Втычка как портативный скимер
M
MXI
Господа!
Я понимаю, что тема обсуждалась, но тем не менее.
Я правильно понимаю, что распространяемая у нас "втычка" от небезизвестного украинского производителя - фактически портативный скимер, который позволяет считывать и копириывать данные с банковской краты?
Соответственно, насколько безопасно давать свою карту человеку с таким устройством?
А то начитался http://urbc.ru/1068003464-iz-ameriki-s-lyubovyu-ne... и сомнения меня одолели. не может же все быть так просто?
Я понимаю, что тема обсуждалась, но тем не менее.
Я правильно понимаю, что распространяемая у нас "втычка" от небезизвестного украинского производителя - фактически портативный скимер, который позволяет считывать и копириывать данные с банковской краты?
Соответственно, насколько безопасно давать свою карту человеку с таким устройством?
А то начитался http://urbc.ru/1068003464-iz-ameriki-s-lyubovyu-ne... и сомнения меня одолели. не может же все быть так просто?
k
kristianb
она теперь не втычка а термит
k
kuprum
да было уже все, про это обсосано, лень за ново поднимать.
http://www.e1.ru/talk/forum/read.php?f=72&i=214272...
http://www.e1.ru/talk/forum/read.php?f=72&i=214272...
Д
Домашний хорек
Все-таки Урбк преувеличивает Если бы мини-терминалы были столь опасны, их бы не использовали 2 года в стране, где огромное количество платежей совершаются безналичным способом...
k
kuprum
2 года в стране
в какой стране?
Д
Домашний хорек
в какой стране?
В США
k
kuprum
я так понял старую тему читать и вникать никто не хочет отпишусь здесь по новой.
данный сервис и устройство изначально предназначены для ускорения ввода данных карты тех самых 16 цифирек в интернет платежах.
____________________________________________________________
Для оплаты услуг плательщик запускает приложение Flint для iOS и сканирует номер карты с помощью камеры смартфона. Фотографию номера делать нет необходимости ? чтобы она не хранилась в памяти iPhone и случайно не попала в руки злоумышленникам. Как только номер карты отсканирован и распознан в приложении, плательщик вносит в нем и необходимые для подтверждения карты данные. Это дата, когда истекает срок ее действия, код безопасности, почтовый индекс и даже адрес электронной почты плательщика ? для отправки электронного чека. Наконец, остается подтвердить правильность отсканированного номера карты и поставить электронную подпись (это легко сделать на дисплее iPhone).
____________________________________________________________
Тут вроде все понятно и проблем вроде нет.
Огромнейшая дыра в следующем
____________________________________________________________
Как показывает эксперимент с данным устройством украинских производителей, считываемый сигнал может получать не только специализированное программное обеспечение. Данные с карты в виде аудиофайла фиксирует любая программа записи входящего аудиопотока, что позволяет сделать ?слепок? карты на любом смартфоне или ноутбуке. Фактически карта становится ?скомпрометированной?,
____________________________________________________________
Расшифровываю
Если совместно с данной программой оплаты по карте, запустить допустим диктофон , с записью звука с внешнего микрофона,(тоже аудио гнездо куда воткнуто устройство считки.) То на телефоне мы получим аудиозапись с треком карты.
Теперь представим, что написан вирус, который включает диктофон автоматом при вызове программы оплаты, и совместно с запросом на оплату покупки в банк, трек в виде аудиофайла летит на сервак на Кайманах.
Теперь представьте кто будет виноват в списании средств с клиента у которого карта побывала в таком устройстве?
___________________________________________________________________________
Замечено, что "буржуи" довольно часто выводят на рынок технологически, простите, "дырявые" продукты. Но у них другой подход к управлению рисками - они предпочитают их страховать, а не делать технологически хорошо.
Скомпрометировалась карта, украли деньги? Ну и фиг с ней, карту перевыпустят, деньги вернут, это все изначально в стоимость продукта заложено.
___________________________________________________________________________
у нас же будет виноват держатель карты......
и никоим образом банк выбросивший на рынок такие штуки и даже не клиент с вирусами в телефоне....
данный сервис и устройство изначально предназначены для ускорения ввода данных карты тех самых 16 цифирек в интернет платежах.
