Как безопасно использовать карту Payoneer, и вообще любую другую карту (Visa, Mastercard)?
Недавно был там, где потенциально могли прошерстить мою сумку. С собой у меня были наличка, карта payoneer, карта яндекс денег, ключи и всякая мелочевка.
Как бы все осталось на месте, и 97%, что никто ничего не шерстил, но я не могу исключать того, что карты были скопированы или сфотографированы. Понятно, что если б у меня исчезла наличка, то я бы это заметил, и было бы совершенно очевидно кто спер, поэтому за нал я не переживал, просто проверил что нал на месте. И за пластиковые карты я тоже не переживал, потому как на payoneer написано, что к ней нужно применять тот же подход к безопасности, что и к наличке, а яндекс деньги у меня имеют довольно серьезные ограничения (запрещено все, кроме оффлайн оплат), плюс cvc/cvv код на яд я выцарапал. Но сейчас я понимаю, что ситуация с картами не такая как с наличкой, ведь я не могу знать, скопировал/сфотографировал кто карты у меня или нет.
Искал я в гугле инфу по безопасности карточек payoneer, но нашел случаи за 2016 и 2017 года копирования пластиковых карт, с подсмотром пина, что приводило к снятию нала в банкоматах. Ээ.. я думал, что карты чиповые уже как 10 лет, и это проблему решает. А выходит что нет? И карты реально до сих пор просто копируют, и потом снимают нал в банкомате? Как так? А зачем чип?
Второй момент. cvc/cvv код на карточке Payoneer выдавлен, и его так просто не сцарапаешь. Зато у любой карты кто угодно может посмотрев на нее с двух сторон потом оплачивать покупки в интернете, делать card2card переводы, и прочее (у любой, кроме той, где настроены ограничения).
И для общего образования.. Когда вы вводите пин при покупке в магазине. Как вы обеспечиваете, что никто не подсматривает ваш пин? Сосед, кассир, или камера.. (если покупка крупнее чем можно по PayPass)
Так же когда передаешь карту официанту или еще кому, для оплаты, то её по пути вполне могут и перевернуть посмотрев на карту с двух сторон, и получив информацию достаточную для оплаты в интернете и card2card переводов, а в былые времена, как помню, надо было ставить подпись на чеке, которую кассир иногда сверял с образцом подписи, а рядом все нужные для онлайн оплат коды. В каком-то бюру по аренде машины, помню у меня сняли оттиск с карты, и пока снимали всяко увидели cvc/cvv код.
Понятно, что обычный человек сделать покупку в инет магазине или card2card не может не запалившись, но я знаю человека у кого подобная ситуация была, он получил смс об операции, позвонил в банк, заблокировал карту, оспорил транзакцию и ему вернули. Но думаю тут зависит от обстоятельств.... банка выпустившего карту, профессионализма жулика, эффективности системы безопасности, и того, как скоро пришла смска об операции...
Общий принцип работы банка такой же как и у вас с данными, которые пришли с фронтенда - не доверять
Потому в банках каждая операция проходит антифрод фильтры, тк в большей части стран проблемы с кражей карт берут на себя банки
ведь я не могу знать, скопировал/сфотографировал кто карты у меня или нет.
верно, также как и верно, что обналичивать вашу карту не будут в ближайшем супермаркете, что дает некий намек банку, что что-то не так
Ээ.. я думал, что карты чиповые уже как 10 лет, и это проблему решает
чип + магнитная лента. И да - подавляющее большинство карт просто лента
И карты реально до сих пор просто копируют, и потом снимают нал в банкомате?
да
А зачем чип?
для копирования с магнитной ленты требуется один раз провести по считывающему устройству, чип позиционируется, как решение, которое нельзя клонировать, но на самом деле...
UPD: хахаха, с комплексом чип + POS-терминал все также плохо
Стандарт обмена информацией сделан криво https://www.youtube.com/watch?v=m-VRsksSgM0
Что позволяет делать несколько классов атак
С NFC - все также отвратительно и даже лезть к вам в сумку не потребуется - просто находиться недалеко от вас
Второй момент. cvc/cvv код на карточке Payoneer выдавлен, и его так просто не сцарапаешь.
