Здравствуйте, JazzzMaster, Вы писали:
JM>Случился сабж. JM>Сижу я сегодня на работе, вдруг посыпались смс-уведомления о снятии с карты. Карта лежит рядом в бумажнике. JM>Мигом звоню в процессинг, пока дозвонился, продиктовал номер карты, кодовое слово, но заблокировать не успел. Сняли в 5 транзакций все, что было на карте — последняя з.п и отпускные.
Скиммер это не обязательно банкомат, это может быть и магазин и вообще любая точка где ты карточкой расплачиваешься.
Даже в банкомате скиммер можно запрятать так хорошо, что тебе и не снилось.
Re[7]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, techgl, Вы писали:
T>Здравствуйте, Eugeny__, Вы писали:
E__>>Но довелось мне как-то дрова писать для пин клавиатур. Делали мы эквайринг карт в платежных терминалах для некоторых банков. Так вот, я ответственно заявляю: в открытом виде пин нигде не хранится! И просто доступ к базе данных ничего не даст. T>Доступ к базе процессинга имеет, например, специалист отдела процессинга. Другое дело, что их в первую очередь и будут проверять. Так что сомнительная одноразовая выгода.
Ну, во-первых, доступ к базе без знания ключей для расшифровки весьма бесполезен. А доступ к базе + знание ключей — это уже совсем другое. Если же ключи хранятся в базе(а не внутри специальных шифровальных девайсов, куда их можно только записать, но никак не достать, и записью занимаются только привилегированные), то банк нарушает все возможные и невозможные нормы безопастности, и ссзб.
Ясен пень, гендир при желании может получить многое. Но это "рутовый" доступ. Правда, за такие махинации и ему кой-че светит, но это другого уровня разговор.
А насчет проверки всех, кто имеет хоть какой-то доступ — ну это естественно.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Re[12]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, Erop, Вы писали:
E>Здравствуйте, Eugeny__, Вы писали:
E__>>Я тебя не понимаю. Расскажи, пожалуйста, что именно ты собрался перебирать(а я скажу, почему это у тебя не выйдет, если у тебя нет рутовых полномочий в банке). А то получается сферический перебор непонятно чего в вакууме.
E>Насколько я тебя понял, ты утверждал, что доступ внутрь банкомата бесполезен, так как из клавы наружу выходит только хэш. E>Ну так перехватываешь то, что в клаву входит + полученный хэш, дампишь это всё куда-то. E>А потом подбираешь пин-код...
Не хеш. А шифрованная 16-байтная(по-моему, не буду врать, но не менее 16 точно) последовательность как минимум не меньшим ключем. Для каждой карты(даже с одинаковым пином) разная. Однозначно расшифровываемая только при знании расшифрованной версии рабочего ключа, либо при знании рабочего ключа + мастер ключа пинпада.
Кстати, как ты собрался подбирать пин, даже в случае хеша?
ЗЫ точные данные по длинам ключей и последовательностей дам завтра, если будет не влом. У меня часа два рабочих, потом бухалово на природе с сотрудниками, а потом я в отпуск, так что, возможно, и позже все будет.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Re[8]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, Erop, Вы писали:
E>Здравствуйте, Eugeny__, Вы писали:
E__>>Во-вторых, банк, который такое сделает, огребет по полной. Хрен с ними с деньгами, но инфовойну я могу устроить. А банки сейчас своих дебетчиков ценят, не то время, чтобы так внаглую кидать. У нас, вон, несколько банков навернулось исключительно из-за паники, народ начал выводить деньги. Думаю, что банку лучше устроить все по-правилам, нежели выхватывать эффект от появления такого решения суда(с темой "он херово хранил свой пин и влетел на бабло, а мы все в белом") в интернетах(а если поставить целью, то и на тв).
E>IMHO, я лично в PR-войне против банка не выгребу чисто по бабкам... E>Про тебя не знаю.
Там много денег не надо(по крайней мере, в Украине). В инете размещать бесплатно, а тв, если хороший материал, тебе еще и приплатить может, их-то доход на рекламе(<- аудитории и скандальности), тут главное хорошо подойти(у нас таки СМИ, что не говори, даже близко не принадлежат власти, по крайней мере одной).
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Re[7]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, JazzzMaster, Вы писали:
JM>Здравствуйте, Eugeny__, Вы писали:
E__>>Это да. E__>>Получается, в Киеве доверие к людям сильно больше, чем в Москве .
JM>Возможно на Украине законадательство в этом плане другое.
Да нет. Имеют все право и документы требовать, и пин. Тут вон говорили, что в некоторых городах очень даже требуют. В Киеве почти всегда* хватает росписи. В Донецке тоже. В Святогорске(типа курорт) тоже только расписывался.
