Пользователь
0,0
рейтинг
26 августа 2013 в 09:32

Разработка → Безопасность банковских пластиковых карт — миф или реальность? из песочницы

Все больше людей пользуются пластиковыми банковскими картами. Лишь немногие знают, чем одна карта отличается от другой. (Visa от MasterCard, карта с чипом от обычной карты с магнитной полосой). Многие хранят деньги на пластиковой карте, так как считают, что там они более защищены от воровства. Так до недавнего времени было и со мной. Простой поход по магазинам обошелся в 0 р. на счету и при этом карта ни разу не была использована. Разве такое возможно? Оказывается вполне даже. Этот пост скорее для тех людей, которые еще верят в защищенность кусочка пластика с магнитной полосой и доверяют ему все свои сбережения.


Техническая сторона


На сегодняшний день в обиходе самыми распространенными являются карты с магнитной полосой и карты с чипом. Второй вариант в чистом виде в России почти не используется — в качестве его альтернативы используют гибридный вариант (чип + магнитная полоса).

Карта с магнитной полосой




Для данного типа карты информация заносится на магнитную полосу. Карты с магнитной полосой бывают трёх форматов: ID-1, ID-2, ID-3 (наиболее распространен формат ID-1). Магнитная полоса содержит 3 дорожки (чаще всего используют только 2), на которые в закодированном виде записывают номер карты, срок ее действия, фамилию держателя карты и тому подобные данные. Наиболее полно и точно карты с магнитной полосой описаны в стандартах:

  • ISO-7810 «Идентификационные карты — физические характеристики»;
  • ISO-7811 «Идентификационные карты — методы записи»;
  • ISO-7812 «Идентификационные карты — система нумерации и процедура регистрации идентификаторов эмитентов» (5 частей);
  • ISO-7813 «Идентификационные карты — карты для финансовых транзакций»;
  • ISO-4909 «Банковские карты — содержание третьей дорожки магнитной полосы»;
  • ISO-7816 «Идентификационные карты — карты с микросхемой с контактами» (6 частей)


Большинство видов пластиковых карт имеют размер, определённый стандартом ISO 7810 ID-1. Какие же средства защиты (помимо магнитной полосы, на которую заносится информация о владельце) позволяют отличить данную карту среди многих других? Подобная информация так же заносится в штрих код. Например, у «Связного банка» при переводе денег на счет достаточно знать именно штрих-код. Идентифицировать владельца так же можно при помощи образца его личной подписи на обратной стороне. Так же все карты имеют идентификационный номер, срок действия и специальный код CVV2 или CVC2 на обороте. Этих данных достаточно чтобы совершать платежи через Интернет. Многие банки так же наносят на свои карты голографические знаки.

Гибридная карта с чипом




В отличии от карт с магнитной полосой, при совершении транзакций задействуется именно информация с чипа. Чип обладает большим объемом памяти, и информация на нем подвергается более сложному типу шифрования. При осуществлении транзакции картой с магнитной полосой, она всегда имеет одинаковые идентифицирующие карту данные, которые передаются в банк. Поэтому их можно скопировать и изготовить поддельную карту. Микропроцессорная карта работает иначе: каждая транзакция подтверждается специально сформированным для нее кодом, и для каждой последующей операции требуется новый код, сделать дубликат фактически невозможно. Гибридный вариант прижился ввиду сложного перехода техники принимающей карты на новый тип данных. Сейчас чипы умеют читать практически все устройства принимающие пластиковые карты. Если банкомат провел операцию с использование лишь данных с магнитной полосы, то данную транзакцию можно оспорить и банк (владелец устаревшего банкомата) обязан возместить ущерб причиненный держателю карты.

Суровая реальность


Вернемся к тому, как же так получилось, что с карты (находящейся всегда у владельца при себе) были сняты все накопления. Я могу только догадываться, т.к. все что у меня есть это образование в сфере ИТ и Интернет (который знает все). Злосчастная карта относилась к самому дешевому в обслуживании типу карт. Обычная карта с магнитной полосой (даже не именная). Какие меры защиты присутствовали на карте:

  • Магнитная полоса с информацией о владельце
  • Подпись на обороте карты
  • Голограмма с логотипом банка
  • СМС-информирование о транзакциях
  • Пин-код
  • Штрих-код


Что из этого работает?

Магнитная полоса удачно копируется специальным устройством — скиммером. После чего изготавливается дубликат карты и все что остается это узнать пин-код карты. Для этого обычно в паре со скиммером используется скрытая видеокамера или же если это сам злоумышленник в лице официанта или продавца, то он старается подсмотреть пин-код. Еще более технологичный вариант, когда к устройству ввода подключается считыватель вводимых данных.
Так же для получения данных у владельцев используются фишинговые сайты или рассылки где владельцев карт просят ввести их секретную информацию (номер карты CVV2 или CVC2 и т.п.).
Довольно распространенные случаи, когда злоумышленники портят считыватель карт так чтобы карта там застряла. Если владелец уходит, то появляется злоумышленник и завладевает картой.
Существует разновидность другого метода — кардинга (англ. carding – прочесывание). В этом случае злоумышленник завладевает базой интернет-магазина или какого нибудь онлайн банка и снимает деньги с карт к которым удается получить доступ.
Сейчас набирает обороты более сложный вариант скимминга — шимминг (от англ. тонкая прокладка). Эти устройства в отличие от скиммеров, незаметны: тонкая гибкая плата толщиной около 1 мм вставляется через щель картридера и считывает данные введенных карт, позволяя похитить номер карты и ее пин-код. Эксперты успокаивают, что до России такой вид мошенничества пока не дошел, так как это довольно дорого и трудноосуществимо. (На мой взгляд, мне попался именно этот вариант, так что эксперты могут брать себе на заметку).

Подпись на обратной стороне. Данный тип защиты вообще абсурден, если карта как в моем случае не именная, ибо владельцем может быть любой, кто нанесет подпись. В случае с дубликатом ничего не мешает нанести свою подпись и свои имя, фамилию на изготовленную копию. По своему опыту — проходил пол года с картой где стерлась подпись на обороте и только потом мне указали на это и заставили при них оставить автограф (что еще абсурднее).

Голограмма с логотипом банка. Как способ подтвердить, что у вас не поддельная карта на руках вполне может быть, но не более того.

Штрих-код. Достаточно иметь снимок карты и штрих-код легко дублируется.

Моя любимая часть — СМС-информирование. Очень полезная вещь, вы всегда будете видеть, как утекают ваши деньги. Мои утекли за 2 минуты. На то чтобы дождаться ответа от оператора в банке после череды автоответчиков и переадресаций ушло около 1,5 минут. Надо заметить, что телефон вообще можно оставить дома, или он может разрядиться или не быть доступа в сеть, да и много всего еще. Так что как способ защиты очень сомнителен. Темболее как подсказали пользователи MyHabrahabr и SpiritOfVox есть способ вообще блокировать телефон жертвы на момент «потрошения» её карты.

