Несколько слов о «карточной безопасности», в особенности в…

LOCATION: Hanoi, Vietnam

Несколько слов о «карточной безопасности», в особенности в путешествии.

Ни в коем случае, даже если вы спешите, даже если вы пьяны, даже если в номере вас дожидается полураздетая поружка, не суйте банковскую карточку в первый попавшийся на улице незнакомый банкомат. Да, я понимаю, «трубы горят», «налито», веселье в разгаре, и тут, вдруг, вы вспоминаете, что денег-то у вас — только на карте, и срочно нужен нал.
Тем не менее — не теряйте бдительности, ведь лишиться вы можете куда большего.

Помните: в мире идет массовая эпидемия снятия данных с карт с помощью «скиммеров». «Скиммер» это устройство, которое незаметно устанавливается на банкомат, и состоит из двух частей — «накладки» на клавиатуру (на так называемый «пин-пад») банкомата, выглядящая как обычная клавиатура банкомата для ввода пина, которая записывает ваши нажатия, когда вы вводите pin карты, и специального устройства, навешиваемого поверх щели вставления карты, которое выглядит как часть банкомата, а на самом деле считывает содержимое магнитной полосы карты. Имея на руках pin и содержимое магнитной полосы, организованная банда злоумышленников легко может сделать «дубликат» вашей карты, и, в дальнейшем, снять деньги с вашего счета, словно с вашей собственной карты, в какой-нибудь Аргентине или Суринаме.

Внешний вид банкомата с установленным скиммером и фальшивым пин-падом (справа), и снятый фальшивый пин-пад (слева).
Кстати, банкомат тайский (Ayudhya Bank).

Собственно скиммер, установленный в фальшивую накладку на картоприемник.

Нормальный вид картоприемника и картоприемник, с установленным поверх него скиммером.

Совсем компактный скиммер в щели картоприемника.

Скиммер, установленный поверх реального картоприемника

Фальшивый пин-пад

Камера, установленная для записи вводимых нажатий на пинпаде, спрятанная рядом с банкоматом.

Обратите внимание, что в стандартных правилах банка, которые вы подписываете чаще всего не глядя, есть пункт, снимающий с банка ответственность в случае мошеннического снятия с использованием pin. Это означает, что если деньги украдены с помощью копии карты, из банкомата, то есть при этом вводился пин (а не просто номер карты, как, например, в интернете), то банк украденные деньги не вернет, а если ваша карта кредитная, или допускает овердрафт, то вы еще и должны банку останетесь.

Пример (собраны здесь):
Сбербанк России:
3.1.2 Держатель карты обязан “… Нести ответственность по операциям, совершенным с использованием ПИН-кода.

Банк Москвы:
3.2. Держатель не вправе передавать свою Карту и/или ПИН в пользование другим лицам. В целях безопасности Держатель обязан хранить номер ПИНа отдельно от Карты. Операции с использованием ПИНа признаются совершенными Держателем и
оспариванию не подлежат.

ВТБ24:
9.3. Клиент несет ответственность за совершение Операций, включая Дополнительные карты, в следующих случаях:
• при совершении Операций, как подтвержденных подписью или ПИНом Держателя, так и связанных с заказом товаров (работ, услуг, результатов интеллектуальной деятельности) по почте, телефону или через сеть Интернет;

И так далее, и так далее.

Впрочем, производители банкоматов также предпринимают свои контрмеры. Например, многие банкоматы теперь оснащены теми или иными средствами противодействия. Например подсвеченный зелеными светодиодами прозрачный периметр картоприемника на банкоматах Diebold препятствует установке на него незаметной насадки «с оборудованием». Также используются те или иные фигурные насадки, блокирующие возможность незаметного доступа к левой стороне карты (снизу там располагается магнитная полоса, которую должен считать скиммер), во время вставления ее в картоприемник. Хотя антискиммеры и сами выглядят, на первый взгляд, подозрительно, но они идентичны по внешнему виду, и обычно стоят на большинстве банкоматов данного банка.

На фото вид стандартного антискиммерного устройства банкоматов NCR.

Некоторые меры предосторожности, которые помогут значительно снизить риски

1. По возможности пользуйтесь проверенными, знакомыми банкоматами, определенных, проверенных банков, даже если до них вам надо проехать пару кварталов на автобусе.

2. Помните особенности конструкций и типичный внешний вид (форму и вид клавиатуры, типичный вид внешней части картоприемника) нескольких используемых вами обычно банкоматов. При необычном виде клавиатуры и картоприемника знакомого в целом банкомата — ни в коем случае не вставляйт в него карту и не вводите pin.
Если вы вставили карту, и вдруг обнаружили подозрительный вид банкомата — немедленно извлеките карту (обычно кнопка пинпада Cancel) ни в коем случае не вводя ее pin. Данные магнитной полосы без pin недействительны.
Старайтесь вообще не пользоваться банкоматами незнакомого вида и конструкции.

3. Старайтесь не пользоваться в вечернее время одиноко стоящими на улице банкоматами,в особенности в незнакомом районе. Охраняемые банкоматы чаще всего стоят в помещениях банков, крупных торговых центрах, кинотеатрах. Доступ к ним чаще всего есть даже в вечернее время. В случае даже обычного повреждения карты или поломки банкомата («проглотил карту и завис») вам проще будет объяснить, где стоит такой банкомат, и дождаться помощи, чем с банкоматом на непонятно каком углу каких-то улиц.

4. Убедитсь в том, что в момент, когда вы вставляете в банкомат карту, за вами никто не наблюдает. Если рядом с вами крутится кто-то настойчивый, за плечом стоит следующий за вами в очереди в банкомат, оказавшийся вплотную к вам — не постенсняйтесь попросить их отойти из-за вашей спины подальше. Вполне возможно эти люди торчат за вами совсем не случайно. Выхватить выданые банкоматом деньги, или же саму карточку, предварительно подсмотрев нажимаемые цифры пина — секунда.
Снаружи будки банкомата долго стоит и наблюдает за вашими действиями какой-то подозрительный тип — лучше пойдите в другой, в особенности если внешний вид банкомата вас настораживает. Как правило за установленым «скиммером» ведется наблюдение, вещь дорогая (5-15 тысяч долларов). Не пытайтесь самостоятельно снять «скиммер» (по той же причине).

5. Всегда печатайте и сохраняте как минимум на месяц-два «чеки» банкомата. В случае непредвиденных разбирательств с банком они помогут вам отстоять вашу позицию и разобраться в том, какие из снятий делались вами, когда и где. И, конечно же, распечатав такой чек, не бросайте его где попало. Иногда на нем может быть достаточно данных для злоумышленника. Например некоторое время назад банкоматы Ayudhya Bank печатали на нем полный номер вашей карты. Осталось только узнать ваше имя и фамилию (несложная социнженерия), и подобрать expiry date (на практике — несложный перебор из примерно 36 вариантов), а также найти интернет-магазин не спрашивающий CVV, чтобы воспользоваться деньгами с карты.

6. Ну и конечно, не держите все ваши деньги на одном счете. Используйте две-три карты разных банков, распределите свои средства по счетам этих карт. Старайтесь пользоваться преимущественно одной картой, оставив другие как «аварийные варианты». Это поможет не остаться без денег в случае утери или кражи карты (со стороны мошенников) или принудительной блокировки (со стороны банка).
Для особых параноиков, и при наличии интернета и интенет-клиента у банка, заведите отдельный от карточного счета счет для хранения денег (депозитный), и перебрасывайте непосредственно перед снятием, или карточным платежом, нужную сумму с депозитного счета на карточный.
Установите уведомление по операциям на карте. Удобнее всего были бы SMS, но в условиях частой смены номеров при переездах между странами и покупкой местных симок, практичнее было бы, наоборот, e-mail уведомление.

Но самый главный принцип — осмотрительность!

Несколько слов о «карточной безопасности», в особенности в…: 20 комментариев

  1. tvguide_khv

    а по сути весь геморой из-за отсталости этих самых карт… на дворе 2011 год а карты по сути все еще прямой аналог чеков. А тот дебил который решил печатать CVV на самой карте — вообще конченный мудель.

    1. romx

      Все совсем не так просто, как кажется дилетанту. Впрочем, как почти в любом сложном деле.

          1. tvguide_khv

            Я так и делаю. Вопрос был не в том как пофиксить а в том нафига так косячить в мировом масштабе.

      1. matinero

        А если не совсем дилетанту? Ром, ответь для расширения моего кругозора. Ведь можно завести карту с чипом, ее не подделать. Ну разве что из рук выхватят, подсмотрев ПИН. Но тогда вопрос: почему мир никак не избавится от магнитной полоски вообще? Тысячи, если не миллионы, банков продолжают предлагать исключительно MSC. Несмотря на то, что на дворе именно 2011. Даже если карта с чипом, покуда есть полоска, данные track2 можно «соскиммить», добавить к ним ту же CVV2, и пожалуйста, не надо ничего клонировать: иди покупай в интернете билеты на самолет в Южную Америку.

        1. romx

          Чип это, конечно, большой шаг вперед. Но, как всегда, «лодка разбилась о быт». У чиповых карт хватает, на практике, своих проблем.
          http://blog.chirkov.net/2008/12/30/kuda-vedet-progress/
          http://blog.chirkov.net/2009/02/01/emv-shagaet-po-planete/

          Вечная проблема с «унаследованными решениями», которые приходится волочь из прошлого века десятилетями.
          Хорошая (в теории) идея с введением 3D Secure, например, разбилась о неготовность банков, не желающих модернизировать уже работающую систему авторизации. А решение это надо вводить либо всем разом, на всех элементах цепочки, либо не вводить вообще.

          > Но тогда вопрос: почему мир никак не избавится от магнитной полоски вообще?

          Магнитная полоска? Ха! Я вам более того скажу, даже от эмбоссированных (выпуклых) реквизитов на карте отказаться не могут еще! Магнитная полоса это вообще хайтек! ;)

          1. matinero

            >»лодка разбилась о быт»

            Понятно :)

            >даже от эмбоссированных (выпуклых) реквизитов на карте отказаться не могут еще!

            Мне всего однажды, лет этак 10 назад довелось наблюдать, для чего именно эти эмбоссированные реквизиты придуманы :). Кстати, почему-то на «электронных» (Visa Electron, Maestro) и contactless картах с чипом выпуклостей не делают, а «классические» варианты по-прежнему штампуются со всеми реквизитами, да.

          2. romx

            Ха. В Америке вон до сих пор чеки из чековых книжек в ходу, как в 20-е годы прошлого века!

    1. romx

      Пожалуйста. Берегите себя. И свои деньги.

      Поводом для написания был как раз эпизод, когда я шарился выпимший по каким-то задворкам найтмаркета Ханоя с целью снять денег, и находил ну очень подозрительные ящики, уговаривая себя «не надо совать во что попало, пойдем, дойдем на площади до HSBC!»

  2. pistoganza

    Кстати, а как у Касикорна обстоит дело с депозитными счетами или аналогами? Чтобы не держать на «карточном» счету всю сумму.

    1. romx

      Ну, в общем, там можно сделать дополнительный счет, и перебрасывать внутрибанковские переводы в интенет-банке или с помошью ATM-SIM. Но я как-то не заморачивался.
      Кроме того, у них есть 3D Secure для онлайн-платежей, с отсылкой одноразового пароля по SMS, можно поставить лимит снятия на виртуальную карту, есть SMS-уведомления (правда запаздывают минут на 20).
      На банкоматах у них повсюду антискиммер, как на фото выше, и банкоматы все одинаковые.

  3. lublinskaya

    я к сожалению стала интересоваться этим уже после того как стала жертвой мошенников… сейчас разбираюсь с банком Москвы..

  4. https300

    несколько миниатюрных камер около банкомата и есть возможность получить все данные карты (номер, владелец, дата действия, CVV) плюс пин-код. Хотя последний и не нужен, чтобы делать покупки через интернет. И никаких накладок-ухищрений не надо

    1. proforg

      нет никакого смысла, как и с вариантом 5 в статье
      любая большая транзакция гарантированно будет успешно опротестована и «откачена», а морочиццо так ради суммы в $40-50 смысла нет никакого :)

  5. elhutto

    У нас тоже такое водится. Регулярно дергаю за насадки на щели для карты (а также на аналогичном приборе на дверях впуска в банк — они в Германии по карте клиента, и их тоже, бывает, считывают). Если процесс мониторит установщик и вмешается — врежу.

  6. sputnik1818

    Очень полезный материал. Спасибо за статью. Будем ещё более внимательней относится к снятиям денег.

  7. mezarkabul

    Я видимо из «особых параноиков», т.к. всегда пользовался пунктом 6Б :) А для смс-уведомлений имею маленький двухсимочный телефончик со всегда вставленным билайном :)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *