Банк утверждает, что дебетовая карта была отсканирована физически - за полконтинента отсюда. Что могло случиться?

У меня была одна и та же дебетовая карта в течение нескольких лет, и до вчерашнего дня у меня никогда не было проблем с мошенническими платежами. Я внимательно отношусь к тому, где я использую номер своей дебетовой карты в Интернете, и я довольно бдительно отношусь к компьютерной безопасности, хотя, конечно, не идеально.

Вчера я проверил свою банковскую выписку и увидел два странных платежа, один в Вайоминге, а другой в Калифорнии, оба буквально на полконтинента от меня. Оплата в Вайоминге была немедленно возмещена, а другая нет, поэтому я позвонил в свой банк, чтобы узнать, что происходит. Человек, с которым я говорил, сказал мне, что карта использовалась около 30 минут назад, и что ее система показала, что она использовалась физически в Калифорнии. И это несмотря на то, что вещь была в моем кошельке в начале дня, и прямо перед тем, как я позвонил в банк. Я проявил должную осмотрительность в отношении карты и мошеннического списания средств, но мне любопытно: как такое могло произойти? Я понимаю кражу информации о чьей-то карте и ее использование, но взимаю плату так, что система банка «думает» он был физически удален? Может ли кто-нибудь дать некоторое представление о том, что стоит за этим? Спасибо.

Дополнение: у карты нет чипа, и я не спрашивал, производилась ли плата за Вайоминг с помощью физической карты.

РЕДАКТИРОВАТЬ: я должен был изначально указать, что я уже отменил карту. Спасибо всем, кто ответил до сих пор.

Я бы порекомендовал получить другую карту, когда моя карта была клонирована, они связались со мной, прежде чем я заметил, и сказали, что мне вернут деньги, если я подтвержу, что это не я.
Возможно, вы захотите попросить свой банк заменить все ваши карты на карты с чипами, а если они не могут, рассмотрите возможность перехода в банк, который это сделает. На самом деле я думал, что чипы сейчас требуются везде в США, но, очевидно, это не так.
@Todd Wilcox Строго говоря, нет «требования», но правила ответственности сильно его стимулируют. Если на карте нет чипа, ответственность ложится на эмитента; если на карте есть чип, но продавец его не поддерживает, то ответственность ложится на него.
Выбегайте и совершите покупку с картой в подарок с чипом прямо сейчас. Им будет трудно объяснить, как вы можете ввести CA, а затем снова указать свое местоположение через 8 часов, когда даже идеальное сочетание такси, безопасности в аэропорту, беспосадочного полета и такси не может так быстро доставить вас между этими двумя точками.
У него магнитная полоса или только чип?
Вполне возможно, что транзакция может отображаться как транзакция из другого состояния, если транзакция была в сетевом ресторане или у другого поставщика — они часто направляют все кредитные транзакции в центральное место. Однако в случае сообщения о считывании физической карты это, безусловно, скиммер, как говорили другие.
@Chris Вчера я получил новую карту. Сейчас я должен пойти оформить документы, чтобы снять обвинение, якобы чтобы подтвердить, что это был не я.
@ToddWilcox Да, я так и сделал, и в новой карте есть чип.
@Harper Да, у моей старой карты не было чипа, но я позвонил примерно через 20 минут после того, как произошло предполагаемое «проведение» моей карты, и я был в своем банке примерно через 30 минут после этого.
@PeterTaylor Спасибо, что указали на это, готово.
@user Я имел в виду получить другую карту от нового провайдера и прекратить использовать эту карту.
Я не могу найти подтверждающую статью в Интернете, поэтому я не публикую это как ответ, но, очевидно, есть способ превратить ваш смартфон в кредитную карту таким образом, чтобы он работал с обычным устройством чтения карт. Я продолжаю получать «Google Pay» или «Google Wallet», но ни один из них явно не говорит, что это будет сделано. Может быть, этот вор был достаточно изощрен, чтобы сделать это со своим телефоном, так что он на самом деле выглядит полностью законным со стороны банка, поскольку он был бы обработан обычным способом. У меня были аннулированные банковские платежи из-за физических ограничений на поездки, как и в вашей ситуации.
Похоже, у вас есть много хороших ответов здесь (и один, который вы приняли), однако вы можете найти больше информации по этому вопросу в информационной безопасности SE .

