Тройка карта взлом: Проезд в тюрьму. Почему нельзя взламывать «Тройку» по инструкции в Интернете

: Технологии и медиа :: РБК

Согласно материалам обвинения, хакеры осуществили доступ к локальной сети ЦППК с помощью заранее созданной и внедренной вредоносной программы. Она предназначалась для несанкционированного копирования информации ЦППК, нейтрализации средства защиты данных, находящихся в памяти плат турникетов на станции «Москва-3». Так обвиняемые получили доступ к охраняемой законом информации, в том числе ключам шифрования, и произвели ее копирование, сообщил государственный обвинитель в ходе заседания. Для несанкционированного доступа использовался бэкдор (программа, с помощью которой злоумышленник может получить скрытый доступ к устройству), который якобы был заранее загружен на плату турникета.

В дальнейшем, утверждает обвинение, используя полученные данные, обвиняемые самостоятельно пополняли проездные билеты (в ходе следствия было изъято более 200 бесконтактных смарт-карт), которые затем продавали, а также использовали сами. В частности, значительная часть билетов была сделана для проезда по Горьковскому и Ярославскому направлениям, где живут двое из обвиняемых.

Читайте на РБК Pro

Фото: Артем Геодакян / ТАСС

«Кроме того, доказательством наличия у обвиняемых прямого умысла на совершение указанных преступлений является информация по проведению оперативно-разыскного мероприятия по прослушиванию телефонных переговоров, где зафиксированы неоднократные факты обсуждения абонента Казьмина с абонентами Путиным и Андрюшиным и неустановленными следствием лицами технических особенностей создания вредоносных программ, получения несанкционированного доступа к охраняемой законом информации, фактов реализации бесконтактных карт и распределения полученных преступным путем денежных средств», — заявил государственный обвинитель.

При этом один из адвокатов подсудимых указал, что в материалах уголовного дела отсутствует судебное решение о прослушивании телефонных переговоров.

Много не заработать

Эксперты отмечают, что мошенничество с транспортными картами — редкость, так как много на нем не заработать. «Принцип работы транспортных карт отличается от банковских, плюс к тому на них не хранятся значительные денежные средства. Пытаться похищать деньги с «Тройки» или других подобных карт технически сложно и дорого, и все это приводит к тому, что злоумышленникам выгоднее работать с банковскими картами. Что касается подделок числа поездок и абонементов, то их защита — это прерогатива и ответственность производителей карт. Обычно в них как минимум используется шифрование — так что, учитывая затраты на взлом защиты и производство, это тоже не самый выгодный криминальный бизнес», — говорит ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов.

Согласно данным на сайте «Тройки», к настоящему времени карту приобрели 12,8 млн пассажиров.

Представитель НИИ молекулярной электроники Алексей Дианов говорит, что стандартный способ программно-аппаратной защиты информации, применяемый в транспортных приложениях, — использование уникального ключа, то есть генерируемой случайной последовательности чисел. «Ключ, определяющий права доступа к информации на чипе, хранится у оператора сервиса и применяется в оборудовании для авторизации доступа. Для изменения информации на чипе, например для увеличения количества поездок, необходимо каким-либо способом получить этот ключ — непосредственно от оператора или из самой системы», — говорит Дианов. Он отмечает, что в картах «Тройка» используется чип Mifare. «Старые алгоритмы шифрования, которые до сих пор применяются иностранным производителем, были скомпрометированы еще в 2008 году», — сообщил Дианов. Тогда исследовательской группой голландского университета Radboud были опубликованы три статьи, касающиеся взлома карт Mifare Classic.

«Манипуляции с транспортными картами не слишком доходны: средств на них хранится немного, злоумышленников выявляют быстро. Кроме того, шифрование данных на транспортных картах и применение защищенных каналов передачи данных все-таки затрудняют для мошенников доступ. В общем, мошеннические операции с картами делятся на два типа: атака на клиентскую часть, то есть саму транспортную карту, или на серверную часть предприятия», — говорит аналитик центра мониторинга угроз информационной безопасности Solar JSOC Алексей Павлов.

Заместитель мэра Москвы по вопросам транспорта и развития дорожно-транспортной инфраструктуры города Максим Ликсутов ранее сообщал РБК, что в конце 2018-го — начале 2019 года появится персонализированная карта «Тройка», когда будет обновлена IT-инфраструктура. «Мы очень хотим это сделать. Но у нас есть, к сожалению, проблема, что наша IT-платформа для всей билетной инфраструктуры очень старая. Мы тестировали неоднократно возможности дополнительных обращений в эту систему запросов, связанных с персонализацией. И пока понимаем, что нам надо сначала обновить и подготовить билетную IT-инфраструктуру», — пояснял Ликсутов.

Автор

Мария Коломыченко

Суд запретил статью на «Хабрахабре» об уязвимости карты «Тройка»

Суд в Тюменской области квалифицировал её как «информацию о возможности подделки билетов на проезд», которая запрещена российским законодательством.

Статья пользователя Хабрахабра Игоря Шевцова «Мосметро взломано», который нашёл уязвимости в системе «Тройка», используемой для оплаты в московском общественном транспорте, решением Ишимского городского суда Тюменской области попала в разряд запрещённой российским законодательством информации. 

В мае прошлого года разработчик Игорь Шевцов в течение 15 дней исследовал защищённость от подделки баланса системы электронного кошелька «Тройка». Взлом ему удалось осуществить без использования специальных технических средств, ограничившись только компьютером и недорогим Android-смартфоном и NFC-чипом. Шевцов подробно разобрал все возможные подходы к системе, включая турникеты в метро, валидаторы в наземном транспорте и метро, а также автоматы продажи билетов. Наиболее простым способом взлома оказался реверс-инжиниринг Android-приложения «Мой проездной», используемого для пополнения «Тройки». Шевцову удалось получить исходный код программы, а потом изменить его таким образом, чтобы пополнение счёта осуществлялось без реальной оплаты.

В результате работы Шевцов создал приложение TroikaDumper, позволяющее эксплуатировать уязвимости системы электронного кошелька. По словам Шевцова, для исправления найденных уязвимостей «необходимо усовершенствование формата хранения данных в памяти карты и обновление программного обеспечения всех систем, работающих с картой». Разработчик заявил, что взлом производился «исключительно в ознакомительных целях», так как подделка проездных билетов является уголовным преступлением.

В пресс-службе метрополитена сообщили TJ, что связались с автором исследования и устранили уязвимость, а ответственность за неё разделили с банком ВТБ, совместно с которым проводился проект.

А потом началось странное.

Как говорится в постановлении Ишимского городского суда Тюменской области,

«Ишимский межрайонный прокурор обратился в суд в интересах Российской Федерации и неопределенного круга лиц с заявлением о признании информации, размещенной в сети «Интернет», информацией, распространение которой в Российской Федерации запрещено. Свои требования мотивировал тем, что прокуратурой, в рамках мероприятий по осуществлению надзора за исполнением законодательства об информации, информационных технологиях и их защите, путем мониторинга размещенной для свободного доступа неограниченного круга лиц на страницах сайтов в информационно-телекоммуникационной сети «Интернет» информации, с персонального компьютера с возможностью выхода в сеть «Интернет», выявлен факт размещения в информационно-телекоммуникационной сети «Интернет» для свободного доступа неограниченного круга лиц на страницах с URL – адресами <данные изъяты> информации о возможности подделки билетов на проезд».

.

Суд посчитал размещение «информации о возможности подделки билетов на проезд», запрещённой, поскольку «билет – это официальный документ, удостоверяющий факты, влекущие юридические последствия в виде предоставления или лишения прав, возложения или освобождения от обязанностей, изменения объема прав и обязанностей. В соответствии со статьей 327 Уголовного кодекса Российской Федерации предусмотрена уголовная ответственность за подделку, изготовление или сбыт поддельных документов, государственных наград, штампов, печатей, бланков… Таким образом, предоставление доступа к информации, содержащей предложение о возможности подделки билетов на проезд, то есть по совершению деяний, за совершение которых законодателем предусмотрена уголовная ответственность, с использованием информационно-телекоммуникационных сетей, в том числе сети «Интернет», фактически является распространением запрещенной информации».

В данный момент доступ к публикация Игоря Шевцова на Хабрахабре закрыт и деактивирован его профиль. Также невозможно прочитать на Facebook обращение главного редактора Хабрахабра Александра Козлова в Департамент информационных технологий Москвы.

Стоит заметить, что Ишимский городской суд — один из рекордсменов по вынесению решений, касающихся запрета той или иной информации в интернете. Если пролистать журнал судебного делопроизводства, то складывается впечатление, что ответственный за интернет представитель прокуратуры, а также Роскомнадзор по Тюменской области, ХМАО — Югре и ЯНАО из зала суда практически не выходят, поскольку почти каждый день судом выносится сразу несколько решений об ограничении «запрещенной информации» в интернете по заявлениям этих ведомств. Ну и прискорбен столь формалистский подход как работников прокуратуры, так и судей к проблеме «подделки проездных». Специалист просто рассказал об уязвимостях, а не пропагандировал методы взлома электронных проездных документов. С таким же успехом можно запрещать анатомию, поскольку она теоретически рассказывает потенциальным убийцам об уязвимостях человеческого тела.

P.S. Интересно, ответчика оповестили о том, что ему необходимо было явиться на суд в славный сибирский город Ишим?

Читайте также:

За год в России произошло более 100 тысяч фактов нарушения прав и свобод в Рунете
?
Тролли выиграли суд, ни разу туда не явившись
?
Копирайтный тролль добился в суде запрета на публикацию изображений скульптур в Омске
?
Роскомнадзор вынудил заблокировать статью о погибшей 60 лет назад певице
?
В Астрахани прокуратура штрафует сайты фирм на букву «А» за форму обратной связи

.

Ишимский городской суд запретил статью на «Хабрахабре» о взломе карты «Тройка»

Ишимский
городской суд Тюменской области потребовал удалить статью об уязвимости в системе проездных
карт «Тройка», размещённую на сайте «Хабрахабр». Об этом пишет «Роскомсвобода»
со ссылкой на постановление суда.

9962

просмотров

Суд посчитал, что статья пользователя сайта «Хабрахабра» Игоря Шевцова «Мосметро взломано» распространяет
информацию о «возможности подделки билетов
на проезд». Как говорится в материалах дела, «билет,
являющийся одним из оснований для осуществления проезда, является документом,
свидетельствующим о заключении официального договора между пассажиром и компанией,
осуществляющей перевозку». 

