pin informer что это
Подозрительно: массовые смс с кодами активации от разных сервисов
С десятка номеров пришли однотипные смс, одно за другим — «Ваш код подтверждения…»:
Некоторые сообщения продублировались утром и вечером. Что это может быть?
Анна, кто-то мог отправить смс и вручную, вводя ваш номер на разных сайтах. Но более вероятно, что это работа автоматического скрипта — программного кода, который выполняет действия по заранее заданному алгоритму.
Попробую разобраться, чего хотел автор этого скрипта. Некоторые варианты выглядят безобидно, другие в будущем могут стоить вам денег. Вот что приходит на ум:
Обычная шутка
Начну с самого безобидного. Кто-то из знакомых, знающих ваш номер, решил ради шутки завалить ваш телефон сообщениями. Это делают с помощью программ, которые называются « смс-бомберы », или « смс-флудеры ». Не знаю, почему некоторые считают это смешным, но шутка достаточно популярная.
Как защититься. Если не планируете пользоваться сервисами, от которых пришли сообщения, просто заблокируйте имена отправителей.
Самозащита от мошенников
Создание баз номеров
Другая возможная цель такого скрипта — сбор информации. Скрипт пытается восстановить пароль на разных сервисах. Если процесс запустился, аккаунт с таким телефонным номером существует. Его вносят в базу номеров.
Использовать базу могут как угодно. Например, статистику о владельцах дисконтных карт одной торговой сети передадут в другую — и вы начнете получать от них уведомления об акциях и скидках. Или через некоторое время вам позвонит «сотрудник банка» и попытается выманить данные карты.
Как защититься. Существуют сервисы, которые подменяют телефонные номера, поэтому доля паранойи не помешает. Если вам звонят и просят срочно назвать три цифры с обратной стороны карты, чтобы заблокировать списание денег, не верьте — даже если это звонок с номера банка, указанного на карте. Положите трубку и перезвоните в банк.
Еще вариант защиты — завести отдельную симкарту для регистрации на сайтах и больше нигде ее не использовать. Если на этот номер позвонят или напишут из банка, вы будете точно знать, что это мошенник.
Попытка регистрации с подбором кода
Для рассылки спама с разводом и «мусорной» рекламой мошенники обычно создают аккаунты на чужое имя или используют взломанные. Смс с кодами активации могут говорить о том, что ваши аккаунты пытаются взломать — или зарегистрировать новые на ваш номер телефона.
При регистрации сервисы отправляют на указанный номер мобильного код проверки. Вводя этот код, вы подтверждаете, что номер принадлежит вам и вы соглашаетесь с регистрацией. У мошенника нет вашего телефона, но он может попытаться подобрать присланный вам код.
Чем длиннее код, тем сложнее это сделать. Например, если код состоит из четырех цифр, существует 10 тысяч разных вариантов, а если из шести — вариантов уже миллион.
Скрипт можно научить проверять все эти варианты и автоматически вводить коды проверки один за другим — от 000000 до 999999. Здесь все зависит от защиты сайта: ограничивает ли он количество попыток, если ограничивает, то сколько их. И можно ли повторить процедуру с тем же номером через какое-то время.
Чем больше попыток дает сайт, тем выше вероятность, что скрипт успеет подобрать код и подтвердить «вашу» учетную запись без доступа к телефону и тексту смс. Например, в 2017 году на «Хабре» писали про угон аккаунтов одного каршеринга.
Многие сайты защищены хуже, чем кажется. Специально для этой статьи я написал небольшой скрипт и попытался с его помощью подобрать шестизначный код подтверждения одной социальной сети. На удивление, сайт разрешил моему скрипту ввести больше ста разных кодов подтверждения — и только после этого сказал, что я слишком часто пытаюсь это сделать, и попросил подождать 10 минут.
Я не стал перезапускать скрипт. Но даже за одну попытку вероятность подбора — 100 к 1 000 000, то есть 0,01%. Если перебрать 10 тысяч номеров, один из них удастся подтвердить. А если длина кода всего четыре символа, то при тех же условиях хватит ста номеров, чтобы подобрать код к одному из них и получить доступ к подтвержденному аккаунту. После этого можно рассылать с него спам от чужого имени.
Анна, вы написали, что сообщения приходили с определенными интервалами, утром и вечером. Это увеличивает вероятность того, что речь идет о подборе кода. Мошенник подождал предложенное сайтом время и снова запустил свой скрипт. Возможно, пытались взломать ваши аккаунты или зарегистрировать новые на ваш номер телефона.
