выполняют свои обязанности по обновлению ценников в срок. В любом случае можно (при желании) в соответствующий орган подать жалобу.
          • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Попробуйте написать в книгу предложений. По закону они обязаны дать ответ в письменном виде
  • +3
    А как же классическая ларёчная замута?
    Продавец покупает на оптовой базе товар из ассортимента ларька, блок сигарет, например, и сидит торгует себе в карман.

    Матушка у меня имеет пару микро-точек по продаже косметики. Продавщицы молоденькие, всем говорилось, что покупатели могут обмануть (с примерами), но все равно было несколько случаев «сдачу сдала, денег не взяла».
    Сами продавцы бывает тоже развлекаются, берут духи с витрины и каждый день ими пользуются как своими, и разбавляют по мере убыли.
    Со своим товаром продавцы тоже попадались. Были случаи — «продала товар, деньги в карман».

    Понятное дело, что это решается кинокамерами, автоматизированным учетом и т.п., но на уровне ларька это не внедришь.
  • +1
    Нехитрая атака на магазин с мелкой продукцией, которую хочется разглядеть (характерный пример — магниты на холодильник). Просится несколько магнитов, разглядываются, возвращаются не все. Можно запутать продавца возвращая и заново прося некоторые в процессе.
    • +1
      как разновидность этой атаки — подмена товара на муляж в процессе «посмотреть»
      был репортаж про дорогие часы
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        чел заранее одевал муляж на одну руку скрывая его под манжетой
        оригинал примерял на другую
        отвлекал продваца
        снимал муляж и отдавал продавцу — причем муляж с руки теоретически можно снять даже на глазах продавца,
        высока вероятность что продавец не обратил внимания на какую именно руку мошенникк одевал оригинал
  • НЛО прилетело и опубликовало эту надпись здесь
    • +7
      Просто жесть.
    • 0
      во второй раз попыталась нагреть на 700 штук вас? Поэтому я всегда беру выписки после проведения операций по счету :)
  • +5
    Меня как то раз остановила охранница в магазине. Крепкая такая тетка. Говорит, вы вынесли банку икры. Ничего подобного, конечно, не было. Говорит, я должна вас досмотреть. Я говорю — да пожалуйста. А она меня через секунду за задницу как схватила, тут то я и понял, что хорошо жены рядом нету. Так бы было бы весело. Мамуля у меня боевая. Повыдергала бы ей волосенки. Смех и грех с этими бабами)))
  • +2
    В студенческие годы мой приятель со товарищи однажды заюзал атаку на продовольственный магазин, в котором надо было ходить и пробивать товар на кассу и забирать затем с прилавка по чеку. Там было два отдела, суть атаки сводилась к единовременной оплате товаров из обоих отделов, таким образом при выдаче в первом отделе чек с пометкой о выданном товаре отдавали покупателю и он шел получать второй товар. Вот по пути во второй отдел отметку о выдаче, сделанную карандашом, затерли, и затем вторая бригада голодных студентов получала первый товар еще раз.

    Потом в этом магазине стали чек исписывать ручкой.
    • +9
      Этим нехитрым способом ваш приятель помог владельцу магазина избавиться от двух атак одним решением: дело в том, что продавщицы пользовались карандашом не просто так.
  • +4
    Виртуальный возврат товара
    В бытность работы руководителем ИТ «Евросеть ДВ» был классический случай в Анадыре:
    Продавец делал по документам возврат телефонов, проданных 11 месяцев назад. Документы на возврат заполнял сам, копию паспорта использовал от документов на выдачу кредитов любого человека. Затем в программе с помощью «левой» обработки менял статус товара с «возврат» на «новый» и оформлял его повторную реализацию клиенту.
    Поскольку время отправки/получения «ремотного оборудования» с Анадыря в Хабаровск или Москву превышало все установленные нормы, то никто валом переводов из «клиентского товара» в «товар фирмы» не интересовался особо.
    В чем выгода продавца — разница цен на товар между «сейчас» и «год назад». Новинка телефонии может продаваться например за 25000 рублей (особенно в Анадыре), а через год — за 7000 рубликов лежать.
  • +1
    Ркипер в кафе. Официантка отключала терминал от интернет и данные не попадали на сервак, а деньги в кассу. Нашли месяца через 4, после внимательного анализа отчетов и видео. Камера стояла рядом, но не фиксировала что происходит именно отключение. Видно что лазит под стойкой, ручку ищет или бумажку или салфетку или еще что.
    • 0
      О, мошенничества на стойке бара — это вообще отдельная длинная песня.
      • 0
        Хах, знакомые бармены такие байки травили.
        Про чай с водкой вместо Джека Дэниелса например.
      • 0
        Да, по этим песням даже песенники издают www.labirint.ru/books/222895/
      • +1
        Очень интересно, жду статью.
  • +3
    про аудиокассеты…

    прокат кассет (типо студийная запись)
    берется кассета в прокат,
    дома переписывается на обычном двухкассетнике
    кассеты разбираются, пленка меняется местами
    и вуаля у вас в руках оригинал студийной записи
    кассета с копией возвращается в точку проката…