если долго тереть, то все ок
Когда вы вводите пин при покупке в магазине. Как вы обеспечиваете, что никто не подсматривает ваш пин?
никак. Не храните на повседневной карте денег больше чем вы готовы безвозвратно потерять
Так же когда передаешь карту официанту или еще кому, для оплаты, то её по пути вполне могут и перевернуть посмотрев на карту с двух сторон, и получив информацию достаточную для оплаты в интернете
Блокировка оплаты в инете + отсутствие цвв
кассир иногда сверял с образцом подписи
как хорошо, что таким уже никто не мается, тк требуется или ввод пина, или подпись
оттиск с карты
оффлайн способ оплаты с помощью карты
Но думаю тут зависит от обстоятельств.... банка выпустившего карту,
Насчет полагаться на систему безопасности банка приведу один пример, после которого я перестал полагаться на банковскую систему безопасности. Пример такой, когда вы подключаете онлайн-банк (чтобы иметь доступ через приложение), то банк вам подключает в довесок еще и смс-банкинг. Помню у Альфы мне не получилось отказаться от смс-банкинга при подключенном онлайн-банкинге. У Сбера как я понял ситуация схожая - хочешь иметь доступ со смартфона через приложние - на тебе в довесок смс банкинг. И понимаете. смс банкинг он мало кому нужен, зато это огромная дыра в безопасности. Начиная от вируса (отправись смс куда проще, чем взломать приложение), и заканчивая сменой номера, да и подделать источник смс наверное не нерешаемая проблема. Но его подключают и всё. Я бы никогда об этом не узнал, если б у одной моей знакомой не увели около 15т.р. со Сбера. И вроде бы Сбер ей деньги не вернул. А ведь все потому, что ей подключили не нужную ей услугу смс банкинга. Я подозреваю по смс банкингу в период активности вирусов, около половины запросов было от вирусов, и где же была система безопасности? Да и подключать небезопасный смс банкинг всем подряд необходимости не было. С того времени я на банковскую безопасность не полагаюсь.
в большей части стран проблемы с кражей карт берут на себя банки
В большей..... Вот если бы это было гарантированное общее правило по всему миру распространяющееся на все случаи краж (в том числе и те, где невозможно установить кто снимал денежку), то на этом бы вопрос можно было б и закрыть, но думается мне, что оно не так.
чип + магнитная лента. И да - подавляющее большинство карт просто лента
Просто ленты я давно не видел.. Ну я так предполагаю стандарт безопасности сделан так, что авторизация возможна как по ленте, так и по чипу. И если у карты с чипом скопировать ленту, то половина банкоматов посчитает что все окей?
А с NFC что? Просто копируется код? Там нет авторизации по открытым шифрокодам?
Блокировка оплаты в инете + отсутствие цвв
Я так на яндекс деньгах сделал.
Но скажем на Payoneer блокировок по типам нет, и cvv выдавлен так, что есть еле заметные следы с лицевой стороны, правда прочитать с лицевой стороны невозможно даже приглядываясь, но три следика от трех цифр есть, тоесть довольно глубоко, как это стереть - непонятно.
mirosas, застрять может - так что лучше заклеить дырку
Я ошибся на счет копирования чипа - там происходит обход за счет использвания дырок в протоколе
Те по сути с чипа копируют всю информацию требуемую для оплаты, но не само содержимое чипа
sim3x, rfid там наверное отдельный код, и его наверное можно использовать только для оплат по paypass? (нужная инфа как я понял копируется быстро по воздуху). И в иных операциях (например снятия налички) оно наверное вору не поможет?
А основной чип копируется как я понял умеренно долго (сутки), но это и не нужно, поскольку половина банкоматов вполне удовлетворится копией магнитной полосы, которая делается быстро?
rfid там наверное отдельный код, и его наверное можно использовать только для оплат по paypass?
