Хотелось бы знать как работают банковские карты. Вот я человек, который о банковском деле ничего не знает, но разбирается в криптографии.
Как я представляю себе это: Карта - ключ доступа к банковскому счёту, позволяющий снимать наличные в банкомате, оплачивать покупки в магазинах и онлайн, при этом у карты есть номер платёжной системы Visa, MasterCard или МИР, которая является посредником для совершения переводов, таким образом карта предоставляет доступ именно к платёжной системе, а не к расчётному счёту. Ключ скорее всего представляет собой сертификат электронно-цифровой подписи стандарта PKCS, возможно PKCS#12, им владелец подписывает свои действия, а, если есть сертификат, то должен быть и удостоверяющий центр, в роли которого выступает банк, платёжная система либо некая организация, которой все банки и платёжные системы доверяют. Также нужно, чтобы стороннее лицо, завладевшее картой, не смогло бы ей воспользоваться, для этого сам сертификат зашифровывается, для расшифровки требуется пин-код, ещё нужны некие средства защиты, препятствующие копированию карты, для этого нужен встроенный в карту чип, пришедший на замену магнитной полосе, про бесконтактные карты я даже рассуждать пытаться не буду, тут сложно.
А теперь ещё 2 фактора, из которых следует, что все мои предположения - неверны.
1) Мы можем сделать свою пластиковую карту электронной, добавив её в приложение GPay, то есть копировать её всё же можно.
2) Онлайн-покупки, при которых мы предъявляем только номер карты, CVC-код и секретный код из СМС, но сам цифровой сертификат не предъявляем. Могу предположить, что это означает, что карта не содержит никакого цифрового сертификата для доступа к платёжной системе, а данный сертификат на самом деле хранится в базе данных банка, а вот карта содержит сертификат для доступа к этому сертификату, альтернативным способом доступа является двухфакторная авторизация при помощи СМС, онлайн-банка или мобильного приложения
На неделе получал карту Райффайзенбанка, в процессе общения с сотрудником банка не было подписано ни одной бумаги, все действия выполнялись исключительно в мобильном приложении, в том числе и подписание договора. Но поразило другое - теперь есть возможность сбрасывать пин-код карты при помощи мобильного приложения, в Сбербанке кстати тоже такая фишка есть. Так содержится ли на карте информация, которая зашифрована этим самым пин-кодом или нет? И что же это получается, теперь любой, кто завладеет телефоном владельца карты сможет получить доступ к его счёту?
Так что в дополнении к вопросу как работают банковские карты возник ещё вопрос, безопасно ли пользоваться мобильными приложениями банков, СМС-банками и приложениям типа GPay, а также существуют ли сейчас банки, которые позволяют получать полный объём услуг по банковской карте без обязательной установки мобильного приложения?
не парьтесь. Клонировать чипованную карту невозможно.
Телефон ну тут уж пин код не передавайте и телефон держите с собой.
Можно еще завести 2 карту и ее использовать, и с основной перекидывать деньги только с компа.
Ну и практически все "ограбления" это социальная инженерия. Вы сами вводите код подтверждения или данные карты.
Телефон можно потерять либо его могут украсть. Я понимаю когда двухфакторная авторизация защищает, если ты хранишь телефон и карту в разных местах, но когда ты ставишь приложение на телефон это ломает весь принцип.
Искатель, приложение закрывается биометрией и всё.
С моей лично точки зрения, андройды в этой ситуации являются дыркой в системе.
С аппл вроде никаких пробоем пока не возникало, да и обойти в айфоне биометрию не получится)
29 сентября исследователи из университетов Бирмингема и Суррея показали способ снятия средств с телефонов Apple, на которых активирована функция Apple Pay с использованием карты Visa. Важное дополнение: снятие средств не требует подтверждения пользователя путем разблокировки телефона, то есть можно инициировать мошенническую транзакцию без ведома владельца.
.
Патча для уязвимости пока нет, хотя исследователи сообщили о своих находках в Apple и Visa соответственно в октябре 2020 и мае 2021 года.
У меня на первый вход стоит пинкод, дальше в приложениях комбо из пина и touch id
То есть по идее для перевода денег. Меня должны отмудохать, приложить палец, получить код ввести еще раз палец. Что то как то стремно, за те деньги которые у меня на расходной карте.
то что большиство закерских атак построено на фишинге это точно. ищут лохов, без лоха жизнь плоха. телефон не теряйте а потеряв или коли украдут сразу блокируйте счет
The invention of the EMV chip was one of the most significant developments in secure payment card technology. While payment cards had previously relied on the magnetic stripe (magstripe) to store information, fraudsters had been cracking this technology and cloning victims’ cards for years. To prevent fraudsters from placing illicit purchases with cloned payment cards, EMV chips encrypt the payment card data and the CVV (called iCVV for EMV-enabled cards). A new encryption key (also called a token or cryptogram) is generated upon each purchase for Card Present (CP) transactions. This token is generated by the interaction between the EMV chip and the card reader and applies only to that single transaction. Since the token cannot be repeated for an additional transaction, stealing it does not allow cybercriminals to place fraudulent transactions with a cloned EMV-enabled card. There is currently no compelling evidence that any cybercriminals have discovered a method of cloning this technology. EMV chips transformed the underground payment card economy, shifting most illicit markets towards Card Not Present (CNP) records; merchant compliance with regulations mandating EMV chip transactions correlate strongly with the presence of CP fraud in any given country.
