В чем преимущество чипованой карты?

+ Додати
    тему
Відповісти
на тему
ФінТех, Міжнародні платіжні системи, Пластикові картки Visa, MasterCard, American Express, обмін та переказ грошей, еквайрінг та прийом платежів. Електронні грошові системи PayPal, WebMoney, Яндекс-Деньги, РБК-money питання придбання тощо.
  #<123456 ... 15>
Повідомлення Додано: П'ят 12 лют, 2010 18:56

Dbaspov написав:
JBM написав:Особенно меня потешила чипованная карточка "Маэстро" из Swedbanka,
Особенно меня потешила данная информация, что Сведбанк мигрировал на чипы...
Автору надо меньше курить, а то с восприятием окружающего мира проблема.
Свед, на данный момент, чиповых карт не выпускает и не предвидиться их выпуск в ближайшее время..
Не поленился - полез достал эту карточку (сейчас она не работает, поэтому была закинута в закрома родины далеко-далеко). Оказалось - ING, а не свед. Сорри, перепутал! Ваша правда. Про Свед ничего сказать не могу.
JBM
 
 
Повідомлення Додано: Пон 15 лют, 2010 11:13

JBM написав:
Dbaspov написав:
JBM написав:Особенно меня потешила чипованная карточка "Маэстро" из Swedbanka,
Особенно меня потешила данная информация, что Сведбанк мигрировал на чипы...
Автору надо меньше курить, а то с восприятием окружающего мира проблема.
Свед, на данный момент, чиповых карт не выпускает и не предвидиться их выпуск в ближайшее время..
Не поленился - полез достал эту карточку (сейчас она не работает, поэтому была закинута в закрома родины далеко-далеко). Оказалось - ING, а не свед. Сорри, перепутал! Ваша правда. Про Свед ничего сказать не могу.

Да и работать она за рубежом может, если только не доместиковая, что определяеться надписью "Valid only in ....(страна)". Ну и в инете ей не расчитаешся, т.к. на Маестро отсутствует СVV2.
Dbaspov
Аватар користувача
 
Повідомлень: 321
З нами з: 13.02.09
Подякував: 0 раз.
Подякували: 3 раз.
 
Профіль
Повідомлення Додано: Сер 17 лют, 2010 09:48

p29 написав:Основными преимуществами чипа являются бОльшая защищенность от мошеннических операций, долговечность, наличие дополнительных функций - бонусные программы, топливные приложения и пр.

Более подробную информацию можно найти например в этой достаточно лаконичной статье:
http://www.kreditovik.ru/info.php?id=225


Но как говориться, воры не спят.

Обнаружена фундаментальная уязвимость в протоколе, используемом при авторизации банковских карт

Ученые из Кембриджского университета (Великобритания) обнаружили фундаментальную уязвимость в протоколе, который лежит в основе процесса авторизации дебетовых и кредитных карт, оснащенных электронными чипами.

Ими создано устройство, способное перехватывать обмен данными по протоколу EMV (Europay, MasterCard, Visa) между картой и терминалом и посылать терминалу сигнал о том, что процесс авторизации пройден. В ходе последующих испытаний устройства ученым удалось авторизовать чиповые карты шести эмитентов без необходимости ввода правильного PIN, сообщает ХАКЕР.ру.

Несмотря на то, что вводить сам четырехзначный PIN все же пришлось, терминал принимал любое сочетание цифр.
По словам авторов работы, для создания такого устройства требуются лишь самые элементарные инженерные навыки и базовые навыки программирования.

Дело в том, что большинство транзакций требует авторизации по PIN. Клиент вводит идентификационный номер в устройство ввода, после чего тот отсылается на карту и сравнивается со значением PIN, хранящимся в ее чипе. Если PIN-коды совпадают, карта отсылает терминалу код подтверждения правильности (0x9000), завершая тем самым процедуру проверки подлинности.

По словам ученых, злоумышленники могут пронести аналогичный аппаратно-программный комплекс в рюкзаке, а провода спрятать в рукаве. Это даст им возможность использовать для совершения покупок или перевода денег краденные действительные карты.

Подойдет любой PIN

Исследователям удалось создать устройство, которое считывает данные с карты и в нужное время посылает терминалу код подтверждения, причем делает это вне зависимости от того, какой PIN был введен.

Чтобы продемонстрировать работоспособность своей схемы, исследователи вставили подлинную чиповую карту в кард-ридер Alcor Micro, который был соединен с ноутбуком, выполняющим скрипт на языке Python.

Сам ноутбук через последовательный порт был присоединен к программируемой плате Spartan-3E Starter Kit, используемой для конвертации интерфейсов банковской карты и ПК.

Плата, в свою очередь, была соединена с интерфейсным чипом Maxim 1740, который был связан тонкими проводами с поддельной банковской картой, которую исследователи вставили в терминал.

После того, как карта была вставлена, скрипт на ноутбуке перехватил транзакцию, подавил отправленный терминалом запрос на подтверждение PIN и выдал в ответ код подтверждения 0x9000.
источник: hitech.newsru.com
http://banker.ua/bank_news/world/2010/02/16/1180439168/
Dbaspov
Аватар користувача
 
Повідомлень: 321
З нами з: 13.02.09
Подякував: 0 раз.
Подякували: 3 раз.
 
Профіль
Повідомлення Додано: П'ят 19 лют, 2010 10:32

Уязвимость в чиповых картах: наш ответ Кембриджу

Во вчерашнем новостном выпуске информационный портал plusworld.ru опубликовал материал о новой уязвимости стандарта EMV (см. новость Найдена уязвимость в чиповых картах ). Данный материал вызвал живую реакцию наших экспертов. Сегодня редакция журнала «ПЛАС» приводит комментарии Игоря Голдовского, генерального директора ЗАО «Платежные технологии», члена Операционного комитета MasterCard Europe (European Operations Advisory Committee) от России.

«Группа «товарищей» из Кембриджского университета, инициировавшая новость, мне давно известна. У них было удачное исследование относительно уязвимости передачи ПИН-кодов от обслуживающего банка эмитенту карты и менее удачное выступление относительно «слабости» требований стандарта PCI PED. После этого был провал исследования по поводу уязвимости стандарта CAP (Chip Authentication Program), показавший что кембриджская группа (они математики по профессии) просто элементарно не знает стандарт EMV.

В данном случае результаты исследования группы не известны, но заранее понятно, что ребята наступают на те же грабли – незнание стандарта EMV. Судя по полученному сообщению, уязвимость заключается в использовании т.н. wedge-устройств, стоящих между картой и терминалом и модифицирующих диалог карты и терминала. Для борьбы с таким мошенничеством в EMV давно предусмотрена процедура аутентификации приложения карты CDA, обеспечивающая целостность диалога карты и терминала. В соответствии с процедурой CDA карта в ответе на команду Generate AC возвращает терминалу подписанное значение набора чувствительных данных, включая тип криптограммы, значение криптограммы, Issuer Application Data, данные терминала, передаваемые карте в команде Generate AC и ответа карты. Поэтому любая попытка модификации наиболее чувствительных данных диалога «карта-терминал» будет тут же обнаружена терминалом, если терминал и карта поддерживают метод CDA!

Что касается ПИН-кода, то терминалу и не интересно знать результат проверки ПИН-кода картой! Терминал ждет общего решения карты по способу завершения операции, т.н. объект данных Cryptogam Information Data, а не какие-то детали. А этот объект wedge-устройство модифицировать не может, если карта и терминал поддерживают CDA. К слову сказать, терминал может легко выяснить, что модифицирован и результат проверки ПИН-кода. Для этого ему нужно посмотреть объект данных Card Verification Results, который содержится в объекте Issuer Application Data. Напомним, что модифицировать этот объект в диалоге CDA-карты с CDA-терминалом нельзя. Другое дело, что терминал не смотрит этот объект данных, поскольку ему это для обработки операции и не нужно (данная операция может быть проведена или не поведена по усмотрению эмитента).

Другими словами, кембриджской группе нужно учить матчасть – стандарт EMV.

Конечно, мне могут возразить, что сегодня практически все карты и многие терминалы НЕ поддерживают метод CDA (в Европе терминалы будут обязаны поддерживать CDA с 1 января 2011 г.). В частности, карты английских банков, которые сегодня в подавляющем большинстве не поддерживают даже DDA (сегодня практически все английские карты – SDA-карты, т.е. карты со статической аутентификацией). На это есть простой ответ. Использовать wedge-устройства сегодня, когда имеется столько других уязвимостей, связанных с магнитной полосой – большая глупость. Wedge-устройство – вовсе недешевая вещь. Устройство на стороне карты (нужно сделать микросхему с использованием чипа реальной украденной карты) будет стоить порядка 100 евро на карту (с учетом трудоемкости и ручной работы). Кроме того, это штучная работа, а мошенникам нужен массовый продукт. Так что сегодня тема не актуальна и банки могут спать спокойно!

