Это сайт — моя персональная записная книжка. Интересна мне, по большей части, история, своя жизнь и немного программирование.

Новый способ воровства PIN-кодов карты


С появлением насадок-тепловизоров на телефон, у злоумышленников есть возможность «подсмотреть» ваш пин-код по тепловой картине на клавиатуре банкомата — видно не только какие кнопки вы нажимали, но и в каком порядке — первые имею более низкую температуру.

Защита от такого сканирования есть — положите ненадолго ладонь на клавиатуру перед уходом (или поставьте пальцы двух рук на все кнопки), тогда различить что именно вы нажимали будет невозможно.
9 комментариев
oldTV 2014

Ну как обычно не замечается самое очевидное — карту украдут не неизвестные похитители, а сотрудники магазина. Привожу реальный пример манипуляций с картами и другими данными. Как бы хозяева не извращались подобрать персонал в магазин крайне сложно. Почти все воруют. Редко, единицы, кто не ворует. Правда. Сотрудник, через которого проходят карты или сотрудник имеющий отношение к безопасности — вот потенциальная опасность. Схема может работать следующим образом и там, где установлены и работают камеры контроля кассиров. Это показатель. Зашли в магазин — посмотрели над кассой. Есть камера — есть потенциальная опасность украсть вашу карту. При этом сама карта останется у вас. ПО на кассах фиксирует ее номер и даже выводит на чек. Чеков всего 2. Один фискальный — т. е. там товар находится, в нем, обычно, карта может быть зашифрована, т. е. номер карты скрыт или частично скрыт. На операционном, т. е. на чеке подтверждающем операцию безналичной оплаты карта, как правила, указана полностью. Карта 100% есть в базе. Т. е. сотрудник имеющий доступ к базе — может запросто посмотреть номер карты. Вот вам канал доступа к номеру — или копия чека, или база учетного ПО.
Камера над кассой — это канал для просмотра вашего пина. Камера все снимает — охранник смотрит. Запись можно посмотреть и увидеть набираемые вами цифры. Если только вы их не закрыли рукой. Сговор кассира и охранника — потенциальный канал получения всех данных по карте. Пина, даты и даже секретного кода, если кассир берет карту в руку, то может ее повернуть и все увидеть.
Рекомендации:

  1. Не давайте карту в руки кассиру.
  2. Закрывайте ввод пина рукой.
  3. Проводите ладонью или нажимайте другие кнопки на клавиатуре (защита от тепловизора или от видеоконтроля) Вы можете нажать 12 раз — а в пине всего 4. Поди угадай какие кнопки верные.
  4. В случае если номер карты распечатался на чеке — подавайте в суд на производителя ПО и требуйте удаления вашей карты из базы. По опыту знаю — владельцы магазинов лично проверяют эти данные и персонализируют карты. Особенно в магазинах, где покупки не очень частые, например, одежда или техника. Прям реально смотрят карту, считывают фамилию, запоминают, записывают в блокнотик. И вычисляют по соц.сетям.
  5. Пользуйтесь картой для покупок — т. е. специальной, созданной для этих целей — типа виртуальной виза или какой то другой.

Выживают только параноики

kildor (kildor.ya.ru) 2014

Давно слышал про этот вариант, поэтому несколько раз в процессе снятия денег по всем кнопкам нажимаю.

Андрей 2014

oldTV, и зачем все это делать, если без физической кражи карты / телефона, все это полностью бесполезная информация? А в отсталой в этом плане Америке, где это и актуально, сейчас все быстренько тот же эпл и поправит.

А связывать карту с покупателем можно и без хранения номера карты. Просто сохраняя хэш.

greli (greli.livejournal.com) 2014

Кажется, способ не очень хорош, если потом набирается ещё сумма. Из банкомата удобно брать суммы, оканчивающиеся на 4900.

Станислав 2014

Всегда провожу ладонью по всей клавиатуре после набора пин-кода.

SiMM (mr-simm.livejournal.com) 2014

Комментарий для Андрей:

если без физической кражи карты / телефона, все это полностью бесполезная информация?

Далеко не все интернет-сервисы требуют 3DS для оплаты, т. е. номера, срока и CVV может быть вполне достаточно.

oldTV 2014

Комментарий для Андрей:

Далеко не все интернет-сервисы требуют 3DS для оплаты, т. е. номера, срока и CVV может быть вполне достаточно.

Именно. Я не видел пока «крутых» сервисов, которые что-то еще требуют, кроме номера, срока и CVV.
*Другое дело банк*

гыгыгы 2014

Всё гораздо проще: используйте Visa Electron/MasterCard Unembossed — транзакции по ним разрешены _только_ в электронных устройствах, а привязать две карты к одному счету можно сейчас в любом банке.

SiMM (mr-simm.livejournal.com) 2015

Защита от такого сканирования есть — положите ненадолго ладонь на клавиатуру перед уходом (или поставьте пальцы двух рук на все кнопки), тогда различить что именно вы нажимали будет невозможно.

Всё же это должно быть проблемой банка, а не клиента. Интересно, будет ли какое-то решение в ближайшее время и какое? Подогревать клавиши до температуры тела человека?