Источник: krebsonsecurity.com
Скиммеры в виде накладок на терминалы становятся все популярнее. Поскольку в ряде стран, включая США, распространены терминалы Ingenico, то создатели накладных скиммеров больше всего внимания уделяют именно таким аппаратам. Несмотря на то, что специалисты по информационным технологиям стараются рассказывать об этой проблеме и опасности, которую она представляет, скиммеров не становится меньше. На днях Брайан Креббс показал новые фотографии этих устройств. Фотографии (не лучшего качества) ему прислали представители ряда американских ритейлеров, в торговых точках которых были установлены накладки на терминалы.
Одна такая модель — скиммер с беспроводным модулем связи Bluetooth. Он предназначен для кражи данных пользователя карты при ее задействовании в терминале. Скиммер, в частности, записывает PIN и передает его по Bluetooth на подключенное устройство, которое должно находиться в радиусе 30 метров от скомпрометированного терминала.
Обнаружили этот скиммер случайно. Дело в том, что сотрудник магазина, где был размещен этот аппарат, заметил, что две кнопки на терминале стало сложно нажимать. Он решил разобраться в причинах проблемы и увидел, что крышка терминала — это накладка, установленная неизвестным. После этого сотрудник проверил другие терминалы и обнаружил еще две накладки.
Накладка с обратной стороны. Источник: krebsonsecurity.com
Кардеры, которые занимаются воровством данных банковских карт, вовсе не обязательно сами создают такие устройства. Это уже давно не кустарное производство, их разработка поставлена на поток, а многие модели скиммеров можно купить в интернете практически в открытую. На видео, размещенном ниже, показан скиммер для модели терминала Ingenico iSC250. Это почти такая же модель, фотографии которой прислали Креббсу.
На видео не слишком хорошо показаны электронные компоненты системы, зато в подробностях демонстрируется работа беспроводного модуля связи.
Поскольку девайс беспроводный, можно ожидать, что злоумышленник, установивший накладку на терминал в магазине, находится где-то неподалеку (например, в припаркованной рядом машине) и получает данные, считываемые устройством, в режиме реального времени. И действительно, в устройстве отсутствует собственная память, так что вариант с периодическим посещением считывающего устройства его владельцем исключается. Есть еще один вариант: скиммер передает данные на устройство, спрятанное неподалеку. Подключиться к накладке по Bluetooth можно при помощи кода «2016».
Источник: krebsonsecurity.com
Эксперты, которые обследовали такие скиммеры, утверждают, что многие компоненты берутся из телефонов Samsung.
Как отличить скомпрометированный терминал Ingenico от обычного?
В своем блоге Креббс показывает, как можно отличить скомпрометированный терминал от устройства без накладки. Надо думать, разработчики накладок быстро их модифицируют, изменяя их дизайн, когда становится известно об отличительных признаках таких девайсов. Но пока что эта информация актуальна.
Так вот, основное отличие — в размере некоторых элементов терминалов и скиммеров. Как ни меняй дизайн, какие-то различия будут всегда.
Слева — накладка, справа — модель терминала iSC250 от компании Ingenico
Для того, чтобы накладку можно было разместить на терминале, она должна быть шире и длиннее корпуса оригинального устройства. Человек, который знает, как выглядит терминал, быстро распознает подделку. Но покупатели или неопытные продавцы подмены могут и не заметить. Отличие также в размере пластиковой полоски, находящейся справа от прорези для магнитной карты.
Еще одно отличие — в яркости подсветки клавиатуры оригинального терминала и накладки. Кнопки скиммера будут гораздо более тусклыми, поскольку они закрывают кнопки самого терминала.
Слева — клавиатура терминала без скиммера, справа — со скиммером
Наконец, еще один отличительный признак — отсутствие свечения зеленого светодиода на терминале со скиммером. Последний просто закрывает светодиод. Так что при проведении транзакции огонек не загорается. Правда, некоторые накладки имеют специальное отверстие, так что светодиод прекрасно виден.
Источник: krebsonsecurity.com
Есть еще один момент. Дело в том, что некоторые модели терминалов оснащены стилусом. В ряде ситуаций покупатели ставят электронную подпись при помощи такого стилуса, оставляя ее на экране устройства. А вот накладка блокирует стилус. Это, наверное, самый заметный признак присутствия скиммера-накладки.
Установка скиммера производится в течение нескольких секунд. Камера одного из магазинов в Майями-Бич зафиксировала установку накладки всего за три секунды. Мошенники работали в паре: один отвлекал продавца, второй — устанавливал устройство.
Кроме мобильных терминалов, кардеры устанавливают считывающие устройства на банкоматы (очень много вариантов) и даже на дверях банков с установленным считывателем кредитки. При помощи такого считывателя можно открыть дверь в нерабочие часы банка для получения доступа к банкомату. Скиммер считывает данные магнитной ленты, а камера для наблюдения за набором пин-кода устанавливается внутри помещения, около банкомата.
Правила безопасности
Эксперты рекомендуют следующие правила безопасности при работе с банкоматами или терминалами:
- Не стоит пользоваться банкоматами, которые стоят в темных помещениях и выглядят странно. Лучше всего, по возможности, снимать деньги в проверенных аппаратах;
- Если ваш внутренний голос говорит, что с банкоматом что-то не так, не работайте с ним. Специалисты говорят, что у жертв, пострадавших от действий кардеров, часто возникает плохое предчувствие при взгляде на банкомат. Все объясняется просто — человек неосознанно ухватывает какие-то странности в структуре АТМ, но не всегда понимает, что именно не так;
- Вводя ПИН-код, стоит закрывать рукой клавиатуру. Это правило действует как при работе с банкоматом, так и с терминалом.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Поделиться с друзьями
pnetmon
И когда изобретут одноразовые пинкоды через СМС. Заказал пинкод действующий полчаса/час — и совершаешь операции с пластиком.
edogs
Давно изобрели. Даже в русских ТКС и БРС (из известных нам) — есть возможность сменить пин-код прямо в реалтайме.
pnetmon
Это не то. Возможность сменить пин-код в реалтайме и когда выдаются только одноразовые пароли это разные вещи. Например большинство интернет логинов (логинов на почтовые сервисы, на сайты финансовых и госучереждений.....) позволяют менять пароль в реалтайме, но только очень малая часть меняет пароли.
edogs
Это не то, но это даже лучше.
Хочешь одноразовый — пожалуйста, смени сразу после использования.
Хочешь многоразовый — не меняй.
Goodkat
Одноразовый пинкод — это, двухфакторная аутентификация, получается. С ней тоже могут быть проблемы — запоздала смс на пару минут, и вот ты уже не защищённый покупатель, а чудило задерживающий всю очередь.
Бесконтактная оплата (картой, мобильным телефоном, а для эстетов — и часами :) мне видится более лучшим средством защиты от перехвата ваших данных.
pnetmon
Что мешает получить пинкод до совершения операции, большие очереди? Увеличим время жизни до 3 часов ;)
pnetmon
Возможно не так поняли - "Заказал пинкод действующий полчаса/час — и совершаешь операции с пластиком." Пинкод заказывается заранее, он не приходит при операции с картой для подтверждения списания денег.
Finesse
Достаточно просто не хранить основной запас денег на карте, которая используется при оплате через терминалы и оплате в интернете.
pnetmon
Так то вы правы. Но как будто это защищает от кражи.
Finesse
Количество украденых денег = вероятность угона карты ? количество денег на карте. Первый множитель свести к нулю не получится, как бы мы не старались, а второй множитель достаточно легко уменьшить.
Fagot63
Ну по логике, первый множитель все же зависит от второго. При достаточно не больших суммах на карте, скорей всего её просто не тронут. Т.к. чем больше количество обнуленных карт, тем больше вероятность быть пойманным.
Alexeyslav
Однако есть небольшая проблема — большинство карт кредитные с довольно ощутимым лимитом в минус… не все догадываются лимит уменьшить до нуля.