Как защититься. К сожалению, гарантированной защиты от такого взлома нет. Не исключено, что мошеннику удастся подобрать код и активировать аккаунт. Отдельная симкарта для интернета не поможет: мошенник все равно сможет зарегистрировать аккаунт на основную. Тут все зависит от безопасности конкретного сайта.
Если какие-то сайты вам важны или у вас уже есть там аккаунт, попробуйте сменить пароль или написать в техподдержку и описать ситуацию. Возможно, ваш аккаунт заблокируют и создадут новый или предложат какой-то другой вариант.
Утечка паролей
Время от времени в руки злоумышленников попадают базы данных с паролями пользователей различных сервисов — из-за взломов, утечек и социальной инженерии. Пароль также могут украсть с помощью троянских программ или вирусов. Более того, вы сами могли нечаянно передать пароль мошенникам, например на поддельном сайте.
Если у вас одинаковый пароль на многих сайтах, это дополнительный риск. Узнав ваш пароль к одному сайту, мошенники получают доступ и к остальным. Проверяют это тоже с помощью скрипта, который вводит украденный у вас пароль на всех сайтах подряд. Где-то пароль не подойдет, где-то аутентификация двухфакторная — сначала надо ввести пароль, потом код из смс. Если пароль подошел на нескольких таких сайтах, то и сообщений будет много.
Дальше код подтверждения попытаются подобрать по уже описанной схеме.
Как защититься. Используйте для каждого сайта уникальный пароль. Это не так сложно, как кажется: например, добавьте к вашему обычному паролю несколько первых или последних символов из названия сайта. Так вы хотя бы защититесь от автоматического перебора, если мошенники украдут один из паролей.
Маскировка важного смс
Последний вариант, который мне показался возможным, — попытка скрыть какое-то важное сообщение. Возможно, злоумышленник украл данные вашей карты и не хотел, чтобы вы увидели смс о снятии средств. Поток сообщений отодвинет нужное на второй экран, и есть шанс, что вы его пропустите и не заблокируете карту вовремя. Надеюсь, это не ваш случай.
Как защититься. Внимательно проверяйте все пришедшие сообщения и блокируйте смс от ненужных сервисов. Так проще убедиться, что сообщение от банка о снятии крупной суммы или от мобильного оператора о замене симкарты не затерялось в спаме.
Если увидели что-то подозрительное, пишите. Возможно, кто-то пытается украсть ваши деньги.
Персональный идентификационный номер (PIN)
Что такое Персональный идентификационный номер (PIN)?
Персональный идентификационный номер (PIN) – это цифровой код, используемый во многих электронных финансовых транзакциях. Персональные идентификационные номера обычно выдаются вместе с платежными картами и могут потребоваться для завершения транзакции. Персональный идентификационный номер (PIN) предназначен для повышения безопасности процесса электронных транзакций.
Ключевые моменты
Что такое персональный идентификационный номер (PIN)
Персональные идентификационные номера обеспечивают дополнительную безопасность учетной записи и чаще всего используются с дебетовыми картами, привязанными к банковскому счету человека. Когда человеку выдается дебетовая карта, он должен выбрать уникальный личный идентификационный номер (ПИН), который ему нужно будет вводить каждый раз, когда он хочет снять деньги в банкомате, и часто, когда они производят платежи в различных торговых точках.
Поскольку ПИН-коды похожи на пароли, они также используются во многих других случаях, таких как домашняя безопасность и мобильные телефоны. ПИН-код – это любой числовой метод, используемый для проверки личности человека.
Безопасность карты и личные идентификационные номера (ПИН-коды)
Персональные идентификационные номера (ПИН-коды) обычно имеют длину от четырех до шести цифр и генерируются банком-эмитентом с помощью системы кодирования, которая делает каждый ПИН уникальным, или выбираются самим владельцем счета. Обычно PIN-код выдается держателю карты по почте отдельно от связанной карты или вводится в местном отделении при личном открытии счета.
Электронная обработка транзакций и персональные идентификационные номера (ПИН-коды)
PIN-коды обычно требуются на заключительном этапе платежа, когда продавец получает разрешение на обработку карты для оплаты. ПИН-код обычно требуется только продавцу в точке продажи, а не для покупок в Интернете. После получения разрешения на обработку карты в торговый банк-эквайер отправляется сообщение, что облегчает расчет платежа.
После того, как платежное сообщение направлено в указанную сеть обработки, сеть обработки может связаться с банком-эмитентом держателя карты. Банк-эмитент выполняет дополнительные проверки безопасности транзакции, чтобы убедиться, что она не является мошеннической. Они также подтверждают, что на счете держателя карты имеются средства для покрытия платежа.