Итоги


Как бы это не было печально, но законодательной базы регламентирующей ответственность банков при осуществлении мошеннических действий с пластиковыми картами в России пока нет. Все случаи рассматриваются каждым банком в отдельности. Они проводят свое собственное расследование и, как правило, если вы нарушили хоть один пункт договора по использованию пластиковой карты (передали третьим лицам, хранили пин-код в доступном для других месте, сообщали информацию о сроке службы, номере карты или cv1/cv2 коды третьим лицам), то в возврате средств будет отказано. Для того чтобы иметь основания и написать заявление в банк — нужно дождаться подтверждения прохождения транзакции (около 3-х дней). До этого момента деньги еще фактически находятся на вашем счету, и оснований для обжалования транзакции нет.
Если злоумышленнику удастся получить копию вашей карты без чипа и пин-код, то, скорее всего такие операции не отличить от совершенных вами лично и тут тоже напрашивается отказ.
Несколько советов:
1) Если у вас все еще обычная карта с магнитной полосой — поменяйте ее на карту с чипом. ( не настолько она дороже, зато деньги целее будут).
2) Установите лимит на снятие денежных средств в течении суток. При включенном СМС-информировании это позволит с меньшими потерями успеть заблокировать карту.
3) Блокируйте карту сразу как появится подозрительная транзакция, многие банки позволяют производить блокировку/разблокировку карты по телефону.
4) Внимательно смотрите на устройства, в которые вставляете карту и не передавайте ее третьим лицам.
5) Если карта застряла в банкомате — сначала блокируйте ее, потом можно и бросить если нет времени или нет возможности найти лицо уполномоченное извлечь карту из банкомата.
6) Самое главное — оставайтесь людьми, не воруйте чужие деньги. У всех есть мечты, но кто-то ради них работает полжизни, а кто-то всего за 2 минуты лишает стимула продолжать верить в мечту.

Полезные ресурсы


Безопасное применение пластиковых карт
Как еще воруют деньги с пластиковых карт
Подробнее про механизм хранения данных на пластиковой карте

UPD1:
Это разновидность кардинга (онлайн-кардинг). Использование дампов для покупок в физических магазинах и комбинаций дамп + пин для обналичивания в банкоматах — это тоже кардинг.


UPD2:
Законодательная база всетаки есть. Правда практика ее применения всеравно ставится под вопрос. (спасибо scarab

Статья 854. Основания списания денежных средств со счета
1. Списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
2. Без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.


UPD3:
Связной банк — не подвел. Вчера они закончили свое расследование (оно заняло около 2-х недель) и вернули все деньги. Причем новую карту сделали сразу именную и чипованную. Исправляются, это не может не радовать.

Спасибо MyHabrahabr и SpiritOfVox за конструктивные замечания.
Сергей Лемнев @enotys
карма
6,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (173)

  • 0
    Для параноиков.
    Можно после каждой транзакции через интернет банк менять себе пинкод :)
    CV залепить бумажкой, что б никто его не знал.
    Но с помощью копии магнитной полосы конечно не спасешься :(
    • +1
      Как вариант, если карта с чипом, можно испортить магнитную полосу, тогда все операции будут происходить с помощью чипа, только если вы захотите использовать карту там где принимают только карту с магнитной линией, придется пользоваться наличкой.
      • +12
        Как вариант уже всем давно пора сделать возможность через интернет-банк «класть столько денег на карту» сколько я считаю нужным. Что бы через карту небыло прямого доступа к «основному счету» с миллиардами денег :)

        Т.е. я знаю, что у меня на счете лежит 100 рублей, но в месяц для оплаты с помощью карты я трачу 2 рубля.
        Закинул 2 рубля и трачу не очкуя, что мои 100р сопрут.
        Зхотел купить машину на 24 рубля, перекинул, пошел купил и опять не очкую :)
        • +7
          В чем проблема? Заведите счет без банковской карты, заведите отдельно счет с картой (или несколько) и переводите сколько и куда надо.
          • –2
            Проблема в скорости :)
            • +1
              Как раз для подобной схемы, я обнаружил полезным услугу «СМС-банк». Отправил одну СМС и деньги со «скрытого» счета перевелись на карту. Занимает 2-3 минуты.
              • 0
                С такой же скоростью это могут сделать и жулики. При дырявости почти всех без исключения современных телефонов это несложно. Нужно что-то вроде отдельной таблицы одноразовых ключей.
            • +7
              Переводы между своими счетами в интернет-банке происходят мгновенно.
              • +6
                Тут все не кисло завязано на вашу удачу. Этот ентернет банк может сломаться в самый необходимый момент(реальный случай).

                Или с СМС-подтверждением в одном известном банке на красную букву «А» был случай. В далеких далеких ебеняхкраях перестала работать симка яйцеподобного опсоса, поменять ее можно только(!) в регионе где она выдается(даже если вы на оленях оберетесь до вертолета и долетите до ближайшего офиса, облом ожидает вас. офигенно правда?),
                поменять номер указанный при регистрации счета можно лично в банке(тоже очень удобно, хоть и правильно).
                И вот вы сидите на краю земли без сотового, но в надежде купить билет домой на свои честно заработаные, а банк внезапно подключает(август 2011 от рождества...) 3d secure или чета в этом роде и ждет кода из СМС, спасает только то что были на руках карты разные и для мастеркарда эту хрень ввели позже.

                Зато услуга смс-информирования подключается легко и удобно без всяких там...(не потому ли что денег стоит?)
                и о чудо, коды начинают приходить уже на этот номер и меняется он удаленно и без паспорта.

                Отсюда вопрос, если все настолько проще, почему так сложно то?
                • +2
                  Можно банк попробовать поменять.
                  Когда то давно, когда я был клиентом российской подделки под австрийский банк на букву «R», там о чипованых картах не слышали, переводы между своими счетами в своём банке происходили в течение суток, а на выходных в понедельник и много другого веселья.
                  Потом я сменил банк и прозрел. Оказывается переводы внутри банка даже другому человеку могут совершаться мгновенно. Забыл, что такое плата за обслуживание карты и смс-уведомления, узнал, что такое приличный интернет-банк и тп.
                  • 0
                    А во втором пункте, это банк на какую букву?
                    • 0
                      На А, но не красную.
                      • +2
                        Авангард?..
                      • 0
                        Банк с красной «А» почти не отличается от Райфа — такая же помойка с обдираловом по любому поводу, разве что автоматизация чуть выше и больше отделений.
                  • 0
                    Являюсь действующим клиентом банка на букву R. Тоже самое там происходит до сих пор. Это не зависит от типа карт это зависит от чистоплотности менеджмента…
                    • 0
                      Что требовать от банка на букву R, если банк на зеленую С себе такое позволяет со своими банкоматами.
                • 0
                  Абсолютно верно. А ещё более распространённая ситуация — за границей. Когда телефон отрубили за долг (человек забыл выключить услуги интернета в роуминге и счёт ушёл в минус за полдня), а нужно приобрести обратный билет. И тоже банк совершенно неожиданно включил сам по себе 3D secure. Человек сидит в чужой стране без телефона и без денег.

                  А ещё бывает, что эти СМС-ки не всегда доходят (почему-то) и тоже нет возможности провести платёж.
                  • 0
                    а что, где-то ещё берут плату за входящие СМС-ки?
                    это ведь чистейшей воды подстава: получил пачку СМС-спама — бабки на бочку
                    • 0
                      а что, где-то ещё берут плату за входящие СМС-ки?
                      Да. в США оплачиваются как исходящие, так и входящие вызовы и смс, поэтому там общепринята другая система оплаты: покупаешь тариф с пакетом минут и смс в месяц и пользуешься.
                    • –3
                      в международном роуминге SMS платные.
                      • +2
                        Вы, кажется, что-то путаете. Входящие смс у меня на билайне ни в одной стране платными не были…
                  • –3
                    Идешь в любой супермаркет с бесплатным вайфаем и дело в шляпе! Всмысле в интернет-банкинге.
                    • +1
                      да, только для входа в него нужна смс с разовым паролем. сюрприз!
                      • 0
                        Для меня да, потому что в моем и-банке не надо SMS. Всегда думал, что именно этим интернет-банкинг отличается от sms-банкинга
                      • 0
                        Некоторые банки предоставляют либо таблицу кодов, либо автономный генератор их для второго шага авторизации. А на первом вводятся неизменные логин-пароль.
              • 0
                В предыдущие выходные моя «мгновенная» транзакция осуществлялась 2 дня. Несколько раз звонил в тех. поддержку, ответ один: у нас информации о сбое. Находился в городе, где нет отделений Юникредитбанка, т.е. фактически банк присвоил мои деньги на несколько дней.
          • +1
            Это полумера, так как банки любят разрешить овердрафт (и брать за него проценты). К тому же, такой вариант неосуществим с кредитными картами. В этом плане лимиты работают гораздо лучше.