* В Киеве требовали раз пин. Но транзакция была на почти 3000 грн(около 12000 рублей сейчас, тогда это было около 15000 рублей, курс был другой, до кризиса еще), так что неудивительно.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Re[9]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, Eugeny__, Вы писали:
E__>* В Киеве требовали раз пин. Но транзакция была на почти 3000 грн(около 12000 рублей сейчас, тогда это было около 15000 рублей, курс был другой, до кризиса еще), так что неудивительно.
Я бы отказался. В отличии от банкомата, в магазине вводишь пин у всех на виду.
JM>Сегодня выяснилось, что 3 августа точно таким же образом украли деньги еще у одного нашего сотрудника, который уже месяц как находится в командировке в другом городе (не в Москве). JM>И единственный банкомат, в котором мы могли снимать деньги оба — это тот, который стоит в офисе нашей фирмы!
JM>Кстати, это похоже уже не в первый раз происходит.. JM>http://www.kadis.ru/daily/?id=61937
Угу, не первый раз. Причем всегда люди опытные в обращениях с банкоматами и о скиммерах знают.
Если у Райффа есть дыры в IT системах и через них инфа утекает то это кирдык
Причем такие косяки банки признают только когда их к стенке прижимают...
Здравствуйте, Alf, Вы писали:
Alf>Угу, не первый раз. Причем всегда люди опытные в обращениях с банкоматами и о скиммерах знают. Alf>Если у Райффа есть дыры в IT системах и через них инфа утекает то это кирдык Alf>Причем такие косяки банки признают только когда их к стенке прижимают...
А бывает же, время от времени проскакивает в новостях про то, как какой-нибудь очередной крупный банк заметил брешь в своей системе, и отозвал на всякий случай сколько-нибудь там тысяч пластиковых карточек. Особенно приятно, наверное, тем, кто в момент отзывания у него карточки находился где-нибудь далеко от дома...
Re[2]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, Ikemefula, Вы писали:
I>Скиммер это не обязательно банкомат, это может быть и магазин и вообще любая точка где ты карточкой расплачиваешься.
I>Даже в банкомате скиммер можно запрятать так хорошо, что тебе и не снилось.
Анти-фрод системы работают на статистическом анализе транзакций, как текущих, так и с некоторым окном.
Если система детектит у второго и более клиента съема денег в месте отличном от типичных мест и/или съем денег с небольшим интервалом в разных городах, при этом все эти люди до этого проводили операции в одном и том же банкомате или магазине — этот терминал будет в списке для проверки.
То что антифрод система у райффа стоит — факт. Совершал оплату нескольких аккаунтов в ММОРПГ, через полчаса позвонили узнавать действительно я несколько раз одни и те же суммы перечислял по пейпалу.
Но можно реагировать, а можно и не реагировать...
Re[3]: Украли деньги с пластиковой карты. Наличкой.
Alf>То что антифрод система у райффа стоит — факт. Совершал оплату нескольких аккаунтов в ММОРПГ, через полчаса позвонили узнавать действительно я несколько раз одни и те же суммы перечислял по пейпалу.
Я тоже имел с ней дело. В Голландии. Где оказался с десяткой, что ли, наличных денег, а в банкоматах деньги мне система выдавать отказывалась. Хорошо, телефон был — смог позвонить и решить вопрос.
Да здравствует мыло душистое и веревка пушистая.
Re[2]: Украли деньги с пластиковой карты. Наличкой.
I>Скиммер это не обязательно банкомат, это может быть и магазин и вообще любая точка где ты карточкой расплачиваешься.
Если мы говорим о терминах — возможно, я не спец.
Но скиммер, который узнал только номер карты, без пина, не очень-то полезен.
I>Даже в банкомате скиммер можно запрятать так хорошо, что тебе и не снилось.
Согласен.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Re[10]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, Pzz, Вы писали:
Pzz>Здравствуйте, Eugeny__, Вы писали:
E__>>* В Киеве требовали раз пин. Но транзакция была на почти 3000 грн(около 12000 рублей сейчас, тогда это было около 15000 рублей, курс был другой, до кризиса еще), так что неудивительно.
Pzz>Я бы отказался. В отличии от банкомата, в магазине вводишь пин у всех на виду.
У терминала был достаточной длины провод, чтобы я его вытянул к себе к груди, и без палева, прикрыв рукой, набрал пин.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Re[9]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, Eugeny__, Вы писали:
E__>Там много денег не надо(по крайней мере, в Украине). В инете размещать бесплатно, а тв, если хороший материал, тебе еще и приплатить может, их-то доход на рекламе(<- аудитории и скандальности), тут главное хорошо подойти(у нас таки СМИ, что не говори, даже близко не принадлежат власти, по крайней мере одной).
