Pull to refresh

Comments 250

отличный пост, познавательно и интересно. мата многовато. думаю эмоции можно было описать по-другому.
А нафига так много картинок-то, блин?
они еще и повторяются )
зато наглядно, статья все-таки научно-популярная :)
почти криминально-популярная :)
Организовали бы акцию «принес скиммер — получи бабло», люди бы нарочно ходили бы по всем банкоматам и проверяли, есть ли скиммер, сдавали бы их потом.
тут надо осторожно. если бабла будут давать больше чем стоит сам скиммер, то люди начнут их массово изготавливать и волочить в банк :)
Даже изготавливать особо не нужно. Даже я из подручных деталей смогу собрать муляж скиммера себестоимостью <100р а там явно не 100 рублей премия была бы.
За тобой уже выехали =)
И сами получали бы люлей от охранников этих самых девайсов… Плохая идея, ИМХО…
Собирались бы группами человек по 5: один демонтирует девайс, четверо мутузят «охранника» скиммера. :D
«снял скриммер — получил в табло», я думаю, так вернее.
Можно толпой ходить, а деньги поровну :)
Уже давно многие банки предлагают вознаграждение за то, что ты им укажешь банкомат с установленным скимером. Пруфлинк, к сожалению, никак не найду.
Было бы еще здорово организовать акцию «убил спамера — получи бабло». У кого то из фантастов даже было. Но это не по теме…
Лукьяненько, Лабиринт отражений. Об этом можно прочитать в Вики:
Спамеры в Глубине представляют собой «идиотически восторженных» молодых людей и девушек, сующих прохожим листовки. С тех пор, как назначили премию за убийство спамеров, их почти не осталось. На одной из площадей Диптауна стоит Памятник Последнему Спамеру.

Я же предлагаю основать свою Глубину, где будет назначена премия за убийство кардеров. И да, нельзя забыть поставить Памятник Последнему Кардеру :-)
Читал год назад или чуть более данный текст.
Имена правда другие фигурировали.
Так же проблема освещалась в ][акере.
Фото до боли уж знакомые.
Ссылки на оригинальные источники можно?
Вот вот, особенно порадовал «не мая месяц же» =)
Фотки действительно баянистые :)))
Фотки из инета, откуда ж еще
Боюсь, ссылкой с источником вам не помогу, т.к. писал сам. Может быть вы поищите у себя, чтобы не быть голословным? :)
А фотки да, из инета
>это может быть только в стране вечнозеленых президентов, а у нас – просто нет кадров, чтобы заниматься этим.

У меня наоборот, такое впечатление, что в основном русские этим и занимаются. У меня вот однокурсница в США и Таиланде работет.

А работать у себя в стране (России) считается «западло», поэтому реже встречается у нас. Но многие нарушают.
классно! безумно интересно было почитать! В этом даже романтика какая то есть ))
Насчет антискиммеров: иногда банкомат в начале работы на экране показывает, как должен выглядеть картоприемник. Плюс, эти пластиковые фиговины делаются прозрачными, чтоб было видно, что там внутри нет ничего лишнего.
Обычно там выводится на экран картоприемник с выпирающим антискиммером… отломать который можно без проблем. Зато повесь на него аналогичный по виду скиммер и все будут принимать его за «эталон с экрана»
Поэтому антискиммеры делают прозрачными, чтобы туда внутрь электронику нельзя было засунуть. Хотя ИМХО лучшим решением проблемы была бы абсолютная стандартизация дизайна клавиатуры и картовода.
статья хорошая, но получился практически
вводный курс для «интересующихся темой».
не хватает только адресов форумов краберских… хотя адрес фрика можно разглядеть
Согласен. Такое чувство, что автор сам не прочь бы стать кардером :)
Кто ищет тот найдет ) и кто хочет, давно захотел и без моей статьи.
А в ней же, по сути, ничего нового нет и уж тем более никаких руководств к действию.
Всегда стараюсь закрывать рукой процесс набора пинкода, привычка :)

PS. Спасибо за интересную статью!
А я кладу обе руки на кнопки, одновременно касаясь клавиш всеми пальцами. Какие при этом нажимаю — различить очень сложно, даже если исхитриться подсмотреть клавиатуру. То же способ.
Кстати необязательно должен иметь место заговор владельцев банка (в начале статьи после диалога с охранником у меня сложилось именно такое впечатление). Поработав с банкоматами и банками в свое время — могу сказать, что большую роль также играет и пофигизм службы безопасности, вечная экономия банка на всем… что выливается в элементарные «подарки» злоумышленникам. Например в одном городе, в одном из банков камеры на банкоматах стоят лишь на одном (на том, который в центральном отделении). А на остальных — да, теоретически должны быть… но это ж надо доплачивать за камеры, заниматься наблюдением и т.п…
С охранником на такие технические темы вообще разговаривать странно :)
Это был банкомат у универа, куда я заходил пару лет ) и мы с ним уже «привет-пока» были… просто так естественно заподозрят в неладном )
супер!!! Спасибо за пост давно знал о явлении, но о его столь большом распространении в Росии не думал…
Да, это терминал, но я специально показал эту фотку, как может «выпирать» клавиатура.
Спасибо за статью, познавательно, недавно на хабре проскакивала подобная, но ваша статья подробней.

