Источник: krebsonsecurity.com

Скиммеры в виде накладок на терминалы становятся все популярнее. Поскольку в ряде стран, включая США, распространены терминалы Ingenico, то создатели накладных скиммеров больше всего внимания уделяют именно таким аппаратам. Несмотря на то, что специалисты по информационным технологиям стараются рассказывать об этой проблеме и опасности, которую она представляет, скиммеров не становится меньше. На днях Брайан Креббс показал новые фотографии этих устройств. Фотографии (не лучшего качества) ему прислали представители ряда американских ритейлеров, в торговых точках которых были установлены накладки на терминалы.

Одна такая модель — скиммер с беспроводным модулем связи Bluetooth. Он предназначен для кражи данных пользователя карты при ее задействовании в терминале. Скиммер, в частности, записывает PIN и передает его по Bluetooth на подключенное устройство, которое должно находиться в радиусе 30 метров от скомпрометированного терминала.

Обнаружили этот скиммер случайно. Дело в том, что сотрудник магазина, где был размещен этот аппарат, заметил, что две кнопки на терминале стало сложно нажимать. Он решил разобраться в причинах проблемы и увидел, что крышка терминала — это накладка, установленная неизвестным. После этого сотрудник проверил другие терминалы и обнаружил еще две накладки.


Накладка с обратной стороны. Источник: krebsonsecurity.com

Кардеры, которые занимаются воровством данных банковских карт, вовсе не обязательно сами создают такие устройства. Это уже давно не кустарное производство, их разработка поставлена на поток, а многие модели скиммеров можно купить в интернете практически в открытую. На видео, размещенном ниже, показан скиммер для модели терминала Ingenico iSC250. Это почти такая же модель, фотографии которой прислали Креббсу.


На видео не слишком хорошо показаны электронные компоненты системы, зато в подробностях демонстрируется работа беспроводного модуля связи.

Поскольку девайс беспроводный, можно ожидать, что злоумышленник, установивший накладку на терминал в магазине, находится где-то неподалеку (например, в припаркованной рядом машине) и получает данные, считываемые устройством, в режиме реального времени. И действительно, в устройстве отсутствует собственная память, так что вариант с периодическим посещением считывающего устройства его владельцем исключается. Есть еще один вариант: скиммер передает данные на устройство, спрятанное неподалеку. Подключиться к накладке по Bluetooth можно при помощи кода «2016».


Источник: krebsonsecurity.com

Эксперты, которые обследовали такие скиммеры, утверждают, что многие компоненты берутся из телефонов Samsung.

Как отличить скомпрометированный терминал Ingenico от обычного?


В своем блоге Креббс показывает, как можно отличить скомпрометированный терминал от устройства без накладки. Надо думать, разработчики накладок быстро их модифицируют, изменяя их дизайн, когда становится известно об отличительных признаках таких девайсов. Но пока что эта информация актуальна.

Так вот, основное отличие — в размере некоторых элементов терминалов и скиммеров. Как ни меняй дизайн, какие-то различия будут всегда.


Слева — накладка, справа — модель терминала iSC250 от компании Ingenico

Для того, чтобы накладку можно было разместить на терминале, она должна быть шире и длиннее корпуса оригинального устройства. Человек, который знает, как выглядит терминал, быстро распознает подделку. Но покупатели или неопытные продавцы подмены могут и не заметить. Отличие также в размере пластиковой полоски, находящейся справа от прорези для магнитной карты.

Еще одно отличие — в яркости подсветки клавиатуры оригинального терминала и накладки. Кнопки скиммера будут гораздо более тусклыми, поскольку они закрывают кнопки самого терминала.


Слева — клавиатура терминала без скиммера, справа — со скиммером

Наконец, еще один отличительный признак — отсутствие свечения зеленого светодиода на терминале со скиммером. Последний просто закрывает светодиод. Так что при проведении транзакции огонек не загорается. Правда, некоторые накладки имеют специальное отверстие, так что светодиод прекрасно виден.


Источник: krebsonsecurity.com

Есть еще один момент. Дело в том, что некоторые модели терминалов оснащены стилусом. В ряде ситуаций покупатели ставят электронную подпись при помощи такого стилуса, оставляя ее на экране устройства. А вот накладка блокирует стилус. Это, наверное, самый заметный признак присутствия скиммера-накладки.

Установка скиммера производится в течение нескольких секунд. Камера одного из магазинов в Майями-Бич зафиксировала установку накладки всего за три секунды. Мошенники работали в паре: один отвлекал продавца, второй — устанавливал устройство.


Кроме мобильных терминалов, кардеры устанавливают считывающие устройства на банкоматы (очень много вариантов) и даже на дверях банков с установленным считывателем кредитки. При помощи такого считывателя можно открыть дверь в нерабочие часы банка для получения доступа к банкомату. Скиммер считывает данные магнитной ленты, а камера для наблюдения за набором пин-кода устанавливается внутри помещения, около банкомата.

Правила безопасности


Эксперты рекомендуют следующие правила безопасности при работе с банкоматами или терминалами:

  • Не стоит пользоваться банкоматами, которые стоят в темных помещениях и выглядят странно. Лучше всего, по возможности, снимать деньги в проверенных аппаратах;
  • Если ваш внутренний голос говорит, что с банкоматом что-то не так, не работайте с ним. Специалисты говорят, что у жертв, пострадавших от действий кардеров, часто возникает плохое предчувствие при взгляде на банкомат. Все объясняется просто — человек неосознанно ухватывает какие-то странности в структуре АТМ, но не всегда понимает, что именно не так;
  • Вводя ПИН-код, стоит закрывать рукой клавиатуру. Это правило действует как при работе с банкоматом, так и с терминалом.
Становились ли вы жертвой кардеров?

Проголосовало 1318 человек. Воздержалось 332 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (204)


  1. pnetmon
    27.02.2017 22:28
    +2

    И когда изобретут одноразовые пинкоды через СМС. Заказал пинкод действующий полчаса/час — и совершаешь операции с пластиком.


    1. edogs
      27.02.2017 23:28
      +1

      Давно изобрели. Даже в русских ТКС и БРС (из известных нам) — есть возможность сменить пин-код прямо в реалтайме.


      1. pnetmon
        28.02.2017 05:37

        Это не то. Возможность сменить пин-код в реалтайме и когда выдаются только одноразовые пароли это разные вещи. Например большинство интернет логинов (логинов на почтовые сервисы, на сайты финансовых и госучереждений.....) позволяют менять пароль в реалтайме, но только очень малая часть меняет пароли.


        1. edogs
          28.02.2017 18:33
          +1

          Это не то, но это даже лучше.
          Хочешь одноразовый — пожалуйста, смени сразу после использования.
          Хочешь многоразовый — не меняй.


        1. Goodkat
          03.03.2017 11:18

          Одноразовый пинкод — это, двухфакторная аутентификация, получается. С ней тоже могут быть проблемы — запоздала смс на пару минут, и вот ты уже не защищённый покупатель, а чудило задерживающий всю очередь.
          Бесконтактная оплата (картой, мобильным телефоном, а для эстетов — и часами :) мне видится более лучшим средством защиты от перехвата ваших данных.


          1. pnetmon
            03.03.2017 12:06

            Что мешает получить пинкод до совершения операции, большие очереди? Увеличим время жизни до 3 часов ;)


          1. pnetmon
            03.03.2017 12:41

            Возможно не так поняли - "Заказал пинкод действующий полчаса/час — и совершаешь операции с пластиком." Пинкод заказывается заранее, он не приходит при операции с картой для подтверждения списания денег.


    1. Finesse
      28.02.2017 01:55
      +2

      Достаточно просто не хранить основной запас денег на карте, которая используется при оплате через терминалы и оплате в интернете.


      1. pnetmon
        28.02.2017 05:19

        Так то вы правы. Но как будто это защищает от кражи.


        1. Finesse
          28.02.2017 05:23
          +1

          Количество украденых денег = вероятность угона карты ? количество денег на карте. Первый множитель свести к нулю не получится, как бы мы не старались, а второй множитель достаточно легко уменьшить.


          1. Fagot63
            28.02.2017 11:48

            Ну по логике, первый множитель все же зависит от второго. При достаточно не больших суммах на карте, скорей всего её просто не тронут. Т.к. чем больше количество обнуленных карт, тем больше вероятность быть пойманным.


          1. Alexeyslav
            28.02.2017 12:57
            +1

            Однако есть небольшая проблема — большинство карт кредитные с довольно ощутимым лимитом в минус… не все догадываются лимит уменьшить до нуля.


            1. Finesse
              28.02.2017 13:02
              +2

              Вы правы, я об этом не подумал. Действительно ли кредитных карт большинство? Я живу в России, практически все карты, которые я видел и про которые слышал, дебетовые, а при кредитную слышал лишь один раз.


              1. forgot10
                28.02.2017 13:30

                Да море их. Например самый популярный зеленый банк сейчас выдаёт акциями всем подряд кредитки с бесплатным обслуживанием и лимитом 300 000р. Для многих — неподъёмная сумма при краже.


                1. mihmig
                  28.02.2017 16:26
                  +1

                  Что не мешает таким людям выбирать кредитный лимит почти полностью.


