cats_shadow | Warning! (об информационной безопасности при работе с пластиковыми картами)

Опубликовано в Traces of the cat's shadow
Вы можете оставить комментарий там или здесь (комментарии будут скопированы в оригинальный пост).
Link

или кое-что об информационной безопасности в свете вот этой записи:
http://velositi.livejournal.com/397980.html

Товарищи,
процедура "привязки" карты к номеру телефона (и автоматическое получение права на списание с нее денег) выглядит у Билайна так:

Позвоните на номер 0533, выберите пункт «Регистрация банковской карты», введите номер карты и срок её действия.
2.Со счета вашей банковской карты будет списана сумма размером 2 рубля и зачислена на ваш телефон.

В случае успешного списания 2-х рублей, банковская карта будет зарегистрирована в системе, и вы получите SMS-сообщение с секретным кодом. Запомните его — каждый раз при совершении платежей необходимо будет его использовать.

Ни о каком CVV, как видите, речи не идет;
срок действия карты подбирается банальным перебором - а блокировки на количество попыток на настоящий момент у оператора нет.
Выводы, надеюсь, очевидны?

via skessa

Flat | Top-Level Comments Only

From:

lair.livejournal.com

(а) номер и срок действия, а не только срок действия
(б) есть миллион систем, где можно так сделать, поэтому следить за принятыми и отклоненными транзакциями все равно надо, безотносительно билайна

(у меня недели две назад случайно сделали двойное списание; не следил бы - не заметил бы)

Edited Date: 2010-10-13 07:44 am (UTC)

From:

michael skolsky (cat's shadow) (from livejournal.com)

См. пост-исходник -- нет ограничений на количество попыток подбора срока действия.

From:

lair.livejournal.com

А в других платежных системах есть? Скажем, в амазоне?

Нет, в билайне, несомненно, криво. Но люди, которые (а) сами выкладывают данные по карте в публичный доступ и (б) при этом не следят за транзакциями, по-моему, все-таки виноваты сами.

From:

michael skolsky (cat's shadow) (from livejournal.com)

Paypal тот же, и его много кто принимает. Раскручивается Google Checkout.

Само-собой сами себе ЗБ. Если светишь карту как точку сбора средств -- позаботься об автоматическом переводе поступающих сумм на другой счет.

From:

lair.livejournal.com

"Paypal тот же, и его много кто принимает. Раскручивается Google Checkout."
Нет, я про другое спрашивал - во многих ли платежных системах есть ограничение на количество попыток подбора.

From:

michael skolsky (cat's shadow) (from livejournal.com)

Не скажу, поскольку использую тот же paypal -- а там авторизация карты через код в выписке или интернет-банк (для прямых переводов на счета). На сайте РЖД требуется ввод cvv.

From:

lair.livejournal.com

...зато в Билайн можно легко подавать претензию. По номеру, к которому привязывалась карта.

From:

michael skolsky (cat's shadow) (from livejournal.com)

В принципе, можно. Равно как и в платежную систему.

From:

lair.livejournal.com

Это две разные претензии. В платежную систему (точнее, в банк) - на возврат денег. В билайн - на прекращение мошеннических действий.

From:

michael skolsky (cat's shadow) (from livejournal.com)

угу.

From:

lair.livejournal.com

Прочитал пост. Люди сами выложили сведения о банковской карте в интернет.

Юзеры билайна тут не при чем совершенно, такую аферу можно провернуть с любым человеком, отдавшим информацию в паблик (и не только через билайн, можно и через интернет-магазины).

From:

michael skolsky (cat's shadow) (from livejournal.com)

Согласен, но сотовый оператор -- не инет-лавка подзаборная.

From:

lair.livejournal.com

Амазон нынче - подзаборная инет-лавка?

From:

michael skolsky (cat's shadow) (from livejournal.com)

О! в амазоне можно провернуть подобную аферу? тоглда -- да -- подзаборная с кривонаписанным кодом.

From:

lair.livejournal.com

Конечно, можно. Это можно сделать в любом магазине, который не требует cvv-кода (таких много). Дальше пишется бот, который идет по магазинам по кругу, осуществляя подбор (а, скажем, для интернет-онли-карт подбор очень простой, потому что у них срок действия зачастую шесть месяцев).

Поэтому блокировка должна быть не на уровне конкретного магазина, а на уровне банка/платежной системы.

