Рейтинг@Mail.ru

   
   
Список полезных статей по темам изучаемых дисциплин

Банковские карты и их безопасность

(Копия статьи "Карточные игры" (Автор с ником UserSide), расположенной в сети по адресу)

http://habrastorage.org/getpro/habr/post_images/5d6/b15/597/5d6b1559756ef35e9311ad2dd046c465.png

Раз предыдущая статья про банкомат вызвала определённый интерес — то продолжаем банковскую тему. «Пластиковая карта» — обывательское название банковской платежной карты (БПК). Вещь в хозяйстве крайне полезная — ведь её можно прекрасно использовать чтобы ровнять дорожкувырезать из неё отличный медиатор для электрогитары. Но — шутки в сторону — любопытная конкретика…

 

Карты

Основное распространение на территории СНГ получили карты платежных систем Visa и MasterCard/Europay. Карта является собственностью банка, который её эмитировал и клиенту она выдаётся только на срок действия этой карты. Если отбросить некоторые нюансы, то карты делятся на два вида – дебетовые и кредитные. В Европе/США – если у тебя карта типа «Gold/Platinum и т.д.» — значит имеешь солидный кредитный лимит, значит ты уважаемый человек – тебе будут шире улыбаться и каждый понимает, что у тебя за душой немало. Во всяком случае так было раньше. В СНГ же – любой студент откроет себе бесплатно карту «Gold», чтобы произвести впечатление на друзей за вечерним распитием пива и таким образом рушит всю западную систему ценностей.

Карты могут быть только с магнитной полосой, либо еще с чипом. Кто с чипом – тот и прав в случае разбора споров. Если ваша карта с чипом, а банкомат не имеет соответствующего считывающего устройства – то вы правы. Если наоборот – прав банкомат. В Украине еще не так много банкоматов/терминалов, обслуживающих чиповые карты – мне лично, например, бывает сложно снять деньги – приходится выискивать. При попытке съема в неподдерживающем устройстве – сумма может заблокироваться. Бывало. На 30 дней. Неприятно.

Магнитную полоску в карте размагнить достаточно сложно. Локальные платежные карты этому подвержены больше (о них потом как-нибудь расскажу), а вот за несколько лет у меня была только одна международная платежная карта, которая размагнитилась. К тому времени через меня лично прошло их где-то 15 тысяч, так что – считаю, что это немного.

Карты также используются в системах контроля доступа. Если банкомат стоит в холле отделения банка – то в ночное время – попасть туда можно (если предусмотрено) – проведя картой по устройству на входе. Устройству подходит карта любого банка (бомжам на заметку – в холлах отделений тепло и уютно).

В банкоматах чужого банка не всегда есть возможность посмотреть баланс по карте. Вообще – банкоматы ставятся не для своих клиентов, а для чужих – чтобы зарабатывать на (вообщем-то довольно неплохой) комиссии. Средняя окупаемость АТМ (если посчитать грязную комиссию) составляла в 2004-2007 годах около 4-5 лет. Мой первый подотчетный банкомат, установленный в 2002 году, окупился только в 2006. Конечно есть косвенная экономия – на разгрузке кассира, круглосуточная работа опять же… но появляются и расходы на инкассацию, обслуживание и т.п.

Если попробовать картой, что числится как украденная, вставится в банкомат – то он её без разговоров заберет. Если через POS-терминал – у кассира высветится – изъять карту. При этом в процессинговом центре также высветится эта информация – и дежурный оператор может вызвать органы правопорядка для задержания мошенника к торговой точке/отделению. Если кассир не захотела неприятностей сделала вид, что не заметила и отдала карту клиенту – начинается волынка…

 

http://habrastorage.org/getpro/habr/post_images/ea7/f28/41e/ea7f2841e5389b58819c5bbbffc221ce.jpg

Когда карта сдаётся в банк – её положено уничтожить. Например в шредере. Зачастую шредеров не случается, поэтому в ход идут суровые ножницы. Пластик твердый, карт в конце месяца может накопиться 400-600 штук – а разрезать нужно так, чтобы повредить магнитную полосу, номер карты и имя владельца.