А у нас в Таллинне сколько не ходил, ни разу скиммера не встречал.
Их просто очччень метленно устанафливают, поддождитте :)))
Давайте я не буду с вами вступать в холивар по поводу Эстонцев…
Я сам тут живу и мне видней что тут за люди и подобные анекдоты у меня мягко говоря вызывают отвращение.
Ладно, не злитесь ) Во всех странах разные кредитки, разные банки и службы безопасности, разные менталитеты… так что удивляться, по большому счету, нечему — радуйтесь, если таких приблуд нет.
У меня альфабанк, у него банкоматов не много в банках да в охраняемых магазинах =) пока ничего странного не заметил
Спасибо за статью, очень содержательно!)

Лично я страхуюсь от подобного рода рисков таким образом, что храню деньги только на банковских счетах, и когда мне нужно снять какую-то сумму, то просто перевожу её через Интернет-сайт-админку банка и быстренько бегу снимать.

Т.е. мне в принципе не столь важно знает кто ещё номер, CVV или даже пинкод моей карты… денег на ней зачастую просто нет.
У меня товарищу банк начислил пеню за попытку снятия денег которых не было на счету. Правда он не в банкомате снимал, а в магазине расплачивался.

А уж если карточка кредитная… Ее всегда можно в минус загнать. :)
кривой билинг в банке товарища
Не, вполне прямой.
Это тот случай когда «читайте мелкий текст в договоре». Система отработала как в договоре указано.
одно из двух
либо договор подпилен под имеющийся биллинг
либо такой способ заработка
Я так понял они таким образом «стимулируют» народ чтобы он на счету деньги держал.
На кредитной карте денег нет принципиально, а на обычной технически можно уйти в минус даже если на ней нулевой овердрафт. Правда при разборках с банком будет легче стребовать свои деньги.
Результаты: 1 — 10 из приблизительно 175 из домена habrahabr.ru для "за вами уже выехали".
Не так уж и много…
Хотел подсыпать кармы, да у самого мало. Ограничусь простым, но душевным «Спасибо!». :)
М-де. Ну и реакция у хабрасообщества на слово «спасибо».
нет, это на «Хотел подсыпать кармы, да у самого мало». Вы не знаете первую заповедь хабры?
Увы, я тут недавно — нет.
Так что для меня это казалось аргументированным «спасибо».
вы же понимаете, что это реакция на слово «СамиЗнаетеКакое»
Как там, мм…
Том Марволо Реддл :)
(да, да, я о нем).
У минусовавших ни на секунду не возникло чувство, что я хотел тупо аргументировать конкретно выбранный способ выражения благодарности?
Ну заминусовали комментарий. Так мало, еще и в и без того хилую, пардон, насрали.
ну зато вы теперь обрели «опыт» общения тут
UFO just landed and posted this here
Спасибо, очень интересно. Обязательно дам ознакомится коллегам и друзьям.
только недавно попался на эту штуку :-(

(Москва, Арбат)
Статья из журнала для младших школьникво «хакер»?

Что-то автор по ходу бред несет. Во-первых, я сильно сомневаюсь, что мошенники, увидев что скиммер обнаружен, будут вмешиваться, вряд ли им нужн риск и деанонимизация.

> Если Вы считаете, что обдурили всех, отодрав скиммер и убежав – не спешите радоваться. Могут по дампу найти, могли и паспорт выронить – всякое бывает ;) зато потом хэппи энда может не случиться.

Что за чушь?

Во-вторых, разговаривать с обычным охранником банка о скиммерах — ну это смешно, ей богу. Ну и про тайный заговор банков с мошенниками он конечно тоже осведомлен лучше всех.

И кстати, даже снятые с карточки деньги можно оспорить(по крайней мере в цивилизованных странах, банк обязан доказать в случае конфликта что вы действительно сняли деньги), тем более если они сняты в другом городе или другой стране. И да. банкомат фотографирует тех кто снимает деньги, так что если их снимал человек, совсеи на вас не похожий — опять же шансов вернуть деньги больше.

В банкомате где я снимаю свои копеечки, есть камера снаружи, и подорзреваю, внутри :)
Разочарую…
в большинстве договоров на обслуживание пластиковых карт есть пункт (не дословно) о том, что банк не несет ответственности за операции проведенные с использованием пинкода.

то есть украли или сдампили карту — вы еще можете оспорить, а вот если еще и ввели правильный пин с украденным дампом — вы сами виноваты…
Во-первых, я сильно сомневаюсь, что мошенники, увидев что скиммер обнаружен, будут вмешиваться, вряд ли им нужн риск и деанонимизация.

