26.08.2015 06:35
Kood-kudakh 62 9673 Источник
Как и все, я пользуюсь карточкой. Дебетовой или кредитной — платить удобно, наличку снять тоже.
О времена, о нравы… Пираты бы не оценили. image
Так вышло, что чаще всего обращаться приходится именно к зеленым человечкам банкоматам.
Почитав материала, решил как-то оглядеться, а не притаилось ли чего.

Смотрю, поднимается медленно в гору зеленый глядит на меня:

Видно, что сверху камера, и она глядит вниз, в т.ч. и на клавиатуру
image

Немного ближе
image

Не скрываясь, внимательно наблюдает за происходящим, при этом у нее (у камеры то есть) клавиатура — как на ладони.
После звонка в ТП банка был получен ответ, мол, так и должно быть, и что камера установлена по ТУ, и это нормально.
Хоть банки всячески говорят о необходимости прятать пин, номер карточки и CVV, но тут же сами снимают эту информацию.
Это в дальнейшем может привести к тому, что у массы пользователей уйдут средства со счетов в неизвестном направлении.
Кто-то не сможет в случае чего забрать назад унесенное ветром присвоенное, ведь нужно соблюсти ряд условий, указанных здесь.
Как обстоят дела у других банков, мне неведомо.
Считаю долгом предупредить о возможности считать Ваши данные, будьте бдительны, носите с собой жвачку, чтобы залепить око в нужный момент.
И да пребудут с Вами деньги.

Комментарии (62)


  1. Coffin
    26.08.2015 10:13
    #8752980

    У банкоматов раифф — аналогично.


    1. Meklon
      26.08.2015 21:05
      #8754048
      +2

      Тут мне Вконтакте пользователь написал, чтобы народ не пугался. Все так и задумано. Это — сканер штрих-кодов.

      Чтобы оформить платеж с бумажной платежки(например налоговой) и не набирать его руками на экранной клавиатуре

      Расходимся, интрига раскрыта)


      1. ploop
        26.08.2015 21:37
        #8754078

        Нет, сканеры само собой. Ещё и камеры стоят.


      1. Kood-kudakh
        27.08.2015 07:24
        #8754346

        Сканеры разные бывают. Если это сканер штрих-кода, то по засветке светодиодом штрих-кода камера его снимает — все гут.
        Но не кажется Вам, что это добавляет интриги?
        Под видом сканера лепят камеры (которые конечно выполняют свою функцию сканеров штрих-кодов, но и снимают все, что попадает им в фокус).
        Сделали бы лазерный там, или имедж-сканер, тогда не было бы вопросов.
        А так получается, что с камеры в ОС терминала изображение передается, и потенциально может быть извлечено с целью наживы.


  1. Yaruson
    26.08.2015 10:18
    #8752986
    +5

    Эти же банки совершенно ясно советуют прикрывать клавиатуру рукой при наборе PIN, а в конкретном банкомате даже «бортики» есть, чтобы кто сбоку не подсмотрел. С этой же камерой, как мне кажется, какой-нибудь злодей не сможет так легко установить накладную клавиатуру для сбора PIN кодов в пару к скиммеру.


    1. Kood-kudakh
      26.08.2015 10:25
      #8752992
      -4

      Если возможность утечки информации исключается абсолютно, то тогда не о чем беспокоиться.


    1. YouraEnt
      26.08.2015 16:43
      #8753674

      А по-моему эти бортики как раз для того, чтобы можно было удобно расположить одну руку над клавиатурой, положив её на бортики. Всё для людей!


  1. olartamonov
    26.08.2015 10:26
    #8752996
    +27

    Я вам более того скажу — хакеры уже выложили в интернет все PIN-коды карт Сбербанка!

    Вот они.


    1. Kood-kudakh
      26.08.2015 10:30
      #8753000
      +5

      Проверил — действительно, мой ПИН здесь также присутствует. Как они это сделали? ))


      1. wtigga
        26.08.2015 14:02
        #8753440
        +1

        Слава китайским банкам и 6-значным пинам :)


    1. StirolXXX
      26.08.2015 12:44
      #8753332

      Фух! Моего 5-ти знака там нет!


