В очередной раз, снимая деньги в банкомате одного из украинских банков, обратил внимание на информационное сообщение, которое просило убедиться, что ПИН-клавиатура соответствует изображению на экране. Сверив изображение, я понял, что клавиатуры разные.
Я осмотрел ПИН-клавиатуру в банкомате и убедившись, что она не накладная, снял деньги. Это был банкомат ПАО Банк Петрокоммерц-Украина. Получается, что там не знают, как выглядят клавиатуры их банкоматов, либо они отличаются от банкомата к банкомату.
В дальнейшем, я стал изучать такие информационные сообщения в других банкоматах и понял, что это проблема не конкретного банка.
Также не знают, как выглядят их ПИН-клавиатуры в АО Ощадбанк:
Не знают, как выглядят их карт-ридеры и в ПАО ПроКредит Банк:
И напоследок, ПАО Приватбанк просто дискредитировал саму идею борьбы со скиммингом одним только видом своих банкоматов:
Помимо того, что банки сами вводят в заблуждение своих клиентов и просто-напросто принуждают их игнорировать информационные сообщения о проверках ПИН-клавиатур и кард-ридеров, так они ещё и увеличивают количество действий, необходимых выполнить клиентам, чтобы снять деньги.
Получается, это не борьба со скиммингом, а её имитация.
Я осмотрел ПИН-клавиатуру в банкомате и убедившись, что она не накладная, снял деньги. Это был банкомат ПАО Банк Петрокоммерц-Украина. Получается, что там не знают, как выглядят клавиатуры их банкоматов, либо они отличаются от банкомата к банкомату.
В дальнейшем, я стал изучать такие информационные сообщения в других банкоматах и понял, что это проблема не конкретного банка.
Также не знают, как выглядят их ПИН-клавиатуры в АО Ощадбанк:
Не знают, как выглядят их карт-ридеры и в ПАО ПроКредит Банк:
И напоследок, ПАО Приватбанк просто дискредитировал саму идею борьбы со скиммингом одним только видом своих банкоматов:
Помимо того, что банки сами вводят в заблуждение своих клиентов и просто-напросто принуждают их игнорировать информационные сообщения о проверках ПИН-клавиатур и кард-ридеров, так они ещё и увеличивают количество действий, необходимых выполнить клиентам, чтобы снять деньги.
Получается, это не борьба со скиммингом, а её имитация.
datacompboy
А что по телефону указанному на экране сказали?
dinikin
Я не звонил, публиковал фото в фэйсбуке с упоминанием банков, ни один банк не ответил.
datacompboy
То есть вы проигнорировали явное указание действия, которое вы должны совершить, и утверждаете, что это действие не работает?
dinikin
Если эта проблема существует не один месяц, значит, либо клиенты игнорируют сообщение и снимают деньги, либо они звонят, сообщают об отличиях, но ни чего не меняется. Из этого я делаю вывод. что таки да, эти информационные сообщения не работают.
Gorodnya
Звонки в банк ничего не меняют. Знаю по своей аналогичной ситуации.
makaroff
Есть одна классная история про сотрудницу службы поддержки банка, которая лишаясь премии в течении, кажется года, боролась за снятие таблички указывавшей на наличие банкомата, который давно отсутствовал.
vlivyur
abelomorov.livejournal.com/1542.html
toxicdream
А мне уже не смешно.
Я работал в банке Х 2,5 года.
Delphinum
Не нашел утверждения автора, что это действие не работает. Прошу ткнуть носом в цитату.
Если банки допускают такого рода ошибки, значит никто поправлять это не будет. Не удивлюсь, если при звонке по этому номеру никто не ответит.
datacompboy
Ок, с цитатами:
этим автор заявил, что приведённые меры не работают.
а этим он подтвердил, что указанные действия он не совершал.
Delphinum
А что изменил бы звонок автора по указанному номеру? Банки начали бы более компетентно подходить к своей работе?
Автор утверждает что эти изображения всего лишь имитация борьбы со скиммингом, и с этим сложно не согласится учитывая предложенное в статье исследование.
datacompboy
Исследование — это сопостовление фактов.
Сопостовление фактов с домыслами — это уже теория заговора, а не исследование.
Тем более, что для доведения до исследования не хватило всего ничего.