Finesse
Вы правы, я об этом не подумал. Действительно ли кредитных карт большинство? Я живу в России, практически все карты, которые я видел и про которые слышал, дебетовые, а при кредитную слышал лишь один раз.
forgot10
Да море их. Например самый популярный зеленый банк сейчас выдаёт акциями всем подряд кредитки с бесплатным обслуживанием и лимитом 300 000р. Для многих — неподъёмная сумма при краже.
mihmig
Что не мешает таким людям выбирать кредитный лимит почти полностью.
shifttstas
В Москве много у кого кредитные карты — это удобнее чем дебетовые.
Любые проблемы с накладками решает Apple Pay (у самсунга тоже что-то было) — вы не дотрагиваетесь до терминала руками, подтверждение обладания карты происходит на вашем апарате через сканер отпечатка. Даже если будет скимер — он ничего не сможет сделать
Alexeyslav
Даже с виду не кредитка, а в условиях — акция, 60+1 дней бесплатного кредита… Сейчас же на каждом углу пытаются впарить кредит, чтобы брали и брали побольше. Чтобы оформить себе чистую дебетовую карту надо много раз сказать НЕТ и идти к этому целенаправленно — только дашь слабину и смотришь уже какой-то кредитный лимит на карте появился… акция, понимаешь, бесплатная.
Хуже того, в СМС-ках по операциям приходит баланс с учётом кредитного лимита(всё в одну сумму складывается)… не знаю, специально ли так делают…
chieftain_yu
Не знаю, как в других банках, а в моем, вроде, можно выбрать, как баланс показывать — только собственные средства или вместе с заемными.
rPman
обратно банк не даст вернуть лимит, если он, например, выше расчетного (менее рискованного для банка)
13oz
Это, конечно, поможет минимизировать собственные потери, совет правильный.
Но это, скорее всего, никак не скажется на потерях банков. Даже если будут уводить маленькие суммы денег, но таких транзакций будет много, потери банка будут значительны.
edogs
Оффлайн операции на ура проходят (при них баланс не проверяется), при чем они могут пройти даже на банкомате при снятии наличных (а не только при оплате). Будет так называемый технический овердрафт, который мало того что надо будет погасить, так еще и штраф с процентами прилетит.
ValdikSS
Одноразовые пин-коды, действующие полчаса/час. Как-то не стыкуется.
pnetmon
В каком смысле? хотя ниже предложили интересный вариант, но параноик не позволяет ставить банковские приложения на смартофон.
Заходите в магазин, через сотовый/смартофон — приложение или sms запрашиваете pin код. Через sms или приложение приходит список кодов. Этот код действует в течении определенного времени и он одноразовый. Не надо запрашивать код стоя перед терминалом, можно заказать заранее.
Если злоумышленник получит данные карты и видеонаблюдением, накладкой или другим способом узнает пин код, то использовать его не сможет.
ValdikSS
В чем преимущество списка одноразовых кодов, ограниченных по времени, перед одним одноразовым кодом на одну операцию, без ограничения по времени?
Вообще, раньше в некоторых банках были карты одноразовых кодов со стираемой полосой, и это было очень удобно, правда, применялись они только для доступа в интернет-банкинг, даже в 3D Secure не использовались. Сейчас они, вроде бы, остались только в одном банке, а все другие заставляют пользоваться либо СМС-кодами, что мне совсем неудобно, либо покупать TOTP-токен в виде устройства, за дополнительные деньги.
pnetmon
В том что без ограничения по времени забываются… а так мало различий… но они есть.
У меня при операциях в терминалах и банкоматах для карт двух крупных банков только pin код или авторизация через подпись.
И нету одноразовых кодов для авторизации.
PEgorov
В ВТБ24 образца года эдак 2010 эти одноразовые коды можно было получить в ограниченном количестве отделений, причем только в том регионе, где Вы зарегистрированы. Ну и разумеется, больше 2 карточек не давали. На карточке было 120+ кодов, которые улетали за пару-тройку месяцев. В общем, это было дичайше неудобно, когда появились смски, стало ощутимо проще.
ValdikSS
Странно, я получал карточки в отделениях разных регионах, и очень расстроился, когда их заменили на СМС.
xHR
Можно что-то типа Google Auth использовать. Вставил карту в банкомат, посмот рел гугл аус, ввел сгенеренный пин.
DMGarikk
ага… я так оказался в Варшаве с симкой оператора большой тройки которая решила что суммы в 500р не достаточно для включения роуминга и отказалась регистрироваться в сети… пополните счёт… введите код из СМС… ага который мы вам отправили на отключенную симку..«а чо? у всех есть телефоны»
pnetmon
Включается по желанию клиента.
Эту проблема создал оператор, т.к. сегодня в России получал сообщения из банка на заблокированную за неуплату симку.
DMGarikk
Что включается? у меня симка говорила «Нет сети»… и «волшебным образом» ожила при пересечении границы в Бресте
pnetmon
Включается эта нереализованная опция.
DMGarikk
т.е. я должен по отключенному телефону позвонить оператору и попросить включить мне телефон.
P.S. Допустим я совсем олень, у меня один телефон, нет в шаговой доступности интернета и я не помню наизусть полный номер техподдержки чтобы позвонить оператору
P.S.S. всё естественно происходит заграницей в роуминге
pnetmon
А что мешает позвонить с другого телефона, или отправить смс — кинь денег друг на мой телефон.
А то вдруг еще телефон украли, симкарту нужно заменить и т.д. и т.п для усложнения
DMGarikk
Вам не кажется что это уже попытки решить системную проблему костылями?
Так можно договорится до того что «Надо пользоваться наличкой, карты не нужны»
Приведу пример попроще, иногда у некоторых банков из топ10, СМСки приходят с задержкой в 30-60 минут.
проблема в том что СМС имеют очень большой архитектурный минус с механизмом доставки у которого нет механизмов гарантированных сроков передачи сообщения. я сталкивался несколько раз с тем что не мог оплатить чтото тупо потому что СМС приходила ровно через буквально 5 минут после того как заканчивался тамаут ожидания ввода кода подтверждения.
ploop
Часто сталкиваюсь, и ничего не поделаешь — приходится откладывать платёж до того времени, пока система не заработает.
pnetmon
Дайте другое решение проблемы борьбы считывания данных карты и ее пинкода при операциях в банкоматах и терминалах
edogs
Электронный генератор кодов. Небольшой девайс, который генерит код на текущую операцию. В некоторых банках российских такие были (в райфайзене вроде и еще где-то). Там правда не пин-коды генерились, а коды для ИБ, но это не принципиальная разница.
pnetmon
А если он потерян, или украден, или забыт в номере отеля… Понятно что к большей части можно придраться.
Тут приводили примеры с генератором на карте — когда физическая карта "сделает ноги" при краже кошелька этот генератор никак не усложнит угон средств.
DMGarikk
иногда для усиления надёжности двухфакторки делают дополнительный код который добавляется к сгенерированному токеном при вводе
pnetmon
Этот дополнительный код постоянен?
DMGarikk
там где я это видел — да
Это как пин, который надо помнить. фактически защита от кражи токена
pnetmon
Кроме случаев подсмотреть (в том числе видеосъемкой) пин при операции и сделать карте ноги.
Эти усложнения спасают только если злоумышленник не имеет физического контакта с картой.
А разговор с самого начала был как усложнить если злоумышленник может подсмотреть пин при операции в терминале в торговой точке или в банкомате.
alsii
Я пользуюсь девайсом, который по сути является интерфейсом к карте. С обратной стороны него еще есть считыватель на фотоприемниках.
Когда нужно подтвердить транзакцию в веб-банке, на страничке выводится окошко с мелькающими полосками (белая-черная), я подозреваю, что это просто анимированный гиф. В девайс вставляется карта, нажимается кнопка, он прикладывается к монитору в том месте где мелькают полоски. Через небольшое время он считывает информацию о транзакции, выводит на экранчик последние цифры номера счета получателя, потом сумму платежа, потом одноразовый ПИН. Вводишь ПИН на страничке — подтверждаешь транзакцию. Терять можно сколько угодно, в самом приборе никакой информации нет.
pnetmon
Ну есть и другой вариант. Не очень и хороший. Одновременно могут работать два пинкода — один постоянный, другой временный, запрошенный для совершения операции. И человек сам решает что вводить.
