Кредитные карты оплаты.
Здравствуйте! :)
Насколько безопасно иметь и рассчитываться с помощью кредитных карт оплаты? Насколько легок или труден их взлом и прочее мошенничество на этой почве?
Ссылки
[link1] http://visa.1pb.ru/
[link2] http://visa.1pb.ru/qa.html?id=94
[link3] http://www.telegraph.co.uk/news/uknews/3222896/Spy-code-and-quantum-physics-to-tackle-credit-card-fraud.html
[link4] http://adsabs.harvard.edu/abs/2000PhLA..265..173Y
[link5] http://mk.ru/incident/publications/386867.html
Может быть говорите о дебетных или виртуальных картах? Или всё-таки о пластиковых кредитках? Приведите ссылочку, если не трудно, или уточните.
Именно о пластиковых банковских кредитных картах, например Виза. Хотя пообсуждать можно и не только их конечно. Думаю всем будет интересно.
Я думаю это зависит от того насколько вы доверяете банку, выпустившему карту. :)
Скажем так: насколько я понимаю, в оффлайновых покупках всегда есть чек с подписью, и в случае проблем банк может его найти. Если подпись не ваша — банк должен откатить транзакцию. В онлайне (если не используется SET) чеков с подписью нету. Никаких доказательств того что транзакция совершенна именно вами банк предоставить не может. Поэтому в случае оспаривания банк должен откатить транзакцию по первому требованию и без вопросов.
В США большинство банков придерживаются политики нулевой ответственности клиента. То есть можно сказать абсолютно безопасно для клиента. В России _юридических_ гарантий я не встречал. (Если не считать сайт платежной системы MasterCard на котором упоминается та самая политика нулевой ответственности. На русском сайте Визы подобных упоминаний замечено не было.)
Я вобщем-то доверяю тем российским банкам где держу свои деньги (иначе я б деньги там и не держал бы). И активно использую кредитки в онлайне (и в оффлайне). Однако и соблюдаю меры предосторожности: карты привязаны к специальному счету на котором редко бывают большие суммы, установлены лимиты по карточным операциям и т.д.
Пока никаких проблем не было. :-) К слову, у одного моего коллеги по работе как то раз была левая транзакция. Успешно отменена банком, без проблем.
От себя добавлю, что если нет доверия к эмитенту или приходится расплачиваться на подозрительном сайте, лучше прибегнуть к виртуальным картам оплаты. У них фиксированный номинал, и в случае мошенничества Вы не потеряете больше дебетированной суммы.
А с точки зрения технологической защищенности как считаете? Например насколько трудно взломать карту или "подслушать" ее информацию.
Еще такой аспект, стою я у банкомата, ввожу пин-код, а кто-то рядом подглядел.
Извиняюсь за может быть наивные вопросы, просто никогда ранее не пользовался, а теперь придется. Карта будет Visa Electron от Сбербанка. Надежная?
Да никакой там защищенности нет. :)
Ну карточка с магнитной полоской. Ну можно эту полоску считать или скопировать на другую карточку. Нет проблем. Ж)
Все строится на доверии.
Вы доверяете кассиру в магазине / официанту в ресторане. Вы доверяете банкомату. Вы доверяете процессинговому центру. Любой из них может скопировать магнитную полоску вашей карты и изготовить дубликат карты. Вы доверяете банку. Что он будет решать ваши проблемы. В вашу пользу.
Кассир тоже вам доверяет или не доверяет спрашивая паспорт и рассматривая карту под ультрафиолетом (кстати, а зачем?).
Некоторые банки якобы "улучшают защищенность" карты впечатывая вашу фотографию. А смысл? Ну может кассиры реже будут спрашивать паспорт. Но никак не защищает от дубликатов.
Сам пин код без магнитной полоски ничего не значит. А вот если есть магнитная полоска + пин, то когда ваш счет обнулят банку уже ничего не докажите, пин код это аналог подписи на чеке.
М-да, спасибо Yuri.
А было бы неплохо сделать карты например с биозащитой. Берешь карту, карта сверяет отпечатки, а другой рукой набираешь PIN.
Со смарт-картам (с микропроцессором) вроде СберКарт, Золотой короны и прочих история другая. Клонировать сложнее. Извлечь данные из EEPROM сложнее. Однако и автономная оплата невозможна. Контроль транзакций не осуществляется... Скажем проще, у этих систем иная философия. Несмотря на технически более совершенные карты, сами системы видятся мне менее надёжными.
Пару месяцев назад в Малайзии чтобы угнать Мерседес представительского класса с биометрической защитой системы зажигания, бандиты просто отрезали палец хозяину авто.
Разве еще никто не знает, что отпечатки – один из самых легкоподделывемвых видов биометрии (например с применением печати на желатиновых пленках)? Скорее всего их уже даже нельзя в уголовном деле рассматривать. Пусть какой-нибудь адвокат создаст прецендент, как было с md5-суммами в дорожных камерах.
Арсенал методов извлечения данных из смарт-кард огромен. Например лазерное облучение и электромагнитное сканирование. Получив топологический снимок под электронным микроскопом, а затем сравнив его с чипом облученного снимка, можно побитово увидеть данные всех ячеек памяти.
Как правило, банковская смарт-карта не представляется ценной мишенью для высокотехнологичных атак: выгода взломщика всё равно не превысит суммы затрат из-за лимитов обналичивания. Более предпочтителны простые мошеннеческие методы.
Кредитные карты, с технической точки зрения, очень ненадежны для он-лайновых платежей. Основной риск конечно у продовца, но и покупателю есть чего боятся. Дело в том, что тут имеет место некий общий секрет (номер карты, срок, имя, и т.д. в совокупности), который знают слишком многие, и никаких серьезных препятствий на пути утечки этого секрета нет.
Не случайно, что WebMoney отказывается продавать свои электронные титульные знаки таким образом. Кстати, с технической (да и финансовой) точки зрения, WebMoney самый надежный метод электронных рассчетов в России.
Warning: Скрытая реклама! :-)
По-моему, как раз совершенно явная. :)
Пишет один из пользователей... из Америки
... далее
Лимит на снятия денег в сутки и за неделю устанавливается клиентом. Да, есть какой-то лимит по умолчанию, но как обычно, когда речь идет о собственной безопасности, лучше все самому настроить а не доверять параметрам "по умолчанию". Вообще-то после поездок я меняю всю карту, не только PIN.
Согласитесь, что при уровне современных достижений эта проблема надумана. Проблема кражи карточки, пин-кода и магнитной записи. Я несколько лет назад предлагал в одной частной беседе по аське следующий алгоритм работы брелка для машины (снятие/установка защиты).
1. В машине установлен чёрный ящик.
2. Хозяин подходит к машине и нажимает кнопку брелка, что вызывает некую генерацию (звука, света.... посылка)
3. Чёрный ящик принимает посылку и понимает, что начался сеанс связи.
4. Чёрный ящик в ответ генерит другую посылку, шифрует её паблик ключом и отсылает брелку.
5. Брелок принимает шифропосылку и предлагает хозяину ввесть пин-код для запуска процесса дешифрации.
Далее возможны варианты... Либо брелок возвращает расшифрованную посылку чёрному ящику, либо шифрует дешифрованное паблик ключом чёрного ящика и отсылает обратно.
Двери разблокируются.
Перехват всего сеанса связи или его части, не рулит! – посылки каждый раз новые (случайные). Нажатия – слаботочные цепи...
То же самое можно сделать и в кредитке... Причём, это может быть заученная последовательность нажатий на одну единственную кнопку (типа азбуки морзе) и карточка вообще не покидает кармана. Системы свой-чужой... используются очень давно...
Но что будут кушать производители банкоматов?
сделать то можно но это надо заменить ВСЕ банкоматы мира!!! В тему – http://news.nag.ru/5830
СМС-информирование выручит вас в этом и других подобных случаях, когда любая авторизация приходит на ваш мобильный телефон
Насколько безопасно расплачиваться крединтными картами через интернет? Можно ли провести параллели в отношении безопасности применения кредитных карт в интернет и распространенных платежных систем типа webmoney, Яндекс-деньги и других (т.е. что менее защищено)?
Менее безопасно, чем носить с собой наличность. Гугли по словам фишинг, скимер, и т.д. Украсть базу данных с картами могут даже с самого магазина, где что-то оплачивал. Обычно стараются доверять только развитым "денежным системам" типа paypal, и расплачиваться в интернет-магазинах не напрямую картами, а посредством тех самых денежных систем типа paypal (чтобы магазин в принципе не знал параметры вашей кредитки).
Doch-doch, уважаемые. Безопаснее, чем наличка. Защита однако организована не технически, а организационно.
Номер карточки – это не единственный атрибут, обеспечивающий получение денег продавцом товаров/услуг. Он необходим, но не достаточен.
В случае оплаты лично в магазине вторым атрибутом является подпись владельца. В случае конфликта сторон проходит суд, назначается графологическая экспертиза, находятся свидетели и пр. Бремя доказывания лежит на продавце. В случае оплаты по сетке вторым атрибутом является как ни странно слово владельца. Бремя доказывания лежит опять же на продавце.
То есть например ездил я на Беларусь. Через Украину и Венгрию. Заправлялся, в магазинах закупался. Где-то номер моей кредитки утёк. В конце месяца вижу – какой-то онлайн-покер лишние полторы штуки списал. Звоню в саппорт и сообщаю, что в покер не играю и платить не буду. С меня потребовали письменно подтвердить, что я траты эти не делал и заменили кредитку как скомпроментированную.
Почему это работает? Нае...ть систему можно 1-2 раза. После чего подозрительного владельца карточки начинают аккуратно, но плотно пасти СБ карточной компании, выпасают и в суд. Тот автоматически возбуждает еще и уголовное производство. За пару тыщ на нары приземляцца, а потом еще и платить ВСЕ расходы по выпасанию, судебным издержкам и пр. – оно надо? Выгоднее быть честным.
Касательно Paypal – эта контора безопасности владельцу не добавляет. Она позволяет удобно производить микроплатежи и уменьшает геморрой карточных компаний путем доп. верификации действительности существования онлайн-плательщика, эффективно отсекая большинство схем превращения ворованных номеров СС в деньги. Ну и доплонительно протоколирует платеж, что бывает не лишне в суде.
Для платежей в интернете можно завести себе виртуальную карту[link1], и непосредственно перед покупкой пополнять[link2] её на необходимую сумму. ;)
Ага, бегать и доказывать в судах, что не платил картой за то-то и то-то – кому нужен этот геморрой?! По пол года доказывать что не верблюд ради нескольких тысяч? Да и сошеннических схем с этими картами столько, что все не предусмотреть. А уж про "графологическую экспертизу" подписи – вообще смешно (уж что-что, но подпись в наше время вообще не подделать, ага).
Вы, уважаемый, как-то на мир смотрите неправильно. А смотреть надо на него через призму гражданского кодекса в данном случае. В котором четко указано, что доказывать что-то должен инициатор процесса. В д.сл. продавец. Покурите ГК на досуге. Прелюбопытная книжка. Кстати, незнание гражданином своих прав де-факто ведет к потере им оных.
Трансакзии по СС списываются с Вашего банковского счета. Так как СС-фирма и банк разные организации и банк не имеет права действовать в интересах третъих лиц, Вы просто запрещаете списание спорной суммы со своего счета и извещаете СС-фирму о своем несогласии. деньги остаются у Вас до разрешения инцидента. В процессе разрешения Вы общаетесь с оппонентом искл. через заказные письма. Никуда бегать не надо. Если же Вы из страха или правовой неграмотности таки бегаете и нервничаете и по телефону общаетесь вместо писем так Вы ССЗБ.
За подделку подписи: До экспертизы дело доходит в случае начала уголовного процесса. В котором любое сомнение толкуется в пользу обвиняемого. Это раз. Второе, подпись очень трудно подделывается. Третье, параноики ходят с собственной чернильной ручкой, заправленной чернилами с микродобавками. Другое дело, что есть страны со своеобразным правоприменением. Но это как бы иная история.
Наконец, задумайтесь, сколько лет существуют СС? Каковы обороты СС-компаний? И Вы всерьез считаете, что люди, работающие с такими деньгами – лохи? И пользователи все лохи? И страховые компании, страхующие риски в т.ч. риски неплатежей, это добродушные наивняшки? И особенно полиция и СБ? Чтоб Вы знали, раскрываемость манипуляций с СС – под 70%, а масштабных – так под 100%. Серьёзные люди этим не занимаются, а несерьезных быстро ловят.
Рекомендую Вам ознакомиться с темой и не верить сказкам.
"You are lying" как сказал бы Хаус. На глаз меньше процента.
Заявление в подобном тоне предполагает возможность предъявить конкретный глаз. С сертификатом, подтверждающим его
(бывшего владельца)компетентность.Ув. uegen, вы всё описали весьма доброкачественно, полностью разделяю Вашу позицию. От себя лишь добавлю, что Paypal всё же конечно безопасности прибавляет, ведь платежи застрахованы, Вы можете вернуть деньги в случае конфликтной ситуации, что очень добавляет уверенности и комфорту при заказе какой-нибудь к примеру мелкой требухи для ПК у китайцев.
Подобное заявление предполагает возможность предоставить ссылку на авторитетные и незаинтересованные источники. Может корректней будет сказать "раскрываемость манипуляций с CC, по словам представителей банка xxx, под 70%". Я же скажу, что по версии знакомых кардеров, чаржбек происходит в 30% случаев, а ловят лишь сказочных долбаебов, которые ухитряются спалиться на пустом месте. Я часто пользуюсь услугами кардеров, и этим экономлю кучу денег, и раз такое возможно, то безопасность CC – полная туфта.
Продавец какбе ничего не должен: деньги пропали у вас, а потому вернуть их надо вам, а не банку или продавцу. Сферический идеальный ГК в вакууме – это не наш (по кр. мере в России) случай. В таком темпе и про конституцию можно вспомнить, и про преследование работодателя в случае необоснованного отказа в приёме на работу и увольнение с оной, и т.д. и т.п.
Запрещать вы не можете, т.к. списанием занимается банк в автоматическом режиме, и к коменту обнаружения проблемы деньги будут уже списаны, а вам нужно будет их вернуть. Списываются при совершении покупки они моментально.
Даже исходя из общих соображений понятно, что защиты там никакой нет, она как всегда сводится к правовому и/или уголовному урегулированию. Допустим, пришёл я в магазин, захотел расплатиться картой, а там скимер стоит. Злоумышленнику нужно от силы несколько часов чтобы сделать копию карты и обналичить её в ближайшем банкомате. Как вы докажете что это НЕ ВЫ сняли там свои деньги, а кто-то по дубликату вашей карты?! Также, напоминаю: "чаджбеки" не выгодны ни банку, ни продавцу – они нужны исключительно ВАМ. Технически же и юридически, и финансово ваш противник (и продавец и банк) – сильнее.
Если грамотно пользоваться по необходимости, то могут и не лохи, но это явно не случай "безопасности искаропки" где можно ни о чём не думать, так что в этом смысле чем они лучше налички...
Там свой "бизнес": и у страховых компаний, и у полиции, и у СБ, а вы среди них – лишь мелкая разменная пешка.
Genosse
в качестве глаза использую новости с форумов соответствующей тусовки, онлайн фраудом сс вообще почти не занимаются, дампами – да, но все таки ловят очень немногих, иначе бы этим никто и не занимался, правда?
http://www.fontanka.ru/2009/01/26/035/
На правах очерка
В числе прочего пользуюсь дебитной (зарплатой) картой Сбербанка РФ. Система оплаты «Maestro», подключена услуга SMS-уведомлений. Использую карту довольно активно, снимаю бабло через банкоплюи:), расплачиваюсь в универсамах, кафешках, магазинах. И вот, что интересно: в сети универсамов «12 мес.» нужно просто поставить подпись на чек при этом ни паспорт, ни пин-код не спрашивают; а в «Утконосе» просят ввести пин-код ни паспорт, ни подпись не требо; Круче всего «безопасность» поставлена в сети фирменных магазинов «Adidas». Сначала требуют паспорт затем пин-код, а уж напоследок подпись на чек.
Да и с SMS-уведомлениями тоже не все гладко. В большинстве случаев оно приходит через две три секунды после транзакции, но бывают сбои и смс-ка приходит через несколько часов:( А летом был случай, что смс-ка шла до меня два с половиной месяца!
Никаких ограничений на съем денег, судя по всему нет, а если и есть, то держится в строжайшем секрете и клиентам не разъясняется:(
PS Пока, ни копейки, ни поперли. Тьфу-тьфу-тьфу ни сглазить:)
запутался я среди гостей.... Особенно которые представляют себе схему функционирования СС как-то уж очень странно. Наверное мы какими-то с вами разными кредитками пользуемся... И банками. То, что некоторые из гостей не читали ни приложений к договорам обслуживания ни описаний работы карточных систем, ясно как Божий день.
Гость от 05/10/2009 23:42 и от 06/10/2009 10:07 вообще путает СС с Маэстро. Впрочем, банк откатывает по требованию клиента любой платеж если с его момента не прошло ХХ недель. Если банк гостя такие вещи делать отказывается (в чем я лично сомневаюсь) – надо менять банк.
Гость от 05/10/2009 16:56: Справедливое замечание. Но ссылок не дам. Газэтку в поезде читал. Не то Kurier, не то der Standart. Цифры приводились по Австрии. Это разумеется раскрываемость завершённых зарегистрированных преступлений. То естъ когда например у продавца получили товар или услугу за чужой счет, хозяин денег откатил трансакзию и продавец возбудил дело (в Австрии). Или хозяин денег проспал срок давности, спохватился через полгода и побежал в полицию. Многие плюют, если сумма небольшая. В описанном мною случае онлайн-казино точно в полицию не обращалось.
Опять же, если платежи перестрахованы PayPal или страховой компанией так пусть голова у них и болит. А у них собственные СБ, действия которых в полицейскую статистику не попадают. Мелочь не ловят вообще, потому что дорого, ущерб и общ.опасность невелики, убытки покрывает страховка. Сажать вроде не за что. Ну полгода максимум, а то и штраф. Ситуация такая же как с магазинными кражами. Дурашка думает: как я крут и умён, всех нае**л. А через полгода оппа – совокупность его мелких безобразий, старательно задокументированная СБ и сданная полицаям, обеспечивает ему года 2-3.
Кстати, Ваша фраза
Можно подробнее?
А мне плевать, Tor все скроет. Все мы уголовники, даже считающие себя честными людьми.
ГЫ, один мой знакомый уже 6 лет этим промышляет, купил себе квартиру и BMW, живет не бедствуя. Где же ваши хваленые СБ и полицаи?
Гостю от 06/10/2009 13:25:
:::Я часто пользуюсь услугами кардеров, и этим экономлю кучу денег::: Предположим, что утверждение истинно
::: и раз такое возможно, то безопасность CC – полная туфта::: А вот тут не связь отсутствует:
1. Вы можете быть агентом, сдающим кардеров.
2. Вы получили уже срок, но не штраф. Деньги в результате были съэкономлены.
3. Выборка не репрезентативна (слово "часто" – это и раз в год и раз в час)
4. Безопасность СС для пользователей – гарантирована, ну почти. Для эмитентов – доходы заметно превышают потери от несовершенства протокола и потому приемлемы. Технически протокол имеет слабости. Какую из "безопасностей" Вы имели в виду.
Вы думаете, это список логических ошибок? Неа! Логической ошибкой – как и у гостя от 06/10/2009 13:27 была попытка потроллить. Ваша подача выполнена академично и выдает как знакомство с формальной логикой, так и владение софистическими приёмами. Софизм "О рогах", похоже, не так ли? Образованный человек развлекается :)
Да пофиг на эмитеты, деньги крадут у владельцев CC, а эмитеты делают эти деньги из воздуха, они никак не могут быть в убытке.
Я имею в виду, что широко распространена такая услуга кардеров, как покупка всего, что продается через интернет за 20% стоимости. Платят за это наивные пользователи CC, которые доверяют свои деньги банкам. С точки зрения пользователя эта безопасность именно туфта, так как пользователь не контролирует кому и как он платит, узнавая о пропаже денег уже постфактум. Безопасная платежная система должна гарантировать, что никто не сможет списать себе даже рубль без явного и осознанного согласия владельца карты.
Отсюда вывод: Храните деньги в банке. Стеклянной.
А я имею в виду, что прежде, чем что-то писать, надо подумать о том, владеете ли вы вообще материалом. Разберитесь с протоколами СС сперва. А то ваши посты про кардеров начинают напоминать "ножевые байки" с guns.ru Ну про нож, который из танковай брони на зоне сделан, рубит гвозди, им можно бриться и не точить 30 лет. Который был у знакомого / у самого рассказчика, но посмотреть нельзя, потому что украли. Особенно повеселили 20%. Данные 1985 года?
Quantum+Visa=Qisa:
Spy code and quantum physics to tackle credit card fraud[link3]
No-clone smartcard via quantum memory[link4]
P. S.: Возможно, когда-то всё станет по-другому :-)
Ссылочку с предыдущей страницы от unknown'а прочитайте всё ж таки, да.
Гость 06/10/2009, прежде, чем что-то писать, надо подумать о том, владеете ли вы вообще материалом. Поймите, что в реальном мире живете сперва. А то ваши посты про кардеров начинают напоминать "шпионские байки" из интернетов. Ну про всемогущие спецслужбы, которые ломают любой шифр, все видят, все знают и скрывают тела инопланетян на секретных военных базах. С которыми лично сталкивался знакомый / сам рассказчик, но ничего проверить нельзя, потому что секретно. Особенно повеселили 70%. Мечты банкиров, или рассказчик купил машину времени?
Именно. Чтобы определить тухлое ли яйцо не обязательно надо быть курицей ©.
Гость (06/10/2009 16:59), у меня доверия к статье с fontanka, на которую unknown сослался, больше чем к вашим умозаключениям, ну вот как-то так. И вы её всё ж таки прочитайте.
2 Гость 06/10/2009 17:08: Ну не смешно уже. Материал уважаемого unknown повествует о картах типа Маэстро. Протокол работы которых В КОРНЕ отличается от протоколов СС. Топик же – о СС.
И за моими умозаключениями – 8 лет очень активного использования СС. И, так как у нас тут в европах бандиты как правило вооружены не постолетом, а авторучкой, соответственно многолетняя привычка ТЩАТЕЛьНОГО чтения договоров и приложений к ним. Чего и Вам – чтения в смысле – желаю.
Засим откланиваюсь
unknown
вторая часть статьи, где интервью с сотрудником милиции, бредовая. Причем тут именно Польша? Тоже самое и про Болгарию можно сказать, Турцию.
"сканирующее устройство, позволяющее считывать PIN-код и характеристики карты на расстоянии" – это вообще за гранью. "Вся техника стоит порядка 50 тысяч евро." – намного дешевле. "40% банкоматов без камер" – ложь, меньше намного
вот и думайте, банкам все равно – т.к операция произведена с вводом пинкода и деньги вам поэтому не вернут. милиция с такими вот сотрудниками, как тот который дал интервью, поймают кардеров только случайно. используйте чиповые карты, пока в России не ставят скиммеры под них
Если б в статье не было журналистского и прочего бреда, это уже бы не было б "обычной прессой".
Платят за это всё обычные граждане, пользуясь товарами и услугами, в стоимость которых включены проценты по кредитам коммерческих организаций, а также страдая от инфляции, вызванной необеспеченной эмиссией.
Эффективность преступлений по критерию "количество уворованного/(вероятность*длительность срока) зависит как от законов, так и от законоприменителей, которые в РФ стремятся к очень малым величинам. Главное – не задирать лапу на гэбню (ЕдРо).
Практическая статистика по 42-м карточкам американских и канадских резидентов.
Среднее количество платежей в РФ, после которых резиденту приходится менять карточку – 3,7. Потери денег ничтожны, в основном по причине предупреждённости плательщиков. Российские продавцы, блюдущие репутацию, никогда не принимают деньги с CC. Это сильнейшим образом подтачивает экспорт услуг.
Мои рекомендации: Из буржуиний в Россию не платить CC. Продавцам (если Вы не: "наше дело не рожать – сунул, вынул и бежать") в России не принимать СС.
И много другой интересной информации про банкоматы отсюда[link5].