Delphinum
Я правда не понимаю вашей позиции. Давайте вместе представим идеальный подход к борьбе с скиммингом в банке. Предположим мне нужно решить эту проблему и я собрался использовать именно тот подход, что описан в этой статье. Все что от меня требуется, это сфотографировать и отцифровать клавиатуру на банкоматах нашего банка и добавить это изображение вместе с поясняющими текстами в качестве одного из шагов взаимодействия с пользователем. После я должен протестировать это и запустить «на продакшен». Если банк не может выполнить эти элементарные действия, значит банк и не собирается бороться с скиммингом, все это лишь бутофория и не более того. Так зачем куда то звонить? Что вы ожидаете услушать после звонка?
datacompboy
Моя позиция — пока звонок не совершен, нельзя сказать, насколько неэффективна эта мера.
Можно сколько угодно выдумывать, но это всего лишь домыслы.
Причем поскольку главный вывод основан на домысле — сейчас вся статья — домыслы автора.
Delphinum
Так что изменит звонок? Мера является неэффективной, ибо она изначально являлась нерабочим решением и звонок здесь ничего не исправил.
Я не считаю звонок главным выводом. Главный вывод здесь в том, что банки настолько халатно подошли к проблеме скимминга, что даже не удосужились протестировать свое решение. Это то же самое, что я создам нерабочую игру, выложу ее в Steam и в описании напишу: «Если игра у вас не запускается, сообщите об этом по телефону». Другими словами заведомо нерабочее решение сопровождается просьбой позвонить и сообщить о неработоспособности этого решения. Вам не кажется это глупостью?
datacompboy
Совершенный звонок (и зафиксированное отсутствие реакции на него) меняет домысел на факт, и вся статья вместо голословной становится исследованием.
Delphinum
А тот факт, что банк не удосужился перед использованием решения его протестировать для вас недостаточно? Даже если после звонка к вам приедет «служба замены банкомата на правильный» делает подобный подход не бутофорией?
datacompboy
С чего вы взяли, что решение не протестировано?
Теперь уже не только автор, но и вы впадаете в оперирование домыслами вместо фактов.
Delphinum
А как оно может быть протестировано, если на картинке одна клавиатура, а в банкомате другая? Те люди, которые внедряли это решение не могли включить банкомат и сверить картинку и реальность?
datacompboy
Во-1х, это может быть реальная атака. То, что вы «на глазок» не обнаружили подмены не означает, что это не атака.
Во-2х, рассмотрим простой случай — у банка 40000 банкоматов 40 физических модификаций в 200 населённых пунктах. Было проверено 4000 банкоматов 40 физических модификаций в 20 населённых пунктах. Считаете ли вы это «протестировано»?
Delphinum
Такие ответы мне уже больше по душе )
Неужели так сложно отличить накладную клавиатуру от реальной?
Зависит от политики безопасности банка и его модели оценки рисков. Я не знаком с тем, как выкатываются подобные модификации в банкомат, но если это делается на месте установки банкомата, думаю не сложно протестировать их все. Если же клавиатуры банкоматов отличаются, а изменения накатываются на них пакетно (не на каждый отдельно, а какой то общей командой вида ./update.sh), то что мешает накатить изменения правильно, чтоб картинка на всех банкоматах совпадала с конфигурацией их клавиатур? Неужели это настолько сложно?
Это как если бы я написал игру для Windows, а затем выложил ее как работающую под OSx и Linux в надежде, что пользователи сообщат мне об ошибках. Как то халатно на мой взгляд.
datacompboy
Поскольку это идёт гонка меча и щита, да. Накладки становятся всё лучше и всё сложнее отличить их.
Немного подробностей
В целом, ПО банкомата — фиксированное, внести в него изменение очень дорого и сложно.
А вот внести изменение в его конфигурацию, без изменения логики работы — легко. Именно это и делается, путем добавления дополнительных шагов.
Скрипт, исполняемый банкоматом может варьироваться в зависимости от аппаратных особенностей банкомата или других параметров, но, насколько знаю, вид клавиатуры в них не входит.
Поэтому и делают самые разные хаки, чтобы на банкоматах выводились правильные картинки. Что и ломается, если какой-то физический банкомат был в ремонте, и факт замены детали не отразили в нужном месте.
p.s.: из ~50 банкоматов, которыми я пользовался в новосибирске, ни у одного не было расхождения.
p.p.s: в швейцарии я пока не видел таких картинок вообще, не знаю, почему.