              1. shifttstas
                28.02.2017 14:07
                +1

                В Москве много у кого кредитные карты — это удобнее чем дебетовые.
                Любые проблемы с накладками решает Apple Pay (у самсунга тоже что-то было) — вы не дотрагиваетесь до терминала руками, подтверждение обладания карты происходит на вашем апарате через сканер отпечатка. Даже если будет скимер — он ничего не сможет сделать


              1. Alexeyslav
                28.02.2017 14:24
                -1

                Даже с виду не кредитка, а в условиях — акция, 60+1 дней бесплатного кредита… Сейчас же на каждом углу пытаются впарить кредит, чтобы брали и брали побольше. Чтобы оформить себе чистую дебетовую карту надо много раз сказать НЕТ и идти к этому целенаправленно — только дашь слабину и смотришь уже какой-то кредитный лимит на карте появился… акция, понимаешь, бесплатная.
                Хуже того, в СМС-ках по операциям приходит баланс с учётом кредитного лимита(всё в одну сумму складывается)… не знаю, специально ли так делают…


                1. chieftain_yu
                  28.02.2017 14:51

                  Не знаю, как в других банках, а в моем, вроде, можно выбрать, как баланс показывать — только собственные средства или вместе с заемными.


            1. rPman
              28.02.2017 13:13

              обратно банк не даст вернуть лимит, если он, например, выше расчетного (менее рискованного для банка)


      1. 13oz
        28.02.2017 14:45

        Это, конечно, поможет минимизировать собственные потери, совет правильный.


        Но это, скорее всего, никак не скажется на потерях банков. Даже если будут уводить маленькие суммы денег, но таких транзакций будет много, потери банка будут значительны.


      1. edogs
        28.02.2017 18:34

        Достаточно просто не хранить основной запас денег на карте, которая используется при оплате через терминалы и оплате в интернете.
        Недостаточно.
        Оффлайн операции на ура проходят (при них баланс не проверяется), при чем они могут пройти даже на банкомате при снятии наличных (а не только при оплате). Будет так называемый технический овердрафт, который мало того что надо будет погасить, так еще и штраф с процентами прилетит.


    1. ValdikSS
      28.02.2017 09:54
      +1

      Одноразовые пин-коды, действующие полчаса/час. Как-то не стыкуется.


      1. pnetmon
        28.02.2017 10:28
        +1

        В каком смысле? хотя ниже предложили интересный вариант, но параноик не позволяет ставить банковские приложения на смартофон.


        Заходите в магазин, через сотовый/смартофон — приложение или sms запрашиваете pin код. Через sms или приложение приходит список кодов. Этот код действует в течении определенного времени и он одноразовый. Не надо запрашивать код стоя перед терминалом, можно заказать заранее.


        Если злоумышленник получит данные карты и видеонаблюдением, накладкой или другим способом узнает пин код, то использовать его не сможет.


        1. ValdikSS
          28.02.2017 10:33
          +1

          В чем преимущество списка одноразовых кодов, ограниченных по времени, перед одним одноразовым кодом на одну операцию, без ограничения по времени?

          Вообще, раньше в некоторых банках были карты одноразовых кодов со стираемой полосой, и это было очень удобно, правда, применялись они только для доступа в интернет-банкинг, даже в 3D Secure не использовались. Сейчас они, вроде бы, остались только в одном банке, а все другие заставляют пользоваться либо СМС-кодами, что мне совсем неудобно, либо покупать TOTP-токен в виде устройства, за дополнительные деньги.


          1. pnetmon
            28.02.2017 10:42

            В чем преимущество списка одноразовых кодов, ограниченных по времени, перед одним одноразовым кодом на одну операцию, без ограничения по времени?

            В том что без ограничения по времени забываются… а так мало различий… но они есть.


            У меня при операциях в терминалах и банкоматах для карт двух крупных банков только pin код или авторизация через подпись.
            И нету одноразовых кодов для авторизации.


          1. PEgorov
            28.02.2017 13:54

            раньше в некоторых банках были карты одноразовых кодов со стираемой полосой, и это было очень удобно

            В ВТБ24 образца года эдак 2010 эти одноразовые коды можно было получить в ограниченном количестве отделений, причем только в том регионе, где Вы зарегистрированы. Ну и разумеется, больше 2 карточек не давали. На карточке было 120+ кодов, которые улетали за пару-тройку месяцев. В общем, это было дичайше неудобно, когда появились смски, стало ощутимо проще.


            1. ValdikSS
              28.02.2017 13:56

              Странно, я получал карточки в отделениях разных регионах, и очень расстроился, когда их заменили на СМС.


          1. xHR
            28.02.2017 14:03

            Можно что-то типа Google Auth использовать. Вставил карту в банкомат, посмот рел гугл аус, ввел сгенеренный пин.


    1. DMGarikk
      28.02.2017 10:15
      +5

      ага… я так оказался в Варшаве с симкой оператора большой тройки которая решила что суммы в 500р не достаточно для включения роуминга и отказалась регистрироваться в сети… пополните счёт… введите код из СМС… ага который мы вам отправили на отключенную симку..«а чо? у всех есть телефоны»


      1. pnetmon
        28.02.2017 10:36
        -1

        Включается по желанию клиента.


        Эту проблема создал оператор, т.к. сегодня в России получал сообщения из банка на заблокированную за неуплату симку.


        1. DMGarikk
          28.02.2017 11:56

          Что включается? у меня симка говорила «Нет сети»… и «волшебным образом» ожила при пересечении границы в Бресте


          1. pnetmon
            28.02.2017 12:11

            Включается эта нереализованная опция.


            1. DMGarikk
              28.02.2017 12:38

              т.е. я должен по отключенному телефону позвонить оператору и попросить включить мне телефон.

              P.S. Допустим я совсем олень, у меня один телефон, нет в шаговой доступности интернета и я не помню наизусть полный номер техподдержки чтобы позвонить оператору
              P.S.S. всё естественно происходит заграницей в роуминге


              1. pnetmon
                28.02.2017 12:55
                -2

                А что мешает позвонить с другого телефона, или отправить смс — кинь денег друг на мой телефон.


                А то вдруг еще телефон украли, симкарту нужно заменить и т.д. и т.п для усложнения


                1. DMGarikk
                  28.02.2017 15:46
                  +1

                  Вам не кажется что это уже попытки решить системную проблему костылями?
                  Так можно договорится до того что «Надо пользоваться наличкой, карты не нужны»

                  Приведу пример попроще, иногда у некоторых банков из топ10, СМСки приходят с задержкой в 30-60 минут.

                  проблема в том что СМС имеют очень большой архитектурный минус с механизмом доставки у которого нет механизмов гарантированных сроков передачи сообщения. я сталкивался несколько раз с тем что не мог оплатить чтото тупо потому что СМС приходила ровно через буквально 5 минут после того как заканчивался тамаут ожидания ввода кода подтверждения.


                  1. ploop
                    28.02.2017 15:59

                    я сталкивался несколько раз с тем что не мог оплатить чтото тупо потому что СМС приходила ровно через буквально 5 минут после того как заканчивался тамаут ожидания ввода кода подтверждения.

                    Часто сталкиваюсь, и ничего не поделаешь — приходится откладывать платёж до того времени, пока система не заработает.


                  1. pnetmon
                    28.02.2017 22:30

                    Дайте другое решение проблемы борьбы считывания данных карты и ее пинкода при операциях в банкоматах и терминалах


                    1. edogs
                      28.02.2017 22:34
                      +1

                      Электронный генератор кодов. Небольшой девайс, который генерит код на текущую операцию. В некоторых банках российских такие были (в райфайзене вроде и еще где-то). Там правда не пин-коды генерились, а коды для ИБ, но это не принципиальная разница.


                      1. pnetmon
                        01.03.2017 12:12
                        +1

                        А если он потерян, или украден, или забыт в номере отеля… Понятно что к большей части можно придраться.


                        Тут приводили примеры с генератором на карте — когда физическая карта "сделает ноги" при краже кошелька этот генератор никак не усложнит угон средств.


                        1. DMGarikk
                          01.03.2017 12:31

                          иногда для усиления надёжности двухфакторки делают дополнительный код который добавляется к сгенерированному токеном при вводе


                          1. pnetmon
                            01.03.2017 12:55

                            Этот дополнительный код постоянен?


                            1. DMGarikk
                              01.03.2017 12:59

                              там где я это видел — да
                              Это как пин, который надо помнить. фактически защита от кражи токена


                              1. pnetmon
                                01.03.2017 13:41

                                Это как пин, который надо помнить. фактически защита от кражи токена

                                Кроме случаев подсмотреть (в том числе видеосъемкой) пин при операции и сделать карте ноги.


                                Эти усложнения спасают только если злоумышленник не имеет физического контакта с картой.


                                А разговор с самого начала был как усложнить если злоумышленник может подсмотреть пин при операции в терминале в торговой точке или в банкомате.


                        1. alsii
                          01.03.2017 13:05
                          +1

                          Я пользуюсь девайсом, который по сути является интерфейсом к карте. С обратной стороны него еще есть считыватель на фотоприемниках.
                          Когда нужно подтвердить транзакцию в веб-банке, на страничке выводится окошко с мелькающими полосками (белая-черная), я подозреваю, что это просто анимированный гиф. В девайс вставляется карта, нажимается кнопка, он прикладывается к монитору в том месте где мелькают полоски. Через небольшое время он считывает информацию о транзакции, выводит на экранчик последние цифры номера счета получателя, потом сумму платежа, потом одноразовый ПИН. Вводишь ПИН на страничке — подтверждаешь транзакцию. Терять можно сколько угодно, в самом приборе никакой информации нет.


                          Вот так выглядит

                          image


      1. pnetmon
        01.03.2017 20:13

        Ну есть и другой вариант. Не очень и хороший. Одновременно могут работать два пинкода — один постоянный, другой временный, запрошенный для совершения операции. И человек сам решает что вводить.


    1. Crazybot
      28.02.2017 12:41

      В моем банке есть платежи blik, позволяют пользоваться банкоматом без карты, с помощью интенет-банкинга и одноразовых кодов.


    1. unwrecker
      28.02.2017 13:35

      Лучше б изобрели клавиатуру для ввода пинкода непосредственно на карте.


      1. Fagot63
        28.02.2017 23:46

        Дорого/сложно/уже реализовано.


    1. muzhig
      28.02.2017 17:29

      apple pay / samsung pay? :)


  1. KonstantinSoloviov
    27.02.2017 22:40
    +6

    Магнитная полоса еще в ходу? Дикари-с!


    1. Alexsandr_SE
      27.02.2017 23:31
      -1

      Микрухи тоже подделывали. Точнее отклик от них.


      1. Shyster
        28.02.2017 00:02
        +3

        можно подробнее. Банковские карты не слышал чтоб подделывали. Даже SIM карты сейчас не клонируют.


      1. Jesting
        28.02.2017 08:57
        +1

        Не подскажешь — как подделать отклик от «микрухи» макированный 3DES ключом сгенерированным на сессию выведенный на ключе, который никогда не покидает «микруху» (читай не может быть скопирован).


        1. Alexsandr_SE
          28.02.2017 09:52
          +1

          Думаю вот так. https://habrahabr.ru/company/panda/blog/270231/ И это только начало подделок.


          1. Jesting
            28.02.2017 11:01
            +1

            Ну там всё это для SDA карты (карт со статической аутентификацией). Карты с DDA(динамической) такому не подвержены.


            1. Alexsandr_SE
              28.02.2017 11:30
              -2

              И для них придумают варианты. На каждые двери придумывают свой лом.
              в указанном выше случае, если не ошибаюсь применяется off-line PIN. т.е. от банка информации нет, а банкомат/терминал проверят только отклик от чипа правильно/неправильно.


              1. Jesting
                28.02.2017 11:45
                +1

                В банкомате исключительно онлайн пин. Все современные карты поддерживают определенные криптографические протоколы. Безопасность этих протоколов обеспечивает безопасность данных и операций. Когда взломают 3DES, RSA тогда и можно будет говорить о потенциальных уязвимостях. Ну или другой способ — получить секреты карты путём анализа данных на ней, но в к эти данным возможен исключительно физический доступ, затрудненный опять же сложной защитой. Пока оборудование и усилие для клонирования одной карты значительно превышает возможный профит и не поддаётся масштабирования (т.е. лаборатория).


                1. edogs
                  28.02.2017 22:37

                  В банкомате исключительно онлайн пин
                  В чипованной карте есть и оффлайн-пин. Онлайн-пин только в магнитных картах.


                  1. Jesting
                    01.03.2017 07:36
                    +1

                    1. Оффлайн пин в чиповых картах есть, но не во всех — зависит от карты.

                    2. В банкоматах используется только онлайн пин. Никакие оффлайновые способы аутентификации не используются. Это онлайн-онли девайс.

                    3. Проверочное значение пин-кода когда-то хранилось и на магнитной полосе, что позволяло проверить пин в оффлайне. Сейчас это не используется.


                    1. edogs
                      01.03.2017 10:35

                      2) Не только. а) можно нагуглить про оффлайн пин в банкоматах, он таки и в банкоматах бывает. б) сами лично сталкивались умудрившись снять больше имеющегося, что при онлайн невозможно


                      1. Jesting
                        01.03.2017 11:37

                        Ты несешь бред. Банкомат онлайн-онли девайс. Команда снятия наличных приходит с сервера. Расценивай это как тонкий клиент. Я работаю в этой индустрии более 10 лет. Поверь.


                        1. KonstantinSoloviov
                          01.03.2017 12:13

                          А вот не скажите, бывают схемы работы, когда сумма остатка хранится на самой карте и решение о выдаче принимается без центра авторизации с проверкой пина в offline. Хотя в современных реалиях с повсеместным интернетом — это конечно экзотика.


                          1. Jesting
                            01.03.2017 12:50
                            +2

                            В банкоматах — нет. Они не имеют механизмов принятия решений.
                            Единственным источник каких-либо действий связанных с обслуживанием пользователя будь то подтверждение принятия наличных, выдача наличных или печать баланса, является Transaction reply содержащий код операции(печать, печать и выдача карты, выдача наличных печать и выдача карты, выдача наличных и печать — всего около 10 вариантов) и атрибуты транзакции(количество купюр и номера кассет, чековые данные, содержание экрана для показа пользователю и т.п.).
                            В принципе, в большинстве случаев, банкомат даже не знает сумму которую он выдаёт — ему поступает(в одном из полей), к примеру, строка 00010200 что означает выдать 1 купюру из второй кассеты и 2 купюры из третьей. Что в этих кассетах, даже если содержимое случайно перепутано, ему по-барабану(помните ситуации когда запрашивали 500 рублей а получали 5000). Единственное что может сделать банкомат самостоятельно — это зарубить невалидную карту на входе.

                            В пос-терминалах, однако, такая возможность существует:
                            В стандарте EMV есть понятие offline transaction.
                            Если терминал(online with offline capability) + карта поддерживают проведение платежей в оффлайн + сумма последовательных оффлайн транзакций не превышает определенного лимита + количество последовательных оффлайн транзакций не превышает лимита + некоторые параметры валюты могут быть и прочие мелочи(всё это решает карта у себя внутри) то такая операция возможна.
                            Дальше: если терминал аутентифицировал карту процедурами DDA/CDA (SDA уже не поддерживается почти нигде) и карта аутентифицировала картходера то операция вполне может быть проведена оффлайн.

                            Как это происходит(грубо):
                            Терминал собирает данные и шлёт на карту данные о транзакции и пожелание завершить транзакцию в оффлайн. Карта отвечает либо апрувом, либо деклайном либо пожеланием завершить транзакцию онлайн. Вместе с этим ответом как правило идут данные аутентифицирующие карту.

                            Лет 10 назад на Волге на прогулочных параходиках можно было встретить оффлайн терминалы — там это был единственный вариант ввиду отсутствия связи. Сейчас где не знаю. В самолетах 100% бывают, но там до сих пор много где магнитная полоса (наверное потому что там клиента точно можно идентифицировать по билету).


                            1. KonstantinSoloviov
                              01.03.2017 14:14

                              Вы хорошо описали работу банкомата по стандартным протоколам и это его типовое использование, но не будем забывать, что внутри банкомата обычная писишка для которой можно написать собственную программу управления. Уверяю вас, что расширение функционала стандартного ПО отнюдь не редкость и в стандартном ПО предусмотрены специальные хуки для такого расширения.


                              1. Jesting
                                01.03.2017 14:24

                                Эта «нередкость» возможно и встречается в 0.0001% случаев, но я лично не знаком с подобным.

                                Работал с Tellme, Kalignate, Agilis, Procash, Aptra т.е. 99% того что есть на рынке. Разумеется всё вышеперечисленное можно кастомизировать, причём достаточно сильно, но всё таки делать поддержку оффлайн снятия наличных никто никогда не станет. Обычно добавляют работу в новыми типами устройств, веб-экзиты, поддержку новых протоколов, но не опасный и бесполезный функционал.
                                Если Вы имеете какие-то конкретные контр примеры, я бы попросил привести их тут.


                                1. KonstantinSoloviov
                                  01.03.2017 14:32

                                  Золотая корона


                                  1. Jesting
                                    01.03.2017 14:36

                                    Что золотая корона? Это платежная система, порядком забытая. Примеры банков, на банкоматах которых стоит ПО позволяющее снимать деньги в оффлайн приведите.


                                    1. KonstantinSoloviov
                                      01.03.2017 14:56
                                      +1

                                      Я работаю в этой индустрии более 10 лет. Поверь.
                                      Я работаю в этой индустрии более 20 лет все более и более отчетливо понимаю сколько же я не знаю.

                                      Примеры банков, на банкоматах которых стоит ПО позволяющее снимать деньги в оффлайн приведите.
                                      В Росcии? В мире? Не знаю. Технически — это возможно сделать и было сделано.


                                      1. Jesting
                                        01.03.2017 15:00

                                        Где это было сделано? Приведите пример. Иначе этого не было. Я тоже могу сейчас написать банкоматное ПО которое выдаёт деньги сразу после того как карта была вставлена, и скажу что это было сделано. Но это не значит что это когда-либо где-то применялось. Ещё раз: 99.9% банкоматов — онлайн онли девайсы.


                                        1. DMGarikk
                                          01.03.2017 15:07

                                          Ещё раз: 99.9% банкоматов — онлайн онли девайсы.


                                          В мире или в РФ?


                                          1. Jesting
                                            01.03.2017 15:16

                                            В мире. Может быть где-то, для каких то специализированных нужд, в месте где нет стабильного интернета (МКС например) стоит банкомат в ПО которого реализован подобный функционал. Но это не массовое решение. 100% что Вы его не встретите.


                                        1. KonstantinSoloviov
                                          01.03.2017 15:13

                                          Так как раз карты «Золотая корона» — чистый кошелек — лимит на самой карте. Терминалу нужно фактически выходить на связь только в случае переводов со банковского счета на кошелек на карте. В банке сумма на счете уменьшается на карте сумма на кошельке увеличивается. На банкомат ставилось спец ПО (что конечно сужало парк используемых банкоматов), мало того на ней и полосы не было — это к теме топика кстати. Как эта карта сейчас себя чувствует — не знаю. Понятно, что карта специфическая так, что путь развития пошел по пути кобренда с VISA и UnionPay кажется. И это не единственный из известных мне кошельковых проектов, правда единственный из известных и взлетевших.


                                          1. KonstantinSoloviov
                                            01.03.2017 15:17

                                            Что бы не было недопонимания: конечно банкомат работает с сетью тут и мониторинг и передача финансового статуса, но решение об авторизации может принимать и карта.


                                          1. Jesting
                                            01.03.2017 15:24
                                            +1

                                            Это совсем другое. Это доступ к оффлайн кошельку — к некой сущности специально созданной для доступа оффлайн.
                                            И я упомянул об этом выше в одном из сообщений:

                                            Эта «нередкость» возможно и встречается в 0.0001%
                                            .
                                            Так то на emv-карте может быть много чего интересного — например приложение генератор одноразовых кодов для CPA операций, программы лояльности и многое многое другое.

