Как украсть деньги с карты

Оказывается, на вопрос, как украсть деньги с карты, есть простой ответ: нет ничего проще. По крайней мере, это удалось сделать у 9 тыс. клиентов Tesko Bank. А жертв Сбербанка — вообще никто не считает. Воспользоваться чужим «пластиком» потенциально может любой человек, умеющий писать несложные программы.

Задача, как украсть деньги с карты

Теоретически для того, чтобы совершить покупку в том или ином интернет-магазине с использованием банковской карты требуется «всего лишь» заполнить четыре поля: имя пользователя, номер, срок действия и так называемый CVV2/ CVC2 код.

Мы даже не говорим о том, чтобы купить где-либо, подглядеть или достать эти параметры. Как выяснило издание Mail Online, их можно… просто грубо подобрать!

Казалось бы, любая система должна быть защищена от попытки перебора. Однако в действительности эта необходимая мера реализована на сегодняшний день далеко не полностью.

Как украсть деньги с карты путем перебора

В основе новой схемы мошенничества лежит сразу две уязвимости действующих платежных систем. Во-первых, количество попыток введения данных считается вовсе не по количеству нажатий кнопки оплатить, как все мы думаем, а по введенным кодам с конкретной фамилией.

Это отрывает потенциальную возможность действовать в обратном направлении. То есть ввести, например, код CVV2/ CVC2, срок действия, номер, а вот фамилию подбирать. В итоге количество попыток будет каждый раз обнуляться.

Более того, на современном уровне развития технологий попытка ввода данных засчитывается лишь на одном сайте. А если это делать сразу на десятках, сотнях и тысячах разных ресурсах, то это будет считаться каждый раз — визитом нового покупателя.

Таким образом, количество попыток отправки данных фактически является неограниченным. В отличие, например, от возможных сочетаний наиболее распространенных имен и фамилий.

Мнение экспертов

Подобные подстановки отправляемых данных и цифр может организовать абсолютно любой программист. Причем программа будет — совершенно несложной, просто берущей строку за строкой из предложенного словаря или, в другом поле, перебирающей цифру за цифру.

По мнению экспертов, математическая модель показывает, что угадать новое сочетание можно всего лишь за 6 секунд с использованием обычного ноутбука. Такой результат получен из обычной практики предоставления 10-20 попыток, а количество интернет-магазинов — практически не ограничено.

Кто будет платить

Представители платежных систем прокомментировали новость просто: существуют и другие способы защиты. В действительности, владельцев «пластика» защищает несколько уровней. Но на практике, конечно, мы понимаем, что с отечественных банков получить что-то вряд ли удастся. Или по крайней мере, на это потребуется действительно много времени, несколько месяцев.

Тем не менее, способы защиты от подобного рода мошенничества есть. Во-первых, клиентов защищают, правда, доставляя неудобства, выставляемые лимиты ежедневные на трансакции. Это дает возможность хотя бы ограничить возможные потери.

Во-вторых, необходимо следить за уведомлениями о трансакциях, и чуть что немедленно блокировать карту.

Во-третьих, если с карты пропали деньги, то оспаривать трансакцию не только можно, но и нужно. Следует немедленно после блокировки карты направить в банк не какое-либо обращение, а сразу претензию, и готовиться, если до финансистов не дойдет, подавать в суд.

С другой стороны, зная отечественную систему, можно сказать с полной уверенностью: крайним останется если не владелец карты, то скорее всего, интернет-магазин. Платежная система заставит банк списать с него деньги в любом случае, если сделка будет оспорена.

Впрочем, опять же, и в такой ситуации конечным плательщиком станет покупатель. Потому что потери на трансакции — в той или иной мере отразятся на стоимости товаров или услуг.