Delphinum
Не проще ли прикрутить к клавиатуре банкомата какой нить торчащий болт так, чтобы на нее уже нельзя было наложить подделку?
SamDark
Сделают накладку под болт :)
datacompboy
Делают «уши» — они одновременно и защищают от подсматривания пинкода камерой / соседом по очереди и мешает установить незаметную накладку.
… впрочем, их всё равно отрывают, а через неделю, пока так и не поставили на место, делают накладку
Ohar
Очевидно что нет, описанный вами вариант совершенно не подходит под «было протестировано».
datacompboy
Почему?
Ohar
Потому что были проверены не все.
datacompboy
Стохастичесое тестирование.
Ohar
datacompboy
«Количество банкоматов и терминалов Сбербанка к январю 2015 года превысило 90 тысяч».
15 минут на проверку одного банкомата (оптимистичная оценка, с учетом того, что до некоторых придётся добираться, а некоторые будут делать девочки на местах не совсем понимающие что надо сделать) = 22500 человеко-часов на просто сделать фотки всех банкоматов.
Согласен, глупости, проверять надо всё.
Ohar
Совершенно очевидно что проверять нужно всё и сарказм здесь не уместен.
datacompboy
Нет, не очевидно. Можете привести цепочку очевидных для вас рассуждений, приводящих к этому выводу как однозначному?
Ohar
Могу предложить вам поискать в толковом словаре значение слова «проверять».
datacompboy
Да не вопрос.
Мне не сложно.
Сможете показать, где тут про применимость методик тестирований?
Ohar
Понятия не имею. При чём тут они?
Вы действительно полагаете, что сделав некую неполную выборку по некой методике, можно утверждать что тестирование проведено корректно и проблем не обнаружено? Серьёзно?
datacompboy
Да, при определённых условиях. Именно потому различные методики тестирования и существуют.
неужели все кроме вас идиоты, и не понимают, что всегда надо проверять всё?
Ohar
В таком случае я очень надеюсь что вы не имеете отношения к банкам, клиентом которых я являюсь.
Joshua
Вообще то да. Например, при массовом выпуске товара подавляющее большинство тестов — выборочные. И в результате вполне корректная статистическая оценка.
Альтернатива стохастическому подходу — 100% протестированный но не кому не нужный продукт в виду его высокой стоимости.
datacompboy
Еще немного технических подробностей: это решение, которое легче всего реализуемо. Так как добавить один шаг в workflow со стандартным поведением (просто показать картинку с далее/отмена) проще всего, тогда как любая нетривиальная логика требуется очень сложного процесса возможно с вмешательством в железо, пересертификацией и еще много чем, о чем нам, не-банковским ITшникам, не ведомо.
Поэтому вопрос стоит неправильно. Что можно сделать?
1. Правильная реакция на эти жалобы — однозначно должна быть (и мы не знаем, есть ли реакция, почему я и говорю, что без этого шага — заявление просто сотрясание воздуха).
2. Изменение физическое банкоматов, для усложнения монтажа — во-1х невозможно (всегда можно что-то приделать сверху, чтобы ты не делал), во-2х дорого (именно поэтому постепенно добавляют античиталки на картоприёмники навесные, но никак не меняют сами банкоматы
3. Усиление физической охраны банкоматов — слишком дорого в связи с необходимым охватом доступности банкоматов
Итак, что вы еще предлагаете?
Delphinum
Я предлагаю очень простое решение — протестировать перед тем как «сливать в продакшен». Я считаю, что если это сделано не было, значит банк халатно относится к своей работе, а так как это решение касается безопасности пользователей, значит банк халатно относится к своим клиентам. Совершенно не важно, будут ли клиенты звонить по указанному номеру или нет, и я считаю это фактом.
Возможно мы друг друга не поняли )
datacompboy
Так, еще раз.
С чего вы взяли, что решение не протестировано?
Мы пока наблюдаем одно — есть расхождение, если действие, которое ожидается от пользователя в случае расхождения. Мы не знаем, является ли это расхождение ошибкой (или даже халатностью) банка (или кого-либо из сотрудников) или реальной атакой на банкомат. И для различения этих ситуаций не было сделано ничего, а выводы были сделаны.