                                            Я говорю про обычное EMV CPA/ADVT/MCHIP приложение или магнитную полосу (Треки 1 и 2) — то с чем работают все банкоматы мира вне зависимости от приложения.


                                            1. Jesting
                                              01.03.2017 15:33
                                              +1

                                              CPA операций=CNP операций (Cardholder not present), ошибся слегка.


                                              1. KonstantinSoloviov
                                                01.03.2017 16:03

                                                а вместо ADVT очевидно имелось в виду VSDC ;)

                                                да, emv на банкоматах — это онлайн


                                                1. Jesting
                                                  01.03.2017 16:12

                                                  Спасибо, не заметил — сейчас как раз ADVT в голове. Магнитная полоса тоже онлайн. О чём я и говорил.


                        1. DMGarikk
                          01.03.2017 12:29

                          тут важно понимать что реалии пластиковых карт в РФ и в других странах мира несколько отличаются.


                          1. Jesting
                            01.03.2017 12:55
                            +1

                            Ды, ты прав!
                            У нас, как у региона(EMEA) где мошенничество по картам было очень сильно развито, процедура перехода на EMV прошла одной из самых первых в мире. Поэтому технический уровень специалистов и процессинговых центров очень сильно отличается от прочих регионов (В лучшую сторону).


                        1. edogs
                          01.03.2017 18:18

                          Ты несешь бред.
                          Хотелось Вам подробно объяснить как и почему это работает, но после подобного Вашего вступления желание пропало. Учитесь разговаривать с людьми.
                          Гугл и форум банки.ру поможет Вам найти информацию если Ваша агрессия обусловлена незнанием, а не желанием потроллить и ЧСВ.


                          1. Jesting
                            01.03.2017 19:31
                            +1

                            Мне уже как-то объяснили. Теперь знаю. Не подскажешь, что за банк, в банкомате которого было снятие, и картой какого банка+плат. системы ты тогда пользовался? Я если не прав готов принести извенения. Но я прав.


                            1. edogs
                              02.03.2017 00:20

                              банкомат кредит-европа-банк.
                              карта тинькова — (виза или мастер сейчас не вспомнить).


                      1. VerdOrr
                        01.03.2017 12:08
                        +1

                        умудрившись снять больше имеющегося

                        Скорее всего, технический овердрафт за счет комиссий при использовании «чужого» банкомата — т.е. не «сняли больше имеющегося», а «счет в минус ушел»


                        1. edogs
                          01.03.2017 18:17

                          Нет, именно «снять больше имеющегося».
                          Комиссий за снятие у нас нет, да и сняли существенно больше чем могли бы быть вероятные комиссии.
                          При чем в смс уведомлениях снятие отобрализось именно как оффлайн операция спустя несколько дней.


                    1. Wan-Derer
                      03.03.2017 08:42

                      В банкоматах используется только онлайн пин… Это онлайн-онли девайс

                      1. Ворованными картами/данными могут воспользоваться не только на родине, но и в каких-то малоразвитых странах, где онлайн — редкость.


                      2. Карты используют не только в банкоматах, но и в магазинах.


    1. edogs
      27.02.2017 23:33
      +2

      Первый момент это то, что даже карты имеющие чип — имеют магнитную полосу. Без нее чипованная карта в большинстве банкоматов не сработает. Так что в ходу, везде и еще долго будет.

      Второй момент это законодательство. В россии даже CNP операции оспорить довольно затруднительно, «там» деньги без проблем возвратят даже если сняли по пину. Тут вопрос интересный что цивилизованнее — 100%-ная страховка от мошенничества с картами и слабая защита или же 0%-ная страховка и сильная защита.


      1. Shyster
        28.02.2017 00:00
        -1

        «что даже карты имеющие чип — имеют магнитную полосу.»
        На полосе открытая информация и метка, что нужно использовать чип.
        на сколько знаю, чипованные карты еще не подделывают. т. е. скимеры безсильны.


        1. edogs
          28.02.2017 00:17
          +2

          На полосе открытая информация
          Та же что и на нечипованной карте. ФИО владельца, номер и срок действия карты, немного «мусора», это считывается с полосы. Плюс пин-код считывается с пин-пада.

          чипованные карты еще не подделывают. т. е. скимеры безсильны.
          Чипы не подделывают. Но это и не надо.
          Для отскимменой чипованной карты на основе данных ее магнитной полосы делается клон без чипа, а потом с использованием пин-кода снятого с пин-пада с карты снимаются деньги.

          По большому счету когда Вы платите в магазине картой, если кто-то подсмотрел фио/дату выпуска/номер карты (или заснял одной из хд камер) и сумел увидеть ввод пин-кода (или заснял одной из хд камер, благо пин-пады в магазинах тоже не особо прячут) этого уже достаточно для изготовления клона с магнитной полосой. Даже скиммировать электронно ничего не надо.


          1. Shyster
            28.02.2017 00:31

            «Для отскимменой чипованной карты на основе данных ее магнитной полосы делается клон без чипа»
            И толку? если на полосе только данные без возможности сделать транзакцию.
            У меня ни разу не дало провести платеж без чипа. Есть старые банкоматы, они не принимают чипованные карты, хотя полоса как бы есть.


            1. JediPhilosopher
              28.02.2017 00:42

              А у меня вот давало, Visa Сбербанка. Я немного офигел когда увидел что оплата по полосе сработала. Так как точно помню что много лет назад когда я получил первую их карту, почти все продавцы сперва пробовали оплату по полосе и потом только вставляли чипом когда не срабатывало. И я думал что уже с тех времен магнитная полоса только для красоты. Ан нет. До сих пор кое-где работает.


              1. edogs
                28.02.2017 00:49

                Магнитная полоса всегда содержит данные карты, более того, если их там не окажется, то по стандарту и чип не должен приниматься.
                Принимать или не принимать магнитную полосу вообще, принимать или не принимать магнитную полосу в случае наличия чипа — это зависит от настроек банкомата и настроек банка (если операция онлайн).


                1. Norno
                  28.02.2017 12:30

                  К сожалению сейчас не найду, но где-то на geektimes была статья о том как договариваются карта и пос-тернимал о том что они будут использовать: полоса или чип, без авторизации/подпись/пин-код,… если кратко, то у карты и пос-терминала имеются приоритеты используемых режимов, и они их сопоставляют, выбирая оптимальный.


                  1. a5b
                    01.03.2017 03:10

                    Краткая https://geektimes.ru/post/240644/ 24 октября 2014 — "Когда запрашивается PIN-код при оплате?"
                    Про "CVM-лист (CVM – Cardholder Verification Method)" https://habrahabr.ru/post/244107/ 25 ноября 2014 — "PIN-код при оплате картой — точки над i" — "во время транзакции два CVM-листа (карты и терминала) сравниваются. Срабатывают только те методы проверки, которые совпадают в обоих листах"
                    Подробная https://habrahabr.ru/post/281438/ 12 апреля 2016 "Платежная EMV-карта. Механизмы обеспечения безопасности платежа" — "5. Безопасность EMV-транзакции"


                1. electronus
                  28.02.2017 17:29

                  Без магнитной полосы — жизнь есть. Я знаю о створках банкомата, который не пускает карту без полоски, но кто в здравом уме будет снимать наличность с кредитки в NA?


            1. edogs
              28.02.2017 00:46
              +1

              И толку? если на полосе только данные без возможности сделать транзакцию.
              На полосе всегда только данные, транзакцию проводит банкомат, а не полоса.

              У меня ни разу не дало провести платеж без чипа.
              Потому что как Вы верно подметили у Вас на чипованной карте стоит «метка, что нужно использовать чип». Банкомат видит эту метку и требует вставить карту чипом.
              Кардеры эту метку на карту не наносят, поэтому у них чип банкомат не требует.


              1. EnigMan
                28.02.2017 09:17
                +1

                Но банк-то знает, что карта выпущена с чипом, и по идее должен заблокировать такую транзакцию, нет? По крайней мере если транзакция осуществляется онлайн?


                1. nlykl
                  28.02.2017 09:28

                  А если терминал не умеет работать с чипами?


                  1. Jesting
                    28.02.2017 11:59
                    +1

                    То вся ответственность по подобной транзакции ложиться на плечи банка — возврат средств в пользу клиента будет безакцептным.


                1. Maximuzzz
                  28.02.2017 10:26

                  Зависит от «настроек» банка и терминала оплаты, для чипованных карт обычно, но не всегда, приоритет такой — чип, магнитная полоса с пин-кодом, магнитная полоса без пин-кода. И да, вы действительно во многих местах можете отказаться вводить код, для этого на терминале бывает специальная кнопочка. В этом случае придётся «по старинке» подписать чек, ну и в случае проблем с платежом будет сложнее его оспорить в банке.


              1. Jesting
                01.03.2017 13:44
                +1

                И банк в запросе транзакции получает трек2, отличающийся от оригинального. В этом случае транзакция тоже не пройдет. Трек2 копируют полностью, на карту без чипа или с испорченным чипом. В этом случае алгоритм
                трек2->чип->fallback на магнитку по причине нерабочего чипа. Подозрений ноль.


            1. nochkin
              28.02.2017 05:42

              У меня на одной карте сдох чип и терминалы спокойно принимают «полоску».

              На другой карте есть рабочий чип, но некоторые магазины имеют настройки, что принимают только «полоску» (хотя, само железо умеет читать чип). Продавцы говорят, что типа «не настроено ещё».


          1. AFakeman
            28.02.2017 01:12

            Только как снять магнитную полосу, если она при вставке в терминал на до конца входит, а часто даже едва ли наполовину?


