Автор Тема: {no offtopic} Нужен совет про банки.  (Прочитано 393064 раз)

0 Пользователей и 3 Гостей просматривают эту тему.

Оффлайн VaD_

  • Постоялец
  • ***
  • Сообщений: 255
  • Рейтинг: 10
    • Просмотр профиля
  • Откуда: Баян-Улгийский Аймаг
« Последнее редактирование: 28 сентября 2023, 20:02:30 от Retif »
Кроме того, я думаю, что Интернет должен быть разрушен (C) Катон Старший

Оффлайн Axxe

  • Постоялец
  • ***
  • Сообщений: 117
  • Рейтинг: 28
    • Просмотр профиля
  • Откуда: 66-77-..
Нужен совет про банки.
« Ответ #1935 : 27 ноября 2016, 15:39:03 »
Лимит выдачи кэша за одну операцию ЕМНИП тысяч стописят.
это лимит кассеты  :pardon: обычно 40 листов (по 5 тыр соответственно 200 тыр), реже 50.
никогда не встанут на колени
даже если заберут их в плен
смелые и гордые тюлени

Оффлайн VaD_

  • Постоялец
  • ***
  • Сообщений: 255
  • Рейтинг: 10
    • Просмотр профиля
  • Откуда: Баян-Улгийский Аймаг
Нужен совет про банки.
« Ответ #1936 : 27 ноября 2016, 15:58:09 »
это лимит кассеты
А там разве только одна кассета? Те же райффовские банкоматы в офисах и, например, в торговых центрах явно по размерам отличаются. В офисах они раза так в два с половиной больше.


Updated: 27 November 2016, 16:06:17

ЗЫ: Ну я, конечно, не каждый день такой кэш снимаю, но, сцуко, удобно и приятно. Ребёнку когда машину покупал, с владельцем к банкомату подошёл и при нём достаточно быстро снял нужный кэш. Если бы банкомат мне по 50 тыр отсасывал, я бы там сдох. :D
« Последнее редактирование: 27 ноября 2016, 16:06:17 от VaD_ »
Кроме того, я думаю, что Интернет должен быть разрушен (C) Катон Старший

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Нужен совет про банки.
« Ответ #1937 : 27 ноября 2016, 16:56:26 »
ЗЫ: Не поленись в таргет банк съездить

улитыч - сцуко жжошь
Нукося - съездий в таргет банк :)
http://www.advcash.com/
Эндрю - да копейки - пицот грина

Оффлайн VaD_

  • Постоялец
  • ***
  • Сообщений: 255
  • Рейтинг: 10
    • Просмотр профиля
  • Откуда: Баян-Улгийский Аймаг
Нужен совет про банки.
« Ответ #1938 : 27 ноября 2016, 17:04:55 »
улитыч - сцуко жжошь
Нукося - съездий в таргет банк
Таргет, это принимающий. :idea: Или ты с Багам на остров Пасхи собираешься? :D
Кроме того, я думаю, что Интернет должен быть разрушен (C) Катон Старший

Оффлайн VanDyke

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 1800
  • Рейтинг: 73
  • Пол: Мужской
  • Network Warrior
    • Просмотр профиля
  • Откуда: Destination network unreachable
Нужен совет про банки.
« Ответ #1939 : 27 ноября 2016, 17:14:57 »
Ребёнку когда машину покупал, с владельцем к банкомату подошёл и при нём достаточно быстро снял нужный кэш.
банкомат выдает максимум по 200к, и то не сильно много раз, и то если очень сильно повезет. так что сдается мне ты бла-бла-бла  :trollface:
Not as ultimate as 42, but pretty close...

