Bankir.Ru
5 декабря, понедельник 05:31

Объявление

Свернуть
Пока нет объявлений.

дело гиблое конечно, но полезные мысли коллег хотелось бы услышать...

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • дело гиблое конечно, но полезные мысли коллег хотелось бы услышать...

    Господа, думаю все слышали про волну фрода в Польше по украинским картам. Характеристики: Скимминг. Пин-верификация.Утечка инфы через мерчантов "крупного системного украинского банка", которые требовали ввода ПИНов даже по кредитным продуктам. Карты холдеров были активными, утерянными\украденными не числились, операция выполнена грамотно хладнокровно и расчетливо. Сумма мошенничества ДОВОЛЬНО ощутима.

    Ваши действия в такой ситуации? (при том, что не дай Вам Бог такого "счастья" конечно...)

  • #2
    Я бы на месте пострадавших банков обратился в соответствующие платежные системы с просьбой компенсировать потери. Наверняка у них на этот случай есть специальные фонды, позволяющие улаживать подобные ситуации без лишнего шума. В принципе, безопасность платежной системы в первую очередь нужна самой платежной системе, так как без поддержания безопасности на достаточно высоком уровне система быстро прекратит свое существование.

    Комментарий


    • #3
      X-man UA
      Буду очень признателен за информацию по фроду в Польше. Можно b-mail.

      Комментарий


      • #4
        ниже приведена статья из киевского таблоида, где достаточно правдоподобно описано происходящее..
        от себя добавлю, что все сомнения касательно "шлюза" утечки инфы лично у меня отпали напрочь - по скимнутой карте клиент успел снимать деньги сугубо в наших АТМ а также в 2 точках "крупного регионального банка", где его заставили ввести ПИН. Расчеты были в мае, фрод - на прошлый уикэнд. Мы заблокировали Польшу на транзакции и по VIPам сейчас проводим работу по срочному перевыпуску карт..
        может еще что посоветуете, а то тут с такого свалившегося счастья мысли разбегаются..


        Деловая Столица

        VIP-клиентов банков обворовали


        С карточных счетов украинцев в разгар туристического сезона начали исчезать деньги. Мошенники обогатились изрядно, поскольку списывали средства с карт класса Gold, причем с пластика> далеко не самых бедных граждан Украины. Видимо, поэтому финансисты достаточно быстро докопались до причин хищений: средства со счетов VIP-клиентов пропадали сразу после расчета картой в торговой сети, оборудованной PIN-падами (при расчете через эти устройства необходимо вводить личный PIN-код держателя). После разглашения клиентом кода, известного только ему, мошенники, подделавшие карту, оперативно и вполне успешно потрошили карточные счета отечественных толстосумов.

        Мошенников плодят PIN-пады

        Надо сказать, что пострадали не только клиенты крупного регионального банка, более всех преуспевшего в расширении своей сети PIN-падов. Разразившаяся эпидемия мошенничества затронула наиболее привилегированных держателей карт (средний неснижаемый остаток по картам класса Gold - порядка 10 тыс. грн.) почти всех системных банков. Их расследования подтвердили, что хищения связаны с утечкой информации после того, как клиент засветил> в торговой сети свой PIN-код. Причем мошенники, получавшие информацию о личных кодах держателей карт, действовали грамотно. На карточном счете оставалась небольшая страховая сумма: другими словами, клиенты не сразу обнаруживали недостачу на счету (ведь стоит держателю полностью оголить> карту, как банк заказным письмом уведомит его о нарушении договора). Примечательно, что большинство несанкционированных списаний происходило через банкоматы, находящиеся на территории Польши, где в прошлом году уже были пойманы карточные мошенники, подчищавшие счета украинских клиентов.