            1. Klenov_s
              28.02.2017 02:19

              Там две копии данных на полосе как раз для случаев запихивания карты наполовину.


          1. teifo
            28.02.2017 14:08

            В связи с этим вопрос, почему блин эту инфу не прятать под сдвижной крышкой? Терминалу ваши ФИО и данные карты визуально не нужны, все же с чипа да магнитной полосы? Так зачем это палится открыто во все стороны?


            1. DMGarikk
              28.02.2017 15:49
              +1

              оператор должен иметь возможность убедится в подлинности карты, в т.ч. по надписям и кодам. (один из пунктов контроля — соответствие номера карты типу платёжной системы)

              Хотя конечно когда сейчас стали массово отдавать терминал на откуп покупателю это не так актуально… но очень интересно как влияет на распространённость фродовых карт


          1. electronus
            28.02.2017 17:23

            Конкретно эти инженики принимают чиповую карту снизу, вставляется в них она неглубоко, по-этому если не елозить полосой сбоку, а вставить снизу, то скиммер получит только пин


        1. Jesting
          28.02.2017 09:06

          1. SDA-карты подделывают, но их уже не используют.
          2. Если есть магнитная полоса и пин то можно испортив чип, провести транзакцию в режиме fall-back на тех устройствах где это разрешено. Ридер читает трек2, по сервис-коду определяет что карта имеет чип, контачит чип и в случае если чип не рабочий, fall-back не запрещен — переходит снова на магнитную полосу.


      1. kaman
        28.02.2017 01:26

        > магнитную полосу. Без нее чипованная карта в большинстве банкоматов не сработает

        Т.е. если банкоматами не пользуюсь (пополнение по безналу, снимать нал с кредитки невыгодно), магнитную полосу можно счистить?


      1. vkegdzoy
        28.02.2017 01:28

        Я слышал совершенно противоположное, что сбербанк и прочие топ10 банков мгновенно отзывают перевод по требованию, рассказывали о мошенничестве на авито.


        1. OnYourLips
          28.02.2017 10:42

          Федеральный закон от 27.06.2011 N 161-ФЗ обязывает.
          Уже несколько лет каражи с карт в России — проблема банков.


          1. edogs
            28.02.2017 18:43
            +1

            Это теория.
            На практике соблюдение клиентом требований этого закона для получения компенсации проблематично (это не просто «пожаловался и вернули»).
            Банки тоже крайне редко по нему что-то возвращают, отправляя в суд, где опять же не всегда клиент выигрывает (снятие по пину например практически проигрышное дело, т.к. «клиент обязан добросовестно себя вести и хранить тайну пина»).


      1. DistortNeo
        28.02.2017 02:13
        +1

        А насколько эта магнитная полоса устойчива к внешним воздействиям? И насколько это критично для работы карты? Просто у меня на основной карточке эта полоска стёрта до дыр, но это нисколько не мешает пользоваться банкоматами. А в терминалах карта сразу вставляется чипом.


  1. pudovMaxim
    27.02.2017 23:19
    +1

    Мне кажется все эти накладки с инженерной точки зрения относительно легко выявлять, но по какой-то причине банки не тратятся на это.


    1. GennPen
      28.02.2017 01:23

      На терминале в нескольких местах расставить датчики приближения, при одновременном срабатывании двух и более датчиков включать сигнализацию и/или блокировать терминал до ввода пин-кода продавца/оператора.


      1. TimsTims
        28.02.2017 09:08

        А если человек прикрывает терминал руками, чтобы не смотрели пинкод? Всё, незя?


        1. pudovMaxim
          28.02.2017 09:21

          Насмотрелся про ТРИЗ, попробую сымитировать: лучшая защита та, которой нет (в идеале — лучший терминал тот, которого нет).
          Так вот, чтобы защита работала — надо сделать терминал полностью прозрачным. Каждый слой такого терминала будет виден и сразу заметны лишние детали.


          1. TimsTims
            28.02.2017 10:15

            Не согласен. Ну будет видно проводочки в терминале, а как понять — лишние ли они, если по цвету даже похожи? А еще у таких терминалов есть датчики вскрытия, насколько мне известно, и если они будут прозрачными, то вскрывать будет легче.


          1. trapwalker
            28.02.2017 10:25

            Тогда нужно. чтобы все терминалы были прозрачными, иначе неспециалист не поймёт должен именно этот быть таким или нет. Ну и временная это мера, опять же. Клавиатуру можно читать миниатюрной камерой или считывать инфракрасный тепловой след на кнопках, а данные с полосы со временем научатся читать с помощью наклейки размером с почтовую марку на внутренней стороне штатной щели.

            ТРИЗ же уже подключили, и комплексное решение, в общем-то, есть. Это упрощенный отзыв транзакции банком, камера на банкомате, двухфакторная авторизация. Из сего этого самое главное — это отмена транзакций. Безопасность таких вещей должна быть проблемой банка, а не пользователя. Нельзя требовать от простого человека, извиняюсь, жопой чуять аутентичность сорта пластика и пропорции щели терминала.


          1. dovzh
            28.02.2017 12:30

            электросчетчики сейчас вовсю делают прозрачными, чтоб визуально было заметно вмешательство без рапломбировки/вскрытия


            1. ploop
              28.02.2017 12:50
              +1

              Ага, только «визуально» смотрит на них специалист, а не бабулька, которая пришла купить хлеба. Например я, айтишник и радиолюбитель, не увижу сходу, что там «что-то не так».


  1. Neuromantix
    27.02.2017 23:51

    А нельзя ли вообще сделать накладки бессмысленными? Например, сканеры отпечатков пальцев сейчас дешевы, встроить их в клавиатуру — если система распознает отпечатки (каждый раз отличные от других) — значит кнопок касается человек и можно проводить транзакцию. Правда, будут проблемы с перчатками. Ну или простой емкостный датчик на кнопках — накладка его заблокирует. Ну или еще можно что-то придумать.


    1. Amihailov
      28.02.2017 00:35

      Отпечатки все же дорого и сильно усложняют конструкцию, плюс кнопки надо будет держать в относительной чистоте. Ёмкостные датчики можно обмануть, если на обратную сторону кнопок накладки нанести материал, на который сработают датчики (как на перчатках, которые годятся для использования со смартфонами).
      Банкам пока дешевле принимать эти риски, чем костылить. А со временем *смартфон*-пэи и отпечатки вместо пинов (в смартах и терминалах) решат эту проблему.


    1. killik
      28.02.2017 04:52

      3D-принтеры, способные подделать отпечаток пальца, сейчас тоже дешевы. А с учетом поголовной дактилоскопии и полнейшей незаинтересованностью спецслужб в безопасности баз данных с собранными отпечатками, ибо ответственности за утечку никакой, этот метод аутентификации надо признать безнадежно устаревшим.


    1. chieftain_yu
      28.02.2017 08:42

      Можно.

      Но пин-код, если что, сбросить можно. А скомпрометированные отпечатки уже не переделаешь.


    1. supernapalm
      28.02.2017 09:17

      Сканеры-то дешевые, заменить ВСЕ уже имеющиеся по всему миру терминалы и банкоматы — вот что крайне дорого, особенно с учетом того что в каждой стране свои законы и все такое. Значит, нужна обратная совместимость, значит накладки будут работать.


    1. electronus
      28.02.2017 17:34

      Давно сделали. Просто есть жадные банки, не спешащие чиповать карты. Вот у меня 70% транзакций — paypass. Остальные 30% — чипом. За последние 3 года ни одной транзакции полосой


  1. Saffron
    28.02.2017 00:03
    -1

    А ведь есть очевидное решение проблемы. Каждый клиент должен носить собственный терминал, который по защищённому от MITM протоколу подключается к банкомату и имеет собственную клавиатуру для ввода пинкода. В принципе, можно усложнить банковские карты, добавив эти функции в них напрямую.


    1. Amihailov
      28.02.2017 00:37
      +9

      Вы только что описали Samsung-pay, apple-pay и подобные :)


      1. Saffron
        28.02.2017 12:56

        Я в курсе. Только у них внутри не слишком безопасная платформа. Лучше если бы банки целенправленно выпускали девайс, который ничего кроме банковских операций не умеет делать. И заодно несли всю ответственность за всякие вирусы, проникнувшие на подобные устройства.


        1. Amihailov
          28.02.2017 13:00
          +2

          Это дорого и не удобно. Карта со всей полиграфией стоит 2-3 бакса, а описываемое вами устройство от 10-15.


          А что не так с безопасностью Apple Pay?


    1. JediPhilosopher
      28.02.2017 00:47
      +3

      Так банковская карта по сути и так уже мини-компьютер, который наружу выдает шифрованные данные и цифровую подпись. Ключи при этом есть у карты и банка изначально, перехватить их не получится. Все что должен сделать терминал — это упаковать данные в нужный формат и отправить в процессинговый центр. Даже ПИН проверяется самой картой в оффлайне (ну это один из возможных вариантов, но наиболее предпочтительный и распространенный).

      Поэтому транзакции по чипу не подделать — злоумышленник не сможет вычислить правильную подпись.

      Осталось только избавиться от пережитков вроде магнитной полосы, которые все никак не умрут.


  1. iShatokhin
    28.02.2017 01:21
    +1

    Сейчас карты научились генерировать одноразовые коды для интернет-покупок сами, интересно, а почему не делать одноразовые пины также?

    Visa Platinum
    image


    1. dmitry_ch
      28.02.2017 10:04

      Круто! Где и как такую получить?


      1. iShatokhin
        28.02.2017 10:31

        Такую Авангард выдает, остальные банки не знаю.


