Можно ли украсть деньги с чужой карты с помощью беспроводного терминала Статьи редакции

8 февраля сотрудник «Лаборатории Касперского» Олег Горобец рассказал на Фейсбуке, что встретил в метро подозрительного мужчину. По мнению Горобца, злоумышленник снимал деньги у пассажиров с помощью беспроводного терминала через одежду и стенки сумок.

Только что встретил мужика, вооружённого вот этим в поезде метро. Ага, без палева так. Был взволнован. Ещё один резон хранить карты PayPass в безопасном месте, лучше экранированном.

Олег Горобец, глава отдела позиционирования технологий «Лаборатории Касперского»
Фото Олега Горобца

В комментариях к записи другие пользователи отметили, что Горобец мог встретить курьера, едущего на вызов. Однако не все согласились с этой версией, подчеркнув, что на снимке устройство явно находится «в боевой готовности».

Сам Горобец пояснил, что с помощью технологии PayPass с пластиковой карточки можно снять до 1000 рублей без пин-кода, просто «потеревшись о её владельца в метро».

В качестве решения проблемы комментаторы предложили носить карты в экранированных футлярах из металла или хотя бы в грудном кармане — так, чтобы потенциальный мошенник не смог провернуть операцию незаметно.

В разговоре с TJ сотрудник крупного российского банка усомнился в действенности этой схемы.

Снять деньги так можно, это несложно. Гораздо сложнее их вывести. Платёжные терминалы переводят деньги на банковский счёт, обычно оформленный на юридическое лицо. Соответственно, после выявленного факта мошенничества счёт будет заблокирован и арестован.

Открыть счёт можно только по оригинальному паспорту. Скан и копии не подойдут. Это как грабить людей на улице и каждой жертве показывать свои документы.

Павел Сукач, сотрудник банка

Сотрудник платёжной системы Wooppay пояснил, что с возвратом украденных средств в таком случае могут возникнуть сложности.

Считать [данные карты таким образом] возможно, есть много примеров, когда через RFID [радиочастотная идентификация — TJ] воровали деньги. В банк надо обязательно заявить о факте мошенничества, так как можно ещё и магнитную ленту украсть. Нужно срочно поменять карту.

А насчёт возврата вопрос сложный, так как обычно, те, кто берёт в банке карты с возможностью беспроводной оплаты через RFID, ставят подпись под тем, что все транзакции без ввода PIN идут под их ответственность. Договор надо смотреть и банк заявить.

сотрудник платёжной системы Wooppay
{ "author_name": "Вадим Елистратов", "author_type": "self", "tags": [], "comments": 90, "likes": 139, "favorites": 12, "is_advertisement": false, "subsite_label": "flood", "id": 22625, "is_wide": true, "is_ugc": true, "date": "Mon, 08 Feb 2016 16:31:06 +0300", "is_special": false }
0
90 комментариев
Популярные
По порядку
Написать комментарий...
Непосредственный рак

можно снять до 1000 рублей без пин-кода, просто «потеревшись о её владельца в метро»

( ͡° ͜ʖ ͡°)

57
Армейский волк

Прогулка на миллион

63
Страшный Мурод

натёр

15
Православный спрей

Чятику понравится

0
Провинциальный историк

Чятик поинтересуется где купить)

0
Страшный Мурод

стать курьером ламоды, например)

1
Французский чувак

Опять пугают какой-то фигнёй, причём у меня половина знакомых уже верит, что так можно деньги украсть. Это же не биткоин, они не чёрт знает куда уходят, а на конкретный счёт конкретной организации или физ. лица. Учитывая, что уведомление (если не включены, то вы ССЗБ) придёт ещё до того, как такой товарищ покинет вагон, то тут же можно заявить о краже, а может даже и вора за руку поймать. Это реально как грабить людей с паспортом в руках и мигалкой на голове. Намного проще по старинке кошельки таскать. Из всех только Павел адекватно ответил.

29
Модный велосипед

А про сервисы, где продают счета и юр. лица, оформленные на дропов вы не слышали ?

16
Необычный блик

Насколько я в курсе, там еще сложность в получении терминала, его нужно привязать к процессингу (требует общения с банком, кучки бумажек и, очевидно, личного присутствия). А СБ банка так легко провести не получится, это все-таки их личные деньги - благодаря 161-ФЗ при мошенничестве по неподтвержденной транзакции банки обязаны возвращать средства клиенту почти мгновенно.

5
Октябрьский холод

Самая мякотка еще в том, что например если у тебя 2 и более карты с пейпасс то хуй он прочитает их ибо они перебивать будут друг друга.