Оффлайн VaD_

  • Постоялец
  • ***
  • Сообщений: 255
  • Рейтинг: 10
    • Просмотр профиля
  • Откуда: Баян-Улгийский Аймаг
Нужен совет про банки.
« Ответ #1940 : 28 ноября 2016, 12:36:23 »
банкомат выдает максимум по 200к, и то не сильно много раз, и то если очень сильно повезет. так что сдается мне ты бла-бла-бла
Сдаётся мне, ты не заметил, что я как раз рассказываю про удобные особенности райффовских банкоматов.
Кроме того, я думаю, что Интернет должен быть разрушен (C) Катон Старший

Оффлайн VanDyke

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 1800
  • Рейтинг: 73
  • Пол: Мужской
  • Network Warrior
    • Просмотр профиля
  • Откуда: Destination network unreachable
Нужен совет про банки.
« Ответ #1941 : 28 ноября 2016, 13:03:10 »
Сдаётся мне, ты не заметил, что я как раз рассказываю про удобные особенности райффовских банкоматов.
сдается мне ты не в курсе, что я райфом пользуюсь уже больше 2-х лет + обналичиваю ТКС в райфе. И вообще я у них вип-клиент  *smoke*
Not as ultimate as 42, but pretty close...

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Нужен совет про банки.
« Ответ #1942 : 28 ноября 2016, 13:37:37 »

Оффлайн VanDyke

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 1800
  • Рейтинг: 73
  • Пол: Мужской
  • Network Warrior
    • Просмотр профиля
  • Откуда: Destination network unreachable
Нужен совет про банки.
« Ответ #1943 : 28 ноября 2016, 13:39:58 »
sirarthur, Тинькофф Кредитные Системы
Not as ultimate as 42, but pretty close...

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Нужен совет про банки.
« Ответ #1944 : 06 декабря 2016, 18:13:38 »
Цитировать
Исследователи из университета Ньюкасла доказали, что минимальный объем существующей информации не помешает злоумышленнику провести автоматизированную атаку подбором данных платежных карт, если в обработке платежей онлайн имеют место недочеты.

Проблема в том, что в платежных системах глобального уровня отсутствует централизованный механизм мониторинга мошеннических попыток платежа на многочисленных сайтах. С помощью специализированного бота можно проверять платежные данные на разных сайтах до тех пор, пока не будет собрана вся необходимая информация, причем такие попытки даже не будут обнаружены.



По свидетельству университетских исследователей, их «распределенная атака подбором» (distributed guessing) работает лишь против платежной экосистемы Visa. В ходе эксперимента им удалось провести брутфорс на 400 сайтах из списка Alexa, в том числе на PayPal и Amazon, и за считаные секунды получить номер карты, ее срок действия, код CVV и другие реквизиты.

Университетские исследователи предупреждают, что подобные атаки масштабируются и практически осуществимы. Visa и 36 затронутых сайтов были извещены о возможности злоупотреблений до выхода научной статьи «Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?» («Правда ли, что современное состояние платежного онлайн-сервиса облегчает задачу мошенникам?»). Операторы восьми популярных сайтов уже приняли меры защиты: замедлили обработку повторных запросов, ввели CAPTCHA и т.п. Представители Visa со своей стороны заявили, что исследователи не учли наличие систем предотвращения фрода, однако Мохаммед Али (Mohammed Aamir Ali), один из соавторов отчета, отметил, что их PoC-атака как раз показывает слабости многослойной защиты Visa, которые сможет использовать продвинутый злоумышленник.

«Эта атака использует функциональность платежной системы, предназначенную для валидации данных карт, — пишут исследователи. — Однако в данном случае она помогает атакующим генерировать все поля данных о защите, необходимые для проведения онлайн-транзакций. Мы покажем, что данная атака не имеет практического применения, если все сайты, проводящие платежи, выполняют одни и те же проверки на безопасность».

По некоторым предположениям, аналогичная распределенная атака была недавно проведена против британского банка Tesco. В результате этой атаки были похищены денежные средства с 20 тыс. клиентских счетов. «У нас слишком мало данных, чтобы подтвердить это заявление», — сказал Али в ответ на запрос Threatpost.

Исследователи проверили на уязвимость не только Visa, но и MasterCard. Оказалось, что у MasterCard есть централизованная сеть, способная обнаружить атаку подбором после 10 попыток, даже если атака распределена по разным сайтам. Visa такой защитой не обладает. «Автор атаки может начать с лэптопа, подключенного к Интернету, — рассказывает Али. — Вначале ему потребуются первые шесть цифр — идентификационный номер банка, который обычно публикуется в Интернете».