Вы понимаете, что я веду не о конкретном случае а о некорректном поведении исследователя.
Delphinum
Так автор же сообщает нам:
Следовательно это ошибка или халатность банка. Иначе как объяснить расхождение картинки и конфигурации клавиатуры, которая является частью банкомата (не мошеническая)?
datacompboy
Учитывая, что автор делает выводы на основании своего мнения, а не фактов, я не могу доверять его убеждению.
Вот пример клавиатуры, которую очень сложно обнаружить как накладную:
Delphinum
То есть вопрос больше сводится не к тому — был совершен звонок или нет — а к тому — являлась ли клавиатура на «проблемных» банкоматах настоящей или потдельной.
datacompboy
Нет, вопрос сводится именно к тому, что человек утверждает, что методы неэффективные, при этом, он не стал им следовать.
(разумеется, я согласен, что это еще одно доказательство низкой эффективности методики, но это вне обсуждения — публикуя это исследование, он взял на себя обязательства не балаболить).
Delphinum
Отчасти согласен.
c4boomb
Публикуя «исследование»?
Брал обязательства?
Что за догадки?
Прошу факты о том, что автор публиковал «исследование» а не субъективное мнение и брал на себя какие-то обязательства.
datacompboy
Потому, что это хабр, а не его личный блог.
c4boomb
На хабре запрещено выражение субъективного мнения?
datacompboy
habrahabr.ru/info/help/rules
«Хабрахабр — не жалобная книга.»
TerrorDroid
Речь о том, что фактическая клавиатура (настоящая, установленная на банкомате, без скиммеров и прочего добра), как говориться, «из коробки» тупо не соответствует тому, что указано на картинке.
В данном случае подразумевается, что никакой модификации банкомата на самом деле не произошло, но визуальное несоответствие есть, которое лишь сбивает людей с толку. И есть это несоответствие из-за того, что кое-кто не сделал свою работу и недосмотрел, что графика, используемая в информационном сообщение не соответствует фактическому положению вещей.
Если бы решение было протестировано, то несоответствие было бы замечено и в банкомате была бы картинка, соответствующая реальной клавиатуре.
datacompboy
Я еще раз подчеркну, что мы не обладаем достаточным доказательством, что это настоящая клавиатура. В этом и есть проблема.
Откуда эти уши торчат я знаю — после ремонта на старый банкомат поставили новую клавиатуру, информацию о чем не внесли в инвентаризацию конкретного банкомата.
Почему так получилось? Потому, что пока не началась эта байда со скиммерами, никто не думал, что вид клавиатуры важен.
И да, правильное поведение банка — поправить инвентаризацию банкомата (в идеале — на следующем осмотре всех банкоматов провести верификацию этой информации по всем банкоматам).
Но я еще раз подчеркну, что спорю я не с этим, а с тем, что выводы в статье сделаны на голословном базисе.
И это не для хабра, а для какой-нибудь группы фконтакта «мы все умрём».
Delphinum
С этим комментом не могу не согласится.
TerrorDroid
Но ведь проблеме скиммеров не один, не два и даже не пять лет…
datacompboy
Пока эти страшилки не ушли в народ в каждую газету, необходимости создавать публично заметную борьбу не было — занимались борьбой другими путями, я так понимаю.
datacompboy
Я просто намекаю автору, что любые выводы должны делаться основываясь на фактах, а не на домыслах и собственном мнении.
Во-1х иначе есть шанс нарваться на реальное уголовное преследование за клевету
Во-2х в принципе в жизни самое главное — докопаться до истины, а не найти подтверждение собственной правоте.
В общем, избавляйтесь от BIAS.
c4boomb
Вы абсолютно не правы!
Укажите мне в статье место, где автор ЧЕТКО указал, то что он претендует на объективность и проводил ИССЛЕДОВАНИЕ по придумаными вами
«ГОСТами»требованиями.Если это не указано явно, значит в этой статье автор МОГ выражать чисто своё субъективное мнение по данной теме.
2fidel
А вы не думали, что это не недосмотр, а уловка банка.
В случае, если жулики таки поставят скриммер и сопрут данные карт, банк всегда сможет сказать — а чего вы пихали и нажимали если видели, что клавиатура/щель не соответствует нарисованной на картинке?
