Банковские карты, CVV2 и безопасность :-?

Мой план ориентирован именно на сабжевый единичный случай.

Это все как русская рулетка.
Десять раз тебе повезет, а на 11-тый тебя загребут и повесят на тебя 10 твоих случаев и ещё 30 не твоих.
Воровать - плохо, ещё хуже думать, что ты умнее банков и органов.

Короче, не верю я в единичные случаи.
Человек своровавший однажды обязательно попробует ещё раз, и ещё.
Ворованные деньги из воздуха пьянят нарушают систему ценностей, т.е создают у человека ощущение, что можно воровать и жить хорошо.

но смысл тут в том, что снять чужие бабки и не сесть можно.

Можно, разумеется. Можно и убить человека и не сесть, что же теперь всем в бронежелетах ходить ? Охрана правопорядка - не функция банка. Защищённость кредитки достаточна.

Ну давай я тебе номер своей кредитки скажу, что ты будешь с ним делать?

Я-то с ним ничего не буду делать, но давай, пригодится.

А вы пробовали расплачиваться карточками в ресторанах?
В тех, где я бывал, карточку уносил официант, затем возвращал ее вместе с парой чеков на подпись.
И вот там ее легче легкого с 2 сторон отсканировать да и считать инфу при желании.

амазону достаточно номера, даты окончания и имени владельца, cvv2 ему не нужен))

Во-первых, для недоверенных продавцов есть такие одноразовые пароли, которые приходят на телефон.

Во-вторых, одновременно со списанием средств с карты приходит оповещение о нём, так что увидев левый платёж, можно моментально заблокировать карту.

СVV тоже ему нужен, сколько я помню.

А нет ли у тебя блога?

Хорошие ты вещи пишешь, причём постоянно, хоть сиди и под каждым постом подписывайся.

//ИМХО: Короче, CVV2 надо удлинять :)

Так сейчас же в моде всякие 3D Secure и SecureCode ? По крайней мере на моих картах оно используется.

ты не поверишь, чиновники такие

На этот подбор есть, обычно, где-то года 2(срок действия карты).

карту заблочат гораздо быстрее. Мне банк блоканул на четвёртой попытке вбить номер с брелока (который заглючил). Причём так что я плёлся в банк с документами чтобы разблочили.

Так не бывает, даже среди чиновников.
Каждый человек который получает легкие деньги так или иначе за это платит, даже чиновники.

Очень многие кардеры подсаживаются на тяжелые наркотики и алкоголь из за постоянного стресса.
А у чиновников идет профессиональная деформация и атрофирование каких либо умений, страх потерять место который в результате заставляет их быть серой массой, которая молчаливо выполняет указы сверху.

Счастливые, беззаботные и довольные собой воры бывают только в фильмах.
Ну или может ими могут быть те, кто за раз воровали сотни миллионов, т.е тот 0.0001% нарушителей закона которым реально может хватить одного преступления.

Хороший блог подразумевает подготовку материала и самостоятельный поиск интересных тем, а это лень делать.
К тому же адекватную информацию по теме ИБ мало кто может воспринимать.

В рунете нет нормальных ресурсов по безопасности/анонимности/шифрованию, потому здесь приятнее всего проводить время.
Если что интересно можешь писать на почту.

зопили реестр для линуха :)

Пока все ещё занят портом винлокера.

под вайном прёт?

все остальное легко замораживается, оспаривается и возвращается после выяснения всех обстоятельств.

http://pavel-yegorov.livejournal.com/

Вайн это костыль!

Linux достоин того, чтобы получить свой собственный локер, нативный.
Только оплата будет через биткоины, т.к лень процессинг смс искать.

существуют сайты, где все можно покупать даже без цвв.

яндех кошелек же!

Я склоняюсь к тому, чтобы локер был настоящий, а яндекс кошелек заблочат.
Заглушку накодить кто угодно может :)

Как минимум на убунте 11.10 / 12.04 оно взлетит.

шо, такая же дырявая, как венда?

Хм. А ко мне всегда приходят с беспроводным терминалом и при мне в него рожают карту

У меня один раз забрали, а я только новую карту оформил и пин не помню, официант пришел вместе с чеком и все, не пин ввести не попросил и подпись поставить тоже не. А без этих вещей платеж легко оспорить.

CVV2 можно заклеить ленточной замазкой и спокойно пользоваться картой.

амазону достаточно номера, даты окончания и имени владельца, cvv2 ему не нужен))

Ложь.