            У меня на картах по умолчанию все лимиты выставлены в 1 рубль (кроме небольшой суммы на рекуррентные платежи с кредитки). Перед покупками в мобильном приложении «разрешаю» нужную сумму, и потом снова ставлю 1р. Выходит вполне секурно.
            • 0
              А если срочно придется за что-либо расплатиться? Или за границей в роуминге, где в интернет вообще лучше не заходить с мобильного — дорого очень? Схема тоже не достаточно удобная получается.

              А овердрафт можно запретить у своей карты, без проблем.
              • +1
                Люди примерно представляют какую сумму они потратят еще при входе магазин. Приведите пример ситуации, в которой срочно внезапно надо за что-то расплатиться.

                За границей в роуминге в незнакомый интернет лучше вообще не заходить — там уже без разницы, мобильное приложение нужно, или интернет-банк. И через приложение все равно надежнее получится. Для заграницы и путешествий пока не придумано чего-то более надежного наличных в носке или в кармане на трусах.
                • 0
                  Например, на улице познакомились с девушкой, пошли в кафе — и вот надо будет сидеть в телефоне, переводить деньги с одного счета на другой, чтобы расплатиться за кофе с пирожными, вместо того, чтобы время в компании приятного человек проводить :)

                  Либо другой пример. Разболелась голова/нога/рука/etc. Надо срочно в аптеку, а с собой только карта. И вот таким больным надо будет опять сидеть в телефоне, переводить деньги, вместо того, чтобы сразу лекарство купить.
                  Ну и так далее, примеров может быть много.

                  А еще, в нужный момент может сесть аккумулятор в телефоне — более, чем реальная ситуация.

                  Но право сказать — да, свою обычную карту за границей я не использую. Для этих целей отдельная дешевая Visa Electron, которую не жалко, в случае чего, как и сумму на ней. Она привязана к группе счетов в моем обычном банке, и из гостиницы через интернет-клиент я порциями перевожу на нее небольшие суммы денег — на оплату услуг гостиницы, кафе, магазинов и проч. И наличные, конечно, тоже всегда при мне, определенная сумма.
        • 0
          На самом деле у меня сейчас на других картах так и сделанно. Основные деньги лежат на счету с которого нельзя просто снять через банкомат, но перекинуть на карту можно через интернет банкинг.

          По поводу карт одновременно с чипом и магнитной полосой, судя по тому что удалось раскопать в интернете на сайтах различных банков. «Если операция по чиповой карте (гибридной) проведена лишь с использованием магнитной полосы в силу технических ограничений считывающих устройств. То такая транзакция может быть оспоренна и банк (владелец устаревшего устройства) обязан возместить понесенный ущерб».

          Подобные случаи часто встречались в переходный период, когда карт с чипами было мало, а устройств, принимающих карты данного типа еще меньше. Но про реальную судебную практику ничего найти не удалось.
          • 0
            Если операция по чиповой карте (гибридной) проведена лишь с использованием магнитной полосы в силу технических ограничений считывающих устройств. То такая транзакция может быть оспоренна

            Дело не в том как происходит авторизация в банкомате, а в том, что на этом банкомате может стоять скиммер, вот от него то поврежденная магнитная линия и должна защитить.
            Конечно, карточное мошенничество скоро выйдет на новый виток, и подделывать будут и карты с чипом, просто сейчас это экономически не выгодно. Естественно в «секретных лабораториях» уже придумали новую защиту карт, но её не будут внедрять пока текущие не начнут изживать себя.
            • +9
              И как можно подделать карту с чипом?
        • 0
          Хм… Давно уже так пользуюсь, думал, это логично и все так делают.
          На карте всегда маленькая сумма для мелких расходов (обычно несколько сотен рублей). Если вдруг понадобилась сумма больше — всегда можно закинуть через интернет-банк сколько нужно, и тут же их потратить. В том числе и с мобильника.
          Неудобно, да, но требуется редко — крупные покупки обычно заранее планируются.

          Гораздо страшнее, если злоумышленники получат доступ к интернет-банку. Тогда кирдык. Но это сложнее.
          • 0
            Вот тоже так пользуюсь с самого начала использования интернет-банка, но проблема в том, что закидывание денег на карточку по платежке из интернет-банка вручную делают операционные работники банка! Т. е. если в пятницу до обеда не удосужился пополнить карту, то на выходные можно остаться без денег — в выходные банк не работает.
            • 0
              Смените банк. В нормальном банке это делается в несколько кликов и конечно автоматически и моментально.
              • 0
                Сменил бы, но в моей деревне есть только мой банк и Сбербанк. Из двух зол выбираю меньшее.
                • +1
                  Не знаю, какое зло меньшее, но у Сбербанка с этим проблем нет.
            • 0
              Вот уж эту-то операцию все приличные банки делают мгновенно. В том числе все пресловутые банки на букву А и на букву R.

              Правда некоторые банки имеют две процедуры — мгновенную и такую, как вы описали. Видимо чтобы у клиента был выбор.
        • +1
          У ТКС, к слову, можно поставить лимиты на снятие наличных и расходы в месяц в сумме.
        • –1
          У меня так с 2010-го.
          Есть карточньій счет, есть депозитньій (6-11% в зависимости от суммьі). Перевод с депозитного на карточньій в любое время суток, через интернет-банкинг.
        • 0
          Это уже давно есть у многих банков. Пользуйтесь.
          Например, у меня на Связномбанке (что на картинке) и в Альфабанке.
          Обычно такой счёт называется Safe. Он недоступен с карты.
      • 0
        А как ее можно испортить?
    • +4
      Я вообще cvv «удаляю» лезвием.
      • +4
        Я тоже так делал, только вот по правилам платежной системы после этого карта становится недействительной. Никто не обращает внимания, но теоретически может вылиться в неприятности.
        • +1
          Ммм, буду знать.
          • 0
            И еще, на некоторых картах она сильно продавливается. Даже со стертой основной надписью, можно примерно угадать-прикинуть цифры — особенно если единички есть.
        • 0
          Потому что согласно договора карта является собственностью банка и выдаётся вам во временное пользование.
        • 0
          Стертый cvv код не делает карту недействительной, в правилах этого нет. Равно как и не делает недействительной карту размагниченная магнитная полоса. Именно эти две вещи и надо делать с новой картой, предварительно запомнив cvv для платежей в интернете.
        • 0
          есть пруф? Общался на эту тему с суппортом банка. Хотел найти пруф, но всё что вспомнил «в коментах на хабре видел», а реальных пруфов не нашёл. Дословно выглядело так
          Можно ли cvv заклеить черным скотчем? Может ли торговая точка не принять карту с посторонними записями или с заклеенным cvv?

          добрый день. Карта является Вашей собственностью и Вы вольны оставлять на ней те отметки, которые считаете нужным. Вы не должны вносить никакие отметки на полосу с подписью держателя карты или нарушать целостность магнитной полосы или чипа, если Ваша карта является чипованной.

          Означает ли это, что код cvv заклеить нельзя, потому что он находится на полосе с моей подписью?
          На карточке написано «Ця картка є власністю банка ...».

          добрый день, мы не можем комментировать данный вопрос, но хотим Вас уверить, что с заклеенным CVV кодом Вам не имеют права отказать в обслуживании в торговых точках.
        • 0
          Не становится

          Держателю может быть отказано в совершении платежа или выдаче наличных денежных средств в следующих случаях:
          при авторизации установлено, что на Счете отсутствуют или недоступны денежные средства в количестве, необходимом для совершения операции;
          срок действия Карты истек;
          лицевая сторона Карты и подпись на ее оборотной стороне подверглись видимым изменениям;

          Затирание номера, как по мне, является видимым изменением. Про cvv/cvv2-коды нигде не написано, поэтому их явно можно стирать, да и они сами стираются если карту более-менее активно использовать, заклеивать скотчами и бумажками чревато невыдачей карты назад из банкомата, ридеры довольно умные.

          Да и реквизиты на карты выше уровня маэстро у мастеркарда(у визы не помню как называется) наносятся тиснением, так что затереть в любом случае проблематично
      • +2
        а карту сжигаете? :)
      • +1
        слышал, были случаи, что такую карту изымал магазин (за границей) по правилам МПС
        • 0
          Это просто страшилка, за пару леь активного пользования у карты номер может стереться просто от трения, и никто за это карту изымать не станет. Другое дело, если стирали тесаком — это может вызвать у продавца обоснованные подозрения в оригинальности карты.
      • 0
        А теперь переворачивайте карту и читайте оттиск cvv на другой стороне. Он слаб, но есть почти всегда.
        • 0
          Посмотрел, ни намека на оттиск.
    • 0
      Эти карточки — самая небезопасная вещь, которая только может быть. В некоторых магазинах (например, в Н.Новгороде это — «Пятёрочка») не просят ни пин-кода ни подписи. (магнитная полоска). Да и банки не лучше себя ведут. В, напримр, хоум кредите сменить пин-код можно только в офисе и вообще не сменить, а заказать новый, который идёт слоупочтой недели две. Так что безопасность хоть и зависит от пользователя, но есть и другие факторы…
      • 0
        > не просят ни пин-кода ни подписи

        Ну это уже будет проблемой кассира, не спросившего подпись, когда ты ВНЕЗАПНО напишешь откат.
  • +1
    Очень полезная вещь, вы всегда будете видеть, как утекают ваши деньги. Мои утекли за 2 минуты. На то чтобы дождаться ответа от оператора в банке после череды автоответчиков и переадресаций ушло около 1,5 минут.

    Сейчас в банках, которыми я пользуюсь, можно блокировать карты с помощью СМС. Стоит поискать такое в своем банке. Однако это все равно будет действовать в случае удачного совпадения — вы держите в руках телефон во время первой СМС о краже.
  • +1
    — нужно дождаться подтверждения прохождения транзакции (около 3-х дней)
    Ничего подобного. У меня как-то Амазон «съел» в полтора раза больше денег. Я через 20-30 минут написал заявление о РАЗБЛОКИРОВКЕ (т.е. деньги еще не ушли), и уже через час-два деньги были возвращены. ПриватБанк Украина.
    • +2
      То, что для клиента одна операция по оплате, внутри банка ряд транзакций. В зависимости уже от конкретного банка, требований его бизнеса и разработчиков есть различные варианты по проведению платежей внутри своих систем (собственно как и отмены платежей). Обычно все онлайн оплаты идут в долг. Списания со счета происходят в конце дня (или нескольких дней, если комплекс систем слабо тащит нагрузку). В вашем случае скорей всего отмена прошла до проведения фактического платежа.
      • 0
        — В вашем случае скорей всего отмена прошла до проведения фактического платежа
        Ну так я об этом и говорю. Вы же писали, что отмена возможно только ПОСЛЕ фактического платежа.
        • 0
          Не, я не писал что возможно только после)
          Все как раз зависит от кухни конкретного банка.
          • 0
            Автор поста писал, и комментарий я адресовал не вам, а ему:
            — Для того чтобы иметь основания и написать заявление в банк — нужно дождаться подтверждения прохождения транзакции (около 3-х дней). До этого момента деньги еще фактически находятся на вашем счету, и оснований для обжалования транзакции нет.
    • 0
      У Авангарда для этого даже есть шаблон заявления в ИБ.
  • +1
    Сейчас уже активно распространяются бесконтактные карты, например mastercard paypass
    • 0
      Вроде там оплата до 1000р работает :)
      • +1
        Оплата работает до скольких угодно, в соответствии с условиями обслуживания карты. До 1000 рублей, как правило, не требуется подтверждение PIN-кодом или подписью. Свыше — требуется.
        • 0
          Тож не всегда, на заправках BP при оплате через PayPass на сумму больше 1000 рублей я пин не вводил =)
          • 0
            1000 рублей — это общепринятая практика в России, но не ультимативное требование. Насколько я знаю, каждый банк выбирает эту сумму самостоятельно.
  • 0
    Эээ, а не пофиг — ибо есть zero liability, а?
    Т.е. просто может нормальную карту нормального банка выбрать и не морочится себе дальше?
    И пофиг какая там карта физически — с чипом или без, главная какая она по бизнес логике.
    • +2
      Приведенная вами ссылка на zero liability действует только в штатах.
    • 0
      Согласен с вами, к выбору карты нужно подходить в первую очередь по механизмам защиты денежных средств, и это не только чип, а еще и целый ряд средств дополнительных подтверждений транзакций, лимиты на выдачу, привязка к различным виртуальным системам и прочие. Но как говориться «Пока петух не клюнет...». Разумеется в банках не распространяются о случаях, что будет если ваши деньги украдут, и насколько это реально. А любые услуги по защите собственных средств обычно продаются как опция, которую нужно активировать дополнительно.
  • 0
    Среди механизмов защиты ещё стоит упомянуть 3D Secure. Который, впрочем, тоже должен быть организован нормально — как одноразовый пароль на телефон, а не как неизменяемый единственный пароль на всё как у ВТБ24.
    • +2
      3D Secure лишь перекладывает ответственность в случае кражи с банка на поставщика услуг. Если поставщик не включил 3d secure, то вы будете просить денег с банка, а у него отлаженный механизм посылания ко всем чертям.
      • 0
        Я это понимаю. В любом случае это ещё один механизм защиты и дополнительный аргумент при дальнейшем обращении в банк. Вполне возможно, что вместо того, чтобы искать способы вывода денег через системы без поддержки 3D Secure, злоумышленник выберет более легкие цели.
  • 0
    Карты с магнитной лентой хотя бы можно использовать не вводя пинкод. Покупаю недавно лекарства в аптеке. Продавщица берет карту с чипом, протягивает мне аппарат для ввода пинкода и отворачивается. Отлично, она мой пинкод не видела, а вот пять человек в очереди за мной…
    • +4
      C чипом тоже можно. Мой банк по-умолчанию проводит операции без пинкода, по подписи.
      Если же просят пинкод, можно нажать красную кнопку на терминале и он должен запросить подпись вместо пина.
      Ну и даже при вводе пина клавиатуру всегда можно прикрыть.
      • +1
        Если же просят пинкод, можно нажать красную кнопку на терминале и он должен запросить подпись вместо пина.

