Рейтинг рублевых вкладов

Рейтинг рублевых вкладов
Эксклюзивное исследование Банки.ру — ноябрь, 2016

Банки экономят... Кардеры зарабатывают... Клиенты страдают...!

02.06.2010 08:32 34 4 318 просмотров
Итак, поехали.

Ту информацию, которую я буду публиковать - вы не читайте, а то «посодют» smile:)

Шучу. На самом деле все, что сейчас будет изложено, можно добыть в интернете в свободном доступе и каким-то открытием для сотрудников банков не является.
Начнем с того, что разъясним понятие «дамп». Дамп – код, записанный на магнитной полосе («говноленте») вашей карты. Сей код имеет три составляющие – три трека, которые называются соответственно: Track1, Track2 и Track3. Именно дампы и снимают с ваших карт скиммером(устанавливается на банкомат) или кардридером (при оплате в магазинах или ресторанах), после чего продают на кардинг форумах или обналичивают сами.
Выглядит дамп следующим образом:
Track1:B4257160000ххххх13^Cardholder/Name 05011010000048087000000
Track2:425716000ххххх13=050110115948087
(Track3 рассматривать не будем, так как он: или совсем неактивен, или отводится под всякие бонусные программы. Треки предоставлены исключительно в образовательных целях.)
Что же несет в себе этот ряд цифр и что из этого можно получить? Давайте разберемся.
Как мы видим, первый трек несет в себе 16 цифр номера карты, имя владельца, информацию о сроке годности карты (exp. date) + слегка перестроенную информацию второго трека - тот же самый pvn.
Давайте чуть внимательнее рассмотрим номер карты. Непосредственно, номер карты это случайная последовательность, сгенерированная определенным образом, соответственно очень легко проверить так называемую чексумму - действительно ли это номер кредитной карты или что-то другое. Кроме того эти 16 цифр несут в себе информацию о типе карты и банке эммитенте. За это отвечают первые 6 цифр.
Первая цифра (слева направо - тип карты, т.е. 4-Visa, 5-MC, 3-Amex и т.д.) - это класс карты. Следующие 4 - это уникальный идентификатор банка-эммитента + идентификатор типа карты (т.е. для виз - классик, голд, платина и т.д.). В общем, первые 6 цифр номера кредитной карты называются BIN. Из вышеприведенного трека можно увидеть, что его банк-эммитент - BMW Bank GMBH (425716), класс карты - виза и тип - корпоративная кредитная карта (бывают еще и дебетовые), карта действительна до 01/05 (цифры после "=" в треке, только наоборот), имя владельца – Name Cardholder (по треку 1).
А теперь самое интересное:
При работе банкоматов, POS терминалов - чаще всего трек1 не используется, так что если имеется только трек2, то ничего страшного не произошло - имя можно вписать любое.
Кроме того, по второму треку можно узнать кое-какую дополнительную незначительную информацию. Например, если не вдаваться в технические подробности - цифры после exp.date блока (101) – говорят о том, что карта имеет те или иные региональные ограничения к использованию и обрабатываться будет только конкретными организациями в конкретных местах. В нашем случае 101 говорит, что карта не требует обязательного ввода пинкода и может использоваться без региональных и другого рода ограничений.

Действия кардера:
Покупает (или добывает) дамп, после чего изготавливает пластиковые карты на «левые» документы (то есть имя владельца карты указывается необходимое кардеру). Одновременно заменяя имя и фамилию в дампе на указанные в «левых доках». После чего идет в магазин и «затаривается» (делает покупки).

Пофигизм банков:
Банки, как всегда, решили сэкономить. А посему в POS терминалах передается лишь трек2. Тем самым давая возможность мошенникам подменять имя и фамилию в треке1, который служит лишь для того, чтобы показывать данные о владельце карты на экране кассы или POS терминала. А ведь стоит, всего лишь, передавать трек1 и 80% кардеров отсеются, не желая тратиться на новые документы(а это не менее 1000$ за экземпляр) для каждой карты.