Банк-эмитент принимает дополнительные меры безопасности при получении сообщения о транзакции от продавца, чтобы обеспечить безопасность транзакции. После подтверждения банком-эмитентом сообщение отправляется через процессор в банк-эквайер продавца, который уведомляет продавца и начинает расчет по транзакции.
Проверка PIN кода банковских карт
В связи с появлением статьи «Путешествия банковской транзакции», в рамках которой стали появляться вопросы по механизму проверке PIN, хотелось бы несколько уточнить данный вопрос. В данной статье будет рассмотрен только вопрос проверки т.н. online PIN, т.е. PIN, который вводится на терминале и передается для дальнейшей проверки в систему, которая выполняет авторизацию транзакции.
Прежде чем приступать непосредственно к вопросу прокерки PIN’а карты, остановимся на некоторых теоретических вопросах.
Прикладная криптография
Алгоритм DES
В настоящий момент, основным алгоритмом шифрования для всех действия с банковскими картами является алгоритм DES (а не 3DES, который используется только для операций шифрования, преимущественно, транспортного уровня). Не вдаваясь в терминологию и классификацию алгоритмов шифрования, просто скажу, что это блочный алгоритм шифрования с размером блока 8 байт и ключом в 56 бит (7 байт). На практике, ключ DES принято представлять в виде блока из 8 байт, где в каждом байте старшие 7 бит ялвются значащими, а последний бит — незначащим. Он может использоваться для контроля целостности ключа (об этом — далее).
Т.к., в настоящее время, ключ длинной 56 бит является недостаточным, с точки зрения безопасности, то вместо алгоритма DES для шифрования принять использовать алгоритм 3DES в режиме EDE (здесь и далее под обозначением 3DES я буду подразумевать именно использование схемы EDE). Обычно, в банковской среде применяется алгоритм 3DES с ключом двойной длинны (112 бит, 16 байт), при которой на первом и третьем шаге (см. описание алгоритма) применяется один и тот же ключ.
Алгоритмы проверки PIN
На данный момент, в основном, используются следующие 2 алгоритма проверки PIN: Visa PVV и IBM 3624 PIN offset.
Visa PVV
Данный алгоритм первоначально был разработан платежной системой Visa, но, в настоящее время является рекомендованным алгоритмом проверки PIN как для карт Visa, так и для MasterCard. В основе данного алгоритма лежит значение PVV (PIN verification value), которое является криптограммой, получаемой на основе следующих величин:
IBM 3624 PIN offset
Данный алгоритм первоначально был разработан компанией IBM для использования в банкоматах IBM 3624. Как именно планировалось его использовать, история умалчивает, а автори статьи не знает, но, в данном случае, это не принципиально. В настоящее время данный алгоритм считается устаревшим, но достаточно успешно используется по нескольким причинам:
В основе данного алгоритма лежит значение PIN offset (PIN verification value), которое является криптограммой, получаемой на основе следующих величин:
HSM — hardware security module, программно аппаратный комплекс, предназначенный для выполнения криптографических операций в защищенной среде. Сам HSM должен иметь защиту, позволяющую предотвратить несанкционированный доступ к хранящимся в нем данным. В его функции входит выполнение различных криптографических проверок, включая проверку карты, PIN, криптографичесокой подписи сообщений (MAC) и различных операций шифрования таким образом, чтобы предотвратить доступ к значимой информации (ключи, значения PIN кодов). Здесь стоит пояснить, что при использовании HSM само значение ключа, в общем случае, в открытом виде (т.е. в виде, приодном для выполнения операций в соответствии с алгоритмом DES/3DES) присутствует только внутри HSM в момент выполнения этой операции. Каким образом это достигается, зависит от конкретного HSM. Для наиболее распростаненных в карточных системах HSM (HSM производства SafeNet и Thales) используются 2 механизма:
Проверка PIN
Терминология
Требования платежных систем
Проверка PIN
Далее необходимо определиться с проверочным значением PIN и дополнительными данными.
