Дыры в безопасности банковских карт

Здесь перечислены основные дыры в безопасности банковских карт:
http://hranidengi.ru/moshennichestvo-s-bankovskimi...
Магнитная полоса, отсутствие необходимости вводить пин-код, возможность совершать онлайн-платежи, зная только номер карты и срок действия, а также технология PayPass.
Вопрос: это паранойя или нет?

:ultra:

Эту дыру сложно эксплуатировать, говорят можно, но надо иметь спец оборудование и подойти вплотную,
да и ограничение на снятие небольших сумм без пинкода, много не снять.




Это дырень огромных размеров, любой кассир на кассе может запомнить ваш номер и дату и снять позднее денег.
Ну или любой карманник. :-)

3DS решает :beach:

лимиты решают. пользователь не может запретить трансакции в виртуальном терминале без 3Ds. банк может, но это против правила систем.

Есть куча сайтов, где не требуется ввод 3ds, так что это не панацея.
Вот с Paypass - это как раз истерия на ровном месте. Слишком сложно реализовать, слишком копеечный выхлоп (1000 рублей с операции, несколько операций подряд провести нельзя), слишком геморройная обналичка денег (деньги попадут не мошеннику в карман, а на расчетный счет предприятия, которому выдали терминал).

А так да, если у злоумышленника в руках оказалась ваша карта, то он без особых проблем сможет опустошить счет. Как оффлайн-магазинах, где можно отказаться от ввода пин-кода, так и онлайн.

Мораль простая, для обеспечения безопасности есть всего два пункта:
- лимиты в банке. Интернет-операции запрещаем по умолчанию и включаем только в момент оплаты. Снятие наличных запрещаем, если не требуется. Лимит на траты ставим минимальный, потом поднимаем при необходимости.
- не держать большую сумму денег на расчетной карте. Деньгам (коли уж они в банке) место на вкладе/накопительном счете. Ну или хотя бы на карте, которой вы не расплачиваетесь каждый день, а которая лежит дома в шкафу.

Ну и не впадать совсем в паранойю. Почему-то я уверен, что если таскать с собой карту, на которой лежат условные 100 тысяч рублей, и кошелек, в котором та же сумму тысячными купюрами, вероятность остаться без денег во втором случае намного выше.

эту дыру задолбали уже пиарить на всех сайтах :ultra:

Например где??? :fotku:

есть места в интернетах, где свс-свв2 не нужен.

Крупные магазины (Amazon, AliExpress, наш Озон), всякие чисто софт-магазины (Google, Sony, Apple), многие аггрегаторы авиа-жд-билетов. Да и в общем любые желающие. Подозреваю, что есть немало полуфейковых магазинов, в которых злоумышленник без критичных проблем обналичит свои деньги.

Тут надо отметить, что ответственность за мошеннические операции без ввода 3ds лежит на экваере, и в цивилизованных странах банк-эмитент без каких-то затруднений вернет клиенту его средства. У нас, боюсь, немного другие реалии.

это все понятно, еще, например, Авито без 3ДС.
НО! Как потом эти деньги оттуда вывести?
в билетах есть ФИО, в магазах - адрес, все это можно отследить, при желании конечно

успеть получить товар на подставное лицо, продать и пропить.

Товар можно и использовать, и продать.
Проблема в том, что когда злоумышленник успел что-то оплатить украденной картой, вам уже особо не горячо и не холодно, что он дальше будет делать. На вас автоматом вешается гора геморроя, с многочисленными походами в банк и в полицию, а с деньгами можно наверное с 90% вероятностью попрощаться всё равно.
И даже если его вычислят и поймают, что прямо скажем как раз не очень вероятно, назначат вам по суду получать с него дай бог по 500 рублей в месяц.

где конкретно не нужен? платил в разных местах интернета, везде cvc был обязателен.

по-рассейски

товар пройдет на владельца карты и на почте РФ придется предъявлять паспорт.

он как раз про импорт-экспорт.
"заказ по емейл, почте, телефону"

т.е. до формы оплаты никто не может догадаться что заказчик из РФ? :lol:

Решает смс-пароль на каждый чих, хочешь перевод онлайн - вводи код из смс.
А вот 3DS - дыра. Как и виртуальная карта без смс.

туфта это! без cvc/cvv невозможно ничего купить. это заложено в систему.

короче, стырить деньги с карты можно 2-мя базовыми способами.

1. скиммером "сдернуть" инфу с магнитной ленты и изготовить дубликат карты. если известен пин, то можно сразу идти к бабкомату. если пин неизвестен - то в магазин, отовариваться. этот вариант возможен только с картами без чипа. чип подделать никому не удалось.

2. если есть инфа эмбоссированная на карте + cvc, то таки можно что то списать с карты через и-нет в мерчах, которые не поддерживают 3D secure. по товару - его обычно отправляют не на свой адрес а на адрес дропов, которые потом пересылают на твой адрес и т.д. но кроме геморойных tangible goods есть еще варианты с подарочными картами или чем нибудь intangible.

ЗЫ: попытаться защититься от второго варианта можно замазав cvc на карте. защититься от скимера сложнее. но в обоих случаях 100% защиты не существует.

ЗЫЫ: карты с чипом более защищены чем карты без чипа.

[Сообщение изменено пользователем 09.04.2016 21:37]

пейпал как-то работает. код проверяется, только если терминал его отсылает или эмитент обязательно требует. по всем (или большинству) виртуалкам этого требования нет, так устроена система

а при чем тут списание через терминал?
назовите хоть один и-нет магазин в котором НЕ НАДО указывать cvc/cvv?

не при чем, если вы так ни разу не делали.

Amazon

Помнится, на банкире один пользователь всё описывал особенности поддельных карт, с другими пользователями дискутировал на тему голограмма похожа\не похожа, а потом как-то, "случайно", присел за мошенничество. Т
Всем теоретикам и любителям "халявы"\обмануть ближнего советую знать и помнить эту поучительную историю.