Вот так номер: деньги с карт снимают без PIN-кода

Сотрудники Business FM обнаружили серьезную уязвимость в системе оплаты покупок банковской карточкой. Всего одна кнопка на кассовом терминале делает абсолютно бессмысленной авторизацию владельца пластика, и воспользоваться ей может каждый

http://m1-n.bfm.ru/news/maindocument...08/06/card.jpg

Фото: Евгений Курсков/ТАСС

Можно ли оплатить покупку в кассовом терминале без PIN-кода и подписи на чеке? Оказывается, да. Эту возможность обнаружил бренд-войс Business FM Андрей Иванов. Он вводил PIN-код карты, неверно набрал цифру и случайно вместо желтой кнопки «Коррекция» нажал красную «Отмена». Сразу после этого произошла транзакция на сумму покупки.

Андрей Иванов

бренд-войс Business FM

«Для меня стало открытием, что по карте, эмитированной банком ВТБ24, можно оплатить покупку, не вводя PIN-код. Причем это случилось один раз на заправке ТНК-ВР. Потом я это проверил в «Кофемании» и еще в каком-то продуктовом магазине. Многократно проверял эту функцию, она работает во всех терминалах, терминалы эти принадлежат разным банкам».

Для чистоты эксперимента сотрудники Business FM попробовали оплачивать покупки в магазинах картами других банков. И каждый раз, когда нас просили ввести PIN-код, нажимали красную кнопку. Оплата проходила без каких-либо проблем. На «горячей линии» ВТБ24 оператор объяснил, что возможность оплаты покупки без пин-кода зависит не от карты, а от кассового терминала.

«По какой причине именно в данном терминале без ввода PIN-кода проходит оплата, к сожалению, возможности уточнить нет. Вы можете уточнить это непосредственно в организации, где установлен терминал. Либо PIN-код вводите, либо подпись на чеке, но по какой причине терминал принимает без ввода PIN-код — это уже неисправность терминала».

Один из терминалов, где сработала красная кнопка, принадлежал Сбербанку, поэтому Business FM обратилась в его колл-центр с вопросом, почему так произошло. Вот что там сказали:

— В данной ситуации виноваты все-таки сотрудники Сбербанка.

— То есть не настроили?

— Возможно, да.

Дальнейшее расследование показало, что проблема кроется не только на стороне банка. Есть строгая инструкция по авторизации владельца карты. По правилам, если человек решил расплатиться пластиком, оператор обязан потребовать у него паспорт, сравнить подпись с подписью на карте, а далее попросить ввести PIN-код или расписаться на чеке и сравнить эту подпись с теми, что стоят на документе и пластике. Процедура сложная, и так никто не делает, просто просят ввести PIN или расписаться. Но и от этой процедуры можно отказаться, рассказал Business FM замруководителя криминалистической лаборатории компании Group-IB Сергей Никитин.

Сергей Никитин

замруководителя криминалистической лаборатории компании Group-IB

«По правилам вот этого торгово-сервисного предприятия (это магазины, рестораны и так далее) кассир может проводить транзакцию в разных режимах — с запросом PIN-код, по подписи. И то, что при нажатии кнопки «Отмена» транзакция проходит без запроса PIN-кода — это просто определенная возможность для вот этого предприятия провести так платеж. Это совершенно нормально. Это сам оператор или кассир может выбирать, каким образом проводить платежи».

Теперь ситуация: карта потерялась или ее украли. Владелец уверен, что «PIN-доступ» к его счету для злоумышленников будет закрыт. Это отчасти правда — если они станут снимать наличные в банкомате. В интернет-магазине такой картой расплатиться тоже сложно: хотя бы потому, что доставка товара требует какого-то времени, и за это время преступника могут найти. А вот пойти в магазин и отовариваться на крупную сумму злоумышленнику ничто не помешает. Ведь для оплаты, как показал опыт, ни подпись, ни PIN-код в реальности не нужны. И защиты от этой серьезной уязвимости нет.

хм, теперь самому протестировать захотелось...

не ново, уже есть давно это

часто в магазинах карту проводили и нажимали кнопку и все дела

пинкод несерьезный сам посебе, защита от ламера

а есть ещё цифры с другой стороны карты - по которым через интернет покупаем без всяких там пинкодов

Проверил таким способом чипованный МастерКард от "Альфа-банка" на терменале "Сбера": Терминал выдал ошибку "Пин-код не введен". Транзакция не прошла естественно.

да вроде как сам на днях случайно нажал "отменить". и терминал отмену выдал. что-то сомнения берут по поводу правдивости истории.

http://cs.pikabu.ru/images/big_size_...0615671709.jpg

сам тока что оплатил доставку алко без ввода PIN

не знаю как ето работает

это не уязвимость и не ошибка, просто функция такая.

не хочешь вводить пин, расписывайся .

Ой, про безопасность говорить вздумали А эту херню кто внедряет?

В некоторых банках стоят лимиты, особенно на нечипованные карты, в моем банке - 1к без ввода пина при оплате с терминала.

Заключение - а нет, не будет его.

В не-этой-стране, все трансзакции - банк/POS/inet - проходят через одногоаккредитованного банками и государством узлового посредника BankSys. Ошибки подобные - исключены.

Одно интересно, какой код формируется при нажатии red button?

http://ic.pics.livejournal.com/altbl...6_original.jpg

Платежи делятся на возвратные, которые можно откатить/отменить, и невозвратные, которые опротестовать/откатить практически невозможно (пин обязателен). Отменяемые могут не просить пин, и вроде это действительно зависит от настроек терминала.

Проснитесь и повторите громко зеркалу в спальне - "которые можно откатить/отменить".

Для проверки, Semwize, предоставляет мне доступ к своему онлайн банк-акк.

Если опять не случится - он *****бол. Ясно и просто.

Время пошло - 24 часа даю Semwize на подтверждение его глупливо-неуместных заяв.

Aug 8, 02:33 AM. До Aug 9 02:32 имею номер банк-кард Semwize и пин 4 цифры.

Если нет - план Б.

Где я писал про онлайн банк, торчекозник? Если в теме идет речь о терминалах? Пробуй читай тему целиком, хоть иногда. И завязывай с дешевой наркотой.

Имеешь ты только неизлечимые проблемы с головой, и ничего более, причем очень давно.

Если сумма менее 500р, то есть такое в некоторых магазинах (тот же магнит), свыше 500 только пинкод (не новость это), вот бывало в гостинице (г.Рязань) - типа пробивается, но там подтверждение кода с телефона надо вводить, чек с оплатой выходит, товарный-кассовый выписали, только в номере (всегда беру там 404) поляну накрыл бальзама карельского жахнуть - прибегает администратор - аппарат выдал ещё чек с отменой платежа, выяснили - пинкод с смс вводить после печати чека оплаты.

З.Ы. вроде ВТБ24 уже не ВТБ24, а какаето шаражкина контора к себе пригребла, к примеру у меня в городе их филиал банкрот.

Коль ты на личности переводишь стрелку..

Проснись и вылезай на свет из своей пещеры, троглодит.

Узнаешь, что сегодня нет разницы меж онлайн и оффлайн трансзакциями, в разницу которых ты так упёрся, как баран, увидев новые ворота.

Тот терминал, с которым ты взаимно спишь и колесишься в свой задний проход - их уже нет 5 лет, проснись и вынь ялду из сраки своей.

Грязное пещерное существо рассуждает о пинах и чип-кардах.

Semwize,знаешь, что в те же банк-кард теперь заносят данные - и медицинские и разные другие, до которых дошла лапа государства?

Не знаешь. Спи дальше.

Вы оба такие милые -)

P.S. милые бранятся - только тешатся

топик без фоток всех вышеупомянутых органов, предметов и способов их применения - не будет интересен для будущих поколений.

Опять Group-IB, у них там прическа еще не помялась?