Поиск
Теги
Aliexpress 181
BLM 21
Calella 147
exler.ru 315
авто 480
аудио 7
Барселона 110
Беларусь 34
бытовуха 1503
в мире 154
вакцинация 18
велосипед 40
видео 4348
вино 363
война 624
выставки 217
гаджеты 1839
гламурье 23
детишки 46
ебанариум 23
еда 545
ЕС 87
железо 361
животные 239
жулики 248
забавно 2138
здоровье 103
игры 119
Израиль 113
ИИ 72
интересно 391
Интернет 1305
искусство 302
Испания 1250
истории 156
история 9
Италия 8
картинки 626
Каталония 136
кино 1643
Китай 6
книги 229
коронабесие 119
коронавирус 298
коронажизнь 65
кретинизм 322
криминал 1
маньяна 19
маразм 218
Маск 45
медицина 47
мне пишут 49
мои фото 218
Мордор 2871
Москва 20
музыка 921
наука 10
новости 27
о высоком 155
о низком 292
обновление 3148
паноптикум 176
поездки 1094
полезное 7
попы 201
праздники 22
происшествия 133
разное 1528
ребенок 13
реклама 426
связь 18
сериал 163
скандалы 11
скорблю 131
СМИ 2896
софт 978
социалка 187
спорт 139
США 222
СЭКС 44
технологии 183
толерастия 12
Трамп 155
трэш 9
туры 19
Украина 47
фотография 210
Франция 48
шарлатаны 31
шоу 6
экотерроризм 27
Экслер 1085
юмор 22
видео 4348
обновление 3148
СМИ 2896
Мордор 2871
забавно 2138
гаджеты 1839
кино 1643
разное 1528
бытовуха 1503
Интернет 1305
Испания 1250
поездки 1094
Экслер 1085
софт 978
музыка 921
картинки 626
война 624
еда 545
авто 480
реклама 426
интересно 391
вино 363
железо 361
кретинизм 322
exler.ru 315
искусство 302
коронавирус 298
о низком 292
жулики 248
животные 239
книги 229
США 222
мои фото 218
маразм 218
выставки 217
фотография 210
попы 201
социалка 187
технологии 183
Aliexpress 181
паноптикум 176
сериал 163
истории 156
о высоком 155
Трамп 155
в мире 154
Calella 147
спорт 139
Каталония 136
происшествия 133
скорблю 131
игры 119
коронабесие 119
Израиль 113
Барселона 110
здоровье 103
ЕС 87
ИИ 72
коронажизнь 65
мне пишут 49
Франция 48
Украина 47
медицина 47
детишки 46
Маск 45
СЭКС 44
велосипед 40
Беларусь 34
шарлатаны 31
экотерроризм 27
новости 27
гламурье 23
ебанариум 23
юмор 22
праздники 22
BLM 21
Москва 20
туры 19
маньяна 19
вакцинация 18
связь 18
ребенок 13
толерастия 12
скандалы 11
наука 10
история 9
трэш 9
Италия 8
аудио 7
полезное 7
Китай 6
шоу 6
криминал 1
Информация
Что ещё почитать
И почему нет - www.plusworld.ru/professionals/mify-o-krazhi-deneg-s-beskontaktnyh-kart-chego-ne-stoit-boyatsya-2/
DVD
BlueRay
"Обычные" кредитки с полоской
"Необычные" кредитки с одним из поколений чипов
Защита от копирования DeNuvo
WPS
OpenSSL (даже Open не помог)
Постоянно ухитряются ломать Yahoo, Google и Yandex, и тырить пароли и логины МИЛЛИАРДАМИ.
Периодически лулзы доставляются всему миру, когда ломают оборонные сети, МИД и прочие типа суперзащищённые сервера.
Кажется, не так давно у нас со счетов банков стырили около ярда рублей хакерскими атаками?
Я ничего не забыл? И эти люди запрещают мне ковыряться в носу смеют утверждать, что они сделали что-то принципиально неломаемое, тем более доступное по беспроводному интерфейсу????
Я вам скажу что будет. Какое-то время типа два-три года всё будет шито-крыто, пока беспроводные платежи будут только в Европе и Штатах. Потом, в конце концов, система будет внедрена по-настоящему, без ограничений, в Юго-Восточной Азии, и в Африке. И тут-то и произойдёт, скорее всего, серьёзная утечка информации о её подробном устройстве. После чего надо ждать индустриальных систем взлома.
Да что тут говорить, все говорят о платежах через телефоны. Дайте телефон на 5 минут "не тому человеку" - и он сделает 100% копию Вашего аппарата, включая клон симки, IMEI, MAC. И плакали Ваши деньги, если нет подтверждений на каждый платёж.
Так с этого все и началось - c упоминания в предыдущем треде некоего девайса под названием "Contactless Infusion X5", который полгода назад продавался за $800 и вроде как должен уметь на расстоянии до 8 см читать беспроводные платежные карты и создавать их клоны, для чего в комплекте поставки прилагается некоторое количество болванок (их, наверное, можно потом докупить отдельно).
Естессно, местные суепр-эксперты тут же единым фронтом выступили с заявлениями что этого не может быть, потому что не может быть никогда и предложениями всем сомневающимся пойти и покурить мануалы. Далее - все то же самое, что и здесь.
Это о невзломанных системах защиты. Если хотите, я и в список взломанных добавлю пару пунктов. Но тут получается, что мы подвержены одному из видов когнитивного искажения: мы постоянно получаем информацию о том, что что-то было взломанно, но не получаем информацию о том, что что-то другое не было взломано. Не выходят ежедневно жёлтые газеты с заголовком "Сенсация! Система Х опять не была взломана!", не показывают по новостным каналам "Тысяча самолётов успешно поднялась в воздух и потом все успешно приземлились".
И главное, у вас же есть собственное твёрдое мнение по вопросу опасности безконтактных платежей, достаточные доказательства вашей правоты, зачем вам что-то ещё?
www.ugona.net/page262.html
в действии. И продаётся индустриально!!!!
Банковские карты (если с динамическим кодом) устроены, видимо, посложнее, конечно.
Думаете, наличие "длинной руки" чему-то научило безопасников? Ну конечно, Вы скажете, научило. Угу, вот этому (модели 2016 года!!!!!):
www.ugona.net/page350.html
Короче, либо надо жёстко отделять основной банковский счёт от карточного, либо, как это ни смешно, носить постоянно карту в фольге. Либо потом удивляться "Ну ты смотри, а? Отродясь такого не видали, и вот опять! 😉 Опять стырили всю последнюю зарплату с карты, только теперь не заменой картоприёмника и клавиатуры в банкомате, а обнимашками в метро утром по дороге на работу"
Проведение же аналогий, в вашем случае из обнаруженной "дырявость" охранных систем автомобилей следует потенциальная "дырявость" систем бесконтактных платежей, удобно лишь для подтверждения уже сложившегося собственного мнения.
То есть, хотите убедить себя в опасности бесконтактных платежей - приведите аналогию с проблемными технологиями на которых негде клейма ставить, например с провальной технологией автомобильной охранной системы.
А если хотите убедить себя в безопасности, то проведите параллель с какой-нибудь удачной системой, например с програмной системой шифрования данных TrueCrypt, которую долго и со знанием дела ломали, подвергали тщательному аудиту, но ни одной критичной "дыры" так и не обнаружили.
Относительно бесконтактных платежей я вас убеждать не буду ни в их опасности, ни в безопасности, полагайтесь на собственные ощущения, обычно они самые верные. А в следующий раз когда встретите проведение аналогий, обратите внимание, что это не для выяснения вопроса. Только для подтверждения уже имеющегося мнения.
- Ничего не понимаю, почему меня с кредитной Mega списали 2300р?
- Наверное, - говорю, ты по ней платила.
- Нет, я платила по Сберовской. И пинкод вводила от неё. А Mega у меня просто так, мне её когда-то всучили, я ею вообще не пользовалась.
Проверили по сберонлайну - никакой транзакции вообще не было.
Тут я начал догадываться. Говорю:
- А карта у тебя с собой в кошельке была?
- Да вроде да, я точно не помню куда её засунула.
- Дай посмотреть.
Находим карту у неё в кошельке, смотрю - а ней значок соответствующий стоит, что бесконтактная.
Выходит, жена вставила в терминал сберовскую карту и, видать, придерживала терминал рукой с кошельком. И тот успел снять деньги с Mega в кошельке, не обратив внимания ни на сберовскую карту, ни на ввод пинкода.
Вот так моя жена узнала, что есть и бесконтактные карты. 😄
Правда за это знание ей пришлось немножечко заплатить, так как этим она активировала кредитную карту и с неё сразу сняли какую-то сумму за обслуживание. 😄
Полная чушь. Если она вставила сберовскую и при этом какими-то непонятными путями терминал сработал на бесконтактную, то как он снял деньги с бесконтактной, если был введен пин сберовской?
Сумма немаленькая, пин точно должен был запрашиваться.
Так вот для кого кошельки экранирующие продают 😉
P.S. История - супер.
Кроме того, украденные деньги надо как-то вывести. По-моему, подобная затея экономического смысла не имеет.
Экономический смысл, скорее, имеет подобная схема с украденными данными карты+ПИН (скиммер, работники сферы сервиса и т.п.). И то, как правило, обналичивают через банкоматы в таком случае
Если сильно интересно, пойдите в тор, на все еще существующие кардерские форумы. Узнаете кучу реальных, хитрых и не очень схем, куда и как выводят деньги, в том числе и через терминалы. Экономически все вполне оправданно 😄
И то, как правило, обналичивают через банкоматы в таком случае
И только в банкоматах слаборазвитых стран, которые не работают по чипу. Но всё равно, данные магнитные полосы отличаются (должны!) от данных, прочитанных по бесконтактному интерфейсу.
Саму карточку наверное трудно склонировать - интересно, насколько сложно сделать прокси-карточку, передающую запросы к удаленному ридеру и возвращающую через него ответы карточки жертвы.
Легче лёгкого. Именно потому от 1000 рублей (в России) надо вводить пин. Собственно, не понятно, что кого-то удивляет, что так сделать нельзя? Потому именно NFC, а не "просто" FC.
P.S. А возвращать-то зачем? Чисто для усложнения процесса? 😉
Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.
Это от страны и банка зависит. Могу сказать что например Chase Bank, Citi в Штатах отправляют SMS на для своих карт, но нное количество других банков\карт этого не делает.
В Сингапуре ситуация интереснее - отправление SMS завистит от обьема транзакции. Для кредитных карт - это SGD $10, а вот для дебитных карт - уже SGD $500.
Правда те, кто ходят с дебитными картами они себе злые буратино...
Я вот одно не пойму, неужели остались люди у которых не приходят СМС уведомления о транзакциях.
Да полно! Например, я. Потому что я не согласен платить банку 40-100 рублей в месяц ради того, чтобы банк мог выполнить Закон РФ "О Национальной Платёжной Системе". Опять таки, если кредитная карта, то деньги на ней - не мои, а банка. Вот пусть он и сам за своими деньгами смотрит, пока я ими не пользуюсь.
P.S. А ещё есть банки, которые предлагают держателям кредитных карт страховку от неправильных списаний. Обычно в ответ предлагаю купить страховку мне на автомобиль. А что? Если я плачу за сохранность их денег, почему они не могут в ответ заплатить за сохранность моего авто? 😉
Есть люди, которые эти СМС не читают. Например, мои пожилые родители. Они уже устали от всех этих гаджетов и уведомлений, они просто хотят, чтобы им на карту приходила пенсия (а не стоять в очереди за пенсией на Почте России, как многие до сих пор стоят).
И вот подобные люди как раз и являются лакомым кусочком для воришек данных карт. Трать сколько влезет (но не наглей, а трать понемногу и не каждый день), и человек никогда не заметит пропажи.
"Пощипать" пенсионеров - дело святое для ворья. Так же, как и обнести квартиру, выбить стекло в машине ради магнитолы или регистратора, дёрнуть мобилу в метро у школьника.
Что в свете сегодняшних заявлений "а мы не знаем, вы слишком долго живёте - может пенсии и не получится платить" вполне себе и да.
Круто! Человек разбирается!
Интересует ваше мнение (без сарказма) относительно карт оплаты проезда в Питере (подорожник) или Тройка.
А как насчет них?
Интересует ваше мнение (без сарказма) относительно карт оплаты проезда в Питере (подорожник) или Тройка.
А как насчет них?
А это - платёжные карты стандарта EMV? Что-то мне подсказывает, что нет. Кроме того, мой планшет (Nexus 7 2013) "Тройку" не читает. И "обычные" банковские терминалы - тоже. Так что мне только известно, что такие карты есть. Но там тоже - эмиссионые ключи и пр. лабуда.
Если интересует информация про чиповые карты, могу подсказать хороший сайт: www.emvco.com
Там все спецификации лежат. В открытом доступе. И их можно скачать абсоютно бесплатно и без регистрации.
Кстати, про офлайн. А ты уверен, что паркомат у магазина в городке ты живешь, каждый раз бегает в интернет, чтобы проверить, если ли у тебя пара евро чтобы заплатить за парковку? А в самолете, когда ты покупаешь бутылочку вискаря, тоже думаешь он-лайн?
В чем ты прав, так в том, что тебе на это реально наплевать. Потому что в Евросоюзе, как и в Штатах, давно действует принцип ZL (Zero Liability) владельца карты к возможной потере средств в результате мошеннических действий. Например, можно кратно почитать тут www.cathfcu.com/files/cathfcu/1/file/CATH_SepDiscIN.pdf
А у нас, в нашей замечательной стране, этот принцип не действует. Так что нам приходится спать более беспокойно. У меня лично крали данные карты, сделали клон и сняли деньги в другом городе. Все, что были. Правда банк все вернул после разбирательств. Повезло.
Алекс, давай про вино! Про вино ты на порядок больше знаешь, чем про эти вещи. ) Я с удовольствием почитаю!
Уверен, что не бегает. И чо?
kot_leopold: А у нас, в нашей замечательной стране, этот принцип не действует.
Да что ты говоришь? А как я возвращал транзакции, которые сам не делал в российском банке "Авангард"? Может, мне это приснилось.
kot_leopold: У меня лично крали данные карты, сделали клон и сняли деньги в другом городе.
Ну да, скиммером сняли. И чо?
kot_leopold: Алекс, давай про вино! Про вино ты на порядок больше знаешь, чем про эти вещи. )
Мне не требуются советы по поводу того, что мне давать или не давать. Я буду обсуждать то, что мне будет угодно и так, как мне будет угодно. Если мне потребуются твои советы по этому поводу - я к тебе обращусь. Находись в ожидании.
Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена.
Чувствуется редкий, сказочный "специалист". И там не только "домашний адрес", но и дикий ключ от квартиры, где деньги лежат. Ой, спасибо за ссылку, повесилили! Надо коллег порадовать.
Специально спрашивал многих коллег насчёт того, был у них в банке "бессконтактный фрод" (списание денег с бесконтактной карты без согласия держателя). Пока никто ещё не ответил утвердительно ))))
а кто ж сознается то 😄
только вот "карточные мошенничества"
а если называть вещи своими именами - воровство (если страдает физическое лицо) и
грабеж (это если банк страдает) все процветают и процветают,
если память не подводит то еще в прошлом веке сша убытки связанные с "карточными мошенничествами" привысили суммарные убытки от всех прочих видов криминальных преступлений против собственности исключая мошенничества (что очевидно было бы самозамыканием). в европе эта грань была пересечена гдето в начале нулевых...
перефразируя
"если у вас еще небыло проблемы с банком и картами это не ваша заслуга а наша недоработка"
Я пробовал в Питерском метро канадские и американские карты с пейпассом, был послан системой подальше - не шмогла.
Ну одно требование - подключение к Интернету - судя по всему, можно вычеркнуть. Я-то тоже был долго уверен, что есть некий challenge-response напрямую между платежной системой и моей дебиткой, т.е. если нет подключения, то нет и платежа. Но это, как оказалось, не соответствует действительности. Платеж-таки можно делать в оффлайне и уже потом синхронизировать с банком. По-крайней мере, с Maestro в Европе так 100% можно.
А насчет официального и зарегистрированного терминала - это да. Но так ли уж сложно его получить, в большой-то стране, да со свободой предпринимательства? 😄 И насколько быстро банк заблокирует такой терминал, насколько быстро народ пожалуется (особенно если использовать отсрочку, как я описал выше, чтобы не сразу было видно, что деньги сняты), сколько злоумышленник успеет собрать (если не будет наглеть и будет снимать мелочи) - я думаю, что все это не такие уж глупые вопросы. Тем более в России, где мошенничество, мягко говоря, распространено, а вот страхование клиентов как-то видимо хромает.
Паранойи-то может и не надо, но я не согласен, что чисто технически это прям глупость.
Я вроде написал, как это возможно чисто технически. Но что делает практически невозможным такой вид мошенничества.
Dmitry Perets: Платеж-таки можно делать в оффлайне и уже потом синхронизировать с банком. По-крайней мере, с Maestro в Европе так 100% можно.
Это сути дела, кстати, не меняет. Ну и в той же Испании платежи все делаются только в онлайне, в офлайне платеж сделать невозможно, кроме как продиктовать данные карточки, чтобы они потом сняли.
Еще раз хочу подчеркнуть. То, что описано в статье - действительно ерунда. Никто с терминалом бегать не будет. Но! Использовать ридер, чтобы насобирать данные карт и потом использовать их для изготовления клонов - другое дело.
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ .
Спасибо, сходил по ссылке, прочитал. Половина в статье верно, половина - бред сивой кобылы.
поясню на цитате:
Что касается информации, которую собирает гаджет, то она включает номер карты и срок ее действия. Если чип хранит и другую информацию, включая имя держателя, домашний адрес, мини-выписки, она также будет извлечена устройством и сохранена.
После этого можно без проблем создать клон скопированной банковской карты, и использовать ее для различных целей.
Действительно, реально можно считать бесконтактную карту на расстоянии (очень странно, если бы было иначе). А вот насчёт "сделать клон"... Очень интересно, как автор это себе представляет. Ну, да. У тебя есть номер (да что номер! так называемый "трек" - данные карты, записанные на чипе или магнитной полосе). Но, простите, дальше то что?
Бесконтактная карта - это вам не карта с магнитной полосой. "Просто так" прописать данные туда нельзя. А даже если бы было можно, толку то? Для бесконтактных карт формируется так называемый CVC3 код (для MasterCard, для Visa - dCVV). Он - динамический. Сначала его считает чип карты, потом проверяется в процессинге банка. Чтобы его подделать надо знать эмиссионые ключи карты. Вы меня простите, но если банк протерял ЭТО, генерация верных CVC3 по его картам - не самая большая проблема для него 😄)))))
"Да, но можно же считанный трек записать на магнитную полосу!" - скажет мне дотошный читатель. Можно. А ещё на стену туалета. Эффект будет тот же. Во-первых, на треке написано, что эта карта - EMV (чиповая). Во-вторых, в банке, который придерживается правил и стандартов Visa и MasterCard выпускаются карты с 3-мя разными треками:
1. Для магнитной полосы.
2. Для контактного чипа.
3. Для бесконтактного чипа.
И все они - разные. И если в процессинг банка придёт трек с бесконтактного чипа, прочитанный по магнитной полосе... Эффект - предсказуем. В лучшем случае транзакция просто не пройдёт. В худшем кассира проинформируют, что покупатель - мошенник. И его надо арестовать.
Так что с точки зрения "иск-пердов" всё это звучит очень и очень правдоподобно. Жаль, в реальности всё вообще совсем не так. Увы!
О себе: занимаюсь эквайрингом более 17 лет, писал ПО для первой в России терминальной EMV транзакции. То есть, знаю, про что говорю.
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ .
Клон EMV карты? 😉 Ну-ну. Схожу почитаю. Даже интересно стало 😄))))
Зря ты так, Алекс. Бреда тут много понаписано, но схема - сделать клон карты с помощью ридера (китайские ридеры с АлиЭкспресса позволяют читать на расстоянии 2-5 см) и использовать в платежах реальна. Более дорогие читают на большем расстояниии. Популярно - здесь geektimes.ru/post/277238/ . Более простой ридер на Алиекспрессе - [URL=https://www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-develop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html?spm=2114.13010608.cb0001.4.HpPbch&scm=1007.13441.64707.0&pvid=eb873f75-840d-4d63-917e-8d22f280f273&tpp=1]www.aliexpress.com/item/2016-latest-proxmark3-develop-suit-Kits-proxmark-3-deve-
lop-NFC-RFID-reader-writer-hack-uid-changeable/32654917468.html[/URL]
Охота тебе верить в эти бабушкины сказки - ну так верь, я не против. А чего ты сам ридер не купишь и не клонируешь по 15 карт в секунду? Выгодная штука, между прочим. Вот когда купишь и клонируешь - тогда и приходи. Если купишь и ничего не получится - тоже приходи, если ты честный человек.
Да-да. Та же самая старая и очень смешная страшилка. Вот на Али ржут, когда какие-то идиоты эти "ридеры" покупают...
Вот скиммеры - да, вполне реальная штука. Но в скиммер карту надо сунуть.
www.popmech.ru/technologies/9002-my-vas-vidim-vsevidyashchee-oko/
А на Самсунг чехольчик из фольги?
Что. Это. Такое.
Я вообще вначале прочитал как "управляющий отделением кочегаров". Привычка, туды ее в качель, выцеплять главное - реперные точки. И, похоже, сделал только лучше.