Полезная информация для кардхолдеров
B
Bad-001
Взято с credcard.ru:
Служба безопасности Газпромбанка предупреждает: неэлектронный фишинг в Турции
Термин «фишинг» (phishing) — измененная форма от английских слов PHONE (телефон) и FISHING (рыбная ловля). Он появился в «американском» английском для обозначения схем жульничества с целью выманить у пользователей номера их кредитных карточек, пароли доступа к банковским счетам и счетам платежных систем.
Традиционными каналами и инструментарием получения фишерами конфиденциальных данных являются электронные средства информационных технологий. Это использование электронной почты, создание сайтов, программного обеспечения со скрытым злонамеренным кодом, служб мгновенных сообщений и т.п. Человек, далекий от Интернета, практически не мог попасть в сети фишеров.
Однако в связи с увеличением объемов эмиссии микропроцессорных карт и связанной с этим процессом программой международных платежных систем «чип и пин» (осуществление покупки в торговом предприятии посредством ввода ПИН-кода) появилась новая разновидность фишинга.
Это так называемый неэлектронный фишинг. В данных схемах создаются реальные торгово-сервисные предприятия либо используются уже существующие. Под каким-либо предлогом в них завлекаются держатели платежных карт для совершения покупки товаров или оказания услуг. Оплата при этом производится с использованием банковских карт и сопровождается введением клиентом своего ПИН-кода. Сотрудники мошеннических предприятий негласно копируют информацию с магнитной полосы карты и производят запись ПИН. Далее изготавливается поддельная платежная карта и в банкоматах производится снятие денежных средств со счета клиента.
Как видно, цели и средства в этой схеме полностью совпадают с традиционным фишингом – получение конфиденциальных данных (ПИН) путем обмана держателя карты.
Впервые такой вид мошенничества был зафиксирован российскими банками летом 2006 года в Турции, куда в разгар туристического сезона направляется множество наших соотечественников. У многих из них есть банковские карты, и периодически возникает необходимость снять наличные. Но количество банкоматов в Турции не всегда может удовлетворить потребности наших туристов. Зачастую их просто нет рядом с отелем, иногда они не работают или выдают денежные средства в режиме, который не устраивает держателя. В связи с этим в Турции появилась новая услуга – получение наличных денежных средств на предприятиях торговли. Часто они называются post-office. Для карт-холдера процедура очень схожа с получением денежных средств в пунктах выдачи наличных (ПВН) банков, к которой он привык. Но на самом деле она нарушает правила международных систем и отличается от обслуживания клиента в ПВН. Для банка-эмитента, выпустившего карту, такие операции выглядят как обычная покупка в магазине, что уже предпол! агает обман со стороны торгового предприятия. Но самое неприятное в том, что при получении денежных средств держателя просят ввести свой ПИН-код, правильность ввода которого должен проверить банк-эмитент. Но ПИН не направляется эмитенту, а записывается мошенниками с помощью устройства, имитирующего ПИН-ПАД (дополнительный модуль торгового терминала, специально предназначенный для ввода ПИН-кодов и обеспечения их конфиденциальности). Клиент банка, вернувшись из Турции, через некоторое время может обнаружить в выписке по счету своей банковской карты операции снятия денежных средств в банкоматах, которые он не совершал.
Если Вы стали клиентом такого ложного пункта выдачи наличных, немедленно заблокируйте свою банковскую карту и обратитесь в свой банк для ее перевыпуска. При этом подробно опишите обстоятельства совершения операции. Это поможет банку определить мошенническую торговую точку для принятия мер реагирования и, возможно, повлияет на решение банка перевыпустить вам карту бесплатно (это будет зависеть от политики вашего банка-эмитента).
Отправляясь на отдых в Турцию, будьте особенно осторожны с вводом ПИН-кода. Используйте его только в банкоматах и ПВН банков. Убедитесь, что ПВН – это именно учреждение банка, а не обычный магазинчик или торговая лавка, которые помимо продажи товаров занимаются еще и обналичиванием денежных средств по пластиковым картам.
18.07.06
Служба безопасности Газпромбанка предупреждает: неэлектронный фишинг в Турции
Термин «фишинг» (phishing) — измененная форма от английских слов PHONE (телефон) и FISHING (рыбная ловля). Он появился в «американском» английском для обозначения схем жульничества с целью выманить у пользователей номера их кредитных карточек, пароли доступа к банковским счетам и счетам платежных систем.