Конечно они не будуи вмешиваться. Они дома сидят. А вмешиваться будет гопник, которому заплатили 500 рублей, что он несколько часов постоял рядом, покараулил.
Я бы сказал что эта фотография — ваша единственная надежда. Я ни разу не видел договора с банком где бы не было пункта о том что правильно введенный пин код является неоспоримым подтверждением того что это транзакция санкционируется владельцем карты.
Подпись еще можно оспаривать и проводить экспертизу. Пинкод — нет.
Во всяком случае так в некоторых странах происходит. :)
>И кстати, даже снятые с карточки деньги можно оспорить(по крайней мере в цивилизованных странах, банк обязан доказать в случае конфликта что вы действительно сняли деньги

в том и фигня что не обязан. помните историю с вирусом в банкоматах. Тогда читал какую то статью — в ней говорилось что за все операции, совершенные с вводом пинкода банк ответственности по закону не несет
Да, именно из этого журнала )

Вероятность насчет песдюлей — 50% — либо дадут, либо нет. Естественно, в любом случае, довольны вами не будут… и если сильно рыбное место, там уж точно не без присмотра. Сами владельцы, поверьте, скиммер не караулят и даже не устанавливают (и даже не мучаются с дампами) — они наверняка просто сидят и имеют с этого самый большой процент ) а всем остальным занимаются школьники-программеры и гопники, которым терять по большому счету нечего
Я думаю что там не простые гопники. Если бы был левый чел, он бы просто забрал скриммер себе и свалил… 5k баксов на дороге не валяются.

Да и вообще как-то не логично. Скриммят, как сказали, в людных местах, следовательно и гопник должен «дать по голове» в этом же людном месте или как минимум увязаться за жертвой. Слишком опасно. Думаю большинство просто бросят устройство, окупается ведь оно достаточно быстро.
Не скриммят, а скиммят.

В моем случае нас было много (5+), однако к нам почти сразу подошел огромный чел, а после него почти сразу еще 5, причем все явно не гопники )
Это ЧОП ждал хозяев скримера
Чудесная статья, прочитал, можно сказать, с упоением. Большое спасибо автору за проведённое расседование. Но есть пару мыслей:

— Проще всего заниматься кардингом именно в супермакертах (непосредственно на месте продавца, или на месте уборщика, выуживая чеки), потому сдаётся мне доброй русской традиции «расплачивать налом» умирать не стоит.

— Эта статья чудесна, полна информации и ценных советов. В этом плане многого стоит. Мне просто жаль, что прочитав эту статью немало народу ей вдохновится на кардинг-фрикер-чеготамещё.

— Определённо, могли бы сделать банкоматы без явных щелей для скимеров. Что помешало сделать картоприёмник плоским, или клавиатуру невдавленной лично мне не понятно. Ну а то, что да большинстве банкоматов отсутствуют щитки от просмотра пинкода меня лично вообще параноит.

Ещё раз спасибо автору — надеюсь с вашей помощью мы не попадёмся.
UFO just landed and posted this here
А что можно с чека узнать?
У меня сейчас лежит два чека из магазина продуктового, на которых красиво пропечатан полный номер карты и срок её действия.
:) Какой милый магазинчик
в магазине в одном провинциальном городе в Беларуси ещё веселее — ни пин-кода, ни подписи не требуют. Меня до сих пор мучает вопрос — как они не разорились?
у них продукты — там наценки большие.
у них стоят камеры.
В случае оспаривания транзакции мошенника ищет милиция.
Нормальные конторы эту проблему уже полечили. Видать есть еще места… :)
хм, обычно пишут первые или последние цифры карты + время операции
— Проще всего заниматься кардингом именно в супермакертах (непосредственно на месте продавца, или на месте уборщика, выуживая чеки), потому сдаётся мне доброй русской традиции «расплачивать налом» умирать не стоит.

> рисковано для злоумышленика, если найдут откуда ноги расли — вычислят обязательно (ведь записывает же отдел кадров кого нанимает)
Не так давно уже была статья на хабре про то как кто то на defcon установил скример. Второй раз одно и тоже читать было не интересно (
Там не скример был, а фальшивый банкомат насколько я помню
точно точно… там было написанно «Фальшивый банкомат для скриминга», это я уже потом гуглил про скриминг.
Скриминг — это манера вокала такая.
Для примера — группа Cradle of Filth, там этого много. А статья про скимминг :)
Это вам тоже гугль помог?
круто! но паранойи прибавилось…
это при том что у меня одну карту как раз перевыпускают по причине подозрения на взлом О_о

получается даже если банкомат в банке то тоже могут навесить скиммер?
Ну если там настолько бестолковая служба охраны, то почему бы и нет
да там левый ЧОП охраняет.
UFO just landed and posted this here
Интересно, да. Но вот размещать изображения на паблик-фотохостингах уже не кошегно? Лично у меня большинство фоток с boomboorum.ru не загружаются…
Могу предложить Ф5 — хабраэффекты я вроде и побольше выдерживал ) а фотохостинги мне не нравятся по многим причинам
Пользуюсь сберовским, у которого прямо в месте куда вставляется карта пластик пожжён сигаретой :) приятно видеть, что сегодня, как и месяц назад этот дефект :)

когда видишь антискример, наводит на мысль, а не скример ли это сделанный под антискример? (почему он из мутного пластика а не болеепрозрачный?) пытаюсь пару раз дёрнуть его, не отвалится ли
Да, насчёт антискиммера есть такая паранойя. Как-то раз смутил он меня, пришлось в другом банкомате снимать… только потом узнал про антискиммеры и что слева они специально выпирающими сделаны.

