December 29th, 2015

kot

Пластиковые карточки: профанация защиты

Вы знаете, как защищена ваша пластиковая карточка? Уверен, считаете, что знаете. Это код карточки, срок действия, фамилия и имя, CVV2 код с обратной стороны... А ещё есть магнитная полоса, чип, бесконтактный чип, пин-код, подпись с обратной стороны...

Так вот, все эти навороты существуют не для того, чтоб обезопасить вас, а для того, чтоб затруднить вам жизнь и обеспечить иллюзию безопасности.

К примеру, вам, чтоб провести оплату в магазине, нужно провести карточкой по терминалу, ввести пин-код или оставить подпись. При этом продавец имеет право усомниться в том, что вы являетесь владельцем карточки, и имеет право потребовать у вас документ, удостоверяющий личность. Да-да, это правила VISA, есть такое.

Как всё сложно, правда? Уж точно никто карточкой воспользоваться не сможет!

Внезапно выяснил на собственной шкуре, что всё намного, намного проще. И что злоумышленнику для проведения платежей достаточно только знать номер вашей карты. И всё! Ну, технически, ещё необходимо знать срок действия карточки... Вот только что мешает подобрать эти две цифры, учитывая что в году всего лишь 12 месяцев, а карточки выпускаются на год-два?

Не нужен никакой CVV (CVC/CID) код, не нужна фамилия владельца. Это всё сугубо на усмотрение продавца (официальный ответ банка). Понятно, что большинство продавцов требуют заполнения всех полей, но ведь есть множество тех, кто не заморачивается подобными условностями?

Как украсть банковскую карточку

Вот стоишь ты такой в очереди, а за тобой человек, что-то тыркающий в телефоне. Чик-щёлк -- ваша карточка, которую вы передаёте продавцу, сфотографирована.

Или охранник у себя в коморке сидит и палит по камерам наблюдения за происходящим на кассе. Раз -- и у него есть данные вашей карточки. А если получится -- так ещё и с двух сторон, со всеми кодами и подписями.

Что уже говорить про всякие кафешки, где официант спокойно уносит карточку куда-то там в каморку?...

Так что вся эта защита -- профанация. Мало чем отличается от тех времён, когда продавец по телефону звонил в банк и просил подтверждения счёта покупателя. Я сейчас даже думаю, что пора прекращать передавать карточку в руки продавцу. Пусть лучше тянет терминал ко мне (что в некоторых магазинах и так уже реализовано)...