12 августа, 2013 
puma 
Моя чипованная карта Яндекс Денег
Очень сильно я озадачился безопасностью своих карточек. За семь лет использования у меня ни разу с них ничего не украли, пользуюсь я ими довольно часто, много плачу, много снимаю в банкоматах. В целом карточки довольно уязвимы и я потратил 4 дня для досконального исследования всех уязвимостей и способов защиты.
Никогда не возите все деньги наличными, это идиотизм, а я его не люблю. Кстати только русские возят все деньги наликом, ни разу не видел иностранца с большим количеством наличности.
Сразу же скажу магнитную полосу с карты очень легко скопировать, это секундное дело что в банкомете, что при расплате картой в офлайн. Очень легко узнать пинкод посмотрев запись с камеры, когда вы платите ею или же снимаете деньги в банкомате. Очень легко запомнить все ваши данные карты и cvv код для использования вашей карты в интернете.
Даже чиповая карта имеет магнитную полосу и может спокойно проводить по ней транзакции. Сложно и не выгодно копировать чипы, их копирование требует довольно много времени по сравнению с секундой копирования магнитной полосы, оборудование для их копирования довольно дорого, чипы последнего поколения, которые выдавались с 2011 года пока не научились копировать.
Но карты по прежнему являются более надежным средством для работы с деньгами чем наличность и следую определенным правилам, которые я изложу ниже вы сможете защититься на 99 процентов от пропажи средств с карты.
Рекомендую также прочитать мою статью про карты.
- Для оффлайн платежей используйте только чипованые карты, они более защищены и можно быть уверенным, что их копировать не будут, если у вас карта выпущена до 2011 года, перевыпустите её, новые чипы пока не научились копировать.
- Сломайте магнитную ленту на своих чипованных картах, в подавляющем большинстве случаев вы можете провести операцию с чипом по пинкоду. На случай необходимости провести транзакцию по магнитной ленте носите с собой карту с магнитной лентой с небольшой суммой на карте. Магнитную ленту надо ломать мощным неодимовым магнитом, поводя пару минут магнитом по карте. Неодимовый магнит можно взять из неокуба. Я сломал магнитную карту на своей основной карты для оплаты, пока не проверил насколько она сломана, чиповые операции проходят нормально, в банкомате тоже все работает, но есть пара мест где проводят платежи только по магнитной полосе, надеюсь до них скоро доберусь, чтобы наверняка убедиться в поломке магнитной полосы. Заходил в два места, где оплата только по магнитной полосе и она не работает, вуаля сломанная магнитная полоса работает, вернее не работает. Протестировал карты со сломанными магнитными полосами в банкоматах. Если карту вставлять в щель медленно то шторка не открывается и карту вставить нельзя. Вставляя карту резким движением шторка открывается. Видимо защита от засовывания не карт. Банкоматы не забирают карту, но и не дают по ней сделать операции, пин код не запрашивают. Два банкомата выдало, что карта не читается, альфовский банкомат с альфовской картой выдал, что не смог связаться с банком эмитентом карты.
- Сотрите на всех офлайновых картах cvv код(это три последних цифры с обратной стороны карты в поле для росписи). Сохраните их где нибудь в интернете если вам необходимо будет провести оплату с cvv в интернете. Я удалил cvv код с помощью обычного канцелярского ножа, карту везде принимают в том числе и в банкомате.
- Если банк дает возможность поставить лимиты на карту ставьте. Такая возможность есть например в Тинькове, но нет в Альфе(уже есть и на самом деле появилось много где уже).
- Когда вы вставляете карту в банкомат смотрите чтобы там не было лишних нашлепок, это стандартный путь мошенников, поставить на щель приема карт сканер магнитной полосы, и камеру сзади повесить, чтобы смотреть как вы вводите пин код.
- Когда вы вводите пинкод в терминале или банкомате прикрывайте сверху его рукой, во первых никто из посторонних не увидит ваш пинкод, во вторых если даже установлена видео камера для сканирования пинкодов на записи не будет вашего пинкода.
