Автор Тема: Мошенничество с использованием пластиковых карт  (Прочитано 6433 раз)

Оффлайн mimicria

  • Продвинутый
  • *****
  • Сообщений: 2599
  • Карма: +1429/-9
  • return (true);
    • Просмотр профиля
Ещё один сценарий мошенничества с использованием пластиковых банковских карт. Наиболее уязвимы карты Сбербанка, пригодные для платежей в интернете — начиная от Visa Classic и MasterCard Standard. Владельцы «зарплатных» Maestro и прочих Momentum данному приёму не подвержены.

Небольшой ликбез
1. У Сбербанка есть возможность переводить деньги с карты на карту и пополнять чужую карту, зная только её номер (на лицевой стороне). Никакие другие значения для этого не нужны.

2. Есть возможность узнать имя владельца чужой (!) карты по её номеру, выполнив платёж на неё через Сбербанк-Онлайн. Пробуем перекинуть на чужую карту скажем 10 рублей, вводим номер чужой карты и на экране «Проверьте реквизиты» видим сумму нашего платежа, номер чужой карты и… ФИО её владельца.

3. Многие просят о помощи и размещают объявления на благотворительных сайтах. Кроме обычных банковских реквизитов и номеров кошельков WebMoney/Яндекс.Деньги всё чаще стало попадаться «или на карту сбербанка № ХХХХ ХХХХ ХХХХ ХХХХ».

4. Есть такие платёжные шлюзы, которые умеют брать деньги с карты не спрашивая ни CVV (CVC), ни контрольный код MasterCard SecureCode. Amazon.com, к примеру, обслуживается именно таким. Для прохождения оплаты требуется ввести только номер карты, имя владельца и срок действия.

Алгоритм действий мошенника
1. Ищем благотворительные сайты и посты по ЖЖшечкам, типа вот такого:
«можно сделать пожертвование на номер пласиковой карты сбербанка, в любом отделении сбербанка России.Достаточно знать номер карты 676280389109721113 Получатель Боровкова Анастасия. ВСЕМ ОТКЛИКНУВШИМСЯ ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!!»

Прекрасный вариант, даже имя получателя указано. Транслит, ANASTASIYA BOROVKOVA… А может быть ANASTASIA BOROVKOVA. Не так уж много вариантов.

А если не указано?
Скажем, вот такое объявление:
«Счет Сбербанка для перевода пожертвований с карты на карту (без процентов!) — 5469 3800 2643 5684»

Не проблема, сейчас выясним:
а) Открываем Сбербанк-Онлайн, выбираем «Перевод на карту»:
б) Вводим реквизиты чужой карты и сумму — какую угодно. Мы типа хотим сделать благотворительный перевод.
в) Оппаньки! ФИО владельца карты.

Отказываемся от перевода, всё что нам нужно, мы только что узнали.
Транслит, DANIIL FIRSOV? Наверное.

2. Нагребли базу «номер карты сбербанка — имя владельца?» Отлично. Идём на Amazon.com, добавляем новую карту:
CVV НЕ СПРАШИВАЕТСЯ!!! Переброски на SecureCode НЕ происходит. Одноразовые пароли Сбербанка НЕ запрашиваются. Одноразовый пароль у карт Авангарда тоже НЕ запрашивается. Hold при этом происходит сразу же.
Что нам нужно угадать? Тип карты и срок действия.
[...]
Вводим тип карты, её номер, транслитерацию имени владельца. Осталось только угадать срок действия. На сколько лет выдают карты? 3..4 года обычно. Часто карту заводят как только начинают сбор средств. Одно-два возможных значения года и 12 значений месяцев. Не больше 36 вариантов. Задержки, капчи никакой нет. Карта или добавляется, или нет. Не добавилась? Пробуем другие значения.

Добавилась? Пробуем что-нибудь купить… Можно даже нарваться и на кредитную карту.

-?????
-PROFIT!!!

Защита от подобного мошенничества
НЕ публиковать номер своей карты где попало. Часто думают, что без CVV и даже без имени владельца от номера карты нет никакого проку. Этот способ показывает, что это — распространённое заблуждение.

Во всяком случае, даже если баг не сработает, то у мошенников остаются богатые возможности для социальной инженерии применительно к опубликовавшему данные.

Кроме того, для сбора средств можно использовать бесплатно выдаваемые в Сбербанке карты Cirrus/Maestro Momentum, которые непригодны для платежей в интернете. От публикации их номера мошенник вряд ли что-то получит, даже зная имя и срок действия.

Оффлайн ОрбиТ

  • Постоялец
  • ***
  • Сообщений: 431
  • Карма: +49/-0
    • Просмотр профиля
вот поэтому я и неженат (с) у меня нет карты

Оффлайн intank

  • Бывалый
  • **
  • Сообщений: 81
  • Карма: +18/-0
    • Просмотр профиля
По номеру можно узнать тип карты при желании. Нужно просто немного поискать ;)

Оффлайн fenix

  • HASTA LA VICTORIA SIEMPRE CON EL VERDE
  • Постоялец
  • ***
  • Сообщений: 363
  • Карма: +91/-0
    • Просмотр профиля
Не мешало бы указывать источник информации. http://habrahabr.ru/blogs/eCommerce/109361/
К тому же, в продолжение темы http://habrahabr.ru/blogs/infosecurity/114074/

+Краткая выдержка из обобщающего комента:

Зная лишь номер карты и ФИО совершить платеж по ней невозможно. В любом случае при оплате требуется указание срока действия карты, иначе этот платеж не будет авторизован. Срок действия действительно можно попытаться подобрать, и вариантов может быть не так много (36 вариантов для 3 лет), и, вполне возможно, банк пропустит такой брутфорс (хотя, я всё же надеюсь, нормальный банк должен карточку заблокировать, или, по крайней мере, сразу позвонить владельцу).

Пройдёт ли платеж без указания CVV — зависит исключительно от банка, эту карточку выпустившего. К примеру, в ВТБ24 платеж без кода возможен только для интернет карты e-card, во всех остальных случаях платеж будет отклонён. Другие банки платеж без CVV вполне могут разрешать.

В вашем случае, скорей всего, номер и ФИО спрашивали просто чтобы сделать платеж. Многие, как писали внизу, так и делают (пополняют по этим данным) — им так удобнее. В некоторых банках (тот же ВТБ24) для карты нет отдельного счета, и для пополнения другим людям нужно давать её номер.

Хотя просто так сообщать посторонним людям номер вашей карты действительно лучше не стоит, хотя бы из-за того, что таким образом её можно (по крайней мере попытаться) заблокировать.

Оффлайн mimicria

  • Продвинутый
  • *****
  • Сообщений: 2599
  • Карма: +1429/-9
  • return (true);
    • Просмотр профиля
Не мешало бы указывать источник информации. http://habrahabr.ru/blogs/eCommerce/109361/

Не мешало бы разуть глаза
45485-0

Оффлайн fenix

  • HASTA LA VICTORIA SIEMPRE CON EL VERDE
  • Постоялец
  • ***
  • Сообщений: 363
  • Карма: +91/-0
    • Просмотр профиля
Не мешало бы указывать источник информации. http://habrahabr.ru/blogs/eCommerce/109361/

Не мешало бы разуть глаза
(Ссылка на вложение)
Прошу прошения, не заметил. А хамить будете своей маме.