Перейти к основному контенту

Свобода! Равенство! Упячка!

Про новую возможность кражи данных пластиковых карт

Кажется, я раскрыл (или изобрел, если моя подозрительность заставила перебдеть) новый способ кражи данных о пластиковых картах.

Действующих лиц двое: сотрудник салона связи и его “партнер”.

Дело было так. На днях зашел в Евросеть пополнить наличными карту Тинькова. Терминал купюры по 5000₽ не принимал, так что пришлось воспользоваться помощью девочки за кассой. Около этой самой кассы стоял “друг” девочки (далее партнер), лениво перебрасывающийся с ней фразами.

Дальше происходит вот что:

  1. Для зачисления девочка берет карту и наличные. Вводит что-то в программу;

  2. Кладет карту на стойку и диктует ее номер, “чтобы проверить правильность номера карты”;

  3. Партнер тем временем ошивается у кассы в районе моего плеча. Как только я подтверждаю правильность номера карты и платеж завершается, он просит помощи: дескать, у него только что заблокировали карту Тинькова, нужен номер поддержки. Телефон поддержки просит дать посмотреть на обороте карты;

  4. Я переворачиваю карту и показываю/диктую партнеру номер поддержки;

  5. Партнер благодарит меня и уходит.

Все это, естественно, происходит быстро, в течение максимум минуты. Быстрее, чем работает соображалка и модуль подозрительности жертвы.

Через несколько минут я понял вот что:

  • На первом шаге девочка могла запомнить имя на карте и срок действия, это несложно;

  • На втором шаге номер карты зачитали вслух, партнер мог записать его на диктофон;

  • На третьем шаге просьба дать номер поддержки выглядит странной: что мешает посмотреть его на своей заблокированной карте?

  • На четвертом шаге партнер видит перевернутую карту и может запомнить CVV/CVC;

  • В итоге могут быть собраны все данные о моей карте.

Понять, что произошло что-то не то, у меня заняло минут пять. Карту, естественно, заблокировал и перевыпустил. Если бы я на это не обратил внимание, а компрометация карты оказалось бы реальной, то скорее всего было бы так: данные карты подержали бы без применения несколько недель (чтобы нельзя было связать по времени компрометацию и посещение салона связи), а потом пустили бы в дело.

Будьте бдительны.

2016-06-11