        Это официальная фича и так должно работать всегда?
        • +1
          Фича официальная, но возможно она может быть запрещена на конкретном терминале.
      • 0
        Кроме того, можно несколько раз ввести карту обратной стороной и тогда терминал попросит провести карту магнитной лентой. А там уже только по подписи проводится. С некоторыми картами/терминалами такое срабатывает.
    • 0
      это зависит от конкретного банка и карты а не от наличия чипа
      • 0
        Понял, спасибо :)
      • +1
        Зависит и от продавца. Например, в Metro у меня никогда не спрашивали пин, а в Кастрораме наоборот, запрашивают пин даже для тиньковской дебетки, которой нигде пин вводить не требуется, кроме банкоматов.
        • 0
          да, согласен, зависит
    • –2
      Вроде бы наоборот. С чипом никогда не просили вводить PIN, а с магнитной полосой предлагают на выбор либо PIN ввести, либо подпись на чеке поставить.
  • +7
    Пишете заявление в полицию и банк идет лесом с его правилами. Полиция будет расследовать дело, поднимать записи с видеокамер у банкомата и т.д., и если не вы их сняли, то банк однозначно вернет деньги, если не сам, то через суд. У друга есть опыт возврата 150к с зарплатной карты, до суда не дошло, камер на банкомате не было, воров так и не нашли.
    • 0
      Заявление написано, камеры уже просомотрели. Банк ведет свое расследование в течении 30 календарных дней, милиция — свое в течении N-го промежутка времени. Надеюсь, реально вернут деньги, темболее что моей вины там нет. Шансов, что найдут этого человека очень мало. Но как выяснилось в тот день он ограбил еще несколько людей из других банков, там правда по правилам банка без заявления в полицию рассмтривать вопрос возврата денежных средств даже не начинают.
    • 0
      Если хотите, могу выслать вас скрин от полиции со словами (сейчас цитирую по памяти) «ввиду отсутствия состава преступления… неизвестные лица… дело закрыть...»
      У знакомой из машины сперли сумку пока она чистила от снега машину и тут же сняли деньги в банкомате.
      Каким образом узнали пин-код? Фиг его знает. Естественно, банк деньги возвращать не намерян, полиция открестилась, через суд? Юристы запросили существенный аванс (а гарантии на возврат нет). Да пропади оно пропадом. Еще заработаем.
      • +4
        Ну если «пропади оно пропадом» то какие вопросы? Суд у нас в 99% случаев становится на сторону физического лица. А «ввиду отсутствия состава преступления» вообще бред, в прокуратуру с этим надо обращаться.
        • +3
          99% — это вы сами придумали?
          У меня есть другая знакомая. Могу вкратце описать ее печальную историю:
          У нее обманным путем стащили паспорт
          Позвонили в дветь, предложили получить посылку якобы от мужа, для удостоверения личности потребовали предъявить паспорт, после чего с этим паспортом просто убежали. Пожилая женщина физически не смогла противостоять нескольким мужикам.
          После чего с помощью этого паспорта сняли все сбережения (не будем называть этот банк, существующий с 1841 года).
          Это несмотря на то, что о краже паспорта было немедленно сообщено в полицию (а вот одновременно подать письменное заявление в банк о краже паспорта она не догадалась)
          Знакомая обнаружила пропажу своих денег только спустя несколько месяцев. Банк отказался выдать деньги, ссылаясь на условия договора, по которым клиент обязан сообщать о таких вещах как кража паспорта.
          Суд встал на сторону банка и в иске отказал.
          • –1
            Придумали юристы, к которым мы обращались. У вас другой случай — явное нарушение условий договора, это как если бы у вас отняли карту, а вы в банк об этом не сообщили.
            • +1
              вот вы лично помните все свои договора и точно знаете кого надо известить если у вас паспорт украли?
              получился переход на личности… прошу прощения.
              По другому — скажу — не риторическим вопросом:
              Мало кто помнит все свои договора и точно знает кого надо известить если паспорт украли…
      • 0
        Наверное, если злоумышленники PIN знали, то круг подозреваемых сужается существенно, нет?
        Хотя, могли в магазине подсмотреть, а потом выследить.

        p.s. Я когда хожу вокруг своей машины (либо к багажнику, либо снег очистить, либо колёса подкачать) ВСЕГДА сумку с документами беру с собой. Разве можно её оставлять в машине?! Вы таким образом просто делаете приглашение злоумышленникам. У меня у знакомых аналогичным образом из машины спёрли дорогой фотоаппарат. Причём они даже толком не поняли где и когда. Утром он точно лежал в машине, днём ездили в разные места, всей семьёй. А вечером спохватились — нету его. Так и не нашли.
  • –6
    Вот это порадовало: «Многие хранят деньги на пластиковой карте» — попытался визуализировать — сломал мозг. Очень сомневаюсь, что автор имел в виду электронный кошелек. :)
    Вообще, ожидал более глубокой статьи, чем этот сборник прописных истин.
    • +1
      Человек поделился информацией, давайте скажем ему спасибо. Если она не нужна, можно пройти мимо.
  • 0
    Так в вашем случае деньги были сняты в банкомате, через дубликат карты с использованием пин-кода? Тогда вероятно да, в какой-то момент времени карта прошла через скиммер.

    Кстати, недавно мне позвонили из моего банка и сообщили, что в одном из банкоматов в Киевском аэропорту, где я снимал деньги примерно за неделю-две до этого, было обнаружено считывающее устройство и посоветовали заблокировать карту. К счастью, никаких левых операций за это время по карте не было.
    • 0
      Мне мой банк по своей инициативе раза три блокировал карту, потому что она побывала в банкомате, который «был скомпрометирован». Т.е., в тот же день что и я у кого-то кто пользовался этим банкоматом карту скопировали через сканер. Пытался выяснить у СБ банка какой банкомат и где — не говорят. Просто чтобы понять, куда ходить не надо. ))
  • +5
    Эти карты защищены на столько, на сколько это нужно кредитным компаниям, вроде Visa и MasterCard. Не знаю как в России, но в теории должно быть также как и в Израиле (да и во всем остальном мире), если у вас со счета ктото снял деньги, вы просто звоните в компанию и подаете жалобу. Вам тутже возвращают деньги, а дальше кредитная компания уже сама разбирается кто и что снял, и если надо подключает полицию.
  • +1
    Ничего из этого не поможет, если ваш банк — Сбербанк. Знаю, о чём говорю, в процессе разбирательства с ним третий месяц.
  • 0
    Да, было бы идеально, будь в России все так же. При вопросе в мой «глубоко любимый» «Связной банк»: «Что мне нужно сделать чтобы вернуть деньги свои?» мне сказали, что можно написать заяву в полицию. А лично банк рассматривает заявления о мошенничестве, только после фактического списания средств со счета (подтверждения транзакции). До этого момента банк никаких действий не производит и даже мое заявление у них никто не примет. Может это исключительно со связным такая тема, но что то мне подсказывает, что в России большинство банков вернут украденные деньги только через большой ряд бюрократических процедур.
    • 0
      Не рассматривать в течение 3-х дней они могут — это их дело, но заявление в канцелярии с отметкой о получении и входящим номером они принять обязаны. Это правило едино для любой организации, будь то банк, страховая компания или магазин.
  • +1
    Я решил для себя проблему безопасности сбережений тем, что завел второй счет в том же банке. Ко второму счету не привязана ни одна карта. Когда приходит зарплата, я просто перекидываю ее на второй счет, оставляя на первом только небольшую сумму на мелкие расходы. Если мне нужно больше денег чем есть на первом счету, я просто перевожу их со второго через мобильное приложение банка.
    • 0
      Это отличный вариант, но подходит лишь в случае когда на карточном счету есть средства на все непредвиденные расходы т.к. быстро пополнить карточный счёт из другого банка не получится из-за особенностей расчётной системы. В лучшем случае перевод придёт через несколько часов, в выходные и праздники без вариантов. Лучше иметь карточный + счёт без карты в одном банки и счёт без карты в другом банке. Так же не забывайте про лимиты по карте. Лимитами можно одну карту сделать исключительно расчётной т.е. только для покупока, а другую только для банкоматов.
  • 0
    Кроме прочего напрягает необразованный персонал — работники супермаркетов/кафе и т.д., которые при расчете картой «светят» CV всем вокруг, кода даешь им карту для расчета.
    • +1
      Я в кафе никогда карту не отдаю работникам: требую принести терминал к столу, а если он не переносной, сам подхожу к нему и провожу карту.
      Не случайно же в договоре написано «не передавать карту 3-м лицам». Сколько уже случаев было (и за границей в том числе) когда делали фотокопию карты и снимали деньги через интернет.
  • +2
    Если у Вас Сбербанк, то похититель карты сможет получить доступ ко всем счетам владельца карты. И выводить оттуда деньги даже без SMS подтверждения.