Crazybot
В моем банке есть платежи blik, позволяют пользоваться банкоматом без карты, с помощью интенет-банкинга и одноразовых кодов.
unwrecker
Лучше б изобрели клавиатуру для ввода пинкода непосредственно на карте.
Fagot63
Дорого/сложно/уже реализовано.
muzhig
apple pay / samsung pay? :)
KonstantinSoloviov
Магнитная полоса еще в ходу? Дикари-с!
Alexsandr_SE
Микрухи тоже подделывали. Точнее отклик от них.
Shyster
можно подробнее. Банковские карты не слышал чтоб подделывали. Даже SIM карты сейчас не клонируют.
Jesting
Не подскажешь — как подделать отклик от «микрухи» макированный 3DES ключом сгенерированным на сессию выведенный на ключе, который никогда не покидает «микруху» (читай не может быть скопирован).
Alexsandr_SE
Думаю вот так. https://habrahabr.ru/company/panda/blog/270231/ И это только начало подделок.
Jesting
Ну там всё это для SDA карты (карт со статической аутентификацией). Карты с DDA(динамической) такому не подвержены.
Alexsandr_SE
И для них придумают варианты. На каждые двери придумывают свой лом.
в указанном выше случае, если не ошибаюсь применяется off-line PIN. т.е. от банка информации нет, а банкомат/терминал проверят только отклик от чипа правильно/неправильно.
Jesting
В банкомате исключительно онлайн пин. Все современные карты поддерживают определенные криптографические протоколы. Безопасность этих протоколов обеспечивает безопасность данных и операций. Когда взломают 3DES, RSA тогда и можно будет говорить о потенциальных уязвимостях. Ну или другой способ — получить секреты карты путём анализа данных на ней, но в к эти данным возможен исключительно физический доступ, затрудненный опять же сложной защитой. Пока оборудование и усилие для клонирования одной карты значительно превышает возможный профит и не поддаётся масштабирования (т.е. лаборатория).
edogs
Jesting
1. Оффлайн пин в чиповых картах есть, но не во всех — зависит от карты.
2. В банкоматах используется только онлайн пин. Никакие оффлайновые способы аутентификации не используются. Это онлайн-онли девайс.
3. Проверочное значение пин-кода когда-то хранилось и на магнитной полосе, что позволяло проверить пин в оффлайне. Сейчас это не используется.
edogs
2) Не только. а) можно нагуглить про оффлайн пин в банкоматах, он таки и в банкоматах бывает. б) сами лично сталкивались умудрившись снять больше имеющегося, что при онлайн невозможно
Jesting
Ты несешь бред. Банкомат онлайн-онли девайс. Команда снятия наличных приходит с сервера. Расценивай это как тонкий клиент. Я работаю в этой индустрии более 10 лет. Поверь.
KonstantinSoloviov
А вот не скажите, бывают схемы работы, когда сумма остатка хранится на самой карте и решение о выдаче принимается без центра авторизации с проверкой пина в offline. Хотя в современных реалиях с повсеместным интернетом — это конечно экзотика.
Jesting
В банкоматах — нет. Они не имеют механизмов принятия решений.
Единственным источник каких-либо действий связанных с обслуживанием пользователя будь то подтверждение принятия наличных, выдача наличных или печать баланса, является Transaction reply содержащий код операции(печать, печать и выдача карты, выдача наличных печать и выдача карты, выдача наличных и печать — всего около 10 вариантов) и атрибуты транзакции(количество купюр и номера кассет, чековые данные, содержание экрана для показа пользователю и т.п.).
В принципе, в большинстве случаев, банкомат даже не знает сумму которую он выдаёт — ему поступает(в одном из полей), к примеру, строка 00010200 что означает выдать 1 купюру из второй кассеты и 2 купюры из третьей. Что в этих кассетах, даже если содержимое случайно перепутано, ему по-барабану(помните ситуации когда запрашивали 500 рублей а получали 5000). Единственное что может сделать банкомат самостоятельно — это зарубить невалидную карту на входе.
В пос-терминалах, однако, такая возможность существует:
В стандарте EMV есть понятие offline transaction.
Если терминал(online with offline capability) + карта поддерживают проведение платежей в оффлайн + сумма последовательных оффлайн транзакций не превышает определенного лимита + количество последовательных оффлайн транзакций не превышает лимита + некоторые параметры валюты могут быть и прочие мелочи(всё это решает карта у себя внутри) то такая операция возможна.
Дальше: если терминал аутентифицировал карту процедурами DDA/CDA (SDA уже не поддерживается почти нигде) и карта аутентифицировала картходера то операция вполне может быть проведена оффлайн.
Как это происходит(грубо):
Терминал собирает данные и шлёт на карту данные о транзакции и пожелание завершить транзакцию в оффлайн. Карта отвечает либо апрувом, либо деклайном либо пожеланием завершить транзакцию онлайн. Вместе с этим ответом как правило идут данные аутентифицирующие карту.
Лет 10 назад на Волге на прогулочных параходиках можно было встретить оффлайн терминалы — там это был единственный вариант ввиду отсутствия связи. Сейчас где не знаю. В самолетах 100% бывают, но там до сих пор много где магнитная полоса (наверное потому что там клиента точно можно идентифицировать по билету).
KonstantinSoloviov
Вы хорошо описали работу банкомата по стандартным протоколам и это его типовое использование, но не будем забывать, что внутри банкомата обычная писишка для которой можно написать собственную программу управления. Уверяю вас, что расширение функционала стандартного ПО отнюдь не редкость и в стандартном ПО предусмотрены специальные хуки для такого расширения.
Jesting
Эта «нередкость» возможно и встречается в 0.0001% случаев, но я лично не знаком с подобным.
Работал с Tellme, Kalignate, Agilis, Procash, Aptra т.е. 99% того что есть на рынке. Разумеется всё вышеперечисленное можно кастомизировать, причём достаточно сильно, но всё таки делать поддержку оффлайн снятия наличных никто никогда не станет. Обычно добавляют работу в новыми типами устройств, веб-экзиты, поддержку новых протоколов, но не опасный и бесполезный функционал.
Если Вы имеете какие-то конкретные контр примеры, я бы попросил привести их тут.
KonstantinSoloviov
Золотая корона
Jesting
Что золотая корона? Это платежная система, порядком забытая. Примеры банков, на банкоматах которых стоит ПО позволяющее снимать деньги в оффлайн приведите.
KonstantinSoloviov
В Росcии? В мире? Не знаю. Технически — это возможно сделать и было сделано.
Jesting
Где это было сделано? Приведите пример. Иначе этого не было. Я тоже могу сейчас написать банкоматное ПО которое выдаёт деньги сразу после того как карта была вставлена, и скажу что это было сделано. Но это не значит что это когда-либо где-то применялось. Ещё раз: 99.9% банкоматов — онлайн онли девайсы.
DMGarikk
В мире или в РФ?
Jesting
В мире. Может быть где-то, для каких то специализированных нужд, в месте где нет стабильного интернета (МКС например) стоит банкомат в ПО которого реализован подобный функционал. Но это не массовое решение. 100% что Вы его не встретите.
KonstantinSoloviov
Так как раз карты «Золотая корона» — чистый кошелек — лимит на самой карте. Терминалу нужно фактически выходить на связь только в случае переводов со банковского счета на кошелек на карте. В банке сумма на счете уменьшается на карте сумма на кошельке увеличивается. На банкомат ставилось спец ПО (что конечно сужало парк используемых банкоматов), мало того на ней и полосы не было — это к теме топика кстати. Как эта карта сейчас себя чувствует — не знаю. Понятно, что карта специфическая так, что путь развития пошел по пути кобренда с VISA и UnionPay кажется. И это не единственный из известных мне кошельковых проектов, правда единственный из известных и взлетевших.
KonstantinSoloviov
Что бы не было недопонимания: конечно банкомат работает с сетью тут и мониторинг и передача финансового статуса, но решение об авторизации может принимать и карта.