Alexeyslav
Особенность в том что в случае мошенников картинка будет соотвествовать реальности!
dinikin
Смотрите, вот вам реальный кейс. Я сейчас вышел на работе в фойе, там стоят 3 банкомата. Мне нужно срочно снять деньги. Из 3-х банкоматов 1 не работает по техническим причинам, в двух остальных не соответствуют клавиатура и кард-ридер. Я позвонил по указаному на одном из банкоматов телефону и сообщил о том. что клавиатура не соответствует той, что на изображении. Мне ответили, что передадут эту информацию в службу безопасности. Но вот что мне сейчас делать, когда мне нужно снять деньги, а два банкомата имеют признаки наличия мошеннических накладок? Мне прийдется либо искать другой банкомат, либо ждать, когда банк проверит банкомат и исправит картинку. И теперь ответьте мне на вопрос, работает ли сейчас программа по борьбе со скиммингом? Да, наверное. Но в ущерб банку и клиентам.
datacompboy
А что должно было случиться? Должна была появиться группа захвата, уложить вас лицом в пол и проверить банкомат?
Delphinum
Если предположить, что вы являетесь клиентом только одного банка, при этом у этого банка такое несоответствие на всех банкоматах, то эта «халатность» банка лишает вас возможности пользоваться картой до исправшения этой ошибки (возможно на несколько дней/месяцев/лет).
datacompboy
Это всего лишь звоночек, что пора сменить банк.
Delphinum
Эхх… К сожалению я еще не нашел банка без косяков. Посоветуйте, буду благодарен.
datacompboy
Меня вполне устраивает postfinance.ch
Delphinum
Швейцарский банк? Хорошо вам )
datacompboy
К слову, не без косяков, но пока на доступность средств и/или их безопасность они никак не влияли.
datacompboy
Правильное поведение с вашей стороны: если обнаружили банкомат с признаками несоответствия, то принять решение о рисках.
Либо вы принимаете риск копирования карты, и пользуетесь им, либо не принимаете, и ищете банкомат, который работает и не имеет признаков.
Вы можете минимизировать риски потери денег, заменив их на гарантированную потерю времени либо сейчас (искать другой банкомат) либо потом (сразу после снятия денег заблокировать карту).
Других вариантов не может быть — потому что если на банкомате реально будет считыватель, у вас будут ровно те же самые варианты.
TerrorDroid
Позвольте вклинусь в Вашу ветку сообщений здесь. Я конечно понимаю Вашу претензию к автору и в сферическом вакууме я бы даже с ней согласился, но суровая пост-советская реальность вносит некоторые коррективы. Я вот лично видел не менее трех случаев, когда банки успешно уведомляли по телефону о проблеме скиммеров:
— в первом случае не совсем понятно было скиммер там или нет, но выглядело все подозрительно и на всякий случай позвонили в банк, где после уточнения всей информации (барабанная дробь) «проверили удаленно по интернету», что «все нормально и скиммера нет»;
— во втором случае было довольно очевидно, что на банкомате скиммер, банк принял информацию и там пообещали в кратчайшие сроки все исправить… через 1-2-7-30 дней (дальше просто лень было проверять) ничего не изменилось;
— в третьем случае внешне все выглядело более чем странно, но попытки сообщить об этом в банк наткнулись на упороторые попытки операторов убедить нас, что мы ничего не понимаем, все хорошо и нет никаких проблем;
Вот Вам реалии того как работает все это добро здесь, а не в Швейцарии :) Надо ли лишний раз упоминать, что для того чтобы сообщить это пришлось проявить упорство т.к. ожидания на линиях и переключений операторов было обычно около получаса в каждом случае.
Мне даже рассказывали как все это выглядит с другой стороны (знакомый один некоторое время проработал в банкинге, прежде чем сбежать оттуда, ибо никакие деньги, по его словам, такие условия и коллектив никогда не компенсируют) — там всем на все плевать, реальный результат никого не волнует, просто требуется закрыть ряд пунктов галочками, что мол предусмотрели, сделали, проинформировали и т.д. Ситуация характерная для многих мест, одно из наследий советской системы — важно не работать, а делать вид, что работаешь.
Alexeyslav
Нет, эта система вполне работает но при одном условии — нужен реально хороший пастух который за всем следит и всегда в курсе всего.
Когда система настолько сложна что исполнитель никогда не сможет предусмотреть все последствия своих действий — работа по галочкам это единственный вариант, но при этом работа должна быть хорошо организована на верхнем уровне. А с этим как раз похоже проблемы, поэтому и создаётся впечатление что всё разваливается.
Carry
Вы так наезжаете, будто человек опубликовал мегауязвимость не сообщив в службу безопасности.
Считаю что его действия вполне адекватны.
Но даже после выставления разгильдяйства напоказ, думаю, ничего не изменится.
Банкомат работает? — работает. А из-за неправильной картинки клиенты не разбегутся. К тому же такие косяки у всех банков.
datacompboy
Человек гонит волну без доказательств, тем самым занимается тем же, чем и сам банк — подрывает свой авторитет.
Gorodnya
Смотрите, у меня в ситуации, когда я звонил четыре раза, комментаторы говорили, что я зря звоню в банк.
Здесь в статье комментарии — «почему не звонил».
Я читаю всё это и думаю: где же проходит та граница «звонить нужно / не нужно»?
kumbr_87
Она проходит примерно там же где и граница между «прочесть инструкцию и делать по инструкции или сначала сделать а потом прочесть инструкцию»
Alexeyslav
Читать инструкцию нужно только в том случае когда точно понял что поломал.
datacompboy
Звонить нужно один раз. Если ничего не меняется — пускать огласке.
Тогда у вас на руках все факты — и наличия проблемы, и наличия реакции на конкретный экземпляр проблемы.
Yahweh
Давайте проясним один маленький, но очень важный момент.
Обеспечивать безопасность банкомата обязаность банка. И точка.
Позвонить по указаному номеру — это не обязаность клиента, а его добрая воля. Конечно помогать банку в таких вопросах в интересах самого клиента, но если ты «знаешь» что банку пофиг, то вполне можно понять желание людей не тратить зря свое время.
Поэтому не важно поставил банк неправильную клавиатуру/картинку, либо же мошенники накладну установили — это банк недосмотрел.
datacompboy
Прочитайте ваш договор с банком. Обеспечивать безопасность карты и пинкода от неё — ваша обязанность.
Yahweh
С этим я не спорю. Вот только защищать их я должен не от банкоматов.
Их же обязаность обеспечить безопасность банкомата.
datacompboy
Вы в принципе должны их защищать. И не совать в подозрительные банкоматы.
Уже не раз было, когда стояли банкоматы-обманки, которые ТОЛЬКО считывали карты и выплёвывали со словами «проблема». Никаких скиммеров на них не было — весь банкомат = скиммер.
zloool
Я звонил в приват по поводу этой фигни, похожей на скиммер, но это у них такая ЗАЩИТА оказалось
nmk2002
Такая защита от скимминга — вред, потому что приучает пользователей игнорировать предупреждения.
nerudo
Первый и второй банк, похоже, перепутали свои банкоматы ;)
Третья картинка — а может это скиммер и был?
dinikin
Я писал письмо в банк, мою заявку приняли, спустя 10 месяцев кард-ридер остался таким же. Видимо, с ним всё впорядке.
yjurfdw
Кликабельно
Как то такую штуку увидел на банкомате, естественно, решил, что это скиммер. Долго дозванивался до банка, еще дольше объяснял, где находится банкомат. Девочка сказала, что они поняли, все исправят, через 2 месяца эта штука так и весела.
Видимо, это не скиммер.
movb
похоже на заглушку против скиммеров)
darkfrei
Как их различать?
datacompboy
Пока у меня ощущение, что просто прозрачная, а значит, видно что внутри ничего нет.
Но это кустарщина.
msuhanov
Иногда еще ставят антискимеры в форме зеленых полусфер, которые от скимеров той же формы и того же цвета ничем не отличаются.
BIanF
Но как так?! Они же мигают зелёным и типа всё видно!
Скимеры же так не умеют…
Stepanow
Это скимеры без батарейки не умеют
BIanF
Срочно запретить батарейки!
Color
А для чего нужна кнопочка без надписи?
Alexsmt
Иногда еще используется под «Помощь»
Color
видимо, ее уже сбросили
Mingun
Ну, там может быть ввод сразу двух или трех нулей.