Пофигизм разработчиков:
А может просто недальновидность. Ибо код треков с момента их создания в середине прошлого века так и не изменился. Если бы разработчики внесли в трек2 информацию идентифицирующую кардхолдера не только по номеру карты, но и связанную с именем, то опять же отсекли бы 80% случаев мошенничества.
Вывод:
Может хватит уже экономить и всерьез задуматься о безопасности клиентов?

Комментарии 34

Юлия Сухарева  (Juлия)
#
в Англии, например, российские магнитные карты уже далеко не везде принмают. Там чиповые в ходу. Может, переход на новый тип карт отчасти снимет проблему кардинга?
Дмитрий Фирсов  (negoro)
#
Алексей, познавательно, спасибо. А идентификаторы банка-эмитента и типа карты посмотреть где-то можно в открытом доступе? Интересно
@mike  (@mike)
#
Официально эти данные закрытые. Но в Сети есть всё... Про Mars base - сказали уже. Единственное, таблица БИНов - вещь живая и регулярно обновляющаяся. Все что есть в (относительно) свободном доступе - либо неполные, либо устаревшие. В той версии Марса, что мне попадалась, российских БИНов практически не было. Впрочем, о том, что кардеры обходят стороной россиян, Алексей в видеоинтервью упомянул.

@.
qaq  (qaq)
#
Интересно , а как дела обстоят с чиповыми картами?
Татьяна  (VTA)
#
а что ж так однобоко? ни ссылок на Правила МПС, ни комплексного анализа текущей ситуации по обеспечению безопасности с использованием ПК... хотя бы, между прочим... smile;)
Кстати, МПС давно говорят эмитентам - переходите на чип..даже ответственность за фродовые транзакции по магнитке переложены целиком на эмитента...
Дмитрий Ухов  (udex)
#
То есть фактически на клиента. Вон ВТБ24 полностью от чипов отказался, видимо вести претенизонную работу с МПС оказалось слишком накладно, дешевле лишиться лоха-клиента.
Татьяна  (VTA)
#
Конечно Банк определяет свою политику в отношении фродовых операций, однако, если фрод доказан, то Банки возмещают клиентам деньги. Увы, как правило, клиенты не вовремя замечают "левые" транзакции и предъявляют претензии поздно, когда сроки опротестования уже прошли...
Дмитрий Ухов  (udex)
#
Понятно. То есть те же яйца, вид в профиль - я еще должен доказать, что это фрод был.
Татьяна  (VTA)
#
но если операция прошла из Тайланда, а Вы предъявите документы, что во время транзакции были во Франции - доказать не составит труда.. хуже с другими ситуациями..
а Вы представьте ситуацию - сами сняли деньги со своей карты, а потом пришли в Банк и говорите:"я тут не причем...". Что Банку делать?
а вообще, мы уже удалились от темы.. если реальная проблема - пишите в личку - чем смогу помогу..
Дмитрий Ухов  (udex)
#
>но если операция прошла из Тайланда, а Вы предъявите документы, что во время транзакции были во Франции - доказать не составит труда..
Судя по истории Павла Егорова с Райффом, банк заявит, что у тебя есть самолет и ты сам туда слетал. Ну или сам сделал копии карты и разослал подельникам. Было бы желание не доказывать.
>Что Банку делать?
Уголовное дело возбуждать.
>если реальная проблема - пишите в личку - чем смогу помогу..
Слава богу пока нет.
Алексей Малов  (AlekceyM)
#
Описывал лишь конкретику и кратко. Если необходимо все остальное, то распишу smile:)
Также рассматривались лишь карты с магнитной полосой, ибо с чиповыми таких проблем нет и в ближайшее время не предвидится.
Цитата
А идентификаторы банка-эмитента и типа карты посмотреть где-то можно в открытом доступе?

