Комментарии 18
Самая эффективная и тупая защита в России — это не использовать ВИЗУ и Мастер кард без необходимости. Всё ПО для кардинга рассчитано она них. Поэтому для зарплатной карты выбираем МИР от ВТБ (у сбера не работает MIR Pay) привязываем карту к самртфону (на Андройд) — и платим им везде наслаждаясь кэшбеком 1,5% — содержание зарплатной карты оплачивает работодатель — есть нормальный брокер, т.к. банк крупный государственный нет мелкого жульничества (с мелким шрифтом и неожиданными поборами) как у Альфы и Тинькова (у Сбера кстати тоже не замечал мелкого жульничества). МИР перекрывает 100% платежей в России и в рунете + и давно принимается на АлиЭкспрес. Т.е. 95% платежей кардеры в принципе перехватить не могут или они им не интересны т.к. им не неудобно связываться с МИРом.
Для поездок заграницу я выпускаю по 1й карте в сбере и ВТБ (одна кредитная мастеркард, другая дебетная мастеркард (в ЕС ВИЗА обходится дороже)) в принципе можно любого банка т.к. после поездки я их сразу закрываю.
Ещё есть 1 кредитная МТС КэшьБэк с кэшбеком 5% на ВСЕ АЗС, Аптеки и развлечения +1 % на всё остальное — при таких кэшбеках сотовая связь МТС для моей семьи практически бесплатная (КэшБек можно списать на оплату сотовой связи).
Для поездок заграницу я выпускаю по 1й карте в сбере и ВТБ (одна кредитная мастеркард, другая дебетная мастеркард (в ЕС ВИЗА обходится дороже)) в принципе можно любого банка т.к. после поездки я их сразу закрываю.
Ещё есть 1 кредитная МТС КэшьБэк с кэшбеком 5% на ВСЕ АЗС, Аптеки и развлечения +1 % на всё остальное — при таких кэшбеках сотовая связь МТС для моей семьи практически бесплатная (КэшБек можно списать на оплату сотовой связи).
от ВТБ
Один из самых позорных в плане клиентоориентированности банков советуете. Даже сбер, который постоянно ругают, уже на голову выше и удобнее.
и платим им везде наслаждаясь кэшбеком 1,5%
У меня кэшбек 3.5%, врядли я смогу наслаждаться 1.5%.
нет мелкого жульничества (с мелким шрифтом и неожиданными поборами) как у Альфы и Тинькова
Я клиент Альфы больше 10 лет, ни разу с жульничеством не сталкивался. В рекламируемой вами схеме, кстати, есть кредитки с честным грейсом в 100 дней, без мелкого жульничества, когда, по факту, грейс в среднем всего 30 дней, потому что он до первого полнолуния в следующем месяце?
Какой-то ерундой вы страдаете, как по мне. Не знаю, как в ВТБ, но в нормальных банках к карте можно привязать несколько счетов в разных валютах и гибко настроить лимиты так, что вышеописанная мышиная возня теряет всякий смысл. Ну и, не очень понятно, как мне МИРом оплачивать десяток заграничных сервисов, которыми я пользуюсь постоянно.
вообще то статья и мой комментарий был не про кешбеки а про безопасность транзакций. Самый безопасный способ использовать малопопулярное у мошенников ПО и не давать реквизиты карты. Из крупных гос. банков ВТБ 2й по размеру — и он обеспечивает МИР Pay т.е. использовать МИР + не передавать даже её реквизиты, а потенциально опасные карты ВИЗУ и Мастеркард использовать только для отпуска после чего закрывать, благо открыть карту сейчас можно бесплатно. Кэшбеки и отличное обслуживание это хорошо но через 2 недели в США конец финансового года, все компании США будут переводить наличку из за бугра чтобы показать её на своих балансах + через 2 месяца выборы Трампа на 2-й срок + Белоруссия. По этому с топку клиентоориентированность, только госбанки, только Обезличенные металлические счета, только МИР (ну и ящик патронов, сигарет и антибиотиков никогда не будет лишним :-) ).
Феерический бред ^
Чиповый МИР соответствует на 100% спеке от EMVко, как Мастер или Виза.
Контактлесс использует Кернел2 как и Мастеркард + свои фичи, которые никак не уменьшают безопасность.
Отвечал автору из первого сообщения.
Чиповый МИР соответствует на 100% спеке от EMVко, как Мастер или Виза.
Контактлесс использует Кернел2 как и Мастеркард + свои фичи, которые никак не уменьшают безопасность.
Отвечал автору из первого сообщения.
Поэтому для зарплатной карты выбираем МИР от ВТБ (у сбера не работает MIR Pay) привязываем карту к самртфону (на Андройд) — и платим им везде наслаждаясь
При привязке карты к телефону создается виртуальная карта.
Так что все равно какой является карта оригинальная.
Основная проблема — это подделка карт с магнитной полосой. В Америке массово карты начали использовать раньше, чем у нас, и поэтому там еще старые терминалы, которые принимают только магнитную полоску, у нас я не встречал терминалов, которые принимают только магнитную полоску и не принимают чип. Более того у нас если в карте есть чип, то терминал не принимает магнитную полоску и просит вставить карту для чтения чипа, я так пару раз в магазине пробовал и там не пропускали оплату и терминал говорил давай чип, он у тебя есть. Я думаю больше нужно переживать чтобы данные карты не переписали и не купили в интернете чего-то.
Продолжу тему. Помимо чипа — Россия впереди планеты всей по бесконтактным платежам. Более 70% транзакций идёт по бесконтакту. Из них процентов 40 через те или иные кошельки (Аpple Pay, Google Pay, Samsung Pay и прочие). И банкоматы тоже постепенно переводят на поддержку бесконтакта.
Так что такой банальный фрод с магнитными полосами у нас вообще мало распространен по причине низкой рентабельности.
Так что такой банальный фрод с магнитными полосами у нас вообще мало распространен по причине низкой рентабельности.
В банкоматах — пин, это главное препятствие.
Банкомат сначала читает магнитную полосу, находит на ней сервис код указывающий на наличие чип и начинает работу с чипом.
Если приложение на чипе заблокировано то банкомат отказывает в транзакции.
Но если чип поврежден то банкомат переходит в режим fallback to magstripe(не всегда разрешено) и пытается работать с картой по магнитной полосе — вот в таких кейсах, при знании пин-кода, чип совсем не помеха.
Современные чиповые карты защищены асимметричной криптографией (DDA/CDA) где терминал шлёт на карту некие данные (включая случайное число), карта так же генерит некую рандомную величину и подписывает всё своим закрытым ключом. Терминал может проверить валидность подписи размотав открытый ключ карты через PKI до открытого ключа платежной системы.
В случае CDA^эта операция происходит одновременно с генерацией картой криптограммы — спец. значения (опять же криптографического) на основе тех значений что есть на карте и переданы терминалом — криптограмма проверяется банком и он даёт ответ о решение по операций. Это лишь часть проверок.
Скопировать можно было старые карты с SDA — static data authentication, где не было криптографического процессора и хранилась просто подпись критических элементов карты. Но таких карт нет уже более 10 лет.
Банкомат сначала читает магнитную полосу, находит на ней сервис код указывающий на наличие чип и начинает работу с чипом.
Если приложение на чипе заблокировано то банкомат отказывает в транзакции.
Но если чип поврежден то банкомат переходит в режим fallback to magstripe(не всегда разрешено) и пытается работать с картой по магнитной полосе — вот в таких кейсах, при знании пин-кода, чип совсем не помеха.
Современные чиповые карты защищены асимметричной криптографией (DDA/CDA) где терминал шлёт на карту некие данные (включая случайное число), карта так же генерит некую рандомную величину и подписывает всё своим закрытым ключом. Терминал может проверить валидность подписи размотав открытый ключ карты через PKI до открытого ключа платежной системы.
В случае CDA^эта операция происходит одновременно с генерацией картой криптограммы — спец. значения (опять же криптографического) на основе тех значений что есть на карте и переданы терминалом — криптограмма проверяется банком и он даёт ответ о решение по операций. Это лишь часть проверок.
Скопировать можно было старые карты с SDA — static data authentication, где не было криптографического процессора и хранилась просто подпись критических элементов карты. Но таких карт нет уже более 10 лет.
Пробовал как то NFC в банкомате сбера. Пришлось несколько раз прикладывать, при том что мне положить деньги было нужно и сессию я не прерывал.
Надеюсь что то изменили в лучшую сторону.
Надеюсь что то изменили в лучшую сторону.
НЛО прилетело и опубликовало эту надпись здесь
Там NFC full-mode — эмулирует чип:
1. Карта генерит данные для операции
2. Шлём данные на хост
3. Получаем ответ
4. Отдаём его карте для проверки для окончательного вердикта и выполнения 71, 72 скриптов.
В классической контактной схеме шаги 1..4.
В бесконтакте как правило на шаге 2 уже можно забрать карту — это сделано для скорости проведения операции.
В банкомате можно просто оставить карту на ридере до завершения операции.
1. Карта генерит данные для операции
2. Шлём данные на хост
3. Получаем ответ
4. Отдаём его карте для проверки для окончательного вердикта и выполнения 71, 72 скриптов.
В классической контактной схеме шаги 1..4.
В бесконтакте как правило на шаге 2 уже можно забрать карту — это сделано для скорости проведения операции.
В банкомате можно просто оставить карту на ридере до завершения операции.
Xo4y_3uMy, ох уж этот ура-патриотизм… Зачем вы так…
Бесконтактно (и это ЛИШЬ среди Европы и аж в 2018 году, без учета стран Океании, например):
Чехия — 93%
Грузия — 89%
Польша — 83%
Венгрия — 83%
Просто ссылка:
www.statista.com/statistics/946228/contactless-payments-market-share-at-pos-in-europe-by-country
Бесконтактно (и это ЛИШЬ среди Европы и аж в 2018 году, без учета стран Океании, например):
Чехия — 93%
Грузия — 89%
Польша — 83%
Венгрия — 83%
Просто ссылка:
www.statista.com/statistics/946228/contactless-payments-market-share-at-pos-in-europe-by-country
Так, у меня нет подписки ) Поэтому я не могу посмотреть статистику по ссылке…
Тем не менее, Россия таки первая (наравне с Польшей ±) по платежам через wearable (в том числе через телефоны). Эт раз. Ну а второе — такие сладкие цифры… Наверно там приведено соотношение контактная/бесконтактная оплата. Я же дал цифры по соотношению бесконтакт/все платежи (в том числе наличные). По статистике МастерКарда от этого года более 20% Россиян прекратили использовать наличные в повседневной жизни (за редким исключением).
Тем не менее, Россия таки первая (наравне с Польшей ±) по платежам через wearable (в том числе через телефоны). Эт раз. Ну а второе — такие сладкие цифры… Наверно там приведено соотношение контактная/бесконтактная оплата. Я же дал цифры по соотношению бесконтакт/все платежи (в том числе наличные). По статистике МастерКарда от этого года более 20% Россиян прекратили использовать наличные в повседневной жизни (за редким исключением).
Я так понимаю, атака возможна только если физически вставить карту в терминал? Я уже с год её не ношу, хватает телефона с NFC
Кстати про CVV: на самом деле на обороте карты он CVV2. На магнитке он CVV. На чипе iCVV а NFC генерит DCVV — свой на каждую транзакцию
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасна ли ваша банковская карта с чипом? Зависит от банка