https://geektimes.ru/post/109361/ Мошенничество с использованием пластиковых карт Ещё один сценарий мошенничества с использованием пластиковых банковских карт. Наиболее уязвимы карты Сбербанка, пригодные для платежей в интернете — начиная от Visa Classic и MasterCard Standard. Владельцы «зарплатных» Maestro и прочих Momentum данному приёму не подвержены. Небольшой ликбез 1. У Сбербанка есть возможность переводить деньги с карты на карту и пополнять чужую карту, зная только её номер (на лицевой стороне). Никакие другие значения для этого не нужны. 2. Есть возможность узнать имя владельца чужой (!) карты по её номеру, выполнив платёж на неё через Сбербанк-Онлайн. Пробуем перекинуть на чужую карту скажем 10 рублей, вводим номер чужой карты и на экране «Проверьте реквизиты» видим сумму нашего платежа, номер чужой карты и… ФИО её владельца. 3. Многие просят о помощи и размещают объявления на благотворительных сайтах. Кроме обычных банковских реквизитов и номеров кошельков WebMoney/Яндекс.Деньги всё чаще стало попадаться «или на карту сбербанка № ХХХХ ХХХХ ХХХХ ХХХХ». 4. Есть такие платёжные шлюзы, которые умеют брать деньги с карты не спрашивая ни CVV (CVC), ни контрольный код MasterCard SecureCode. Amazon.com, к примеру, обслуживается именно таким. Для прохождения оплаты требуется ввести только номер карты, имя владельца и срок действия. Алгоритм действий мошенника 1. Ищем благотворительные сайты и посты по ЖЖшечкам, типа вот такого: «можно сделать пожертвование на номер пласиковой карты сбербанка, в любом отделении сбербанка России.Достаточно знать номер карты 676280389109721113 Получатель Боровкова Анастасия. ВСЕМ ОТКЛИКНУВШИМСЯ ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!!» Прекрасный вариант, даже имя получателя указано. Транслит, ANASTASIYA BOROVKOVA… А может быть ANASTASIA BOROVKOVA. Не так уж много вариантов. А если не указано? Скажем, вот такое объявление: «Счет Сбербанка для перевода пожертвований с карты на карту (без процентов!) — 5469 3800 2643 5684» Не проблема, сейчас выясним: а) Открываем Сбербанк-Онлайн, выбираем «Перевод на карту»: б) Вводим реквизиты чужой карты и сумму — какую угодно. Мы типа хотим сделать благотворительный перевод. image в) Оппаньки! ФИО владельца карты. Отказываемся от перевода, всё что нам нужно, мы только что узнали. Транслит, DANIIL FIRSOV? Наверное. 2. Нагребли базу «номер карты сбербанка — имя владельца?» Отлично. Идём на Amazon.com, добавляем новую карту: CVV НЕ СПРАШИВАЕТСЯ! Переброски на SecureCode НЕ происходит. Одноразовые пароли Сбербанка НЕ запрашиваются. Одноразовый пароль у карт Авангарда тоже НЕ запрашивается. Hold при этом происходит сразу же. Что нам нужно угадать? Тип карты и срок действия. Вряд ли это Gold, точно не American Express и уж точно не Diners Club. Ну что — либо MasterCard, либо Visa, либо неинтересные нам Cirrus/Maestro или Visa Electron. Как же узнать, что перед нами? Смотрим сюда: У карточек Visa и MasterCard номера 16ти-значные. Номера карточки VISA всегда начинаются с цифры «4». Номера карточек MasterCard всегда начинаются с цифры «5» и состоят из 16 цифр. Номер карточек Maestro начинается с цифр “3”, “5” “6” и может состоять из 13, 16 или 19 цифр. Фокусируемся на первых двух типах («нормальные» Visa и MasterCard), Cirrus/Maestro в топку. Вводим тип карты, её номер, транслитерацию имени владельца. Осталось только угадать срок действия. На сколько лет выдают карты? 3..4 года обычно. Часто карту заводят как только начинают сбор средств. Одно-два возможных значения года и 12 значений месяцев. Не больше 36 вариантов. Задержки, капчи никакой нет. Карта или добавляется, или нет. Не добавилась? Пробуем другие значения. Добавилась? Пробуем что-нибудь купить… Можно даже нарваться и на кредитную карту. -????? -PROFIT!!! Защита от подобного мошенничества НЕ публиковать номер своей карты где попало. Часто думают, что без CVV и даже без имени владельца от номера карты нет никакого проку. Этот способ показывает, что это — распространённое заблуждение. Во всяком случае, даже если баг не сработает, то у мошенников остаются богатые возможности для социальной инженерии применительно к опубликовавшему данные. Кроме того, для сбора средств можно использовать бесплатно выдаваемые в Сбербанке карты Cirrus/Maestro Momentum, которые непригодны для платежей в интернете. От публикации их номера мошенник вряд ли что-то получит, даже зная имя и срок действия.
от платежного гейта зависит.. у меня в сбере смс настроено, но билеты брали на самоль, некоторые гейты без смс почему то списывают, не помню что за гейты
я мож в другом мире живу, но у меня по номеру карты рассказывается только имя и отчество, без фамилии, только первая буква фамилии. из сберонлайна разумеется
1)не высвечивается фамилия 2)у меня к примеру на сбере неправильно написана фамилия. 3)на мой взгляд самая лучшая защита это несколько счетов.(у меея 2 карты и 5 счетов в сбере) если нужно от кого то принять или кому то перевести деньги я пользуюсь #1, а основная #2 для з/п и покупокок.так же если сомнительный платеж я все остатки переводу на #3 счет. 4)при любых операциях в сбере к примеру.если тебя обманули- идешь в полицию и пишешь заявление ,копию несешь в сбер и деньги возвращают.
Вообще, конечно, есть сервисы, которые после привязки карты уже не спрашивают ни CVC/CVV, ни код подтверждения через SMS, но очень слабо мне верится, что при первичной привязке карты они их тоже не спрашивают. Что смехотворно, не спрашивают CVC/CVV, но при этом требуют ввести срок действия карты. Откуда эти сервисы возьмут CVC/CVV, если не ввести его явным образом при первичной привязке? З.Ы. Статья-то от 4 декабря 2010-го...
Ну вот собсна что-то похожее.. http://www.interfax.ru/russia/503064 Там правда всё сложнее - поддельные документы, доступ к номеру, который привязан к карте и т.д..