LINUX.ORG.RU
ФорумTalks

Можно ли делать покупки банковской картой?

 


2

2

Пришло СМС от сбербанка, что моя карточка VISA заблокирована. Я туда позвонил, мне сказали, что с моей карточки сегодня пытались снять деньги из Индонезии (где я никогда не был).

При этом пояснили, что мошенники устанавливают в магазинах и банкоматах специальные считывающие устройства, которые позволяют полностью скопировать мою банковскую карту.

В связи с этим, вопрос: можно ли делать покупки в магазинах по таким картам?

★★★★★

Последнее исправление: Nxx (всего исправлений: 1)

Скимеры вообще магнитную ленту считывают и пин код тырят. Если ваш платежный реквизит стырили именно как говорит банк, например, при попытке обналичить лавандос дубликатом карты в каком-нибудь ATM индонезии, то лок на карту получить так не возможно. Представляете, вы приезжаете в Индонезию на отдых и вашу единственную карту на которой все ваши основные деньги на поездку лочат со словами: вы шо правда в индонезии, да не може быть такого, приезжайте срочно в наш офис все решим.

Но все намного проще всяких скимеров, чип-кард и прочих TLS: расплачиваетесь Вы, к примеру, в какой-нибудь кафе своей картой, вкладываете в счет, приходит официант забирает счет и идет с картой к банковскому терминалу, который толи за стойкой стоит, толи в подсобном помещении, далее немного магии с карандашом и блокнотом, потом карту вам возращуют. Ну, собственно и все, через месяцок другой придет парочка веселых транзакций.

BigAlex ★★★
()
Последнее исправление: BigAlex (всего исправлений: 1)
Ответ на: комментарий от alix

Ну-ну, если банк, который осушествляет процессинг говорит, что для этой суммы и этой карты требуется ввод пин-кода, то нажимая красную кнопку и предлагая взамен свою подпись, то вы уйдете домой без покупок. Почему? Да, потому что для авторизации транзакции нужен ввод пин-кода (это и видит кассир, когда предлагет вам ввести свой пин). Пока банк не одобрит транзакцию никто вам ваши покупки не отдаст, т.к. вы их еще не оплатили.

На всякий случай уточню, что отказ от ввода пин-кода по сути есть отказ подтвердить себя как владельца карты. Далее кассир может отказать вам вернуть карту, по крайней мере пока вы не подтвердите свою личность соответсвующим документом.

BigAlex ★★★
()
Последнее исправление: BigAlex (всего исправлений: 1)
Ответ на: комментарий от BigAlex

Представляете, вы приезжаете в Индонезию на отдых и вашу единственную карту на которой все ваши основные деньги на поездку лочат со словами: вы шо правда в индонезии, да не може быть такого

Есть такое, наверное почти у всех банков, спасибо кардерам. Некоторые вначале звонят и спрашивают, некоторые сразу лочат. Нужно предупреждать банк.

Да, потому что для авторизации транзакции нужен ввод пин-кода (это и видит кассир, когда предлагет вам ввести свой пин).

На карте записано как и по чему можно провести транзакцию и маловероятно что подпись отключена совсем. Но тупому кассиру объяснить это будет сложно, некоторые даже подпись после пина просят.

KillTheCat ★★★★★
()
Ответ на: комментарий от lenin386

А что толку. Банкомат на чип кладёт болт и работает через полоску.

Вообще, мне тоже инетересно почему нет банкоматов, которые карту не жрут целиком, а как в терминал вставляешь только передок с чипом и все.

BigAlex ★★★
()
Ответ на: комментарий от alix

Если при покупке в инете требуется ввести пинкод то это 100% мошенники. Должна прийти смс-ка с одноразовым паролем для подтверждения покупки.
А с заблокированной карты даже снять деньги можно только через сберкассу.
ТСу: Карту лучше поменять если параноик. Если нет - звони по горячей линии и снимай блокировку.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от BigAlex

Требование «безопасности» наверняка. Ну чтоб если пока с банкоматом возишься стукнут по башке карту забрать не смогли.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от lenin386

42 же. Как-то пытался прокатывать полоску у чипованной карты у кассового терминала, который не имел разъема для чипов. Fail.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от KillTheCat

На карте записано как и по чему можно провести транзакцию и маловероятно что подпись отключена совсем.

На карте-то может быть записано, но решение по транзакции принимает банк, который осуществляет процессинг. Если процессинг через терминал сообщает кассиру, что с этого товарища нам нужна авторизация по пин-коду, то таки нужен пин-код, если бы было достаточно только подписи, то пин бы не спросили, соответственно.

