Можно ли украсть деньги с чужой карты с помощью беспроводного терминала Статьи редакции
8 февраля сотрудник «Лаборатории Касперского» Олег Горобец рассказал на Фейсбуке, что встретил в метро подозрительного мужчину. По мнению Горобца, злоумышленник снимал деньги у пассажиров с помощью беспроводного терминала через одежду и стенки сумок.
Только что встретил мужика, вооружённого вот этим в поезде метро. Ага, без палева так. Был взволнован. Ещё один резон хранить карты PayPass в безопасном месте, лучше экранированном.
В комментариях к записи другие пользователи отметили, что Горобец мог встретить курьера, едущего на вызов. Однако не все согласились с этой версией, подчеркнув, что на снимке устройство явно находится «в боевой готовности».
Сам Горобец пояснил, что с помощью технологии PayPass с пластиковой карточки можно снять до 1000 рублей без пин-кода, просто «потеревшись о её владельца в метро».
В качестве решения проблемы комментаторы предложили носить карты в экранированных футлярах из металла или хотя бы в грудном кармане — так, чтобы потенциальный мошенник не смог провернуть операцию незаметно.
В разговоре с TJ сотрудник крупного российского банка усомнился в действенности этой схемы.
Снять деньги так можно, это несложно. Гораздо сложнее их вывести. Платёжные терминалы переводят деньги на банковский счёт, обычно оформленный на юридическое лицо. Соответственно, после выявленного факта мошенничества счёт будет заблокирован и арестован.
Открыть счёт можно только по оригинальному паспорту. Скан и копии не подойдут. Это как грабить людей на улице и каждой жертве показывать свои документы.
Сотрудник платёжной системы Wooppay пояснил, что с возвратом украденных средств в таком случае могут возникнуть сложности.
Считать [данные карты таким образом] возможно, есть много примеров, когда через RFID [радиочастотная идентификация — TJ] воровали деньги. В банк надо обязательно заявить о факте мошенничества, так как можно ещё и магнитную ленту украсть. Нужно срочно поменять карту.
А насчёт возврата вопрос сложный, так как обычно, те, кто берёт в банке карты с возможностью беспроводной оплаты через RFID, ставят подпись под тем, что все транзакции без ввода PIN идут под их ответственность. Договор надо смотреть и банк заявить.
( ͡° ͜ʖ ͡°)
Прогулка на миллион
Чятику понравится
Опять пугают какой-то фигнёй, причём у меня половина знакомых уже верит, что так можно деньги украсть. Это же не биткоин, они не чёрт знает куда уходят, а на конкретный счёт конкретной организации или физ. лица. Учитывая, что уведомление (если не включены, то вы ССЗБ) придёт ещё до того, как такой товарищ покинет вагон, то тут же можно заявить о краже, а может даже и вора за руку поймать. Это реально как грабить людей с паспортом в руках и мигалкой на голове. Намного проще по старинке кошельки таскать. Из всех только Павел адекватно ответил.
А про сервисы, где продают счета и юр. лица, оформленные на дропов вы не слышали ?
Ну, то есть сложность исключительно в схеме вывода средств.
Перевод может быть в Сирию. Зачем нужно позволять делать такие переводы? Почему не поставить подтверждение по нажатию кнопки? Уже же есть даже стандарт на это но нет разрешим всем снимать сколько хотят
Через месяц Лаборатория Касперского выпустит специальные чехлы для карт для защиты от такого "мошенничества". По 3000 рублей за штуку.
Не писать семь месяцев комментарии на TJ? Я неделю пытался, у меня не получилось. Расскажите, как Вам это удалось? ))
И это всё равно не спасёт от мошеннических списаний если человек сам достал карту для оплаты а с него списали в 50 раз больше. К тому же ещё и пинкод человек введёт послушно.