    интересно может ли быть подобная атака применена в текущих реалиях?
    • 0
      полагаю простейшая наклейка на стыке половинок кассеты поможет избежать подобных казусов
      • 0
        А ещё были неразборные (запаянные) кассеты.
        • +1
          У кассет с каждой стороны был участок пленки без магнитного напыления. Можно аккуратно вытянуть ленту и переклеить оригинал на копию. И комар носа не подточит. Но на обычном двухкассетнике сложно понять разницу между вашей копией и той, что вам выдали в прокатном ларьке под видом студийной записи.
    • +3
      и вуаля у вас в руках оригинал студийной записи

      … если до вас такую операцию никто с этой кассетой не провернул
    • 0
      Некоторое время думал, зачем всё это надо

      Скрытый текст
      — Ты покупаешь яйца по сорок рублей десяток, варишь и продаешь по четыре рубля штуку. В чём выгода-то?
      — А навар?
      • +3
        В оригинале: — А бульон?
      • +1
        — зачем ты покупаешь две полпорции борща, они же стоят также как одна целая?
        — потому что в полпорцию сметану кладут как в целую ;)
        • +2
          В столовой на Народной долгое время полупорция равнялась 2/3 порции, потому что квантовалась половниками.
          • –2
            Выражение «квантовалась половниками» очень похоже на «квантовалась половинками». Лучше бы написали «поварёшками» — было бы хотя бы понятно, что слово другое :)

            А вообще это известный «баг» — попросить две половинки разного первого и получить 4/3 по цене одной порции.
            • +3
              С половины первого до половины второго мы едим половину первого и половину второго.
  • –1
    Как-то в Мяснове пробили мясо по цене на 75 рублей за килограмм выше, чем за неделю до этого и через неделю после этого.
    На чеке все было вроде бы правильно — название и тд.

    Как такое могло произойти, они что, вручную вбивают цену за килограмм?
    • +2
      Акция :-)
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          интересно как такое возможно?
          кассир — подсунул другой штрихкод?
          кладовщик прилепил на пачку код от пака?
          путаница в IT подсистеме?
            • 0
              поэтому привел вариант «путаница» — если она возможна вероятно ктото сглупил…
            • +1
              хорошая у вас ссылка получилась
            • +1
              Исправленная ссылка:

              Бритва Хэнлона
          • 0
            ставлю на ручной ввод кода или неправильно считывание — у меня в среднем раз в неделю получается так, что беру какой-то товар, который не читается сканером потому что ШК или слишком мелкий или подзатертый. ошибка на цифру и вуаля, вместо 300г может получиться оптовая 10кг пачка.

            или как вариант лажанулись в вводе количества пачек
  • 0
    А! Еще историю вспомнил. Просто наглость не имеющая границ :D
    Года четыре назад в одном местном автосервисе (аж целый официальный дилер) мастера-приемщики ввиду низких зарплат просто купили свой кассовый аппарат и поставили себе в тумбочку на приёмке.
    Соответственно заказ-наряды, оплаченные через этот кассовый аппарат, не проводились в 1С и удалялись сразу после выдачи автомобиля. Расходка (масло, фильтра и прочая мелочь) списывалась при участии кладовщиков по остальным заказ-нарядам.
    • 0
      мелочь списывалась при участии кладовщиков по остальным заказ-нарядам.

      тоесть у когото кто ремонтировался по обычному (не через левый аппарат) могло появиться в наряде лишние позиции которые нужно списать?
    • +1
      Официальный СЦ Киа в Омске. У отца треснутое стекло. Он сдаёт машину на ТО, выдают акт, где указаны все повреждения на машине. Стекло не указано. Отец предупреждает мальчика из СЦ, что это не очень хорошо. Через полгода, опять ТО. Аналогичная ситуация. На третий раз, забирая машину отец вызывал менеджера, сказал, что ему разбили стекло, т.к. на акте приёмки повреждений не зафиксировано и следующие 2 раза ТО проходил уже бесплатно.
      • 0
        это называется потребительский терроризм
        • +7
          Понимаете, если бы это было на 1й раз — я бы с вами согласился. А в сочетании, например, с историей о проблемах с тормозами через 200 км после ТО (на ТО не заметили, что с колодками всё не очень хорошо) и общем уровнем оказываемых услуг это ответ «той же монетой». И деваться некуда: хочешь гарантию — делай ТО у оф. дилера. Дилера два в городе и один другого хлеще.
  • +2
    А вот тут история инженерного подхода к получению бензина (который иначе было никак не купить).
    • +2
      Восторг такой же как после рассказа про метод атаки спрятанным ведром на канистру со спиртом.
  • +3
    Еще вспомнил. Оптовая торговля компакт дисками. Уже не пиратка :) Весь учет и отгрузка в 1С 7.х
    Продавец неожиданно разбогател. Купил дорогой телефон. Сменил гардероб. Рассказывал о намечающейся свадьбе и планируемых тратах на нее.
    У нас же падение выручки. По документам все тип-топ. Ревизия тоже ничего не показала.
    Оказалось, что товарисч после отгрузки отменял проводку со счета-фактуры и получалось, что со склада ушло, а в кассу не пришло.
    Свадьбу пришлось отложить до возмещения потерь. Какая свадьба без паспорта :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка