LINUX.ORG.RU
ФорумTalks

Банковские карты, CVV2 и безопасность :-?


0

1

Получается, что для списания денег с карты достаточно знать её номер и CVV2.
Но почему тогда этот CVV2 такой короткий?
Т.е. получается ситуация, что узнать номер кредитки, впринципе не сложно(например если человек хочет чтобы вы ему на карту кинули денег, он скажет вам номер своей кредитки :-) ). Ну а CVV2 тогда не сложно подобрать тупым перебором. Всего-то 3-4 цифры! Ну и где безопасность, над которой банки так трясутся? Или в чём тут подвох?
//ИМХО: Короче, CVV2 надо удлинять :)

★★★★★

Последнее исправление: Bad_ptr (всего исправлений: 3)
Ответ на: комментарий от aidaho

Мой план ориентирован именно на сабжевый единичный случай.

Это все как русская рулетка.
Десять раз тебе повезет, а на 11-тый тебя загребут и повесят на тебя 10 твоих случаев и ещё 30 не твоих.
Воровать - плохо, ещё хуже думать, что ты умнее банков и органов.

winddos ★★★
()
Ответ на: комментарий от winddos

Короче, не верю я в единичные случаи.
Человек своровавший однажды обязательно попробует ещё раз, и ещё.
Ворованные деньги из воздуха пьянят нарушают систему ценностей, т.е создают у человека ощущение, что можно воровать и жить хорошо.

winddos ★★★
()
Ответ на: комментарий от aidaho

но смысл тут в том, что снять чужие бабки и не сесть можно.

Можно, разумеется. Можно и убить человека и не сесть, что же теперь всем в бронежелетах ходить ? Охрана правопорядка - не функция банка. Защищённость кредитки достаточна.

lenin386 ★★★★
()
Ответ на: комментарий от OperaSoftvvare

Ну давай я тебе номер своей кредитки скажу, что ты будешь с ним делать?

Я-то с ним ничего не буду делать, но давай, пригодится.

Bad_ptr ★★★★★
() автор топика

А вы пробовали расплачиваться карточками в ресторанах?
В тех, где я бывал, карточку уносил официант, затем возвращал ее вместе с парой чеков на подпись.
И вот там ее легче легкого с 2 сторон отсканировать да и считать инфу при желании.

Deleted
()

Во-первых, для недоверенных продавцов есть такие одноразовые пароли, которые приходят на телефон.

Во-вторых, одновременно со списанием средств с карты приходит оповещение о нём, так что увидев левый платёж, можно моментально заблокировать карту.

Hoodoo ★★★★★
()
Ответ на: комментарий от winddos

А нет ли у тебя блога?

Хорошие ты вещи пишешь, причём постоянно, хоть сиди и под каждым постом подписывайся.

Hoodoo ★★★★★
()

//ИМХО: Короче, CVV2 надо удлинять :)

Так сейчас же в моде всякие 3D Secure и SecureCode ? По крайней мере на моих картах оно используется.

vasya_pupkin ★★★★★
()
Ответ на: комментарий от Bad_ptr

На этот подбор есть, обычно, где-то года 2(срок действия карты).

карту заблочат гораздо быстрее. Мне банк блоканул на четвёртой попытке вбить номер с брелока (который заглючил). Причём так что я плёлся в банк с документами чтобы разблочили.

true_admin ★★★★★
()
Ответ на: комментарий от Lee_Noox

Так не бывает, даже среди чиновников.
Каждый человек который получает легкие деньги так или иначе за это платит, даже чиновники.

Очень многие кардеры подсаживаются на тяжелые наркотики и алкоголь из за постоянного стресса.
А у чиновников идет профессиональная деформация и атрофирование каких либо умений, страх потерять место который в результате заставляет их быть серой массой, которая молчаливо выполняет указы сверху.