Jesting
Это совсем другое. Это доступ к оффлайн кошельку — к некой сущности специально созданной для доступа оффлайн.
.И я упомянул об этом выше в одном из сообщений:
Так то на emv-карте может быть много чего интересного — например приложение генератор одноразовых кодов для CPA операций, программы лояльности и многое многое другое.
Я говорю про обычное EMV CPA/ADVT/MCHIP приложение или магнитную полосу (Треки 1 и 2) — то с чем работают все банкоматы мира вне зависимости от приложения.
Jesting
CPA операций=CNP операций (Cardholder not present), ошибся слегка.
KonstantinSoloviov
а вместо ADVT очевидно имелось в виду VSDC ;)
да, emv на банкоматах — это онлайн
Jesting
Спасибо, не заметил — сейчас как раз ADVT в голове. Магнитная полоса тоже онлайн. О чём я и говорил.
DMGarikk
тут важно понимать что реалии пластиковых карт в РФ и в других странах мира несколько отличаются.
Jesting
Ды, ты прав!
У нас, как у региона(EMEA) где мошенничество по картам было очень сильно развито, процедура перехода на EMV прошла одной из самых первых в мире. Поэтому технический уровень специалистов и процессинговых центров очень сильно отличается от прочих регионов (В лучшую сторону).
edogs
Гугл и форум банки.ру поможет Вам найти информацию если Ваша агрессия обусловлена незнанием, а не желанием потроллить и ЧСВ.
Jesting
Мне уже как-то объяснили. Теперь знаю. Не подскажешь, что за банк, в банкомате которого было снятие, и картой какого банка+плат. системы ты тогда пользовался? Я если не прав готов принести извенения. Но я прав.
edogs
банкомат кредит-европа-банк.
карта тинькова — (виза или мастер сейчас не вспомнить).
VerdOrr
Скорее всего, технический овердрафт за счет комиссий при использовании «чужого» банкомата — т.е. не «сняли больше имеющегося», а «счет в минус ушел»
edogs
Нет, именно «снять больше имеющегося».
Комиссий за снятие у нас нет, да и сняли существенно больше чем могли бы быть вероятные комиссии.
При чем в смс уведомлениях снятие отобрализось именно как оффлайн операция спустя несколько дней.
Wan-Derer
Ворованными картами/данными могут воспользоваться не только на родине, но и в каких-то малоразвитых странах, где онлайн — редкость.
edogs
Первый момент это то, что даже карты имеющие чип — имеют магнитную полосу. Без нее чипованная карта в большинстве банкоматов не сработает. Так что в ходу, везде и еще долго будет.
Второй момент это законодательство. В россии даже CNP операции оспорить довольно затруднительно, «там» деньги без проблем возвратят даже если сняли по пину. Тут вопрос интересный что цивилизованнее — 100%-ная страховка от мошенничества с картами и слабая защита или же 0%-ная страховка и сильная защита.
Shyster
«что даже карты имеющие чип — имеют магнитную полосу.»
На полосе открытая информация и метка, что нужно использовать чип.
на сколько знаю, чипованные карты еще не подделывают. т. е. скимеры безсильны.
edogs
Чипы не подделывают. Но это и не надо.
Для отскимменой чипованной карты на основе данных ее магнитной полосы делается клон без чипа, а потом с использованием пин-кода снятого с пин-пада с карты снимаются деньги.
По большому счету когда Вы платите в магазине картой, если кто-то подсмотрел фио/дату выпуска/номер карты (или заснял одной из хд камер) и сумел увидеть ввод пин-кода (или заснял одной из хд камер, благо пин-пады в магазинах тоже не особо прячут) этого уже достаточно для изготовления клона с магнитной полосой. Даже скиммировать электронно ничего не надо.
Shyster
«Для отскимменой чипованной карты на основе данных ее магнитной полосы делается клон без чипа»
И толку? если на полосе только данные без возможности сделать транзакцию.
У меня ни разу не дало провести платеж без чипа. Есть старые банкоматы, они не принимают чипованные карты, хотя полоса как бы есть.
JediPhilosopher
А у меня вот давало, Visa Сбербанка. Я немного офигел когда увидел что оплата по полосе сработала. Так как точно помню что много лет назад когда я получил первую их карту, почти все продавцы сперва пробовали оплату по полосе и потом только вставляли чипом когда не срабатывало. И я думал что уже с тех времен магнитная полоса только для красоты. Ан нет. До сих пор кое-где работает.
edogs
Магнитная полоса всегда содержит данные карты, более того, если их там не окажется, то по стандарту и чип не должен приниматься.
Принимать или не принимать магнитную полосу вообще, принимать или не принимать магнитную полосу в случае наличия чипа — это зависит от настроек банкомата и настроек банка (если операция онлайн).
Norno
К сожалению сейчас не найду, но где-то на geektimes была статья о том как договариваются карта и пос-тернимал о том что они будут использовать: полоса или чип, без авторизации/подпись/пин-код,… если кратко, то у карты и пос-терминала имеются приоритеты используемых режимов, и они их сопоставляют, выбирая оптимальный.
a5b
Краткая https://geektimes.ru/post/240644/ 24 октября 2014 — "Когда запрашивается PIN-код при оплате?"
Про "CVM-лист (CVM – Cardholder Verification Method)" https://habrahabr.ru/post/244107/ 25 ноября 2014 — "PIN-код при оплате картой — точки над i" — "во время транзакции два CVM-листа (карты и терминала) сравниваются. Срабатывают только те методы проверки, которые совпадают в обоих листах"
Подробная https://habrahabr.ru/post/281438/ 12 апреля 2016 "Платежная EMV-карта. Механизмы обеспечения безопасности платежа" — "5. Безопасность EMV-транзакции"
electronus
Без магнитной полосы — жизнь есть. Я знаю о створках банкомата, который не пускает карту без полоски, но кто в здравом уме будет снимать наличность с кредитки в NA?
edogs
Потому что как Вы верно подметили у Вас на чипованной карте стоит «метка, что нужно использовать чип». Банкомат видит эту метку и требует вставить карту чипом.
Кардеры эту метку на карту не наносят, поэтому у них чип банкомат не требует.
EnigMan
Но банк-то знает, что карта выпущена с чипом, и по идее должен заблокировать такую транзакцию, нет? По крайней мере если транзакция осуществляется онлайн?
nlykl
А если терминал не умеет работать с чипами?
Jesting
То вся ответственность по подобной транзакции ложиться на плечи банка — возврат средств в пользу клиента будет безакцептным.
Maximuzzz
Зависит от «настроек» банка и терминала оплаты, для чипованных карт обычно, но не всегда, приоритет такой — чип, магнитная полоса с пин-кодом, магнитная полоса без пин-кода. И да, вы действительно во многих местах можете отказаться вводить код, для этого на терминале бывает специальная кнопочка. В этом случае придётся «по старинке» подписать чек, ну и в случае проблем с платежом будет сложнее его оспорить в банке.
Jesting
И банк в запросе транзакции получает трек2, отличающийся от оригинального. В этом случае транзакция тоже не пройдет. Трек2 копируют полностью, на карту без чипа или с испорченным чипом. В этом случае алгоритм
трек2->чип->fallback на магнитку по причине нерабочего чипа. Подозрений ноль.
nochkin
У меня на одной карте сдох чип и терминалы спокойно принимают «полоску».
На другой карте есть рабочий чип, но некоторые магазины имеют настройки, что принимают только «полоску» (хотя, само железо умеет читать чип). Продавцы говорят, что типа «не настроено ещё».
AFakeman
Только как снять магнитную полосу, если она при вставке в терминал на до конца входит, а часто даже едва ли наполовину?
Klenov_s
Там две копии данных на полосе как раз для случаев запихивания карты наполовину.
teifo
В связи с этим вопрос, почему блин эту инфу не прятать под сдвижной крышкой? Терминалу ваши ФИО и данные карты визуально не нужны, все же с чипа да магнитной полосы? Так зачем это палится открыто во все стороны?