____________________________________________________________
Для оплаты услуг плательщик запускает приложение Flint для iOS и сканирует номер карты с помощью камеры смартфона. Фотографию номера делать нет необходимости ? чтобы она не хранилась в памяти iPhone и случайно не попала в руки злоумышленникам. Как только номер карты отсканирован и распознан в приложении, плательщик вносит в нем и необходимые для подтверждения карты данные. Это дата, когда истекает срок ее действия, код безопасности, почтовый индекс и даже адрес электронной почты плательщика ? для отправки электронного чека. Наконец, остается подтвердить правильность отсканированного номера карты и поставить электронную подпись (это легко сделать на дисплее iPhone).
____________________________________________________________
Тут вроде все понятно и проблем вроде нет.
Огромнейшая дыра в следующем
____________________________________________________________
Как показывает эксперимент с данным устройством украинских производителей, считываемый сигнал может получать не только специализированное программное обеспечение. Данные с карты в виде аудиофайла фиксирует любая программа записи входящего аудиопотока, что позволяет сделать ?слепок? карты на любом смартфоне или ноутбуке. Фактически карта становится ?скомпрометированной?,
____________________________________________________________
Расшифровываю
Если совместно с данной программой оплаты по карте, запустить допустим диктофон , с записью звука с внешнего микрофона,(тоже аудио гнездо куда воткнуто устройство считки.) То на телефоне мы получим аудиозапись с треком карты.
Теперь представим, что написан вирус, который включает диктофон автоматом при вызове программы оплаты, и совместно с запросом на оплату покупки в банк, трек в виде аудиофайла летит на сервак на Кайманах.
Теперь представьте кто будет виноват в списании средств с клиента у которого карта побывала в таком устройстве?
___________________________________________________________________________
Замечено, что "буржуи" довольно часто выводят на рынок технологически, простите, "дырявые" продукты. Но у них другой подход к управлению рисками - они предпочитают их страховать, а не делать технологически хорошо.
Скомпрометировалась карта, украли деньги? Ну и фиг с ней, карту перевыпустят, деньги вернут, это все изначально в стоимость продукта заложено.
___________________________________________________________________________
у нас же будет виноват держатель карты......
и никоим образом банк выбросивший на рынок такие штуки и даже не клиент с вирусами в телефоне....
Соответственно, насколько безопасно давать свою карту человеку с таким устройством?
Доброго дня! В момент покупки на телефон покупателя приходит кодик, без введения которого оплата не пройдет)
Так же на страже клиентов несколько систем безопасности, новая система шифрования и понимание того, как сделать так, чтобы у клиентов не было подобных проблем) Кстати, нужно заметить, что с момента запуска их и не наблюдается, что говорит гораздо лучше о положении дел, чем старательно нагнетаемое в статье)
Думаю, коллеги из других банков, запустившие подобные терминалы, могут также предоставить свое видение и мнение. Всегда актуальнее получать информацию, основанную на фактах, а не на предположениях)
k
kuprum
Доброго дня! В
момент покупки на телефон покупателя приходит кодик, без введения которого оплата не пройдет)
момент покупки на телефон покупателя приходит кодик, без введения которого оплата не пройдет)
а на отсылаемый на кайманы аудиофайл, с треком карты, подтверждение не требуется :-)
k
kuprum
Android Hide Call Record - Одна из лучших программ для запись разговоров с возможностью полной маскировки и автозапуском приложения . AHCR полностью переведена на русский язык и для работоспособности приложения вам не потребуется получать рут-прав. По мнению редакции это одна из лучших
программ для записи разговоров с линии, благодаря своим гибким настройкам она просто незаменима для записи своих разговоров.
Кроме записи с линии приложение умеет работать как простой диктофон с возможностью выбора времени запуска записи, так же есть возможность постоянной записи.
Record Mic and Call для Андроид, это превосходная программа, основной функцией которой является запись ваших телефонных разговоров, а также приложение которое может служить в качестве диктофона. Программа производит автоматическую запись всех входящих и исходящих звонков, при этом пользователь имеет возможность настраивать их автоматическое удаление через определенный промежуток времени: один день, неделя или месяц. С помощью Record Mic and Call для Андроид можно отправлять записи по электронной почте.
Имхо заставить включаться такие проги при вызове программы оплаты на телефоне, как два пальца об тротуар.
на второй вообще делать ничего не надо, указываешь приложение которое служит в качестве диктофона ( Программа оплаты) :-)
и вуаля................ все записалось и на мыло ушло.
[Сообщение изменено пользователем 24.10.2012 19:41]
[Сообщение изменено пользователем 24.10.2012 19:41]
Кроме записи с линии приложение умеет работать как простой диктофон с возможностью выбора времени запуска записи, так же есть возможность постоянной записи.
