Регистрация Вход
Город
Город
Город

Мошенничество с использованием пластиковых карт




Ещё один сценарий мошенничества с использованием пластиковых банковских карт. Наиболее уязвимы карты Сбербанка, пригодные для платежей в интернете — начиная от Visa Classic и MasterCard Standard. Владельцы «зарплатных» Maestro и прочих Momentum данному приёму не подвержены.

Небольшой ликбез
1. У Сбербанка есть возможность переводить деньги с карты на карту и пополнять чужую карту, зная только её номер (на лицевой стороне). Никакие другие значения для этого не нужны.

2. Есть возможность узнать имя владельца чужой (!) карты по её номеру, выполнив платёж на неё через Сбербанк-Онлайн. Пробуем перекинуть на чужую карту скажем 10 рублей, вводим номер чужой карты и на экране «Проверьте реквизиты» видим сумму нашего платежа, номер чужой карты и… ФИО её владельца и выдавшее её отделение.

3. Многие просят о помощи и размещают объявления на благотворительных сайтах. Кроме обычных банковских реквизитов и номеров кошельков WebMoney/Яндекс.Деньги всё чаще стало попадаться «или на карту сбербанка № ХХХХ ХХХХ ХХХХ ХХХХ».

4. Есть такие платёжные шлюзы, которые умеют брать деньги с карты не спрашивая ни CVV (CVC), ни контрольный код MasterCard SecureCode. Amazon.com, к примеру, обслуживается именно таким. Для прохождения оплаты требуется ввести только номер карты, имя владельца и срок действия.

Алгоритм действий мошенника
1. Ищем благотворительные сайты и посты по ЖЖшечкам, типа вот такого:
«можно сделать пожертвование на номер пласиковой карты сбербанка, в любом отделении сбербанка России.Достаточно знать номер карты 676280389109721113 Получатель Боровкова Анастасия. ВСЕМ ОТКЛИКНУВШИМСЯ ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!!»

Прекрасный вариант, даже имя получателя указано. Транслит, ANASTASIYA BOROVKOVA… А может быть ANASTASIA BOROVKOVA. Не так уж много вариантов.

А если не указано?
Скажем, вот такое объявление:
«Счет Сбербанка для перевода пожертвований с карты на карту (без процентов!) — 5469 3800 2643 5684»

Не проблема, сейчас выясним:
а) Открываем Сбербанк-Онлайн, выбираем «Перевод на карту»:




б) Вводим реквизиты чужой карты и сумму — какую угодно. Мы типа хотим сделать благотворительный перевод.




в) Оппаньки! ФИО владельца карты.




Отказываемся от перевода, всё что нам нужно, мы только что узнали.
Транслит, DANIIL FIRSOV? Наверное.

2. Нагребли базу «номер карты сбербанка — имя владельца?» Отлично. Идём на Amazon.com, добавляем новую карту:
 


CVV НЕ СПРАШИВАЕТСЯ!!! Переброски на SecureCode НЕ происходит. Одноразовые пароли Сбербанка НЕ запрашиваются. Одноразовый пароль у карт Авангарда тоже НЕ запрашивается. Hold при этом происходит сразу же.
Что нам нужно угадать? Тип карты и срок действия. Вряд ли это Gold, точно не American Express и уж точно не Diners Club. Ну что — либо MasterCard, либо Visa, либо неинтересные нам Cirrus/Maestro или Visa Electron.
Как же узнать, что перед нами?
Смотрим сюда:
У карточек Visa и MasterCard номера 16ти-значные.
Номера карточки VISA всегда начинаются с цифры «4».
Номера карточек MasterCard всегда начинаются с цифры «5» и состоят из 16 цифр.
Номер карточек Maestro начинается с цифр “3”, “5” “6” и может состоять из 13, 16 или 19 цифр.


Фокусируемся на первых двух типах («нормальные» Visa и MasterCard), Cirrus/Maestro в топку.
Вводим тип карты, её номер, транслитерацию имени владельца. Осталось только угадать срок действия. На сколько лет выдают карты? 3..4 года обычно. Часто карту заводят как только начинают сбор средств. Одно-два возможных значения года и 12 значений месяцев. Не больше 36 вариантов. Задержки, капчи никакой нет. Карта или добавляется, или нет. Не добавилась? Пробуем другие значения.

