Безопасность банковских карт
У меня карта с выведенным из строя NFC. Делается это просто, я как то писал как.
Мне не нравится прикладывать, я вставляю. Еще у меня на карте затерт cvc/cvv. Мне в общем и номер карты на ней не нужен - я помню его.
Как то зашел спор, смогут ли снять с такой карты денег, если я ее потеряю. Я был уверен что нет (как же, пин код нужен, cvc нет), мне доказывали обратное.
Я обратился к знакомым по банковской безопасности, потому что вообще безопасность данных - моя сфера, но знать все невозможно.
Рассказали мне много интересного.
Поведаю и вам, ибо секретов никаких я не открою, а знать полезно.
Оказывается, при оплате онлайн в инет магазинах - как списывать деньги - это решает магазин. 3DS и даже проверка CVV — добрая воля магазина. Банк его это делать не принуждает. Но если ты опротестуешь транзакцию, деньги снимут именно с магазина, то есть это его риски. Тем не
менее, есть магазины, которые обходятся простым списанием с карты.
"даже если я включу все возможные блокировки на карте от этого?" - А нет специальных блокировок от этого
Дальше про чип и пин.
Многие банки позволяют пользоваться картой до 1000 рублей без пина. У меня корпоративная карта например так работает — нажимаешь отмену вместо ввода пина и если сумма меньше 1000 рублей, бабло списывается. От этого могут быть блокировки, надо уточнять в банке.
Так же не спасает пин. Это банк решает, пропускать или нет операцию без пина. Уточнять у банка какие у него правила и можно ли перенастроить.
А еще, на момент 2020 года работала по прежнему магнитная полоса. Там пинов никаких нет.
Короче все это именно так, потому что система строилась давно, и чтобы ее поменять - нужно ее сломать.
These shortcomings were emblematic of a culture that evolved over years that too often prioritized creativity and collaboration at the expense of security (гугл перевод - Эти недостатки были символом культуры, которая развивалась годами, в которой слишком часто приоритет отдавался творчеству и сотрудничеству в ущерб безопасности.)
(из отчёта ФБР об утечке Vault7 из ЦРУ)
Совет безопасника по усилению безопасности:
"Поуточняй в банке что можно запретить твоей карточке и какая политика относительно беспиновых транзакций, транзакций магнитной лентой и т.п. И нельзя ли случайно провести транзакцию, сделав слип карты. Это ваще топчик, в европе так до сих пор умеют."
Резюме. потеря карты при любых ухищрениях кроме блокировки - может привести к потере денег. Как и фото карты со всеми параметрами даже без CVV
Информационная безопасность IT
1.4K постов25.5K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.