Вы должны различать ситуацию, когда транзакция процессингом одобрена и нужна подпись, относительно ситуации, когда для одобрения транзакции требуют пин-код.

BigAlex ★★★
()
Ответ на: комментарий от DNA_Seq

С другой стороны можно бить по башке уже сразу после ввода пина. Опять таки некоторые банки по одной карте дают доступ ко всем счетам.

BigAlex ★★★
()
Ответ на: комментарий от BigAlex

Потому что в штатах почти нет карт с пином, там до сих пор карты с магстрайпом. А рынок США - рынок номер один для всех, в том числе и для производителей банкоматов.

Только недавно там начали выдавать чипованные карты. Но даже сейчас основной способ авторизации у них чип и подпись, а не чип и пин. Высококонкурентный рынок, пин людям запомнить сложнее, те кто будет выдавать чип и пин просто прогорят.

shimshimshim
()
Ответ на: комментарий от shimshimshim

Я конкретно про чип-карты ничего не говорил. Я говорил, что уйти с покупками предлагая кассиру подпись, когда процессинг запрашивает пин-код, не получится.

И современные реалии СШП мне интересны еще меньше - там до сих пор дорожные чеки пади в ходу.

BigAlex ★★★
()
Ответ на: комментарий от BigAlex

Да я тоже не только на твой вопрос отвечал. Там и чеки в ходу, и ACH.

Я к тому, что производители ридеров ориентируются на штаты - пока там у людей магстрайп, ридеров не читающих магстрайп будет исчезающе мало.

shimshimshim
()
Ответ на: комментарий от BigAlex

Вообще, мне тоже инетересно почему нет банкоматов, которые карту не жрут целиком, а как в терминал вставляешь только передок с чипом и все.

Легаси. Тогда банкомат не сможет жрать карты, хотя какой смысл изымать и уничтожать карту которая все равно заблокирована.

KillTheCat ★★★★★
()
Ответ на: комментарий от nanonymous

и сделали покупку по магнитной полосе без подтверждения ПИНом, то деньги вернут без вопросов (прописано в правилах Visa и MasterCard).

Как я проконтролирую, списали или нет? Я что, распечатки должен каждый день смотреть?

Nxx ★★★★★
() автор топика
Ответ на: комментарий от Nxx

Да. Или настроить получение уведомлений, если траты за период превысили определенный лимит.
Некоторый мошенники, типа опсосов и банков этим пользуются - подписывают на платные услуги и снимают постоянно незначительные суммы, юзеры у которых много автоплатежей и подписок смотрят на общий баланс и не замечают их.

KillTheCat ★★★★★
()

Можно ли делать покупки банковской картой?

конечно, одноразовой виртуальной.
или снимать нал в кассе. других приемлемых способов не знаю

wxw ★★★★★
()

Вот зачем вы это сюда принесли? Теперь у меня тряска.

// сую зарплатную (единственную карту) везде где можно, расплачиваюсь онлайн, юзаю ПЕРЕВОД с мобилы, которая без пароля.

eR ★★★★★
()
Ответ на: комментарий от BigAlex

Вообще, мне тоже инетересно почему нет банкоматов, которые карту не жрут целиком, а как в терминал вставляешь только передок с чипом и все.

Потому что это тоже самое, только хуже:

а) Никто не мешает при этом считать магнитку; б) Банкомат должен уметь изъять карту.

А вообще, в Америке таких банкоматов хоть попой ешь. Только вот чип они не умеют.

nanonymous
()
Ответ на: комментарий от DNA_Seq

42 же. Как-то пытался прокатывать полоску у чипованной карты у кассового терминала, который не имел разъема для чипов. Fail.

Тоже 42. :)

nanonymous
()
Ответ на: комментарий от Nxx

Как я проконтролирую, списали или нет? Я что, распечатки должен каждый день смотреть?

Неужели тяжело СМСки читать, когда они приходят? К тому же на опротестование операции дается вполне достаточное время. Вообще говоря, в момент авторизации, деньги даже с картсчета еще никуда не уходят.

nanonymous
()
Ответ на: комментарий от BigAlex

Представляете, вы приезжаете в Индонезию на отдых и вашу единственную карту на которой все ваши основные деньги на поездку лочат со словами: вы шо правда в индонезии, да не може быть такого, приезжайте срочно в наш офис все решим.

Американские банки так и поступают.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от nanonymous

а) Никто не мешает при этом считать магнитку;

Да, как? Я засунул карту на 15% ее длины - тут никакой libastral не поможет.

б) Банкомат должен уметь изъять карту.

Зачем? Я сую карту чипом, ввожу пин, забираю карту, у меня 3-5 минут на проведение моих транзакций с ATM - авторизацию я прошел.

BigAlex ★★★
()
Ответ на: комментарий от Nxx

часто в своих(!) банкоматах обнаруживают мошеннические устройства и после этого блокируют все карточки, которые использовали эти банкоматы

я подозреваю, что там все умнее, и такие проверки делаются с регулярной периодичностью. например те зеленые человечки с автоматами, что заряжают в банкоматы деньги - проверяют на наличие всяких мошеннических считывателей. и блокируются только те карточки, которые были использованы в интервале между последней успешной проверкой, и текущей. и это правильно, если об этом нормально уведомляется.

Komintern ★★★★★
()
Ответ на: комментарий от BigAlex

Зачем?

А если ты не свою карту всунул?

Я сую карту чипом, ввожу пин, забираю карту, у меня 3-5 минут на проведение моих транзакций с ATM - авторизацию я прошел.

Пин проверяется при каждой операции, никаких 3-5 минут.

Pythagoras ★★
()
Ответ на: комментарий от Sadler

Косяк конкретной карты же. Всяко уже исправили.

А по ссылке написано, что косяк сстандарта EMV и журналисты перепробовали много разных карт...

Pythagoras ★★
()
Ответ на: комментарий от invy

Ну это да, в современных картах магнитную ленту просто выпилили.

И кто же в России выпускает карты без магстрайпа?

Pythagoras ★★
()
Ответ на: комментарий от DNA_Seq

А что мешает стукнуть по башке, нажать CANCEL и забрать выданную банкоматом карту? За эти 2 секунды прибежит полиция?

vurdalak ★★★★★
()
Ответ на: комментарий от invy

А я не про РФ.

Про страны со своими уютненькими локальными платежными системами? Что-то про осуществления этого в РФ тоже вонь слышал.

А для МастерКард и Визы наличие магнитки обязательно.

nanonymous
()
Ответ на: комментарий от BigAlex

а) Никто не мешает при этом считать магнитку;

Да, как? Я засунул карту на 15% ее длины - тут никакой libastral не поможет.

А тут у нас тогда отсечение потенциальных клиентов - а вдруг кто без чипа зайдет в гости? Напомню, транзакции по чужим картам - это основная прибыль от банкомата. А содержание банкоматной сети, удовольствие недешевое.

б) Банкомат должен уметь изъять карту.

Зачем? Я сую карту чипом, ввожу пин, забираю карту, у меня 3-5 минут на проведение моих транзакций с ATM - авторизацию я прошел.

Во-первых, это так не работает. Чиповая карта должна присутствовать в устройстве в течение всего авторизационного цикла, так как должна быть проверена ответная криптограмма (ARPC).

Во-вторых, как уже ниже верно ответили, это сделано для изъятия украденных и вообще мутных карт.

nanonymous
()
Ответ на: комментарий от Pythagoras

А по ссылке написано, что косяк сстандарта EMV и журналисты перепробовали много разных карт...

Ага, MitM между картой и терминалом. Догадайся, куда тебя пошлет кассир, когда ты ему дашь пластик со шлейфом, ведущим в пальто?

nanonymous
()
Ответ на: комментарий от nanonymous

Ах да, это только для оффлайновой проверки пина работает, соответственно в банкоматах снять не получится, да и не все карты умеют офлайн проверку пина.

nanonymous
()
Ответ на: комментарий от nanonymous

Ага, MitM между картой и терминалом. Догадайся, куда тебя пошлет кассир, когда ты ему дашь пластик со шлейфом, ведущим в пальто?

Кассир должен быть в сговоре, как и при форде с «белым пластиком». Только теперь на чеке будет написано «введён пин».

Pythagoras ★★
()
Ответ на: комментарий от nanonymous

А для МастерКард и Визы наличие магнитки обязательно.

Да ладно? Через 8 месяцев уже будет официально obsolete. http://www.entrepreneur.com/article/234253

А в Германии с местных дебитных (EC) уже лет 5 как тому назад выпиливать начали.

invy ★★★★★
()
Ответ на: комментарий от nanonymous

Стандартный сценарий: ты платишь в ресторане, даёшь карту официантке, а та карточку и в девайс и в ресторанную читалку пихает.

invy ★★★★★
()
Ответ на: комментарий от nanonymous

Ах да, это только для оффлайновой проверки пина работает, соответственно в банкоматах снять не получится, да и не все карты умеют офлайн проверку пина.

Она и не должна уметь. Они подделывают CVM терминала. Карта будет считать, что она в терминале, не умеющим пин, и авторизует без него. Терминал будет считать, что карта успешно проверила оффлайн пин. Эмитент даже не узнает, что там между терминалом и картой происходило, ему придёт авторизация без пина (так как он, якобы, уже проверен картой). Банкомат - единственное исключение, так как там онлайн пин обязателен.

Pythagoras ★★
()
Ответ на: комментарий от BigAlex

В нормальных ресторанах уже давно только при клиенте карту используют. Официант приносит считывающее устройство к клиенту.

hibou ★★★★★
()
Ответ на: комментарий от invy

Да ладно? Через 8 месяцев уже будет официально obsolete. http://www.entrepreneur.com/article/234253

По ссылке речь о ликвидации отсталости таких стран,как Кения и США, в поддержке чипа. Там нет ни слова о выпиливании магнитной полосы.

Pythagoras ★★
()

Нет нельзя. Совершая покупки в магазине с карты, ты сливаешь на себя данные третьим лицам. Там большая шайка компаний будет иметь знания на тебя. Поэтому, лучше обналичивать наличку и платить везде только наличной, это будет анонимно.

P.S.: При условии, что не используется какая-либо скидочная карта магазина. Там тоже привязка к личности идёт.

th3m3 ★★★★★
()
Ответ на: комментарий от th3m3

Совершая покупки в магазине с карты, ты сливаешь на себя данные третьим лицам.

Да, эти сверхсекретные данные - имя, номер карты и срок действия, а 3-е лица - это платёжная система, банк-эмитент и банк-эквайер. Из них троих только последний знает, где вообще этот магазин находится. Очень опасно, да. Могут узнать, что ты часто ходишь в кондитерские, и заставить рекламой стоматологий.

Pythagoras ★★
()
Ответ на: комментарий от BigAlex

Если процессинг через терминал сообщает кассиру, что с этого товарища нам нужна авторизация по пин-коду, то таки нужен пин-код, если бы было достаточно только подписи, то пин бы не спросили, соответственно.

твои умные слова не подтверждаются практикой.

maloi ★★★★★
()

Сегодня слышу в магазине разговор продавщиц на эту же тему. Спрашиваю, «у вас тоже карту заблокировали?» они говорят, да, сегодня пришло смс. Точно такое же как у меня.

Nxx ★★★★★
() автор топика
Последнее исправление: Nxx (всего исправлений: 1)
Ответ на: комментарий от lenin386

Кек. Я уже чуть меньше полугода хожу с карточкой с отвалившейся магнитной полосой. Банкоматы работают, разве что кассиры косо смотрят.

Lighting ★★★★★
()
Ответ на: комментарий от Nxx

Ну чушь-то не неси. Никакого доступа к остальным счетам через банкомат нету.

Можно распечатать логин-пароль к интернет-банкингу и список одноразовых паролей, но при этом на зарегистрированный телефон летит гора уведомлений.

Lighting ★★★★★
()
Ответ на: комментарий от Lighting

В Сбере можно перекидывать деньги со вклада на карту и обратно. Кроме того, номер телефона контролируется сервисами банка.

Deleted
()
Ответ на: комментарий от Pythagoras

Банкомат - единственное исключение, так как там онлайн пин обязателен.

Вот в том-то и дело, что не единственное. Все это настраивается на эммитенте и на эквайре. И CVR, и TVR передаются среди чиповых данных, и никто не мешает деклайнить по наличию определенных битиков (например, если у карт в принципе нет офлайн пина в CVM ни при каких условиях, то как так получилось, что он проверен?) Да и вообще говоря, тут проблема не в самом EMV, а в авторизационном софте, потому что этот фрод легко детектится: в TVR у нас будет офлайн пин, а в CVR - signature/no cvm.

nanonymous
()
Ответ на: комментарий от invy

Что я и говорил - нету на местных «ненужно», а у международных карт все есть.

nanonymous
()
Ответ на: комментарий от invy

Стандартный сценарий: ты платишь в ресторане, даёшь карту официантке, а та карточку и в девайс и в ресторанную читалку пихает.

ОМГ! И что она потом будет с данными моей магнитки делать?

nanonymous
()
Ответ на: комментарий от DNA_Seq

Если при покупке в инете требуется ввести пинкод то это 100% мошенники

Сори, ввел в заблуждение - я имел ввиду оффлайн магазины.

alix ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.