Первый вариант — это хранение проверочного значения на магнитной полосе карты после поля Service Code. Модифицированную версию ISO 7813 с указанием того, где хранится PVV, можно посмотреть здесь. По приведенному описанию формата треков стоит добавить, что под 5-и символьным значением PVV подразумевается следующая последовательность 1 символ PVKI и 4 символа самого PVV, а для PIN offset — значение PIN offset для PIN из 5 цифр. Если PIN имеет отличную от 5 цифр длину, то размер PIN offset, соответственно, изменится. Какие плюсы у этого метода. Безусловно — возможность проверять PIN для любого, кто будет иметь необходимые для проверки ключи. Здесь стоит заметить, что при запуске нового карточного подукта в платежную сеть, обычно, передаются ключи, на которых выпущена карта. Таким образом, при использовании данного метода возможность проверки PIN появляется как у самого эмитента карты, так и у платежной сети. К недостаткам такого метода можно отнести то, что данный вариант делает PIN карты статическим до тех пор, пока карта не будет перевыпущена.
Второй вариант — это хранение проверочного значения в некотором хранилище, обычно, БД системы, отвечающей за выполнение проверок при авторизации карты. В этом случае при проверке PIN необхоидмо извлечь проверочное значение из этого хранилища, а уже потом, выполнять проверку, используя это значение. Как следствие, при использовании данного метода, невозможно вполнять проверку PIN во внешней системе (в той же платежной системе) и она м.б. выполнена только в той системе, которая имеет доступ к хранилищу проверочных значений. Однако, такая система позволяет изменять PIN код карты без каких либо затрат на смену пластика (для чего это нужно, что при этом необходимо сделать и какие после этого м.б. проблемы, описывать не буду, т.к. это находится за рамками данной статьи).
Независимо от того, каким образом и кем (эмитент карты или платежная сеть) была получена вся необходимая информация, сама проверка PIN выполняется на HSM, который для выполнения проверки получает ключ PPK в защищенном виде, ключ проверки PIN в защищенном виде, зашифрованный PIN блок, проверочное значение PIN и дополнительные данные проверки, в ответ на что возвращается только результат проверки: верный PIN, неверный PIN, прочая ошибка. Т.е. в процессе проверки система, отвечающая за авторизацию, с самим открытым значением PIN кода никак не соприкасается.
Используемые материалы:
[1] Visa Payment Technology Standards Manual, лет 5 назад, на просторах интернета можно было найти версию данного документа за 2007 год, сейчас, при беглом происке, доступна только версия от 2004 года
PIN-код при оплате картой — точки над i
После прочтения нескольких статей на хабре о пластиковых картах, POS терминалах и сопутствующих вещах, мне показалось, что эта тема довольно интересна сообществу. В данной небольшой публикации я хочу окончательно разобрать тему ввода PIN–кода на POS терминалах и ответить, наконец, в меру своих знаний, на вопрос: почему же в одних случаях требуется ввод PIN, а в других — нет?
Если тема будет так же интересна сообществу – то в будущем вас ждут еще несколько статей о принципах работы всей этой кухни, всего, что связано с POS-терминальным обрудованием, процессинговыми центрами и пластиковыми картами.
Но для начала предисловие.
Так уж вышло, что работаю я в одном из банков нашей страны. Занимаюсь, собственно, настройкой POS терминалов «с нуля» и до, собственно, ввода в эксплуатацию.
Это моя первая статья, так что заранее прошу прощения за некую сумбурность, равно как и за то, что, возможно, что-либо упущу, ибо все подробности уместить в рамки статьи невозможно.
В первую очередь необходимо будет упомянуть о TMS (Terminal Management Server\Station). Вкратце — это компьютер, на котором работает некоторая программа — центр конфигурирования всех POS терминалов. Именно там создаются так называемые «файлы конфигураций приложения», то есть то, что заливается в POS и характеризует его работу.
В TMS задаются все параметры работы POS, как очень значительные (к примеру, список платежных систем, с которыми работает POS, настройки этих систем, CVM листы, action-коды терминала), так и незначительные (таких, как порядок расположения пунктов меню на экране терминала, или же дизайн чеков).
На выходе в итоге появляется специально упакованный файл, который «понимает» терминал. Этот файл и заливается в терминал.
Теперь о сути: спрашивать или не спрашивать PIN (в случае EMV карты):
На EMV-микросхему карты на этапе загрузки приложения заливается так называемый CVM-лист (CVM – Cardholder Verification Method). Также его можно менять во время транзакции специальным эмитентским скриптом, направляемым с процессингового центра, но эти тонкости я позволю себе отпустить.
Каждый банк-эмитент выбирает CVM-лист исходя из своих требований. Вот пример классического CVM-листа:
Расшифровка выглядит так:
И читается слева направо (заранее прошу прощения за корявую схему от мастера пайнта минус 92 левела):
На самом терминале тоже есть свой, терминальный CVM-лист. Он задается в TMS на этапе составления конфигурационных файлов, которые заливаются в POS. Его настраивает банк – эквайрер, опять же, согласно своим запросам.