    Я давно им указывал на этот косяк, но как известно всем… Весь смысл их ответа был «я слишком много фантазирую».
    • 0
      Можно поподробней?
      • 0
        Если пин-код известен, то имея карту/копию карты, можно в банкомате запросить новый пароль для интернет-банка, перевести там деньги со всех счетов на карточный счет — для такого перевод не требуется смс-подтверждение, а затем снять деньги в банкомате.
        • 0
          Давно карту открывал, могу запамятовать, но при первом доступе в интернет-банк вроде требовалось подтверждение по sms.
          Да и на каждую операцию внутри интернет-банка требуется. Хотя да, все счета видны, но без sms ничего не сделаешь. Даже перекинуть с карты на карту, нужно или подтверждение, или одноразовый пароль с карты списания.
          • +2
            Даже перекинуть с карты на карту, нужно или подтверждение, или одноразовый пароль с карты списания.

            Нет, все делается без дополнительных подтверждений.
            Тем более, что одноразовые пароли через тот же банкомат печатаются, даже если вдруг потребуется подтверждение…

            • 0
              Проверил только что — вы правы, не требует.
    • 0
      Да очень просто, в банкомате есть меню толи личный кабинет, толи мои счета, толи сбербанк онлайн. Заходишь в него и проводишь все те же операции, что и в онлайне, только без SMS подтверждения.
    • 0
      В приватбанк Украина тоже есть способ снимать деньги без смс подтверждения.

      Попал однажды в такую ситуацию. На вопрос менеджер банка отвечал что в некоторых случаях код подтверждения не высылается а транзакция проводится. В каких случаях он так мне обьяснить и не смог.

    • 0
      Действительно, уже писали на Хабре об этом.
  • 0
    тонкая гибкая плата толщиной около 1 мм вставляется через щель картридера и считывает данные введенных карт

    Несколько не так. Во-первых, сильно тоньше, чем 1мм — иначе ваша банковская карта в банкомат просто не влезет.
    Во-вторых, считываются не «данные карт», а обмен данными между картой и банкоматом — потому и возникает возможность получить пин без сканирования клавиатуры.

    Подпись на обратной стороне. Данный тип защиты вообще абсурден, если карта как в моем случае не именная, ибо владельцем может быть любой, кто нанесет подпись.

    Ну, для неименной — действительно не степень защиты. Но вообще у вас могут попросить удостоверение личности и сравнить подпись с подписью на карте.

    На то чтобы дождаться ответа от оператора в банке после череды автоответчиков и переадресаций ушло около 1,5 минут.

    У того же связного первое, что слышишь при звонке в их коллцентр — «чтобы срочно заблокировать карту, нажмите...»

    телефон вообще можно оставить дома, или он может разрядиться или не быть доступа в сеть, да и много всего еще

    НУ это как бы ваши личные проблемы, не имеющие отношения к самому протоколу защиты.

  • +2
    Да, ни затирание CVV ни чипы не спасают в общем случае — все равно где-то вы оставляете полный комплект 'следов' — интернет магазины требуют вводить CVV, в обычном продуктовом за углом — вы вводите пин… Доверенная торгова точка вдруг может стать скомпрометированной — хакеры или свой «засланный казачек». 3d secure не спасает — оказывается эта опция на усмотрение _торговой точки_ (ааще не понятно нафиг она тогда нужна)… вон, PayPal ее не поддерживает.

    Единственный способ как-то защититься — поставить лимит выдачи наличных =0, тогда деньги хотя бы не утекут мгновенно…
    Транзакцию можно оспорить, а у каждого продавца есть мерчант аккаунт и на нем по-идее всегда остается сумма именно на случай таких споров.

    Ну а налик всегда снимать с другой (зарплатной) карты. Кредитка же — чисто для безналичных покупок…
    • 0
      У меня был случай, когда в одном магазине на чеке печатались фамилия-имя и последние четыре цифры с карты, а в другом магазине — полный номер карты и срок действия, но без фамилии. В теории, имея только эту информацию с двух чеков, карту можно привязать к какой-нибудь платёжной системе и увести оттуда сколько-то денег.
      • +1
        > полный номер карты и срок действия

        А вот это, кстати, серьезное нарушение.
        Емнип, допускается печатать на чеках и в отчетах максимум первые 4 и последние 4 цифры номера и ФИО. Больше ничего.
        • 0
          Хм, понятно. Я тоже подозревал, что это плохо, но конкретных аргументов не было.
          • 0
            Поискал сейчас в интернетах — и обнаружил, что у некоторых российских банков (!) в памятках пользователю пишут, что такое допустимо (типа «не выкидывайте чеки с полным номером карты»).
            Хотя, согласно требованиям PCI DSS, хранение такой инфы допустимо _только_ в защищенном хранилище, либо в усеченном виде (и, к слову, хранение CVV/PIN вообще недопустимо).
            Чеки же на «защищенное хранилище» явно не тянут.
            • +1
              Хранение полного номера карты (PAN) возможно с использованием:
              — стойкого криптографического шифрования с налаженным процессом управления ключами;
              — токенов (ссылок) — случайной строки, которая ставится в соответствие PAN. Таблица соответствия при это должно быть защищена (зашифрована), то есть PAN будут присутствовать только лишь в одном месте (причем, защищенном), а токены могут использоваться в информационной системе;
              — хэш-функция. допускается хранение хэш-значений от PAN;
              — маскирование — хранение первых 6 и последних 4 цифр от полного PAN.

              При этом хранить одновременно хэш-значения и маски от одних и тех же PAN недопустимо, так как подобрать значения в этом случае не составит труда. К этому еще хочется добавить, что в принципе хранение хэш-значения несет в себе немалые риски, так как с текущим уровнем производительности вычислительных машин и сбором небольшой открытой информации о номере карты (имеется ввиду BIN карты) подбор полного номера осуществляется за полиномиальное время с очень небольшой степенью, независимо от применяемого протокола для вычисления хэш-функции.
              • 0
                О полиномиальном времени говорить не приходится, когда количество возможных вариантов номеров карт — константа.
                • 0
                  Я имел ввиду полином от количества хэш-значений на входе :)
                  Для одного значения подбор проходит очень быстро)

                  А так Вы правы, константа. Спасибо =)
      • 0
        Первый магазин нормальный, а другой — нет. Я думаю печатать номер карты со сроком действия на чеке должно быть запрещено. Нигде такого не видел.
        Правда для интернет платежей обычно требуется ещё 3цифры cvv и тп.
        • 0
          Да вот не везде CVV требуют, насколько я знаю. В этом и проблема.
          • +1
            Знаю, что амазон не требует. Больше пока не сталкивался.
        • +5
          Печатать полный номер карты на чеке тоже не разрешено. Первые 6 и последние 4 — можно.
          Для проведения транзакции достаточно двух компонентов: PAN и EX.DATE. Все остальное — навороты для защиты.
      • 0
        Имя нигде не проверяется, так что достаточного чека из второго магазина, чтобы заставить вас понервничать (без CVV2 оплата скорее всего не пройдёт).
    • +1
      Правильно, а в интернет магазинах нужно платить только через известные вам платёжные системы. Либо PayPal, либо уже ранее известные и проверенные шлюзы, например, Qiwi. Кроме того, по правилам банка ни одна платёжная система не имеет права хранить в своей базе код CVV, поэтому его всегда и просят ввести.

      Я никогда в жизни не введу данные своей карты на неизвестном сайте, а тем более если в адресе нет https://
  • 0
    Если банкомат провел операцию с использование лишь данных с магнитной полосы, то данную транзакцию можно оспорить и банк (владелец устаревшего банкомата) обязан возместить ущерб причиненный держателю карты.

    Злосчастная карта относилась к самому дешевому в обслуживании типу карт. Обычная карта с магнитной полосой (даже не именная).