Таким образом, следует из постановления, билет — это официальный документ, подделка которого уголовно наказуема. Статья Шевцова о взломе проездной карты приравнивается к распространению информации о способах совершения уголовного преступления.

В мае 2016 года на «Хабрахабре»
была опубликована статья, в которой разработчик исследовал защищённость системы электронного кошелька «Тройка». Он смог взломать её при помощи
компьютера, смартфона на Android и NFC-чипа. В статье Шевцов детально объяснил подходы к
системе и рассказал о самом простом способе взлома. 

Разработчик создал приложение TroikaDumper, с помощью которого можно пользоваться уязвимостями системы карты «Тройка». Шевцов указал на способы решения проблем безопасности электронного кошелька и заявил, что взлом производился в «исключительно в ознакомительных целях», потому что подделка проездных документов уголовно наказуема. После
публикации статьи пресс-служба метрополитена заявила, что устранила уязвимость.

Сейчас
публикация «Мосметро взломано» недоступна на сайте «Хабрахабр», а профиль
автора деактивирован. Издатель «Тематических медиа» и основатель «Хабрахабра» Денис Крючков рассказал vc.ru, что компания не будет обжаловать решение суда. «Вопрос стоит адресовать автору публикации. Мы в этой истории являемся площадкой, которая предоставляет пользователям возможность размещать контент и не несем ответственность за его содержание», — добавил он.

В
марте 2017 года Ишимский
городской суд потребовал от сервиса для предпринимателей «Кнопка» удалить статью в блоге, описывающую легальные способы вывода денег
из ООО.

Взлом карты Тройка | VLMI Интернет-безопасность, обмен приватной информацией

Взлом карты «Тройка». Катаемся бесплатно

Она устроена довольно просто. Её начинкой является чип Mifare Plus, именно его уязвимость эксплуатирует данная программа. Также карта хранит все данные в себе.

Поняв это, мы можем предположить то, что эту карту можно вскрыть и пополнить себе баланс. К сожалению, если пополнить себе баланс, то это заметят и карту заблокируют. По этому лучший вариант, это сделать дамп памяти карты и пользоваться им.

Ближе к делу:

Так вот, еще в 2016 году мы с ребятами начали разбираться с этой картой. И создали кое-что интересное.
Приложение называется Troika Dumper, *Войдите на форум для просмотра ссылок.*.
За основу основ для программы взяли мобильное приложение «Мой Проездной», оно было разобрано и переработано в Troika Dumper.

Смысл работы программы:

Troika dumper позволяет читать, сохранять и восстанавливать записанное состояние памяти карты Тройка. Для использования необходим телефон с версией Android ≥ 4.4 и NFC чипом, поддерживающим карты Mifare.

Mifare:

Mifare — считается наиболее распространённой торговой маркой безконтактных карт, не удивительно, что именно на основе этой технологии сделали карту Тройка.

Как сделали:

Раскрыв приложение «Мой Проездной» разработчиками Troika Dumper были внесены изменения в программу, мы удалили проверку ssl сертификата, который использовался для соединения с сервером, что позволило совершить перехват трафика и полнее понять работу карты. Оказалось, что все данные хранятся в карте: баланс, последнее время прохода и прочие данные. Выглядит это примерно так:

Наша программа сохраняет все эти данные а файл, а после этот файл можно использовать для записи на карту.

Как пользоваться программой:

Всё банально просто, вам надо включить приложение, поднести карту, после этого на экране отобразится подобное:

Здесь мы видим номер карты, зашифрованные данные сектора карты, а ниже расшифрованые данные.
Не обращайте внимание на дату, и сейчас всё работает. Никто ничего не стал исправлять, хотя некоторые люди знают об этом.

В качестве дополнения к теме, приложу актуальную ссылку на свежую версию проги, не все знают что есть 2я версия, вот она *Войдите на форум для просмотра ссылок.*

*Войдите на форум для просмотра ссылок.*

Пользователь «Хабрахабра» нашёл уязвимость карты «Тройка» для бесплатного проезда на транспорте

Разработчик Игорь Шевцов нашёл уязвимости в системе Тройка, используемой для оплаты в московском общественном транспорте, получив возможность бесплатно пополнять её баланс. Об этом он рассказал на «Хабрахабре». Обновлено: добавлен комментарий представителей метрополитена.

47 148

просмотров

По словам Шевцова, на исследование защищённости системы электронного кошелька Тройка «от подделки баланса», у него ушло пятнадцать дней. Взлом удалось осуществить без использования специальных технических средств, ограничившись только компьютером и недорогим Android-смартфоном с NFC-чипом.

Шевцов подробно разобрал все возможные подходы к системе, включая турникеты в метро, валидаторы в наземном транспорте и метро, а также автоматы продажи билетов.

Наиболее простым способом взлома оказался реверс-инжиниринг Android-приложения «Мой проездной», используемого для пополнения Тройки. Шевцову удалось получить исходный код программы, а потом изменить его таким образом, чтобы пополнение счёта осуществлялось без реальной оплаты.

Выбор данной цели обусловлен ещё и тем, что для исследования не требовалось иметь доступ к объектам общественного транспорта, и все операции по поиску уязвимостей можно было произвести, не выходя из дома.

В результате работы Шевцов создал приложение TroikaDumper, позволяющее эксплуатировать уязвимости системы электронного кошелька.

Больше всего времени заняло изучение структуры данных в памяти карты. Это оказалось возможным из-за того, что данные хранятся в незашифрованном виде.

В случае, если бы данные в памяти карты были зашифрованы, вероятнее всего, потребовалось бы физическое проникновение в системы работающие с картой, что делает атаку существенно сложнее.

По словам Шевцова, для исправления найденных уязвимостей «необходимо усовершенствование формата хранения данных в памяти карты и обновление программного обеспечения всех систем, работающих с картой».

Разработчик заявил, что взлом производился «исключительно в ознакомительных целях», так как подделка проездных билетов является уголовным преступлением.

Главный редактор «Хабрахабра» Александр Козлов обратился за комментарием в Департамент информационных технологий Москвы, где ему ответили, что Тройка разрабатывается без участия ДИТ — силами Департамента транспорта и развития дорожно-транспортной инфраструктуры. Козлов пообещал донести информацию об уязвимости до Дептранса, однако, как отреагировало ведомство, остаётся неизвестным.

Руководитель пресс-службы Департамента транспорта и развития дорожно-транспортной инфраструктуры Москвы Алёна Ерёмина в телефонном разговоре с TJ сообщила, что ей ещё ничего неизвестно об уязвимости.

В пресс-службе метрополитена сообщили TJ, что связались с автором исследования и устранили уязвимость, а ответственность за неё разделили с банком ВТБ, совместно с которым проводился проект.

Мы контактируем с автором исследования по данному вопросу, открыты для дальнейшего взаимодействия и совместной работе по совершенствованию карты «Тройка» и билетной системы в целом.

Мы в свою очередь, постоянно проверяя уязвимость и обнаружив эту проблему ранее, оперативно её устранили совместно с коллегами из ВТБ. Приложение «Мой проездной» — совместный пилотный проект с банком ВТБ, предназначенный для самостоятельного пополнения транспортной карты. По факту успешного завершения пилота данный функционал будет добавлен в перечень официальных точек пополнения.

пресс-служба ГУП «Московский метрополитен»

Спасибо за наводку

Zoibana

Карта Тройка личный кабинет: регистрация и вход

Если вы пользуетесь картой Тройка, личный кабинет не потребуется. Для данного продукта создана специальная система, которая позволяет обойтись без ЛК. Как это все работает – изучим далее.

Как войти в личный кабинет?

Иногда в интернете можно найти недостоверную информацию относительно продукта. Говорим сразу – личного кабинета для данной карты не существует. Можете не тратить время на его поиски, найти пользователи смогут исключительно официальный сайт.

Почему нет ЛК?

1. Возможно, создатели сразу отказались от подобного варианта, так как он был неудобен или нереализуем на практике.
2. Вместо личного кабинета создана альтернативная система. Конечно, она менее комфортна, но ей удается полноценно пользоваться.
3. Отсутствие ЛК существенно повышает безопасность карты. Никто не сможет осуществить ее взлом, ведь нет единого центра, откуда происходит управление.
4. Учитывая особенности использования, большинству владельцев кабинет и вовсе не нужен.

Как зарегистрировать карту Тройка в личном кабинете

Регистрация карты Тройка в личном кабинете не требуется по следующим причинам:

• ЛК не существует вообще.
• Это неименной продукт, он не привязывается к конкретному владельцу.
• Достаточно получить карточку, пополнить и записать билет, затем начинать пользоваться.

Плюсы и минусы подобной схемы

Изначально изучим преимущества:

1. Пополнить карту может любой человек. Если закончились деньги, то удается попросить о помощи родственников или друзей.
2. Не надо запоминать данные учетной записи.
3. Взломать конкретную карточку становится крайне сложно. Нет сайта, на котором можно получить доступ к счету и управлять им.

Но кроме достоинств есть и недостатки. В случае потери владелец неспособен восстановить Тройку или вернуть с нее деньги. Нашедший может свободно распоряжаться средствами и приобретенными поездками.

Еще один минус – нет возможности проверить баланс через ЛК. Данный факт усложняет последующее использование продукта.

На официальном сайте обещают со временем увеличить функциональность. Но только данный процесс происходит очень медленно. Видимо, текущая ситуация вполне устраивает и создателей продукта, и пассажиров, они не слишком спешат с разработкой новых возможностей.

Как пополнить?

Если пользуетесь картой Тройка, в личный кабинет вход недоступен. Не факт, что он появится в ближайшие годы. Точной информации относительно разработки ЛК нет. Хоть создатели обещали доработать систему к 2021, не факт, что они уложатся в обозначенные сроки.

Можно осуществить пополнение карточки на сайте. На сегодня существует ряд способов:

• С карты банка.
• При помощи электронных денег.
• С баланса мобильного.

Как пополнить карточку на сайте? Нужно:

Если у Вас остались вопросы или есть жалобы — сообщите нам

1. Войти на сайт https://transport.mos.ru/mostrans/oplata_proezda/.
2. Отрыть пункт с Тройкой.
3. Выбрать «Удаленное пополнение».
4. Появится форма.
5. Укажите номер карты.
6. Выберете один из доступных способов.
7. Введите данные карты, счета или номер мобильного.
8. Укажите сумму.
9. Подтвердите совершение операции.
10. Деньги будут пересланы на Тройку.