Ответы (4)

Возможно, вашу карту взломали . Это работает, когда мошенник получает физический доступ к вашей карте, например, из поддельного приложения к законному устройству чтения карт, а затем создает дубликат карты. Затем эту дубликат карты можно отправить куда угодно, в результате чего ваша карта будет выглядеть «отсканированной на расстоянии».

Обратитесь в свой банк и попросите их заблокировать вашу текущую карту и выдать вам новую карту.

В комментариях ниже Adonalsium поделился ссылкой с дополнительной информацией о технологиях, используемых скиммерами: «У Брайана Кребса есть фантастическая серия статей о скиммерах. krebsonsecurity.com/all-about-skimmers » .

Обратите внимание, что не только карту можно отправить куда угодно, но и данные, а затем карту воспроизвести, я видел, как это происходило через 5 минут после того, как карта была снята в другой части мира.
Просто чтобы замкнуть круг, это причина добавления фишек к картам. При чтении они не передают секреты, которые потребовались бы для дублирования чипа.
Около 10 лет назад у меня была корпоративная кредитная карта, которую я никогда не использовал за пределами онлайн-транзакций. Я получил уведомление от банка-эмитента о том, что карта использовалась для физического считывания в другой стране, в то время как карта все еще была у меня, и прошло более года с момента моего предыдущего использования. Карта никогда не проводилась в физическом месте, поэтому ее нельзя было снять. Я считаю, что можно создать физическую копию без предварительного просмотра.
@JimmyJames У вас есть источники того, как они работают? Мне крайне сложно поверить, что невозможно воспроизвести вывод, даже если структура самого чипа неизвестна. С учетом сказанного, это явно работает (по крайней мере, насколько я слышал), и мне любопытно, как они это делают.
Общий ключ @NicHartley и открытый ключ являются известными криптографическими алгоритмами. Самый простой способ, который я могу придумать, это подписать tuple (time, terminal, payment, nonce). Тем не менее, были известны атаки на конкретную реализацию технологии чипов. Вероятно, лучше было бы использовать security.se или cryptography.se.
@NicHartley На очень высоком уровне они работают по тому же принципу, что и HTTPS: криптография с открытым ключом. RSA — хорошая отправная точка для понимания того, как это возможно. У меня была похожая реакция, когда я впервые узнал о криптографии с открытым ключом.
@NicHartley: tldr заключается в том, что в чипе карты жестко запрограммировано случайное уравнение, и банк знает уравнение вашей карты. Когда вы вставляете, банк дает карте набор случайно сгенерированных чисел, карта прогоняет эти числа через уравнение и отправляет обратно результат. Банк может подтвердить, что результат правильный. Каждая вставка получает новые случайные входные данные из банка. Таким образом, мошенник может прослушивать ввод и результат, но этого недостаточно для дублирования вашей карты, пока они не просканируют одну карту миллиарды миллиардов раз.
О, теперь я вижу свою ошибку. Я предположил, что они похожи на чипы RFID, просто снова выводят одно и то же значение — я не понимал, что они могут что-то вычислять.
@NicHartley Это криптография с низким энергопотреблением; они получают свою энергию от «радио» поля сканера. :)
@Yakk Да, после просмотра нескольких ресурсов Wikipe ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ Впечатляет, как они превращают относительно небольшую мощность радиоимпульса в энергию, достаточную для выполнения фиксированных вычислений и передать результат.
@Yakk: RFID таким образом получает власть. Чип имеет реальный физический контакт с электроникой в ​​считывателе.
@Beofett, обычно вы можете угадать правильную информацию для размещения на карте по имени, номеру и дате истечения срока действия. en.wikipedia.org/wiki/ISO/IEC_7813
Бесконтактные платежные карты @WGroleau (и другие) питают чип без физического контакта и могут выполнять ту же криптографию, что и обычные контактные чип-карты.
@wgro Мой чип бесконтактный; по общему признанию, возможно, бесконтактным не хватает безопасности.
Бесконтактный — это RFID, обычно не способный делать что-то большее, чем отправка уникального идентификатора. Те, у кого есть контакты, очень похожи на SIM-карту, хранят информацию и (возможно) выполняют ограниченный объем обработки. Бесконтактную карту можно считать и продублировать удостоверение личности, поднеся к ней приемник. Вот почему люди зарабатывают деньги, продавая экранированные кошельки.
@JimmyJames: нет, чиповые карты были созданы в первую очередь как попытка банков снять с себя ответственность за предотвращение мошенничества.
Физическая карта не нужна. Украденный номер карты мог быть использован продавцом, который нечестно сообщает о наличии карты, чтобы получить более выгодную ставку от платежного шлюза. (Я был разработчиком программного обеспечения в компании, которая занималась этим. Я уволился.)
@WGroleau, хотя в США существует отклонение, известное как бесконтактная магнитная полоса, в большинстве других стран в бесконтактной версии используется тот же самый чип, что и в контактной версии. Вы по-прежнему можете очень легко прочитать номер карты и некоторые другие вещи, но если вы хотите совершить платеж, вам понадобится чип для подписи транзакции, точно так же, как и для обычного контактного платежа.
Магнитная полоса не имеет значения. Когда вы нажимаете, вы используете RFID и не читаете ни магнитную полосу, ни чип. RFID не может передать столько информации, сколько может содержать шестиконтактный чип или магнитная полоса.
@WGroleau Contactless не является синонимом RFID. Метка RFID — это чистое хранилище (считыватель считывает некоторые данные). Однако он может хранить намного больше, чем магнитная полоса (<100 байт против 1–4 КБ). Кредитная/банковская/платежная карта всегда содержит чип, который используется даже для бесконтактных операций. Его невозможно скопировать без оборудования, которое стоит гораздо больше, чем то, что вы можете получить, копируя кредитные карты. Риск, который предотвращают экранированные кошельки, заключается в том, что мошеннический считыватель связывается с картой, и карта отвечает, подтверждая платеж, поскольку для проверки бесконтактного платежа не требуется никакого вмешательства пользователя.
@Beofett В настоящее время формат данных большинства карт известен и, следовательно, может быть воспроизведен без карты, когда информация известна. Однако и в прошлом были случаи, когда данные карт копировались прямо на заводе (в массовом порядке) коррумпированными сотрудниками, до того, как карты отправлялись клиентам. В одном случае банк хотел обвинить клиентку, но она смогла доказать, что вообще не открывала конверт.
Комментарии не для расширенного обсуждения; этот разговор был перемещен в чат .
@Beofett Обратите внимание, что карту можно снять, пока она находится в вашем кошельке, в вашем кармане. (Таким образом, появление RFID-кошельков .) И, как уже говорили другие, ту же информацию можно получить из других источников.
У Брайана Кребса есть фантастическая серия о скиммерах. krebsonsecurity.com/all-about-скиммеры
@jpaugh Это миф. «Кошельки RFID» существуют, потому что люди без ума от FUD.
@Fax Если у вас есть источник, это было бы очень полезно.