Кажется, я ходил в неправильные рестораны.

Как минимум на убунте

Мне кажется надёжнее сделать независимую от ОС реализацию, и совать её в MBR, а шифровать в таком случае можно и настоящую таблицу разделов.

Не знаю, просто я сижу на убунте, а потому делать буду под неё.

Независимая от ОС реализация требует некоторого скилла и кучи времени, к тому же не во всех ОС я разбираюсь.
А ведь лочить разные способы восстановления надо для всех систем.
MBR очень просто восстановить.

А вот на убунте довольно многие юзеры сидят с дефолтным шифрованием, которое хранит ключ в одном файле который просто незаметно затереть/зашифровать.
В общем сначала убунта, а потом остальное.

Поздравляю, уважаемый! Вы открыли для себя новую область мошенничества. Кардинг называется. Явление это не такое уж и новое и, как показывает практика, очень ненадежное. Слишком уж легко попасться.

Самая простая схема: договориться с продавцом в магазине, в котором установлен терминал для расчета по пластику. От продавца требуется честное лицо и хорошая память. Запомнить два десятка цифр секунд на 30 не так уж сложно, особенно, если продавец еще и будет иметь возможность отвлечь покупателя с кредиткой или терминал скрыт от неусыпного взора владельца карты.

Далее, продавец передает мошеннику полученные номера карт с CVV2-кодами и сроками окончания действия карт. Что же делать с полученными данными?

Есть два пути: сделать так называемый, белый пластик. По сути, фальшивая пластиковая карта, на которую мошенник записывает реальные данные. С таким пластиком довольно легко можно рассчитаться в магазине. С банкоматами лучше не связываться.

Второй путь: покупки в интернете. Быстро, легко и очень опасно, потому что проследить путь покупки легче некуда. Тут у мошенников есть свои способы скрыть свою личность и местонахождение, но об этом я уже не стану тут писать.

P.S. не стоит думать, что из-за всего этого пластик опаснее обычных денег. Вы же никому в руки свой кошелек не даете, а если даете, то внимательно за ним следите. Так почему же вы пластиковую карту без внимания оставляете? Это такой же ваш кошелек, только чуть посложнее. И он, таки немного безопаснее. Если у вас украдут карту и вы вовремя это заметите, вы не потеряете свои деньги. А вот с кошельком можете попрощаться вместе со всеми деньгами в нем.

Все правильно, только не все следуют простой истине: хранить свою карточку в сейфе и никогда никому не давать на нее смотреть (разве что банковскому работнику при переоформлении карты).

Я вот, к сожалению, не помню. В отчете в конце смены в торговой точке указываются номера карт, по которым были сделаны покупки за смену, или нет. Вроде должны указываться, но не могу вспомнить точно.

даже не ЧП а просто однодневка

А в магазине CVV вообще не используется, только номер карты даю и на чеке расписываюсь.

В общем главное - иметь оперативные уведомления о списании со счёта (например СМСкой) и возможность заблокировать карту при обнаружении кражи. Банк при этом откатит транзакцию и денег с карты не снимет, придётся только перевыпустить карту.

А вообще это всё с древних аналоговых времён, обвешанное костылями в попытках приспособить под текущие реалии. Когда-нибудь всё переделают. Но и сейчас можно жить.

разница в том, что если кошелек в сейфе, о нем можно не беспокоиться. а если в сейфе карта, то...
конечно, можно установить лимит снятия, но даже сто долларов терять не слишком приятно

Самое правильное: иметь две карты.
Одну для расходов в магазинах/кафе/ресторанах, и уже другую для хранения больших сумм и оплаты крупных покупок.
Вот именно вторую нельзя никому в руки давать.

Есть простые правила работы с картой:

Хранить карту ВСЕГДА в безопасном месте или при себе. Дома - найти для нее укромное место, куда не доберутся ваши жена/дети/теща/друзья. В идеале, об этом месте никто даже знать не должен. Мой опыт показывает, что чаще всего деньги с карты воруют родственники или друзья/собутыльники, к сожалению. Часто, пин-код хранится прямо рядом с картой.

Это уже второе правило - запомните уже, наконец, свой пин-код и сожгите бумажку с ним! Неужели так сложно запомнить 4 цифры, которые несколько раз в месяц, как минимум, набираете?