 

http://habrastorage.org/getpro/habr/post_images/cb5/949/848/cb59498488a0ea36efdd31597a26a78d.jpg

Посмотрите на свою карту. На ней есть номер карты. Первая цифра – 4 – это Visa, 5 – MasterCard, 6 – Maestro и т.д. Первые шесть цифр – это BIN банка. Есть справочники. На карте есть её дата действия. Карта действительна до последнего календарного дня месяца, что указан. Если вы получили новую карту до истечения срока старой – то старая еще будет работать, но когда вы сделаете первую операцию по новой карте – начинает работать уже новая. Банки получают (покупают) ключи для генерации на определённый срок. На год/два/пять. Именно от этого зависит тот максимальный срок, на который выдаются карты.

Надписи на карте могут быть просто нанесены, либо выдавлены (эмбоссированы). Зачем это надо?

 

Импринтер


http://habrastorage.org/getpro/habr/post_images/482/2c8/4fb/4822c84fb54319b3f38425eb7d6a2711.jpg

Историческое устройство. Первые появились еще в 40-х годах, но успешно работали и в двухтысячных. Может где трудятся и поныне. На импринтер прикручивается клише торговой точки/отделения банка, на котором также выдавлена идентифицирующая информация точки. В специальную нишу кладется карта клиента, сверху – т.н. «слип» — самокопирующийся бланк, прокатываем сверху и получается оттиск на бланках данных карты и торговой точки. Рассчитались. Последнее время карты (особенно низкого уровня)выпускаются с печатью идентификационной информации, а не выдавливанием. Хотя мне «old-style» субъективно нравится больше.

 

Процессинговый центр

Карты учитываются и обслуживаются не в банках, а в процессинговых центрах (ПЦ). Это достаточно сложное организационное и техническое учреждение. Только крупные банки могут себе позволить организовать собственный ПЦ. Небольшие же банки – заключают договоры на обслуживание в чьём-то ПЦ. Процессинг кроме карт обслуживает также и все устройства взаимодействия с платёжными системами – банкоматы, POS-терминалы и системы, программные комплексы. В банке клиенту открывают текущий счет и выдают карту. Теоретически возможна ситуация, что текущий счет у двух клиентов в разных банках будет совпадать (на самом деле шанс ещё меньше, т.к. в номере счета есть контрольные цифры, в расчете которых используется код банка, но контрольная цифра тоже может совпасть….) – речь о том, что оба этих банка могут работать с единым ПЦ. Так вот – карта имеет свой технический счет в ПЦ, о котором клиент может даже не догадываться. Поэтому все операции с картой в ПЦ проходят по этому техническому счету. При зачислении средств на карту – банк сообщает ПЦ, что нужно зачислить средства на такой-то технический счет. Таким образом налицо двойной учет – внутри банка и внутри ПЦ (точнее – всей платёжной системы).

 

Банк

Банки, как правило, сами печатают (эмитируют/эмбоссируют) свои карты. Из ПЦ получается информация о сгенерированных картах и PIN-кодах – банк заряжает свой агрегат – идёт тиснение карт и печать кодов. Средняя производительность 400 карт в час. Допускаешь ошибку при заказе карты и пишешь в имени владельца какие-нибудь цифры или знаки пунктуации – получается по голове достаточно занятно. Бывало.

 

Минутка юмора.

Исправительная колония. Всем заключенным платится зарплата за выполненные работы. Копейки, но за весь срок набегают какие-то суммы. Банк (не мой) заключает зарплатный проект с департаментом исполнения наказаний и всем зэкам печатают карты. Много. Очень много. Напечатали, привезли выдавать. Начальник колонии взял первую попавшуюся карту и его чуть удар не хватил. Сказав несколько непечатных слов, он поинтересовался как он будет эти карты выдавать своим подопечным? Пришлось убираться несолоно хлебавши и перепечатывать все карты.

 

Мошенники


http://habrastorage.org/getpro/habr/post_images/b41/6ed/750/b416ed750efbe6edb3cb6b35894f098a.jpg

В комментариях к прошлой статье был интерес к мошенничеству и взлому. Так вот – невзирая на художественные фильмы и басни в интернете жизнь показала, что на самом деле в ходу только два варианта экспроприации. В первом нужно поработать руками, а во втором – головой.