However, new research indicates that there are other ways to bypass EMV technology and monetize these supposedly secure cards. An in-depth report by Cyber R&D Lab detailed a method of acquiring enough data through compromised EMV transactions to clone a payment card. This method leverages information from one technology (EMV chips) and converts it into another less-secure technology (magstripe), which allows fraudsters to rely on their familiar cloning techniques. Gemini will refer to this technique as EMV-Bypass Cloning.
Возможно стоит внимательно прочитать что это не клонирование чипа, а клонирование магнитной полосы, на основе чипа и pos терминалы в большинстве случаев не примут эту карту
Лентюй, не смешите мои тапки, вы даже сим карты не клонировали, и тут о таких материях рассуждаете. Хотя бы дали ссылку на рабочую версию и да почему вы еще не в калифорнии с такими знаниями?
Попробую совсем кратко описать:
Пластиковая банковская карта - это буквально номер карты, датадействия, некоторая техническая информация и ВСЁ. так было изначально. никаких ключей и т.п. изначально на ней не было. но и потом когда они появились - стали выполнять несколько иную ф-цию чем подпись транзакций
в конце нулевых появились массово чиповые (emv) карты, которые помимо номера карты действительно хранят некий ключ и могут оффлайн проверять пинкод (чтобы не отправлять запросы в процессинг и для оффлайн операций) и запоминать последний остаток денег. но и всё. повышение безопасности тут в том что у карты всёравно остаётся полоса где записан её номер и дата для поддержки старых стандартов
Безопасность этой схемы обеспечивается тем что все операции по чиповой карте должны производится по чипу, если-же они проводятся по полосе (вместо чипа) и потом опротестовываются - банк должен возвращать вам деньги без особых расследования на полгода.
Системы типа GPay - не делают копию карты, они выпускают некий аналог виртуальной карты и делают оплаты от лица этой 'виртуальной'...списывая деньги с вашей, также как если бы вы подписались на онлайн кинотеатр с ф-цией автооплаты.
Далее, двухфакторная авторизация не является обязательной, вообще. в РФ она чуть больше распространена чем в остальном мире, но она всегда опциональна и защищает не покупателя (как бы странно это ни звучало)
==
и самое главное и непонятно-недоступное многим, даже некоторым сотрудникам банка
операцию по банковской карте можно провести имея ТОЛЬКО номер карты. ВСЁ. не нужны ни CVV/CVC ни даты действия ни имя владельца, ни данные чипа, ничего, ТОЛЬКО номер.
Эту операцию конечно не сможет сделать любой сотрудник в магазине (лет 7 назад прикрыли оч большую дырку в этом направлении кстати), но она возможна и ей часто пользуются например отели.
Или на кассе прокатать карту полосой, в а не чипом, отменить 3раза ввод пина, и подттвердить чек подписью))
По сути сверить данные должен продавец, но когда я тестил эту фишку ни пазу не попросили паспорт...
Drno,
1) потому что все массово забили на обучение кассиров
2) по закону в РФ они не могут требовать паспорт для этого... помоему они должны сравнивать подпись на карте и на чеке...а сейчас даже в банке не предлагают карту подписать
В 2021 году я думаю найти карту без чипа с одной только магнитной полосой - нереально.
А где это можно прочитать, про то что если операция проводится без чипа, то возможен возврат, это закон какой-то есть?
Искатель,
1) я думаю в штатах еще можно найти банк которые не выпускает emv карты, хотя может уже и прикрыли такое
2) это не закон, а правила МПС, оспаривания операций чиповой карты которые проводятся по полосе, проходят по другим сценариям и крайней тут может оказаться вообще торговая точка где ктото умудрился белым пластиком например оплатить
Самое опасное изобретение это чехол для смартфона с кармашками для карточек. А самое фиаско это когда телефон не запаролен. Или же пароль на долю секунды отображается при вводе. Его легко запомнить.
Суть опасений ясна, но нас так много, что ворам и мошенникам не приходится прибегать с хитроумным высокотехнологичным взломам простых мирян. Всегда есть приличная масса индивидов, которые расстаются с средствами добровольно.
Как пели в известном фильме кот и лиса: "На дурака не нужен нож..."
Спите спокойно))
я в деталях работы карты не разбираюсь, но думаю что завладевший вашим телефоном получает доступ к вашему счету.даже если мобил запаролен его можно вскрыть. я думаю единственной гарантией будет если данные карты хранятся зашифрованными и вы помните ключ или держите его гдето отдельно от мобилы. и данные перадются банку после расшивровки. и при этом история интернет запросов в мобиле не сохраняктся. с другой стороны человек умеющий так вскрывать мобилы хорошо зарабатывает и если у вас на счету не очень много возиться не будет. а получив доступ к счету эти деньги еще както надо обналичить что рисковано
А можно подробнее про то, что процессинговый центр может отключить требование предъявить пин-код либо CVC-код, это закон какой есть? А могу ли я отправить обращение в банк, чтобы некоторые операции, такие как сброс логина и пароля для приложения невозможно было бы сделать в самом приложении, а только при личном визите в офис банка?
Средний
Простой
Средний