Была такая программка Mars Bank Base. Там все bin'ы есть.
Цитата
а что ж так однобоко? ни ссылок на Правила МПС, ни комплексного анализа текущей ситуации по обеспечению безопасности с использованием ПК

Если вы успели заметить, то описывал тему дампов (реал кардинга). Другие тематики (связанные с интернет кардингом) рассмотрим позже.
Дмитрий Ухов  (udex)
#
AlekceyM,
Алексей, про чипы всё же интересно, ибо чисто чиповых карт до сих пор нет, полоска все равно на карте имеется. Теоретически, если операция прошла без участия чипа, то она оспарима. Может вопрос не по адресу, но в случае с Российскими банками, если был введен пин-код, то никто ничего оспаривать даже не будет, как вообще дела на нашей родине с этими чипами обстоят?
Татьяна  (VTA)
#
Теоретически, если операция прошла без участия чипа, то она оспарима... smile:|
Это теоретически... если терминалы оснащены чип-ридерами, а операция прошла по магнитной полосе - оспорить нельзя...
в инете - если введен cvc - шансов оспорить нет...
по поводу чипов в россии - ряд банков уже сертифицировал свои карточные программы МПС..
Дмитрий Ухов  (udex)
#
Меня не сертифакция как таковая интересует, а практика по фроду с участием копии карты, точнее ее магнитной полосы. Что-то мне подсказывает, что если у чиповой карты сняли в скимере полосу и узнали пин-код, практически любой российский банк пошлет тебя с твоей притензией на.... в суд.
Татьяна  (VTA)
#
не берусь говорить за другие Банки, но если доказано, что это фродовая операция мой Банк возмещал..
@mike  (@mike)
#
Цитата
если терминалы оснащены чип-ридерами, а операция прошла по магнитной полосе - оспорить нельзя

Если при этом карта нечиповая - то виновать эмитент (в российской практике - перекладывается на держателя). Если карта чиповая (есть признак чипа на полосе), но почему-то использовалась полоса (кривые настройки терминала) - виноват эквайрер. Если карта выпущена банком, как чиповая, но на той, что предъявлена в ТСП признака чиповости на полосе не было, - и поэтому проведена как полосатая - то очевидный фрод, т.к. карта по нанесённым на неё данным была не та, что официально выдана держателю банком.

Увы, в большинстве случаев позиция отечественных банков в вопросах спорных транзакций максимально недружелюбная. Однако, отчаиваться и срочно закрывать и сдавать все свои карты спешить не надо: есть вполне благоприятная судебная практика по вопросам опротестования по картам.

@.
@mike  (@mike)
#
Цитата
Первая цифра (слева направо - тип карты, т.е. 4-Visa, 5-MC, 3-Amex и т.д.)
Это платёжная система и отчасти тип (поскольку в MasterCard карты Maestro вынесены на отельную цифру.
Цитата
- это класс карты.
Либо тут несколько слов пропущено, но в любом случае это не так. Нет отдельной цифры под класс карты. Таким образом,
Цитата
Следующие 4 - это уникальный идентификатор банка-эммитента + идентификатор типа карты (т.е. для виз - классик, голд, платина и т.д.).
всё зашито именно здесь, только вернее говорить о 5 следующих.
Цитата
В общем, первые 6 цифр номера кредитной карты называются BIN
Согласен. Разве что здесь можно было бы сделать лирическое отступление про БИН-рейнжди, позволяющин на один БИН вешать несколько продуктов, а в особо изощрённых случаях - ещё и разных банков. Но с другой стороны, для прикладного реал-кардинга это не более важно, чем изотопный состав меди трубки для сантехника.
Цитата
не желая тратиться на новые документы(а это не менее 1000$ за экземпляр) для каждой карты.
Здесь тоже поспорил бы... Просят не обязательно паспорт. Да и паспорт даже если и потребуется , то не обязательно за 1000. Мой настоящий и то дешевле выглядит smile:) А продавцы в магазине отнюдь не пограничники-таможенники, и проверяют документы формально, без особого пристрастия.
Андрей Максимов  (Моисей Абрамович)
#
Цитата
Здесь тоже поспорил бы... Просят не обязательно паспорт. Да и паспорт даже если и потребуется

smile:o
Карту пользую давненько и часто... Шо-то ни разу пачпорт не затребовали... smile:o
Правда, тока в Раше... Совдеп, млин... Как он есть досталь... smile:wall:
Алексей Малов  (AlekceyM)
#
Это полное нарушение обязанностей кассира при работе с банк. картами.
@mike  (@mike)
#
Щас начнётся холивар smile:)