А ты пробовал хоть раз вести PR-войну в СМИ? Я вот пробовал. То, что забесплатно что-то получится -- это наивность, IMHO.
На самом деле ТВОИ проблемы никому не интересны...
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Re[13]: Украли деньги с пластиковой карты. Наличкой.
Здравствуйте, Eugeny__, Вы писали:
E__>Кстати, как ты собрался подбирать пин, даже в случае хеша?
Ну типа у клавы есть перехватываемый вход + то, что набрал пользователь + перехватываемый выход + известный алгоритм шифрования.
Ну перебираешь 10 000 вариантов того, что мог набрать пользователь -- и вуаля, знаешь что он набрал
E__>ЗЫ точные данные по длинам ключей и последовательностей дам завтра, если будет не влом. У меня часа два рабочих, потом бухалово на природе с сотрудниками, а потом я в отпуск, так что, возможно, и позже все будет.
Правда всё может быть хитрее. Типа можно так хитро всё сделать, что каждый раз подойдёт штук 10 пинов, но каждый раз другие, кроме того самого, заветного...
Правда мы получим 10 вариантов, и можно таки попробовать три какие-то из них. в 30% случаев нам таки повезёт...
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Re[5]: Украли деньги с пластиковой карты. Наличкой.
Когда я приезжал в последний раз в Москву, то при попытке заплатить кредиткой попросили ввести пин-код, и были немало удивлены тем, что у меня к этой кредитке пина вообще не существует в принципе Просто в Канаде для авторизации используют пин или подпись, но не то и другое одновременно, а посему я решил не создавать пин при активации карты. Во-первых, снять нал с такой карты в принципе невозможно, а потому можно не бояться её кражи (посмотрел бы я на подбирающих пин к ней )
Другая креда была с пином (ибо чипованная), так вот — попросили ввести пин, а потом ещё и расписаться на чеке Кстати обратил внимание, что на чеках в Москве нет (не было) поля для типсов — а как же тогда их давать — только кэшем чтоли? Я как-то отвык уже таскать с собой вообще какой-либо кэш (ну кроме стандартной двадцатки "на всякий случай", которая лежит у меня в кошельке уже наверное год)...
Здравствуйте, koandrew, Вы писали:
K>Кстати обратил внимание, что на чеках в Москве нет (не было) поля для типсов
Нету. Самое смешное — в европе иногда это поле попадается, но писать туда смысла нет. Видимо машинки американские
K> — а как же тогда их давать — только кэшем чтоли?
Да. В принципе, пару лет назад можно было вообще типсов не давать. Сейчас — 5-10% будет достаточно, а это совсем небольшие деньги.
... << RSDN@Home 1.2.0 alpha 4 rev. 1237 on Windows 7 6.1.7100.0>>
Здравствуйте, Eugeny__, Вы писали:
E__>Получается, в Киеве доверие к людям сильно больше, чем в Москве .
Дело не в доверии, а в том, что карты для оплаты в РФ используют намного меньше. Даже в крупных сетевых московских супермаркетах карты принимают не всегда, а если и принимают, то их использование редчайший случай. К примеру, в аптеке, где сестра работает, карточки предъявляют в среднем раз в пару недель (причем наверное процентов 10 — я по карточке там покупаю , и документы, что характерно не требуют ).
А так — за все время в РФ расплачивался несколько раз в аптеке, да один раз в Эльдорадо, потому как налички мало было. В Эльдорадо спросили паспорт, пин, и подпись затребовали. При том в штатах за пару последних поездок разок снимал десятку, толлы платить. Что забавно, зря — после того как мне удалось открыть загадочную коробочку, оказалось что это аналог ez-pass.
... << RSDN@Home 1.2.0 alpha 4 rev. 1237 on Windows 7 6.1.7100.0>>
Еще, кстати, косвенный признак распространенности карточек — РФ пока что считается довольно безопасной страной в плане карточного мошенничества, а для Украины некоторые банки даже блокируют по дефолту платежи в ней. При этом мне крайне сомнительно, что это потому что в РФ так хорошо кардеров ловят.
... << RSDN@Home 1.2.0 alpha 4 rev. 1237 on Windows 7 6.1.7100.0>>
Здравствуйте, Erop, Вы писали:
E__>>Кстати, как ты собрался подбирать пин, даже в случае хеша?
E>Ну типа у клавы есть перехватываемый вход + то, что набрал пользователь + перехватываемый выход + известный алгоритм шифрования. E>Ну перебираешь 10 000 вариантов того, что мог набрать пользователь -- и вуаля, знаешь что он набрал
А если прохешированный пин разбавлен килобайтом случайных данных и потом эта ботва была зашифрована и в таком виде появилась на выходе?
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
)
