Мошенничество, с использованием пластиковых карт

Дорогие организаторы СП,товарищи занимающиеся сбором благотворительных средств.Будьте внимательнее.
Ещё один сценарий мошенничества с использованием пластиковых банковских карт. Наиболее уязвимы карты Сбербанка, пригодные для платежей в интернете — начиная от Visa Classic и MasterCard Standard. Владельцы «зарплатных» Maestro и прочих Momentum данному приёму не подвержены.


Небольшой ликбез
1. У Сбербанка есть возможность переводить деньги с карты на карту и пополнять чужую карту, зная только её номер (на лицевой стороне). Никакие другие значения для этого не нужны.

2. Есть возможность узнать имя владельца чужой (!) карты по её номеру, выполнив платёж на неё через Сбербанк-Онлайн. Пробуем перекинуть на чужую карту скажем 10 рублей, вводим номер чужой карты и на экране «Проверьте реквизиты» видим сумму нашего платежа, номер чужой карты и… ФИО её владельца.

3. Многие просят о помощи и размещают объявления на благотворительных сайтах. Кроме обычных банковских реквизитов и номеров кошельков WebMoney/Яндекс.Деньги всё чаще стало попадаться «или на карту сбербанка № ХХХХ ХХХХ ХХХХ ХХХХ».

4. Есть такие платёжные шлюзы, которые умеют брать деньги с карты не спрашивая ни CVV (CVC), ни контрольный код MasterCard SecureCode. Amazon.com, к примеру, обслуживается именно таким. Для прохождения оплаты требуется ввести только номер карты, имя владельца и срок действия.

Алгоритм действий мошенника
1. Ищем благотворительные сайты и посты по ЖЖшечкам, типа вот такого:
«можно сделать пожертвование на номер пласиковой карты сбербанка, в любом отделении сбербанка России.Достаточно знать номер карты 676280389109721113 Получатель Боровкова Анастасия. ВСЕМ ОТКЛИКНУВШИМСЯ ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!!»

Прекрасный вариант, даже имя получателя указано. Транслит, ANASTASIYA BOROVKOVA… А может быть ANASTASIA BOROVKOVA. Не так уж много вариантов.

А если не указано?
Скажем, вот такое объявление:
«Счет Сбербанка для перевода пожертвований с карты на карту (без процентов!) — 5469 3800 2643 5684»

Не проблема, сейчас выясним:
а) Открываем Сбербанк-Онлайн, выбираем «Перевод на карту»:

б) Вводим реквизиты чужой карты и сумму — какую угодно. Мы типа хотим сделать благотворительный перевод.

Отказываемся от перевода, всё что нам нужно, мы только что узнали.
Транслит, DANIIL FIRSOV? Наверное.

2. Нагребли базу «номер карты сбербанка — имя владельца?» Отлично. Идём на Amazon.com, добавляем новую карту:

CVV НЕ СПРАШИВАЕТСЯ!!! Переброски на SecureCode НЕ происходит. Одноразовые пароли Сбербанка НЕ запрашиваются. Одноразовый пароль у карт Авангарда тоже НЕ запрашивается. Hold при этом происходит сразу же.
Что нам нужно угадать? Тип карты и срок действия. Вряд ли это Gold, точно не American Express и уж точно не Diners Club. Ну что — либо MasterCard, либо Visa, либо неинтересные нам Cirrus/Maestro или Visa Electron.
Как же узнать, что перед нами?
Смотрим сюда:
У карточек Visa и MasterCard номера 16ти-значные.
Номера карточки VISA всегда начинаются с цифры «4».
Номера карточек MasterCard всегда начинаются с цифры «5» и состоят из 16 цифр.
Номер карточек Maestro начинается с цифр “3”, “5” “6” и может состоять из 13, 16 или 19 цифр.

Фокусируемся на первых двух типах («нормальные» Visa и MasterCard), Cirrus/Maestro в топку.
Вводим тип карты, её номер, транслитерацию имени владельца. Осталось только угадать срок действия. На сколько лет выдают карты? 3..4 года обычно. Часто карту заводят как только начинают сбор средств. Одно-два возможных значения года и 12 значений месяцев. Не больше 36 вариантов. Задержки, капчи никакой нет. Карта или добавляется, или нет. Не добавилась? Пробуем другие значения.

Добавилась? Пробуем что-нибудь купить… Можно даже нарваться и на кредитную карту.

-?????
-PROFIT!!!

Защита от подобного мошенничества
НЕ публиковать номер своей карты где попало. Часто думают, что без CVV и даже без имени владельца от номера карты нет никакого проку. Этот способ показывает, что это — распространённое заблуждение.

Во всяком случае, даже если баг не сработает, то у мошенников остаются богатые возможности для социальной инженерии применительно к опубликовавшему данные.

Кроме того, для сбора средств можно использовать бесплатно выдаваемые в Сбербанке карты Cirrus/Maestro Momentum, которые непригодны для платежей в интернете. От публикации их номера мошенник вряд ли что-то получит, даже зная имя и срок действия.



источник тут хабрахабр


Это сообщение отредактировал Юся - 19.02.2011 - 00:10

хрень какая то. для оплаты в инете картой ещё нужно знать 3 цифры на обороте которые вдавлены (CVV/CV2 код).

Надеюсь что это так,я для общей инфтормации выложила,а то тут очень много в СП указано номеров карт с фамилиями.

Это сообщение отредактировал Юся - 19.02.2011 - 15:26

На этот случай есть смс-информирование. Списание денег со счета происходит в течении 45 дней, а до этого момента деньги только блокируются. Т.е. если кто-то совершил по вашей карте и вам пришла смс, тут же можно позвонить в банк и отменить операцию. Деньги вернутся.
Мораль в общем такая: не жидтесь и подключайте смс-информирование
Правда, у сбера оно достаточно дорого стоит - более 2 долл в месяц.

izzi у сбера смс информирование 30р стоит. 60 это только первый месяц, если я правильно помню

Roman, неправильно. у меня разные карты, сбер в том числе, так шта я в курсе тарифов.

izzi
у меня сбер 30 рубл.списывает ежемесячно, о чём оповещает моб.банк тут же...

Сейчас, кстати(уже несколько недель), не пишут фамилию владельца, пишут имя, отчество и первую букву фамилии. и усё.

Questa, разный тип карт, разный тариф - ничего необычного.