  1. AVI-crak
    28.02.2017 02:20
    -1

    Сейчас в терминалы устанавливают качественные матрицы, но софт остаётся старым. Нужно просто показывать рекламное видео самого терминала. Не гипотетического, а именно той самой марки.
    Когда человек видит терминал в ролике и в реале, накладка (если таковая имеется) — видна сразу.


  1. kurtov
    28.02.2017 06:53
    +2

    У меня есть две карты двух банков, у которых в мобильном приложении есть функция защиты. По умолчанию карта заблокирована. Если нужно снять или оплатить, я должен в приложении указать максимальную сумму, кол-во транзакций и временное окно. Однако возникают сложности с автоплатежами, но для этого у меня другая карта.


    1. Skerrigan
      28.02.2017 08:37
      +3

      Очень круто. А если не секрет, что за банки такие продвинутые?


      1. kurtov
        01.03.2017 17:09

        Молдавские банки: Victoria Bank и MoldIndCon Bank


    1. webmasterx
      28.02.2017 09:43

      это круто, вот только вчера меня подвела более простая защита — изменение месячного лимита в личном кабинете, на самом деле не происходило, и я не смог оплатить покупку. Банк сказал что проблема повсместная, и ее решают


    1. DistortNeo
      28.02.2017 13:58
      +1

      И получаем стандартный дедлок. Карта не работает, потому что нет связи, а нет связи, потому что нельзя оплатить. Особенно актуально при поездках за границу.


      1. pnetmon
        28.02.2017 13:59

        Большинство и не выезжает.
        ошибся


        1. DMGarikk
          28.02.2017 15:51

          но из тех кто выезжает, пользуются картой не только для похода в банкомат — подавляющее большинство.


      1. kurtov
        01.03.2017 17:17

        Я думаю это лучше, чем «деньги мошенники сняли, в банк позвонить не можем, потому что денег оплатить нет». А вообще при должном планировании ни разу не возникало проблем. В наличности всегда какая то необходимая сумма. Пару раз телефон садился и я просто открывал окно на 2-3 транзакции на пару сотен долларов на несколько часов.

        «нет связи» это по моему мнению не аргумент, сейчас гораздо сложнее найти банкомат, чем бесплатный wifi.


  1. dmitry_ch
    28.02.2017 10:03
    +1

    Эксперты, которые обследовали такие скиммеры, утверждают, что многие компоненты берутся из телефонов Samsung.

    Пришла мысль: если торренты запрещают на том основании, что через них могут скачать якобы «пиратский» контент, то здесь прямо напрашивается рекомендация госорганам запретить технику Самсунг, чтобы злоумышленники не могли делать скиммеры.

    Шутка, конечно, но оцените идентичность логики!


  1. KonstantinSoloviov
    28.02.2017 11:09
    +2

    1. Банкомат считывает маркер на конце полосы и открывает карт ридер (именно по этому нельзя вставить карту другой стороной) — это поведение по умолчанию, но может быть изменено настройками ПО банкомата
    2. Терминал считывает полосу на которой записан сервисный код и если он указывает, что карты чиповая: банкомат — заталкивает карты дальше в чип ридер, терминал — выводит на экран «воспользуетесь чип ридером»
    3. Чип инициализируется и читается номер карты, номер карты прочитанный с чипа вовсе не обязан совпадать с номер карты на полосе хотя бы потому что карта может изображать несколько карт с разными номерами (несколько платежных приложений) мало того витали идеи вообще отказаться от записи настоящего номера карту на полосу, а забивать его нулями

    Все это поведение регулируется правилами платежных систем и естественно может быть изменено сообразно им.

    Перейти полностью на чип можно:

    4. Перестав использовать карты без чипа — и тут смешно то что % карт с полосой велик именно в США, где и издаются/меняются правила основных ПС — VISA, MCI
    5. Перестав использовать полосу в терминалах, что очевидно можно сделать только как все терминалы будут работать с чиповыми картами и после того как все карты станут чиповыми

    Итого — проблема в огромной инерции системы.

    Это же надо принимать волевое решение по разворачиванию этой махины в нужном направлении, как было сделано, например, во Франции — где все терминалы уже несколько лет принимают только чиповые карты.

    Но видимо той же VISA и MCI куда интереснее проталкивать другие модные идеи на которых можно поднять деньжат.

    У нас, кстати, заставить всех использовать чип — вполне возможно, опыт есть, вспомнить те же кассовые аппараты. Найдутся люди кому это выгодно и все вперед под козырек. :)
    Шаги в этом направлении уже делаются — в ПС МИР — все карты только чиповые.


    1. teifo
      28.02.2017 15:01

      дел


    1. Wolframium13
      28.02.2017 16:31

      Никогда не понимал инерции этой системы, если карты меняются регулярно по установленному сроку. Запретить выпуск нечипованных карт — через n лет у нас на руках только чипованные карты.


      1. DMGarikk
        28.02.2017 16:57
        +1

        А кто должен «запретить выпуск»? Это у нас мановением руки регулятора весь бизнес строем идёт покупать новые ККМ, а у них я боюсь все строем пойдут в суд с исками за навязывание функционала и злоупотребление монополией (и ещё и сговором всех МПС которые запретили старые карты)


        1. Wolframium13
          01.03.2017 23:30

          Да ладно, у них запретов в сфере безопасности дофига и больше.
          А ККМ не не обязательно заменять вот здесь и сейчас, а менять по мере выхода из строя и при закупке новых. Старые ККМ прекрасно работают с чипованными картами.


          1. DMGarikk
            02.03.2017 00:21
            +1

            Я не про POS терминалы, а ККМ, которые согласно нового закона с 18 года должны уметь передавать инфу в интернет. У нас само собой разумюещееся такие решения регуляторов.


            1. ploop
              02.03.2017 09:20

              с 18 года должны уметь передавать инфу в интернет
              Нет, с июня этого года, кто уже работает. При покупке нового — уже сейчас только онлайн-ККМ


              1. DMGarikk
                02.03.2017 09:58

                ну там всётаки есть какието сроки после которых «ну всё теперь окончательно всё». старые ККМ то ещё можно использовать… а будет время после которого нельзя


              1. DMGarikk
                02.03.2017 09:58

                ну там всётаки есть какието сроки после которых «ну всё теперь окончательно всё». старые ККМ то ещё можно использовать… а будет время после которого нельзя


                1. Fagot63
                  03.03.2017 13:48

                  Те кто зарегистрировал фирму до начала 2017 могут использовать старые ККМ до июня. Все зарегистрировавшиеся в этом году обязаны использовать онлайн ККМ. Хотя у нас как обычно только сейчас начали думать, что некоторым оно (онлайн ККМ) в общем то и не надо. Пример ИП с ЕНВД, ККМ был нужен только для себя, для удобства подсчета. А теперь придется покупать эти новые кассы.


                  1. Fagot63
                    03.03.2017 14:01

                    Извините, немного промахнулся по срокам. Под спойлером подробно, кому надо и когда

                    ККМ
                    2.Кто обязан применять онлайн-кассу и когда на нее переходить?

                    Онлайн-кассу планируется внедрить всем предпринимателям и организациям, производящим наличные расчеты и расчеты картами. В том числе онлайн-касса будет обязательна к применению ИП и организациями, осуществляющими интернет-торговлю, а также торговлю через торговые автоматы.

                    Исключения в данном законе также предусмотрены. Не применять онлайн-ККМ смогут организации и ИП, перечисленные в п. 2, 8 ст. 2 Федерального закона № 54-ФЗ от 22 мая 2003 г. От применения ККМ освобождаются следующие виды деятельности:

                    – продажа газет и журналов, а также сопутствующих товаров в газетно-журнальных киосках при условии, что доля продажи газет и журналов в их товарообороте составляет не менее 50 процентов товарооборота и ассортимент сопутствующих товаров утвержден органом исполнительной власти субъекта РФ;
                    – продажа ценных бумаг;
                    – продажа водителем или кондуктором в салоне транспортного средства проездных документов (билетов) и талонов для проезда в общественном транспорте;
                    – обеспечение питанием обучающихся и работников образовательных организаций, реализующих основные общеобразовательные программы, во время учебных занятий;
                    – торговля на розничных рынках, ярмарках, в выставочных комплексах, а также на других территориях, отведенных для осуществления торговли, за исключением находящихся в этих местах торговли магазинов, павильонов, киосков, палаток, автолавок, автомагазинов, автофургонов, помещений контейнерного типа и других аналогично обустроенных и обеспечивающих показ и сохранность товара торговых мест (помещений и автотранспортных средств, в т. ч. прицепов и полуприцепов), открытых прилавков внутри крытых рыночных помещений при торговле непродовольственными товарами, кроме торговли непродовольственными товарами, которые определены в перечне, утвержденном Правительством РФ;
                    – разносная торговля продовольственными и непродовольственными товарами (за исключением технически сложных товаров и продовольственных товаров, требующих определенных условий хранения и продажи) в пассажирских вагонах поездов, с ручных тележек, велосипедов, корзин, лотков (в т. ч. защищенных от атмосферных осадков каркасами, обтянутыми полимерной пленкой, парусиной, брезентом);
                    – торговля в киосках мороженым, безалкогольными напитками в розлив;
                    – торговля из автоцистерн квасом, молоком, растительным маслом, живой рыбой, керосином, сезонная торговля вразвал овощами, в том числе картофелем, фруктами и бахчевыми культурами;
                    – прием от населения стеклопосуды и утильсырья, за исключением металлолома, драгоценных металлов и драгоценных камней;
                    – ремонт и окраска обуви;
                    – изготовление и ремонт металлической галантереи и ключей;
                    – присмотр и уход за детьми, больными, престарелыми и инвалидами;
                    – реализация изготовителем изделий народных художественных промыслов;
                    – вспашка огородов и распиловка дров;
                    – услуги носильщиков на ж/д вокзалах, автовокзалах, аэровокзалах, в аэропортах, морских, речных портах;
                    – сдача ИП в аренду (наем) жилых помещений, принадлежащих этому ИП на праве собственности.