В первом случае это будет банальное ограбление. Банкомат штука тяжелая – 900-1200 килограмм – средний вес. Плюс он, как правило, на совесть прикручен к полу. Тут уж насколько хватит фантазии. Гарпуном пробивается экран уличного витринного банкомата. Трос. Грузовик. На рывок. Со скрежетом лебёдкой затягиваем банкомат на платформу грузовика и ноги. В тихой, непринужденной, обстановке, не торопясь, вскрываем сейф. Либо на авиационном заводе – группа высококвалифицированных слесарей и токарей шестого разряда вскрывают заводской банкомат в цеху и изымают содержимое без лишнего шума. Народ у нас башковитый.

Во втором случае – речь о воровстве персональных данных о картах. В банках эта информация не хранится. Весьма фантастично – украсть базу прямо из ПЦ(конечно не удаленно, а изнутри) – но бывает и такое. Зачастую же всё более приземлено и мы поговорим о скимерах и накладках.

На АТМ банками часто вешаются антискимеры. Но визуально скимеры тоже могут выглядеть так. И встроить в антискимер свой скимер – весьма просто. Он сам по себе очень тонкий. Его задача – сосчитать магнитную полосу в карте и записать себе в память (реже)/передать по Wi-Fi (чаще). Но магнитной полосы недостаточно. Нужен PIN-код. Значит это будет миниатюрная видеокамера (встроенная куда-угодно) или соглядатай (в бинокль из окна дома напротив).

http://habrastorage.org/getpro/habr/post_images/d1b/13a/c23/d1b13ac230a46103bbbc8fac8e335468.jpg

Также это может быть накладка на клавиатуру. Но тут сложнее. Сама по себе накладка вещь достаточно дорогая – несколько тысяч евро могут стоить годные модели. Поэтому, если вы обнаружили накладку на клавиатуре – лучше прикиньтесь памятником и, не отсвечивая, уходите, т.к. вон та компания студентов, которая пьёт пиво на лавочке или группа хмурых мужчин в кожанках – она здесь находится не просто так, а для контроля ситуации – чтобы никто не тиснул ценную вещь.

Наметанный глаз почти всегда определит, что на банкомате есть накладка – т.к. подогнать точно верхнюю панель АТМ очень сложно – это кропотливая работа, а задача – быстро получить набор данных и уйти к другому банкомату.

В общем – всегда стоит исходить из того – что скимер в банкомате есть и есть миниатюрная камера (технологии не стоят на месте). Поэтому – снимайте деньги в проверенных АТМ, внешний вид которого вы помните, закрывайте клавиатуру другой рукой/кошельком, когда вводите код – и шанс пострадать – минимален.

Отдельная тема – фальшивые банкоматы, но шанс найти на свалке у нас АТМ крайне мал – поэтому эта тема больше популярна для стран Европы. Это когда на улице стоит банкомат – Вы подходите снять деньги – он спрашивает pin-код, сумму снятия, но в конце пишет – что-то из серии «ошибка связи» и вы спокойно уходите к другому банкомату. А данные ваши уже переданы кому надо.

Что касается взлома по сети/интернету – шанс ничтожный. Даже находясь в одной сети с банкоматом и поставив сниффер и имея весь трафик – требуется провести огромную работу по его дешифровке и потом требуется изучить все протоколы обмена – т.к. придётся имитировать обмен между ПЦ и АТМ с вот этой конкретной картой…. К тому времени Вы уже будете работать на серьёзной работе под серьёзным присмотром.

 

Короче, Склифосовский!


http://habrastorage.org/getpro/habr/post_images/4ae/7c5/c13/4ae7c5c13b6cc7741ea0ce9bdd63a7e5.jpg

Что делают с полученными данными карт и PIN-кодами? Белый пластик. На него пишется магнитная полоса с карты. Получается клон. Идём в стране третьего мира и снимаем через АТМ с карты (зная PIN-код) деньги. Это делается массировано организованными группами. Каждый получает свою долю.

Отдельно отмечу держателей карт (особенно старшего возраста), которые пишут (царапают) на карте PIN-код. Ничего не скажу о них – просто отмечу. Верх цинизма – нацарапать неправильный код.