В СМС

Можно осуществить пополнение через СМС со счета мобильного. Необходимо:

• В качестве получателя указать 3210.
• Ввести код troika номер сумма.
• Подтвердить выполнение операции.
• Происходит пополнение.

Автоматический платеж

Можно осуществить пополнение через автоматическую систему. Предлагается заранее настроить ее, тогда с карты будет списываться определенная сумма по выбранной схеме.

Преимущества подобного решения:

1. Простота выполнения.
2. Не нужно самостоятельно осуществлять процедуру.
3. Достаточно один раз настроить систему, затем пополнение будет происходить автоматически.
4. Удается сэкономить время и быть уверенным в наличии средств на карте.

Подключение автоматического платежа происходит в отдельном кабинете. Он предоставляется исключительно для управления данной функцией, не является полноценным ЛК.

Агенты

У многих партнеров есть специальные терминалы и сайты. На них можно осуществить пополнение Тройки без посещения официального ресурса. Такое решение имеет ряд преимуществ:

• Не нужно подтверждать операцию, вы сразу авторизуетесь на сайте агента.
• Можно облегчить выполнение.
• Сэкономить время.

У системы есть множество партнеров. Например, Яндекс Деньги активно сотрудничают с ней. В кошельке ЯД удается осуществить последующее пополнение без дополнительных проблем.

Запись

Нельзя просто пополнить карточку и пользоваться ей в дальнейшем. Присутствует специальная система для записи билета. Нужно выполнить ряд простых действий:

1. На станции метро найти терминал желтого цвета.
2. В меню выбрать пункт удаленного внесения средств.
3. Приложить карточку.
4. Дождаться ответа об успешном выполнении.

Теперь можно пользоваться продуктом. Данная операция является обязательной для выполнения, иначе платеж не будет записан и Тройка окажется бесполезна в дальнейшем.

Как пополнить карту тройка бесплатно — Эзотерика — Пророчества

Возвращаем деньги на карту «Тройка»

Для вас друзья мы сняли это видео. Наглядная демонстрация работы приложения, по возврату денег на карту…

БЕСПЛАТНЫЙ проезд на любом транспорте Москвы [ZTH#6]

Привет, в этом ролике расскажу вам как бесплатно ездить по всей Москве. Как взломать карту тройка и ездить…

Проверка и пополнение баланса карты ТРОЙКА с помощью мобильного приложения для смартфона Android

С помощью мобильного приложения «Тройка. Пополнение и проверка», скачать его можно бесплатно с Play Market, можно…

Как пополнить карту тройка самостоятельно без кассира?

Пополняем транспортную карту тройка с помощью телефона с NFC модулем и приложением «Мой произдной» от банка…

Транспортная карта Тройка/ Как записать деньги, не выходя из дома

Тройка как записать, деньги не выходя из дома Как можно положить деньги на карту «Тройка» не выходя из дома,…

КАК БЕСПЛАТНО ПРОЙТИ В МЕТРО? ПРОВЕРКА ЛАЙФХАКА

Живёшь без денег? Любишь халяву и всё бесплатное? Тогда смотри это видео! В нём ВиДрайв решил проверить лайф…

Взлом тройка карта бесплатная проездные 🔥🔥🔥

КАК БЕСПЛАТНО ПРОЙТИ В МЕТРО/100% РАБОЧИЙ ХАК/С ПОМОЩЬЮ…

Привет друзья! Сегодня я и ПУШЕР расскажем как ходить в МЕТРО БЕСПЛАТНО! 100% РАБОТАЕТ! ПОДПИСЫВАЙСЯ И СТАВЬ…

[60 FPS] ТРАНСПОРТНАЯ КАРТА ТРОЙКА: ПОКУПКА, ПОПОЛНЕНИЕ, ПОЛЬЗОВАНИЕ

ДОРОГИЕ ДРУЗЬЯ, МЫ СНОВА ГУЛЯЕМ ПО МОСКВЕ! МЫ РАССКАЖЕМ И ПОКАЖЕМ КАК ДЕШЕВО ПЕРЕДВИГАТЬСЯ ПО МОСКВЕ НА…

Как пополнить баланс карты Тройка через Сбербанк Онлайн

Жителям Москвы и Московской области доступна для использования удобная карта оплаты проезда под названием…

Карта Тройка. Пополнение баланса, запись.

В этом видео я постарался, максимально быстро рассказать о мобильном приложении «Тройка. Пополнение, провер…

Как пополнить карту тройка из дома?

Как пополнить транспортную карту «Тройка» из дома?Так же это можно сделать, например, по дороге к метро, чтоб…

Бесплатный проезд на метро

Бесплатный проезд на метро.

Пополняем бесплатно

По поводу информации о том как бесплатно ездить на общественном транспорте Москвы или Санкт-Петербурга…

ВЗЛОМ КАРТЫ ТРОЙКИ 2020 бесплатный проезд это рабочая программа

Ссылка https://drive.google.com/file/d/15GtjSWGk4o4qNypSSlndAlGpMPcjP_AV/view?usp=drivesdk.

КАК ХАКНУТЬ МЕТРО. Как пройти в метро через IPhone?

INSTAGRAM — http://instagram.com/misha_des ВК — http://vk.com/misha_des FB — https://www.facebook.com/mikhail.shaposhnikov Camera — Olympus O-MD …

Приложение «Тройка. Проверка и пополнение баланса»

Приложение легко и просто позволяет пополнять карту «Тройка», не выходя из дома или прямо на остановке. Дост…

Халява! NFC оплата Google Pay = Бесплатный общественный транспорт Екатеринбурга!

Самый дешевые iPhone с NFC iPhone SE (9700р): http://ali.ski/M-mKAB iPhone 6 (11000р): http://ali.ski/O5-md Бесплатный проезд только в муницыпально.

ВЗЛОМ КАРТЫ ТРОЙКА БЕСПЛАТНЫЙ ПРОЕЗД В МЕТРО

Опубликовано: 9 июл. 2016 г. Взлом карты тройка, который позволяет бесплатно пользоваться общественным трансп…

Ездим на метро, не теряя поездок

Если кто-то думает, что поездки не снимаются из-за того, что я не прохожу, то посмотрите другое моё видео:…

Практическое руководство по взлому кредитной карты Google (Белая шляпа)

Слово о взломе кредитной карты

Если вы меня знаете или читали мой предыдущий пост, вы знаете, что до прихода в Toptal я работал в очень интересной компании. В этой компании наш поставщик платежей обрабатывал транзакции на сумму около 500 тысяч долларов в день. Часть моей работы заключалась в том, чтобы обеспечить соответствие нашего провайдера PCI-DSS, то есть соответствие стандарту безопасности данных индустрии платежных карт.

Можно с уверенностью сказать, что это была работа не для слабонервных.На данный момент я довольно близко знаком с кредитными картами (CC), взломом кредитных карт и веб-безопасностью в целом. В конце концов, наша работа заключалась в защите данных наших пользователей, чтобы предотвратить их взлом, кражу или неправомерное использование.

Вы можете представить мое удивление, когда я увидел статью Беннета Хэзелтона 2007 года о Slashdot: Почему номера CC все еще так легко найти ?. Короче говоря, Хэзелтон смог найти номера кредитных карт через Google, сначала путем поиска первых восьми цифр карты в формате «nnnn nnnn», а затем с помощью некоторых сложных запросов, основанных на диапазонах номеров.Например, он мог бы использовать «4060000000000000..4060999999999999», чтобы найти все 16-значные номера основных счетов (PAN) из CHASE (все карты которых начинаются с 4060). Между прочим: вот полный список идентификационных номеров эмитента.

В то время я не особо задумывался об этом, поскольку Google сразу же начал фильтровать типы запросов, которые использовал Беннетт. Когда вы пытались найти в Google такой диапазон, Google выдавал страницу, на которой говорилось что-то вроде «Ты плохой человек».

Около шести месяцев назад, когда я вспоминал со старым другом, я снова вспомнил об этом взломе номера кредитной карты. Вскоре я обнаружил нечто тревожное. Не очень настораживающе, но определенно настораживающе — поэтому я уведомил Google и стал ждать. Через месяц без ответа я снова уведомил их, но безрезультатно.

С небольшими изменениями старого трюка Хазелтона я смог узнать номера кредитных карт Google, номера социального страхования и любую другую интересующую конфиденциальную информацию.

Я уведомил Google и стал ждать. Через месяц без ответа я снова уведомил их, но безрезультатно. Немного изменив старый трюк Хазелтона, я смог узнать номера кредитных карт Google, номера социального страхования и любую другую конфиденциальную информацию.

Беннет

Вчера мои друзья (buhera.blog.hu и _2501) обратили мое внимание на более свежий пост на Slashdot: «Номера кредитных карт по-прежнему могут использоваться в Google».

Автор статьи, снова Беннетт Хэзелтон, который написал оригинальную статью еще в 2007 году, утверждает, что номера кредитных карт все еще можно искать в Google.Вы не можете использовать хитрость запроса диапазона номеров, но это все же можно сделать. Вместо использования простых диапазонов к запросу нужно применить определенное форматирование. Что-то вроде: «1234 5678» (обратите внимание на пробел посередине). По этому запросу встречается много совпадений, но очень немногие из них представляют реальный интерес. Среди участников конкурса есть номера телефонов, почтовые индексы и т. Д. Не особо тревожно. Но вот и хитрость взлома кредитной карты.

Методология

Мне было любопытно, можно ли получить номера кредитных карт онлайн, как это было в 2007 году.Как любой хороший инженер, я обычно подхожу к делу, используя правильно составленный и продуманный план, который должен быть безупречно выполнен с максимальной точностью. Если вы пробовали этот метод, вы могли знать, что он может действительно потерпеть неудачу — и в этом случае ваше тщательное планирование и усилия будут напрасны.

В ИТ мы склонны чрезмерно интеллектуализировать, даже если это не совсем оправдано. Я видел, как мои друзья и коллеги полностью взламывали приложения, используя, казалось бы, случайный ввод. Их успех был ошеломляющим, а усилия, которые они приложили, были близки к нулю.Именно тогда я узнал, что иногда нужно просто постучать, чтобы открыть дверь.

Взлом кредитной карты

Предыдущий абзац был искусно замаскированной попыткой заставить меня выглядеть менее идиотом, когда я хвастаюсь своими «элитными хакерскими навыками». Ой.

Сначала я попробовал несколько подходов, основанных на запросах диапазона. Затем я рассмотрел сложные запросы и почти все, что вы могли придумать через час или около того. Ни один из них не дал существенных результатов.

И тут мне пришла в голову безумная идея.

Что делать, если было несоответствие между механизмом фильтрации и реальным сервером? Что, если сообщение, которое я получил от Google («Ты плохой человек»), пришло не от самого сервера, а от специального механизма фильтрации, который Google внедрил для цензуры запросов, подобных моему?

Это имело бы смысл с архитектурной точки зрения. И подобные ошибки довольно распространены — мы постоянно видим их в ITSEC, особенно в решениях IDS / IPS, но также и в обычном программном обеспечении.Существует процедура фильтрации, которая обрабатывает данные и передает их серверной части только в том случае, если она считает, что данные приемлемы / не являются вредоносными. Однако серверная часть и сервер фильтрации почти никогда не анализируют входные данные одинаково. Таким образом, кажущийся действительным входной сигнал может пройти через фильтр и нанести ущерб серверной части, фактически минуя фильтр.

Обычно вы можете вызвать этот тип поведения, предоставив свой ввод в различных кодировках. Например: вместо использования десятичных чисел (0-9) как насчет их преобразования в шестнадцатеричные, восьмеричные или двоичные? Ну, угадайте, что…

Найдите это, и Google скажет вам, что вы плохой человек: «4060000000000000..4060999999999999 ”

Найдите это, и Google будет рад помочь: «0xe6c8c69c9c000..0xe6d753e6ecfff».

Единственное, что вам нужно сделать, это преобразовать номера кредитных карт из десятичного в шестнадцатеричный. Это оно.

Результаты включают…

• Огромные файлы CSV, заполненные потенциально конфиденциальной информацией.

• Неправильные файлы журналов электронной коммерции.

• Конфиденциальная информация, передаваемая на хакерские сайты (и даже в Facebook).

Это действительно страшно.

Я знаю, что эта ошибка не повлечет за собой каких-либо исследований в области безопасности, но вот она. Google сделал это бу-бу и даже не ответил мне. Ну бывает. Однако я не завидую сотрудникам службы безопасности в большой G. У них должно быть много вещей, на которые нужно обратить внимание. Я публикую здесь об этом взломе кредитной карты, потому что:

1. Относительно слабое воздействие.
2. Любой, кто заинтересован и заинтересован, уже понял это.
3. По словам Хэзелтона, если крупные игроки не берут на себя ответственность и не действуют в соответствии с этими уязвимостями, то «правильнее всего будет пролить свет на проблему и настоять на том, чтобы они исправили ее как можно скорее».

Этот трюк можно использовать для поиска телефонных номеров, SSN, TFN и т. Д. И, как писал Беннет, эти номера намного сложнее изменить, чем данные кредитной карты, для которой вы можете просто позвонить в свой банк и аннулировать карту.

Примеры запросов

ВНИМАНИЕ: НЕ Гуглю номер вашей кредитной карты полностью!

Найдите любой CC PAN, начиная с 4060:
4060000000000000..4060999999999999? 0xe6c8c69c9c000..0xe6d753e6ecfff

Некоторые венгерские телефонные номера у провайдера «Теленор»? Без проблем:
36200000000..36209999999? 0x86db02a00..0x86e48c07f

Ищите SSN. К счастью, они не дают много значимых результатов:
100000000..999999999? 0x5f5e100..0x3b9ac9ff

Их гораздо больше.

Если вы обнаружите что-то очень тревожное или вам интересно узнать о взломе кредитной карты, оставьте это в комментариях или свяжитесь со мной по электронной почте gergely @ toptal.com или в Twitter на @synsecblog. В таких случаях вызов полиции обычно бесполезен, но, возможно, стоит попробовать. Данный продавец или провайдер карты обычно более заинтересован в решении этой проблемы.

Куда идти дальше

Что ж, Google, очевидно, должен это исправить, возможно, с помощью таких крупных игроков, как Visa и Mastercard. Фактически, Haselton предоставляет ряд интересных предложений в двух статьях, ссылки на которые приведены выше.

Однако то, что вам нужно сделать (и почему я написал этот пост), — это распространить информацию.Мошенничество с кредитными картами — это большая отрасль, и простая осведомленность может спасти вас от того, чтобы стать жертвой. Кроме того, если у вас есть сайт электронной торговли или вы занимаетесь обработкой данных по кредитным картам, убедитесь, что вы в безопасности. PCI-DSS — хороший ориентир, но он далек от совершенства. Кроме того, всегда полезно ввести свой сайт в Google с помощью расширенного запроса «site: mysite.com» для поиска конфиденциальных чисел. Вероятность того, что вы что-нибудь найдете, очень и очень мала, но если вы это сделаете, вы должны действовать немедленно.

Также небольшой дружеский совет: никогда не следует, , никому предоставлять информацию о своей кредитной карте.Я бы посоветовал по возможности использовать PayPal или аналогичный сервис. Вы можете проверить эти ссылки для получения дополнительной информации:

И несколько общих советов: не загружайте то, о чем вы не просили, не открывайте спам-сообщения и помните, что ваш банк никогда не будет запрашивать ваш пароль.

Между прочим: если вы думаете, что нет никого достаточно глупого, чтобы поддаться этим методам взлома кредитных карт или раздать информацию о своей кредитной карте в Интернете, взгляните на @NeedADebitCard.

Берегитесь людей!

Взлом бесконтактных платежных карт | Computerworld

Бесконтактные платежные карты, в которых используется встроенная технология радиочастотной идентификации для выполнения кредитных и дебетовых транзакций без проводов, могут предложить большую безопасность, чем традиционные карты с магнитной полосой, но они не защищены от атак.

Нельзя сказать, что сильные контрмеры недоступны для карт, выпущенных основными брендами кредитных карт.Ключевые элементы безопасности, используемые сегодня, включают методы проверки карты и считывателя, а также использование тройного DES-шифрования данных сообщения и выдачу значения динамической проверки карты (DCVV), которое надежно проверяет каждую транзакцию с помощью уникального кода.

Подумайте, что происходит, когда запрос на транзакцию отправляется для учетной записи MasterCard с использованием технологии бесконтактных карт под брендом PayPass ассоциаций карт. Перед инициированием беспроводной транзакции бесконтактная карта опрашивает терминал, чтобы убедиться, что это действительное устройство.Затем сеть MasterCard Internationals идентифицирует и проверяет карту на основе информации, хранящейся в чипе карты, а также проверяет считыватель, участвующий в транзакции.

Сеть MasterCard также ведет подсчет общего количества транзакций, обработанных бесконтактной картой клиента на сегодняшний день, и может сравнивать это с аналогичными данными, хранящимися на чипе карты.

«Если кто-то украдет ваш номер и нанесет его на магнитную полосу [карту], банк сразу поймет, что это несоответствие», — говорит Арт Крэнсли, исполнительный вице-президент и руководитель группы клиентов группы авансовых платежей в MasterCard.

Даже если мошенническая карта может обмануть сеть, заставив ее думать, что это действительная карта, запрос транзакции не будет одобрен, если бесконтактная карта не вернет правильный код DCVV. Это число генерируется на основе информации о транзакции, счетчика транзакций и случайного числа и должно совпадать с числом, которое MasterCard вычисляет на своей стороне, говорит Крэнсли. Этот номер и другие данные, связанные с транзакцией, затем шифруются с использованием тройного ключа DES, уникального для карты клиента, перед ее отправкой.Никто не может ввести транзакцию и изменить ее. По его словам, никто не может украсть информацию и создать карту PayPass. По словам Крэнсли, другие бренды карт используют аналогичные технологии.

Такой подход делает просмотр информации — размещение считывающего устройства рядом с бесконтактной картой для извлечения информации и создания дубликата — очень сложным. Даже если злоумышленник может обмануть бесконтактную платежную карту, заставив ее думать, что это действительное устройство, перехватчик мало что сможет сделать с этой информацией, — говорит Кен Уоррен, бизнес-менеджер по работе с смарт-картами в Cryptography Research, компании, занимающейся лицензированием интеллектуальной собственности в Сан-Франциско. сфокусирован на информационной безопасности.

Но Джон Пескаторе, аналитик Gartner Inc., сомневается, что все существующие бесконтактные карты имеют эти меры безопасности. Если шифрование используется и используется правильно, оно может обеспечить надежную защиту. Однако некоторые ранние исследования [в прошлом году] показали, что многие [бесконтактные] карты были выпущены без включения шифрования, говорит он. И серверные системы тоже должны быть защищены. Как показал инцидент с TJX, если вы не защищаете ключи шифрования, шифрование бесполезно, говорит он.

По словам Уоррена, бесконтактные смарт-карты довольно надежны, если вы не можете извлечь секреты из чипов. Но он считает, что в конечном итоге это может сделать дифференциальный анализ мощности (DPA). Его компания разрабатывает и лицензирует технологии, которые могут использоваться в качестве средств противодействия DPA и другим типам атак.

В прошлом атака, известная как простой анализ мощности (SPA), использовалась для взлома PIN-кодов на картах банкоматов и других смарт-картах, не имеющих средств защиты.В этом случае поддельная лицевая панель банкомата или устройства чтения карт может использоваться для сбора данных с магнитной полосы карты во время транзакции. Злоумышленник пытается угадать ПИН-код, отслеживая уровни мощности, когда система получает и аутентифицирует представленный ПИН-код. Большинство бесконтактных карт имеют меры противодействия, которые делают этот подход неэффективным.

В то время как SPA пытается собрать информацию, собранную из одной транзакции, DPA более сложен и может использоваться против бесконтактных платежных карт.По словам Уоррена, всякий раз, когда чип или какое-либо устройство что-то делает, оно каким-то образом потребляет энергию. С помощью DPA вы собираете тысячи трассировок мощности, а с помощью статистических методов выделяете небольшие сигналы по тысячам транзакций. Таким образом, по его словам, злоумышленник может получить ключи шифрования, измерив схемы мощности.

Дифференциальный анализ мощности, атаки сбоев и другие атаки требуют физического доступа к бесконтактной карте или к терминалам, считывающим карты, чтобы перехватить эти сигналы питания.Поскольку DPA требует тысячи передач против одной и той же карты, чтобы сломать его, атакующему почти наверняка потребуется владеть целевой картой. Эти атаки определенно сложнее, но люди все время теряют или теряют свои карты, говорит Пескаторе.

Но такая работа привела бы к ограниченному сроку выплаты жалованья. Уоррен говорит, что в большинстве платежных систем сегодня, если вы сломали одну карту, вы лишились доступа к одной карте или счету.

У бесконтактных карт есть еще одна потенциальная ахиллесова пята: значение DCVV не случайно.Он случайный, поскольку не раскрывает структуру данных, но детерминирован, говорит Уоррен.

Если DCVV вообще предсказуемо, плохие парни выяснят, как его предсказать, и используют для мошенничества. Это определенно усложняет мошенничество, что важно, но это определенно не серебряная пуля, — говорит Пескаторе.

По словам Уоррена, подсказки относительно того, как работает алгоритм, можно получить из спецификаций. И атака DPA потенциально может использовать и эту слабость.SPA или DPA могут предоставить информацию, чтобы помочь в обратном проектировании потока программы / алгоритма. По его словам, с таким пониманием и доступом к ключам злоумышленник может генерировать действительные коды.

Но будут ли потенциальные хакеры выполнять всю эту работу? По мере того, как бесконтактные карты становятся все более популярными, Уоррен говорит, что более сложные атаки будут развиваться до такой степени, что станет возможным клонирование. В этом случае карты потребуют более высокого уровня безопасности.

Но это следующее поколение безопасности карт уже ждет в форме динамической аутентификации данных (DDA), системы запроса / ответа, основанной на инфраструктуре открытых ключей.В этой схеме каждая карта имеет пару открытого / закрытого ключей, которой она обменивается с сетью. «Когда вы входите в протокол динамических данных, вы можете генерировать действительно случайные вызовы и ответы», — говорит Уоррен. Сила этого подхода в том, что задача уникальна для каждого занятия. Карта генерирует уникальный код проверочной подписи, и терминал определяет его правильность, комбинируя этот код с открытым ключом.

Но дополнительная безопасность будет означать увеличение затрат.Пескаторе задается вопросом, пойдет ли отрасль настолько далеко, насколько это необходимо. Поскольку торговцы часто съедают большую часть стоимости мошенничества, карточные ассоциации никогда не кажутся достаточно мотивированными, чтобы обеспечить правильную безопасность. — говорит он, добавляя, что это отношение постепенно меняется.

Уоррен говорит, что текущие меры противодействия, если они будут полностью реализованы, адекватны угрозам, представленным сегодня, и он считает, что бесконтактные карты, в которых используются эти меры, намного превосходят технологию с магнитной полосой, которую они заменяют.

По его словам, необходимости в DDA пока нет. В принципе, если бы вы могли скопировать эту карту [бесконтактной оплаты] и данные, хранящиеся внутри, вы могли бы воссоздать эту карту, — говорит Уоррен. Этот тип атаки не невозможен, но его уровень сложности, и хакеры, вероятно, сосредоточатся на более легких целях — пока.

Но это может измениться, когда технология получит широкое признание. «Я не думаю, что вы увидите, что [тип мошенничества] будет происходить еще лет пять или десять», — говорит он.Большая часть мира все еще переходит с магнитной полосы на чип.

Авторские права © 2007 IDG Communications, Inc.

Взлом

нарушает предел бесконтактных действий вашей карты Visa для крупного мошенничества

Думаете, что ограничение на бесконтактные платежи в 30 фунтов защитит вас от крупных краж? Подумай еще раз.

Исследователи безопасности нашли способ обойти это ограничение для карт Visa. Их взлом, который не ограничивается U.K. cards, могут позволить оппортунистическим мошенникам опустошать счета одним нажатием, и они утверждают, что им даже не нужно красть кредитную карту. И со стороны Visa мало что делается для устранения этой новой угрозы мошенничества.

Forbes позволил исследователям — Ли-Энн Галлоуэй и Тиму Юнусову из компании Positive Technologies, занимающейся кибербезопасностью, — опробовать его на личной карте Visa. Они получили три успешных платежа на сумму 31 фунт стерлингов (38 долларов США). Со своих собственных карт они совершали бесконтактные платежи на сумму до 101 фунта стерлингов, хотя можно было украсть и другие суммы одним касанием.

Их хаки показывают, как бесконтактное мошенничество может стать намного хуже. Как правило, если банк видит несколько бесконтактных платежей по 30 фунтов стерлингов, карта перестает работать, поскольку системы обнаружения мошенничества подозревают, что она находится в руках вора. Но если можно совершать крупные транзакции одним нажатием, вероятность значительного мошенничества возрастает.

Воры карт теперь могут делать более крупные платежи, чем могли раньше. Но теперь им даже карту красть не нужно. Преступники могли, например, снять платеж с карты, когда пользователь не смотрел в свой мобильный платежный автомат (хотя злоумышленник в конечном итоге был бы пойман системами мошенничества банков, если бы использовал тот же терминал).Или, что еще более подло, можно снять считывание платежа с кредитной карты с помощью мобильного телефона, отправить данные на другой телефон и произвести оплату на этом втором устройстве, превышающую установленный предел, утверждали исследователи. Чтобы взлом сработал, все, что нужно мошенникам, — это находиться рядом со своей жертвой.

«Это означает, что если вы нашли чью-то карту или если кто-то украл вашу карту, им не нужно было бы знать ваш PIN-код, им не пришлось бы выдавать себя за вашу подпись, и они могли бы произвести платеж на гораздо более высокую сумму», — сказал Галлоуэй.

Должны быть некоторые ограничения на то, сколько хакер может украсть. Гэллоуэй сказал, что, хотя воры могут вырасти намного дороже, чем 101 фунт стерлингов, которые они протестировали, до сотен или, возможно, тысяч, системы обнаружения мошенничества в банках могут обнаружить любые чрезвычайно высокие транзакции. «Мы обнаружили, что на самом деле мы можем делать достаточно большие платежи. Таким образом, в Великобритании мы можем совершать платежи в размере 100 фунтов стерлингов без какого-либо обнаружения », — добавила она.

Они все еще тестируют, сработает ли взлом где-нибудь в мире, но Галлоуэй подтвердил, что он не ограничен одной страной.Предел, конечно, различается в зависимости от страны. Например, в США он значительно выше и составляет 100 долларов.

Исправление не планируется?

Это не умаляет вывода о том, что лимит, установленный для карт Visa, может быть нарушен. Но Visa не планирует обновлять свои системы для защиты от взлома. Гигант финансовой индустрии утверждал, что подобный взлом вряд ли произойдет в реальном мире, поскольку преступникам нужно будет держать карту в руках, а это случается нечасто.Представитель компании зашел так далеко, что заявил, что, несмотря на исследования, проблем безопасности, требующих решения, не было.

«Одним из ключевых ограничений этого типа атаки является то, что для нее требуется физически украденная карта, о которой еще не было сообщено эмитенту карты», — сообщил Forbes представитель Visa, отметив, что Visa постоянно работает над улучшением своей технологии обнаружения мошенничества. . «Точно так же транзакция должна пройти протоколы проверки и обнаружения эмитента.Это не масштабируемый подход к мошенничеству, который преступники обычно используют в реальном мире ».

Взлом бесконтактной карты Visa показывает, что ограничение в 30 фунтов стерлингов можно обойти.

Дэйв Котинский / Getty Images для Visa 2018

Галлоуэй не согласился с тем, что мошеннику нужно украсть карту. Как показали их тесты, хакеру достаточно лишь на короткое время подобраться к карте жертвы, чтобы получить платеж. Такой вид «скимминга» уже давно доказал свою возможность, даже если он полагается на то, что владельца карты поймают врасплох.

Представитель Visa также заявил, что глобальный уровень бесконтактного мошенничества Visa снизился на 33% в период с 2017 по 2018 год, а в Европе — на 40%. Но данные UK Finance показывают, что бесконтактное мошенничество привело к убыткам в размере 19,5 миллионов фунтов стерлингов в 2018 году по сравнению с 14 миллионами фунтов стерлингов в 2017 году. Однако UK Finance отметило, что это «низкий» показатель с учетом общих расходов в 69 миллиардов фунтов стерлингов за тот же год . И ни UK Finance, ни Visa не заявили, что никогда не регистрировали случая бесконтактного мошенничества, при котором карта не была бы украдена.

Как работает бесконтактный хак

Для взлома исследователи использовали специальное оборудование для перехвата и вставки сообщений в обмен данными между картой и считывателем. Например, они могут сообщить карте, что верификация — например, PIN-код — не требуется, даже если запрошенная сумма превышает 30 фунтов стерлингов. Затем они сообщили терминалу, что проверка уже была произведена другим способом.

Исследователи заявили, что Visa не сделала эти проверки обязательными, как это делали ее конкуренты.По словам Гэллоуэя, поскольку банки следуют инструкциям Visa, они могли бы делать больше для решения этой проблемы, хотя Visa заявила, что в конечном итоге ответственность за проверку транзакций несут эмитенты карт.

В отношении атаки с использованием двух мобильных телефонов Галлоуэй объяснил, что можно было использовать один смартфон, чтобы прослушать карту и эффективно клонировать ее в течение короткого периода времени. Этот первый мобильный телефон берет с карты так называемую «платежную криптограмму». По сути, это подпись, которая должна гарантировать подлинность будущих платежей.Криптограмма отправляется на второй телефон, который имитирует карту, как если бы она производила мобильный платеж. Затем хакеры могут выйти за пределы установленного лимита, применив ту же перехватывающую атаку, что и раньше.

Стивен Риджуэй, соучредитель и технический директор стартапа th5ts3cur1ty.company, специализирующегося на кибербезопасности, сказал, что противодействие таким атакам на техническом уровне может быть проблематичным. «Для этого может не быть« быстрого решения », даже если платежные системы требуют аутентификации для платежей на сумму более 30 фунтов стерлингов, если карта и считыватель подвержены атаке« человек посередине », которая обманом заставляет систему поверить в то, что эта аутентификация уже состоялась », — сказал он.

Что касается того, что заинтересованные держатели карт могут сделать, чтобы защитить себя, физическая безопасность карт жизненно важна. Для тех, кто беспокоится о том, что кто-то читает их карту через кошелек, есть чехлы, которые могут предотвратить такой «скимминг». Риджуэй сказал, что еще одним дешевым решением было использование чехлов для телефонов, поскольку они часто обеспечивают такую ​​же защиту. А мониторинг транзакций может помочь потребителям обнаруживать мошеннические транзакции раньше, чем это сделают банки.