                    Также освобождение от обязанности по применению ККТ предусмотрено в общем случае:

                    – для организаций (ИП), расположенных в отдаленных или труднодоступных местностях, указанных в перечне, утвержденном региональными властями (п. 3 ст. 2 Федерального закона № 54-ФЗ от 22 мая 2003 г., письмо Минфина России № 03-01-15/51124 от 1 сентября 2016 г.). При этом такие налогоплательщики должны будут применять обычную ККТ без передачи электронных фискальных данных в налоговые инспекции. В такой ситуации передавать покупателю (по его просьбе) чек (БСО) в электронной форме не обязательно, если он распечатан в бумажном виде с применением ККТ (п. 7 ст. 2 Федерального закона № 54-ФЗ от 22 мая 2003 г.);

                    – для аптечных организаций, которые находятся в фельдшерских и фельдшерско-акушерских пунктах, расположенных в сельских населенных пунктах, и обособленных подразделений медицинских организаций, имеющих лицензию на фармацевтическую деятельность (амбулаторий, фельдшерских и фельдшерско-акушерских пунктов, центров (отделений) общей врачебной (семейной) практики), расположенных в сельских населенных пунктах, в которых отсутствуют аптечные организации;

                    – при оказании услуг по проведению религиозных обрядов и церемоний, а также при реализации предметов религиозного культа и религиозной литературы в культовых зданиях и сооружениях и на относящихся к ним территориях, в иных местах, предоставленных религиозным организациям для этих целей, в учреждениях и на предприятиях религиозных организаций, зарегистрированных в порядке, установленном законодательством РФ.

                    Подтверждение: п. 3-6 ст. 2 Федерального закона № 54-ФЗ от 22 мая 2003 г.

                    3.С какого момента обязательно перейти на онлайн-кассу?

                    Конечно, на текущий момент не все обязаны заменить и приобрести ККМ. Сроки перехода на онлайн-кассы предусмотрены законом следующие:

                    – до 1 февраля 2017 года – наряду с применением прежнего порядка организации (ИП) могут в добровольном порядке переходить на применение онлайн-ККТ и заключать договоры с операторами передачи фискальных данных;

                    – с 1 февраля 2017 года не допускается перерегистрация и регистрация ККТ, не обеспечивающей передачу фискальных данных через оператора (за исключением случая, когда организация (ИП) работает в отдаленной местности, где разрешено применение обычной ККТ без передачи электронных фискальных данных в налоговые инспекции);

                    – с 1 июля 2017 года запрещается использование старой ККТ (без доработки (модернизации) в соответствии с новыми условиями использования ККТ), зарегистрированной до 1 февраля 2017 года.

                    – с 1 января 2018 года электронные чеки станут обязательными к использованию.

                    Подтверждение: ч. 4-6 ст. 7 Федерального закона № 290-ФЗ от 3 июля 2016 г., письмо Минфина России № 03-01-12/ВН-38831 от 1 сентября 2016 г.

                    Для некоторых организаций и ИП предусмотрены переходные сроки, освобождающие пока от применения онлайн-кассы. В частности, до 1 июля 2018 года смогут не применять ККТ:
                    – ИП на ПСН, организации (ИП) на ЕНВД – если будут выдавать по требованию покупателя (клиента) документ (товарный чек, квитанцию или другой документ), подтверждающий прием денежных средств за соответствующий товар (работу, услугу);
                    – организации (ИП), оказывающие услуги населению, – если будут выдавать БСО в прежнем порядке;
                    – организации (ИП), у которых обязанность применять ККТ возникнет только с введением новой редакции закона;
                    – организации (ИП), которые ведут торговлю с использованием торговых автоматов.


      1. Jesting
        01.03.2017 14:06

        А что делать с девайсами, с софтом. С сертификацией всего этого добра? Там процесс архисложный.


        1. Wolframium13
          01.03.2017 23:32

          Что, у них вообще нет карт с чипами, что сие надо с нуля сертифицировать?


    1. Pentoxide
      28.02.2017 17:34

      считывает полосу на которой записан сервисный код и если он указывает, что карты чиповая: банкомат — заталкивает карты дальше в чип ридер

      Индийские банкоматы плюют на это и работают только по магнитной полосе.


      1. KonstantinSoloviov
        28.02.2017 17:46

        Любые терминалы не работающие с чипом используют полосу


        1. Pentoxide
          28.02.2017 17:59

          Терминалы понятно, я имел ввиду банкоматы.


          1. KonstantinSoloviov
            28.02.2017 18:07
            +2

            А! Ну, это терминологическое недопонимание: все это терминалы и банкоматы (они же ATM — Automated teller machine) и те что в обывательском смысле терминалы это POS-терминалы (Point of service).


            1. Pentoxide
              28.02.2017 18:24

              Ясно, спасибо за разъяснение.


            1. VerdOrr
              01.03.2017 07:48
              +1

              Point Of Sale, извините


              1. KonstantinSoloviov
                01.03.2017 11:05
                +1

                Да. Исторически или если хотите канонически конечно «Point Of Sale», но в документации МПСов используется и «Point Of Serviсe» — что, кстати, больше соответствует действильности.


  1. vconst
    28.02.2017 11:57

    Интересно, а с бесконтактными картами скиммеры работают?


    1. KonstantinSoloviov
      28.02.2017 12:27
      -1

      Перехватить обмен терминал-бесконтактная карта можно хотя это и не просто, но в таких операциях используются одноразовые данные.


      1. vconst
        28.02.2017 12:38

        Значит бесконтактные карты — безопаснее, это есть хорошо.


        1. KonstantinSoloviov
          28.02.2017 12:52
          +2

          Ну, эт как посмотреть — номер карты там честный летает, дата истечения тоже — довольно ценные данные, например, для совершения интернет платежей (не везде конечно) не хватает всего ничего — трех цифр CVС2. Что бы и номер карты не летал придумали всякие ApplePay/SumsungPay и т.п. там вместо него летает токен.


          1. vconst
            28.02.2017 13:01

            Но вообще — есть ли скиммеры, перехватывающие бесконтактные карты? Или пока все по старинке работают?


            1. Fagot63
              28.02.2017 13:51

              Если кто то и знает, то они молчат. Причины я думаю понимаете.


              1. vconst
                28.02.2017 13:52

                Ну безопасники то никогда не молчат о скиммерах, на каждом углу про них кричать готовы. Так что, если бы им попался такой скиммер — это было бы во всех профильных новостях.


                1. chieftain_yu
                  28.02.2017 15:02
                  +1

                  Ажиотаж вокруг скиммеров связан с магнитной полосой — использование чисто «полосной» аутентификации по полосе и пину позволяет легко делать дубликаты, соскиммировав данные.

                  Чипы и бесконтактка в этом плане защищеннее — и с их подделкой все намного тяжелее. Либо переводить в бесчиповые (но тогда из перехваченного обмена надо вытащить данные карты, что, я подозреваю, нетривиально), либо полностью дублировать (что еще менее тривиально).

                  И зачем брать на себя лишнюю работу, если текущие скиммеры неплохо работают?


                  1. vconst
                    28.02.2017 15:07

                    Значит чиповая карта и бесконтактная — вполне себе защищена от большинства скиммеров?


                    1. chieftain_yu
                      28.02.2017 15:25

                      Если их не совать туда, где можно прочитать запись на полосе — да, защищеннее.
                      Если совать — увы, те же записи на полосе снимаются ровно теми же обычными скиммерами.

                      Поэтому создавать продвинутые скиммеры именно для чиповых/бесконтактных карт — бессмысленно. Старые, намного более дешевые, методы работают — зачем платить больше?


                      1. vconst
                        28.02.2017 15:27

                        Но разве на полосе не записано, что это чипованная карта и полоса для транзакций не используется? Выходит, что бесконтактные платежи, особенно через телефонные приложения — самые безопасные?


                        1. chieftain_yu
                          28.02.2017 15:47

                          Вы приходите в банкомат.
                          Вставляете карту.
                          Банкомат на карте читает номер вашей карты и метку, требуется ли авторизация через чип.
                          При загрузке карты в банкомат скиммер сосканировал номер вашей карты, а камерой считали пин.
                          Злоумышленник делает карту, аналогичную вашей, но без метки «требовать чиповую авторизацию» на магнитной ленте. И приходит в банкомат. И тот работает, свято уверенный, что чип проверять — не требуется. Бинго!

                          Если карту никуда не втыкать вообще, а хранить в тумбочке — скиммеры ей будут не страшны.

                          Но если вы используете бесконтактные платежи, там могут быть иные угрозы, которые к скиммерам отношения не имеют. Если вы платите через телефонные приложения — там еще пучок угроз возникает, которым бесконтактные карты также подвержены. Если вы привязываете карту к чему-то — вы получаете новую пачку угроз. Надо смотреть ваш сценарий использования карт — и смотреть именно ваши потенциальные проблемы.

                          То, что автомобили никогда не входят в штопор, не делает их более безопасным транспортом, чем самолеты — у них просто разные типовые сценарии катастроф.


                          1. KonstantinSoloviov
                            28.02.2017 16:10
                            +1

                            >Злоумышленник делает карту, аналогичную вашей, но без метки «требовать чиповую авторизацию» на магнитной ленте.

                            Неа, данные на полосе подписаны, подпись на той же полосе. Так что можно только полную копию сделать вместе с меткой что карта чиповая.


                            1. ploop
                              28.02.2017 16:17

                              Так что можно только полную копию сделать вместе с меткой что карта чиповая.

                              Но тогда копию можно будет использовать на терминалах, не поддерживающих чип, просто по магнитной полосе? Правильно понимаю?


                              1. KonstantinSoloviov
                                28.02.2017 16:38

                                Правильно, но к терминалу прилагается кассир, который эту карту должен прокатать. А он должен действовать согласно инструкции — например удивиться что номер карты не самой карте не такой как на полосе или что она вообще какая-то странная — белая какая-то :)


                            1. chieftain_yu
                              28.02.2017 16:18
                              +1

                              Хм. Не знал. думал, там подписи нет.

                              Но тогда для использования можно просто искать банкомат или торговую точку, которые не умеют работать с чипом.


                          1. vconst
                            28.02.2017 16:19

                            Насколько я в курсе, если транзакция чипованной картой проведена только по магнитной полосе — то ее на порядки проще оспорить.

                            А какие угрозы есть для бесконтактной оплаты через банкомат или терминал? Недавно обсуждали, насколько это сложно — получить в распоряжение терминал бесконтактной оплаты и вывести через него деньги.


                            1. chieftain_yu
                              28.02.2017 17:11
                              +1

                              Ну например — если сделать пару «считыватель — карта», которые тупо передают в обе стороны по собственному радиоканалу любой трафик (играя роль «удлиннителя») — можно этой новой картой расплачиваться за небольшие покупки, помещая считыватель возле ничего не подозревающего владельца бесконтактной карты.


                              1. vconst
                                28.02.2017 17:22
                                +1

                                Тогда «чехол фарадея».


                              1. vconst
                                01.03.2017 17:41

                                Еще вопрос назрел.
                                Скиммер и «удлинители» NFC — это все дорогое и штучное оборудование, без большой маржи его и делать и покупать нерентабельно. Так имеет ли смысл париться на сет бесконтактной карты и этого удлинителя, если без пин-кода можно покупать только на кассах и только всякую мелочь в пределах 1000 рублей /*допустим — такой лимит*/? Мне кажется — не стоит овчинка выделенки.


                                1. chieftain_yu
                                  02.03.2017 09:11

                                  Смотрите — риск (причем — негативный) есть.
                                  И вы можете его:
                                  а) игнорировать (забить болт и считать незначимым),
                                  б) избегать — отказаться от использования уязвимых карт,
                                  в) передать — навесить компенсацию возможного ущерба на кого-то другого, например, застраховать такое событие,
                                  г) обработать — предпринять какие-то меры по снижению риска — например, держать на уязвимой карте одну копейку, пополняя ее перед самой транзакцией и удаляя излишек после транзакции.

                                  Как вы поступаете с каждым конкретным риском — это дело вашего вкуса. Если вы считаете, что овчинка выделки не стоит — идите по варианту а).


                                  1. vconst
                                    02.03.2017 11:16

                                    Это все понятно, но вопрос был другой — будут ли кардеры морочиться с удлинителем для бесконтактной карты, если без пина там можно только покупать через кассу и не дороже 1000-1500?


                                    1. chieftain_yu
                                      02.03.2017 13:44

                                      Если все понятно (в частности — что именно вы должны оценивать, актуален ли вам этот риск), то откуда тогда возник этот вопрос?

                                      Я не знаю ни одного достоверного кардера, так что их спросить я не могу.


                            1. chieftain_yu
                              28.02.2017 17:14
                              +2

                              И я пока не слышал про бесконтактные банкоматы. Они обычно предполагают все же заглатывание карты целиком.


                              1. vconst
                                28.02.2017 17:22

                                Но терминалы есть, на кассах, в автоматах метро и тп.


                              1. Pentoxide
                                28.02.2017 17:30

                                Видел несколько раз банкомат с логотипом пейпасс и местом куда прикладывать карту, но т.к. у меня paypass поломался — не удалось попробовать. Банкомат от московского кредитного банка кажется был, не помню точно.


                          1. Alexeyslav
                            28.02.2017 17:30

                            Тут надо заметить, что банк может просто не подтверждать операции по магнитной полосе по желанию держателя карты. т.е. будет облом. Но и вы сами не сможете оплатить в местах где оплата проходит только по магнитной полосе. Т.е. отключив операции по магнитной полосе для своей карты скиммеры будут бессильны. Но остаётся другая проблема — онлайн платежи по реквизитам карты, зная пин-код и то что записано на магнитной полосе злоумышленники могут расплачиваться в интернете, потом морока с возвратом средств… или опять же отключить возможность оплаты с данной карты через интернет.


                            1. KonstantinSoloviov
                              28.02.2017 17:57

                              Но остаётся другая проблема — онлайн платежи по реквизитам карты, зная пин-код и то что записано на магнитной полосе злоумышленники могут расплачиваться в интернете, потом морока с возвратом средств… или опять же отключить возможность оплаты с данной карты через интернет.

                              Не совсем так для интернет платежей пин-код не используектся — нужен либо код CVC2 (а его нет на полосе, он печатается на пластике) либо, например, подтвержение одноразовым паролем, который приходит по sms.


                              1. DistortNeo
                                28.02.2017 19:32
                                +1

                                Не совсем так для интернет платежей пин-код не используектся — нужен либо код CVC2 (а его нет на полосе, он печатается на пластике) либо, например, подтвержение одноразовым паролем, который приходит по sms.

                                А ещё нужна сооветствующая политика банка. Существуют сайты, где оплата проходит и без указания трёхзначного кода, и без смс, и даже сайты, где не нужно вводить имя — только номер карты и срок действия.


                                1. edogs
                                  28.02.2017 22:31
                                  +1

                                  На самом деле зависит от политики магазина (или посредника если магазин принимает через посредника), т.е. мерчанта.
                                  Именно мерчант решает сколько корректных данных ему нужно запросить у пользователя что бы провести платеж. По минималке достаточно номера карты и всё.

                                  Понятно, что чем меньше данных мерчант требует, тем выше для него риски опротестовывания платежа, но тут все зависит от клиентоориентированности мечарнта.
                                  На амазоне, например, раньше было достаточно номера карты, можно было даже со сроком действия ошибиться, о цвц даже не упоминалось (сейчас не знаем как, давно не пользовались). Платеж в случае чего возвращал сам амазон по первому же обращению в службу поддержки, даже в банк можно было не обращаться.

                                  ФИО кстати, как и биллинг адрес, в 99% случаев не проверяется вообще, а если банк и мерчант в принципиально разных странах (сша-россия, сша-евросоюз, китай-япония) то не могут быть проверены в принципе (из-за ограничений на передачу персональных данных).


            1. Alexeyslav
              28.02.2017 16:19

              Смысла перехватывать карту нет, там данные зашифрованы и ничего не дадут для проведения другой операции по карте. Но тут делают по другому — организуют радиоудлинитель и расплачиваются реальной картой которая находится у владельца в кармане. Ньюансы конечно есть в зависимости от настроек карты и лимитов сумм для снятия без подтверждения/пин-кода и т.д.


              1. vconst
                28.02.2017 16:22

                Ха! Круто! Примерно также угоняют машины, которые требуют брелок в салоне.
                Но тогда от этого можно защититься «чехлом фарадея», элементарнейшее устройство. Причем, некоторые карты не читаются, если в стопке есть другие NFC и если одной стороной карта прижата к металлической пластине.


  1. zedalert
    28.02.2017 15:13
    +1

    Почему нельзя сделать банкоматы с монолитным дизайном? Где только прорези под экран, кнопки и щель для карты, чтобы не приходилось ломать голову, а накладка ли это, или такой долбанутый дизайнерский ход.


    1. chieftain_yu
      28.02.2017 15:21

      Потому что в щель для карты можно вставить тонкий скиммер таким образом, что при беглом осмотре его видно не будет.

      А вот почему нельзя на экран транслировать эталонный вид конкретного банкомата вместе со средствами противодействия скиммерам (накладки на картоприемную щель, клавиатуру и так далее) — не знаю.


      1. Fagot63
        28.02.2017 15:38

        Большинство банкоматов которыми я пользуюсь имеют две камеры. Одна смотрит на клиента, вторая на клавиатуру. Написать нейросеть которая бы била тревогу при нестандартных действиях с банкоматом. Имхо.


        1. chieftain_yu
          28.02.2017 15:50

          Пока затраты на создание такой сети будут выше, чем потери банков (а собственно потери от такого рода криминальных действий для банков не слишком велики, как я полагаю) — не будет этого.

          Ну и опять же — где-то одна камера, где-то две. А вторая — точно банком поставлена, а не для подглядывания пин-кода?

          А чего это вот этот гражданин клавиатуру пакетом прикрывает? Это он не собирается пин палить или накладку устанавливает под прикрытием пакета?


          1. Fagot63
            28.02.2017 16:23

            Точно банком. Нужна для спорных случаев. И может быть как раз с ее помощью выяснить лицо поставившее скриммер.


            1. chieftain_yu
              28.02.2017 17:16

              Между тезисами «на ряд банкоматов две камеры поставлены банком-владельцем» и «на любом банкомате, где видны две камеры, обе камеры поставлены банком-владельцем» есть существенная разница.


      1. DMGarikk
        28.02.2017 15:55
        +1

        А вот почему нельзя на экран транслировать эталонный вид конкретного банкомата вместе со средствами противодействия скиммерам (накладки на картоприемную щель, клавиатуру и так далее) — не знаю.


        Это крайне сложно в организационном плане, вплоть до того что при изменении антискиммера правильную картинку могут очень долго не поставить.
        более того я уже такое видел, когда на картинке вообще банкомат другого типа


    1. CrazyRoot
      03.03.2017 13:00

      Потому, что думать не умеют.
      Поставить что нить типа «гильотины» которая каждый раз после возврата карты проходит по щели и по «считывателю» и убирает все лишнее, можно было тогда когда только появилась проблема со скиммерами.