        Сейчас службы безопасности банков, которые были вынуждены компенсировать потери держателям карт Gold, расследуют случаи утечки информации. Причем рассматривается сразу несколько версий карточных преступлений - начиная с утечки данных из банка, который через PIN-пады получал личные коды держателей, заканчивая возможными перехватами данных на пути информации о расчете картой от торгового предприятия в банк. Похищение информации сейчас стало отдельным криминальным бизнесом организованных групп - эта информация продается. Кроме всего прочего, нельзя не признать, что нынче подделка платежных карточек достигла высокого уровня за счет использования преступниками новейших технологий. Карты производятся как легальным образом, так и нелегально (само промышленное оборудование либо аналог такого оборудования может находиться у мошенников)>, - поделился с ДС> опытом начальник отдела по борьбе с правонарушениями в сфере высоких технологий Государственной службы борьбы с экономической преступностью МВД Виталий Бутузов.



        PIN-коды можно не вводить

        Пока банкиры не берутся предсказывать потери от нынешней эпидемии карточного мошенничества. Хотя и не исключают, что они превысят все предыдущие компенсации, которые ранее приходилось покрывать банкам своим картодержателям. На порядок вырастут и годовые показатели. Только за пять месяцев текущего года в сфере высоких технологий выявлено преступлений и возбуждено уголовных дел больше, нежели за весь 2002 год. Половина уголовных дел по выявленным преступлениям доведена до суда. Сумма причиненного мошенниками ущерба с начала года составила порядка 3 млн грн., на сегодняшний день около 2 млн грн. уже компенсировано за счет раскрытия преступления>, - рассказал в интервью ДС> Виталий Бутузов. Главная же рекомендация, даваемая банкирами своим картодержателям, - это отстаивание своих прав в торговых точках. По итогам месяца мы будем рассылать нашим клиентам выписки по их карточным счетам. На этот раз в них будет рекомендация держателям карт VISA и EuroCard воздержаться от введения PIN-кодов при использовании их в торговых точках, оборудованных PIN-падами>, - проинформировал ДС> директор департамента платежных карт банка Финансы и Кредит> Александр Кучменко. Ведь, с точки зрения утвержденных международными платежными системами правил, клиент находится в более выгодном положении, нежели торговец. От картодержателя введение кода могут потребовать лишь при обслуживании карт Maestro, что касается MasterCard, то требовать код не воспрещено, однако даже при отказе клиента его ввести торговая точка обязана завершить расчетную операцию. Кроме того, как по картам MasterCard, так и по VISA/VISA ELECTRON, требовать подтверждения операции PIN-кодом может только банк-эмитент - такое требование может прислать эмитент эквайеру в процессе авторизации, и его увидит торговец на терминале>, - сообщил директор департамента розничного бизнеса АППБ Аваль> Владимир Гирис.

        Саму же установку в торговых предприятиях злосчастных устройств, предназначенных для ввода PIN-кода, операторы рынка поясняют двумя причинами. Первая - соответствующие требования платежной системы при расчете картами Maestro, вторая - псевдоконкурентная борьба на рынке эквайринга, в свете которой упрощается> работа торговцев. Для того чтобы переманить к себе на облуживание торговую точку, банк предлагает ей льготные условия, обещая, что при установке вместо привычного РОS-терминала для прокатывания магнитной карты его собрата - PIN-пада - магазин освобождается от материальной ответственности за мошеннические операции (при использовании РОS-терминала ответственность в случае нарушения кассиром магазина операционных правил ложится на торговца). Соглашаясь на установку новых устройств, торговцы как будто бы избавляются от ответственности за проведение расчетов, поскольку она автоматически ложится на пользователей карт. На самом деле банк-эквайер фактически вводит в заблуждение и торговца, и клиента, т. к. правило перехода ответственности по операциям, совершенным с введением PIN-кода, будет действовать только с 1 января 2005 г. и только для карт Maestro.



        Мошенников выследят SMS-сообщениями

        В банковском арсенале на сегодняшний день только два инструмента для борьбы с летней волной мошенничества. Первый - мониторинг карт. Анализируя ситуацию, можно отбирать подписанные> PIN-кодом карты и для них выставлять ограничения на снятие наличности через банкоматы, а также перевыпускать карты (на протяжении последних месяцев сразу несколько банков перевыпустили часть своих карточных портфелей. - ДС>). Хотя таким образом мы будем вынуждены создавать неудобства для клиентов>, - подчеркнул Владимир Гирис. Кроме того, банк предлагает дополнительные услуги. Скажем, если ранее клиент имел возможность моментально получать данные о проведении оплаты картой либо снятии с нее наличности, то сейчас его начинают информировать даже об обыкновенном запросе по остатку на счете. Эту информацию получают в виде SMS-сообщений на мобильный телефон.

        Разумеется, банки также не отказываются от возможности воздействовать на коллег, которые устанавливают PIN-пады в торговых точках и иными способами нарушают правила, подрывая безопасность карточных расчетов. Платежная система сейчас принимает от банков заявления о нарушениях операционных правил при обслуживании карт: сплошь и рядом торговые точки требуют подтверждать личность держателей карт. Собранная информация отправляется непосредственно в MasterCard. В дальнейшем международная платежная система применяет санкции к банкам вне зависимости от того, намеренно ли он нарушает операционные правила либо совершенно случайно попал под пресс мошенничества. Есть нормативы, нарушение которых чревато для банка финансовыми штрафами. Они зависят от того, как банк принимает меры, и того, на какие суммы были проблемы. В прошлом году санкции применялись к единицам, но среди них - банки - лидеры карточного рынка>, - сообщил ДС> директор Ассоциации банков - членов Europay/MasterCard Александр Карпов. Держателям карт советуют информировать свои банки о случаях, когда их принуждают подписывать свои трансакции PIN-кодами или предъявлять паспорт.

        Комментарий


        • #5
          Если я правильно понял, где-то у мерчантов стоили фальшивые пинпады.
          Вот там и копайте.

          Комментарий


          • #6
            Насколько я знаю, ввод пин-кода для карт Visa и MC/EC является грубейшей ошибкой соответствующих платёжных систем и сейчас POS-терминалы при оплате держателем картой Visa, MC/EC печатают на слипе графу "Подпись держателя" и только в случае Cirrus/Maestro и остальных локальных платёжных систем эммитент запрашивает пин-код через пин-пад, напечатав при этом "Подтверждено пин-кодом.". Поэтому мне, например, интересно как эти "толстосумы" умудрились ввести свой пин код в мерчантах, ну не Maestro же у них!??

            Комментарий


            • #7
              Mickle
              Маленькая ремарка.
              МастерКард НЕ запрещает вводить ПИН по классическим продуктам в торговле, в случае если это необходимо бизнесу.

              Комментарий


              • #8
                Dbcheck:
                Если я правильно понял, где-то у мерчантов стоили фальшивые пинпады.
                Вот там и копайте.

                Ох.... неправильно ты понял.
                Происходит съём данных дампов и ПИНов на трафике: ПОС (определённого банка) - Процессинг.

                Комментарий


                • #9
                  F...CAT Происходит съём данных дампов и ПИНов на трафике...

                  А разве, в данном случае, при конекте не устанавливается защищенное соединение ? Или оно недостаточно защищенное ?

                  X-man_UA Сумма мошенничества ДОВОЛЬНО ощутима.

                  Соболезную. Застрахованы хоть были от рисков совершения мошеннических операций?

                  С уважением,

                  Комментарий


                  • #10
                    F...CAT Происходит съём данных дампов и ПИНов на трафике...
                    совершенно верно



                    Forge Соболезную. Застрахованы хоть были от рисков совершения мошеннических операций?
                    увы...:-(((

                    Комментарий


                    • #11
                      Уважаемый Forge, к сожалению, достаточно полно не могу ответить на Ваш вопрос, т.к. нас читают и господа с
                      ............, хотя в Вашем вопросе короткий ответ уже есть

                      А X-man_UA действительно стоит посочувствовать

                      На Украине страхуют такие риски всего несколько банков.
                      Все остальные попали/попадают по крупному. Впрочем не только банки, как правило простым клиентам деньги то не возвращают.

                      Комментарий


                      • #12
                        X-man_UA Я пардон, не понял. Что, пин уходит в некриптованном виде?

                        Комментарий


                        • #13
                          X-man_UA F...CAT Происходит съём данных дампов и ПИНов на трафике...
                          совершенно верно
                          - это интересно как? Ключики кто-то слил чтоль, да и все равно что это даст? ИМХО у вас там старье какое то в плане шифрования ПИНА, т.к. кроме как подсмотреть ПИН или использовать псевдо-пинпад узнать ПИН невозможно.

                          Комментарий


                          • #14
                            doctor64 Я пардон, не понял. Что, пин уходит в некриптованном виде? - да даже если и так все запущенно, полюбому надо знать алгоритм формирования, т.к. сам то ПИН не содержиться в транзакции. Впрочем что тут об этом говорить. Надо послушать мнения специалистов))

                            Комментарий


                            • #15
                              Smart Ну, я не специалист в посах. Но если судить по аналогии с банкоматами, пин-блок то должен быть в transaction req? Но вообще вся история как-то нехорошо пахнет. Смахивает на черный PR от конкурентов "крупного регионального банка".

                              Комментарий


                              • #16
                                А зачем ПИН передаётся процессингу? Ведь по логике вещей пин нужен только оконечному устройству, т.е. АТМу или ПОС-терминалу, чтобы последний удостоверился, что перед ним валидный держатель. А далее когда удостоверился через процессинг пошли только детали платежа, зачем нужен ПИН ?

                                Комментарий


                                • #17
                                  Mickle Чудненько. Нет, когда-то давно, когда пины проверялись локально, это было правдой... Валидность пина проверяет банк - эмитент, и никто кроме него.

                                  Комментарий


                                  • #18
                                    F...CAT Все остальные попали/попадают по крупному.

                                    И будут попадать, если не страховать свои риски.
                                    Тоже самое касается держателей карт.

                                    С уважением,

                                    Комментарий


                                    • #19
                                      doctor64
                                      Мне по меньшей мере странно Ваше настойчивое нежелание принять очевидное - утечка ПИН-инфы уходит из "КРБ"-шных ПИН падов!!!
                                      Впрочем, дело вкуса, я не собираюсь доказывать кому-то что-либо.


                                      Forge
                                      Вы абсолютно правы.

                                      2 АLL
                                      Если у кого нибудь есть толковая инфа или практические материалы касательно страхования рисков в пластиковом деле, поделитесь плз..лучше поздно как грится....

                                      Комментарий


                                      • #20
                                        Forge:
                                        И будут попадать, если не страховать свои риски.


                                        Да кто ж такое страховать то будет?
                                        Страховщики ведь первым делом смотрят статистику и пытаются вникнуть в масштабы проблемы. После чего, либо исчезают либо ставят такие условия, что лучше уж самому банку клиентам выплачивать/не выплачивать. Страховщикам то нужно тоже зарабатывать, а в данной теме у них абсолютный влёт.

                                        Что касается клиентов, то здесь вопросы страховки рисков люди пока не понимают, железно действует правило: "Пока гром не грянет...."
                                        Конечно, им всем можно детально рассказывать о мошенничестве, но они то хотят, и берут, безопасный продукт. И если им выложить все возможные проблемы(кражи денег с их счетов), то либо такой клиент уйдёт в другой банк(гдё ему втюхают якобы "безопасную карту"), либо вообще не будет пользоваться картой.

                                        Комментарий


                                        • #21
                                          Да кто ж такое страховать то будет?