В отчете исследователей отмечено, что их атака использует два слабых места, каждое из которых, взятое в отдельности, не даст нужного эффекта, а вместе они составляют угрозу для всей глобальной системы. К сожалению, платежные системы зачастую не способны обнаружить невалидный запрос на проведение платежа, поданный на разных сайтах. «Это означает, что, распределив попытки подбора по многим сайтам, можно гадать практически бесконечно, даже если отдельные сайты ограничивают число попыток», — сказано в отчете.

Вторым узким местом является отсутствие единообразия формы для ввода данных платежных карт. Некоторые сайты требуют основной учетный номер, срок окончания действия карты, код CVV и адрес, на других сайтах полей для ввода меньше. «Имея валидный номер карты (PAN), можно приступить к угадыванию даты истечения срока ее действия, — пишут далее исследователи. — Для этого подойдут несколько сайтов, которые проверяют лишь два поля: номер карты и срок ее действия. Получив дату окончания срока, атакующий сможет ее использовать вместе с номером карты, чтобы угадать информацию CVV2 на другой группе сайтов, проверяющих три поля (номер карты, срок окончания действия и CVV2)».

Для проведения автоматизированной PoC-атаки были созданы бот и скрипты для Firefox, написанные с помощью фреймворка Java Selenium. При этом на бот были возложены функции ввода и подбора значений для каждого поля. В итоге дату истечения срока действия карты удавалось угадать в среднем за 60 попыток, код CVV — менее чем за 1 тыс. попыток.


«Если бы все коммерсанты использовали три поля и запрашивали дату окончания действия и CVV2, то нам потребовалось бы 60 x 1000 = 60 000 попыток, — признали исследователи. — Разница между 1060 и 60 000 — это разница между быстрой, практически осуществимой атакой и трудоемкой атакой, осуществить которую почти нереально».

«Мы доказали, как важно быть на шаг впереди в противостоянии киберкриминалу, совершенствовать систему, находить узкие места и учиться на ошибках», — говорит Али. Соавторы статьи ратуют за централизованную систему проверки безопасности транзакций, реализация которой, по их мнению, способна предотвратить атаку distributed guessing. Разумеется, это потребует создания специальных шлюзов или сетей, отображающих все попытки проведения платежей на коммерческих сайтах. В качестве альтернативного варианта исследователи предлагают стандартизировать интерфейс, используемый клиентами платежной системы.

«И стандартизация, и централизация противоречат принципам гибкости и свободы выбора, ассоциируемым с Интернетом или успешной коммерческой деятельностью, однако они обеспечат требуемую защиту, — пишут исследователи. — Целесообразность и сроки внедрения таких решений придется определять самим заинтересованным сторонам».
https://threatpost.ru/distributed-guessing-attack-reels-in-payment-card-data/19491/


Updated: 06 December 2016, 18:25:27

Мораль истории:
если ваш банк позволяет блокировать  интернет-платежи (или ограничивать сумму интернет-платежа) для банковской карты, то обязательно используйте эту возможность.  :idea:

При необходимости платежа через интернет, нужно будет временно отключить блокировку (на время проведения платежа), а потом включить ее снова. Кстати ТКС, например, позволяет включить/выключить такую блокировку в своем клиент-банке
« Последнее редактирование: 06 декабря 2016, 18:37:37 от shs »

Оффлайн Axxe

  • Постоялец
  • ***
  • Сообщений: 117
  • Рейтинг: 28
    • Просмотр профиля
  • Откуда: 66-77-..
Нужен совет про банки.
« Ответ #1945 : 06 декабря 2016, 18:41:04 »
Мораль истории:
если ваш банк позволяет блокировать интернет-платежи для банковской карты, то обязательно используйте эту блокировку.  :idea:
и ни слова про 3ds :pardon:
а вот как примерно выглядят настраиваемые блокировки и лимиты у карт здорового банка (настраивается КАЖДАЯ цифра, можно выставить 0 - это будет означать запрет) :)
никогда не встанут на колени
даже если заберут их в плен
смелые и гордые тюлени

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Нужен совет про банки.
« Ответ #1946 : 06 декабря 2016, 18:54:00 »
и ни слова про 3ds
вся фигня в том, что наличие 3ds не означает ее обязательного использования на стороне продавца  :pardon:
так же как наличие чипа не спасет вас от прокатывания дубликата магнитной полосы вашей карты на каком-нибудь платежном терминале.