Есть письмо-рекомендация от российского представительства Виза, где русским по белому определена величина, до которой ПС рекомендует проводить операции без паспорта, - 1000 рублей. Есть правила ПС (и Визы, и Мастера), в которых проверка ID рассматривается лишь как дополнительная мера и лишь в случае обоснованных сомнений. Но у нас каждый кассир с "комплексом вахтёра" и подозревает всех сразу и по определению. А уж человека с картой - дважды заранее. Ну и потом есть же гениальное изобретение под названием Instan Issue, Prepaid, Unembossed - карты, персонализованные заранее, но не персонифицированные. Вопрос "а что с чем будете по безымянной карте сверять?" ставит большинство кассиров в тупик. Некоторые находчиво сверяют подпись, хотя нигде в правилах не сказано, что подпись в ID должна совпадать с подписью на карте или в чеке. В правилах есть лишь требование, чтобы подпись в чеке и на карте совпали, в России ещё подпись на карте должна совпадать с образцом подписи в карточке банковского счёта. Всё, других совпадений быть не обязано.
Алексей Малов  (AlekceyM)
#
Я более готов ссылаться на памятки кассиров, которые существуют в каждом магазине, принимающем оплату картами. Исходя из них - проверка документов обязательна.
По поводу не персонифицированных карт (в основном это Visa Electron) - их использование четко ограничено регионом, если не ошибаюсь. Соответственно вашу карту кардеры не смогут использовать за рубежом.
@mike  (@mike)
#
От эквайрера зависит. Есть отмороженные, есть нормальные. И от конкретной торговой сети. И от вида реализуемой продукции. На компактный высоколиквидный товар (телефоны, ювелиркам) могут и ПИН запросит, так ещё и паспортные данные переписать.

А так, да - кассиры частенько свою памятку считают ну если не самими правилами ПС, то выдержкой избранных тезисов из них.

Моментальность выдачи и региональные ограничения - это несвязанные вещи. На текущий момент из Мастеркардовских продуктов 1 карта Prepaid (Momentum) - Valid only in Russia, 2 препейки - международного хождения. 5 Visa Electron Instant Issue - международных, по трём из них (они от одного банка) - запрет на конвертацию при снятии в банкомате, запрета на конвертацию при покупках нет. Но зато поскольку их 3 и бесплатных, то базовые валюты карт - рубль, евро и доллар. Visa Classic Unembossed (тоже моментальной выдачи, её я правда уже моментально же и сдал) - тоже не имела ограничений по региону использования.

@.
Алексей Малов  (AlekceyM)
#
@mike
а откуда такие познания? smile:) работаешь в банк. сфере?
Дмитрий Ухов  (udex)
#
В МПС они персонифицированы, только на карте имя не обозначено. Та же БВК в пейпале свободно принимается.
@mike  (@mike)
#
МПС фиолетово smile:) Имя держателя после выдачи и активации карты может (да даже не может не) быть прописано в процессинге банка. Но на самой карте от этого ФИ не появятся, да и магнитную полосу никто переписывать не станет.

@.
Алексей Малов  (AlekceyM)
#
смотря в каком магазине. хотя по поводу паспорта - слегка преувеличил. также могут использовать поддельные права, которые стоят 200$ в среднем.
Алексей Малов  (AlekceyM)
#
Цитата
Алексей, про чипы всё же интересно, ибо чисто чиповых карт до сих пор нет, полоска все равно на карте имеется.