                                          А вот это уже "камень в огород" нашему законодателю.

                                          Полагаю необходимо ввести обязательное страхование подобных рисков на уровне федерального закона (либо дополнения в ФЗ "О банках и банковской деятельности).

                                          Впрочем, есть компании которые предлагают такое страхование - в форуме уже писали об этом.

                                          С уважением,

                                          Комментарий


                                          • #22
                                            железно действует правило: "Пока гром не грянет...."

                                            Это касается и самих банков, как неоднократно показывает практика.

                                            Комментарий


                                            • #23
                                              Весело... Дает мне кассир теперь ПИН-пад при оплате по MasterCard, мотивируя новыми требованими их банка, оператор моего банка по телефону подтверждает правомерность требований. И как я могу знать, подключен он к терминалу по защищенному каналу или к некоей неавторизованной частной линии?

                                              Комментарий


                                              • #24
                                                2 Комсорг

                                                И как я могу знать, подключен он к терминалу по защищенному каналу или к некоей неавторизованной частной линии?

                                                В этом-то основная проблема!

                                                Я, например, как Держатель не могу и не должен знать об очень многих важных вещах:
                                                - как выглядит пин-пад той или иной модели ПОСа;
                                                - не наклеено ли к нему чего-нибудь "невидимого";
                                                - встроенный ли он и является ли ЕПП;
                                                - использует ли он 3DES;
                                                - уникален ли в нём ТПК;
                                                - как создавался/передавался/прошивался/уничтожался этот ТПК;
                                                - как часто меняется ТПК;
                                                - как организована передача ПИН-ов в сети эквайера (если нельзя, но очень хочется - то можно и в открытом виде передавать на контролер, а там уже формировать запросы);
                                                - куда девался Визовский ПИН-блок (если он был вообще сформирован), когда в некоторых ПОСах города Киева просили ввести ПИН по карте Виза, а авторизационный запрос был не ПБТ.

                                                Видите какой список вопросов (и он не полный). Получить бы ответы на эти вопросы у эквайра. Тогда специалист сможет решить - вводить или не вводить. А Держатель? Вопрос риторический.... Можно только рекомендовать воздерживаться от ввода ПИНа в ПОСах.

                                                Комментарий


                                                • #25
                                                  X-man_UA

                                                  > Мне по меньшей мере странно Ваше настойчивое нежелание принять очевидное - утечка ПИН-инфы уходит из "КРБ"-шных ПИН падов!!!

                                                  Очевидно тут только одно - если утечка ПИНов произошла из ПИН-падов установленных банком (а не фейковых), то тут явно попахивает (я бы сказал воняет) инсайдером. Или в банке, или в софтовой конторе, которая ПИН-пад писАла. Предположить, что банк сознательно шел на нарушение формата ПИН-блоков между терминалами и процессингом, и передавал ПИны в открытом виде - это просто невозможно. Ибо тут Smart абсодютно прав:

                                                  > кроме как подсмотреть ПИН или использовать псевдо-пинпад узнать ПИН невозможно.

                                                  Forge
                                                  > Полагаю необходимо ввести обязательное страхование подобных рисков на уровне федерального закона

                                                  Ага. Щаз-з-з-з-з. Вы уж как-нибудь сами со своими рисками разбирайтесь.

                                                  Комсорг

                                                  > Дает мне кассир теперь ПИН-пад при оплате по MasterCard, мотивируя новыми требованими их банка, оператор моего банка по телефону подтверждает правомерность требований.

                                                  Это хорошо, что у оператора проверили правомерность требований - существенно меньше риск нарваться на подставной ПИн-пад.

                                                  > И как я могу знать, подключен он к терминалу по защищенному каналу или к некоей неавторизованной частной линии?

                                                  Дело, не в линии. Дело в соблюдении стандартов формирования ПИН-блока. И в не компроментации ключей. Хотя банк, пошедший на нарушение стандартов формирования ПИН-блока, я не могу представить, (наиболее вероятная причина таких действий - массовое помешательство в отделе пластиколвых карт).