From:

michael skolsky (cat's shadow) (from livejournal.com)

Поэтому нужно пользоваться "прокси" при проведении платежей, и хранить пароли отдельно.
Но это уже другой разговор и на другую тему.
(таки да, с заголовком я стормозил -- сейчас поправлю)

From:

skessa.livejournal.com

меня поражает, что билайновский кодер, строивший интерфейс, не почесался прикрутить счетчик - как это сделано у того же Мегафона;
"это же элементарно, Ватсон!" (с)

From:

lair.livejournal.com

Еще раз.

Первое правило безопасности применительно к карточкам - контролировать транзакции.
Второе правило безопасности применительно к карточкам - не светить номер.

Только потом можно возмущаться интерфейсами, в которых нет ограничений на подбор (кстати, по-хорошему, такое ограничение должно быть в платежной системе и в банке, а не у продавца, не так ли?)

А то я ведь легко назову схему, которая позволит обойти ограничение в интерфейсе Билайна.

(заметим, что у Мегафона привязка сделана иначе - через доступ клиента к выписке)

From:

michael skolsky (cat's shadow) (from livejournal.com)

Номер может быть "засвечен" случайно. Или скопирован продавцом в обычном магазине при расчете картой (что делалось и не раз, судя по инфе в Сети, чуть ли не в Домодедово в кофейниках).

From:

lair.livejournal.com

В обычном магазине при расчете картой можно скопировать все, что угодно, включая магнитную полосу (кроме пина). Поэтому если допустить неблагонадежность магазина, с деньгами можно попрощаться сразу.

(Кстати, в Европе продавцы никогда не берут карту покупателя в руки. Именно поэтому.)

From:

michael skolsky (cat's shadow) (from livejournal.com)

Именно. Кстати плюс варианта "visa electron"|"cirrus maestro" очень немногие банки допускают интернет-применение.

Кстати, пин тоже копируется -- врезкой в кабель считывателя -- ничего сложного.

From:

lair.livejournal.com

Мне казалось, пин не считывается. Но могу ошибаться.

From:

michael skolsky (cat's shadow) (from livejournal.com)

Там обмен с софтом терминала идет по банальному RS232. Соответсвенно, моджно сделать вариант эмуляции ввода пина. Не за 5 минут, но можно.

From:

welrin.livejournal.com

В руи не берут, как же. берут.

From:

lair.livejournal.com

Видимо, зависит от места.

У меня за две последние поездки (Франция, Швейцария) во всех сетевых магазинах продавцы на кассе не брали карту (которую я им сам подавал), а указывали на отдельный терминал, выведенный перед покупателем. Во многих кафе то же самое - официант приносит мобильный терминал, я сам расплачиваюсь.

From:

welrin.livejournal.com

Финка, Германия, Италия - ни разу не было никакого отдельного терминала. в кафе, да, приносят мобильный терминал, но сами в него карту засовывают.

From:

lair.livejournal.com

Год назад в Финляндии, супермаркет на заправке - отдельный терминал.

(
в кафе, да, приносят мобильный терминал, но сами в него карту засовывают.
Это хотя бы при тебе происходит. У нас обычно забирают карту, уносят к черту на рога, а потом приносят слип на подпись. За это время можно вообще что угодно сделать.
)

From:

randir-spb.livejournal.com

Номер карты - секретная информация.

From:

michael skolsky (cat's shadow) (from livejournal.com)

Именно. Но случаи утечки бывают разные (в том числе и самостоятельная публикация).

From:

finn-75th.livejournal.com

Что тебя удивляет? С момента запуска проекта с Моби.Деньги, Билайн является одним из основных способов вывода мошеннических денег. Раньше таким способом был МТС, что будет дальше не знаю, но Yota, к примеру, тоже планирует запустить свою платежную систему и тоже с Моби.Деньгами.
А CVV очень много где не требуется для подтверждения транзакции. Тот же PayPal хранить CVV не имеет права, к примеру, и транзакции через PayPal им не подтверждаются.

From:

michael skolsky (cat's shadow) (from livejournal.com)

Но в paypal ты предварительно авторизуешь карту через доступ к выписке счета (они там пишут код, помнишь?). И при оплате выдаешь не номер карты, а проводишь транзакцию через paypal, т.е. карту напрямую на "светишь".
Так что следить за своими данными -- в любом разе удел каждого.