Ваша карта была либо снята со счета, либо каким-то образом клонирована. Одна из проблем системы «полос» заключается в том, что ее очень легко взломать/подделать. Это технология 1970-х годов.

Банковская система построена на доверии; намного больше, чем вы могли себе представить. Было и остается большое сопротивление переходу на «чипы» из-за определенных затрат на это по сравнению с возможной экономией за счет уменьшения мошенничества. В конечном итоге это было решено с помощью изменения ответственности : с октября 2015 года продавцы, которые все еще используют полосу, снимают с себя ответственность за мошенничество . Таким образом, каждому предприятию остается «просчитать цифры» и посмотреть, стоит ли им затрат на переоборудование чипов.

Подобные переносы ответственности — это пример того, как банки справляются с рисками. Вот почему вам нужно обратить внимание на правила кредитных и дебетовых карт, а также на практику и прецедентное право, которые следуют: Comerica против Experi-Metals (EMI) приходит на ум. Имейте в виду, они не пишут прецедентное право, но они пишут правила.

Возможно, вы сделали все это, когда оценивали, использовать ли дебетовые или кредитные карты, но я, например, пришел к другому выводу. У меня сложилось впечатление, что вы, вероятно, одержите победу над этими новыми сборами за предъявление карты в конечном итоге , если будете придерживаться их, но спорные деньги не будут доступны вам, пока длится длительный процесс.