Самое забавное в том, что изначально РуБанки использовали чипы, если кто помнит старые карты СберБанка(кстати, именно на картах Сбера я до сих пор наблюдаю чипы, молодцы). Позже американская говнолента вытеснила их благодаря своей низкой стоимости и развитой системе терминалов. Мы как дикари кинулись использовать все, что советовала Америка. А вот Европа к тому времени, наоборот, свои магнитные полосы решила дополнить чипами или вовсе отказаться от говнолент на внутреннем рынке. Опять же, забавная история - чипы, которые используют в Европе разработали русские smile:) В начале 90-х мой знакомый программист как раз занимался этим в Калининграде.

По поводу безопасности чипов - она в 100 (а может и в 1000) раз превышает безопасность магнитных лент. Я давно пытаюсь донести до российских держателей карт необходимость перехода на чиповые карты для сбережения своих средств.

P.S. Если бы какой-нибудь банк дал свою чиповую карту и разрешение на ее полное тестирование-разбор-ломание-крамсание, то с удовольствием бы взялся за это.
Татьяна  (VTA)
#
Попробуйте обратиться в Золотую корону... в свое время они даже готовы были выплатить вознаграждение за взлом своего чипа...
или же, как вариант - сделайте себе Золотую корону и.. ломайте на здоровье.. smile:shuffle: smile;)
ghost99  (ghost99)
#
О каких чипах речь: Золотая корона, Accord, Maxima, EMV от международок? Уточняйте, так как чип-чипу рознь, разные системы, разные стандарты...
Если на полосе есть признак чипа, а карта обслуживается по магнитке - вина на эквайрере, однозначно. В МПС существуют четкие разграничения зон ответственности. Это происходит как правило в устройствах банков, еще не прошедших сертификацию на EMV-эквайринг, либо "отболтить" карту и потерять межбанковские комиссии по операции, либо операция проводится под соусом - "чип не читаем" и авторизуется по полосе. Как правило этим умело пользуются кардеры, которые на белом пластике катают полосы от чиповых карт и идут в АТМ таких банков. Пару лет назад данная проблема широко имела место в банкоматах Юникредита. Штрафы от МПС оплачивались молча и без опротестования, т.к. сами виноваты были.
По поводу "Я давно пытаюсь донести до российских держателей карт необходимость перехода на чиповые карты для сбережения своих средств. " Не взваливайте на себя ношу МПС, это они заняты продвижением своего стандарта EMV в массы. Однако, с EMV в РФ не все так гладко как хотелось бы. В РФ существует ряд объективных обстоятельств, в силу которых EMV тут еще не скоро приживется (слабая инфраструктура приема EMV, относительно высокая стоимость заготовок, отсутствие дополнительных приложений для чипа, огромное количество локальных платежных систем, особенно дальше на восток и т.д.). Пионером EMV строения можно назвать Великобританию, там все понятно: высокий уровень финансовой грамотности населения, огромный уровень проникновения пластика и...колосальные потери от фрода. Пока все эти все факторы не просуммируются и в РФ, EMV тут будет буксовать.
Касательно суммы покупки и поддельных документов. Кассиры ТСП не утруждают себя чтением банковских инструкция по работе с терминалом и приему карт и действуют кто во что горазд, особенно, учитывая текучку этого персонала в ТСП. Обычно банки рекомендуют запрашивать документ при любой покупке на сумму более 10 000 рублей, при меньшей сумме - перестраховка кассиров, а фальшивые доки это как правило водительские удостоверения, а не паспорта.
PS Всегда бесило это ламерское "срок годности карты"...срок годности есть у колбасы, селедки, сала и другой жратвы, а у карты - срок действия.
Татьяна  (VTA)
#
кстати, о новшествах МПС..
MasterCard Europe представила дебетовую карту нового поколения с дисплеем, которая должна повысить контроль и безопасность платежей, совершаемых через Интернет. С ее помощью можно осуществлять любые платежные операции, при этом на самой карте установлен небольшой дисплей с функцией «тач-скрин».
На нем владелец карты может просмотреть информацию об остатке на счете, лимите и т. д. Для обеспечения защиты были привлечены специалисты из швейцарской компании NagraID Security.
Кроме того, британская финансовая компания Newcastle Building Society подтвердила намерения запустить пилотный проект по выпуску карт с дисплеем в течение 2010 года.
Алексей Малов  (AlekceyM)
#
про эту карту слышал еще полгода назад. и видео презентацию ее смотрел. другой вопрос, во сколько она будет обходиться? не думаю, что ее себестоимость будет ниже или равна себестоимости хорошей чиповой карты.
Sterh  (Sterh)
#
Алексей, даже если Вы полностью перескажите стандарт ISO 7813, просьба только от себя ничего не добавляйте ибо смешно, Вас никто не "посадит" он открытый стандарт... А про книгу, я согласен со словами Чиркова, не убавить не прибавить...