Record Mic and Call для Андроид, это превосходная программа, основной функцией которой является запись ваших телефонных разговоров, а также приложение которое может служить в качестве диктофона. Программа производит автоматическую запись всех входящих и исходящих звонков, при этом пользователь имеет возможность настраивать их автоматическое удаление через определенный промежуток времени: один день, неделя или месяц. С помощью Record Mic and Call для Андроид можно отправлять записи по электронной почте.
Имхо заставить включаться такие проги при вызове программы оплаты на телефоне, как два пальца об тротуар.
на второй вообще делать ничего не надо, указываешь приложение которое служит в качестве диктофона ( Программа оплаты) :-)
и вуаля................ все записалось и на мыло ушло.
[Сообщение изменено пользователем 24.10.2012 19:41]
[Сообщение изменено пользователем 24.10.2012 19:41]
f
fb_sterh
Доброго дня! В момент покупки на телефон покупателя приходит кодик, без введения которого оплата не пройдет)
Татьяна, держателю карты 24.ru., при операции со "втычкой", ОТР (кодик) тоже приходит? Вы только не сразу отвечайте, 24.ru 3Д секьюру со стороны эмитента не поддерживает...
k
kuprum
Кстати, нужно заметить, что с
момента запуска их и не наблюдается, что говорит гораздо лучше о положении дел
момента запуска их и не наблюдается, что говорит гораздо лучше о положении дел
в момент запуска банкоматов о скимерах тоже никто не наблюдал.........
а потом как поперло
не успевали карты перевыпускать,
сейчас вы редко где увидите банкомат без антискиминга.........
не волнуйтесь будет и на вашей улице "праздник"
k
kuprum
вот как реализовано, когда по уму...................
http://www.ingenico.com/ru/продукты/платежные_терминалы/new_products__range/ismp_gtygmj7t.html
только ценник наверное нифига не 10$
http://www.ingenico.com/ru/продукты/платежные_терминалы/new_products__range/ismp_gtygmj7t.html
только ценник наверное нифига не 10$
n
nyancat
[Сообщение удалено пользователем 26.12.2012 13:21]
k
kuprum
Только как gprs модем?
и Аккумулятор :-)
n
nyancat
[Сообщение удалено пользователем 26.12.2012 13:21]
k
kuprum
ЫЫЫЫЫ
а понты то куда деть:-)
зы на самом деле не знаю что как там реализовано
а понты то куда деть:-)
зы на самом деле не знаю что как там реализовано
S
Sergey_Zi
Тут вопрос поднялся по поводу считывания звуковой дорожки, содержащей инфо про магнитную полосу и тп.
Ну и ответ был вразумительный, что есть кодик на телефон.
И тут 3д секьюер не при чем, как бы не навевало мысли на эту штуку.
Здесь проходит подтверждение через ОТП-коды от платежной системы.
В статье идут переживания за 54-ФЗ, про кассовый чек.
Ни один терминал не печатает кассовый чек! Терминал печатает слип (читаем тот же 54-ФЗ), и уже на слипе ставится подпись. По поводу "Электронной подписи" и ее компрометации в России. Исходя из этого из Ашана надо убрать терминалы и вернуть все деньги за компромитированные карты? У них также используется терминал с сенсорным экраном для подписи.
Обратите как-нибудь внимание на 2 чека при оплате по безналу и 1 чек при оплате налом.
Так вот по операции с термитом приходит на почту электронный вариант слипа, который не избавляет продавца от необходимости выдавать кассовый чек, товарный чек, квитанцию. Однако он также как и распечатанный чек их Ашана будет подтверждать факт совершения операции по карте, и на нем будет стоять такая же подпись как на чеке в Ашане.
PS: Да! Я клиент Ашана)
Ну и ответ был вразумительный, что есть кодик на телефон.
И тут 3д секьюер не при чем, как бы не навевало мысли на эту штуку.
Здесь проходит подтверждение через ОТП-коды от платежной системы.
В статье идут переживания за 54-ФЗ, про кассовый чек.
Ни один терминал не печатает кассовый чек! Терминал печатает слип (читаем тот же 54-ФЗ), и уже на слипе ставится подпись. По поводу "Электронной подписи" и ее компрометации в России. Исходя из этого из Ашана надо убрать терминалы и вернуть все деньги за компромитированные карты? У них также используется терминал с сенсорным экраном для подписи.