Я вот тут пробежался по тексту:
http://www.abc.net.au/news/2014-05-30/electronic-pickpocketing-looms-as-next-credit-card-fraud-threat/5486806
Говорят, суть таких бесконтактных манипуляций может состоять не в сиюминутном хищении средств со счёта, а в получении данных, необходимых для последующего клонирования карты.
Точнее не клонирование (так как там еще чип), а копирование реквизитов карты. Но они в большинстве случаев так же бесполезны так как есть верификация транзакции через СМС (3DS).
По технологии PayPass передается только одноразовый токен на определенную сумму, клонировать не получится, то есть продавец даже не видит вашего имени.
Для защиты не обязательно прятать карту в какие-то специальные чехлы...
у меня например когда карточка лежит вплотную к студаку, то ею не оплатить... а проверить поможет или нет, можно просто в магазине попробовать что-то оплатить таким образом)
Та же фигня если две карты вместе лежат - не сработает пай пасс
Этой фразой в начале новости уже всё сказано:
сотрудник «Лаборатории Касперского» Олег Горобец встретил в метро подозрительного мужчину.Забыли только добавить слово "случайно".
Ну на самом деле не так просто, в магазинах не всегда получается оплатить по PayPass прям "быстро" - карту держать приходится пока терминал распознает. Тут уж проще просто карты с карманов задних повынимать, потому что иного места где они могут быть чтобы о них можно было "потереться" не представляю.
у нас достаточно поднести карту к терминалу, даже прикладывать не надо, он почти сразу пищит, что значит, что карту можно убирать и платеж пошел
У меня ни разу не получалось заплатить с кошелька, где несколько карт с поддержкой PayPass. Надо было вынимать и по одной карте прикладывать к считывателю.
И ещё умора будет, если у меня кошелёк в переднем кармане джинс.
Отличный выход - завести еще одну карту с PayPass :)
Но да, вы правы - если две карты вплотную, то не считывается.
Еще если карта вместе с тройкой лежит то по тройке например не пройти, а вот с оплатой не тестил
Кардеры уже не те :(
Давно продаются кошельки с RFID-защитой, JW например. У меня такой, проверял - защита работает.
Хорошо еще не дошли до того чтобы выковыривания чипа или прожигания пьезо зажигалкой, как например, истерии с CVV кодом и замазыванием оного.
Тревожно как-то стало
А вообще у меня карта сбербанка с чипом и без всех этих штук вроде paypass, так что нет проблемы
Ну пока и paypass нет реальных кейсов воровства. Пока только пугалки всякие.
Тот самый Паша?
Это Макс, у него уже установлено новое приложение Сбербанка, а у тебя?
Если красть деньги, то красть очень быстро и с минимальными промежутками - чем больше людей обворовано, тем больше вероятность того, что они получат смс о списании и позвонят в банк.
И я не очень верю в то, что даже если оформлять счет на дропа, несколько десятков транзакций за короткий промежуток времени с немедленной попыткой вывести деньги не вызовут подозрений. К тому же, это происходит не мгновенно.
Чисто технологически, нет необходимости ходить с терминалом, если любой телефон с NFC считывает\отдаёт RFID.
Ну и кажется, что это слишком просто и очевидно для того, чтобы появиться только сейчас.
Не забывайте что у вас может быть 3-4 таких устройства, ловкий щипач может за час обработать 20-30 человек, счет заблокируют не раньше чем через 4 часа так что 3 часа на работу есть а это порядка 300к рублей при затратах в 100 вместе с отмывом, 50к на человека в день весьма не дурно я вам скажу (:
господи, ну и бред вы здесь пишите)
Комментарий удален модератором
Писать бред за деньги!)
Этот вид мошенничества до сих пор существует только потому, что банки не несут никакой ответственности. Следует сделать так, чтобы от данного вида мошенничества материально страдали в первую очередь не клиенты, а сами банки и тогда воровство с электронных карт исчезнет как класс.
Эйдн Пирс начало