Добавилась? Пробуем что-нибудь купить… Можно даже нарваться и на кредитную карту.

-?????
-PROFIT!!!

Защита от подобного мошенничества
НЕ публиковать номер своей карты где попало. Часто думают, что без CVV и даже без имени владельца от номера карты нет никакого проку. Этот способ показывает, что это — распространённое заблуждение.

Кроме того, для сбора средств можно использовать бесплатно выдаваемые в Сбербанке карты Cirrus/Maestro Momentum, которые непригодны для платежей в интернете. От публикации их номера мошенник вряд ли что-то получит, даже зная имя и срок действия.


Источник: http://habrahabr.ru/blogs/eCommerce/109361/

Поделитесь с друзьями:

 

Комментарии:

При использовании одной - двух карт и одного терминала с постоянным ай-пи можно завалиться!

Ответить

Пользуюсь иногда платежами через интернет и с самого начала меня удивляло, почему не сделали как на банкоматах, запрос PIN. Могли бы вообще отдельный PIN сделать для интернет платежей.
А то что некоторые платёжные шлюзы, умеют брать деньги с карты не спрашивая CVV, и то с какой легкостью наш крупнейший банк выдает имена владельцев карт похоже на то что они в доле.

Ответить

Благодарствую. Побежал затариваться к НГ! )

Ответить

зашибись ты ликбез провел.. придурок :( ну что, все научились??

Ответить

Alexander

Да. Отличный пост! Автор, спасибо за полезную информацию

Ответить

Если посмотреть внимательно, это просто перепост ( http://habrahabr.ru/blogs/eCommerce/109361/). И главное - это предупреждение с весомым доказательством и обоснованием. А вы сразу кидаетесь обвинаниями.

Ответить

В Томске есть сайты, весьма активные, где весь бизнес строится на возможности перевода денег по сберкартам. Похоже у многих продавцов в самое ближайшее время появится много поводов подумать о вечном, под девизом "Бедность не порок". Компетентным органам имеет смысл обратить внимание на этот ликбез.

Ответить

Ага, sp.tomica.ru, например.
могу сбросить список половины оргов оттуда с указанием номеров карт и ФИО :)

Ответить

а это? там нет подтверждения через смс при покупке? сам не покупал через электронные магазины просто интересно...

Ответить

Elek

Спасибо, работает!

Ответить

Самое простое и дешевое решение - взять карту в ВТБ24 E-c@rd для интернет оплаты. Стоит такая 60р пол года. Подходит для любых операций в интернете, я расчитывался ей на пейпале когда на ебэе покупал. Переводишь на нее денег так чтобы на покупку хватало вот и вся защита. :)

Ответить

Любители СП в шоке :)

Ответить

        Абыр Валг

Ну а чего можно было ждать от сбера?.
Хуже интернет-банка, чем у них, в природе не встречал. Писал им в форум, описывал кучу багов и кривостей. В ответ только написали пришлите номер карты и ФИО. хорошо хоть пин-код не спросили. Естественно, ни одного не исправили. А потом и форум закрыли. Видать, слшком много благодарностей от клиентов посыпалось.

Ответить

да что вы говорите! сейчас сб он лайн уже не показывает имя владельца карты, и запрашивает только смски с телефона владельца карты, то бишь одноразовые пароли в силе!

Ответить

        Абыр Валг

еще на прошлой неделе показывал
а одноразовые пароли - это только для их убогого сб онлайн.
амазон никаких сберовских паролей не спрашивает. и даже не догадывается об их существовании.
если по поводу этого поста поднимется шум, предполагаю, сто сбер просто будет отменять все интернет-транзакции. Им так проще делать, чем начать нормально работать

Ответить

Изя

ФИО светиться если подкоючение не полное. У меня полное,поэтому я кроме номера ничего не знаю.

Ответить

ФИО можно и по другому узнать, надо всего лишь пополнить чужую карту 10 рублями через оператора. выдадут чек с ФИО получателя :)

Ответить

Колобок

Не выдадут... Недавно вносил деньги на чужую карту(на сптомику,кстати)
через оператора. На чеке только мои паспортные данные.