В зависимости от того, являетесь ли вы банком или нет, вы также можете заявить, что Европа откатилась на 5+ лет назад, поскольку какое-то время банки использовали чип и пин-код как средство, чтобы полностью освободить себя от мошенничества, утверждая, что карты защищены от взлома. .
@whatsisname Бросать Европу в одно ведро из-за этого может работать для европейских законов, но не для общего «насколько далеко они с технологиями». Когда я переехал в Нидерланды в 2010 году, «пиннен» (оплата с помощью чипа банковской карты и PIN-кода) уже был способом оплаты, даже если вы просто покупаете пачку жевательной резинки за 70 центов. Начиная с ~ 2 лет назад, доступный в большинстве мест, вы можете просто держать свою карту на расстоянии ~ 2 дюймов от устройства чтения карт без PIN-кода на срок до 50, - / день. Здесь шутят, что расплачиваются «металлом и бумагой», а между тем в «большой» Германии наличные по-прежнему являются нормой.
«в основном хихикают и спорят о том, кто будет платить за преобразование». По моему опыту, на самом деле люди против перемен. Кажется, все думают, что из-за того, что карта должна сидеть в ридере, она работает значительно медленнее. Лично я думаю, что они просто думают, что это медленнее, потому что это заставляет их обращать внимание, а не просто смахивать и отключаться на минуту.
@Marie: Это медленнее из-за использования крайне маломощных процессоров в дешевых конечных ридерах. Теперь читатели должны заняться криптографией.
Я имел в виду, что по моему опыту это на самом деле не кажется медленнее. Мне нужно дольше оставаться на связи со считывателем, но мне не нужно ждать после извлечения карты, как я делаю, проводя пальцем по экрану.
@Джо, хорошо. Отредактировано.

Здесь есть три возможности:

  1. Вы прилетели в Калифорнию, воспользовались картой и улетели обратно, и забыли, что совершали эту поездку.

  2. Невидимые марсиане телепортировались в ваш дом, украли кредитную карту из вашего кошелька, телепортировались в Калифорнию, где они использовали ее для совершения покупки, затем телепортировались обратно и положили ее обратно в ваш бумажник, прежде чем исчезнуть.

  3. Кто-то сделал фальшивую карту с номером вашего счета.

Я собираюсь пойти на риск и сказать, что это, вероятно, № 3.

Очевидно, что компания, выпускающая кредитные карты, может записать номер вашего счета и все на карту. Нет никаких причин, по которым мошенник с подходящим оборудованием не может сделать то же самое. Хитрость заключается в том, чтобы получить необходимую информацию. Существует множество способов сделать это, от взлома компьютера компании-эмитента кредитной карты до перехвата сигналов от устройства чтения карт, где вы использовали карту, и т. д.

Конечно, в 2018 году, как только они получат данные, их передача на расстояние в 1000 миль займет не более нескольких секунд.

Является ли пункт 2 клеветой против Мэтта Деймона?
Марсиане не могут исчезнуть, если они уже невидимы. Они просто ушли :-)
@dave_thompson_085 Может быть, они и не ушли... они просто хотят, чтобы вы так думали.

Вам придется пройти через обычные процедуры взлома этой учетной записи. Свяжитесь с компанией CC и сообщите им об этом. Вам, вероятно, придется заполнить форму, чтобы оспорить эти обвинения. Этот счет должен быть закрыт как можно скорее и выпущены новые карты.

Это, как правило, немного хлопотно, так как у многих из нас есть карта, сохраненная для автоматических транзакций для вещей от Apple / Samsung до оплаты счета за воду. Все они должны будут ввести новые номера счетов.

Учитывая, что ваша карта не имеет чипа, мошенник мог сделать новую карту, продавец может лгать, или, возможно, CSR компании CC предоставил вам неверную информацию.

Как только мошенничество обнаружено с кредитной или дебетовой картой, эта карта должна быть закрыта как можно скорее.

Мошенник может нанести полосу (полосы) на карту с поддельным или сломанным чипом, и даже продавец с чипом примет это как полосу, а не откажется от сделки. И, как уже отмечалось, многие продавцы в США еще не обновились и даже не могут определить отсутствие чипа.
Банк утверждает, что дебетовая карта была отсканирована физически - за полконтинента отсюда. Что могло случиться?
СпросиСетьПолитика конфиденциальности1y, 0v