Новый способ воровства PIN-кодов карты


С появлением насадок-тепловизоров на телефон, у злоумышленников есть возможность «подсмотреть» ваш пин-код по тепловой картине на клавиатуре банкомата — видно не только какие кнопки вы нажимали, но и в каком порядке — первые имею более низкую температуру.

Защита от такого сканирования есть — положите ненадолго ладонь на клавиатуру перед уходом (или поставьте пальцы двух рук на все кнопки), тогда различить что именно вы нажимали будет невозможно.
14 декабря 2014 17:27

oldTV (инкогнито)
14 декабря 2014, 18:13

Ну как обычно не замечается самое очевидное - карту украдут не неизвестные похитители, а сотрудники магазина. Привожу реальный пример манипуляций с картами и другими данными. Как бы хозяева не извращались подобрать персонал в магазин крайне сложно. Почти все воруют. Редко, единицы, кто не ворует. Правда. Сотрудник, через которого проходят карты или сотрудник имеющий отношение к безопасности - вот потенциальная опасность. Схема может работать следующим образом и там, где установлены и работают камеры контроля кассиров. Это показатель. Зашли в магазин - посмотрели над кассой. Есть камера - есть потенциальная опасность украсть вашу карту. При этом сама карта останется у вас. ПО на кассах фиксирует ее номер и даже выводит на чек. Чеков всего 2. Один фискальный - т.е. там товар находится, в нем, обычно, карта может быть зашифрована, т.е. номер карты скрыт или частично скрыт. На операционном, т.е. на чеке подтверждающем операцию безналичной оплаты карта, как правила, указана полностью. Карта 100% есть в базе. Т.е. сотрудник имеющий доступ к базе - может запросто посмотреть номер карты. Вот вам канал доступа к номеру - или копия чека, или база учетного ПО.
Камера над кассой - это канал для просмотра вашего пина. Камера все снимает - охранник смотрит. Запись можно посмотреть и увидеть набираемые вами цифры. Если только вы их не закрыли рукой. Сговор кассира и охранника - потенциальный канал получения всех данных по карте. Пина, даты и даже секретного кода, если кассир берет карту в руку, то может ее повернуть и все увидеть.
Рекомендации:
1. Не давайте карту в руки кассиру.
2. Закрывайте ввод пина рукой.
3. Проводите ладонью или нажимайте другие кнопки на клавиатуре (защита от тепловизора или от видеоконтроля) Вы можете нажать 12 раз - а в пине всего 4. Поди угадай какие кнопки верные.
4. В случае если номер карты распечатался на чеке - подавайте в суд на производителя ПО и требуйте удаления вашей карты из базы. По опыту знаю - владельцы магазинов лично проверяют эти данные и персонализируют карты. Особенно в магазинах, где покупки не очень частые, например, одежда или техника. Прям реально смотрят карту, считывают фамилию, запоминают, записывают в блокнотик. И вычисляют по соц.сетям.
5. Пользуйтесь картой для покупок - т.е. специальной, созданной для этих целей - типа виртуальной виза или какой то другой.

Выживают только параноики

kildor (kildor.ya.ru)
15 декабря 2014, 09:08

Давно слышал про этот вариант, поэтому несколько раз в процессе снятия денег по всем кнопкам нажимаю.

Андрей (инкогнито)
15 декабря 2014, 09:58

oldTV, и зачем все это делать, если без физической кражи карты / телефона, все это полностью бесполезная информация? А в отсталой в этом плане Америке, где это и актуально, сейчас все быстренько тот же эпл и поправит.

А связывать карту с покупателем можно и без хранения номера карты. Просто сохраняя хэш.

greli (greli.livejournal.com)
15 декабря 2014, 10:16

Кажется, способ не очень хорош, если потом набирается ещё сумма. Из банкомата удобно брать суммы, оканчивающиеся на 4900.

Станислав (инкогнито)
16 декабря 2014, 12:38

Всегда провожу ладонью по всей клавиатуре после набора пин-кода.

SiMM (mr-simm.livejournal.com)
16 декабря 2014, 13:37, ответ предназначен Андрею

если без физической кражи карты / телефона, все это полностью бесполезная информация?
Далеко не все интернет-сервисы требуют 3DS для оплаты, т.е. номера, срока и CVV может быть вполне достаточно.

oldTV (инкогнито)
21 декабря 2014, 20:14, ответ предназначен Андрею

Далеко не все интернет-сервисы требуют 3DS для оплаты, т.е. номера, срока и CVV может быть вполне достаточно.
Именно. Я не видел пока "крутых" сервисов, которые что-то еще требуют, кроме номера, срока и CVV.
*Другое дело банк*

гыгыгы (инкогнито)
24 декабря 2014, 11:42

Всё гораздо проще: используйте Visa Electron/MasterCard Unembossed - транзакции по ним разрешены _только_ в электронных устройствах, а привязать две карты к одному счету можно сейчас в любом банке.

SiMM (mr-simm.livejournal.com)
7 января 2015, 13:56

Защита от такого сканирования есть — положите ненадолго ладонь на клавиатуру перед уходом (или поставьте пальцы двух рук на все кнопки), тогда различить что именно вы нажимали будет невозможно.
Всё же это должно быть проблемой банка, а не клиента. Интересно, будет ли какое-то решение в ближайшее время и какое? Подогревать клавиши до температуры тела человека?

Ваше имя или адрес блога (можно OpenID):

Текст вашего комментария, не HTML:

Кому бы вы хотели ответить (или кликните на его аватару)