С другой стороны, сегодня в Европе происходит отказ от SDA-карт и идет миграция на карты с динамической аутентификацией (с 1 января 2011 г. все новые карты в Европе должны быть DDA-картами в обеих ведущих платежных системах). В рамках этой миграции можно рекомендовать банкам мигрировать именно на CDA-карты, которые стоят столько же, сколько и DDA-карты. У CDA-карты имеется еще одно преимущество - транзакции по таким картам обрабатывается немного быстрее, чем по DDA-картам (на 10-15%). У CDA имеется и небольшой недостаток, связанный с недисциплинированностью наших банков по своевременному заведению на их POS-терминалах открытых ключей платежных систем. Но это уже высшая математика, не очень интересная широкому читателю».
http://www.plusworld.ru/daily/page1_8196.php
p29
Аватар користувача
 
Повідомлень: 156
З нами з: 09.02.09
Подякував: 2 раз.
Подякували: 2 раз.
 
Профіль
Повідомлення Додано: П'ят 19 лют, 2010 10:48

В Чехии пыталась в ювелирном магазине расплатиться чипованой евровой Виза-Классик от Форума. Не вышло. Хорошо еще, наличка присутствовала с собой, а то позорище....
lents
 
Повідомлень: 79
З нами з: 30.05.09
Подякував: 13 раз.
Подякували: 6 раз.
 
Профіль
Повідомлення Додано: П'ят 19 лют, 2010 12:01

Я снимал в Чехии без проблем деньги в банкомате с такой карты. Может, тут не банк виноват.
Кащей
Аватар користувача
 
Повідомлень: 1693
З нами з: 30.08.09
Подякував: 217 раз.
Подякували: 101 раз.
 
Профіль
Повідомлення Додано: П'ят 19 лют, 2010 12:41

lents написав:В Чехии пыталась в ювелирном магазине расплатиться чипованой евровой Виза-Классик от Форума. Не вышло. Хорошо еще, наличка присутствовала с собой, а то позорище....

Я так подозреваю, надо было в банк сообщить, что в Чехию собираетесь.
Практически у всех банков стоят блокировки на страны использования БПК и их снимают только после письменного заявления.
А так - очень хороший способ мошеничества - отдал знакомому карту, тот едет за бугор, там снимает бабло (бабло пополам), потом идеш в банк с паспортом и ,допустим, справкой от таможни, что не покидал Украину. И ореш - отдайте мои деньги....
А так банк застрахован, но конечно не все страны блокированны.
Надо узнавать в Call-центре банка.
И желательно указать все страны, через которые будете ехать.
Dbaspov
Аватар користувача
 
Повідомлень: 321
З нами з: 13.02.09
Подякував: 0 раз.
Подякували: 3 раз.
 
Профіль
Повідомлення Додано: Пон 08 бер, 2010 16:54

Где-то читал, что все украинские банки обяжут переходить на чипованные карты ...
octopus
Аватар користувача
 
Повідомлень: 3622
З нами з: 16.10.08
Подякував: 97 раз.
Подякували: 137 раз.
 
Профіль
Повідомлення Додано: Чет 11 бер, 2010 17:27

Вставлю и я свои "5 копеек", основываясь на личном опыте.

1. Чипованные/нечипованные карты: (я пользуюсь Master и VISA от VAB банка)
- впервые столкнулся с проблемой "НЕчипованности моей карты" в Амстердаме, когда не мог купить билет на метро в автомате на пригородной станции. Дело было ранним утром в субботу, и "человеческая" касса, принимающая наличные, ещё не работала. На билетном автомате стоял занк, указывающий, что принимаются только карты с чипом. Это был 2008 год.
- 2009 год, Ницца и Монако - невозможно оплатить покупку ж/д билета на станциях в билетных автоматах. Только чипованная карта или монеты!
- 2010 год, Ницца и Монако - ничего не поменялось :wink:

Не знаю всех тонкостей и преимуществ защиты чипованных карт, но вижу такие "минусы" при пользовании ими вУкраине:
- не все терминалы в торговых точках оборудованы "клиентским" пультом для ввода PIN кода - в некоторых супермаркетах, приходится идти к кассру на её рабочее место, что-бы ввести ПИН-код прямо на её "прокатном" станке.
- на некоторых АЗС, принимающих карточки к оплате, вообще невозможно оплатить топливо, если кассир находится в закрытом помещении и карточку ему передаёшь с улицы через турникетную щель в окне. У нас и так не все АЗС принимают карточки, так тут ещё дополнительная "засада". Пару раз кассиры на таких АЗС говорили мне "Так в чём проблема? Скажите мне ваш ПИН-код, и я сама его введу! 8) "

Как уже описывалось в fintraining.ru/modules.php?op=modload&name=News&file=article&sid=2437, не все терминалы запрашивают ПИН-код у владельцев чипованых карт. Это определяется, в первую очередь, софтом, применяемым в таких торговых точках и в банках, их обслуживающих.