Кстати а вот интересная вещь — получается что чиповые карты более надёжные чем с магнитной лентой… как с чипа считать пока вставляешь карту? только изнутри банкомата. Следовательно вопрос — почему до сих пор используются карты с магнитной лентой?
У себркарт от сбербанка только чип стоит.
У меня чиповая сберовская, но всё же ссыкатно
Я о таких даже не слышал! Оо
почему до сих пор используются карты с магнитной лентой?

Это страшное слово «compatibility»?
ну клон чипа не сделаешь, а что мешает расплатится по интернуту зная номер карты?
Про участие владельцев банков, конечно, явная паранойя. Очень трудно представить, что, например, владелец продуктового магазина будет гопстопить собственных клиентов. Ему, наоборот, выгодна их состоятельность (больше денег принесут). Не говоря уже о том, что обороты банка (и доходы его владельца) обычно на порядок-другой превышают возможности счета среднего человека с карточкой у банкомата. :)

В остальном — да, очень интересно, спасибо.
Наверное, имеется в виду *управляющие* банков.
Спасибо за статью, очень познавательно.
По поводу последнего абзаца, то с недавних пор на банкомате, где я обычно снимаю деньги (банк Аваль), появился запрос совпадает ли внешний вид антискиммера с изображенным на экране. Тут уже не наклеешь поверху. Но думаю следует пристально посмотреть, чтоб в полупрозрачном антискиммере не было чего подозрительного внутри, и не оказался это скиммер заделаный под антискиммер.
Делаем скимер который вместо нажатия в первый раз кнопки обозначающей «нет» нажимает «да». :)
Думаю, умельцы найдутся.
Сознательных граждан все-же защитит такой подход, только вот сколько их — сознательных…
Отличная статья-предостережение! Спасибо! Кажется вот так меня и постригли… Пойду сменю пин…
смена пина не поможет. нужно перевыпустить карту.
Хммм… МОжет я чота не вкурил… А разве имея карту на руках но не имея пин они смогут снять деньги? Там в тексте такой вопрос задавался и ответили что карту меня не надо… Хмм…
Если покупаете в супермаркете что-то вы пин вводите? Если нет, то карту просто клонируют и отсылают дропа за покупками по вашей карте.

Ууууу… Понял… Мда, видимо чота надо сделать с картой…
На моей память тока 1 случай пользования — када телефон покупали — пин вводили на девайсе небольшом… Подумал что в супермаркетах тоже…
Спасибо!
Это не от супермаркета зависит а от карты. Есть карты которые всегда требуют ввода пинкода, а есть которые только в банкомате требуют (их большинство).
UFO just landed and posted this here
Так мы о другом. О том, что смена пинкода не поможет избежать кражи денег. Обычно делается клон карты, и отправляется в Европу/США, там находят бомжей и за небольшое вознагражение заставляют их покупать товары на клон карты. Потом то что они накупили продается на ebay по низкому прайсу. Схема на самом деле очень сложная и длинная. Чтобы разобраться нужно привлекать интерпол.
UFO just landed and posted this here
В нормальных магазинах ещё паспорт требуют предъявить при покупке на большую сумму (примерно от 3к рублей). Но красноречие делает своё дело :)
это зависит от настроек оборудования!!!
Некоторые супермаги просят отклячить ввод пинкода, дабы сократить время обслуживания клиента на кассе.
Мне такие маги очень нравятся. Карту дал подписал и готова. Не надо ждать пока тебе мелочь отсчитают на сдачу.
На Альфе точно не требуется)
Да в Питере вроде он не настолько распространен…
Операции без пина можно отменить в банке (если прошло не пара месяцев уже).
В принципе можно. Ждать ответа на заявление 45 дней.
Это касается небольших сумм. Банку репутация дороже.
А вот в возврате большой суммы, могут и отказать — скажут идите ка вы в Милицию и разбирайтесь.
А при больших суммах в большинстве магазинов уже требуют документы / скан карточки.
Так я же говорю мошенники делают клон вашей карты, там можно написать что угодно.
А ответ банка, что пропечатывается в чеке (ваше first/last name) тоже можно подделать?
Думаете кассиры всегда проверяют что там написано?
Вобщем все то хорошо. Но мошейники всеравно найдут как бы снять деньги :-(
UFO just landed and posted this here
Я подозреваю несколько мест, таких как: Банкомат около Балтийского Банка на Ваське, один из банкоматов на Московском вокзале (там их 2 рядом, и у них разные картоприемники), банкомат в метро станции Рыбацкое. Там я точно обращал внимание на разные клавиатуры (непривычные, отличающиеся от тех, что внутри отделений банка) или картоприемники. Будьте осторожны!
Очередной параноидальный пост из серии «Как страшно жить». Кто только не пытается обуть на деньги бедного хабрачеловека — Микрософт, Гугл, копирасты, банки, хакеры…
«Лучше быть живым параноиком, чем мертвым оптимистом!» — вот как-то так ;)
когда тами попадетесь на это, будете жалеть о сказанном
Я слишком давно (и активно) пользуюсь картами и умею отличать реальную проблему от мнимой.
Я тоже, однако только на прошлой неделе попался на эту штуку. Сейчас подал заявление в банк на возврат средств. Посмотрим.
Если можете, напишите статью когда будет ясен результат заявления. Думаю всем будет интересно почитать об этом.
А я както стоял у банкомата, когото ждал, и там на экране была картинка — «так должен выглядеть картоприемник и наборное устройство». Причем крутилась картинка совершенно другого банкомата.
Поэтому он и простаивал — никто не решился денег снять. :)
Спасибо за статью, очень содержательно!)