Работает же всё весьма просто: во время транзакции два CVM-листа (карты и терминала) сравниваются. Срабатывают только те методы проверки, которые совпадают в обоих листах (по сути выполняется проверка пересечения CVM-листов). Остальные методы отбрасываются!
То есть в данном примере алгоритм таков:
Спросить криптованный PIN (предварительно проверив, есть ли в CVM-листе терминала такой метод), если юзер отказывается (это то самое нажатие красной кнопки на PIN-клавиатуре) – запросить оффлайновый открытый PIN (а отказаться он имеет право – см. картинку), если снова отказывается – запросить онлайн-PIN (проверяется не картой, а хостом), если снова отказался — запросить подпись (от нее уже отказаться нельзя — снова см. картинку). Если же в CVM-листе терминала нет проверки по подписи – метод пропускается (это НЕ приравнивается к отказу!) и используется метод «No CVM» с условием «If not unattended cash and not manual cash and not purchase» (но обычно он мало где используется). Если же и этого метода в CVM-листе терминала нет – то проверка не проходит и транзакция отклоняется.
Естественно, число различных вариаций CVM-листов карт и терминалов — и уж тем более их сочетаний — весьма велико. Так что теперь, думаю, всем стало более ясно, почему карта в устройстве запрашивает PIN, а в другом устройстве та же самая карта просит подпись. И почему другая карта исправно работает с запросом PIN в том же устройстве, а карта, что работает в третьем – тут вообще отказывается работать. Так же надеюсь, что после прочтения данной статьи тема запроса PIN-кодов при оплате с карты стала более понятна и прозрачна и удивляться в магазинах по этому поводу больше не придется.
Опасные сообщения, которые могут прийти на телефон
Встройте «ИНФОРМЕР» в свой информационный поток, если хотите получать оперативные комментарии и новости:
Подпишитесь на наш канал в Яндекс.Дзен
Добавьте «ИНФОРМЕР» в свои источники в Яндекс.Новости или News.Google
Также будем рады вам в наших сообществах во ВКонтакте, Фейсбуке, Твиттере, Одноклассниках
«Ваша карта заблокирована»
На телефон пришло сообщение, что банковская карта заблокирована, и указан номер телефона, по которому нужно срочно всё выяснить. Если вы наберёте его, то в ответ услышите, что возник технический сбой, а для его устранения необходимы реквизиты вашей карты. Не стоит на это реагировать. Так могут действовать только аферисты.
«Вы выиграли главный приз – автомобиль!»
Получив сообщение «Поздравляем, вы выиграли автомобиль!» можно потерять дар речи и подпрыгнуть до потолка. Не радуйтесь ведь ничего в нашей жизни просто так не даётся. Далее следует пояснение: автосалон сотрудничает с вашим мобильным оператором, поэтому именно вы оказались в списке участников. Но для участия в розыгрыше для приобретения новенькой машины Вам следует заплатить взнос, причём нескромный.
«Предлагаем денежную работу»
«Извините, случайный перевод»
Если вдруг в СМС неизвестный абонент уверяет, что по ошибке перевел вам на карту или номер телефона деньги, не спешите их возвращать. Это развод, лучше проверьте свой баланс!
«Как отказаться от рекламы?»
Будьте осторожны, если вам настойчиво предлагают услугу отказаться «от рекламы». Для этого, мол, стоит отправить на короткий номер определенный набор цифр, потом придет ссылка, по которой нужно перейти, чтобы отписаться. Если действительно перейдете, то с телефона снимут деньги.
«Хотите приобрести товар лучше?»
Чаще рискуют те, кто пользуются сайтом объявлений: продает или готов бесплатно отдать свои вещи. На телефон поступает СМС – предложение обменять ваш товар на лучший, посмотреть его можно, пройдя по ссылке. Кликнув на него, вы на свой телефон загружаете вирус, который взламывает мобильный банк и «уводит» имеющиеся там деньги.
В связи с этим полиция Севастополя призывает не верить незнакомым, которые предлагают перечислить им денежные средства под каким-либо предлогом. Предупредите родных и близких, особенно лиц преклонного возраста, о необходимости соблюдения мер предосторожности при общении с неизвестными людьми.
Если же вы пострадали от действий мошенников, следует немедленно обратиться в ближайший районный отдел Министерства внутренних дел России или по тел. 102.
Встройте «ИНФОРМЕР» в свой информационный поток, если хотите получать оперативные комментарии и новости: