|
|
| Публикации | Интервью | Bankir-TV | Фотобанк | Он-лайн конференции | Рынок труда | Обзоры книг | Клуб экспертов | Рейтинг |
|12.05.2009 08:06|
В России завелся банкоматный вирус
| Публикации | Интервью | Bankir-TV | Фотобанк | Он-лайн конференции | Рынок труда | Обзоры книг | Клуб экспертов | Рейтинг |
© 1999 – 2012 ИА "Банкир.Ру"
"...при этом действие "подхватить вирус" в него не входит"
а в мой компьютер значит такое действие прописано при
проектировании в автозагрузку было изначально... )))))))))
ну по сути написано правильно, что никакой вирус не может украст пины к картам с епп-клавы.
Так что вопрос внутреннего доступа и разграничения полномочий сотрудников необходимо поднимать.
прогресс не стоит на месте и если много умных дядек говорит что это невозможно, то это далеко не так.
вот это изречение вообще смешно "действие "подхватить вирус" в него не входит" покажите мне хоть одну ОС, где разработчик заложил подобное действие. Банкоматы на сколько я помню управляются специальным ПО, но ставиться данное ПО на операционную систему вот вам и уязвимость, так что не стоит сразу подозревать персонал.
Учитывая, что у людей, осуществляющих подобные "операции", имеется доступ к весьма большим сетям распределённых вычислений (к ботнетам), расшифровка пинблоков становится вопросом времени. Далеко не такого значительного времени, как все почему-то уверены.
Респект журналистам Къ - на редкость грамотная статья.
У нас у тетушки одной 20 т.р. сняли с карты в банкомате Румынии.
А она только зарпалту на нее получала, да и снимала в одном и том же банкомате и всё. Безопасники ведут расследование, но сказали что бесполезняк. Карту соответственно перевыпустили.
Alek, ключи криптования пакетов неизменны? Любой ключ рано или поздно взламывается, но его авторы об этом прекрасно знают, поэтому меняют ключ чаще, чем его криптостойкость будет не только раскрыта, но даже просто снижена!
Пикиньте сколько у Росбанка банкоматов. Чем не ботнет для расшифровки ПИНблоков? :) На таких сетях можно и жизнь в других галактиках искать.
У меня карта чиповая...тырьте пин-код червяки недоделанные, фик вам
А если карта чипавая, то проблем с незаконно списаными деньгами не будет?
Цыганка с картами: только если физически эту самую карту иззъять, к прилагаемому пин-коду соответственно. Но я ее никому не отдам;)
Чип, как и PCI DSS - это не более чем маркетинговый ход. Просто об этом еще не писали, ведь бабло то угрохали немерянно, а выход 0.
Пластиковая карта не есть безопасный способ хранения денежных средств или безопасное платежное средство, держите мани в кэше :)
ass: Ты представление имеешь что такое чип, кроме как "просто маркетинговый ход"? У меня кошелек в транспорте тырили 3 раза, и я очень рад что деньги были в чипе (а чип в кошельке). Главное пин-код не писать на карте и бумажнике (т.е. запомнить) и будет счастье.
А у близкого родственника магнитку в Екатеринбурге кардеры клонировали и пин-код камерой беспроводной подсмотрели, и он попал на 20000 р.
P.S. пин-код у меня шесть цифр, вот.
В итоге опять никакой правды ))) Эти версии мы слышали по 10 раз за день...
чип = не чип. абсолютно такая же защита. на чиповых картах предусмотрена возможность операций без обращения к чипу - т.е. просто с использованием магнитной полосы, которая есть на любой карте. чип лишь дублирует информацию, имеющуюся на магнитной полосе, а не дополняет ее. чип.карты просто многофункциональнее не чиповых, а защита такая же - поэтому в качестве безопасного средства платежа чип себя не оправдал.
советую простую магнитку, смс-информирование и не снимать деньги в круглосуточных банкоматах, особенно уличных. в кафе и ресторанах платите наличкой.
Как гласит старая Чукотская мудрость: "То что один чукча придумал, другая завсегда сломать может, однако". И не надо возводить защиту банкоматов в абсолют, придет и их время...
hj: Ваше утверждение отностистся к какой платежной системе? Наверно надо от этого отталкиваться.
Не спорю, есть также чипы, которые работают без пин-кода (гуано-чип, я такой не возьму, зачем они?).
"чип лишь дублирует информацию" - На карте у меня нет магнитной полосы, только чип, и он единственный и неповторимый.
"поэтому в качестве безопасного средства платежа чип себя не оправдал" - статистику в студию.
Не возвожу чип в идеал, но стоит наверно согласиться, что ломать 3DES на дешифраторе,а потом внедрять это в тело транзакции банкомата при помощи трояна (или чем-то еще) или находить физический носитель (нужно оборудование аналогичное банковскому), задача менее тривияльная, чем ПТУшник со скиммером и беспроводной камерой.
to db: карта без магнитной полосы - это глупость. сомневаюсь, что ей вообще можно пользоваться в России, потому как у большинства банков все оборудование, включая банкоматы расчитаны на магнитки, с чипами (only) практически никто не работает. вероятно как безопасное средство платежа чипы без магнитки что-то стоят, но они явно проигрывают обычным магниткам по удобству использования. тогда можно просто таскать с собой наличность в пришитом к трусам кармане. безопасно. )
hj: Да Вы помешались на МастерКарде и Визе, мир гораздо шире, чем кажется. Я пользуюсь и живу в России, плачу чипом и в магазинах и кафе.
"карта без магнитной полосы - это глупость" - карта с магнитной полосой это глупость. У меня дома есть стару ма-фон Весна, я мангнитку прочитаю, и отшлепаю её на 100 экз.
hj: кстати в Московском метро давно уже чип живет, и не от хорошей жизни, а были когда-то магнитки.
Банковские карты стали обыденным средством оплаты товаров и услуг - в том числе за рубежом. Тем не менее случаев, когда воспользоваться ими по назначению в других странах невозможно, со временем меньше не становится. С недавнего времени проблемы возникают и с новомодными картами, куда интегрированы чипы.
Безопасность - это хорошо, но нефункциональность и неудобство - это крест на идеи.
Не буду голословным:
http://www.metronews.ru/news1/chipovye_karty_okazalis_ne_bez_greha_za_rubezhom/
"Чиповые карты, по сообщениям наших соотечественников, в ряде случаев оказывались бесполезными как платежное средство в основном в Европе - во Франции, Бельгии и даже соседней Финляндии. Иногда с них также нельзя было снять деньги через банкоматы. При этом, как показывает практика, ни от конкретного банка, выпустившего карту, ни от платежной системы, через которую осуществляется платеж (Visa, Mastercard, American Express) затруднения не зависят."
А вот это главное!:
"Смарт-карты намного безопаснее, чем магнитный пластик, так как с чипа мошенникам гораздо сложнее скопировать данные. Издержки на расшифровку информации в этом случае очень велики и чаще всего не оправдывают себя. Однако у чипа есть один существенный недостаток — это неразвитая инфраструктура приема. Пока банкоматов и магазинов, где карты принимают к оплате с использованием чиповых, а не магнитных технологий, очень мало. Поэтому еще долго все микропроцессорные карточки будут снабжены магнитной полосой. Однако в дальнейшем ситуация будет меняться, так как международные платежные системы Visa и MasterCard подталкивают банки к переходу на новые технологии, иначе всю ответственность по мошенническим транзакциям будут нести банки, которые откажутся это делать. В MasterCard перенос ответственности состоялся в начале этого года, в Visa он запланирован на 1 января 2006 года. При совершении мошеннической операции со смарт-картой ответственность будет нести банк, который принял пластик к оплате, но не смог обслужить карту как чиповую. Если же у кредитной организации было оборудование для обслуживания чиповых карт, но для оплаты была предъявлена обычная магнитная, то ответственность несет банк-эмитент."
http://www.kreditov.ru/index.php?name=News&file=article&sid=9
По факту скажу, что не говоря про заграницу, но и в России некоторые ведущие банки фактически признали несвоевременность, дороговизну и неудобство чиповых карт и по-тихой больше их не печатают "на улицу", только транспортные, социальные, под з/п проекты (иногда) или под ко-брендинг при острой необходимости.