Лично я страхуюсь от подобного рода рисков таким образом, что храню деньги только на банковских счетах, и когда мне нужно снять какую-то сумму, то просто перевожу её через Интернет-сайт-админку банка и быстренько бегу снимать.

Т.е. мне в принципе не столь важно знает кто ещё номер, CVV или даже пинкод моей карты… денег на ней зачастую просто нет.
Достаточно было и одного раза сообщить об этом.
моя вина, что на хабре не реализуют элементарную проверку на дубликаты комментариев?? когда инет глючит непонятно коммент отправился или нет
Это еще фигня. Бывает ставят поддельные банкоматы, недавно такой запалили учасники Defcon :)) Самое веселое было в том что банкомат стоял напротив офиса службы безопасности.
Самое интересное что банкомат в отличие от безопасников был настоящим :-)
небыл :) Там окно для камеры туда чуваки посветили там комп стоит :))
'The true FAIL was the Defcon attendees failing to spot and realize that the cops hauling the machines away were fake, and the ATM was real.'
Вот так вот… Безопасники и «чувак», светивший фонариком были не настоящими. Хотя, данные не проверенны.
UFO just landed and posted this here
поправьте пожалуйтста картинку
img src='http://boomburum.ru/wp-content/uploads/22.jpg' alt='' />
Во-первых баян, а во-вторых джинса.

Такими статьями ищут покупателей на скиммеры, чтобы их кинуть.
жарг., пренебр. в средствах массовой информации — скрытая реклама, необъективный материал, публикация которого была тайно оплачена
Угу, Boomburum втихаря барыжит скиммерами. Пишите в хабрапочту :-)
Чего то я не понял… К кому в хабрапочту вы предлагаете написать?
P.S. Чего-то ответа на этот комментарий от Boomburum не видно…
Чо ж никто не пишет, неужели не нужны никому )))
После прочтения статьи возникла следующая идея. Накладную клавиатуру делают потому что её можно подделать и будет похоже. Вывод? Нужно сделать так, чтобы нельзя было подделать. Например, сделать тачскрин. Минус: если основной экран будет тачскрином, то пин будет легче подсмотреть.

Если же ставить второй тачскрин на месте обычной клавиатуры, то это будет дороже (2 экрана вместо одного). Тут тоже свой минус: снова-таки можно сделать непрозрачную накладную клавиатуру и если кто-то не знает что там должен быть экран, то не заметит.
Впринципе, считывать пинкод не обязательно. Достаточно считать дамп карты и сделать клон.
На многих дешевых сенсорных железках исползуется не сенсорный экран, а пленка. Думаю, наклеить такую пленку (со своими приблудами) поверх простого тачскрина еще легче )

Вариантов решения проблемы — море. Видимо, никому это просто не нужно
не покатит, т.к. пин шифруется самой пин-клавиатурой. И в зашифрованном виде передается в процессинговый центр.
Что мешает сделать тут также если пин-клавиатура = отдельный тачскрин? В любом случае у него будет отдельный процессор, пусть он и шифрует.

> Да, у дропов есть аппараты по клонированию карт (тоже дорогое удовольствие).
160 баксов, рядом с китайскими гандонами по 4 бакса за 50 штук и 10 перезаписываемыми картами по 3 бакса.
Дилэкстрим ) Вчера выбирал плеер и увидел сабж.
Боянчег. Но диалог с охранником позабавил :)
Хех. Немного расширенный твой прошлый пост про скиммеры.
Но в общем — интересно. После твоего прошлого поста стал приглядываться к банкоматам, перед тем как карточку вставить. В некоторых сбербанковских даже есть заставка типа «сравните клавиатуру и приёмник карт с картинкой»
Какой мой прошлый пост-то? ))
К сожалению, деньги и при оплате через интернет легко потерять. Иногда даже без участия мошенников.

