Господа!
Я понимаю, что тема обсуждалась, но тем не менее.
Я правильно понимаю, что распространяемая у нас "втычка" от небезизвестного украинского производителя - фактически портативный скимер, который позволяет считывать и копириывать данные с банковской краты?
Соответственно,
насколько безопасно давать свою карту человеку с таким устройством?
Все-таки Урбк преувеличивает :-D Если бы мини-терминалы были столь опасны, их бы не использовали 2 года в стране, где огромное количество платежей совершаются безналичным способом...
я так понял старую тему читать и вникать никто не хочет отпишусь здесь по новой.
данный сервис и устройство изначально предназначены для ускорения ввода данных карты тех самых 16 цифирек в интернет платежах.
____________________________________________________________
Для оплаты услуг плательщик запускает приложение Flint для iOS и сканирует номер карты с помощью камеры смартфона. Фотографию номера делать нет необходимости ? чтобы она не хранилась в памяти iPhone и случайно не попала в руки злоумышленникам. Как только номер карты отсканирован и распознан в
приложении, плательщик вносит в нем и необходимые для подтверждения карты данные. Это дата, когда истекает срок ее действия, код безопасности, почтовый индекс и даже адрес электронной почты плательщика ? для отправки электронного чека. Наконец, остается подтвердить правильность отсканированного
номера карты и поставить электронную подпись (это легко сделать на дисплее iPhone).
____________________________________________________________
Тут вроде все понятно и проблем вроде нет.
Огромнейшая дыра в следующем
____________________________________________________________
Как показывает эксперимент с данным устройством украинских производителей, считываемый сигнал может получать не только специализированное программное обеспечение. Данные с карты в виде аудиофайла фиксирует любая программа записи
входящего аудиопотока, что позволяет сделать ?слепок? карты на любом смартфоне или ноутбуке. Фактически карта становится ?скомпрометированной?,
____________________________________________________________
Расшифровываю
Если совместно с данной программой оплаты по
карте, запустить допустим диктофон , с записью звука с внешнего микрофона,(тоже аудио гнездо куда воткнуто устройство считки.) То на телефоне мы получим аудиозапись с треком карты.
Теперь представим, что написан вирус, который включает диктофон автоматом при вызове программы оплаты, и
совместно с запросом на оплату покупки в банк, трек в виде аудиофайла летит на сервак на Кайманах.
Теперь представьте кто будет виноват в списании средств с клиента у которого карта побывала в таком устройстве?
___________________________________________________________________________
Замечено, что "буржуи" довольно часто выводят на рынок технологически, простите, "дырявые" продукты. Но у них другой подход к управлению рисками - они предпочитают их страховать, а не делать технологически
хорошо.
Скомпрометировалась карта, украли деньги? Ну и фиг с ней, карту перевыпустят, деньги вернут, это все изначально в стоимость продукта заложено.
___________________________________________________________________________
у нас же будет виноват держатель
карты......
и никоим образом банк выбросивший на рынок такие штуки и даже не клиент с вирусами в телефоне....
Соответственно, насколько безопасно давать свою карту человеку с таким устройством?
Доброго дня! В момент покупки на телефон покупателя приходит кодик, без введения которого оплата не пройдет)
Так же на страже
клиентов несколько систем безопасности, новая система шифрования и понимание того, как сделать так, чтобы у клиентов не было подобных проблем) Кстати, нужно заметить, что с момента запуска их и не наблюдается, что говорит гораздо лучше о положении дел, чем старательно нагнетаемое в статье)
Думаю, коллеги из других банков, запустившие подобные терминалы, могут также предоставить свое видение и мнение. Всегда актуальнее получать информацию, основанную на фактах, а не на предположениях)
Android Hide Call Record - Одна из лучших программ для запись разговоров с возможностью полной маскировки и автозапуском приложения . AHCR полностью переведена на русский язык и для работоспособности приложения вам не потребуется получать рут-прав. По мнению редакции это одна из лучших
программ для записи разговоров с линии, благодаря своим гибким настройкам она просто незаменима для записи своих разговоров.
Кроме записи с линии приложение умеет работать как простой диктофон с возможностью выбора времени запуска записи, так же есть возможность постоянной записи.
Record Mic and Call для Андроид, это превосходная программа, основной функцией которой является запись ваших телефонных разговоров, а также приложение которое может служить в качестве диктофона. Программа производит автоматическую запись всех входящих и исходящих звонков, при этом
пользователь имеет возможность настраивать их автоматическое удаление через определенный промежуток времени: один день, неделя или месяц. С помощью Record Mic and Call для Андроид можно отправлять записи по электронной почте.
Имхо заставить включаться такие проги при вызове
программы оплаты на телефоне, как два пальца об тротуар.
на второй вообще делать ничего не надо, указываешь приложение которое служит в качестве диктофона ( Программа оплаты) :-)
и вуаля................ все записалось и на мыло ушло.
Доброго дня! В момент покупки на телефон покупателя приходит кодик, без введения которого оплата не пройдет)
Татьяна, держателю карты 24.ru., при операции со "втычкой", ОТР (кодик) тоже приходит? Вы только не
сразу отвечайте, 24.ru 3Д секьюру со стороны эмитента не поддерживает... :cool:
Кстати, нужно заметить, что с
момента запуска их и не наблюдается, что говорит гораздо лучше о положении дел
в момент запуска банкоматов о скимерах тоже никто не наблюдал.........
а потом как поперло :lol:
не успевали карты перевыпускать,
сейчас вы редко где увидите банкомат без антискиминга.........
Тут вопрос поднялся по поводу считывания звуковой дорожки, содержащей инфо про магнитную полосу и тп.
Ну и ответ был вразумительный, что есть кодик на телефон.
И тут 3д секьюер не при чем, как бы не навевало мысли на эту штуку.
Здесь проходит подтверждение через ОТП-коды от
платежной системы.
В статье идут переживания за 54-ФЗ, про кассовый чек.
Ни один терминал не печатает кассовый чек! Терминал печатает слип (читаем тот же 54-ФЗ), и уже на слипе ставится подпись. По поводу "Электронной подписи" и ее компрометации в России. Исходя из этого из Ашана надо
убрать терминалы и вернуть все деньги за компромитированные карты? У них также используется терминал с сенсорным экраном для подписи.
Обратите как-нибудь внимание на 2 чека при оплате по безналу и 1 чек при оплате налом.
Так вот по операции с термитом приходит на почту электронный
вариант слипа, который не избавляет продавца от необходимости выдавать кассовый чек, товарный чек, квитанцию. Однако он также как и распечатанный чек их Ашана будет подтверждать факт совершения операции по карте, и на нем будет стоять такая же подпись как на чеке в Ашане.
PS: Да! Я клиент
Ашана)
По поводу скимминга... Поверьте, те же "крутые программисты" могут записать на диктофон считывание карты в магазине, могут сделать мощный PayPass-терминал, который сможет считывать карту на расстоянии нескольких метров (такой пример уже был)... Прошелся по улице до работы - можно уже не работать)
Денег насобирал с прохожих по мелочовке)
А вообще, если карту потерял, украли надо блокировать сразу... :ultra:
я так понял подтянулись технари..... или опять продажники???
судя по
Цитата: От пользователя: Njarlathothep
Ну и ответ был вразумительный, что есть кодик на телефон.
опять продажник
Цитата: От пользователя: Njarlathothep
Поверьте,
те же "крутые программисты" могут записать на диктофон считывание карты в магазине, могут сделать мощный PayPass-терминал, который сможет считывать карту на расстоянии нескольких метров (такой пример уже был)
вы приводите примеры, злого умысла лиц имеющих доступ и
соответствующие знания.
я согласен , что и в магазине, с защищенным терминалом, продавец может катать карты под видом предоставления скидок, и терминал могут с фальсифицировать.
НО при термите, так называемый продавец , может быть просто не в курсе, что кроме банка, данные
уплывают на строну.
я выше привел два примера программ, если у вас есть данные устройства по экспериментируйте...
Программа использует защищенный канал для передачи данных, потому данные могут попасть только в банк. Сервис как минимум контролируется МПС и банком. МПС самим, думаете, нужны эти проблемы с опротестованиями, мошенничествами?
Лично я слежу за картами и смотрю смски. Если что не так, знаю, что
надо карту блокировать.
И приложения обязательно протестю;-)
скимминг (от англ. skim ? снимать сливки), при котором используется скиммер ? инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты.
Скиммеры могут накапливать украденную информацию о пластиковых картах, либо дистанционно передавать ее по радиоканалу, интернету злоумышленникам. После копирования информации с карты, мошенники изготавливают дубликат карты и,....................................... Также мошенники могут
использовать полученную информацию о банковской карте для совершения покупок в торговых точках.
в момент самой операции с использованием втычки/термита всё будет хорошо - кодики на телефон ему придут.
Но, одновременно, параметры карты утекут "налево" и, когда пройдут "левые" списания с карты (через 6 мес, через 1 год) с другого
конца света, никаких кодиков на мобильный он уже не получит. А если и получит, то будет поздно.
Если риск компрометации карты на штатном pos-терминале можно оценить в N%, то при использовании втычки/термита - рисков на порядок больше.
Здесь проходит подтверждение через ОТП-коды от платежной системы.
О как :lol::lol::lol::lol::lol: OTP платежной системы :lol::lol::lol::lol::lol:
это не технарь и не продавец, это осеннее обострение
в чистом виде, навеяное :lol::lol::lol::lol::lol:
Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь.
Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на
эту же страницу)