Ничего профессионально интересного в этой книге нет. Вся история высосона автором из пальца (IMHO), хотя и довольно креативненько. И даже место новомодному “продакт-плейсменту” нашлось. На мой взгляд книжка эта вредная, поскольку читать ее будут в первую очередь молокососы и почерпнут они из нее только призрачную романтику жизни кардера/хакера-патриота, который от безденежья и лени якобы поначитался форумов и быстренько стал зарабатывать кучу денег, вести интереснейшую жизнь на широкую ногу, да еще и выполнять тайные задания Родины. Дурачков в стране хватает и в колонии разного режима отправится молодое пополнение…
Sterh  (Sterh)
#
smile:D smile:D smile:D Это карты для генерации OTP, не нужно фантазировать по функциональности, ок??
Татьяна и ещё вопрос, просветите что это за компания такая MasterCard Europe ??????????
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные сообщения

FINAL CALL 11/16
15 ноября вышли данные по исполнению федерального бюджета за очередной месяц — октябрь. 1. В апреле — августе 2016 года из Резервного фонда изъяли
0
Как вернуть «тетрадочный» вклад?
Короткий ответ: показать документы о вкладе в банке-агенте. Длинный ответ. Наверное, уже практически все вкладчики знают, что во многих банках с
6
Почему опасно оплачивать покупку в инетмагазине переводом на кошелек ЯД?
Почему опасно оплачивать покупку в инетмагазине переводом на кошелек ЯД? 1. Сервисы ЯД (Яндекс Деньги) очень удобны для мошенников, так как ЯД зарабатывают
10
Меркурий в Стрельце
Меркурий вошел в Знак Зодиака Стрелец и проходит здесь до 03 декабря. Что же интересного нам принесет этот транзит? Людей в это время отличает свобода
0
Рынок нефти 1 декабря
ОПЕК после почти годичных переговоров и восьми лет перерыва приняла решение о сокращении добычи нефти. Отдельным успехом для рынка в целом и картеля в
0

Новые сообщения

  • Рынок нефти 1 декабря
    ОПЕК после почти годичных переговоров и восьми лет перерыва приняла решение о сокращении добычи нефти. Отдельным успехом для рынка в целом и картеля в
  • FINAL CALL 11/16
    15 ноября вышли данные по исполнению федерального бюджета за очередной месяц — октябрь. 1. В апреле — августе 2016 года из Резервного фонда изъяли
  • Рынок нефти 30 ноября
    Рынок в ожидании решения ОПЕК. Сегодня должна быть поставлена точка в многомесячных и весьма непростых переговорах о потенциальном ограничении на нефтяном
  • Рынок нефти 29 ноября
    Над нефтяным рынком нарастает неопределенность, новостной фон концентрируется исключительно на предстоящем заседании ОПЕК. По итогам прошедших технических
  • Венера в Козероге
    Венера вошла в Знак Зодиака Козерог и пробудет здесь до 09 декабря. Вместо иллюзий и идеализма приходят сдержанность в проявлении чувств, строгость оценок