- Напишите на карте 3 случайных пинкода. Если вы потеряли или у вас украли карту, то злоумышленник наверняка подумает, что на карте реальный пинкод и попробует его ввести в банкомате, после третьей попытки карта заблокируется.
- Никогда не пишите реальный пинкод на самой карте.
- Если вы платите в интернете на сайте где можно оплатить paypal, привяжите карту к paypal и платите paypal. В paypal отлично отработанная процедура диспута и отзыва платежей онлайн и это реально работает и это реально круто защищает ваши платежи.
- Если paypal на сайте нет, выпускайте виртуальные карты с лимитом. В альфе стоит 59 рублей. Выпуск виртуальных карт есть почти у всех, у qiwi, альфы яндекс денег, webmoney, Тиньков.
- Если вы все таки платите в интернете не paypal и не виртуальной картой, по подключайте для всех карт 3-D Secure от Visa и MasterCard SecureCode и при оплате в интернете почти всегда дополнительно запрашивается код приходящий смской на мой номер телефона. Очень полезно для защиты карт от несанкционированных платежей в интернете.
- Для всех карт подключайте смс информирование о всех транзакциях. В альфе стоит конские 59 рублей в месяц, но безопасность того стоит.
- Если у вас украли или вы потеряли карту всегда её блокируйте, даже если вам её вернули карта все равно скомпроментирована и вы должны её заблокировать и никогда её не пользоваться.
- Есть ещё один способ с лимитами, поставить лимит только один рубль и менять его в интернет банке перед снятием на нужную сумму, а после снятия снова ставить один рубль.
- Такой же совет держать деньги не на счету карты. а на другом и переводить только перед снятием денег на счет карты.
- Если есть возможность в банке заблокировать интернет оплаты с карты с которых вы не платите в интернете сделайте это.
- Когда вы вводите пинкод, прикоснитесь к нескольким другим цифровым кнопкам — это не позволит получить ваш пинкод используя тепловой сканер и видеозапись.
- Перед тем как засунуть карту проверьте картоприемник, легким движением руки попробуйте его оторвать, если злоумышленник поставил картридер то он легко оторвется, посмотрите в его щель нет ли там посторонних вещей или проводков.
- Перед вводом пинкода осмотрите и ощупайте клавиатуру банкомата, попробуйте её оторвать, клавиатуру должна соответствовать банкомату, если банкомат новый то и клава новая, если нет то клава потертая. Злоумышленники любят использовать клавиатурные накладки для кражи паролей.
Если вы знаете ещё какие то методы защиты напишите в комментариях.
Если у вас есть вопросы смело их задавайте.
Рекомендую для ознакомления мои темы на хабре
Можно ли скопировать чипованную карту http://habrahabr.ru/qa/44306/
Рекуррентные платежи по картам http://habrahabr.ru/qa/44344/
Если вы клиент альфа банка и чем то не довольны оставьте комментарий здесь http://habrahabr.ru/qa/44462/
Posted in 
Tags: 
Снимать деньги лучше всего в банкоматах, которые стоят в помещениях, а не на улицах.
Ровным счетом не дает никакой защиты, мелкую камеру поставить там зачастую проще, а сканер мелкий и легко ставится везде.
В самом банке наверное надёжнее будет?
CSV код реально можно стирать на карте? Может проще заклеить чёрным скотчем например?
Что будет надежнее? Банкоматы там точно такие же. Если снимать через оператора, то оператор видит все ваши данные на карте.
Как показала практика можно стирать, что мне мешает отклеить ваш черный скотч и даже приклеить его обратно?
Ну банкоматы в банке вроде как под присмотром охраны (если конечно это не их рук дело)
А по скотчу согласен, подотру тогда у себя тоже 🙂
Ну под присмотром, но что мешает мне поставить незаметный сканер на него, все таки я закрываю всем телом обзор охраннику и смотрит от на банкоматы не особо часто. Надежда на это похожа скорее на удачу чем на верный способ защиты. В целом я часто снимаю деньги в банке и часто меняю банкоматы с одного на другой и часто вижу пинкоды людей. Ничто не мешает мне прийти, снять деньги поставить сканер, пойти работать со вторым банкоматом рядом, тупо запоминать пингкоды людей и потом снять свой же сканер.
Это ж каким нужно быть упоротым, чтобы переться ставить «закладки» в торговые центры, а уж тем более в банки, где есть : 1) Охранники. Я работаю в банке, когда наши приезжают ремонтировать АТМ, охрана ТЦ в курсе чей это банкомат и кто приедет и даже паспорта спрашивают. 2) Все АТМ, все входы и выходы под камерами видеонаблюдения. На кой фиг так светиться? 3) Да и попросту тьма проходящего народа, которые тоже часто обращаются к АТМ.
Зачееем? Если есть тьма АТМ на улице, без охраны, без наблюдения и с возможностью круглосуточного доступа???
Тогда зачем так просто и не безопасно всё реализовано, ведь существует защита ещё через смс например, а телефон в наши дни есть практически у каждого.
И часто платя картой у вас используется защита по телефону? Я что то ни разу о таком не слышал, а получить смску что у меня с карты сняли все деньги не самая веселая защита.
На карте сбербанка у меня стоит защита через смс, но она для банкомата не работает, это я и имел ввиду.
Приват Банк шлёт СМС
Все-таки в охраняемых помещениях надежнее, чем на улице.
ДЛя защиты в интернеты использую виртуальную карту касикорна с лимитом.
Жаль на пионере нет чипа.
Да пионер по сути наиболее уязвимая карта, слава богу есть альтернативные пути вывода денег по мимо пионера, а вторую карту пионера заказать нельзя по правилам.
По поводу csv кода, многие пишут, что если его нет, то в магазине не принимают для платежей, как тут тогда быть?
Вы наверно имеете ввиду 11 пункт.
У меня принимают, значит и у других принимают, не понимаю какое дело магазинам по кода, им нужна только подпись на обратной стороне.
Помле Вашей статья я стал искать в инете информацию, как лучше стереть код csv и во многих местах народ пишет, что не принимают к оплате в магазинах, хотя недавно заказал карточки в альфабанке, они сказали, что всем настоятельно говорят что-бы стирали код, кстати как вы стираете ножом канцелярским, просто сдираете шрифт?
Фигню пишут, у меня на старой карте чип выпадал и то принимали, правда местами со скрипом.
Просто срезал аккуратно.
С наличкой все гораздо, гораздо проще. 🙂 А карты в наших повседневных реалиях — ненужный пафос.
>»Никогда не возите все деньги наличными, это идиотизм, а я его не люблю.»
Нал, распиханный по всему багажу, гораздо труднее потерять сразу и целиком.
К сожалению 99 процентов россиян возят весь нал в одном месте или кошельке.
И правда идиотизм. Тогда действительно лучше картой, ее в лучае потери хотя бы заблокировать можно.
У меня в кошельке всегда только необходимый минимум. А если с картой, то кое-где смотрят странно и не понимают, чего я от них хочу. 😀 Так что наличкой бывает проще.
1) пользуюсь связным банком, у них есть такая услуга как «сейф счет» — при необходимости операции по карте просто заходу в онлайн банк, перевожу нужную сумму со счета на карту и вуаля.
2) интернет банк весьма удобен как средство зашиты, есть банки которые позволяют открывать несколько карт — к примеру сбер, у него в онлайне отображаются все ваши карты. Храните деньги на 1, которая у вас лежит дома, рассчитываетесь второй, перевод с карты на карту (внутрибанковский) занимает мгновение.
В Альфе сделали уже лимиты, можно проставить в Альфа-Мобайл.
знаю но
альфа мобайл платный
у меня его нет
Если у Вас карта с выдавленным номером, то для проведения платежей по ней достаточно знать лишь его. Не важно, стоит у Вас подтверждение через СМС или нет. Например, такси в штатах проводят платежи через импринтер. Для покупки в один клик на амазоне тоже достаточно только ввести номер. Так что стирай/не стирай магнитную полосу и CVC — не спасет.
Ну трудно потратить много денег через такси, на амазоне у меня запрашивали верификацию, когда делал первый платеж. Все таки в инете почти везде просят cvv КОД , я не помню ни одной покупки при которой бы меня не спросили cvv код.
Абсолютных способов защиты нет, но надо защищаться по максимуму.
Ничего в этом не понимаю, но сразу возникает вопрос.
Если для оплаты достаточно просто ввести номер карты, что мешает злоумышленникам просто наобум вводить эти номера, зная диапазоны номеров существующих карт?
Про Pay Pal согласна на 100% Постоянно пользуюсь эти сервисом. Несколько раз попадались халтурщики в интернете, которые просили оплатить пробный период по минимуму, а потом не давали возможность отказаться от своего сервиса. Однажды слупили 60$ после отказа. Подавала на арбитраж — всегда возвращали после проверки.
Ребят, что касаемо безопасности пользования банкоматов…. Что на улице, что в самом банке не составит никакого труда мошенникам установить и скан, камеру. Охранники палят банкоматы? Вы хоть раз видели? )) Помнится случай, была по делам в Головинском РОВД, так меня там предупредили (год назад), что идет массовое снятие наличности с карт Сбербанка… Причем, банкоматы в самих банках так же были задействованы в обмане. Первое правило проверки банкомат на предмет сканера мошенника — пошевелите сканер банкомата до ввода карты, если он будет не плотно прикреплен, а также шататься, лучше этим банкоматом не пользоваться… Накладки так же могут быть замечены визуальным осмотром сканера, но не будем же мы, простите, раком в банке нагибаться, заглядывая в щель)))
Советы глупые и без понимая сути проблемы.
Используйте только чиповые карты, их нельзя засканить скримером на банкомате.
Если вы ещё до сих пор не прячите свой пинкод рукой то начните, это написано в банковских правилах пользования картами, которые никто не читает, это написано или показано на большинстве банкоматов мира. Пинкод надо закрывать рукой.
Решать проблемы надо на корню, а не полумерами.
Kupliu использованные номера и действующие пустые карты даже с одним долларом. пишите на мыло antoniotester(Sobaka)libero.it
Заполучить коды любого юзера, проще паренной репы — особенно без карт в руках. ВИза и мастеркард — сами по себе очень примитивные системы и их утонченность это и есть намордник для мученников.
Я вот в основном использую Пионер и Альфа-Банк в Таиланде. Альфа с чипом и смсками, но ее я особо не использую для платежей в магазинах. В целом да, нал в Таиланде пока что в большем обиходе, нежели карты. С этим ситуация хуже чем в РФ наверно.
Самая лучшая защита — не использовать карту бездумно и чрезмерно, не светить ею часто. Если платить, то в крупных заведениях/магазинах, если снимать деньги, то по возможности в помещениях банков. Обязательно иметь интернет-банк для управлениях и контроля. И все будет хорошо!
Большинство методов, которые описаны в статье конечно хороши, но уж через чур кардинальные. 🙂
Я, когда был в Тае (на Пхукете) даже разменять деньги не успел. Только в аэропорту 100 долларов менял по невыгодному курсу 0,85, а основную сумму хотел поменять, когда найду выгодный обменник — лучше бы по тому курсу поменял, возможно остались бы целыми. Все деньги, что брал украли на второй день прямо из сейфа в номере, когда я снал тайку клофелинщицу. Гостиница называлась Narry Hotel Patong — вроде так. Там не забирают id карты у приходящих тайцев!!!