Третье правило - если вы даете свою карту в руки продавцу в магазине, будьте так добры, не вертите башкой, как пропеллером! Следите за продавцом! В его задачу входит сверить имя на карте с вашим полом (может паспорт спросить или водительское удостоверение) и убедиться, что перед ним не явная подделка. Затем он должен просто вставить карту в терминал (если карта «дорогая») или провести ей по специальному разъему в терминале для считывания номера карты. После этого он должен либо дать вам ввести пин-код (в случае «дорогой» карты) или дать расписаться в чеке. Ни в коем случае то и другое вместе! Если вы ввели пин-код и вас просят расписаться в чеке - это повод обеспокоиться. Спокойно сообщите продавцу, что свою личность вы уже удостоверили вводом пин-кода и большего от вас требовать не могут. После завершения операции вам должны немедленно вернуть карту. Убирать ее под стол, закрывать книгами, кассовым аппаратом или еще чем-нибудь вашу карту от вас продавец не имеет права! Если он так сделает, сделайте ему замечание немедленно.

И, наконец, четвертое правило - остерегайтесь делать покупки в интеренете на сайтах, которым не доверяете. А доверять можно не такому уж большому количеству сайтов. Даже если сайт вполне честный и обещает никому ваши данные не открывать, никто не гарантирует, что он хранит их должным образом и при взломе сайта ваши данные не попадут к мошенникам без каких-либо хлопот.

Самое веселое, что в магазине можно обслужиться по карте даже не вставляя ее в терминал :)

Хороший совет. Еще можно завести виртуальную карту для расчетов в сети интернет. Даже если злоумышленник получит доступ к такой карте, денег на ней все равно никогда нет. Они там появляются только когда вы сами их туда переводите с другой своей карты. Вроде виртуальные карты вообще ничего не стоят ли стоят намного дешевле обычных.

Пин-код нужен лишь чтобы снять с карты деньги в банкомате. А чтобы оформить покупку, нужно лишь видеть цифирьки с карты.

И еще: раньше у меня была обычная сбербанковская карта, там был восьмицифровый пароль. И я матюкался, почему он такой короткий. Сейчас - «виза» росколхозбанка. Там вообще 4 цифры. Ну что за дебилы? Почему нельзя длину пароля хотя бы 32 цифрами ограничить?

Использовать карту для снятия денег в банкомате опаснее, чем платить ей в магазине или в интернете. Если карту с пинкодом соскиммят (а скиммеры зачастую очень сложно увидеть), то возврата средств не будет (или будет через годы судов). Если у тебя своровали пинкод, у тебя своровали все деньги. Возврат средств по транзакции в которой есть только номер карты, делается элементарно. То же с интернет-платежами.

Кстати, продвигаемая 3dsecure технология аналогична пинкоду. Если вы ввели код 3dsecure, то оспорить данную транзакцию не сможете.

Зачем вам кошелек, если вы храните его в сейфе? Кошелек и карта - вещи, которые постоянно нужны с собой.

Без CVV2 или внутренней отметки о вводе CVV2 в прошлом банк РФ не пропустит платеж.

Можно основные деньги на каком-нибудь депозитном счёте держать с небольшими процентами и максимальной свободой распоряжения. Скорее всего это будет дешевле, чем за две карты платить, хотя от конкретного банка всё зависит, конечно.

У вас была не обычная сбербанковская карта, а поделка под названием СберКарт. Технология, придуманная дебилами для дебилов. Пусть земля ей будет пухом. Вроде уже окончательно ее изжили со свету.

4 цифры пин-кода - вполне достаточный уровень защиты. С учетом смс-уведомлений, после первой же попытки подбора пин-кода, вы об этом узнаете, а после третьей неудачной попытки вообще можете не беспокоиться о своих деньгах. Карта будет надежно заблокирована и конфискована банкоматом или работником торговой точки (не завидую такому работнику, но таковы требования контракта, который торговая точка заключает с банком). Вам останется только позвонить в банк и узнать, как получить новую карту.

Да вариантов куча.

Просто хранить деньги на карте и надеяться, поможет какая то защита глупо.
Лучше просто не допускать возможности кражи крупной суммы.
У меня ни разу деньги не воровали, но зная специфику Российских банков можно полагать, что проблем с возвратом средств будет много.

Если есть хороший сервис вроде интернет-банкинга, то да, удобно. Если же нет, то лучше уж две карты.

Самое правильное: иметь две карты.

У ВТБ24 есть виртуальные счета в интернет-банке. Для изоляции средств - самое то.