настраивается КАЖДАЯ цифра
это дело вкуса.  Например, возможность настройки лимита расходов и блокировки интернет-платежей по сути не отличается от твоей картинки.

ЗЫ Только что позвонил в сбрф и спросил: можно ли ограничить интернет платежи?
Ответ: нет, можем только вам заблокировать карту целиком. блокировать?
 :facepalm2:

Оффлайн Axxe

  • Постоялец
  • ***
  • Сообщений: 117
  • Рейтинг: 28
    • Просмотр профиля
  • Откуда: 66-77-..
Нужен совет про банки.
« Ответ #1947 : 06 декабря 2016, 19:03:14 »
и ни слова про 3ds
вся фигня в том, что наличие 3ds не означает ее обязательного использования на стороне продавца  :pardon:
так же как наличие чипа не спасет вас от прокатывания дубликата магнитной полосы вашей карты на каком-нибудь платежном терминале.
это не так. можно скопировать track2 и записать его на бланк, но если он от чиповой карты, то (при правильных настройках терминала) будет ответ "используйте чип".
с банкоматом тут да, проще и логичнее, для этого надо спиздить трэк2 + подсмотреть пин, собственно это скимминг.

ЗЫ Только что позвонил в сбрф и спросил: можно ли ограничить интернет платежи?
Ответ: нет, можем только вам заблокировать карту целиком. блокировать?
 :facepalm2:
это сбер хуле  :pardon: опять же, банки, которые не умеют гибко регулировать лимиты (а кроме "на день" и "на месяц" бывает ещё "на транзакцию" например) скорее всего к карточному счёту предлагают дополнительные, средства между которыми можно легко и просто перекидывать - получаются этакие псевдолимиты (понадобилось потратить сумму - перекинул на карточный и потратил).
никогда не встанут на колени
даже если заберут их в плен
смелые и гордые тюлени

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Нужен совет про банки.
« Ответ #1948 : 06 декабря 2016, 19:10:24 »
при правильных настройках терминала
  :popcorn:

что-то мне все время попадались неправильнонастроенные



Updated: 06 December 2016, 19:11:53

скорее всего к карточному счёту предлагают дополнительные, средства между которыми можно легко и просто перекидывать - получаются этакие псевдолимиты


речь немного о другом: банковская карта VISA принципиально уязвима, выходит, что держать на ее счету денежные средства в настоящее время (без блокировки платежей через интернет) опасно.


Updated: 06 December 2016, 19:17:02

касательно 3ds повторюсь: наличие поддержки технологии со стороны банка и платежной системы не обязывает продавца ее задействовать.

Недавно платил за хостинг в штаты, наличие 3ds было проигнорировано продавцом (продавец довольствовался реквизитами карты и провел платеж).
« Последнее редактирование: 06 декабря 2016, 19:20:47 от shs »

Оффлайн Axxe

  • Постоялец
  • ***
  • Сообщений: 117
  • Рейтинг: 28
    • Просмотр профиля
  • Откуда: 66-77-..
Нужен совет про банки.
« Ответ #1949 : 06 декабря 2016, 19:20:14 »
ок, подобрали карту, сроки, цвв - виза лажанулась (хотя слишком сложно - можно было и так подсмотреть), пошла в банк-эмитент за холдом... дальше 3дс, смс и фрод-контроль банка.

про кучу счетов - глянул втб, а там вообще лохматка - текущих 3, мастер-счета в 3 валютах, накопительные 3, брокерских 5 (+фунты и франки) и кредитных 3 (ипотека, потреб, кредитная линия). и лимиты отдельно, не только про карты, и про счета тоже :o

никогда не встанут на колени
даже если заберут их в плен
смелые и гордые тюлени