Вот недавно сделал себе виртуальную карту, купил хостинг. Хостер попросил фотки кредитки. Я сказал, что карточка виртуальная. В ответ хостер сказал, что ему нужны фотографии карточки и по-другому не выйдет купить что-то. Поэтому они вернули деньги обратно, но деньги то не дошли т.к. видишь ли в условиях пользования карточки написано, что нельзя пополнять деньги на карточку. Только снимать можно. Что делать хз…
Долбить банк, наверное. Объяснять им что это refund а не пополнение счета.
Это не банк надо долбить, а хостера. Рефанд и зачисление это разные операции. Что банку пришло, то он и видит, и просто так одну прератить в другую он не может.
Так а что хостер....? Он денег пытается вернуть… А банк не принимает, как я понял. «Зачислить» на карточку хостер не может. Он может их только вернуть (refund).
В том-то и дело, что он делает не операцию refund, он просто пытается зачислить вам денег. В виде: «Ох этот русский и тупооой, Майкл, он не отвяжется, брось ему на эту карточку его деньги, когда будешь в следующий раз мимо банка идти»
Замечу, что в России устанавливать такие девайсы в кардерской среде считается, как говорится, «западло». На то есть несколько причин. Во первых, принцип «не сри там, где живешь», во-вторых, всё-таки шанс, что тебя тут поймают гораздо выше.
Так же добавлю, что для того, чтобы воспользоваться дампом вовсе не обязательно знать пин-код. По большому счету, он нужен только для снятия денег через банкомат. Можно просто записать дамп на «пластик» — копию кредитной карты (оборудование для этого легко купить через интернет). Затем делают поддельное удостоверение личности и отправляют дропа шопиться. Или же делают проще — открывают на подставное лицо (дропа) фирму, подключают пост-терминал для приема платежей и тупо внаглую «катают» через него пластик.
Господа, на самом деле не все так просто. Это большой серый бизнес.

Тут есть люди:
— Которые делают скиммеры
— Которые получают дампы карт и продают их. (Например официантка ресторана)
— Которые скупают дампы и делают клоны карт
— Которые непосредственно что-то покупают по этим картам.

В интернете полно форумов кишащих этими жуликами.

Вобщем, раскрытие преступления в этой сфере может затянутся на годы.
>>>В интернете полно форумов кишащих этими жуликами.

А в это время российские электромилиционеры (киберполицейские которые) озабочены борьбой с порнографией на вконтакте…
блин в ресторане всегда отдаю карту официантке, теперь буду за ней приглядывать…
Да толку приглядывать, надо будет — снимет дамп и при вас ) Так что лучше никуда карточку не отдавать
В Питере тоже наткнулся на такой дивайс. Отцепил и отдал охраниику из ближайшего магазина, тот пообещал вызвать милицию. Подождал минут 20, не дождался милиции, и свалил. О своей безопасности как-то не задумывался. ))) Если бы знал, что эта хрень стоит от $5K, растоптал бы на месте.
Спасибо, интересно.

Буквально вчера встретился с такой конструкцией, которая вроде бы антискиммер — со свободной правой стороной. На банкомате в отделении крупного банка. Решил не рисковать и снял в соседнем — другой конструкции, с «чистой» щелью.
чистая щель может быть накладной панелью со скримером.
Ну да, как, например, на одной из картинок в статье )
Нет, там была именно «родная» щель на однородном корпусе всего банкомата, к тому же я там снимал уже не раз.
Спасибо за статью.
Сам наслышан про такие штуки и всегда внимательно смотрел по сторонам и на банкомат, но пару недель назад попался, карта была скомпроментирована, хорошо, что банк — эмитент заблокировал её во время. А поймали меня скорее всего в одном из банкоматов Росбанка в метро в Москве, либо на Дмитровской, либо на Цветном бульваре.
в росбанковских же банкоматах троян нашли…
Это уже инсайд… поэтому надеяться на «сравните картоприемник банкомата с тем что изображено на экране банкомата» тоже не следует
об этом писали в открытых источниках
я в курсе ) нет, я про трояна говорю — просто так же он там сам по себе не появится. Его умышленно (или случайно) занесли работники, обслуживающие банкомат
сейчас напишу в личку как он туда поподает.
Я тут недавно долго пытался оторвать антискиммер с банкомата райффайзен банка, думая что это скиммер
Вот бы они обрадовались если бы ты смог. :)
Накрыло хабраэффектом. :)

> SQL Error: Too many connections at /home/i10x000000/domains/itclub.org.ru/public_html/classes/modules/sys_database/Database.class.php line 66

Это к вопросу о популярности рассматриваемой проблемы. :)
«Иногда можно встретить наклейки или стенды «как должен выглядеть банкомат», и, мол, если он выглядит иначе, не пользуйтесь им. Понятное дело, что поверх этого можно наклеить-повесить что угодно»

Лучшим решением, я думаю, является демонстрация фотографии картоприемника на экране банкомата. Но почему то я не разу такого не видел. Вместо этого выводят просто текст «вставьте карту», либо рекламу.
Хотя ответ вижу выше. За ПО надо следить и обновлять в соответствии с моделью банкомата. Но почему то банки, ворочая большими деньгами, экономят практически на всем.
UFO just landed and posted this here
Интересно, а какие проблемы можно получить пользуясь чиповой картой? По идее, её же нельзя просто так с клонировать.
UFO just landed and posted this here
UFO just landed and posted this here
Вы путаете чиповые карты международных платежных систем и наши местные, типа «сберкарт» или «Золотая корона».
Последние — да, локальное изобретение, и обслуживаются только выпустившими их банками.

Чиповые карты международных платежных систем, напротив, широко распространены. Например в Европе уже несколько лет как нечиповые карты, насколько я помню, не выпускаются вовсе.
UFO just landed and posted this here
С чиповыми картами хватает своих проблем.
UFO just landed and posted this here
blog.chirkov.net/2008/12/30/kuda-vedet-progress/

blog.chirkov.net/2009/02/01/emv-shagaet-po-planete/
UFO just landed and posted this here
Это не проблемы чиповых карт, это проблемы _С_ чиповыми картами.
кроме отсутствия массовой распространенности можете хотя бы одну назвать?
Глупо искать глазами камеру или проверять ногтем накладную клаву.
Все это спокойно снимается через отпечатки.
Было бы ещё интересно почитать HOWTO, на случай, если Вы всё же попались.
Очень старо. Пик был, если я не ошибаюсь, еще с год назад. Сейчас уже наверное что-то новое придумали.
Узнаете — пишите ;) а это, имхо, актуально до сих пор. Опрос в аське показал, что значения слова «скиммер» знает человек 15 из ста :)
Так вот кто у меня скиммеры тырит! :)
о том что такое скиммер знал достаточно давно, а вот что бывают антискиммеры узнал совсем недавно. первое знакомство было ознаменовано длинными пешими переходами от банкомата к банкомату — подошёл к первому, увидел антискиммер, но не понял что это за «фигня» на картоприемнике, решил не рисковать пошёл к соседнему. в соседнем точно такое устройство. снимать деньги не стал — пошёл в третьему. когда и там увидел его же, то решил что либо так и надо, либо их взяла…
Все больше склоняюсь к мысли, что с целью повышения безопасности нужно иметь буфер-карточку и интерет банкинг для операций перевода(на подобии email для всяких подписок, чреватых спамом).
Перевел через телефон с основного счета на карточный, снял и спишь спокойно.
Кстати, про email. Если вы пользуетесь gmail то можно оставлять адреса типа login+x@gmail.com, где x это произвольная метка (например: login+junk@gmail.com). Письмо попадет в ваш ящик, но можно настроить фильтр, который добавляет нужную метку к такому письму.
Замечательная статья, спасибо за ваш труд! Теперь будем знать :)
В Питере запалил скиммер в ТЦ ххх. На мыслю о скиммере навело то, что из 4-х банкоматов ВНЕЗАПНО работал только один. Остальные были цинично выключены из сети. Пригляделся, девайс узрел, к банкомату не подошел, вышел из ТЦ и позвонил в банк-владелец банкомата. Служба безопасности банка и милиция прибыли почти одновременно, за 15 минут.

В том же Питере в ТЦ ууу видел человека, направленного для снятия денег с пачкой технологических болванок.

Тем временем проблема скиммеров давно и надежно решена в Финляндии. Карточки принимают даже в разливухах, по подписи. Банкомат найти — то еще развлечение (приехал как-то рано утром, захотелось по нужде, налика не было, а туалеты по 1 евро. Пока нашел банкомат чтобы снять нал и нашел его разменять — думал, пузырь мочевой лопнет...)
На всякий случай сходил на сайт своего банка — сменил пин =)
Кстати, немного оффтопик, но немного в тему.
Когда был в коммандировке в Дании и попутно в гостях в Швеции, было шоком, что карточка не втаскивается и даже не впихивается в банкомат. Оказалось все очень просто — у ихних банкоматов она всовывается другой стороной, не так, как обычно принято у нас в Украине и России. И там похоже стоит какой-то блокиратор: не считывается лента —физический блок карты в приемнике.
Очень хорошая статья. Даже не знал, что скримеры устанавливают фрикеры… У меня это слово как то ассоциируется с людьми, подделывающими симки и т.п…
Хм, так и вики думает:

Фри́кинг — слэнговое выражение, означающее взлом телефонных автоматов и сетей, обычно с целью получения бесплатных звонков. Людей, специализирующихся на фрикинге называют фри́керами

Но язык, как говорится, апгрейдится! )
лучший способ защиты от скиммеров — это клавиатура без цифр.

при вводе пин-кода на экране банкомата показывается клавиатура со случайно разбросанными по кнопкам цифрами. смотришь, какая кнопка какую цифру введёт =в этот раз=, и вводишь пин. аналогичное решение используется во многих интернет-банках, когда требуется ввести один из кодов доступа: кнопки на виртуальной клавиатуре на экране расположены каждый раз по-новому. :)

остаётся только проблема с подсмотром пин-кода внешней камерой, которая могла бы фотографировать экран в момент ввода пина и отсылать снимок мошенникам вместе с дампом карты и нажатыми кнопками. однако, против этого можно, в какой-то мере, выставить жк-экраны с нарочно «слепым» углом, чтобы разглядеть что-то на них можно было только под углом 90 градусов.

… эх, прекрасная старая игра «снаряд против брони»… :)
с тем же успехом можно использовать тачскрины
да, только софтовое решение можно внедрить уже сейчас. и главное — оно дешевле замены всех АТМ на модели с тачскринами.
UFO just landed and posted this here
банкомат может и дать меньше
Например произошло смещение выходного отверстия. при выезде пачки банкнот часть застревает. Их банкомат детектит как забытые и скидывает в спец место. В таком случае претензия рассматривается при инкассации. Все что банкомат забрал легко пересчитывается.
UFO just landed and posted this here
UFO just landed and posted this here
Вы предложили слишком сложное решение — сканирование, отправка чего-то куда-то… под это такие бабки откатами срубят ) а прилепи жевычку на клаву и что, бить тревогу? Не вариант в общем.