Традиционными каналами и инструментарием получения фишерами конфиденциальных данных являются электронные средства информационных технологий. Это использование электронной почты, создание сайтов, программного обеспечения со скрытым злонамеренным кодом, служб мгновенных сообщений и т.п. Человек, далекий от Интернета, практически не мог попасть в сети фишеров.
Однако в связи с увеличением объемов эмиссии микропроцессорных карт и связанной с этим процессом программой международных платежных систем «чип и пин» (осуществление покупки в торговом предприятии посредством ввода ПИН-кода) появилась новая разновидность фишинга.
Это так называемый неэлектронный фишинг. В данных схемах создаются реальные торгово-сервисные предприятия либо используются уже существующие. Под каким-либо предлогом в них завлекаются держатели платежных карт для совершения покупки товаров или оказания услуг. Оплата при этом производится с использованием банковских карт и сопровождается введением клиентом своего ПИН-кода. Сотрудники мошеннических предприятий негласно копируют информацию с магнитной полосы карты и производят запись ПИН. Далее изготавливается поддельная платежная карта и в банкоматах производится снятие денежных средств со счета клиента.
Как видно, цели и средства в этой схеме полностью совпадают с традиционным фишингом – получение конфиденциальных данных (ПИН) путем обмана держателя карты.
Впервые такой вид мошенничества был зафиксирован российскими банками летом 2006 года в Турции, куда в разгар туристического сезона направляется множество наших соотечественников. У многих из них есть банковские карты, и периодически возникает необходимость снять наличные. Но количество банкоматов в Турции не всегда может удовлетворить потребности наших туристов. Зачастую их просто нет рядом с отелем, иногда они не работают или выдают денежные средства в режиме, который не устраивает держателя. В связи с этим в Турции появилась новая услуга – получение наличных денежных средств на предприятиях торговли. Часто они называются post-office. Для карт-холдера процедура очень схожа с получением денежных средств в пунктах выдачи наличных (ПВН) банков, к которой он привык. Но на самом деле она нарушает правила международных систем и отличается от обслуживания клиента в ПВН. Для банка-эмитента, выпустившего карту, такие операции выглядят как обычная покупка в магазине, что уже предпол! агает обман со стороны торгового предприятия. Но самое неприятное в том, что при получении денежных средств держателя просят ввести свой ПИН-код, правильность ввода которого должен проверить банк-эмитент. Но ПИН не направляется эмитенту, а записывается мошенниками с помощью устройства, имитирующего ПИН-ПАД (дополнительный модуль торгового терминала, специально предназначенный для ввода ПИН-кодов и обеспечения их конфиденциальности). Клиент банка, вернувшись из Турции, через некоторое время может обнаружить в выписке по счету своей банковской карты операции снятия денежных средств в банкоматах, которые он не совершал.
Если Вы стали клиентом такого ложного пункта выдачи наличных, немедленно заблокируйте свою банковскую карту и обратитесь в свой банк для ее перевыпуска. При этом подробно опишите обстоятельства совершения операции. Это поможет банку определить мошенническую торговую точку для принятия мер реагирования и, возможно, повлияет на решение банка перевыпустить вам карту бесплатно (это будет зависеть от политики вашего банка-эмитента).
Отправляясь на отдых в Турцию, будьте особенно осторожны с вводом ПИН-кода. Используйте его только в банкоматах и ПВН банков. Убедитесь, что ПВН – это именно учреждение банка, а не обычный магазинчик или торговая лавка, которые помимо продажи товаров занимаются еще и обналичиванием денежных средств по пластиковым картам.
18.07.06
C
Cybervlad
Ну вот и свершилось...
Лично мне подобная схема мошенничества была понятна уже давно, удивляло ее отсутствие "в дикой природе".
Может быть теперь МПС, наконец, погонят всех пинками в светлое будущее, т.е. обяжут полностью перейти на чип и отказаться от магнитной полосы совсем? Ибо скопировать чип все-таки "немного сложнее" :-)
Лично мне подобная схема мошенничества была понятна уже давно, удивляло ее отсутствие "в дикой природе".
Может быть теперь МПС, наконец, погонят всех пинками в светлое будущее, т.е. обяжут полностью перейти на чип и отказаться от магнитной полосы совсем? Ибо скопировать чип все-таки "немного сложнее" :-)
s
sUser-N
будьте особенно осторожны с вводом ПИН-кода
Действительно довольно очевидная схема. Хотя я вообще нигде кроме банка и АТМ пин-код не вводил и не собираюсь набирать. Были предолжения в торговле ввести свой пин, но я просто отказывался от покупки или брал за нал.
C
CKKPSS™
мне вообще как-то раз предложили пин продиктовать, тк. терминал стоял довольно далеко от прилавка.
я предложил девочкам-продавцам, что я зайду за прилавок, и введу его самостоятельно (я покупал авиа- и ждбилеты), они отказались, мотивировав тем, что чужим за стойку заходить нельзя
я сообшил им, что в противном случае покупка отменяется, так как такой суммы наличными у меня нет
они согласились пустить меня за стойку, я набрал пин.
ЗЫ. карта чиповая СК, контора по продаже билетов ебуржская
я предложил девочкам-продавцам, что я зайду за прилавок, и введу его самостоятельно (я покупал авиа- и ждбилеты), они отказались, мотивировав тем, что чужим за стойку заходить нельзя
я сообшил им, что в противном случае покупка отменяется, так как такой суммы наличными у меня нет
они согласились пустить меня за стойку, я набрал пин.
ЗЫ. карта чиповая СК, контора по продаже билетов ебуржская
99% покупок у меня по полосе, по чипу в ебурге вообще не сталкивался. Сегодня, например, в одном из магазинчиков в Успенском мне предложили ввести пин, типа, что-то у них там не коннектилось. Я предложил, чтобы они попробовали еще раз... Со второго раза у них получилось. Зачем просили пин? не
ясно... Наверно, девочки просто не в теме. Надеюсь.
s
sUser-N
карта чиповая СК, контора по продаже билетов ебуржская
У вас это МПСовская или типа Аккорда карта была?
Станно, но даже при чтении чипа на МПСовской (полоса-чип-полоса) с меня ни разу (в нормальных точках) не попросили пин.
C
CKKPSS™
У вас это МПСовская или типа Аккорда карта была?
Станно, но даже при чтении чипа на МПСовской (полоса-чип-полоса) с меня ни разу (в нормальных точках) не попросили пин.
Станно, но даже при чтении чипа на МПСовской (полоса-чип-полоса) с меня ни разу (в нормальных точках) не попросили пин.
карта с полосой и чипом, обычная виза классик
Д
ДенСяоПин
Уважаемые специалисты! Расскажие пожалуйста какой сокральный смысл в печати кода CVV2 на обратной стороне карты? Ведь смысл этого когда подтвердить что транзакцию через инет совершает сам картхолдер. Но где гарантия что какой-нить продавец в магазине не запонит этот когда пока будет подпись сверять,
данные карты у него на чеке останутся скорее всего, и затем спокойно чего-нить прикупит в интернете за чужой счет? Почему код просто не говорится клиенту (печатается в договоре), а именно наносится на карту?
s
sUser-N
Ведь смысл этого когда подтвердить что транзакцию через инет совершает сам картхолдер
А с чего вы взяли, что код CVC/CVV подтвердает, а точнее идентифицирует кардхолдера? Насколько я знаю, только пин предназначен для такой идентификации и все. А коды CVC/CVV предназначены только для идентификации, что номер карты не фикция, то есть выступают как некая контрольная сумма. И все. Да продавец может запомнить этот номер, как и другие реквизиты карты, но при расследовании вы думаете не установят его?
Q
Quatre Pattes
Буквально вчера расплачивался картой VISA (без чипа) в аптеле Диола. Мне высунули в окошко пинпад и предложили ввести PIN, что меня очень удивило. Я его просто не помню, т.к. карту использую только для покупок, наличные с нее никогда не снимаю. Когда сказал, что PIN не помню и потянулся уже
достать наличные, мне предложили "попробовать так". "Так" (без пина) у них получилось. :-) Вопрос - что это было?
Эквайер в этой точке - Банк Москвы (судя по выданному чеку терминала).
Эквайер в этой точке - Банк Москвы (судя по выданному чеку терминала).
Q
Quatre Pattes
программой международных платежных систем «чип и пин»
А что это за программа? Я, конечно, не специалист, но мне всегда казалось, что вводить PIN где попало не следует. Если МПС планируют ввести массовую практику запроса PIN в торговой сети, то возможностей для фишинга будет просто море.
Если банкомат как-никак не так уж просто правдоподобно подделать, то выдать клиенту "клон" пинпада в торговой точке можно элементарно..
Я чего-то не понимаю?
s
sUser-N
Если МПС планируют ввести массовую практику запроса PIN в торговой сети
В топку такую торговую точку, в топку такую МПС. :-)
B
Bad-001
Если МПС планируют ввести массовую практику запроса PIN в торговой сети, то возможностей для фишинга будет просто море.
Вот только клонировать чиповую карту будет существенно сложнее. А без карты ПИН зачем?
Q
Quatre Pattes
Вот только клонировать чиповую карту будет существенно сложнее
Так пока и у чиповых карт магнитная полоса есть, не говоря уже о нечиповых. Клонируем магнитную полосу и идем в банкомат. Насколько я понимаю, полное исчезновение банкоматов, требующих только чип в обязательном порядке в ближайшее время не предвидится?
C
Cybervlad
Так пока и у чиповых карт магнитная полоса есть, не говоря уже о нечиповых. Клонируем магнитную полосу и идем в банкомат.
... где выясняется, что для чипа и полосы разные ПИНы :-)
B
Bad-001
Клонируем магнитную полосу и идем в банкомат
И что? :-d
Либо операция не пройдет (банкомат не увидет чипа), либо эквайер попадет на деньги.
.. где выясняется,
что для чипа и полосы разные ПИНы
И это запросто.
полное исчезновение банкоматов, требующих только чип в обязательном порядке в ближайшее время не предвидится?
Не догоняю :-(
Q
Quatre Pattes
.. где выясняется, что для чипа и полосы разные ПИНы
Хмм. Если так, то хорошо. Только вот на всех чиповых картах, которые у меня когда-то были (2 шт от двух разных банков) пин был только один. Да и с точки зрения клиента помнить два разных пина и не перепутать, когда какой вводить - это неслабая проблема.
C
Cybervlad
Да и с точки зрения клиента помнить два разных пина и не перепутать
По-хорошему - ПИН к полосе забыть, как страшный сон :-)
ПИН - только к чипу.
С полосой - только подпись на чеке ;-)
Q
Quatre Pattes
Либо операция не пройдет (банкомат не увидет чипа), либо эквайер попадет на деньги.
Берем старый банкомат, который про чип не знает, а работает по полосе. Операция пройдет (полоса клонирована), пин правильный. Почему на деньги попадет эквайер, а не клиент? Как клиент сможет доказать, что операция была по клону, а не по оригинальной карте?
По-хорошему - ПИН к полосе забыть, как страшный сон
Все равно не понимаю. Серьезно. Допустим мне выдали карту и два пина к ней. Как я (обычный непродвинутый клиент) должен знать какой пин вводить в какой ситуации? Я ведь не знаю, когда операция проводится по чипу, а когда по полосе. На банкомате это не написано.
Т.е. получается, что пока в мире существуют банкоматы, работающие по полосе, клиентам во избежание путаницы нужно выдавать карты с одним пином. А значит вариант фишинга, который я описал выше, вполне возможен. И как от него защититься - непонятно совершенно.
В перспективе, действительно, можно будет вообще оставить только пин+чип или полоса + подпись. Операции полоса+пин (без подписи) запретить совсем. Но для этого прежде всего нужно полностью перевести все банкоматы на чип, что быстро вряд ли получится.
P.S. Заренее прошу прощения у профессионалов за рассуждения с точки зрения дилетанта. Просто вопрос действительно интересен, в первую очередь как потребителю. :-)
B
Bad-001
Как клиент сможет доказать, что операция была по клону, а не по оригинальной карте?
Эмитент вправе опротестовать транзакцию по чиповой карте в нечиповом устройстве. Так что нечиповые эквайеры сильно рискуют.
Про пин, кстати, речь-то идет про оффлайновый и онлайновый.
Л
Любопытный из деревни
Жжут мужики
T
Toyo
лучще бы с клиентами работали, кто оспаривает
S
SmT
ага, меня послали один раз
f
fb_sterh
По-хорошему - ПИН к полосе забыть, как страшный сон
ПИН - только к чипу.
С полосой - только подпись на чеке
ПИН - только к чипу.
С полосой - только подпись на чеке
Влад, хоть Вы и кибер не нужно про два пина, или у Вас банкоматы off-line пин принимают???
"Эмитент вправе опротестовать транзакцию по чиповой карте в нечиповом устройстве. Так что нечиповые эквайеры сильно рискуют."
Женя, это не так, никто не рискует, а попадает клиент, банкомат не работает с off-line пином, пины проверяются в on-line, для этого у тебя в ПЦ HSM стоит :-)
Quatre Pattes - человек озвучивает результаты программы "Chip&Pin" , они именно таковы, увеличилось количество неотбиваемого фрода :-(
С уважением
Sterh
Авторизуйтесь, чтобы принять участие в дискуссии.