DMGarikk
оператор должен иметь возможность убедится в подлинности карты, в т.ч. по надписям и кодам. (один из пунктов контроля — соответствие номера карты типу платёжной системы)
Хотя конечно когда сейчас стали массово отдавать терминал на откуп покупателю это не так актуально… но очень интересно как влияет на распространённость фродовых карт
electronus
Конкретно эти инженики принимают чиповую карту снизу, вставляется в них она неглубоко, по-этому если не елозить полосой сбоку, а вставить снизу, то скиммер получит только пин
Jesting
1. SDA-карты подделывают, но их уже не используют.
2. Если есть магнитная полоса и пин то можно испортив чип, провести транзакцию в режиме fall-back на тех устройствах где это разрешено. Ридер читает трек2, по сервис-коду определяет что карта имеет чип, контачит чип и в случае если чип не рабочий, fall-back не запрещен — переходит снова на магнитную полосу.
kaman
> магнитную полосу. Без нее чипованная карта в большинстве банкоматов не сработает
Т.е. если банкоматами не пользуюсь (пополнение по безналу, снимать нал с кредитки невыгодно), магнитную полосу можно счистить?
vkegdzoy
Я слышал совершенно противоположное, что сбербанк и прочие топ10 банков мгновенно отзывают перевод по требованию, рассказывали о мошенничестве на авито.
OnYourLips
Федеральный закон от 27.06.2011 N 161-ФЗ обязывает.
Уже несколько лет каражи с карт в России — проблема банков.
edogs
Это теория.
На практике соблюдение клиентом требований этого закона для получения компенсации проблематично (это не просто «пожаловался и вернули»).
Банки тоже крайне редко по нему что-то возвращают, отправляя в суд, где опять же не всегда клиент выигрывает (снятие по пину например практически проигрышное дело, т.к. «клиент обязан добросовестно себя вести и хранить тайну пина»).
DistortNeo
А насколько эта магнитная полоса устойчива к внешним воздействиям? И насколько это критично для работы карты? Просто у меня на основной карточке эта полоска стёрта до дыр, но это нисколько не мешает пользоваться банкоматами. А в терминалах карта сразу вставляется чипом.
pudovMaxim
Мне кажется все эти накладки с инженерной точки зрения относительно легко выявлять, но по какой-то причине банки не тратятся на это.
GennPen
На терминале в нескольких местах расставить датчики приближения, при одновременном срабатывании двух и более датчиков включать сигнализацию и/или блокировать терминал до ввода пин-кода продавца/оператора.
TimsTims
А если человек прикрывает терминал руками, чтобы не смотрели пинкод? Всё, незя?
pudovMaxim
Насмотрелся про ТРИЗ, попробую сымитировать: лучшая защита та, которой нет (в идеале — лучший терминал тот, которого нет).
Так вот, чтобы защита работала — надо сделать терминал полностью прозрачным. Каждый слой такого терминала будет виден и сразу заметны лишние детали.
TimsTims
Не согласен. Ну будет видно проводочки в терминале, а как понять — лишние ли они, если по цвету даже похожи? А еще у таких терминалов есть датчики вскрытия, насколько мне известно, и если они будут прозрачными, то вскрывать будет легче.
trapwalker
Тогда нужно. чтобы все терминалы были прозрачными, иначе неспециалист не поймёт должен именно этот быть таким или нет. Ну и временная это мера, опять же. Клавиатуру можно читать миниатюрной камерой или считывать инфракрасный тепловой след на кнопках, а данные с полосы со временем научатся читать с помощью наклейки размером с почтовую марку на внутренней стороне штатной щели.
ТРИЗ же уже подключили, и комплексное решение, в общем-то, есть. Это упрощенный отзыв транзакции банком, камера на банкомате, двухфакторная авторизация. Из сего этого самое главное — это отмена транзакций. Безопасность таких вещей должна быть проблемой банка, а не пользователя. Нельзя требовать от простого человека, извиняюсь, жопой чуять аутентичность сорта пластика и пропорции щели терминала.
dovzh
электросчетчики сейчас вовсю делают прозрачными, чтоб визуально было заметно вмешательство без рапломбировки/вскрытия
ploop
Ага, только «визуально» смотрит на них специалист, а не бабулька, которая пришла купить хлеба. Например я, айтишник и радиолюбитель, не увижу сходу, что там «что-то не так».
Neuromantix
А нельзя ли вообще сделать накладки бессмысленными? Например, сканеры отпечатков пальцев сейчас дешевы, встроить их в клавиатуру — если система распознает отпечатки (каждый раз отличные от других) — значит кнопок касается человек и можно проводить транзакцию. Правда, будут проблемы с перчатками. Ну или простой емкостный датчик на кнопках — накладка его заблокирует. Ну или еще можно что-то придумать.
Amihailov
Отпечатки все же дорого и сильно усложняют конструкцию, плюс кнопки надо будет держать в относительной чистоте. Ёмкостные датчики можно обмануть, если на обратную сторону кнопок накладки нанести материал, на который сработают датчики (как на перчатках, которые годятся для использования со смартфонами).
Банкам пока дешевле принимать эти риски, чем костылить. А со временем *смартфон*-пэи и отпечатки вместо пинов (в смартах и терминалах) решат эту проблему.
killik
3D-принтеры, способные подделать отпечаток пальца, сейчас тоже дешевы. А с учетом поголовной дактилоскопии и полнейшей незаинтересованностью спецслужб в безопасности баз данных с собранными отпечатками, ибо ответственности за утечку никакой, этот метод аутентификации надо признать безнадежно устаревшим.
chieftain_yu
Можно.
Но пин-код, если что, сбросить можно. А скомпрометированные отпечатки уже не переделаешь.
supernapalm
Сканеры-то дешевые, заменить ВСЕ уже имеющиеся по всему миру терминалы и банкоматы — вот что крайне дорого, особенно с учетом того что в каждой стране свои законы и все такое. Значит, нужна обратная совместимость, значит накладки будут работать.
electronus
Давно сделали. Просто есть жадные банки, не спешащие чиповать карты. Вот у меня 70% транзакций — paypass. Остальные 30% — чипом. За последние 3 года ни одной транзакции полосой
Saffron
А ведь есть очевидное решение проблемы. Каждый клиент должен носить собственный терминал, который по защищённому от MITM протоколу подключается к банкомату и имеет собственную клавиатуру для ввода пинкода. В принципе, можно усложнить банковские карты, добавив эти функции в них напрямую.
Amihailov
Вы только что описали Samsung-pay, apple-pay и подобные :)
Saffron
Я в курсе. Только у них внутри не слишком безопасная платформа. Лучше если бы банки целенправленно выпускали девайс, который ничего кроме банковских операций не умеет делать. И заодно несли всю ответственность за всякие вирусы, проникнувшие на подобные устройства.
Amihailov
Это дорого и не удобно. Карта со всей полиграфией стоит 2-3 бакса, а описываемое вами устройство от 10-15.
А что не так с безопасностью Apple Pay?
JediPhilosopher
Так банковская карта по сути и так уже мини-компьютер, который наружу выдает шифрованные данные и цифровую подпись. Ключи при этом есть у карты и банка изначально, перехватить их не получится. Все что должен сделать терминал — это упаковать данные в нужный формат и отправить в процессинговый центр. Даже ПИН проверяется самой картой в оффлайне (ну это один из возможных вариантов, но наиболее предпочтительный и распространенный).
Поэтому транзакции по чипу не подделать — злоумышленник не сможет вычислить правильную подпись.
Осталось только избавиться от пережитков вроде магнитной полосы, которые все никак не умрут.
iShatokhin
Сейчас карты научились генерировать одноразовые коды для интернет-покупок сами, интересно, а почему не делать одноразовые пины также?
dmitry_ch
Круто! Где и как такую получить?
iShatokhin
Такую Авангард выдает, остальные банки не знаю.
AVI-crak
Сейчас в терминалы устанавливают качественные матрицы, но софт остаётся старым. Нужно просто показывать рекламное видео самого терминала. Не гипотетического, а именно той самой марки.