    Оспаривать будете?
    • 0
      Первая цитата относится к чипованым картам.
    • 0
      Да, уже оспариваются транзакции, но решение о возврате денег «Сязной банк» выдает только в течении 30 дней после написания заявления. На самом деле они пытаются выяснить не нарушен ли какой нибудь пункт из договора. Например, что вы передали информацию о карте или саму карту третьим лицам. Потому что, что мне мешало договориться с другом, дать ему выпотрошить карту, при этом он был бы максимально осторожен, не светился на камерах и не привлекал внимания у банкоматов. Еще проще если он вообще из другого города совершил данные операции. А я тут такой потом банку говорю, что карта моя при мне была, я ничего не знаю, верните деньги. И банк рано или поздно либо с заверения суда, либо по результатам своего расследования эти деньги возвращает. А не возвращает, так значит и искать не будет потом. Так, что с возвратом и расследованием подобных дел все не так просто.
      • 0
        Это все отмазки банка. Потому как могли бы вернуть деньги. А если бы после выяснилось, что это было как вы описали — завели бы дело о мошенничестве.
        • 0
          Вы считаете получить обвинение в мошенничестве достаточно адекватный вариант развития событий, если учесть достаточно распространённое у банков правило: «в любой непонятной ситуации денег не выдавать»?
          • 0
            Если человек совершает мошеннические действия, то получить обвинение в мошенничестве — это адекватно.
            • 0
              Вы понимаете, что все те случаи когда люди возвращали по решению суда необоснованно списанные суммы по своим картам стали бы рассматриваться не по схеме: списание -> заявление в банк -> отказ банка -> суд, а по такой: списание -> заявление в банк -> отказ банка + заявление о мошенничестве -> суд, но уже уголовный в котором придётся доказать очевидное, возможно это придётся делать из СИЗО. Надеюсь вы помните, что в нашей стране следственные органы не ошибаются поэтому в уголовном суде оправдывают менее 1% подозреваемых?

              Хотя думаю ваше желание всё таки скоро реализуется после вступления в силу положения закона о национальной платёжной системе по которому банки обязаны будут в сжатые сроки возвращать оспоренные суммы, а потом, как это часто бывает, не получив возмещения от платёжной системы обращаться в милицию с заявлением на оспорившего транзакцию.
    • 0
      Всё не совсем так просто. Существуют правила платёжных систем по переносу ответственности за операции по магнитной полосе чиповых карт и они разные для разных стран. По MasterCard можно посмотреть в 5.1.1 Chip Liability Shifts Chargeback Guide

      В случаях когда платёжная система не возвращает банку-эмитенту средства по оспоренной транзакции возврат делает банк-эмитент из своих средств, что случается, но вряд ли есть банки без проблем делающие это для клиентов «с улицы».
  • 0
    А как в некоторых торговых точках снимают оплату без необходимости ввода пин-кода?
    • –2
      У них какой-то особый договор с банком должен быть.
      • +1
        Господа минусующие, вы хоть напишите, в чём не прав. Самому интересно.
        • +4
          Запрос пин-кода зависит от двух настроек: настройки терминала и настройки карты. Некоторые банки выпускают карты с приоритетом подписи (например, ТКС и Авангард (можно поменять в банкомате)). Для Maestro вроде как нет возможности проводить операции по подписи. Настройки терминала более важны и далее в зависимости от них у вас либо спросят пин либо нет. Большинство терминалов учитывают настройки карт, но не всегда. Вероятной причиной принудительного проведения транзакций по подписи может быть большое количество операций и очереди при малом количестве мошеннических операций.

          Проводя транзакцию по подписи вы застрахованы от того, что ваш пин украдут и снимут деньги в банкоматах. С другой стороны если у вас украдут карту и терминал запросит пин, то покупка не состоится. Полагаю профессиональные воры средств с карт знают где в их городе установлены удобные им терминалы. В общем это вопрос дискуссионный, что лучше подпись или пин. Пока однозначного ответа нет.

          Для отелей возможны настройки терминала позволяющие проводить операции простым вводом данных карты без её физического присутствия.

          Нужно понимать, что все процедуры в платёжных картах пришли к нам из 70-80 годов благополучного запада и США с их системами страховок, что несколько не соответствует некоторым обычаям нашей страны в которой для некоторых не запертая дверь считается приглашением зайти и забрать всё найденное. Хочется надеяться на переход США на чиповые карты хотя бы к 16-17 годам.

          P.S. Минусы не ставил.
          • 0
            Спасибо за развёрнутый ответ.
            Ну а настройку терминала ведь кто делает? Разве не банк?
            • 0
              Банк, но не существует законодательного регулирования на тему где ставить, а где нет проверку пин-кода поэтому вы можете только опытным путём узнать где такая проверка есть и она может быть в любой момент изменена.
              • 0
                Дело в том, что у нас в продуктовом магазине уже давно принимают карты без ввода пина. Оно и понятно, это удобнее, т.к. в час-пик на кассе собираются неплохие очереди, и возиться с вводом пина — лишнее время. А суммы в основном маленькие.

                В разговоре с менеджером (знакомым), когда я спросил, как они так сделали, он ответил: «договорились с банком, они без проблем сделали»
                • 0
                  Особенность технологии. Удобство и безопасность не могут быть в максимуме одновременно.
                  • 0
                    Ну в данном случае (продуктовый магазин), ИМХО, это оправдано. Злоумышленники не пойдут обналичивать/отоваривать украденную карту в магазин с кучей камер, охраной и т.д., тем более максимум, что они могут там купить дорогого — коньяк за 1000 рублей.
                • 0
                  А в McDonalds не требуют даже подпись при заказах до 1000 рублей.
                  • 0
                    В «Пятерочке» в Спб тоже при покупке до 1000 рублей даже подпись не требуют и без пина проводят по некоторым картам. Причем интересно, а если набрать таких покупок за месяц и потом в суд? как они докажут в случае чего что это мои транзакции?.. Мне кажется это в разрез с политикой проведения операций по картам идет.
                  • 0
                    В Wendy's чек печатается с полями для подписи, но ее тоже никто не требует =)
                    И PIN я там не ввожу…
    • +1
      Вы имеете в виду оплату по чипованой карте без ввода пинкода?
      Если так, то
      1. Банк, выпустивший карту, устанавливает приоритет пина или подписи. Большинство банков ставит приоритет пина — это значит, что по-умолчанию для оплаты нужно вводите пин. Есть банки которые ставят приоритет подписи — в этом случае по-умолчанию требуется подпись.
      2. Банк, устанавливающий терминал в торговой точке, может настроить его разными способами. Либо он будет запрашивать предпочитаемый способ подтверждения у карты, либо жёстко задано, что всегда запрашивать только подпись, например.
  • +3
    СМС-информирование вообще не способ защиты т.к. технически сообщение придёт только когда данные о транзакции доберутся до банка-эквайера, что не обязательно произойдёт в момент выдачи денег/товара. При этом мгновенная доставка СМС так же не гарантирована.

    В текущих условиях наиболее действенными методами являются осторожность, карты с приоритетом подписи, лимиты, распределение средств по счетам. Имеет смысл иметь несколько карт разных банков для снижения вероятности потерять всё и сразу + защита от проблем одного из банков.
    • –1
      1. Имеет смысл часть денег держать на срочном вкладе, их обычно проблематично закрыть без личного визита в банк с паспортом и пр.

      2. Чипованная карта это неудобно, сейчас не так много мест где их принимают.

      3. Заклеить код cv можно, но для хороших банков это не имеет смысла — все транцакции с кодом cv дополнительно подтверждаются кодом смс-ок.

      4. ИМХО, сейчас удобнее всего держать на карте необходимый размер карманных расходов, иметь смс-информирование (опять же, чтобы лишнего в магазинах не списывали), а остальное на отдельных счетах. И конечно, в мутных местах кртой не светить.
      • 0
        1. Есть разные банки. В некоторых можно и онлайн.