0
Французский чувак

Заявляете в банк о краже денег со счёта, дальше это уже проблема банка. Если ваш банк не возвращает очевидно украденные средства — у вас неправильный банк, меняйте.

2
Лишний цвет

У меня зарплату выдают на зарплатную карту конкретного банка с paypass.

Ваше мнение "у вас банк неправильный" очень ценно для нас, спасибо.

--------------

|SARCASM|

--------------

3
Необычный блик

Так надо работу поменять :)
Вообще по закону вы сами можете выбирать банк. Очевидно, на законы всем частенько наплевать, поэтому можно просто переводить все деньги на свою личную карту сразу после получения з/п.

2
Лишний цвет

Я почти так и делаю.

После зп снимаю большую часть зп и перекладываю на удобную для меня карту.

Ну и чуток оставляю, что бы быстро платить но не рисковать большими суммами

2
Поверхностный бас

Комментарий удален по просьбе пользователя

0
Лишний цвет

А я через банкомат с зачислением :))

0
Поверхностный бас

Комментарий удален по просьбе пользователя

0
Лишний цвет

Ээ

Да-да, вы правы, я тоже офигел бы с такого

2
Поверхностный бас

Комментарий удален по просьбе пользователя

0
Лишний цвет

зачем отдавать?

0
Поверхностный бас

Комментарий удален по просьбе пользователя

1
Поверхностный бас

Комментарий удален по просьбе пользователя

0
Трудящийся яд

А кто носит карты в кармане? Это знать надо где лежит карта и точно приложить. Счет завести просто. Я в грудном кармане ношу, т.к. удобно, большинство так вообще в кошельке, а он в сумке и прочее.
Я с трудом представляю себе как чел подлавливает народ, чтобы именно карта лежала в кармане, зная где она и потом так обувает множество людей.

2
Симпатичный фитиль

Ну, такие люди все же есть, проблема в их поиске, а в метро, как, впрочем, в любых других местах скоплений людей это не так сложно.

3
Трудящийся яд

А как на счет того, что карта должна иметь эту самую технологию вроде пейпасс? У меня несколько карт и ни не все идут с ней, а если брать сберы, втб всякие, то они по умолчанию выпускают такие карты по спец предложениям и прочему.

0
Симпатичный фитиль

Тут уже как повезет. Главное — такие карты есть, их количество будет только увеличиваться, значит, и прибыль со временем будет только расти.

0
Трудящийся яд

Все равно для подобного кипеша пока рановато. Слишком много НО для такого способа. Не больше чем в переходе за день насшибаешь как по мне

0
Золотой шмель

Ну, то есть сложность исключительно в схеме вывода средств.

1
Действительный пришелец

а это совсем не сложно (:
зарегать однодневку на дропа, и счет стоит сильно дешевле сумыы которую можно за день таким способом спиздить за день

4
Золотой шмель

О том и речь. Техническая возможность есть, возможность вывода - тоже. Уведомление может прийти не сразу. Поэтому воспринимать это как фигню, кмк, легкомысленно.

5
Эффективный татарин

Комментарий удален по просьбе пользователя

2
Действительный пришелец

это 1 день времени и около 50к рублей

0
Часовой Валера

Перевод может быть в Сирию. Зачем нужно позволять делать такие переводы? Почему не поставить подтверждение по нажатию кнопки? Уже же есть даже стандарт на это но нет разрешим всем снимать сколько хотят

0
Необычный блик

Перевод может быть в Сирию.

Не может.

0
Часовой Валера

Почему это?

0
Прочий бас

Кнопки где?

0
Часовой Валера

На телефоне с NFC чипом или на карте с экранчиком

0
Прочий бас

На телефоне подтвержение на активацию нфц сделать можно, на карточке насколько удорожает? Не будет ли нажиматься жопой?

В любом случае карточкам осталось недолго.

0
Часовой Валера

Ну авангард выпускает карты с дисплеем, правда он там не для подтверждения http://www.avangard.ru/rus/private/cards/card_with_display/

Тариф на неё зверский но думаю себестоимость карты не очень большая. Ещё в 90ые были калькуляторы на солнечных батареях размером с кредитку

0
Ручной чувак

Через месяц Лаборатория Касперского выпустит специальные чехлы для карт для защиты от такого "мошенничества". По 3000 рублей за штуку.

18
Бледный жар

Не писать семь месяцев комментарии на TJ? Я неделю пытался, у меня не получилось. Расскажите, как Вам это удалось? ))

0
Зимний супер_стар

Комментарий удален по просьбе пользователя

0
Часовой Валера

И это всё равно не спасёт от мошеннических списаний если человек сам достал карту для оплаты а с него списали в 50 раз больше. К тому же ещё и пинкод человек введёт послушно.

–1
Ручной чувак

На терминале/кассе видна сумма списания.

1
Часовой Валера

На экране аппарата мошенника может показываться что угодно, это же его девайс ты его не с собой принесла

1
Необычный блик

К тебе часто подходят люди с терминалом и просят ввести твой пин?

5
Часовой Валера

На рынке могут быть любые люди с переносными терминалами. Почему надо жертвовать безопасностью если уже есть все необходимые протоколы и алгоритмы? Или почему надо ограничивать удобство клиентов которые хотят платить везде и не использовать наличные? Криптографы инженеры и программисты свою часть работы выполнили. Почему банки не используют? Что ты имеешь против?

0
Действительный пришелец

Потому что разобрать и перепрошить терминал очень трудно, особенно если учесть то что его закроют в течении дня не очень выгодно, выгоднее модифицировать для дампирования карты

0
Часовой Валера

Его не надо перепрошивать достаточно переподключить экранчик к своему процу. В любом случае все такие манипуляции в разы проще выполнить чес сделать работающий незаметный скимер.

0
Действительный пришелец

Это не мение просто, ибо обычно все это запаяно так что мама не горюй

0
Часовой Валера

Банковские терминалы както особенно запаивают? В обычной электронике можно ожидать в этом месте гибкий шлейф с разъёмом на основной плате

0
Действительный пришелец

Да корпус банально не открыть не повредив до состояния в котором будет подозрительно им пользоваться, есть еще модификации которые заливают пластиком, так что там два варианта шить через штатный разъем но прийдется ломать защиту, взять девайс который поддается вскрытию койх достаточно мало

0
Часовой Валера

Да ну ладно можно найти не такой замороченный банк. Тем более в Сирии то. Потом можно поместить устройство внутрь более крупного корпуса чтоб было место под экран, приклеить экран поверх да ну чтонибудь придумают. В конце концов откроют свой банк который будет только этим заниматься.

0
Безопасный яд

Я вот тут пробежался по тексту:
http://www.abc.net.au/news/2014-05-30/electronic-pickpocketing-looms-as-next-credit-card-fraud-threat/5486806
Говорят, суть таких бесконтактных манипуляций может состоять не в сиюминутном хищении средств со счёта, а в получении данных, необходимых для последующего клонирования карты.

4
Радикальный турник

Точнее не клонирование (так как там еще чип), а копирование реквизитов карты. Но они в большинстве случаев так же бесполезны так как есть верификация транзакции через СМС (3DS).

2
Действительный пришелец

вы не представляете как много сервисов где здс'а нет (:

9
Радикальный турник

Знаю только amazon.

0
Действительный пришелец

тысячи их (:
есть даже электронные деньги на которые можно закинуть без 3дс, и затем безпроблемно вывести в битки

6
Смешной хот-дог

Стим, йокс, псн

0
Безопасный яд

Да, это верно. Но люди очень часто попадаются на социальную инженерию и сами охотно выдают всю недостающую информацию. Само собой, имея в голове зачатки благоразумия, ты не несёшь особых рисков, но я в своё время насмотрелся на бесконечный поток бабушек, выкупающих своих детей за Яндекс.Деньги. Поэтому вроде как и не о чем беспокоиться, но всё равно спасибо, что предупредили :D

1
Часовой Валера

А ты можешь отключить оплату без 3DS со своей карты?

0
Входной калькулятор

По технологии PayPass передается только одноразовый токен на определенную сумму, клонировать не получится, то есть продавец даже не видит вашего имени.

1
Модный нос

Для защиты не обязательно прятать карту в какие-то специальные чехлы...
у меня например когда карточка лежит вплотную к студаку, то ею не оплатить... а проверить поможет или нет, можно просто в магазине попробовать что-то оплатить таким образом)

4
Пространственный Илья

Та же фигня если две карты вместе лежат - не сработает пай пасс

1
Склонный хичхакер

Этой фразой в начале новости уже всё сказано:

сотрудник «Лаборатории Касперского» Олег Горобец встретил в метро подозрительного мужчину.

Забыли только добавить слово "случайно".

3
Иркутский микрофон

Ну на самом деле не так просто, в магазинах не всегда получается оплатить по PayPass прям "быстро" - карту держать приходится пока терминал распознает. Тут уж проще просто карты с карманов задних повынимать, потому что иного места где они могут быть чтобы о них можно было "потереться" не представляю.

2
Модный нос

у нас достаточно поднести карту к терминалу, даже прикладывать не надо, он почти сразу пищит, что значит, что карту можно убирать и платеж пошел

5
Иркутский микрофон

У кого "у нас"? У меня особо от магазина и тем более карты не зависит - будь там хоть Макдоналдс, хоть Мвидео - карту надо именно приложить и хотя бы секунду подержать.

2
Модный нос

у нас - в Польше

3

Комментарий удален

Радикальный турник

Иногда не с первого раза считывается, а за последний год два раза было, что убирал карту, а транзакция не проходила, приходилось повторно прикладывать.

1
Модный нос

пользуюсь год этой технологией, еще ни разу не было каких-либо проблем

3
Радикальный турник

Вы не правы. Несколько секунд надо держать.

–3
Модный нос

может быть одну, я не всегда ее даже прикладываю

3
Входной калькулятор

У меня ни разу не получалось заплатить с кошелька, где несколько карт с поддержкой PayPass. Надо было вынимать и по одной карте прикладывать к считывателю.

И ещё умора будет, если у меня кошелёк в переднем кармане джинс.

2
Необычный блик

Отличный выход - завести еще одну карту с PayPass :)
Но да, вы правы - если две карты вплотную, то не считывается.

2
Октябрьский холод

Еще если карта вместе с тройкой лежит то по тройке например не пройти, а вот с оплатой не тестил

0
Дополнительный Мика

Кардеры уже не те :(

2
Непрерывный франт

Давно продаются кошельки с RFID-защитой, JW например. У меня такой, проверял - защита работает.

2
Радикальный турник

Хорошо еще не дошли до того чтобы выковыривания чипа или прожигания пьезо зажигалкой, как например, истерии с CVV кодом и замазыванием оного.

1
Очередной ГОСТ

Тревожно как-то стало

0
Непосредственный рак

А вообще у меня карта сбербанка с чипом и без всех этих штук вроде paypass, так что нет проблемы

0
Ясный кофе

Ну пока и paypass нет реальных кейсов воровства. Пока только пугалки всякие.

4
Культурный бинокль

Павел Сукач

Тот самый Паша?

0
Драматический теркин30см

Это Макс, у него уже установлено новое приложение Сбербанка, а у тебя?

0
Идеологический утюг

Если красть деньги, то красть очень быстро и с минимальными промежутками - чем больше людей обворовано, тем больше вероятность того, что они получат смс о списании и позвонят в банк.

И я не очень верю в то, что даже если оформлять счет на дропа, несколько десятков транзакций за короткий промежуток времени с немедленной попыткой вывести деньги не вызовут подозрений. К тому же, это происходит не мгновенно.

Чисто технологически, нет необходимости ходить с терминалом, если любой телефон с NFC считывает\отдаёт RFID.

Ну и кажется, что это слишком просто и очевидно для того, чтобы появиться только сейчас.

0
Действительный пришелец

Не забывайте что у вас может быть 3-4 таких устройства, ловкий щипач может за час обработать 20-30 человек, счет заблокируют не раньше чем через 4 часа так что 3 часа на работу есть а это порядка 300к рублей при затратах в 100 вместе с отмывом, 50к на человека в день весьма не дурно я вам скажу (:

0
Прикладной Кирилл

господи, ну и бред вы здесь пишите)

1

Комментарий удален

Прикладной Кирилл

Писать бред за деньги!)

0
Вторичный Паша

Этот вид мошенничества до сих пор существует только потому, что банки не несут никакой ответственности. Следует сделать так, чтобы от данного вида мошенничества материально страдали в первую очередь не клиенты, а сами банки и тогда воровство с электронных карт исчезнет как класс.

0
Сегодняшний инструмент

Эйдн Пирс начало

0
Читать все 90 комментариев
Обсуждаемое
Новости
Прямая трансляция: Единый день голосования на выборах в Госдуму-2021
TJ весь день следит за голосованием, нарушениями и результатами выборов.
Новости
Правительство России запланировало увеличить долю отказов от абортов до 50%
Власти собираются повысить доступность медико-социальной помощи и продвигать «традиционные семейные ценности».
Новости
Во время стрельбы в Пермском университете преподаватель не стал прерывать лекцию и отказался баррикадироваться
Он считает, что всё делал правильно.
Популярное за три дня
Новости
Стрельба в Пермском университете: шесть человек погибли, стрелка задержали, его манифест заблокировали. Главное
По данным СК, ещё 28 человек пострадали.
Новости
КПРФ отказалась признавать результаты электронного голосования по Москве и планирует провести митинги по всей стране
Пушкинскую площадь в Москве уже оцепили.
Новости
Дуров объявил об ограничении телеграм-ботов «с агитацией» на время выборов в России
Под эту категорию попадает и бот «Умного голосования».
null