Когда человек видит терминал в ролике и в реале, накладка (если таковая имеется) — видна сразу.
kurtov
У меня есть две карты двух банков, у которых в мобильном приложении есть функция защиты. По умолчанию карта заблокирована. Если нужно снять или оплатить, я должен в приложении указать максимальную сумму, кол-во транзакций и временное окно. Однако возникают сложности с автоплатежами, но для этого у меня другая карта.
Skerrigan
Очень круто. А если не секрет, что за банки такие продвинутые?
kurtov
Молдавские банки: Victoria Bank и MoldIndCon Bank
webmasterx
это круто, вот только вчера меня подвела более простая защита — изменение месячного лимита в личном кабинете, на самом деле не происходило, и я не смог оплатить покупку. Банк сказал что проблема повсместная, и ее решают
DistortNeo
И получаем стандартный дедлок. Карта не работает, потому что нет связи, а нет связи, потому что нельзя оплатить. Особенно актуально при поездках за границу.
pnetmon
Большинство и не выезжает.
ошибся
DMGarikk
но из тех кто выезжает, пользуются картой не только для похода в банкомат — подавляющее большинство.
kurtov
Я думаю это лучше, чем «деньги мошенники сняли, в банк позвонить не можем, потому что денег оплатить нет». А вообще при должном планировании ни разу не возникало проблем. В наличности всегда какая то необходимая сумма. Пару раз телефон садился и я просто открывал окно на 2-3 транзакции на пару сотен долларов на несколько часов.
«нет связи» это по моему мнению не аргумент, сейчас гораздо сложнее найти банкомат, чем бесплатный wifi.
dmitry_ch
Пришла мысль: если торренты запрещают на том основании, что через них могут скачать якобы «пиратский» контент, то здесь прямо напрашивается рекомендация госорганам запретить технику Самсунг, чтобы злоумышленники не могли делать скиммеры.
Шутка, конечно, но оцените идентичность логики!
KonstantinSoloviov
1. Банкомат считывает маркер на конце полосы и открывает карт ридер (именно по этому нельзя вставить карту другой стороной) — это поведение по умолчанию, но может быть изменено настройками ПО банкомата
2. Терминал считывает полосу на которой записан сервисный код и если он указывает, что карты чиповая: банкомат — заталкивает карты дальше в чип ридер, терминал — выводит на экран «воспользуетесь чип ридером»
3. Чип инициализируется и читается номер карты, номер карты прочитанный с чипа вовсе не обязан совпадать с номер карты на полосе хотя бы потому что карта может изображать несколько карт с разными номерами (несколько платежных приложений) мало того витали идеи вообще отказаться от записи настоящего номера карту на полосу, а забивать его нулями
Все это поведение регулируется правилами платежных систем и естественно может быть изменено сообразно им.
Перейти полностью на чип можно:
4. Перестав использовать карты без чипа — и тут смешно то что % карт с полосой велик именно в США, где и издаются/меняются правила основных ПС — VISA, MCI
5. Перестав использовать полосу в терминалах, что очевидно можно сделать только как все терминалы будут работать с чиповыми картами и после того как все карты станут чиповыми
Итого — проблема в огромной инерции системы.
Это же надо принимать волевое решение по разворачиванию этой махины в нужном направлении, как было сделано, например, во Франции — где все терминалы уже несколько лет принимают только чиповые карты.
Но видимо той же VISA и MCI куда интереснее проталкивать другие модные идеи на которых можно поднять деньжат.
У нас, кстати, заставить всех использовать чип — вполне возможно, опыт есть, вспомнить те же кассовые аппараты. Найдутся люди кому это выгодно и все вперед под козырек. :)
Шаги в этом направлении уже делаются — в ПС МИР — все карты только чиповые.
teifo
дел
Wolframium13
Никогда не понимал инерции этой системы, если карты меняются регулярно по установленному сроку. Запретить выпуск нечипованных карт — через n лет у нас на руках только чипованные карты.
DMGarikk
А кто должен «запретить выпуск»? Это у нас мановением руки регулятора весь бизнес строем идёт покупать новые ККМ, а у них я боюсь все строем пойдут в суд с исками за навязывание функционала и злоупотребление монополией (и ещё и сговором всех МПС которые запретили старые карты)
Wolframium13
Да ладно, у них запретов в сфере безопасности дофига и больше.
А ККМ не не обязательно заменять вот здесь и сейчас, а менять по мере выхода из строя и при закупке новых. Старые ККМ прекрасно работают с чипованными картами.
DMGarikk
Я не про POS терминалы, а ККМ, которые согласно нового закона с 18 года должны уметь передавать инфу в интернет. У нас само собой разумюещееся такие решения регуляторов.
ploop
DMGarikk
ну там всётаки есть какието сроки после которых «ну всё теперь окончательно всё». старые ККМ то ещё можно использовать… а будет время после которого нельзя
DMGarikk
ну там всётаки есть какието сроки после которых «ну всё теперь окончательно всё». старые ККМ то ещё можно использовать… а будет время после которого нельзя
Fagot63
Те кто зарегистрировал фирму до начала 2017 могут использовать старые ККМ до июня. Все зарегистрировавшиеся в этом году обязаны использовать онлайн ККМ. Хотя у нас как обычно только сейчас начали думать, что некоторым оно (онлайн ККМ) в общем то и не надо. Пример ИП с ЕНВД, ККМ был нужен только для себя, для удобства подсчета. А теперь придется покупать эти новые кассы.
Fagot63
Извините, немного промахнулся по срокам. Под спойлером подробно, кому надо и когда
Онлайн-кассу планируется внедрить всем предпринимателям и организациям, производящим наличные расчеты и расчеты картами. В том числе онлайн-касса будет обязательна к применению ИП и организациями, осуществляющими интернет-торговлю, а также торговлю через торговые автоматы.
Исключения в данном законе также предусмотрены. Не применять онлайн-ККМ смогут организации и ИП, перечисленные в п. 2, 8 ст. 2 Федерального закона № 54-ФЗ от 22 мая 2003 г. От применения ККМ освобождаются следующие виды деятельности:
– продажа газет и журналов, а также сопутствующих товаров в газетно-журнальных киосках при условии, что доля продажи газет и журналов в их товарообороте составляет не менее 50 процентов товарооборота и ассортимент сопутствующих товаров утвержден органом исполнительной власти субъекта РФ;
– продажа ценных бумаг;
– продажа водителем или кондуктором в салоне транспортного средства проездных документов (билетов) и талонов для проезда в общественном транспорте;
– обеспечение питанием обучающихся и работников образовательных организаций, реализующих основные общеобразовательные программы, во время учебных занятий;
– торговля на розничных рынках, ярмарках, в выставочных комплексах, а также на других территориях, отведенных для осуществления торговли, за исключением находящихся в этих местах торговли магазинов, павильонов, киосков, палаток, автолавок, автомагазинов, автофургонов, помещений контейнерного типа и других аналогично обустроенных и обеспечивающих показ и сохранность товара торговых мест (помещений и автотранспортных средств, в т. ч. прицепов и полуприцепов), открытых прилавков внутри крытых рыночных помещений при торговле непродовольственными товарами, кроме торговли непродовольственными товарами, которые определены в перечне, утвержденном Правительством РФ;
– разносная торговля продовольственными и непродовольственными товарами (за исключением технически сложных товаров и продовольственных товаров, требующих определенных условий хранения и продажи) в пассажирских вагонах поездов, с ручных тележек, велосипедов, корзин, лотков (в т. ч. защищенных от атмосферных осадков каркасами, обтянутыми полимерной пленкой, парусиной, брезентом);
– торговля в киосках мороженым, безалкогольными напитками в розлив;
– торговля из автоцистерн квасом, молоком, растительным маслом, живой рыбой, керосином, сезонная торговля вразвал овощами, в том числе картофелем, фруктами и бахчевыми культурами;
– прием от населения стеклопосуды и утильсырья, за исключением металлолома, драгоценных металлов и драгоценных камней;
– ремонт и окраска обуви;
– изготовление и ремонт металлической галантереи и ключей;
– присмотр и уход за детьми, больными, престарелыми и инвалидами;
– реализация изготовителем изделий народных художественных промыслов;
– вспашка огородов и распиловка дров;
– услуги носильщиков на ж/д вокзалах, автовокзалах, аэровокзалах, в аэропортах, морских, речных портах;
– сдача ИП в аренду (наем) жилых помещений, принадлежащих этому ИП на праве собственности.
Также освобождение от обязанности по применению ККТ предусмотрено в общем случае:
– для организаций (ИП), расположенных в отдаленных или труднодоступных местностях, указанных в перечне, утвержденном региональными властями (п. 3 ст. 2 Федерального закона № 54-ФЗ от 22 мая 2003 г., письмо Минфина России № 03-01-15/51124 от 1 сентября 2016 г.). При этом такие налогоплательщики должны будут применять обычную ККТ без передачи электронных фискальных данных в налоговые инспекции. В такой ситуации передавать покупателю (по его просьбе) чек (БСО) в электронной форме не обязательно, если он распечатан в бумажном виде с применением ККТ (п. 7 ст. 2 Федерального закона № 54-ФЗ от 22 мая 2003 г.);
– для аптечных организаций, которые находятся в фельдшерских и фельдшерско-акушерских пунктах, расположенных в сельских населенных пунктах, и обособленных подразделений медицинских организаций, имеющих лицензию на фармацевтическую деятельность (амбулаторий, фельдшерских и фельдшерско-акушерских пунктов, центров (отделений) общей врачебной (семейной) практики), расположенных в сельских населенных пунктах, в которых отсутствуют аптечные организации;
– при оказании услуг по проведению религиозных обрядов и церемоний, а также при реализации предметов религиозного культа и религиозной литературы в культовых зданиях и сооружениях и на относящихся к ним территориях, в иных местах, предоставленных религиозным организациям для этих целей, в учреждениях и на предприятиях религиозных организаций, зарегистрированных в порядке, установленном законодательством РФ.
Подтверждение: п. 3-6 ст. 2 Федерального закона № 54-ФЗ от 22 мая 2003 г.
3.С какого момента обязательно перейти на онлайн-кассу?
Конечно, на текущий момент не все обязаны заменить и приобрести ККМ. Сроки перехода на онлайн-кассы предусмотрены законом следующие:
– до 1 февраля 2017 года – наряду с применением прежнего порядка организации (ИП) могут в добровольном порядке переходить на применение онлайн-ККТ и заключать договоры с операторами передачи фискальных данных;
– с 1 февраля 2017 года не допускается перерегистрация и регистрация ККТ, не обеспечивающей передачу фискальных данных через оператора (за исключением случая, когда организация (ИП) работает в отдаленной местности, где разрешено применение обычной ККТ без передачи электронных фискальных данных в налоговые инспекции);
– с 1 июля 2017 года запрещается использование старой ККТ (без доработки (модернизации) в соответствии с новыми условиями использования ККТ), зарегистрированной до 1 февраля 2017 года.
– с 1 января 2018 года электронные чеки станут обязательными к использованию.
Подтверждение: ч. 4-6 ст. 7 Федерального закона № 290-ФЗ от 3 июля 2016 г., письмо Минфина России № 03-01-12/ВН-38831 от 1 сентября 2016 г.
Для некоторых организаций и ИП предусмотрены переходные сроки, освобождающие пока от применения онлайн-кассы. В частности, до 1 июля 2018 года смогут не применять ККТ:
– ИП на ПСН, организации (ИП) на ЕНВД – если будут выдавать по требованию покупателя (клиента) документ (товарный чек, квитанцию или другой документ), подтверждающий прием денежных средств за соответствующий товар (работу, услугу);
– организации (ИП), оказывающие услуги населению, – если будут выдавать БСО в прежнем порядке;
– организации (ИП), у которых обязанность применять ККТ возникнет только с введением новой редакции закона;
– организации (ИП), которые ведут торговлю с использованием торговых автоматов.
Jesting
А что делать с девайсами, с софтом. С сертификацией всего этого добра? Там процесс архисложный.
Wolframium13
Что, у них вообще нет карт с чипами, что сие надо с нуля сертифицировать?
Pentoxide
Индийские банкоматы плюют на это и работают только по магнитной полосе.
KonstantinSoloviov
Любые терминалы не работающие с чипом используют полосу
Pentoxide
Терминалы понятно, я имел ввиду банкоматы.
KonstantinSoloviov
А! Ну, это терминологическое недопонимание: все это терминалы и банкоматы (они же ATM — Automated teller machine) и те что в обывательском смысле терминалы это POS-терминалы (Point of service).
Pentoxide
Ясно, спасибо за разъяснение.
VerdOrr
Point Of Sale, извините
KonstantinSoloviov
Да. Исторически или если хотите канонически конечно «Point Of Sale», но в документации МПСов используется и «Point Of Serviсe» — что, кстати, больше соответствует действильности.
vconst
Интересно, а с бесконтактными картами скиммеры работают?
KonstantinSoloviov
Перехватить обмен терминал-бесконтактная карта можно хотя это и не просто, но в таких операциях используются одноразовые данные.
vconst
Значит бесконтактные карты — безопаснее, это есть хорошо.
KonstantinSoloviov
Ну, эт как посмотреть — номер карты там честный летает, дата истечения тоже — довольно ценные данные, например, для совершения интернет платежей (не везде конечно) не хватает всего ничего — трех цифр CVС2. Что бы и номер карты не летал придумали всякие ApplePay/SumsungPay и т.п. там вместо него летает токен.
vconst
Но вообще — есть ли скиммеры, перехватывающие бесконтактные карты? Или пока все по старинке работают?
Fagot63
Если кто то и знает, то они молчат. Причины я думаю понимаете.
vconst
Ну безопасники то никогда не молчат о скиммерах, на каждом углу про них кричать готовы. Так что, если бы им попался такой скиммер — это было бы во всех профильных новостях.
chieftain_yu
Ажиотаж вокруг скиммеров связан с магнитной полосой — использование чисто «полосной» аутентификации по полосе и пину позволяет легко делать дубликаты, соскиммировав данные.
Чипы и бесконтактка в этом плане защищеннее — и с их подделкой все намного тяжелее. Либо переводить в бесчиповые (но тогда из перехваченного обмена надо вытащить данные карты, что, я подозреваю, нетривиально), либо полностью дублировать (что еще менее тривиально).
И зачем брать на себя лишнюю работу, если текущие скиммеры неплохо работают?
vconst
Значит чиповая карта и бесконтактная — вполне себе защищена от большинства скиммеров?
chieftain_yu
Если их не совать туда, где можно прочитать запись на полосе — да, защищеннее.
Если совать — увы, те же записи на полосе снимаются ровно теми же обычными скиммерами.
Поэтому создавать продвинутые скиммеры именно для чиповых/бесконтактных карт — бессмысленно. Старые, намного более дешевые, методы работают — зачем платить больше?
vconst
Но разве на полосе не записано, что это чипованная карта и полоса для транзакций не используется? Выходит, что бесконтактные платежи, особенно через телефонные приложения — самые безопасные?
chieftain_yu
Вы приходите в банкомат.
Вставляете карту.
Банкомат на карте читает номер вашей карты и метку, требуется ли авторизация через чип.
При загрузке карты в банкомат скиммер сосканировал номер вашей карты, а камерой считали пин.
Злоумышленник делает карту, аналогичную вашей, но без метки «требовать чиповую авторизацию» на магнитной ленте. И приходит в банкомат. И тот работает, свято уверенный, что чип проверять — не требуется. Бинго!
Если карту никуда не втыкать вообще, а хранить в тумбочке — скиммеры ей будут не страшны.
Но если вы используете бесконтактные платежи, там могут быть иные угрозы, которые к скиммерам отношения не имеют. Если вы платите через телефонные приложения — там еще пучок угроз возникает, которым бесконтактные карты также подвержены. Если вы привязываете карту к чему-то — вы получаете новую пачку угроз. Надо смотреть ваш сценарий использования карт — и смотреть именно ваши потенциальные проблемы.
То, что автомобили никогда не входят в штопор, не делает их более безопасным транспортом, чем самолеты — у них просто разные типовые сценарии катастроф.
KonstantinSoloviov
>Злоумышленник делает карту, аналогичную вашей, но без метки «требовать чиповую авторизацию» на магнитной ленте.
Неа, данные на полосе подписаны, подпись на той же полосе. Так что можно только полную копию сделать вместе с меткой что карта чиповая.
ploop
Но тогда копию можно будет использовать на терминалах, не поддерживающих чип, просто по магнитной полосе? Правильно понимаю?
KonstantinSoloviov
Правильно, но к терминалу прилагается кассир, который эту карту должен прокатать. А он должен действовать согласно инструкции — например удивиться что номер карты не самой карте не такой как на полосе или что она вообще какая-то странная — белая какая-то :)
chieftain_yu
Хм. Не знал. думал, там подписи нет.
Но тогда для использования можно просто искать банкомат или торговую точку, которые не умеют работать с чипом.
vconst
Насколько я в курсе, если транзакция чипованной картой проведена только по магнитной полосе — то ее на порядки проще оспорить.
А какие угрозы есть для бесконтактной оплаты через банкомат или терминал? Недавно обсуждали, насколько это сложно — получить в распоряжение терминал бесконтактной оплаты и вывести через него деньги.
chieftain_yu
Ну например — если сделать пару «считыватель — карта», которые тупо передают в обе стороны по собственному радиоканалу любой трафик (играя роль «удлиннителя») — можно этой новой картой расплачиваться за небольшие покупки, помещая считыватель возле ничего не подозревающего владельца бесконтактной карты.
vconst
Тогда «чехол фарадея».
vconst
Еще вопрос назрел.
Скиммер и «удлинители» NFC — это все дорогое и штучное оборудование, без большой маржи его и делать и покупать нерентабельно. Так имеет ли смысл париться на сет бесконтактной карты и этого удлинителя, если без пин-кода можно покупать только на кассах и только всякую мелочь в пределах 1000 рублей /*допустим — такой лимит*/? Мне кажется — не стоит овчинка выделенки.
chieftain_yu
Смотрите — риск (причем — негативный) есть.
И вы можете его:
а) игнорировать (забить болт и считать незначимым),
б) избегать — отказаться от использования уязвимых карт,
в) передать — навесить компенсацию возможного ущерба на кого-то другого, например, застраховать такое событие,
г) обработать — предпринять какие-то меры по снижению риска — например, держать на уязвимой карте одну копейку, пополняя ее перед самой транзакцией и удаляя излишек после транзакции.
Как вы поступаете с каждым конкретным риском — это дело вашего вкуса. Если вы считаете, что овчинка выделки не стоит — идите по варианту а).
vconst
Это все понятно, но вопрос был другой — будут ли кардеры морочиться с удлинителем для бесконтактной карты, если без пина там можно только покупать через кассу и не дороже 1000-1500?
chieftain_yu
Если все понятно (в частности — что именно вы должны оценивать, актуален ли вам этот риск), то откуда тогда возник этот вопрос?
Я не знаю ни одного достоверного кардера, так что их спросить я не могу.
chieftain_yu
И я пока не слышал про бесконтактные банкоматы. Они обычно предполагают все же заглатывание карты целиком.
vconst
Но терминалы есть, на кассах, в автоматах метро и тп.
Pentoxide
Видел несколько раз банкомат с логотипом пейпасс и местом куда прикладывать карту, но т.к. у меня paypass поломался — не удалось попробовать. Банкомат от московского кредитного банка кажется был, не помню точно.
Alexeyslav
Тут надо заметить, что банк может просто не подтверждать операции по магнитной полосе по желанию держателя карты. т.е. будет облом. Но и вы сами не сможете оплатить в местах где оплата проходит только по магнитной полосе. Т.е. отключив операции по магнитной полосе для своей карты скиммеры будут бессильны. Но остаётся другая проблема — онлайн платежи по реквизитам карты, зная пин-код и то что записано на магнитной полосе злоумышленники могут расплачиваться в интернете, потом морока с возвратом средств… или опять же отключить возможность оплаты с данной карты через интернет.
KonstantinSoloviov
Не совсем так для интернет платежей пин-код не используектся — нужен либо код CVC2 (а его нет на полосе, он печатается на пластике) либо, например, подтвержение одноразовым паролем, который приходит по sms.
DistortNeo
А ещё нужна сооветствующая политика банка. Существуют сайты, где оплата проходит и без указания трёхзначного кода, и без смс, и даже сайты, где не нужно вводить имя — только номер карты и срок действия.
edogs
На самом деле зависит от политики магазина (или посредника если магазин принимает через посредника), т.е. мерчанта.
Именно мерчант решает сколько корректных данных ему нужно запросить у пользователя что бы провести платеж. По минималке достаточно номера карты и всё.
Понятно, что чем меньше данных мерчант требует, тем выше для него риски опротестовывания платежа, но тут все зависит от клиентоориентированности мечарнта.
На амазоне, например, раньше было достаточно номера карты, можно было даже со сроком действия ошибиться, о цвц даже не упоминалось (сейчас не знаем как, давно не пользовались). Платеж в случае чего возвращал сам амазон по первому же обращению в службу поддержки, даже в банк можно было не обращаться.
ФИО кстати, как и биллинг адрес, в 99% случаев не проверяется вообще, а если банк и мерчант в принципиально разных странах (сша-россия, сша-евросоюз, китай-япония) то не могут быть проверены в принципе (из-за ограничений на передачу персональных данных).
Alexeyslav
Смысла перехватывать карту нет, там данные зашифрованы и ничего не дадут для проведения другой операции по карте. Но тут делают по другому — организуют радиоудлинитель и расплачиваются реальной картой которая находится у владельца в кармане. Ньюансы конечно есть в зависимости от настроек карты и лимитов сумм для снятия без подтверждения/пин-кода и т.д.
vconst
Ха! Круто! Примерно также угоняют машины, которые требуют брелок в салоне.
Но тогда от этого можно защититься «чехлом фарадея», элементарнейшее устройство. Причем, некоторые карты не читаются, если в стопке есть другие NFC и если одной стороной карта прижата к металлической пластине.
zedalert
Почему нельзя сделать банкоматы с монолитным дизайном? Где только прорези под экран, кнопки и щель для карты, чтобы не приходилось ломать голову, а накладка ли это, или такой долбанутый дизайнерский ход.
chieftain_yu
Потому что в щель для карты можно вставить тонкий скиммер таким образом, что при беглом осмотре его видно не будет.
А вот почему нельзя на экран транслировать эталонный вид конкретного банкомата вместе со средствами противодействия скиммерам (накладки на картоприемную щель, клавиатуру и так далее) — не знаю.
Fagot63
Большинство банкоматов которыми я пользуюсь имеют две камеры. Одна смотрит на клиента, вторая на клавиатуру. Написать нейросеть которая бы била тревогу при нестандартных действиях с банкоматом. Имхо.
chieftain_yu
Пока затраты на создание такой сети будут выше, чем потери банков (а собственно потери от такого рода криминальных действий для банков не слишком велики, как я полагаю) — не будет этого.
Ну и опять же — где-то одна камера, где-то две. А вторая — точно банком поставлена, а не для подглядывания пин-кода?
А чего это вот этот гражданин клавиатуру пакетом прикрывает? Это он не собирается пин палить или накладку устанавливает под прикрытием пакета?
Fagot63
Точно банком. Нужна для спорных случаев. И может быть как раз с ее помощью выяснить лицо поставившее скриммер.
chieftain_yu
Между тезисами «на ряд банкоматов две камеры поставлены банком-владельцем» и «на любом банкомате, где видны две камеры, обе камеры поставлены банком-владельцем» есть существенная разница.
DMGarikk
Это крайне сложно в организационном плане, вплоть до того что при изменении антискиммера правильную картинку могут очень долго не поставить.
более того я уже такое видел, когда на картинке вообще банкомат другого типа
CrazyRoot
Потому, что думать не умеют.
Поставить что нить типа «гильотины» которая каждый раз после возврата карты проходит по щели и по «считывателю» и убирает все лишнее, можно было тогда когда только появилась проблема со скиммерами.