Alexsmt
Нередко видел эти нули. Обычно нажатие на них никак не обрабатывалось.
sashabeep
Вроде все просто — сделать кнопки плоскими и щель заподлицо с поверхностью, но, сдается мне, бабушки такие пин-пады продавят, недавно видел одна такая уронила терминал для номерков, тыкнув что есть мочи
SailorMax
Забавно что система, подключенная к интернету не в состоянии собрать необходимую информацию через третью кнопку на экране. А вместо этого просит воспользоваться телефонной связью :)
datacompboy
упрощение жалобы сведя её к одной кнопке приведёт к повышенному пользованию этой кнопкой и нивелированию этой самый процедуры.
+ сейчас это решение на «отстаньте», то есть просто реализовано дополнительным баннером (простой картинкой) в программе банкомата, тогда как отдельная кнопка требует уже не всегда тривиального интегрирования. (см. тут на хабре статьи о том, как работает банкомат)
lostpassword
Я в основном пользуюсь банкоматами Сбербанка и ВТБ24. К сожалению, ни разу не замечал на их экранах подобных сообщений. Вот реклама акций и спецпредложений — это да. А предупреждений о скиммерах — увы, нет.
ИМХО, здорово, что хотя бы некоторые банки начинают обращать внимание на эту угрозу.
Squash
Полностью согласен с автором. Банки сделали еще хуже. Ранее я обращал внимание — не налеплена ли какая нибудь штукенция в проем куда вставляется кредитная карта. Сейчас банки решили сами туда ставить свои накладки, которые по идее должны защитить от вредоносных накладок, но мне уже совершенно неясно, это накладка от банка или вредоносная накладка. Ибо у каждого банка накладки свои, не всегда на банкомате есть картинка, на которой изображено а как-же выглядит накладка от банка. Так что в большинстве случаев приходиться просто забивать и снимать деньги.
stychos
А может банкам это выгодно, и они так «мотивируют» население не снимать наличные…
Areso
Сколько раз звонил в Сбербанк по поводу банкоматов, то наталиквался на три генеральных сценария:
1) обращение не было зафиксировано;
2) обращение было зафиксировано, ему присвоен номер, в установленный срок (20 рабочих дней, что ли), ничего не изменилось и обращение было закрыто, потому что «сроки»;
3) обращение было зафиксировано, ему присвоен номер, в установленный срок (20 рабочих дней, что ли), ничего не изменилось и обращение было закрыто, потому что «объективные обстоятельства», и когда эти «объективные обстоятельства» изменятся никто не знает.
Звонить в банк по поводу банкоматной сети, в общем случае, бесполезно. С другими банками градус неадеквата был ниже, но принцип тот же.
NeoSasha
Имел опыт находки накладки считывающую карточку, непосредственно в предбаннике сбербанка, был осуществлен звонок в службу поддержки, где то в 20.00 часов, на следующий день до обеда был звонок от службы безопасности с просьбой рассказать подробнее что и как и почему я решил что этого там быть не должно, вечером того же дня, был звонок от клиентской службы с благодарностью за бдительность, и в качестве бонуса предложили бесплатного годовое обслуживание золотой карточки.
maratische
обнаруживал скиммер в банкомате небольшого регионального банка в проходном месте, минут через 10-15 приехали их СБ, а потом поднянулись айтишники и процессинг.
Масса знакомых и коллег попали на принудительную блокировку и замену карт
nemoforum
Чудесный ПриватБанк авторизирует в их терминалах по первым 4 цифрам PIN, хотя у меня установлен шестизначный! Терминал позволяет перевести деньги на любую карту в любом (практически) количестве.
Обращения в техподдерэку результата не принесли. На мои заявления о том, что это просто дыра в безопасности (по сути меня авторизирует с другим PIN) сотрудники банка заявляют что это нормально.
PavelMSTU
Это как так? 0_о
Можно поподробнее.
У вас карта ДРУГОГО банка?
Mingun
Разочарую вас, но в стандарте проверки PIN-а визы он может быть длиной от 4 до 12 символов, но проверяются все равно всегда только последние 4. Зачем так сделано — хз.
datacompboy
Ради интересу проверил. У меня карта системы
15.10.2015 18:20
16.10.2015 09:53
16.10.2015 10:48
16.10.2015 12:46
16.10.2015 19:39
Mingun
Что требует ввести 6, еще ничего не значит. PIN-блок все равно формируется только из последних 4-х… В принципе, можно проверить — ввести PIN с неверными двумя первыми цифрами и проверить, что произойдет. По идее, проверка должна пройти.
