Новый способ воровства PIN-кодов карты
С появлением насадок-тепловизоров на телефон, у злоумышленников есть возможность «подсмотреть» ваш пин-код по тепловой картине на клавиатуре банкомата — видно не только какие кнопки вы нажимали, но и в каком порядке — первые имею более низкую температуру.
Защита от такого сканирования есть — положите ненадолго ладонь на клавиатуру перед уходом (или поставьте пальцы двух рук на все кнопки), тогда различить что именно вы нажимали будет невозможно.
Ну как обычно не замечается самое очевидное — карту украдут не неизвестные похитители, а сотрудники магазина. Привожу реальный пример манипуляций с картами и другими данными. Как бы хозяева не извращались подобрать персонал в магазин крайне сложно. Почти все воруют. Редко, единицы, кто не ворует. Правда. Сотрудник, через которого проходят карты или сотрудник имеющий отношение к безопасности — вот потенциальная опасность. Схема может работать следующим образом и там, где установлены и работают камеры контроля кассиров. Это показатель. Зашли в магазин — посмотрели над кассой. Есть камера — есть потенциальная опасность украсть вашу карту. При этом сама карта останется у вас. ПО на кассах фиксирует ее номер и даже выводит на чек. Чеков всего 2. Один фискальный — т. е. там товар находится, в нем, обычно, карта может быть зашифрована, т. е. номер карты скрыт или частично скрыт. На операционном, т. е. на чеке подтверждающем операцию безналичной оплаты карта, как правила, указана полностью. Карта 100% есть в базе. Т. е. сотрудник имеющий доступ к базе — может запросто посмотреть номер карты. Вот вам канал доступа к номеру — или копия чека, или база учетного ПО.
Камера над кассой — это канал для просмотра вашего пина. Камера все снимает — охранник смотрит. Запись можно посмотреть и увидеть набираемые вами цифры. Если только вы их не закрыли рукой. Сговор кассира и охранника — потенциальный канал получения всех данных по карте. Пина, даты и даже секретного кода, если кассир берет карту в руку, то может ее повернуть и все увидеть.
Рекомендации:
Выживают только параноики
Давно слышал про этот вариант, поэтому несколько раз в процессе снятия денег по всем кнопкам нажимаю.
oldTV, и зачем все это делать, если без физической кражи карты / телефона, все это полностью бесполезная информация? А в отсталой в этом плане Америке, где это и актуально, сейчас все быстренько тот же эпл и поправит.
А связывать карту с покупателем можно и без хранения номера карты. Просто сохраняя хэш.
Кажется, способ не очень хорош, если потом набирается ещё сумма. Из банкомата удобно брать суммы, оканчивающиеся на 4900.
Всегда провожу ладонью по всей клавиатуре после набора пин-кода.
Комментарий для Андрей:
Далеко не все интернет-сервисы требуют 3DS для оплаты, т. е. номера, срока и CVV может быть вполне достаточно.
Комментарий для Андрей:
Именно. Я не видел пока «крутых» сервисов, которые что-то еще требуют, кроме номера, срока и CVV.
*Другое дело банк*
Всё гораздо проще: используйте Visa Electron/MasterCard Unembossed — транзакции по ним разрешены _только_ в электронных устройствах, а привязать две карты к одному счету можно сейчас в любом банке.
Всё же это должно быть проблемой банка, а не клиента. Интересно, будет ли какое-то решение в ближайшее время и какое? Подогревать клавиши до температуры тела человека?