Обратите как-нибудь внимание на 2 чека при оплате по безналу и 1 чек при оплате налом.
Так вот по операции с термитом приходит на почту электронный вариант слипа, который не избавляет продавца от необходимости выдавать кассовый чек, товарный чек, квитанцию. Однако он также как и распечатанный чек их Ашана будет подтверждать факт совершения операции по карте, и на нем будет стоять такая же подпись как на чеке в Ашане.
PS: Да! Я клиент Ашана)
S
Sergey_Zi
По поводу скимминга... Поверьте, те же "крутые программисты" могут записать на диктофон считывание карты в магазине, могут сделать мощный PayPass-терминал, который сможет считывать карту на расстоянии нескольких метров (такой пример уже был)... Прошелся по улице до работы - можно уже не работать)
Денег насобирал с прохожих по мелочовке)
А вообще, если карту потерял, украли надо блокировать сразу...
А вообще, если карту потерял, украли надо блокировать сразу...
k
kuprum
я так понял подтянулись технари..... или опять продажники???
судя по
опять продажник
вы приводите примеры, злого умысла лиц имеющих доступ и соответствующие знания.
я согласен , что и в магазине, с защищенным терминалом, продавец может катать карты под видом предоставления скидок, и терминал могут с фальсифицировать.
НО при термите, так называемый продавец , может быть просто не в курсе, что кроме банка, данные уплывают на строну.
я выше привел два примера программ, если у вас есть данные устройства по экспериментируйте...
судя по
Ну и ответ был вразумительный, что есть кодик на телефон.
опять продажник
Поверьте,
те же "крутые программисты" могут записать на диктофон считывание карты в магазине, могут сделать мощный PayPass-терминал, который сможет считывать карту на расстоянии нескольких метров (такой пример уже был)
вы приводите примеры, злого умысла лиц имеющих доступ и соответствующие знания.
я согласен , что и в магазине, с защищенным терминалом, продавец может катать карты под видом предоставления скидок, и терминал могут с фальсифицировать.
НО при термите, так называемый продавец , может быть просто не в курсе, что кроме банка, данные уплывают на строну.
я выше привел два примера программ, если у вас есть данные устройства по экспериментируйте...
S
Sergey_Zi
Программа использует защищенный канал для передачи данных, потому данные могут попасть только в банк. Сервис как минимум контролируется МПС и банком. МПС самим, думаете, нужны эти проблемы с опротестованиями, мошенничествами?
Лично я слежу за картами и смотрю смски. Если что не так, знаю, что надо карту блокировать.
И приложения обязательно протестю;-)
Лично я слежу за картами и смотрю смски. Если что не так, знаю, что надо карту блокировать.
И приложения обязательно протестю;-)
k
kuprum
Njarlathothep
вы знаете что означает термин "скиминг"
скимминг (от англ. skim ? снимать сливки), при котором используется скиммер ? инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты.
Скиммеры могут накапливать украденную информацию о пластиковых картах, либо дистанционно передавать ее по радиоканалу, интернету злоумышленникам. После копирования информации с карты, мошенники изготавливают дубликат карты и,....................................... Также мошенники могут использовать полученную информацию о банковской карте для совершения покупок в торговых точках.
a
artest
Товарищ Njarlathothep не понимает простой вещи:
в момент самой операции с использованием втычки/термита всё будет хорошо - кодики на телефон ему придут.
Но, одновременно, параметры карты утекут "налево" и, когда пройдут "левые" списания с карты (через 6 мес, через 1 год) с другого конца света, никаких кодиков на мобильный он уже не получит. А если и получит, то будет поздно.
Если риск компрометации карты на штатном pos-терминале можно оценить в N%, то при использовании втычки/термита - рисков на порядок больше.
в момент самой операции с использованием втычки/термита всё будет хорошо - кодики на телефон ему придут.
Но, одновременно, параметры карты утекут "налево" и, когда пройдут "левые" списания с карты (через 6 мес, через 1 год) с другого конца света, никаких кодиков на мобильный он уже не получит. А если и получит, то будет поздно.
Если риск компрометации карты на штатном pos-терминале можно оценить в N%, то при использовании втычки/термита - рисков на порядок больше.
f
fb_sterh
Здесь проходит подтверждение через ОТП-коды от платежной системы.
О как OTP платежной системы
это не технарь и не продавец, это осеннее обострение в чистом виде, навеяное
Авторизуйтесь, чтобы принять участие в дискуссии.