2. Несколько не в тему "чипованных" карт - про проблемы с картами определённой платёжной системы (в этой ветке об этом писали некоторые авторы):
Пару лет назад в Германии я не смог на вокзале купить ж/д билет на поезд с помощью карточки VISA :( Перепробовал три разные карты (Electron, Classic, Gold) - всё неудачно (а системные сообщения про ошибку выдавались на немецком языке, не понятном мне).
Только потом на корпусе аппарата увидел, что есть логотип Master Card, но нет VISA :shock:
В тот раз повезло - у меня с собой случайно оказалась "безимянная" карточка Maestro c 20$ на счету - и я смог купить билет (были и наличные, но в кассе была длинная очередь, а я опаздывал на поезд).
Надеюсь сейчас они принимают карты обеих систем (вроде я видел оба логотипа недавно в Германии).

3. "Ущербность" пласстиковых карт, выпущенных в Украине - сомневаюсь, что есть какие-то официальные чёрные списки, куда занесены все карты украинских банков. Конечно, если это карта банка, чьи движения по карточкам заблокированы к обслуживанию из-за фин.проблем (у нас сейчас много таких "стабильных" банков :( ), то это не проблема платёжной системы.

В некоторых банках, как уже говорилось, есть свои лимиты и ограничения по сумме, количеству операций в день и даже по географии стран ,в которых карточки по умолчанию не обслуживаются. Я видел такой список в Привате и в Родоводе. В каком-то из списков были и "туристический" Бангкок и шенгенский "член" Польша. Ограничения снимаются только по письменному заявлению владельца (на всё время или на какой-то срок). Причём подписывается расписка, что вкладчик несётличную ответственность за потенциальные мошеннические действия, которым может быть подвергнут его счёт в этих странах.

Не исключены и "технические" накладки - однажды в Москве я пытался снять деньги в нескольких банкоматах картой ПриватБанка - безрезультатно. В итоге, после очередной попытки я предположил, что банк заблокировал мою карту. Ситуацию с деньгами я тогда решил, хотя не без проблем.
Когда вернулся из командировки в Киев, в банке объяснили, что программное обеспечение классифицировало мои попытки снять деньги как мошенничество (мол кто-то пытался снять деньги с вашей карты, а наша служба безопасности пресекла эту попытку!). Когда же я растолковал им, что это я пытался снять свои деньги (показал чеки с ошибками), в знак компенсации за неудобства, Приват поменял мне обычную Мастер карту на Голд (это было в 2006 году).

И стандартный совет - лучше иметь несколько карт разных систем и формата (чип/не чип) - к одному счёту или к разным счетам.
Vitaly.Kiev
Аватар користувача
 
Повідомлень: 620
З нами з: 18.11.09
Подякував: 11 раз.
Подякували: 41 раз.
 
Профіль
Повідомлення Додано: П'ят 12 бер, 2010 20:21

"И восстали машины из пепла ядерного огня"...
Mirax
Аватар користувача
 
Повідомлень: 6807
З нами з: 04.06.09
Подякував: 872 раз.
Подякували: 876 раз.
 
Профіль
  #<123456 ... 15>
Форум:
+ Додати
    тему
Відповісти
на тему
Зараз переглядають цей форум: Немає зареєстрованих користувачів і 2 гостей
Модератори: Ірина_, Модератор

Схожі теми

Теми
Відповіді Перегляди Останнє
2 26099
Переглянути останнє повідомлення
Вів 28 січ, 2020 00:56
vitaly_od
0 2719
Переглянути останнє повідомлення
Нед 25 лют, 2018 16:00
needcashierer
Снятие наличных с карты Payoneer 1, 2, 3, 4, 5
Anonymous » Чет 24 бер, 2011 14:22
44 70180
Переглянути останнє повідомлення
Вів 17 жов, 2017 21:01
Richi
Топ
відповідей
Топ
користувачів
реклама
Реклама