    1. Yaruson
      26.08.2015 13:00
      #8753358

      Я тоже нашёл свой PIN в этом списке, правда поменять не могу: мой банк может поменять PIN-код только вместе с самой карточкой…


  1. kibitzer
    26.08.2015 10:26
    #8752998
    +3

    Встречал ряд банкоматов Сбербанка, где камера стоит непосредственно (сантиметрах в 10) над клавиатурой. В банке тогда предлагали рукой прикрывать камеру, если я параноик :)

    Как я понял, цель этих камер не в том, чтобы записывать ваши пинкоды (хотя они это явно могут, а если могут — значит пишут всё), а фиксирует установку скимминговых устройств, бывают банкоматы, где маленький глазок смотрит и на картоприёмник. Одной камеры, которая смотрит только на клиента — недостаточно. Без подобной видеофиксации невозможно доказать, был ли в тот момент установлены накладки или нет (утром поставил, вечером снял, на момент разбирательства — ничего уже нет).

    Так же может фиксировать ваши операции, если вы переводите куда-то средства и т.п. Чтобы у банка были доказательства, что это не ошибка системы (перевод на такой-то счёт), а ввели его вы (ну или человек с вашей картой).

    Подобные банкоматы (камера перед клавиатурой) точно были ещё в начале 2014 года


    1. ZonD80
      26.08.2015 19:40
      #8753952
      -1

      ну так, прикрыл камеру рукой, поставил скиммер и все.


  1. VBKesha
    26.08.2015 10:32
    #8753010

    -


  1. erimeev
    26.08.2015 11:01
    #8753060

    Я несколько раз слышал, что СБ Сбербанка отказывает в возмещении убытка, если ты не закрывал рукой ввод своего пина. Наверное, этими камерами отслеживается этот факт.


    1. Singerofthefall
      26.08.2015 11:05
      #8753064
      +1

      Было бы интересно узнать поподробнее. Есть ли пруфы этой информации, или вам просто кто-то когда-то об этом говорил?


    1. Lisio
      26.08.2015 18:43
      #8753892

      Т.е. людям, у которых в силу обстоятельств имеется только одна рука, ничего не светит?


      1. gluck59
        27.08.2015 19:35
        #8755184

        «Нет ножек? Нет мультиков!» — ответил Сбербанк…


  1. Singerofthefall
    26.08.2015 11:09
    #8753070

    Я в какой-то статье читал, что эта камера не снимает сам пинпад, вместо него черное пятно. Подтвердить не могу, может и вранье.


    1. Kood-kudakh
      26.08.2015 11:16
      #8753086
      -1

      Спецматрица камеры с битыми пикселями? Хмм…


  1. zvyagaaa
    26.08.2015 11:26
    #8753136
    +1

    я когда деньги снимаю — рукой всегда закрываю клавиатуру, заодно проверяю на накладки на клавиатуре и в картоприемнике. Чего и Вам желаю. (был уже прецедент, попадался на скиммер)


    1. Kood-kudakh
      26.08.2015 11:37
      #8753170
      +1

      Попались — это когда обнаружили скиммер, или когда операция по снятию без Вашего ведома прошла? Удалось ли вернуть?


      1. zvyagaaa
        26.08.2015 12:10
        #8753258

        Да, снял деньги в левом банкомате. Через месяц были транзакции на снятие в Латинской Америке. Хорошо, что СБ банка (не буду делать рекламу банку) быстро отработали — закрыли карту. Сняли порядка 8 т.р. Потом была процедура написания заявления в банк. Рассматривалось оно где-то месяц-полтора, деньги вернули.
        Как я потом выяснил — это не такая уж и экзотика. Данные продаются на черных рынках, потом выпускаются дубликаты карт. И с дубликатов уже обналичиваются.
        На скиммер наткнулся на курортах Краснодарского края :)


        1. Kood-kudakh
          26.08.2015 12:21
          #8753294

          Хорошо, что все вернули.

          Видимо, смена пин-кода время от времени должна помочь…
          Интересно, как часто стоит менять пин? И есть ли статистика по срокам, в течение которого снимают ДС после того, как карточку считали? Может, знает кто?


          1. zvyagaaa
            26.08.2015 13:09
            #8753372

            у меня украли деньги где-то недели через 3 после снятия в левом банкомате.


            1. StirolXXX
              26.08.2015 14:11
              #8753462

              У меня такую активность Payoneer заподозрил, и не дал снять + заблокировал карту.

              1. Хорошо что карта с чипом
              2. Пробовали снять спустя 3 месяца
              3. Банкомат обследовал в свое время, и не нашел на момент снятия денег скиммер.


              1. Meklon
                26.08.2015 21:08
                #8754056

                А как можно склонировать карту с чипом? Я думал это невозможно.


                1. StirolXXX
                  26.08.2015 23:32
                  #8754184
                  +1

                  Клонировать возможно, но только без чипа.

                  Дело в том, что на случай выхода чипа из строя (или очень плохого терминала, без поддержки чипов) допускается проводка операции без чипа.
                  А информация о том что на карте стоит чип зашита на магнитную полосу, что как вы сами понимаете поддается редактированию.


                  1. Meklon
                    26.08.2015 23:43
                    #8754196

                    А мой банк должен разрешать проводки по полосе при наличии чипа?


                    1. StirolXXX
                      27.08.2015 07:51
                      #8754354

                      С точки зрения безопасности, да, но только после звонка от клиента и пояснением мол «так и так, чип не работает». Допускаем что кардеры не знают П/Д владельцев карт.


                    1. vlivyur
                      27.08.2015 12:49
                      #8754776

                      Тут точно есть какой-то фокус. У меня внезапно отказал чип, тыркали, тыркали карту в терминале (вроде бы не мой банк был), но он выдаёт ошибку чипа. Продавец провёл полосой и всё нормально. Через часик в другом месте пытался расплатиться и тот же фокус уже не прошёл (терминал был родного банка). Ну и бывают терминалы которые в принципе не знают что бывают чипованные карты. Так что наверняка зависит от прошивки терминала.


                    1. Mad__Max
                      02.09.2015 06:41
                      #8761020

                      Должен. Но в случае каких-то разборок все сомнения трактуются в пользу клиента (чья карта была), т.к. проводка по данным с полоски при исправном чипе это доказательство, что клиент сам эти деньги не снимал, и карту не терял/никому не передавал, а использовалась копия.
                      А ущерб потом взыскивается с банка обслуживающего терминал, который провел транзакцию «по полоске» с карты имеющей чип. Именно он (терминал и банк-эквайер) обычно отклоняют возможность оплаты по «полоске» для всех чипованых карт.


  1. Ole
    26.08.2015 11:28
    #8753138
    +1

    Ошибки и уязвимости ПО внутри банкоматов представляют больший ущерб для денег на карте.


  1. saga111a
    26.08.2015 11:29
    #8753146

    Вы серьезно ждете адекватности в безопасности и отсутствия очень неразумных вещей от сбербанка? Много чего от них видел и слышал и мне кажется странным не ожидать что данные/деньги могут своровать сами работники сбербанка. Может конечно вам в жизни везло и общение со сбером, почтой, поликлиниками не вызвало проблем…


    1. Kood-kudakh
      26.08.2015 11:52
      #8753208
      +1

      Конечно, Ваш случай с паспортом ту еще фрустацию вызывает.


      1. saga111a
        26.08.2015 11:55
        #8753222

        Деньги тогда снять решил именно из-за проблем с безопасностью. Знакомые которые дела ведут с воровством у банков сказали, что со сбером слишком часто проблемы и рекомендовали уходить. Случаи описывали как раз из разряда увода денег из банкоматов.


        1. kibitzer
          26.08.2015 12:22
          #8753296
          +1

          Деньги хоть получилось снять?


          1. saga111a
            26.08.2015 12:26
            #8753304

            да, в соседнем отделении, по тем же документам)


  1. xirahai
    26.08.2015 11:49
    #8753206

    Какой-то странный и нездоровый ажиотаж вокруг несчастных пин-кодов. Ведь чтобы им воспользоваться, надо иметь как минимум саму карточку, ну или на крайняк её копию с помощью сниффера на банкомате. Поэтому если владелец карты не безбашенный, увести её довольно сложно. Куда важнее CVC2, позволяющий в некоторых случаях снять деньги без подтверждающей смс, т.е совсем без ведома владельца. Разве что уведомление постфактумом придет если карта на телефон подвязана. Код CVC2 действительно имеет смысл зачернить на карте и хранить в строгом секрете.


    1. Kood-kudakh
      26.08.2015 11:59
      #8753236

      Согласен. Например, на скайп деньги положить — ни подтверждения не запросит, ничего.
      А по поводу ПИН все же стоит немного опасаться.


      1. xirahai
        26.08.2015 12:50
        #8753340
        +1

        Одно из наиболее безопасных решений, особенно когда риск нарваться на неблагонадежный банкомат или интернетовский ресурс — это разделение счетов. Деньги храним отдельно, и перечисляем по мере необходимости небольшую сумму на расчетную карту сервисами банка, которые лучше защищены. Благо современные технологии позволяют это прямо в магазине со смартфона. А основную карту никогда нигде не светим, никуда не вставляем, кроме гарантированно благонадежных банкоматов для пополнения счета. Гемору конечно чуть больше, но сохранность средств того стоит.


        1. Kood-kudakh
          26.08.2015 12:55
          #8753350
          +1

          Деньги в данном случае нужно хранить именно на счету другой карты, или на расчетном счете/вкладе можно?


          1. ploop
            26.08.2015 14:23
            #8753484

            А это какие у банка порядки. Зачастую обычные счета открывают только с картами, а те, что вклады — с ограничениями, например на сумму или периодичность снятия. Но по ним уже проценты капают хорошие.


          1. xirahai
            26.08.2015 16:01
            #8753638

            Насчет счетов не в курсе, но с картой удобно. Основную карту можно вообще хранить в тайничке и доставать только для пополнения через надежный банкомат. Все остальные операции посредством компа или смартфона.


    1. ploop
      26.08.2015 12:16
      #8753280

      Да много что, любая покупка совершается по номеру карты и коду. При том в заграничных магазинах, а там найди попробуй концы.
      Уведомление придёт конечно хозяину, но будет поздно.


    1. Zzzuhell
      27.08.2015 16:52
      #8755076

      Вы еще не заклеили малярным скотчем «лишние» группы цифр на карте? Тогда мы идем к вам :)

      Серьезно, на всех моих картах CVV код и первые три группы из номера карты заклеены аккуратными кусочками белого малярного скотча. Чтобы, как минимум, не спалить код, когда в супермаркете картой платишь.
      Кассиры на такие заклейки смотрят спокойно. При необходимости всегда можно отклеить и продемонстрировать номер.


      1. xirahai
        27.08.2015 17:21
        #8755092

        Весьма рискованная мера, если скотч вдруг отлипнет и замнется в банкомате. Поэтому использую маркерную краску, до сих пор никто в магазинах не цеплялся.


  1. Finesse
    26.08.2015 12:28
    #8753312
    +3

    То есть вы считаете, что банкомат не может получить данные о введённых цифрах с клавиатуры, и что для их получения пришлось установить камеру?


    1. ploop
      26.08.2015 12:31
      #8753314
      +1

      Мне кажется, что тут разные полномочии: одни имеют доступ к банкоматам, или вообще к БД, другие нет, но наблюдают за камерами. Вторым в принципе не положено знать то, что знают первые.


    1. Kood-kudakh
      26.08.2015 12:40
      #8753324
      -1

      Чем больше инструментов для получения данных, тем больше возможностей для их получения и для эксплуатации уязвимостей.
      Данные получать «могут не только лишь все. Мало кто может это делать». (с)


    1. Kood-kudakh
      26.08.2015 13:12
      #8753374
      -1

      Еще нашел материал. Тут ПИН не обязателен. Интересно, еще актуален такой вид мошенничества? Данная камера, думаю, способна снять между делом и номер карты.


      1. mlurker
        26.08.2015 16:46
        #8753682

        С такой карты это будет сложнее http://cdn.thepointsguy.com/wp-content/uploads/2013/11/CSP-chip.jpg?c22584


    1. a5b
      26.08.2015 16:01
      #8753636

      Да, часто пин не покидает клавиатуры в незашифрованном виде, и проверяется либо в банке, либо в чипе карты клиента en.wikipedia.org/wiki/PIN_pad
      «In some cases, with chip cards, the PIN is only transferred from the PIN pad to the chip (within the PIN pad itself) and it is verified by the chip card.… Like some stand-alone point of sale devices, PIN pads are equipped with hardware and software security features to ensure that the encryption keys and the PIN are erased if someone tries to tamper with the device. The PIN is encrypted immediately on entry and an encrypted PIN block is created.»


  1. Lobey
    26.08.2015 23:43
    #8754198
    +1

    Всё просто, раскрою интригу: данная камера стоит от «щипачей». Щипачи — это те, кто вставляют карту, снимают сумму с большим количеством купюр, затем выщипывают несколько купюр из стопки. Стоят, ждут 2 минуты. Банкомат благополучно хватает и втягивает внутрь и карту и деньги. А после этого щипач обращается в банк: «Я хотел снять деньги, но не успел, банкомат всё отобрал. Достаньте, пожалуйста, мою карту и верните неснятые деньги на неё».
    Чаще всего — камера стоит сбоку от окна диспенсера, выдающего купюры. В данной конструкции, как видите, сбоку камеру не поставить, поэтому её установили сверху. Ещё и более скрытая установка получилась.
    А мысль о том, что камера стоит для снятия пин-кода — паранойя.


    1. dom1n1k
      27.08.2015 02:26
      #8754262

      Какая-то очень хлопотная схема мошенничества.
      И много раз её не повторишь.


      1. Lobey
        27.08.2015 07:53
        #8754356

        Зато не требует никаких навыков и инструментов, щипачами бывают даже милые бабушки, снимающие с карточки свою пенсию. Попробуйте просто присмотреться к любым банкоматам. ВСЕГДА и ВО ВСЕХ банкоматах ОБЯЗАТЕЛЬНО есть окошко для камеры, которая снимает выдаваемые купюры. Поэтому почти никто и не слышал о таком мошенничестве: этими камерами его предотвратили ещё до того, как оно стало популярным.
        А вот мошенничество со встраиванием камеры в банкомат для подсматривания пин-кодов клиентов — это, действительно, как-то уж чересчур хлопотно. В таком мошенничестве должны участвовать и создатели банкоматов (представьте, как представители Сбера договариваются с Diebold: «А ещё мы хотим, чтобы камерой снимался PIN-код»), и техническая поддержка и многие другие.


    1. sandello
      27.08.2015 07:58
      #8754358

      «То, что у вас паранойя не значит, что за вами не следят» © не мое


    1. Kood-kudakh
      27.08.2015 11:57
      #8754638
      +2

      Да, похоже, камеры больше для этого. Не знал о «щипачах», точнее под это больше подходят карманные воры. Просветили, спасибо.
      Но пины они снимают или могут снимать, объективно это так.


  1. crrr
    27.08.2015 21:36
    #8755286

    Я вот не озаботился фотками — но реально видел и пострашнее сберовские банкоматы, с дюралевыми уголками у клавы, подозрительными дырками слева/справа у стенки, чудные засаленные до черноты картоприемники… бррр.


  1. dmial
    29.08.2015 19:35
    #8757170
    +1

    Собственно, всё существенное уже в комментариях написали. Кроме того, что деньги — прЕбудут. Для полноты образа борца со вселенским заговором.


    1. Kood-kudakh
      31.08.2015 07:23
      #8758322

      Исправил.