нет, там та же инфа что и в чипе в открытом виде
И в иных операциях (например снятия налички) оно наверное вору не поможет?
етой инфы хватит, чтоб сделать клон с магнитной лентой
А основной чип копируется как я понял умеренно долго (сутки), но это и не нужно, поскольку половина банкоматов вполне удовлетворится копией магнитной полосы, которая делается быстро?
насколько я понимаю, полный клон никто не пытался делать
У меня тупой вопрос. Все дело в том, что у меня никогда не было банковских карт, онлайн-банкиннов и т.п. У меня даже смартфона никогда не было. Ведь можно же в банке сделать два счета: на один положить миллион, а на второй - 10 тыс. И банковскую карту привязать ко второму, так чтобы через карту не было доступа к миллиону. Так ведь можно сделать?
В банках может понадобиться объяснить что ты не террорист, а фрилансер, что довольно сложно. Да не обязательно же в супермаркете, можно например оставить карту в гостинице, любовница может посмотреть пока ты в душе, или сотрудница борделя тоже пока ты в душе, и других способов масса. Еще в копилку банков - банки обычно при подключении мобильного банка подключают сразу же и смс-банк, а смс-банк это большая дыра в безопасности.
3D secure какая-то странная вещь.. Например Яндекс вроде с 3D secure. 5 рублей платишь - подтверди смской. Но мне кажется было пару раз, что без подтверждения пару тысяч уходило, может показалось, не помню точно. Ну вот Пейонер ее не имеет вовсе как я понял. Но я бы предпочел для Пейонер карты не 3D-Secure, а просто залочить онлайн оплаты.
онлайн не залочат ), как мне говорил совладелец Пионера году в 2006м, когда все начиналось: "ты бы знал, сколько одни проверки остатка приносят"
про смс-банк и дыру - если вы про статейки на vc.ru, то там всегда почему-то не без помощи самого держателя номера происходит
не говоря том, что в бордели ходят с нонейм картами
у вас вопрос "как светить Пионером, чтобы никто не видел", ответ: с Пионером только в банкомат, в IRL с нормальными настраиваемыми картами и смартом
dimonchik2013, )) понятно)). Да никто ж не говорит залочить полностью. Можно реализовать как у Яндекса. От наличия опций блокировок у Яндекса, я меньше их услугами пользоваться не стал))
Карты безопаснее налички. Если нал сопрут, хрен его потом найдешь. Если карту сопрут, и даже что-то снимут, ты сможешь вернуть свои средства. Чтоб карту не сперли прячь ее. Чтоб ничего не смогли с ней сделать, отключи платежи в интернете, либо используй только 3D Secure. Для всех оффлайн операций требуй пинкод. Если сперли и карту, и пинкод, блокируй ее в банке и возвращай средства.
Ну почему, если если нал прут, то обычно известен круг потенциальных воров, поскольку есть четкие границы во времени, и список имевших возможность получить доступ. А карту если сфотографировали, и сперли спустя полгода, то непонятно на кого и думать.
Если карту сопрут, и даже что-то снимут, ты сможешь вернуть свои средства.
Это как? Предполагаем, что финансовый институт выдавший карту находится в неизвестной юрисдикции, карта Mastercard.
Чтоб ничего не смогли с ней сделать, отключи платежи в интернете, либо используй только 3D Secure. Для всех оффлайн операций требуй пинкод.
- Режим работы 3D Secure (3D Secure only, 3D Secure on Demand, No 3D Secure) определяется эмитентом, а не клиентом. При том 3D Secure on Demand, которая не является безопасной, отличить непросто от No 3D Secure
- Возможность отключить платежи в интернете есть не у всех эмитентов. У Яндекс Денег есть, и там у меня все отключено (вернее одна карта только для интернета, вторая только для офлайна). Но скажем у Payoneer возможности что-то отключить нет.
- Пин код требовать тоже на усмотрение эмитента, принимающей стороны, и карточной системы. Все же я по картам покупки делаю только безпиновые, потому как в точках продаж не обеспечена безопасность ввода пина.