Имхо проще использовать тачпкрин или как-то продумать конструкцию анкомата… но если бы действительно надо было — давно бы сделали
Читал не все внимательно, но интересно! Спасибо за статью.

Сам недавно стал пользоваться картой Мастеркарт. Естественно стало интересно попробовать расплатиться ей в инете. Но после того как оплатил я был в шоке.
Для оплаты нужно ввести номер карты, срок окончания ее действия, и 3 цифры, которые расположены на обратной стороне карты. Пинкод ненужен.

Т.е. получается, я отдаю карту в магазине (или еще где-то) продавец может сфоткать обе стороны карты (или стоит у него там видеокамера, она так быстренько на камеру засветил обе стороны а потом посмотрел в замедленном режиме), и все! он может на мои деньги что угодно купить в инете.

Как жить? Эти три цифры на обратной стороне я имею право маркером закрасить (а сам запомню)
Карточку вы никому не обявзаны отдавать, чтобы не было никаких недоразумений
Например при оплате в супермаркете. Карточку передаем кассиру, чтобы та вставила в свой терминал (или как он правильно называется).
Ну там да, надо отдать, но вы же в силах посмотреть, что она с ней делает. Конечно, под кассовый аппарат не чистый на руку магазин сможет спрятать скиммер, но думаю, это шальная идея.
В остальных же случаях, можете самостоятельно все оплатить (а не давать официанту карту, чтобы он с ней вернулся, типа оплатил ваш ужин).
Проходя как-то мимо здания Министерства финансов и казначейства (Москва, Ильинка, д.6) увидел на банкомате ВТБ24 какую-то зеленую штуку на щели для пластика. Не обломавшись, подошел, начал щупать. Люди, хотевшие снять деньги начали говорить «Я тоже засомневался». С одной стороны это самый центр Москвы и очень много ФСО, ФСБ и милиции, с другой стороны — это символично: обмануть министерство финансов (его работники снимают там зарплату).

Не обломавшись, я набрал телефон службы поддержки, выбрал «Я потерял карту» (самый оперативный вариант с более-менее квалифицированными людьми на проводе и мне пояснили, что эта зеленая штука (фото приведено в статье) — антискиммер. Я очень удивился, так как, вероятно, следовало бы клиентам банка (у меня тоже есть карта ВТБ24) сообщить о таком нововведении. В любом случае, я сообщил это окружавшим банкомат уже 5-10 людям, что все нормально. Но снимать остались человека 2, остальные ушли со словами «Все равно не буду, боюсь.»

В тот момент у меня и даже мысли не было, что за мной могут наблюдать «из тонированной девятки». Очень странно не остаться и снять или все же как минимум не отойти и вызвать милицию и службу безопасности банка. Что с тобой сделают? Как найдут? Мне кажется, за хорошие дела получить немного не зазорно, но никакой человек, устанавливающий скиммеры, не будет палиться путем битья морды кому-то, кто запалил тему.
Звонить у банкомата с подобным артефактом ни в коем случае нельзя! :) А с подарочным набором пиз*лей — уж как повезет ) если центр и куча народу, естественно, стиснув зубы из «девятки» никто не вылезет. А если окрани и звезды на небе — рискуете не дойти и до спуска в метро ) в общем, вероятность 50% — либо схлопочите, либо нет )
Не понимаю зачем Вы запугиваете людей? Возможно, ночью, посреди поля, когда никого вокруг нет, не самая лучшая идея около банкомата звонить и ждать милицию полицию или самому отковыривать скиммер и тд, но элементарную гражданскую ответственность воспитывать в людях нужно. Еслиб я такой нашел я бы сообщил в банк, возможно я плохо смотрел, возможно места такие где не ставят (снимаю в одних и тех же местах). Бояться чего-либо не вижу смысла, шанс быть сбитым машиной гораздо выше.
Boomburum, ты провел прямо расследование!

Рад, что у тебя все решилось мирным путем. И куры целы, и волки сыты.
Кажется видел сегодня утром в метро Вашу статью (ну или выжимку из неё) в КП за авторством некоего Андрея Лаврова. Прочитать через голову не получилось, но узналась сразу по картинкам :)
Видимо, это )
Картинки те же, но статья другая… хотя, думаю, написана «по мотивам» :))
Я еще встречал наклейки а-ля «акцизная марка» на клавиатуру банкомата — половина на банкомате половина на клавитауре. От поддельной клавиатуры спасает, от камеры — нет.
Скажите а вот эта картинка boomburum.ru/wp-content/uploads/4_01.jpg — это точно скиммер? А то у моего банка все приемники карточек в ATM так и выглядят, даже те которые внутри отделений банка.
Именно на этой картинке ооочень большая вероятность, что скиммер — никаких инородных накладок на щели быть не должно.
Пробуйте ковырять каждый раз, обычно крепится совсем не сильно…
Я и ковыряю каждый раз :) Но оно мертво стоит, хотя конечно отверткой я не пробовал :) Надо в банк позвонить и поспрошать, должно ли оно так быть.
Сорри за некропостинг, а есть ли возможность перезалить картинки, они не отображаются… Я иногда показываю эту статью знакомым, чтобы познакомить их с понятием кардинга :)
Sign up to leave a comment.

Articles