Счастливые, беззаботные и довольные собой воры бывают только в фильмах.
Ну или может ими могут быть те, кто за раз воровали сотни миллионов, т.е тот 0.0001% нарушителей закона которым реально может хватить одного преступления.

winddos ★★★
()
Ответ на: комментарий от Hoodoo

Хороший блог подразумевает подготовку материала и самостоятельный поиск интересных тем, а это лень делать.
К тому же адекватную информацию по теме ИБ мало кто может воспринимать.

В рунете нет нормальных ресурсов по безопасности/анонимности/шифрованию, потому здесь приятнее всего проводить время.
Если что интересно можешь писать на почту.

winddos ★★★
()
Ответ на: комментарий от Lee_Noox

Вайн это костыль!

Linux достоин того, чтобы получить свой собственный локер, нативный.
Только оплата будет через биткоины, т.к лень процессинг смс искать.

winddos ★★★
()
Ответ на: комментарий от kranky

существуют сайты, где все можно покупать даже без цвв.

ipeacocks ★★★★★
()
Ответ на: комментарий от Lee_Noox

Я склоняюсь к тому, чтобы локер был настоящий, а яндекс кошелек заблочат.
Заглушку накодить кто угодно может :)

Как минимум на убунте 11.10 / 12.04 оно взлетит.

winddos ★★★
()
Ответ на: комментарий от dk-

У меня один раз забрали, а я только новую карту оформил и пин не помню, официант пришел вместе с чеком и все, не пин ввести не попросил и подпись поставить тоже не. А без этих вещей платеж легко оспорить.

ErasimHolmogorin
()
Ответ на: комментарий от Deleted

CVV2 можно заклеить ленточной замазкой и спокойно пользоваться картой.

ErasimHolmogorin
()
Ответ на: комментарий от dk-

Кажется, я ходил в неправильные рестораны.

Deleted
()
Ответ на: комментарий от winddos

Как минимум на убунте

Мне кажется надёжнее сделать независимую от ОС реализацию, и совать её в MBR, а шифровать в таком случае можно и настоящую таблицу разделов.

GAMer ★★★★★
()
Ответ на: комментарий от Lee_Noox

Не знаю, просто я сижу на убунте, а потому делать буду под неё.

winddos ★★★
()
Ответ на: комментарий от GAMer

Независимая от ОС реализация требует некоторого скилла и кучи времени, к тому же не во всех ОС я разбираюсь.
А ведь лочить разные способы восстановления надо для всех систем.
MBR очень просто восстановить.

А вот на убунте довольно многие юзеры сидят с дефолтным шифрованием, которое хранит ключ в одном файле который просто незаметно затереть/зашифровать.
В общем сначала убунта, а потом остальное.

winddos ★★★
()

Поздравляю, уважаемый! Вы открыли для себя новую область мошенничества. Кардинг называется. Явление это не такое уж и новое и, как показывает практика, очень ненадежное. Слишком уж легко попасться.

Самая простая схема: договориться с продавцом в магазине, в котором установлен терминал для расчета по пластику. От продавца требуется честное лицо и хорошая память. Запомнить два десятка цифр секунд на 30 не так уж сложно, особенно, если продавец еще и будет иметь возможность отвлечь покупателя с кредиткой или терминал скрыт от неусыпного взора владельца карты.

Далее, продавец передает мошеннику полученные номера карт с CVV2-кодами и сроками окончания действия карт. Что же делать с полученными данными?

Есть два пути: сделать так называемый, белый пластик. По сути, фальшивая пластиковая карта, на которую мошенник записывает реальные данные. С таким пластиком довольно легко можно рассчитаться в магазине. С банкоматами лучше не связываться.

Второй путь: покупки в интернете. Быстро, легко и очень опасно, потому что проследить путь покупки легче некуда. Тут у мошенников есть свои способы скрыть свою личность и местонахождение, но об этом я уже не стану тут писать.

P.S. не стоит думать, что из-за всего этого пластик опаснее обычных денег. Вы же никому в руки свой кошелек не даете, а если даете, то внимательно за ним следите. Так почему же вы пластиковую карту без внимания оставляете? Это такой же ваш кошелек, только чуть посложнее. И он, таки немного безопаснее. Если у вас украдут карту и вы вовремя это заметите, вы не потеряете свои деньги. А вот с кошельком можете попрощаться вместе со всеми деньгами в нем.

delete83 ★★
()
Ответ на: комментарий от delete83

Все правильно, только не все следуют простой истине: хранить свою карточку в сейфе и никогда никому не давать на нее смотреть (разве что банковскому работнику при переоформлении карты).

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от delete83

Я вот, к сожалению, не помню. В отчете в конце смены в торговой точке указываются номера карт, по которым были сделаны покупки за смену, или нет. Вроде должны указываться, но не могу вспомнить точно.

delete83 ★★
()

А в магазине CVV вообще не используется, только номер карты даю и на чеке расписываюсь.

В общем главное - иметь оперативные уведомления о списании со счёта (например СМСкой) и возможность заблокировать карту при обнаружении кражи. Банк при этом откатит транзакцию и денег с карты не снимет, придётся только перевыпустить карту.

А вообще это всё с древних аналоговых времён, обвешанное костылями в попытках приспособить под текущие реалии. Когда-нибудь всё переделают. Но и сейчас можно жить.

Legioner ★★★★★
()
Ответ на: комментарий от delete83

разница в том, что если кошелек в сейфе, о нем можно не беспокоиться. а если в сейфе карта, то...
конечно, можно установить лимит снятия, но даже сто долларов терять не слишком приятно

wxw ★★★★★
()
Ответ на: комментарий от Legioner

Самое правильное: иметь две карты.
Одну для расходов в магазинах/кафе/ресторанах, и уже другую для хранения больших сумм и оплаты крупных покупок.
Вот именно вторую нельзя никому в руки давать.

winddos ★★★
()
Ответ на: комментарий от Eddy_Em

Есть простые правила работы с картой:

Хранить карту ВСЕГДА в безопасном месте или при себе. Дома - найти для нее укромное место, куда не доберутся ваши жена/дети/теща/друзья. В идеале, об этом месте никто даже знать не должен. Мой опыт показывает, что чаще всего деньги с карты воруют родственники или друзья/собутыльники, к сожалению. Часто, пин-код хранится прямо рядом с картой.

Это уже второе правило - запомните уже, наконец, свой пин-код и сожгите бумажку с ним! Неужели так сложно запомнить 4 цифры, которые несколько раз в месяц, как минимум, набираете?

Третье правило - если вы даете свою карту в руки продавцу в магазине, будьте так добры, не вертите башкой, как пропеллером! Следите за продавцом! В его задачу входит сверить имя на карте с вашим полом (может паспорт спросить или водительское удостоверение) и убедиться, что перед ним не явная подделка. Затем он должен просто вставить карту в терминал (если карта «дорогая») или провести ей по специальному разъему в терминале для считывания номера карты. После этого он должен либо дать вам ввести пин-код (в случае «дорогой» карты) или дать расписаться в чеке. Ни в коем случае то и другое вместе! Если вы ввели пин-код и вас просят расписаться в чеке - это повод обеспокоиться. Спокойно сообщите продавцу, что свою личность вы уже удостоверили вводом пин-кода и большего от вас требовать не могут. После завершения операции вам должны немедленно вернуть карту. Убирать ее под стол, закрывать книгами, кассовым аппаратом или еще чем-нибудь вашу карту от вас продавец не имеет права! Если он так сделает, сделайте ему замечание немедленно.

И, наконец, четвертое правило - остерегайтесь делать покупки в интеренете на сайтах, которым не доверяете. А доверять можно не такому уж большому количеству сайтов. Даже если сайт вполне честный и обещает никому ваши данные не открывать, никто не гарантирует, что он хранит их должным образом и при взломе сайта ваши данные не попадут к мошенникам без каких-либо хлопот.

delete83 ★★
()
Ответ на: комментарий от Legioner

Самое веселое, что в магазине можно обслужиться по карте даже не вставляя ее в терминал :)

delete83 ★★
()
Ответ на: комментарий от winddos

Хороший совет. Еще можно завести виртуальную карту для расчетов в сети интернет. Даже если злоумышленник получит доступ к такой карте, денег на ней все равно никогда нет. Они там появляются только когда вы сами их туда переводите с другой своей карты. Вроде виртуальные карты вообще ничего не стоят ли стоят намного дешевле обычных.

delete83 ★★
()
Ответ на: комментарий от delete83

Пин-код нужен лишь чтобы снять с карты деньги в банкомате. А чтобы оформить покупку, нужно лишь видеть цифирьки с карты.

И еще: раньше у меня была обычная сбербанковская карта, там был восьмицифровый пароль. И я матюкался, почему он такой короткий. Сейчас - «виза» росколхозбанка. Там вообще 4 цифры. Ну что за дебилы? Почему нельзя длину пароля хотя бы 32 цифрами ограничить?

Eddy_Em ☆☆☆☆☆
()
Ответ на: комментарий от Eddy_Em

Использовать карту для снятия денег в банкомате опаснее, чем платить ей в магазине или в интернете. Если карту с пинкодом соскиммят (а скиммеры зачастую очень сложно увидеть), то возврата средств не будет (или будет через годы судов). Если у тебя своровали пинкод, у тебя своровали все деньги. Возврат средств по транзакции в которой есть только номер карты, делается элементарно. То же с интернет-платежами.

Кстати, продвигаемая 3dsecure технология аналогична пинкоду. Если вы ввели код 3dsecure, то оспорить данную транзакцию не сможете.

Legioner ★★★★★
()
Ответ на: комментарий от wxw

Зачем вам кошелек, если вы храните его в сейфе? Кошелек и карта - вещи, которые постоянно нужны с собой.

delete83 ★★
()
Ответ на: комментарий от dimon555

Без CVV2 или внутренней отметки о вводе CVV2 в прошлом банк РФ не пропустит платеж.

shahid ★★★★★
()
Ответ на: комментарий от winddos

Можно основные деньги на каком-нибудь депозитном счёте держать с небольшими процентами и максимальной свободой распоряжения. Скорее всего это будет дешевле, чем за две карты платить, хотя от конкретного банка всё зависит, конечно.

Legioner ★★★★★
()
Ответ на: комментарий от Eddy_Em

У вас была не обычная сбербанковская карта, а поделка под названием СберКарт. Технология, придуманная дебилами для дебилов. Пусть земля ей будет пухом. Вроде уже окончательно ее изжили со свету.

4 цифры пин-кода - вполне достаточный уровень защиты. С учетом смс-уведомлений, после первой же попытки подбора пин-кода, вы об этом узнаете, а после третьей неудачной попытки вообще можете не беспокоиться о своих деньгах. Карта будет надежно заблокирована и конфискована банкоматом или работником торговой точки (не завидую такому работнику, но таковы требования контракта, который торговая точка заключает с банком). Вам останется только позвонить в банк и узнать, как получить новую карту.

delete83 ★★
()
Ответ на: комментарий от Legioner

Да вариантов куча.

Просто хранить деньги на карте и надеяться, поможет какая то защита глупо.
Лучше просто не допускать возможности кражи крупной суммы.
У меня ни разу деньги не воровали, но зная специфику Российских банков можно полагать, что проблем с возвратом средств будет много.

winddos ★★★
()
Ответ на: комментарий от winddos

Самое правильное: иметь две карты.

У ВТБ24 есть виртуальные счета в интернет-банке. Для изоляции средств - самое то.

shahid ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.