Заказать пластиковую карточку: миссия выполнима. Изготовление пластиковых карт с магнитной полосой
После вчерашней истории с кражей денег с моей карты Сбербанка путем клонирования карты, я решил вникнуть, как же это происходит.
И, честно говоря, был шокирован двумя вещами: что создать копию карты легко может даже школьник и что США просто райское место для мошенников, клонирующих банковские карты.
То, что вы прочтете в этом посте, многих их вас очень удивит.
Предупреждение: данный пост написан ИСКЛЮЧИТЕЛЬНО в ознакомительных целях и для предупреждения читательской аудитории о потенциальных опасностях при пользовании банковскими картами.
Копирования своих или чужих банковских карт является нарушением законом РФ и влечет за собой уголовную ответственность.
Не пытайтесь использовать информацию из этого поста для осуществления неправомерных действий по копированию и использованию банковских карт!
Вы знаете, что банковские карты — это перезаписываемый носитель малой ёмкости (около 2 кб)? Фактически, дискета. А скорее, аудиокассета! Если у вас есть старый кассетный магнитофон, включите его и проведите магнитной полосой кредитной карты по головке. Вы услышите звук: магнитофон считал номер счёта, имя владельца карты и дополнительную служебную информацию. Нет, конечно современные банковские карты немного сложнее, чем обычная магнитофонная лента, однако принцип действия идентичен. И как это часто бывает со многими техническими решениями, устаревшими, но принятыми и используемыми повсеместно... кредитные карты фактически не имеют какой-либо серьёзной защиты от копирования!
Их можно просто переписать, как в далекие 80-е мы переписывали Metallica или Ласковый Май с кассеты соседа по парте.
И именно этим занимаются множество мошенников по всему миру, считывая информацию с наших карт скиммерами, записывая затем карты-клоны и продавая их на гигантском черном рынке. К примеру, в Южной Америке на поток поставлено воровство данных с карт (в Бразилии уже даже не пытаются бороться с установкой скиммеров на банкоматы), а в США - легализация карт-клонов.
Что, как и почему, читайте под катом.
Как устроена банковская карта
В зависимости от банка и типа карты на ней может быть установлено 3 элемента: магнитная полоса на обратной строне карты, EMV-чип и RFID (чип и антенна для бесконтактного считывания карты, так называемый Pay Pass). Самая современная карта имеет все три элемента. Самая незащищенная - та, у которой есть только магнитная полоса. А теперь, внимание! Магнитная полоса есть на ВСЕХ картах. То есть все карты можно скопировать. Дальше вопрос в том, можно ли скопированную карту использовать. С этим сложнее, ведь чип подделывать до сих пор так и не научились и в любом банке вам скажут, что ваша чипованная карта защищена и воспользоваться ее клоном не смогут. Это НЕПРАВДА! Мою чипованную карту склонировали и ею воспользовались. Как?
И в этом месте на арену выходят США! В этой самой богатой стране в мире до сих пор банки ПРАКТИЧЕСКИ не выпускают карты с чипами, пользуясь картами с полосой, и даже вашу чипованную карту в магазине будут по-старинке прокатывать на полосу! При том, что практически все терминалы в точках продажи без проблем могут работать с чипованными картами.
То есть, для использования вашей суперзащищенной чипованной карты в США мошенникам даже не нужно пытаться копировать ваш чип! Они без проблем смогут прокатать магнитную полосу карты где-нибудь на кассе самообслуживания. Именно поэтому в начале поста я назвал США раем для мошенников подобного плана.
Почему это происходит? Все просто! Ничего личного, просто бизнес. Все карты в США застрахованы от кражи средств, за страховку платит клиент, так что это просто гигантский рынок для страховых компаний. Так зачем банкам напрягаться и тратить лишние деньги на более дорогие чипованные карты?
Теперь давайте подробнее об элементах защиты карты.
1. Магнитная полоса на обратной стороне карты.
на самом деле магнитных полосы целых три, так называемые Track 1, 2 и 3.
Вот как полоса выглядит под микроскопом.
Теоретически, вооружившись ножницами, скотчем, картоном и куском магнитофонной плёнки, можно сделать собственную магнитную карту! Хотя проще найти уже готовую, чистую или пустить в дело старую кредитку с истёкшим сроком действия. Мошенники для массовой записи клонов используют даже различные подарочные карточки VISA и, так называемый "белый пластик" без каких либо принтов. Главное - пригодный для записи магнитный слой.
В банковских картах, как правило, используется Track 1 и 2. В прошлом на треке номер 3 хранился в зашифрованном виде пин-код — для возможности работы с банкоматами в офлайн-режиме. Но с развитием систем коммуникаций и откровенной уязвимости такого подхода последние банкоматы, которые работали с офлайн-пином на Track 3, ушли в небытие в середине 90-х. В настоящее время Track 3 в кредитных картах не используется. Поэтому пин-код мошенникам нужно добыть иным способом и для этого они в паре со скиммером используют либо накладку на клавиатуру банкомата, либо вешают маленькую видеокамеру над банкоматом. Если пин-код украсть не удастся, стоимость склонированного пластика будет невысокой, т.к. им можно воспользоваться только для покупки товаров, а это очень высокий риск. А вот если удалось и считать данные карты, и пин-код, стоимость такой карты возрастает в разы, ведь с нее можно снять наличные в любом банкомате. И, кстати, деньги по такой мошеннической операции (если был введен пин-код) банк вам не вернет по правилам VISA.
Вот как выглядит считывающая головка платежного терминала. На фото хорошо видны три элемента для считывания треков.
2. EMV (Europay, MasterCard, Visa Chip)
чип — похожий на сим-карту и имеющий схожие электронные характеристики. Данный чип отвечает за проверку транзакции по карте на EMV совместимых банкоматах и создан международным концерном кредитных компаний в ответ на излишнюю лёгкость в копировании кредиток с магнитной лентой.
Одна из причин того, что чипы не подделывают это то, что недостаточно просто скопировать содержимое чипа на другую карту в первую очередь потому, что никакой информации на чипе зачастую просто нет (иногда на чипе храниться копия Track 2). Проверка идёт на аппаратном уровне, в интернете встречаются упоминания, что банкомат генерирует некий номер, на который чип должен дать верный ответ. Однако во многих банках проверка идёт просто на наличие EMV-чипа от данного банка!!!
Другими словами, если записать магнитную полоску на карту без EMV-чипа или карту с EMV-чипом другого банка, то банкомат такую карту не примет, а вот если закатать дорожку на истёкшую карту того же банка с правильным EMV-чипом, то снять деньги можно.
В любом случае EMV защищает только возможность снять деньги с банкоматов причём только тех, что имеют такую функцию. В абсолютном большинстве платёжных терминалов и банкоматов по всему миру по-прежнему считывается только магнитная карта без участия EMV. Это особенно касается стран третьего мира и, как я уже сказал выше, США!
Как же копируют карты с магнитной полоской?
Существует достаточно большой ассортимент аппаратного обеспечения для работы с магнитными картами. Лучший выбор — это MSR 206 совместимые устройства: они наиболее распространены и к ним существует больше всего программного обеспечения. И вообще они есть в любом отеле, где в качестве ключа используется магнитная карта. Покупаются они через интернет-магазин типа Ebay.
Устройство работает через интерфейс последовательного com-порта. Стоимость колеблется от 100 до 300$, отличаются устройства между собой комплектацией и дизайном, но принципиальной разницы между ними нет.
Через TOR можно найти немало утилит, с помощью которых происходит считывание и копирование данных с магнитных полос.
Вот так выглядит интерфейс одной из них, Jerm
А вот так диалоговое окно для непосредственной работы с картой
Read
— считать карту. Индикатор на MSR206 загорается жёлтым цветом, карта считывается, ее содержимое появляется в окнах ASCII и HEX, а также в полях Track 1, 2, 3. Если нужно сохранить образ полученной карты, команда "File\Save as…". Если же сразу нужно сделать дубликат, просто Write
. Осталось провести чистой картой по MSR206 и все, карта скопирована!
Erase Track(s)
— если нужно использовать для перезаписи карту, на которой уже есть какая-то информация (например, банковская карта с истёкшим сроком действия), то перед повторным использованием карту нужно очистить. Для этого выделяются все три трека и нажимается кнопка Erase. Осталось провести картой по устройству.
Есть даже пакетный режим, Batch mode ,
если нужно записать сразу множество магнитных карт.
Как получают данные для копирования карты?
Как я уже сказал выше, мошенникам достаточно считать данные с магнитной полоски, а чип их вообще не интересует.
Как они это делают, знают все. С помощью скиммеров, которые накладывают на банкоматы.
Скиммером может быть пластиковая накладка, прикрепляемая к кардридеру, миниатюрная видеокамера в держателе для брошюр рядом с банкоматом. Также распространены специальные накладки на клавиатуру, считывающие порядок набора ПИН-кода. К банкоматам скиммеры крепятся с помощью обычного двустороннего скотча или застежки-«липучки». Например, если клавиатура была вогнутой, то специальная накладка сделает панель более плоской. Также скимминговое устройство может изменить сами клавиши: они будут либо утоплены в панель клавиатуры, либо, наоборот, слишком сильно выпирать. Производители банкоматов в последние годы стали устанавливать на банкоматы специальные устройства, позволяющие распознавать скиммеры.
Обнаружить невооруженным глазом скиммер на банкомате довольно сложно, поэтому рекомендуется пользоваться только теми банкоматами, которые расположены в отделениях банков, крупных торговых центрах, на охраняемой территории.
Да, скиммер способен украсть информацию только с магнитной полосы, а не с чипа. Но мошенникам, которые затем легализуют карты в США, этого достаточно.
Существуют также портативные скиммеры, позволяющие делать копию карты, когда она оказалась в руках злоумышленника (например, если он по совместительству ещё и официант в ресторане, где клиенты часто расплачиваются пластиковыми картами).
Из беседы с человеком, глубоко изучавшим эту тему, я узнал, что большинство данных карт в наше время "воруют" в Южной Америке. Если в России и других странах службы безопасности банков постоянно борятся со скиммерами, то в Бразилии и Колумбии этого просто не делается, что дает мошенникам широкие возможности.
Далее мошенники записывают полученные данные на, так называемый, белый пластик и оптом продают карты дельцам. Карты переправляются в США и с них либо снимают деньги, если удалось снять пин-код, либо по дешевке продают на черном рынке.
Ну а там уже кто в интернете что-то пытается купить, кто в супермаркете, как случилось с моей картой...
P.S. Да, а для защиты от скиммеров многие банкоматы устанавливают специальные прозрачные антискиммеры, вы их все видели. Вот только за границей они есть далеко не везде и именно там вы подвергаетесь наибольшему риску, что вашу карту могут скопировать.
При написание поста использованы некоторые материалы
Магнитная полоса позволяет автоматизировать процесс получения скидок. Всю работу по расчету скидки и хранении истории покупок ваших клиентов выполняет кассовый терминал. Вам остается только проверять статистику, назначать различные скидки и организовать распространение карт карт среди ваших клиентов.
Как заказать карты с магнитной полосой?
Многие считают, что на магнитной полосе могут храниться и накапливаться бонусы и скидки, однако это не совсем верное утверждение. Давайте попробуем разобраться в том как это работает.
При производстве каждой карточке присваивается уникальный номер, который кодируется на магнитной полосе. Под словом кодирование мы понимаем запись данных на магнитную полосу. В карту не записывается размер скидки, а записывается именно уникальный номер карты, который затем можно считать на кассе. При оформлении заказа Вам обязательно нужно согласовать нумерацию карт с вашим системным администратором или компанией, которая обслуживает кассовый терминал.
Что кодируется на магнитную полосу?
Магнитная полоса является носителем информации и состоит из трех дорожек для записи и хранения информации. Для изготовления дисконтных карт в нашей практике чаше всего используется вторая дорожка, на которую разрешается записывать цифры.
Согласно международному стандарту ISO 7810 предусматриваются ограничения на кодирование символов, на каждую из трех дорожек.
- 1 дорожка всегда начинается с символа «%», может содержать заглавные буквы латинского алфавита (A-Z), цифры (0-9) и спецсимволы (. ^; = + () - ‘ - ! ^@ # ^^ * / \). В конце записи проставляется «?». Например: «%MAGENTA495?»
- 2 дорожка всегда начинается с символа «^;», может содержать цифры(0-9) и знак «=». В конце записи проставляется «?». Например: «^;00001?»
- 3 дорожка всегда начинается с символа «_», может содержать цифры(0-9) и знак «=». В конце записи проставляется «?». Например: «_00001?»
Знаки «?», «;» и «_» позволяют определить ридеру какую дорожку он считывает, а символ «?» дает возможность понять где заканчивается запись. Данные спецсимволы не отображаются на кассовом терминале после чтения карты.
Магнитная полоса или штрих-код? Что же лучше?
Если Вы стоите перед выбором что же лучше может подойти для реализации дисконтной программы в вашем бизнесе, то ответ весьма прост. Для начала нужно посмотреть какое оборудование у вас уже установлено. Если применение штрих-кода потребует закупки сканеров и перенастройки программного обеспечения, то ответ однозначен - используйте магнитную полосу. Если же вы только задумались о способе реализации программы лояльности, то стоит внимательно присмотреться к выгоде, которую Вы получите при использовании штрих-кодов.
Прежде всего стоимость изготовления карт со штрих-кодом значительно меньше стоимости карт с магнитной полосой, карты не могут быть размагничены или повреждены.
В обоих случаях кассовый терминал получит номер карты для дальнейшей обработки и разницы способе чтения номера для него не будет иметь никакого значения. Однако у штрих-кода существует значительный минус, в том, что его можно дублировать на любом копировальном аппарате, что позволит недобросовестным сотрудниками использовать копии штрих-кодов даже на бумажном носителе. Карты с магнитной полосой скопировать без специализированно оборудование не представляется возможным.
Расположение магнитной полосы на пластиковой карте
Магнитная полоса располагается на расстоянии 4,5±1 мм от края карты и имеет ширину 12 мм. Для точного позиционирования магнитной полосы в макете карты Вы можете воспользоваться нашими шаблонами.
При разработке макета дизайнеру нужно обязательно учитывать взаимное расположение эмбоссирования и магнитной полосы. Эмбоссирование на пластиковой карте оставляет с оборотной стороны углубления, которые могут повредить магнитную полосу.
Виды магнитной полосы: Hi-Co и Lo-Co
Существуют два типа магнитной полосы Hi-Co (ХайКо) - высококоэрцитивная и Lo-Co (ЛоКо) - низкокоэрцитивная. Отличие этих двух типов магнитных полос заключается в сроке службы карты. Магнитную полосу Lo-Co легко размагнитить в процессе эксплуатации внешним магнитным полем. Внешне магнитные полосы в ряде случаев можно отличить между собой по внешнему виду. Полоса Hi-Co черного цвета, а Lo-Co коричневого, однако бывают и исключения. На нашем производстве мы всегда по умолчанию используем магнитную полосу Hi-Co. Это позволяет сделать карты долговечными. Кстати, все банковские карты выпускаются только с магнитной полосой Hi-Co. В общем объеме заказов высокоэрцетивная полоса составляет более 98%.
Какие виды магнитных карт можно заказать?
Дисконтная карта с магнитной полосой и штрих-кодом
Рассмотрим пример карточки, где на оборотной стороне дополнительно нанесен штрих-код. Такая карта может быть прочитана ридером магнитной полосы, но и сканером штрих-кода. Это может быть удобно для сетевых магазинов, где в одних точках продаж установлено оборудование для работы со штрих-кодами, а в других кассовые терминалы работают с магнитной полосой. На первом этапе дизайнер подготавливает макет карты. На рисунке мы видим отображение штрих-кода и магнитной полосы.
После согласования макета, чтобы запустить карты в производство необходимо утвердить техническое задание в котором указывается тираж и диапазон номеров, которые будут закодированы на магнитную полосу и в штрих-код. На фото вы видите конечный результат работы после всех этапов производства. На каждой карте нанесен уникальный номер штрих-кода. Карты готовы к работе;-)
Магнитная карта печатным номером
Поскольку магнитная полоса не позволяет визуально понять какой номер закодирован на карте, на лицевой стороне можно нанести печатный номер. Он может быть напечатан не только по порядку, но и соответствовать заранее подготовленной базе данных в формате Excell.
При подготовке макета дизайнер размещает номер первой карты из базы данных, чтобы сразу было видно как будет выглядеть конечный результат печати. При цифровой печати карт есть возможность применять шрифты по усмотрению заказчика, для этого нужно прикрепить отдельно файл шрифта при отправке макета.
В данном примере мы рассмотри карту, с номерами предоставленными по базе данных. Когда на номера на карте являются случайными числами появляется возможность авторизации при заказе в интернет-магазинах. Ваш клиент вводит номер свой карты в специальное поле в личном кабинете. Если бы номера на карты были бы нанесены по порядку, то можно быстро подобрать код на получение скидки.
.jpg)
Пластиковая карта с магнитной полосой и эмбоссированием
Эмбоссирование - это процесс выдавливания номера на пластиковой карты. Эмбоссированный номер является аналогом печатного номера, но может быть выдавлен только с использование стандартных шрифтов, применяемых при производстве банковских карт. На лицевую сторону карты вынесен только выдавленный номер карты. На фотографии вы можете посмотреть готовую карту с выдавленным номером и магнитной полосой.
Дисконтные карты для r-keeper
Владельцы ресторанов для автоматизации учета часто выбирают систему r-keeper. Компании, которые интегрируют программу предлагают карты по завышенной стоимости. Заказать карточки с индивидуальным дизайном на нашем производстве можно по выгодной цене. Карточки клиентов для данной программы должны быть закодированы особым образом. Чтобы карта корректно работала:
- Кодировка карт R-KEEPER должна производится на вторую дорожку.
- Для персонала (администраторов, официантов, кассиров) кодируется четырехзначный номер «;ZZZZ?», например «0034».
- Клиентские карты кодируются в формате «;778=код ресторана=номер карты?», где код ресторана это восьмизначное число.
В итоге Вам нужно узнать только код ресторана в компании, осуществляющей техническую поддержку r-keeper.
Магнитные карты-ключи для дверных замков отелей с магнитной полосой Lo-Co
Магнитная полоса Lo-Co применяется крайне редко, однако она получила широкое распространения в производстве магнитных карт для открытия дверей в отелях. Производители замков для дверей зачастую устанавливают ридеры магнитной полосы Lo-Co. На нашем производстве всегда есть наличии низкокоэрцетивная магнитная полоса, поэтому мы можем всегда оперативно изготовить карты для открытия дверей.
Все больше людей пользуются пластиковыми банковскими картами. Лишь немногие знают, чем одна карта отличается от другой. (Visa от MasterCard, карта с чипом от обычной карты с магнитной полосой). Многие хранят деньги на пластиковой карте, так как считают, что там они более защищены от воровства. Так до недавнего времени было и со мной. Простой поход по магазинам обошелся в 0 р. на счету и при этом карта ни разу не была использована. Разве такое возможно? Оказывается вполне даже. Этот пост скорее для тех людей, которые еще верят в защищенность кусочка пластика с магнитной полосой и доверяют ему все свои сбережения.
Техническая сторона
На сегодняшний день в обиходе самыми распространенными являются карты с магнитной полосой и карты с чипом. Второй вариант в чистом виде в России почти не используется - в качестве его альтернативы используют гибридный вариант (чип + магнитная полоса).Карта с магнитной полосой
Для данного типа карты информация заносится на магнитную полосу. Карты с магнитной полосой бывают трёх форматов: ID-1, ID-2, ID-3 (наиболее распространен формат ID-1). Магнитная полоса содержит 3 дорожки (чаще всего используют только 2), на которые в закодированном виде записывают номер карты, срок ее действия, фамилию держателя карты и тому подобные данные. Наиболее полно и точно карты с магнитной полосой описаны в стандартах:
- ISO-7810 «Идентификационные карты - физические характеристики»;
- ISO-7811 «Идентификационные карты - методы записи»;
- ISO-7812 «Идентификационные карты - система нумерации и процедура регистрации идентификаторов эмитентов» (5 частей);
- ISO-7813 «Идентификационные карты - карты для финансовых транзакций»;
- ISO-4909 «Банковские карты - содержание третьей дорожки магнитной полосы»;
- ISO-7816 «Идентификационные карты - карты с микросхемой с контактами» (6 частей)
Большинство видов пластиковых карт имеют размер, определённый стандартом ISO 7810 ID-1. Какие же средства защиты (помимо магнитной полосы, на которую заносится информация о владельце) позволяют отличить данную карту среди многих других? Подобная информация так же заносится в штрих код. Например, у «Связного банка» при переводе денег на счет достаточно знать именно штрих-код. Идентифицировать владельца так же можно при помощи образца его личной подписи на обратной стороне. Так же все карты имеют идентификационный номер, срок действия и специальный код CVV2 или CVC2 на обороте. Этих данных достаточно чтобы совершать платежи через Интернет. Многие банки так же наносят на свои карты голографические знаки.
Гибридная карта с чипом
В отличии от карт с магнитной полосой, при совершении транзакций задействуется именно информация с чипа. Чип обладает большим объемом памяти, и информация на нем подвергается более сложному типу шифрования. При осуществлении транзакции картой с магнитной полосой, она всегда имеет одинаковые идентифицирующие карту данные, которые передаются в банк. Поэтому их можно скопировать и изготовить поддельную карту. Микропроцессорная карта работает иначе: каждая транзакция подтверждается специально сформированным для нее кодом, и для каждой последующей операции требуется новый код, сделать дубликат фактически невозможно. Гибридный вариант прижился ввиду сложного перехода техники принимающей карты на новый тип данных. Сейчас чипы умеют читать практически все устройства принимающие пластиковые карты. Если банкомат провел операцию с использование лишь данных с магнитной полосы, то данную транзакцию можно оспорить и банк (владелец устаревшего банкомата) обязан возместить ущерб причиненный держателю карты.
Суровая реальность
Вернемся к тому, как же так получилось, что с карты (находящейся всегда у владельца при себе) были сняты все накопления. Я могу только догадываться, т.к. все что у меня есть это образование в сфере ИТ и Интернет (который знает все). Злосчастная карта относилась к самому дешевому в обслуживании типу карт. Обычная карта с магнитной полосой (даже не именная). Какие меры защиты присутствовали на карте:- Магнитная полоса с информацией о владельце
- Подпись на обороте карты
- Голограмма с логотипом банка
- СМС-информирование о транзакциях
- Пин-код
- Штрих-код
Что из этого работает ?
Магнитная полоса удачно копируется специальным устройством - скиммером. После чего изготавливается дубликат карты и все что остается это узнать пин-код карты. Для этого обычно в паре со скиммером используется скрытая видеокамера или же если это сам злоумышленник в лице официанта или продавца, то он старается подсмотреть пин-код. Еще более технологичный вариант, когда к устройству ввода подключается считыватель вводимых данных.
Так же для получения данных у владельцев используются фишинговые сайты или рассылки где владельцев карт просят ввести их секретную информацию (номер карты CVV2 или CVC2 и т.п.).
Довольно распространенные случаи, когда злоумышленники портят считыватель карт так чтобы карта там застряла. Если владелец уходит, то появляется злоумышленник и завладевает картой.
Существует разновидность другого метода - кардинга (англ. carding – прочесывание). В этом случае злоумышленник завладевает базой интернет-магазина или какого нибудь онлайн банка и снимает деньги с карт к которым удается получить доступ.
Сейчас набирает обороты более сложный вариант скимминга - шимминг (от англ. тонкая прокладка). Эти устройства в отличие от скиммеров, незаметны: тонкая гибкая плата толщиной около 1 мм вставляется через щель картридера и считывает данные введенных карт, позволяя похитить номер карты и ее пин-код. Эксперты успокаивают, что до России такой вид мошенничества пока не дошел, так как это довольно дорого и трудноосуществимо. (На мой взгляд, мне попался именно этот вариант, так что эксперты могут брать себе на заметку).
Подпись на обратной стороне . Данный тип защиты вообще абсурден, если карта как в моем случае не именная, ибо владельцем может быть любой, кто нанесет подпись. В случае с дубликатом ничего не мешает нанести свою подпись и свои имя, фамилию на изготовленную копию. По своему опыту - проходил пол года с картой где стерлась подпись на обороте и только потом мне указали на это и заставили при них оставить автограф (что еще абсурднее).
Голограмма с логотипом банка . Как способ подтвердить, что у вас не поддельная карта на руках вполне может быть, но не более того.
Штрих-код . Достаточно иметь снимок карты и штрих-код легко дублируется.
Моя любимая часть - СМС-информирование . Очень полезная вещь, вы всегда будете видеть, как утекают ваши деньги. Мои утекли за 2 минуты. На то чтобы дождаться ответа от оператора в банке после череды автоответчиков и переадресаций ушло около 1,5 минут. Надо заметить, что телефон вообще можно оставить дома, или он может разрядиться или не быть доступа в сеть, да и много всего еще. Так что как способ защиты очень сомнителен. Темболее как подсказали пользователи MyHabrahabr и SpiritOfVox есть способ вообще блокировать телефон жертвы на момент «потрошения» её карты.
Итоги
Как бы это не было печально, но законодательной базы регламентирующей ответственность банков при осуществлении мошеннических действий с пластиковыми картами в России пока нет. Все случаи рассматриваются каждым банком в отдельности. Они проводят свое собственное расследование и, как правило, если вы нарушили хоть один пункт договора по использованию пластиковой карты (передали третьим лицам, хранили пин-код в доступном для других месте, сообщали информацию о сроке службы, номере карты или cv1/cv2 коды третьим лицам), то в возврате средств будет отказано. Для того чтобы иметь основания и написать заявление в банк - нужно дождаться подтверждения прохождения транзакции (около 3-х дней). До этого момента деньги еще фактически находятся на вашем счету, и оснований для обжалования транзакции нет.Если злоумышленнику удастся получить копию вашей карты без чипа и пин-код, то, скорее всего такие операции не отличить от совершенных вами лично и тут тоже напрашивается отказ.
Несколько советов:
1) Если у вас все еще обычная карта с магнитной полосой - поменяйте ее на карту с чипом. (не настолько она дороже, зато деньги целее будут).
2) Установите лимит на снятие денежных средств в течении суток. При включенном СМС-информировании это позволит с меньшими потерями успеть заблокировать карту.
3) Блокируйте карту сразу как появится подозрительная транзакция, многие банки позволяют производить блокировку/разблокировку карты по телефону.
4) Внимательно смотрите на устройства, в которые вставляете карту и не передавайте ее третьим лицам.
5) Если карта застряла в банкомате - сначала блокируйте ее, потом можно и бросить если нет времени или нет возможности найти лицо уполномоченное извлечь карту из банкомата.
6) Самое главное - оставайтесь людьми, не воруйте чужие деньги. У всех есть мечты, но кто-то ради них работает полжизни, а кто-то всего за 2 минуты лишает стимула продолжать верить в мечту .
С чего все начиналось.
В прошлом году, в мае стало известно о документальном оформлении Центробанком анонсированного ранее запрета на выпуск банками карт, имеющих только магнитную полосу.
Стоит отметить, что разговоры на эту тему начались еще в феврале. Как указано в проекте поправок к положению Банка России от 9 июня 2012 года, касающегося защиты информации при денежных переводах, такого рода операции по выпущенным отечественными банками картам, срок действия которых начинался после 1 января текущего года, можно будет совершать только, если у каждой карты будет микропроцессор или одновременно и чип, и магнитная полоса.
Также уточнялось, что по действующим картам (или картам, выпущенным и активированным до 1 января 2015 года) операции останутся доступными, даже если на них есть и микропроцессор, и только магнитная полоса.
Как следует из текста поправок к указанному выше положению ЦБ, уточненные правила призваны обеспечить защиту информации при денежных переводах денежных через банкоматы и платежные терминалы, системы интернет-банкинга и мобильный банкинг.
К примеру, согласно документу, операторам по переводу денежных средств вменены в обязанность регулярные проверки своих банкоматов и терминалов на предмет несанкционированных вмешательств в программное обеспечение, незаконную установку дополнительного оборудования или такого же незаконного пользования коммуникационными портами. Лицевая панель терминала должна быть оснащена информацией для клиента о порядке его действий при нештатной ситуации, при которой нарушается защита информации. Платежный оператор обязан быстро отключить терминал при выявлении любого из описанных выше нарушений в его работе.
В то же время при разработке систем мобильного банкинга должна быть обеспечена защита информации, которая подлежит обработке в процессе использования системы, или программный запрет на её запись на мобильное устройство по завершении сеанса.
Итак, как было сказано заместителем директора департамента национальной платежной системы ЦБ Романом Прохоровым, все карты, эмитированные отечественными банками с 1 июля 2015 года, должны иметь микропроцессор (чип), причем, не важно, дебетовая это карта или кредитная. Это ощутимо снизит вероятность скиммер-атак. По словам Прохорова, большинством банков уже ситуация уже оценена, и они самостоятельно начали выпускать только чиповые карты. По мнению Прохорова, обязательный характер постановления для всех кредитных организаций - это обеспечение равенства их интересов.
Однако речь о том, что будет запрещено хождение нечипованных карт, не идет. Все карты без чипа, которые были выпущены до 1 июля текущего года, терминалы и банки будут свободно принимать, пока не истечет срок их действия. Во многих банках уже перешли к использованию только чиповых карт, остальные сделают это в ближайшее время.
По словам сертифицированного аудитора компании Digital Security Андрея Гайко, несомненно, когда мы перейдем на карты, имеющие встроенный микропроцессор, это приведет к значительному сужению возможностей для мошеннических маневров, так как копирование карт с магнитной полосой отличалось простотой. По словам руководителя по развитию продуктов компании Group-IB Павла Крылова, если ознакомиться со статистикой Центробанка, сегодня в России примерно 30% карт, не имеют EMV-чипа. Как раз на этот процент снизятся потери от скимминговых угроз (копирований карт). Но запрет выпуска карт без EMV-чипа приведет к повышению стоимости карточных продуктов банков для клиентов. В то же время, можно допустить и то, что это поможет переключить внимание злоумышленников на операции CNP (card not present), осуществляемые при оплате товаров или услуг через Интернет. Это может вызвать рост хищений, если эти операции не имеют защиту в виде технологии 3D-Secure (требует дополнительного подтверждения операции - к примеру, по СМС-коду).
По мнению руководителя направления по борьбе с мошенничеством центра инфобезопасности компании «Инфосистемы Джет» Алексея Сизова, мошенники не остановятся из-за отказа от карт без чипов. Дальнейшее развитие получит сегмент мошенничества в сфере CNP, с эксплуатацией и fallback-операций, игнорирующих отсутствие чипа. Но массовый характер скиминга как таковой все же должен пойти на убыль, когда все страны мира примут Chip Liability Shifts и стандарты международных платежных систем в отношении приема карт с микропроцессорами.
Однако, по мнению руководителя аналитического центра компании Zecurion Владимира Ульянова, в ближайшее время мы не сможем на 100% отказаться от полосы на картах. И вообще, если говорить в целом, у чиповых карт больше надежности, чем у обычных карт — это подтверждает статистика мошенничеств. Но не стоит думать, что это панацея. Ведь на картах, как и раньше, будет магнитная полоса. А если отказаться от нее или умышленно испортить (некоторым озабоченным безопасностью пользователям свойственно поступать и так), это приведет к нарушению совместимости карт с платежным терминалом. В связи с этим пластиковые карты без магнитной полосы появятся нескоро - большая часть современных банкоматов попросту не смогут открыть картоприемник для такой карты.
По мнению Станислава Шилова, директора по продажам компании «Бифит», налаживание четкого регулирования в этом направлении крайне актуально в нынешних условиях, когда угрозы набирают обороты, а многие банки нацелены на сокращение расходов на безопасность. При этом стоит сказать, что некоторые новые требования, например, по безопасной разработке программного обеспечения, уже де-факто выполняют и ключевые разработчики, и ведущие банки. Тем не менее мы уверены, что, если новые требования внедрят и прочие участники рынка, это будет способствовать повышению безопасности конечных клиентов - при условии, что выполнение будет не чисто формальным, а, наоборот, предусматривать рост защищенности решений, которыми мы пользуемся.
Неоднозначно мнение по сложившейся ситуации Владимира Ульянова, считающего, что, если говорить о требованиях к безопасности программного обеспечения клиентов, то имеет место сильное опоздание. В самом деле, системами интернет-банкинга мы пользуемся уже давно, но вопросами по их защищенности озаботились хоть немного только в последние годы. Да и сегодня уровень безопасности оставляет желать лучшего. Внимание разработчиков, главным образом, сфокусировано на удобстве работы в системе, функционале, интерфейсе, но не защищенности всей этой системы. В итоге уязвимы многие, в том числе и пользующиеся высокой популярностью среди клиентов приложения. В связи с этим мы рассчитываем на повышение защищенности разрабатываемого ПО, а норма декларативного характера заставит программистов сделать так, чтобы критерий безопасности оказался в числе приоритетных при разработке новых приложений.
Что же мы имеем сейчас?
Итак, повторимся - с 1 июля текущего года банкам надлежало приступить к выпуску расчетных и кредитных карт, оснащенных микропроцессором - таково указание Центробанка. Ряд банков вплоть до этого срока занимались выпуском бесчиповых карт, объясняя это тем, что по некоторым продуктам выпуск таких карт более оправдан с экономической точки зрения.
По словам директора по эмиссии и расчетам процессингового центра Альфа-банка Сергея Брынина, мы 1 июля отказались от выпуска бесчиповых карт, но выпуск чип-карт по стоимости дороже в разы: в каких-то сегментах они оправданны, в каких-то - в потребительском кредитовании и некоторых видах зарплатных карт - нет. По словам директора по процессингу Промсвязьбанка Александра Петрова, без чипов, преимущественно, можно было получить карты моментального выпуска, но с июля и такие карты клиенты получают с чипами. По словам представителя «ВТБ 24», все розничные карты на руках клиентов являются чиповыми, а небольшой процент нечиповой эмиссии был в рамках «технических» карт, которые выдавались для того, чтобы клиентам было удобно погашать кредиты наличными, ипотеку и автокредиты.
По словам сотрудника компании «Алиот» (производство карт), стоимость обычной магнитной карты при средних тиражах составляет порядка 0,3-0,4 евро, чиповые карты - плюс к этой цене минимум 0,60-0,7 евро, таким образом видно, что разница в цене - в 2-3 раза. Подобное удорожание карты для банка не настолько большая сумма, если карта использовалась клиентом еженедельно по 1-2 раза и чаще. Большая часть крупных банков, ежегодно выпускающих свыше 100 000-150 000 карт, уже практически полностью перешли к чиповым картам. Исключение - ряд банков и РНКО, расценивающих свои карточные продукты не в виде полного комплекта услуг для банковского обслуживания, а в виде продукта для узконаправленных целей, к примеру, карты для перевода выплат по ОСАГО, переводов денежных средств, подарочных карт или моментально выпускаемых карт.
Стоит напомнить, что еще в 2013 году регулятором был проведен опрос о степени готовности банков перейти на выпуск чиповых карт. Тогда только 28% опрошенных банков осуществили полный переход на их выпуск, а к 2015 году это пообещали сделать 45% респондентов. При этом 19,3% банков, среди которых прошел опрос, заявили, что не планируют даже и начинать выпуск чиповых карт.
По словам директора департамента розничного бизнеса «Росгосстрах банка» Андрея Борискина, банк с 1 июля наладил выпуск только карт с чипами. Но небольшое количество нечиповых карт, которые были выпущены до июля, может быть еще не получили клиенты, но это не является эмиссией новых карт. Банк находится под контролем одноименной страховой группы и выплаты направляются в том числе на банковские карты.
По словам представителя Центробанка, пока банки не заявляли о затруднениях, связанных с выпуском микропроцессорных платежных карт. И пока нет никаких ограничений по срокам окончательного вывода из обращения карт с магнитной полосой. Вывод из обращения бесчиповых карт Альфа-банка будет осуществлен через два года.
С середины 2013 года в Сбербанке все карты выпускаются с чипом, на сегодняшний день 79% карточного портфеля Сбербанка приходится именно на карты с чипом. В Промсвязьбанке порядка 80% от общего выпуска занимают чиповые карты, у магнитных - 20%. По словам представителя Райффайзенбанка, у них налажен выпуск только карт с чипами.
Как считает директор департамента управления рисками Visa в России Олег Скородумов, в нашей стране степень проникновения чиповых карт Visa ощутимо выше общемировых показателей. Рост доли чиповых карт заметно сказывается на снижении уровня мошенничеств с картами.
Загрузка...