Улучшение безопасности банков и новые правила также должны улучшить положение.Риджуэй сказал, что если бесконтактный обход лимита станет обычным явлением, очень вероятно, что платежные системы быстро научатся распознавать и блокировать их. И новые правила ЕС также могут оказаться благом. С сентября 2019 года банкам потребуется обеспечить ввод PIN-кода, если общая сумма бесконтактных платежей превысит 130 фунтов стерлингов или если в день было совершено пять бесконтактных транзакций.

Any Proximity HID Keycard можно легко взломать с помощью устройства за 10 долларов

Заявление об ограничении ответственности: мы стремимся сделать мир более безопасным, обучая читателей вопросам безопасности.Пожалуйста, никоим образом не эксплуатируйте и не злоупотребляйте нижеперечисленными методами.

Когда мы впервые запустили Kisi в 2012 году, мы познакомились с несколькими людьми на мероприятии Chaos Computer Club , самой известной хакерской организации в Европе. Находясь там, мы видели, как некоторые члены клуба использовали дубликаты карточек-ключей (доступные на eBay за 50 долларов), чтобы незаметно добавлять деньги на студенческий билет. Эта демонстрация показала, насколько легкодоступные устройства, подобные этому, могут быть использованы для подрыва установленных методов безопасности.Эти дубликаты-ключи были выпущены в 2008 году (посмотрите RFIDOT) и остались незамеченными людьми, не знакомыми с технологиями безопасности. В этой статье мы рассмотрим, почему это устройство еще не представляло серьезной угрозы или создавало массовую проблему.

С технической точки зрения копирование и дублирование карт-ключей вручную затруднено. Без программного фона маловероятно, что кто-то сможет скопировать HID-карту-ключ, что сужало риск до определенной группы людей до изобретения дубликаторов карт-ключей.

Но есть и другие причины, по которым эти белые пластиковые карты просуществовали немного дольше, чем следовало бы. Одна из главных причин заключается в том, что сегодня компании в основном используют более дорогие HID-карты-ключи, которые сложнее скопировать даже для опытных исследователей безопасности. Но снова победу одержали недорогие дубликаты карт.

На Black Hat, крупнейшей конференции по безопасности в США, исследователи представили устройство за 10 долларов, которое могло копировать ключевые карты, используемые для систем контроля доступа, менее чем за 60 секунд!

Вот данные из открытых источников и видео о том, как это работает.В статье также используются довольно резкие формулировки для описания этого опыта.

Pro Совет. Бесконтактные карты HID, популярные карты доступа, используемые офисами по всему миру, и лежащий в их основе протокол, известный как Wiegand, по своей сути устарели и больше не должны использоваться.

По мнению исследователей, это означает, что 80% всех компаний используют уязвимые технологии для защиты своих офисов.

Руководство по физической безопасности для рабочих мест

Практические советы по обеспечению безопасности ваших коллег и автоматизации вашего офиса.

Почему карты-ключи HID с магнитной полосой так легко копировать?

Проще говоря, карта-ключ — это устройство, в котором хранится пароль. При предъявлении перед считывателем карт-ключей пароль и его учетные данные передаются считывателю. Дверь разблокируется, если номер доступа правильный.

Сохранен ли ваш банковский пароль на вашей дебетовой карте? Нет, и банки разработали пароли для хранения вне вашей дебетовой карты по уважительной причине.

Почему это не относится к вашей системе контроля доступа?

Несмотря на то, что компании тратят деньги на безопасность серверов, защищенный Wi-Fi, межсетевые экраны, антивирусное программное обеспечение и шлюзы электронной почты в офисе, менеджеры часто забывают о первой линии защиты в любой офисной среде — входной двери.Уязвимости в системах с карточками-ключами и устаревших системах контроля доступа часто недооценивают или забывают, потому что люди, проходящие через физическое здание, чувствуют себя комфортно со своим окружением. И даже когда офисные здания грабят (что случается чаще, чем вы думаете), компании не решаются предавать огласке эти инциденты.

Реальность такова, что злоумышленники, независимо от их уровня технологического мастерства, обычно выбирают путь наименьшего сопротивления при обнаружении цели.А с момента изобретения вышеупомянутых дубликаторов карт-ключей стало до смешного легко использовать устаревшую технологию карт-ключей, зайти в офис и взять с собой любые компьютеры, ноутбуки, сейфы или что-нибудь ценное.

Вот почему облачный контроль доступа является такой привлекательной альтернативой для предприятий любого размера. Контроль доступа к облаку позволяет офисам работать без карточек-ключей или бейджей любого типа, повышая безопасность зданий до невиданных ранее уровней и даже повышая гибкость передвижения сотрудников.

Почему карточки-ключи все еще популярны:

• Компании полагаются на механизмы саморегулирования. Когда кто-то теряет вашу карточку-ключ или не уверен в ее использовании, вы просто отрезаете ее, как старую кредитную карту, и получаете новую (хотя, когда это произойдет, может быть уже слишком поздно).
• Картинка напечатана на карточке-ключике. Как упоминалось ранее, директор по информационным технологиям Google Бен Фрид любит карточки-ключи исключительно потому, что они обеспечивают видимость для охранников, позволяя сопоставить изображение на вашем удостоверении личности с вашим лицом.Однако охранники все равно побеждают цель карточек-ключей!
• Как отметил @TyMcNeely, HID-ключ-карта, такая как SEOS или Indala, не может быть взломана с помощью этого устройства, но может быть уязвима другими способами.

Если вы работаете в офисе с использованием карточек-ключей, дважды подумайте, как вы ими управляете и кому вы их отдаете. Чтобы обезопасить свой офис, прочитайте, как выбрать безопасную систему контроля доступа.

[обновление 1] Наш новый пост о клонировании или копировании ID-прокси-карт

[обновление 2] Проверьте самый читаемый пост о взломе HID

[обновление 3] В этом контексте это может хорошо понимать , как работают коды объектов, как программируются коды объектов, и о калькуляторе формата скрытых карт.

[обновление 4] Поскольку считыватели HID являются продуктом IoT, прочтите нашу официальную публикацию о безопасном IoT и физической безопасности

10 кредитных хаков для улучшения вашего рейтинга FICO FAST

Большинство из вас, кто читал этот блог некоторое время, знают, что я прописываю очень подробный и конкретный метод для быстрого улучшения вашего кредитного рейтинга, но у меня также есть несколько кредитных хаков чтобы оптимизировать свой кредитный рейтинг FICO.

Это в основном сводится к удалению отрицательных элементов из вашего кредитного отчета и восстановлению вашего кредита с помощью обеспеченной кредитной карты.

Тем не менее, существуют и другие менее известные методы улучшения вашего кредитного рейтинга, и эти методы работают даже для людей с хорошими кредитными рейтингами.

Продолжайте читать, потому что я собираюсь раскрыть все свои секреты.

10 кредитных хакеров для повышения вашего кредитного рейтинга

Вот мои 10 лучших кредитных хаков, которые помогут вам улучшить свой рейтинг FICO.Чтобы быть ясным, я сам использовал большинство из этих методов, и в результате получил почти идеальный кредитный рейтинг 836.

1. Держите 3 основные кредитные карты

В течение нескольких лет я экспериментировал с тем, сколько кредитных карт хранить, чтобы увеличить свой кредитный рейтинг. Честно говоря, это несколько субъективно, потому что алгоритм кредитного рейтинга принимает во внимание очень много переменных.

Тем не менее, я лично обнаружил, что открытие как минимум трех основных кредитных карт дает наилучшие результаты.

Следует также отметить, что необязательно регулярно использовать все три кредитные карты. Регулярно пользуйтесь хотя бы одной из этих основных кредитных карт и не держите на балансе очень большой баланс (подробнее об этом позже).

2. Выплата ссуды в рассрочку

Еще я экспериментировал с тем, как остатки ссуды в рассрочку влияют на мой кредитный рейтинг. Под ссудой в рассрочку я имею в виду ссуды, такие как студенческие ссуды, автокредиты и т. Д.

Интересно, что я обнаружил, что выплата ссуд как можно быстрее приведет к увеличению кредитного рейтинга.

Выплата долга может быть проблемой, но если вы в состоянии это сделать, я рекомендую это как способ оптимизации вашего кредитного рейтинга.

3. Оптимизируйте использование кредита

Как правило, я рекомендую держать остаток на кредитной карте ниже 25% от доступного кредитного лимита.

Другими словами, если у вас есть 3 кредитные карты, каждая с кредитным лимитом в 1000 долларов каждая, держите остаток на каждой кредитной карте не более 250 долларов. Оптимизация использования кредита окажет большое влияние на ваш кредитный рейтинг.

Об остатках на кредитных картах обычно сообщается в кредитное бюро каждый месяц, и это здорово, потому что у вас есть возможность каждый месяц получать правильные балансы.

4. Увеличьте свой кредитный лимит

Этот прием как бы обыгрывает предыдущий. Если вы не можете погасить остаток по кредитной карте, поэтому коэффициент использования составляет менее 25%, другой вариант — увеличить лимиты по кредитной карте.

Увеличивая лимит кредитной карты, вы автоматически улучшаете использование кредита.Например, если у вас есть кредитная карта с лимитом в 500 долларов, а ваш баланс составляет 250 долларов, использование кредита составляет 50%.

Однако, если вы увеличите лимит до 1000 долларов, использование кредита снизится до 25%.

Одна вещь, которую следует иметь в виду, запрашивая увеличение кредитного лимита, заключается в том, что это приведет к серьезному запросу по вашему кредитному отчету, что может привести к небольшому снижению вашего кредитного рейтинга. Обычно это не имеет большого значения.

5. Используйте расширенный метод разрешения споров для удаления отрицательных элементов

Одним из способов удаления отрицательных элементов из вашего кредитного отчета является использование расширенного метода для оспаривания неточностей в вашем кредитном отчете.

Я использовал этот метод несколько раз, чтобы удалить отрицательные записи из моего кредитного отчета, когда у меня была плохая кредитная история. Получите копию своего кредитного отчета и найдите запись, которую хотите удалить. Тщательно просмотрите запись и найдите что-нибудь , которое может быть неточным.

Если вы обнаружите что-то неточное, вы можете оспорить это в кредитных бюро. Когда вы пишете письмо о споре, обязательно укажите, что неточно.

6. Используйте профессионала для удаления отрицательных элементов из вашего кредитного отчета

Есть два основных способа удалить отрицательные записи в вашем кредитном отчете.

Первый способ — использовать различные методы для удаления записей самостоятельно (способ «сделай сам»).

Другой вариант — попросить компанию по ремонту кредитов попытаться удалить отрицательные записи.

Очевидно, они взимают плату, но, как правило, они быстрее удаляют негативы.

Для этого я предлагаю вам проверить Lexington Law Credit Repair. Они позаботятся о тебе. Посетите их веб-сайт.

Рекламы за деньги. Мы можем получить компенсацию, если вы нажмете на это объявление.Объявление

Поиск в Локально Лицензионный Эксперты

Выберите состояние, чтобы начать

HawaiiAlaskaFloridaSouth CarolinaGeorgiaAlabamaNorth CarolinaTennesseeRIRhode IslandCTConnecticutMAMassachusettsMaineNHNew HampshireVTVermontNew YorkNJNew JerseyDEDelawareMDMarylandWest VirginiaOhioMichiganArizonaNevadaUtahColoradoNew MexicoSouth DakotaIowaIndianaIllinoisMinnesotaWisconsinMissouriLouisianaVirginiaDCWashington DCIdahoCaliforniaNorth DakotaWashingtonOregonMontanaWyomingNebraskaKansasOklahomaPennsylvaniaKentuckyMississippiArkansasTexasContact Эксперта

Примечание: Я получаю небольшую комиссию, если вы зарегистрируетесь, что идет, чтобы помочь сохранить это блог.

7. Посмотрите, как ипотечный кредит влияет на ваш кредитный рейтинг

Маловероятно, что вы достигнете идеального кредитного рейтинга, если в вашем кредитном отчете нет ипотечной ссуды. Ипотечный кредит показывает, что ваша кредитоспособность достаточно высока, чтобы кредитор ссудил вам большую сумму денег.

Это отлично смотрится в вашем кредитном отчете и положительно повлияет на ваш кредитный рейтинг. Я не рекомендую брать ипотечный кредит, если вы не можете себе его позволить, но если вы в такой ситуации, это определенно хороший способ повысить свой балл.

8. Закройте защищенные кредитные карты, когда они вам больше не нужны

Обеспеченные кредитные карты — это инструмент для улучшения плохой кредитной истории. Защищенные кредитные карты следует использовать, когда вы не можете получить основную кредитную карту из-за плохой кредитной истории.

Однако, если у вас есть обеспеченная кредитная карта в течение нескольких лет и вы накопите положительную кредитную историю с ее помощью, я рекомендую закрыть счет.

Обычно я не рекомендую закрывать счета кредитных карт, но обеспеченные кредитные карты, которые у вас были некоторое время, являются исключением.

Опять же, вы должны использовать обеспеченные кредитные карты как ступеньку для того, чтобы в конечном итоге получить одобрение на использование основной кредитной карты, такой как American Express или Discover.

9. Используйте письмо с подтверждением долга для удаления старых долгов

Когда вы связались с коллектором по поводу старого долга, я рекомендую ответить письмом с подтверждением долга. Ознакомьтесь с моей полной статьей по этому вопросу для получения конкретных инструкций.

Письмо с подтверждением долга во многих случаях может привести к удалению старых сборов с долгов из вашего кредитного отчета.

10. Не подавайте заявку на новый кредит на полный год

Наконец, ноль сложных запросов по вашему кредитному отчету с максимальным увеличением вашего кредитного рейтинга. Если у вас нет серьезных запросов по вашему кредитному отчету, это означает, что вы в настоящее время не хотите получать новый кредит, и это положительно повлияет на ваш кредитный рейтинг.

Разница между отсутствием сложных запросов и одним не так уж велика, но личный опыт показал мне, что иметь ноль лучше, чем иметь один или несколько.

Серьезные запросы обычно исчезают из вашего кредитного отчета через год, поэтому я рекомендую прекратить подавать заявку на кредит на один полный год, чтобы увидеть, как этот взлом вступит в силу.

Информация о украденных кредитных картах в темной сети утроилась за 6 месяцев

Количество украденных номеров кредитных карт в темной сети за последние шесть месяцев 2019 года утроилось по сравнению с первыми шестью месяцами, что свидетельствует о мошенничестве и взломе кредитных карт становятся хуже.

В новом отчете компании Sixgill, занимающейся кибербезопасностью, которая отслеживает активность на темном веб-рынке, было обнаружено, что 76 230 127 скомпрометированных карт были выставлены на продажу на рынках.Это на 200% больше по сравнению с 23 миллионами в первом полугодии.

«Количество украденных карт, доступных в метро, ​​похоже, растет и движется вверх», — говорится в сообщении.

Информация о платежных картах — один из самых распространенных предметов для продажи на черном онлайн-рынке в наши дни, особенно с учетом глобального взрыва популярности.

Около 65% карт для продажи на черном рынке поступили из США, что неудивительно, учитывая культуру, ориентированную на кредитные карты, и большую численность населения.Но что может быть неожиданным, так это «исключительно недопредставленные» карты из России — что является сюрпризом из-за «выдающейся роли русскоязычных в подпольном сообществе», — написал Сиксгилл.

БЕРЛИН, ГЕРМАНИЯ — 22 октября: символическая особенность с тематикой онлайн-преступлений, кражи данных и мошенников с кредитными картами, здесь крупным планом клавиатура ноутбука с руками в черных перчатках с кредитной картой, 22 октября 2013 года в Берлин, Германия. (Фото Томаса Имо / Photothek через Getty Images)

У Сиксжилла есть потенциальная теория относительно того, почему.«Одно из возможных объяснений состоит в том, что российским субъектам угроз часто разрешается действовать безнаказанно, если их действия соответствуют интересам правительства или если они не нацелены на россиян», — говорится в отчете. «Многие российские злоумышленники часто указывают при продаже продуктов и инструментов для взлома, что их нельзя использовать в России или странах СНГ, вместо этого сосредотачиваясь на других целях».

Онлайн-мошенники предпочитают покупать карты, которые также имеют номера кода безопасности (CVV / CVV2), потому что их можно использовать в Интернете, что менее рискованно, чем клонирование карты и отнесение ее в магазин, где камеры и системы безопасности потенциально могут представляют опасность.

Рынок растет не только из-за количества объявлений, которые, по словам эксперта по безопасности Sixgill, Yahoo Finance похожи на Amazon или Alibaba. Он также растет с точки зрения того, как люди продают. Новые платформы обмена сообщениями, такие как Telegram, Discord и QQ, также становятся каналами для продажи этих типов данных даркнета.

История продолжается

Итан Вольф-Манн — писатель в Yahoo Finance, специализирующийся на вопросах потребителей, личных финансах, розничной торговле, авиакомпаниях и многом другом.Следуйте за ним в Twitter @ewolffmann .

Читайте последние финансовые и деловые новости от Yahoo Finance

Следите за Yahoo Finance на Twitter , Facebook , Instagram , Flipboard , LinkedIn , YouTube и reddit .

9 правил предотвращения кражи личных данных

Хотите услышать что-нибудь сумасшедшее?

Во вселенной существует 10 триллионов возможных комбинаций номеров кредитных карт, и эмитенты карт используют только около 65 миллионов из них.

С такими шансами статистическая вероятность того, что преступник найдет действительный номер счета — а затем — ваш номер счета — очень мала.

Но это не значит, что вы из леса.

Далеко не так: Утечки данных, кража личных данных и мошенничество с кредитными картами стали более распространенными в последние годы, и, поскольку большинство из нас живет в сети, вы не должны ожидать, что это изменится.

В свете этих проблем вам необходимо научиться защищать себя.Вот что вам нужно знать о безопасности кредитных карт и о том, как обеспечить их безопасность.

Инсайдерский совет

Есть несколько сервисов, на которые вы можете подписаться, например Identity Essentials от IdentityIQ и Identity Guard®, которые представляют собой сервисы мониторинга кражи личных данных. Это не обязательно поможет вам предотвратить кражу личных данных, но может помочь вам узнать, были ли украдены ваши личные данные раньше. Примечание. Мы можем получить комиссию, если вы подпишетесь на одну из этих услуг.

Читать далее
Борьба с мошенничеством и кражей личных данных

Общие функции безопасности кредитных карт

Почти все кредитные карты имеют следующие функции безопасности:

• Основы: Все карты, используемые американскими покупателями, имеют панель для подписи, дату истечения срока действия, магнитную полосу и уникальный номер счета.
• Панель для подписи: Вы не поверите, но кредитные карты должны быть подписаны в соответствии с условиями их эмитента. Продавцы могут отказаться принимать карты, если поле для подписи пусто или если в нем есть слова «См. Удостоверение личности».
• Защитный код: Этот трехзначный код на обратной стороне кредитной карты (или, для American Express, четырехзначный код на лицевой стороне) требуется для обработки любых транзакций «карта отсутствует». Он также известен как CVV — «проверочная стоимость карты».”
• Чип-карты (EMV-карты): В отличие от карт с только магнитными полосами, чип-карты шифруют информацию при каждой транзакции, что значительно затрудняет мошенничество.
• Голограммы: Они входят в стандартную комплектацию большинства кредитных карт и являются уникальными для сети карт.
• Мониторинг использования: Если вы совершаете ненормальную покупку — например, на большую сумму или в другом месте, чем обычно, — ваш эмитент может пометить карту и принять меры для проверки подлинности покупки.

Некоторые кредитные карты также имеют дополнительные функции безопасности, например:

• Фото: Bank of America и Citi добавят вашу фотографию к кредитной карте по запросу. Но, благодаря покупкам в Интернете и клавиатурам в точках продаж, фотокарты не обеспечивают такой безопасности, как можно было бы надеяться.
• Временные номера покупок: Некоторые эмитенты кредитных карт, включая, опять же, Bank of America и Citi, позволяют создавать номера одноразовых карт для покупок в Интернете.Таким образом, не имеет значения, скомпрометирован ли номер вашей карты, поскольку вы больше никогда не воспользуетесь ею.
• Номера виртуальных кредитных карт: Некоторые эмитенты кредитных карт предоставляют номера виртуальных кредитных карт. Это цифровые версии вашей физической карты. Их часто предоставляют для предотвращения мошенничества и кражи личных данных при совершении покупок в Интернете или по телефону. Если с вашей виртуальной картой что-то случится, вы можете удалить ее и получить новую.