Alexeyslav
Странное дело, но к примеру пароль для ICQ до сих пор имеет длину 8 символов, хотя позволяет ввести больше. Все символы пароля дальше первых 8 просто отбрасываются.
datacompboy
У ICQ есть два метода автризации — старый, с plaintext практически паролем, с лимитом на 8 символов, и новый, через хеш, там используется пароль как есть 1-в-1
Alexeyslav
Как-то давно проверял, хешируется тоже только первые 8 символов.
datacompboy
Проверил PLUSовую — первые две неправильные — не работает. Лишние цифры вначале тоже не работает.
Визу пока проверить было негде.
mihmig
Всё просто: софт на банкоматы установлен. Акты приёма/передачи подписаны. Банкомат работает? Банкомат, говорю, работает? Ну и отстаньте. Украдут скиммеры деньги — проблемы клиента ( в договоре строку типа "… клиент сам должен убедиться… бла-бла").
Я при обращениях в банк (вернее аутсорсинговый call-центр) всегда прошу:
1. Сообщить ФИО оператора (при невозможности — номер оператора)
2. Зафиксировать номер обращения (да-да, девушка, я подожду на линии)
3. При отказе — прошу соединить со старшим смены (трубку-то они бросить не могут — SLA-всё-таки)
PavelMSTU
Нет!
Согласно российскому законодательству банки ОБЯЗАННЫ возвращать все средства, украденные в результате скимминга.
Вот только не знаю, каковы аналогичные законы на Украине…
Хабровчане, кто нибудь знает?
grossws
Ага, и очень небольшое количество случаев, когда по суду таки удавалось добиться этого самого возврата. Даже, если очевидно, что клиент не мог быть в двух различных местах, где были проведены онлайн-транзакции. Вдруг это клиент слетал на полчаса за 500 км и расплатился, а потом вернулся обратно и стал жаловаться…
Woodroof
Да не, с этим-то проблем нет, возвращают. Вот только через 2 месяца и без учёта потерь на конвертации валют.
Требует обязательного обращения в полицию, но только для галочки — полиция запрашивает информацию, а банки её не выдают, ссылаясь на закон о защите персональной информации. Более того, когда у меня украли карту, я даже не смог получить информацию о местонахождении банкомата, в котором кто-то пытался снять деньги, не говоря уже о получении видеозаписи с камеры.
Пока что самый надёжный способ — подключать SMS-информирование и отменять подозрительную операцию до её реального прохождения (обычно сутки-двое). В такой ситуации деньги возвращают быстро, но менять карту всё равно придётся.
netto
> Согласно российскому законодательству банки ОБЯЗАННЫ возвращать все средства, украденные в результате скимминга.
Для этого надо сперва доказать факт того, что был скимминг, а не что вы сами сняли. А в правилах банка (по крайней мере всех, что я видел), авторизация пином является «безотзывной».
Кстати, раз вы так уверенно пишете, может быть вы и номер или данные этого закона знаете, где найти его текст?
sudzuharu
Самое печальное, на мой взгляд, что большинство банков использует то ПО для банкомата, что им дал производитель. Максимум что они делают от себя это заставки в рекламе меняют.
Китайцы на xp до сих пор работают и будут работать до тех пор, пока у них ресурс не кончится. Не обновляется и не безопасно — ну и хрен с ним, перейти на nix — производитель такой услуги не предоставляет, драйверов нет, собственного отдела разработки в банке нет и т.п.
Работаю в банке — знаю.
Flammar
Поподробнее про «ПО для банкомата, что им дал производитель» можно? У меня карточка Альфа-банка, в Балтийском банке можно снимать без комиссии, и я два раза элементарно забывал свою карточку в банкомате Балтийского банка. Просто потому, что Альфа всегда выкидывает карточку прежде чем деньги, а Балтийский — нет, и, если спешишь или что-то другое отвлекает, можно забыть, такие вот разные сценарии. Меня интересует, эти сценарии жёстко задаются производителем банкомата, или банк их может как-то корректировать или настраивать?
vlivyur
habrahabr.ru/post/263077
Можно
stychos
Там не всё так однозначно. Да и поддержка Windows XP для POS-терминалов закончится вроде в 2019м только.