Короче чип в России пока рановато запускать. Он еще и в Европе не прижился и затрат элементарно не оправдывает.
hj: "Чиповые карты, по сообщениям наших соотечественников, в ряде случаев оказывались бесполезными как платежное средство в основном в Европе.." - правда Ваша, мне своего хватает и в регоине, где живу. За бугор мне с ним доступ закрыт, пока увы.
"это неразвитая инфраструктура приема" - менее развитая, но достаточно приличная. Зависит конкретно от региона(тысячи банокматов, сотни тысяч терминалов ), в Москве практически не развита.
Visa и MasterCard довольно странные у них чипы, - сам видал, как при оплате в кафе пин-код не требовалось вводить, и это гадко.
"России некоторые ведущие банки фактически признали несвоевременность, дороговизну и неудобство чиповых карт" - мне повезло, у меня другой банк.
добавлю к "это неразвитая инфраструктура приема", лучше она, чем пустой кошелек.
db
Клон с чипа это реальность)
Напоминаю, что в статье рассказывалось о страшном и ужасном вирусе, который гнал инфу не только с карты, но даже с клавы. Такому хитрому вирю будет глубоко фиолетово, считывать и передавать инфу с полосы или же с чипа.
Выхухоль:
об этом и говорят, сделать копию карты с магнитной полосой труда не составляет сделать чипованую карту дорого и пока проблематично
shadow: интересно...ссылки есть? с каких чипов.. MP-COS навряд-ли. Нужна серьезная технологическая база, специализированный софт (софт банка, который пытаешся ломать). Хотя всё возможно..когда-нибудь и 3DES уйдет в историю, придет например, 1024DES.
Выхухоль: слабо представляю что стакой инфой делать, она же зашифрована. В случае чипа - ну найдешь к нему пин-код, и что...
по слухам .."кредитная карточка MasterCard со встроенным чипом радиочастотной идентификации (RFID) являются подверженными взлому и даже незаконному клонированию"
клон RFID
http://forum.compowiki.info/lofiversion/index.php/t384.html
http://www.osp.ru/text/685552/2525247/
я ЗА аргументированную дискуссию
Как только технология RFID
будет востребована большим колличеством людей, тогда её дыры станут интересными и сразу увидим взломы и клонирования
db, "MP-COS навряд-ли. Нужна серьезная технологическая база, специализированный софт (софт банка, который пытаешся ломать)"(С) - это все действительно так сложно получить, сложнее чем хард и софт банкомата? Или есть подозрение, что какой-то кулибин наваял виря и даже не потестил его как следует на живом аппарате, ему вполне хватило самописных эмуляторов? Вероятность того, что этот вирь сразу же начал бы работать корректно и не обнаружил себя кучей глюков на живом агрегате - смехотворна.
db: не готов вшивать в себя любую электронику, ибо как говорил мой друг любой компьютер безопасен при условии если он отключен от сети и закопан в землю метра на 2, все остальное подверженно взлому :))
Кстати, в свое время давали полную гарантию, что невозможно клонирование в стандарте GSM. Конечного клона продемонстрировали десять лет назад, а чиповые симки не клонировал только ленивый - комплект стоил дешевле, чем резервное копирование у оператора + стоимость новой симки.
Не специалист в области защиты информации, но существуют множество карт тольско с чипом без магнитной полосы. И самая распостранненная из них Сберкарт. Еще знаю много чиповых карт систиемы "Золотая корона". Пробелем со снятием налички или оплаты в магазинах нет. Однако использовать данные карты за границей или в интернете нельзя. Вывод пользуюсь двумя картами. На чиповой хранятся крупные суммы. На визу ложу деньги необходимые для оплаты в интернете.
Ну, опять началось... Эту тему полтора месяца назад уже обсудили со всех сторон:
http://bankir.ru/discuss/1856999
И тут снова те же грабли... позднее зажигание?
To DB: у меня тоже "Корона", и скимеры с кардерами мне по барабану. :)
для 33 |12.05.2009 15:15| shadow:
Абсолютно в десятку.
db:
shadow: интересно...ссылки есть?
ссылок нет и не будет)))
al1, тут несколько иное: если предположить, что данный вирус(троян или что там еще) действительно существует(-вал) и работает(-ал), то в этом случае можно только сложить лапки, а меряться картами особого смысла уже не имеет. Чел, который сумел добыть из банкомата всю инфу о магнитной карте разберется и с чипом.