Ответить

Спасибо,все просто и понятно объяснил. Я вообще-то и так подозревала,что это не безопасно.

Ответить

Это только в сбербанке можно практиковать? В прошлм году наша орг. получала зар.пл. в Росбанке. У многих сотрудников неизвестно кем снимались определённые суммы денег. Разборки не помогли и мы перешли в сбербанк.

Ответить

Вы случайно, не в ТОПТД работаете?

Ответить

Если еще в сбере с пластиком работать так ваше озолотиться можно...
Дырки в системе :(

Ответить

Ваша безопасность в ваших руках.
подключите услугу моб банк, и будете в курсе движения средств на счету. Если произошло списание средств не ясного анамнеза - блокайте карту сразу.
Такую транзакцию потом можно оспорить в банке.

Ответить

То что здесь описано - полный бред, что то надуманное и не реализуемое. На карте + ко всему есть еще 4 циферки, которые нужно вводить при оплате через интернет. Клал с карты СБ на скайп деньги - также пришла смска с подтверждающим кодом.
Да, кстати - система сбербанк-онлайн НИКОГДА не выдавала имя получателя!!!

Ответить

система сбербанк-онлайн НИКОГДА не выдавала имя получателя!!!
----------
ну прям! перевожу деньги через нее регулярно - пару раз в неделю.
выдается ПОЛНОЕ имя получателя (именно так, как на фото в посте) в окне подтверждения пароля.
з.ы. отображение инфы в сб-онлайне зависит от того, какой вариант функционала подключен (расширенный или лимитированный).
у меня лимитированный - и я ФИО получателя вижу.

Ответить

сейчас же новая версия СБ-онлайн и в ней ФИО точно нет

Ответить

ну не правда Ваша, тезка:)
Только что переводила деньги маме через СБ онлайн, прекрасненько полное ФИО высвечивается.

Ответить

Да,да высвечивается ФИО получателя полностью при переводе средств с карты на карту

Ответить

Не могу найти как высветить фио владельца карты, что я делаю не так?

Ответить

http://kompromat.tomsk.ru - дополняем на доску позора, кто что знает, другим пользователям лучше будет, поможет.
указывайте лица и организации, которые путем обмана и злоупотребления доверием взяли деньги (заняли, по проекты) и в итоге не вернули, " Кинули", другим людям и фирмам будет полезно знать, что это мошенники.
Также есть ряд брачных аферистов, или лица, представляющиеся как будто они из различных ведомств, родственники известных людей пытаются найти свою выгоду, обмануть, "кинуть", или уже "кинули", мошенники, являющиеся активными членами ОПГ и преступных сообществ, чиновники-взяточники
В принципе, чем больше о них будут знать людей, тем меньше им помогут, кто-нибудь подчеркнет для себя новую информацию, напишет заявление в органы, и мошенника уже по нескольким эпизодам подтянут, ему уже не удастся выйти на свободу. Примеры последнего времени - Юлия Манжосова и Наталья Бабенко - сейчас в тюрьме, ждут судов. Ряд крупных мошенников ходит на свободе.

Ответить

        борьба с мошенниками

http://kompromat.tomsk.ru - сайт противодействия коррупции, должникам и мошенникам.
Граждане, указывайте лица и организации, которые путем обмана и злоупотребления доверием взяли деньги (заняли, под проекты) и в итоге не вернули, " Кинули", другим людям и фирмам будет полезно знать, что это мошенники.
Также есть ряд брачных аферистов, или лица, представляющиеся как будто они из различных ведомств, родственники известных людей пытаются найти свою выгоду, обмануть, "кинуть", или уже "кинули", мошенники, являющиеся активными членами ОПГ и преступных сообществ, чиновники-взяточники.

Ответить

        Мошенникам нет

Всегда новая информация о мошенниках должниках и криминальном мире на сайте http://kompromat.tomsk.ru

Ответить

 
Автор статьи запретил комментирование незарегистрированными пользователями. Пожалуйста, зарегистрируйтесь или авторизуйтесь на сайте, чтобы иметь возможность комментировать.