Инсайдерский совет

Mastercard и Visa работают над новым поколением защиты кредитных карт: биометрическими картами, которые используют ваш отпечаток пальца для проверки транзакции.

6 Безопасность кредитной карты: запрещается

Несмотря на все эти функции безопасности, никогда нельзя быть слишком осторожным с номером своей кредитной карты.

Вот шесть советов по хранению вашей карты.

Не используйте дебетовые карты

Проще говоря, дебетовые карты не обеспечивают такой же защиты от мошенничества, как кредитные карты. Если вор украдет и использует вашу дебетовую карту без вашего разрешения, вы можете понести личную ответственность за несанкционированные платежи на сумму до 500 долларов США или более (если вы не сообщите о мошенничестве в течение двух рабочих дней).

С дебетовыми картами ваши личные деньги подвергаются мошенническим операциям. В случае кредитных карт это деньги эмитента карты. Сообщите о несанкционированном списании средств с кредитной карты в течение 60 дней, и вы не будете нести никакой ответственности перед большинством эмитентов карт.

Также может быть труднее получить возмещение в случае мошенничества с дебетовыми картами, а связанные с этим задержки могут привести к пропущенным счетам и дополнительному стрессу.

Узнайте больше о , почему мы рекомендуем кредитные карты вместо дебетовых.

Не совершайте транзакции в открытых сетях

Если пароль для доступа к сети Wi-Fi не требуется, незашифрованные данные могут быть видны на любом компьютере рядом с . Эти другие компьютеры могут перехватывать информацию, которую вы передаете и получаете с веб-сайтов, в URL-адресах которых нет https.

Это означает, что вы могли отправить номер своей кредитной карты или другую личную информацию прямо в ожидающие руки похитителя личных данных.

Итог: Никогда не вводите номер своей кредитной карты при использовании незащищенных общедоступных сетей Wi-Fi, если вы не уверены, использует ли веб-сайт SSL.

Не сообщайте свой номер непроверенным представителям

«Здравствуйте, вам звонит American Express. Не могли бы вы проверить номер своей кредитной карты? »

Похитители личных данных часто звонят и утверждают, что они из организации, которой вы доверяете — пожарной охраны, которая проводит сбор средств, коммунальной компании, которая собирается отключить ваше электричество, администратора выигранного вами конкурса — чтобы обманом заставить вас дать им номер вашей кредитной карты. Вы также должны быть осторожны, нажимая на любые ссылки в сообщениях электронной почты, адрес электронной почты отправителя которых выглядит подозрительно.

«Фишинг» — еще одна форма мошенничества, распространенная в Интернете. С помощью фишинга злоумышленники могут отправлять электронные письма, выдавая себя за ваш банк или эмитент кредитной карты. Эти электронные письма могут запрашивать личную информацию или содержать фальшивую (но реалистичную) ссылку с целью кражи ваших учетных данных.

Просто запомните: Если вы не звонили по телефону или не отправляли электронное письмо, не сообщайте номер своей карты.

Чтобы проверить, является ли запрос законным, свяжитесь с организацией по опубликованному номеру телефона или через защищенную систему обмена сообщениями.Вы также можете выработать привычку посещать веб-сайты банков и эмитентов карты напрямую, а не по ссылкам, указанным в электронных письмах, из-за большой осторожности.

Не отправляйте номер карты по электронной почте

Некоторые хакеры электронной почты используют инструменты поиска, которые сканируют строки номеров, которые могут быть счетами кредитных карт.

Каждый раз, когда вы пишете или набираете номер своей кредитной карты и даете ее кому-либо в незащищенной, незашифрованной форме (в том числе на листе бумаги), вы увеличиваете риск раскрытия информации.

Некоторые предприятия, в том числе сайты домов отдыха, просят сохранить номер вашей кредитной карты в качестве залога или гарантии. Хотя это обычное дело, это небезопасно — и вам следует искать альтернативы.

Не сообщайте номер своей карты другим людям

Многие законные финансовые транзакции проводятся по телефону, и вам может потребоваться устно сообщить номер своей кредитной карты и другую личную информацию.

Если вы произнесете эту информацию вслух, любой в пределах слышимости сможет ее использовать.Лучше избегать таких звонков в общественных местах.

Не публикуйте фотографии своей кредитной карты

Хотя это может показаться очевидным, никогда не размещайте фотографии своей карты в Интернете. Например, посмотрите на картинку ниже: хотя женщина вскоре осознала свою ошибку и удалила изображение, оно продолжает жить в дурной славе в Интернете.

Не делайте этого.

Когда дело доходит до картинок, некоторые люди чувствуют себя в безопасности, закрывая первые восемь цифр своей карты. Остальные заслоняют последние восемь.В любом случае это плохая идея.

Сделайте снимок ниже. Надеюсь, это была шутка, но если нет: у нас есть половина номера карты, плюс срок действия и имя держателя карты. Поскольку мы знаем, что все номера карт Visa начинаются с «4», а следующие пять цифр идентифицируют банк или эмитента карты, во всем 16-значном номере счета остаются только две неизвестные цифры. Предприимчивый вор легко разгадает, что это такое.

У

наконец-то появилась дебетовая карта, так что пришло время делать соответствующие покупки в Интернете.twitter.com/UrWNsb8Y2B

— королева мемов (@salviaxplath) 8 сентября 2014 г.

Если у вас есть законная причина для публикации фотографии своей кредитной или дебетовой карты (чего, вероятно, у вас нет), закройте все номера. По крайней мере, укажите последние десять цифр, которые уникальны для вашей учетной записи.

4 способа повысить безопасность кредитных карт

Мы только что рассмотрели многое из того, чего не следует делать, когда речь идет о повышении безопасности вашей кредитной карты. Вот что вам нужно сделать, чтобы обезопасить свою кредитную карту.

Тщательно управляйте своими паролями и учетными записями

• Создавайте безопасные уникальные пароли: Используйте диспетчер паролей, например LastPass или 1Password, для создания и управления паролями для каждой создаваемой вами онлайн-учетной записи.
• Регулярно меняйте пароли: Не только создавать уникальные пароли, но и регулярно менять их.
• Выходить из системы после каждой транзакции: Не забудьте выйти из всех учетных записей в Интернете, особенно если вы используете компьютер, доступный для других.
• Отключить автозаполнение: Веб-браузеры часто сохраняют информацию о вашей кредитной карте за вас. Если вы хотите проявлять особую осторожность, не используйте эту функцию.
• Ищите «https»: Прежде чем отправлять информацию о своей карте в Интернете, убедитесь, что адрес веб-сайта начинается с «https: //», а не просто «http: //». Буква «s» означает «безопасный» и означает, что информация, которую вы отправляете через формы, зашифрована.

Подпишитесь на дополнительную защиту

Некоторые сети кредитных карт и эмитенты предлагают дополнительную защиту онлайн-покупателям.Вы можете, например, подписаться на код безопасности Mastercard, который попросит вас ввести шестизначный код при совершении покупки.

Подобные программы включают Visa Secure и Amex SafeKey, ни одна из которых не требует регистрации. Они работают за кулисами, пока вы совершаете покупки, иногда прося вас подтвердить подозрительные транзакции. Иногда проверка так же проста, как ответ на текстовое сообщение.

Вы также можете использовать платежные шлюзы, такие как PayPal или Apple Pay, чтобы создать дополнительный барьер между вами и онлайн-продавцами.

Проверьте транзакции по кредитной карте

Вам не нужно ждать ежемесячной выписки, чтобы проверить активность кредитной карты. Будьте активны и входите в свою учетную запись один раз в неделю, чтобы проверять наличие мошеннических платежей .

Нельзя игнорировать даже небольшие подозрительные обвинения. Хотя непризнанный платеж в размере 1 доллара может показаться незначительным, на него стоит обратить внимание. Воры кредитных карт обычно взимают серию небольших покупок, чтобы проверить, активна ли карта и доступна ли она для использования.Если мошенник определит, что ваша кредитная карта «действующая», то могут последовать более крупные мошеннические покупки.

Мошенники с кредитными картами также используют устройства, называемые «скиммерами», для сбора данных о картах в банкоматах и ​​автоматических заправочных станциях. Скиммеры надеваются на слот для карты или PIN-код и выглядят очень похоже на обычную машину. Поскольку их сложно обнаружить, важно отслеживать свои счета на предмет подозрительной активности. Вы можете узнать больше о скиммерах и увидеть примеры их подлинного внешнего вида в этом посте от Krebs on Security.

Проверьте свои кредитные отчеты

Несанкционированные списания с кредитной карты не будут отображаться в ваших кредитных отчетах. Однако мошеннические учетные записи и несанкционированные кредитные заявки могут.

Вам следует проверять свои кредитные отчеты один раз в год, чтобы убедиться, что они выглядят правильно. Рекомендуется ежеквартально проверять кредитоспособность, но один раз в месяц не будет считаться излишним, если вы захотите добавить их в свой распорядок дня. Вы также можете подписаться на службу кредитного мониторинга, которая предупреждает вас о любой подозрительной активности в ваших отчетах с Equifax, TransUnion или Experian.

Уничтожьте документы

Вместо того, чтобы бросать счета, предварительно утвержденные кредитные предложения и другие финансовые отчеты в корзину, сначала пропустите их через измельчитель бумаги. Эти документы могут содержать важную личную информацию, которую вы не хотите попадать в чужие руки.

Некоторые похитители личных данных используют низкотехнологичные методы для кражи информации, такие как ныряние в мусорные контейнеры. Похитители личных данных могут использовать информацию о незащищенных финансовых документах для открытия счетов на ваше имя, заказа «заменяющих» кредитных карт и т. Д.Как только мошенник получит вашу информацию, восстановление займет у вас много времени и стресса. Поскольку измельчители бумаги стоят около 30 долларов, мы бы сказали, что они оправдывают повышенную безопасность.

Какой банк предлагает лучшую защиту кредитной карты?

Ни одна кредитная карта не обеспечивает значительно большей безопасности, чем любая другая.

Все лучшие кредитные карты предлагают надежные меры безопасности. Пока вы принимаете надлежащие меры предосторожности, все будет в порядке.

Просто помните, никакая функция безопасности не может заменить осторожность, бдительность и частый самоконтроль со стороны пользователя.

.