        2. Чипованная карта никак не отражается на удобстве. В РФ, учитывая отсутствие технологического наследия, практически везде принимают чип. Это в штатах проблема со старым оборудованием. При этом если операция по чиповой карте прошла по полосе то для некоторых стран это переносит ответственность на банк-эквайер и снижает ваш риск получить отказ от банка в возврате средств.

        3. В текущей реализации интернет код (если имеется в виду 3D Secure) который в некоторых банках приходит в СМС, в других устанавливается заранее, запрашивается только когда этот протокол поддерживается с двух сторон. В остальных случаях транзакция пройдёт и без него.

        4. В общем да. Ещё может иметь смысл сменить карту или пин-код на ней после поездок в другие страны.
    • 0
      Добавлю к этому: бумажку с пин-кодом (ибо банкомат — лучший способ анонимно снять наличные с ворованной карты) желательно сжечь до прочтения.
      • 0
        Это если на карте приоритет подписи, а то может неудачно получиться ;)
  • –3
    Саундтрек поста Nervniy — Тонны картона.
    pleer.com/tracks/49523806wJO
  • 0
    Простите, а где деньги утекли?
    В магазине каком-то или из банкомата?
    Вообще-то вам всё должны вернуть до копейки, если вы оспариваете транзакции. Ведь есть камеры и всё такое.
    Недавно моей карточкой сделали пару покупок в магазине — несущественных, прощупывали.
    В банке сказали, что я могу оспорить эти покупки и получить назад свои деньги.
    Я не стал заморачиваться — сумма около 10 долларов.
    • 0
      Простите, а где деньги утекли?
      В магазине каком-то или из банкомата?

      Где сняли копию не удалось выяснить, но выпотрошили в одном из банкоматов в ТЦ в печально известном районе Петербурга (Купчино). Причем у других пострадавших точек пересечения не было, кроме места откуда кто то ушел с очень большой суммой денег. Видимо вор накапливал данные и потом все разом на выходных обналичил.
    • 0
      Вы когда нибудь слышали, что бы при помощи записей с камер нашли карточного вора? Если это не знакомый потерпевшего, то шанс ничтожен. Судя по сообщениям в прессе полиция не горит желанием искать многомиллионные хищения со счетов фирм, не думаю, что они всё бросят и будут искать по нечётким записям хоть кого-то. Если случайно попадутся — возможно.
      • 0
        Ну не знаю. Там отлично видно того, кто снимает деньги. Я как-то сопровождал банкоматы и ПО, к ним относящееся.
  • 0
    Ещё один вариант защиты: в интернет банкинге отключить возможность снимать деньги с карточки в банкоматах.
    Интернет покупку только с помощью одноразового пароля на телефон.
    Останется им только в магазинах реальных отоваривать карточку, а это самое не безопасное для них.
    • 0
      Пароль на телефон тоже обходится.
    • +1
      Интернет покупки лучше делать по виртуальным картам. Сложности могут быть с отелями и самолётами если попросят предъявить карту с которой совершалась оплата.
  • +2
    Как бы это не было печально, но законодательной базы регламентирующей ответственность банков при осуществлении мошеннических действий с пластиковыми картами в России пока нет.


    Вот тут Вы ошибаетесь. Такая база есть и очень давно. Называется Гражданский Кодекс.

    Статья 854. Основания списания денежных средств со счета
    1. Списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
    2. Без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.


    В итоге, если банк Вас «послал» — идёте даже не в полицию, а непосредственно в суд и заявляете: так, мол, и так, банк необоснованно списал с моего счёта сто рублей, а я — клиент, такого распоряжения не давал.

    Гарантировать тут ничего, естественно, нельзя — но очень во многих случаях такой подход работает. Дело в том, что юридически все эти пин-коды и прочее — это просто буквы в договоре, а договор не может противоречить ГК. И пускай у злого кардера Васи есть «белый пластик» с данными Вашей карты, все пин-коды и прочие явки-пароли — если Вам удастся доказать, что операцию совершали не Вы (клиент) — считайте, что половина дела сделана. Потому что согласно ГК — распоряжаться счётом может Клиент и только Клиент. А не Вася. Даже если он знает пин-код. А что банк поверил Васе — проблемы банка.

    Ещё раз — понятно, что в нашей судебной системе гарантировать ничего нельзя. Но много подобных дел было выиграно клиентами, а ещё банки иногда просто не хотят заморачиваться и если клиент намерен идти до конца — возвращают деньги сами.
  • +2
    и специальный код cv1 и cv2 на обороте

    Это неправда. В случае с Visa есть коды CVV и CVV2. В случае с MasterCard есть коды CVC и CVC2.
    CVV или CVC записан на магнитной полосе среди дискреционных данных. Используется в операциях с присутствием карты (англ. Card present transaction).
    CVV2 или CVC2 записан на обороте карты. Используется в операциях без присутствия карты (англ. Card not present transaction, CNP).

    Есть такой метод кардинг (англ. carding – прочесывание). В этом случае злоумышленник завладевает базой интернет-магазина или какого нибудь онлайн банка и снимает деньги с карт к которым удается получить доступ.

    Это разновидность кардинга (онлайн-кардинг). Использование дампов для покупок в физических магазинах и комбинаций дамп + пин для обналичивания в банкоматах — это тоже кардинг.

    Моя любимая часть — СМС-информирование. Очень полезная вещь, вы всегда будете видеть, как утекают ваши деньги.

    Это тоже неправда. Рассмотрим ситуацию, когда кардер знает ваш номер телефона, на котором завязано СМС-информирование.
    Предположим, кардер просто не хочет, чтобы вы получали СМС об операциях. В таком случае на ваш номер телефона будет осуществлён флуд из звонков и СМС.
    Теперь предположим, кардеру нужно знать код подтверждения. В таком случае кардер посылает дропа в салон связи или офис оператора, чтобы он получил дубликат СИМ-карты с вашим номером. В момент изготовления дубликата ваша настоящая СИМ-карта перестаёт работать. Все звонки и СМС будут приходить на дубликат.
    • 0
      С последней частью некоторые банки научились бороться заключив договоры с сотовыми операторами и блокируют доступы при смене сим-карты. По блокированию поступления информации, вот новый способ.
    • 0
      > В таком случае кардер посылает дропа в салон связи или офис оператора, чтобы он получил дубликат СИМ-карты с вашим номером.

      А разве для этого не нужно паспорт показывать?
      Пару раз менял симку — всегда спрашивали.
      • +1
        Ну если работник салона связи не ваш соучастник — то нужно. Тоже менял много раз симки и все время только по паспорту. Спасибо за замечания, сделал поправки в статье.
        • 0
          Кроме того, нужны паспортные данные жертвы. Обычный сотрудник обычного салона не имеет к ним доступа, только сотрудники центрального офиса оператора.
          • 0
            Вряд ли из-за нескольких десятков или даже сотен тысяч будут проворачивать эту схему. Вот десяток миллионов украсть со счёта юр. лица вполне адекватная цена для операции.
            • 0
              Разумеется. Поэтому утверждение "… В таком случае кардер посылает дропа в салон связи или офис оператора, чтобы он получил дубликат СИМ-карты с вашим номером." выглядит странным: или вы идиот-миллионер, держащий на карте огромные суммы, и за вами открыли охоту, или, если не удалось обчистить вас стандартными способами (у вас защита в виде кода подтверждения) — просто отстанут, т.к. овчинка выделки не стоит.
  • +2
    Недавно заметил что в магазине кассир сфотографировал мобилой мою карту. Кассира сдал СБ магазина, но скорее всего ему ничего не будет, выгонят да и все. А карту отменил сразу…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.