                                                  ИМХО. Или инсайдер, или фейковые ПИН-пады, или съем ПИНа видеокамерой + скимминг.
                                                  С уважением,
                                                  ==========

                                                  Комментарий


                                                  • #26
                                                    MaxUA

                                                    > - встроенный ли он и является ли ЕПП;

                                                    Кстати, да. Мастер обязывает оборудовать точки не абы какими ПИН-падами, а криптованными, которые ПИН-блок внутре себя готовят, а не передают пин терминалу для этого. Не криптованные ПИН-пады - огромная дыра для утечки ПИНов.
                                                    С уважением,
                                                    ==========

                                                    Комментарий


                                                    • #27
                                                      2 EUgeneUS
                                                      Предположить, что банк сознательно шел на нарушение формата ПИН-блоков между терминалами и процессингом, и передавал ПИны в открытом виде - это просто невозможно.
                                                      ...
                                                      Хотя банк, пошедший на нарушение стандартов формирования ПИН-блока, я не могу представить, (наиболее вероятная причина таких действий - массовое помешательство в отделе пластиколвых карт).


                                                      Ситуация тут такая: Свежо предание, но верится с трудом.(С)

                                                      Не верится, не представляется возможным, но .... это возможно.

                                                      Комментарий


                                                      • #28
                                                        doctor64 ПИН-блок и ПИН это несколько разные вещи, Понять соответсвует ли ПИН-блок реальному ПИНу сможет только эмитент, причем с использованием преобразований в закрытом ящике - HSM, потому даже если мошеннику будет доступна транзакция с данными в открытом виде это не позволит ему узнать ПИН-код.
                                                        MaxUA Не верится, не представляется возможным, но .... это возможно. - да Евгений уже описал как. Причем инсайдер должен сидеть в банке-эмитенте. Методы анализа уже приводились в сети в открытом доступе, даже тут постилось, если мне память не изменяет. Но никакими другими способами скимнутую карту с введенным ПИНом не сопоставишь (кроме подсмотреть, контрафактный ПИН-пад, инсайдер в эмитенте+ не криптованный ПИН-блок)

                                                        Комментарий


                                                        • #29
                                                          Господа, а не кажется ли вам, что это все уже слишком?
                                                          Давайте сейчас еще делиться, кто какие знает алгоритмы формирования ПИН-блока, и на каких ключах все это шифруется и перешифровывается. Кошмар какой-то. Посоветуйте человеку, как отбивать ПИНовый фрод. Да, тяжело. Потому он и обратился.
                                                          А следствием занимаются другие люди. Не факт, что они настолько же компетентны, как уважаемая общественность, но уж не менее, чем мошенники. И повышать квалификацию последних, наверное, пока не нужно.

                                                          To Smart:
                                                          Из спортивного интереса готов поспорить насчет инсайдера у эмитента, но не здесь.

                                                          Комментарий


                                                          • #30
                                                            McSeem Давайте сейчас еще делиться, кто какие знает алгоритмы формирования ПИН-блока, и на каких ключах все это шифруется и перешифровывается. Кошмар какой-то.

                                                            А что тут такого?
                                                            Алгоритм формирования ПИН-блока можно легко найти в практически открытых спецификациях (DES, 3DES и т.д.). Толку то от этого? Шифрование, она на то и шифрование, чтобы требовать длительной расшифровки. Я уж не помню их криптостойкость, но, поверте на слово, - не для Пентиум 4.

                                                            Просто хочу поддержать всех предыдущих ораторов и сказать, что даже сняв трассу с телефонной линии нельзя получить ПИН. Его можно только подсмотреть или "снять" с ПИН ПАДа. И всё.
                                                            Ростислав.
                                                            Нам и карты в руки!

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X