Мифы и реал оплаты в шопах по банковским картам

Навеяло темой http://guns.allzip.org/topic/20/459649.html
Было несколько тезисов, начиная с главного "не вырви я чек, ничего бы не доказал.
Но, сначала об общем, чтобы перейти к частному.

Карты бывают дебетные и кредитные, но в данном случае нас это не касается - просто для уточнения терминологии. Кредитка в просторечьи - банковская карта неизвестного продукта.

Для начала простой миф.
При оплате в магазине покупки по банковской карте берется комиссия.
Это не так в известных мне платежных системах. Если где наоборот - прошу сообщить, о какой платежной системе идет речь.
Более того правила платежной системы запрещают дискриминацию оплаты по банковским картам vs наличка. Под эту дискриминацию попадают - проценты а также скидки, которые существуют только при оплате наличкой (некоторые шопы жтим балуются). Бесплатного ясен пень не бывает - торговую уступку платит торговец банку. Но сумма оплаты по карте не должна превышать оплаты наличкой. Торговец в свою очередь заинтересован привлечением клиентов (где не заинтересован - там и нарушения) и иногда - нюансамм инкассации.
Иногда для привлечения клиентов банк идет на бонусы - отрицательная комиссия - т.е. за покупку в магазине банк еше и приплатит. Но это строго по инициативе банка или магазина.

Второй миф, посложнее.
одно проведение карты - одна операция или можно ловко пару раз незаметно провести карту и сделать две оплаты
Карта не всегда успешно читается с первого раза, поэтому не надо кричать на кассира зачем вы пять раз проводите карту, объясняю почему.
Для проведения операции надо собрать следущие сведения.
Вид операции - ну, тут у нас автоматом продажа.
Сумма операции.
Данные по карте.
Операция проходит по следущему не такому простому пути.
Определяется сумма операции (на некоторых терминалах бывает сначала предлагают провести карту, но на кассах обычно сначала определяют сумму операции), т.е. если касса оснащена читалкой штрих кодов, то все наименования товаров, занятых в операции, выстраиваются в список - это непростой процесс и список не изничтожается до печати чеков, возможность для махинации - включить в список товаров свой товар (просто сумму в нормальном ПО добавить нельзя - должен быть товар, более того, имеющийся по учету в наличии - касса в нормальном ПО связана с базой данных магазина). При данном виде махинаций важно не дать клиенту чек со списком товаров, но - есть варианты ПО, которые для каждого ЧП могут печатать отдельный чек. Так, если покупаете водку и колбасу, то водка может быть в одном чеке (одно чп), колбаса - в другом. Если вам дадут чек только про колбасу, про пробитую водку будет узнать непросто. В нормальном ПО, повторюсь, дополнительно идет сводный чек на всю сумму покупки, но хитрый кассир может его спрятать, а дать вам все же отдельный чек за колбасу, причем на этом отдельном чеке может быть даже не написано, за что он - только сумма.

Далее при выборе формы оплаты по карте нормальные кассы автоматически переносят сумму к сумме операции. В дибильном ПО могут быть варианты, когда кассир вводит сумму вручную или имеет право корректировать ее в бОльшую сторону.

Далее. Запрос пина. Некоторые карты требуют для покупки ввод пин-кода. С одной стороны - не зная пина, не купишь. С другой - вопрос о сумме операции, под которой вводишь свой пин. В нормальном ПО сумма операции выводится на экране пинпада - надо внимательно смотреть. Если суммы нет - она должна быть где-то изображена - хотя бы на одном из экранов кассы. Но, даже если на экране написано одно, а на авторизацию ушло нечто другое - таки есть шанс на разбор полетов.

Далее. Авторизация. Сервер магазина посылает запрос в центр авторизации. В запросе есть вид операции, сумма, данные карты и, если вводился пин - пин в зашифрованном виде.

Заметьте - на протяжении всего цикла шоркать карту десять раз смысла нет.

Далее. Центр авторизации присылает ответ - разрешает или запрещает операцию. Если операция была разрешена, то операции присваивается уникальный номер - код авторизации. Этот код авторизации ДОЛЖЕН БЫТЬ РАСПЕЧАТАН НА ЧЕКЕ по операции.
Касса должна выдать чек на операцию (он может войти в состав чека со списком товаров).
В этом чеке должно быть
дата и время операции
КОД АВТОРИЗАЦИИ
Кусок номера карты.
Если Вы не вводили пин, касса печатает дубликат чека по операции, где должны быть те же данные и место для подписи клиента (т.е. вашей подписи).
Что может сделать кассир. Он может заныкать этот чек по операции и дать вам на подпись чек на колбасу. На чеке на колбасу не будет ни кода авторизации, ни куска номера карты.

Для чего нужна подпись на чеке. Чек с подписью в общем случае появляется на сцене тогда, когда клиент оспаривает операцию "я такого не проводил". Деньги же обычно списываются без изучения подписи на чеке.
Тут подбираемся к главному - для чего весь этот рассказ.
Банк в такой ситуации защищает интересы клиента. Если банк клиента и подозрительный магазин в одном городе, то ситуация с разбором полетов намного упрощается.
Кроме того, на каждом этапе прохождения операции от кассы к локальному серверу, от сервера к центру авторизации и далее обычно остается учетная запись. Последнее время номер карты в явном виде хранить нельзя, но для разбора полетов применяется "шифрованный" аналог - хэш. Т.е. зная номер карты - можно получить хеш и посмотреть, проходила ли карта с этим хешем в такое-то время и на какую сумму.

В некоторых ПО есть дибильная возможность провести карту перед завершением операции (или даже после печати чека) - если по, работающее с кардридером запоминает проведенное и запомненные данные могут остаться для следующей операции. Но как правило ПО перед запросом на проведение карты чистит буфер кардридера как раз против таких последствий.

Появились подозрения, что кассир что-то приныкал - чек по операции не содержит кода авторизации, данных карты и вообще есть подозрения, что это - левый чек..
Вызывается милиция. Требуется администратор. Звонится в свой банк.
Банк - на предмет установления параметров операции по вашей карте. Банк скорее всего (в общем случае, без кодового слова) будет не вправе озвучить сумму операции, но скорее всего сможет ответить на вопрос - писать заявление или озвученная Вами сумма сошлась и нет других операций. Служба процессингового центра банка обычно круглосуточная.
Милиция - на предмет подачи заявления и составления протокола. Администратор - на предмет предъявления лога с сервера.
Отбить операцию можно бы и без милиции, заметив расхождение потом, но нюанс в том, что подписанный вами чек остался и по этому образцу можно попробовать сфальсифицировать подпись. Поэтому милиция нужна и на предмет фиксации какие чеки имеются в наличии, чтобы ничего левого не появилось потом.
Для всего этого не надо никого бить. Есть подписанный Вами чек на мелкую сумму. Есть логи на офигенную. Вы стоите у кассы. Кассир не сможет объяснить, как это так получилось. Дальнейший разбор полетов легко устанавливает, в какой момент мелочь превратилась в крупное и обратно. Особо ушлый кассир теоретически может и заблокировать датчики наличия бумаги на втором принтере и чек на превышение вообще не вылезет, но разбор полетов тем не менее - возможен.
По идее - касса - все же комп и теоретически злодей может фальсифицировать многое, но для этого нужен опыт и отмороженность - это ж выявляется - система работает так, что везде остаются следы, дающие возможность выявить и уличить химиков.

Еще один вариант кражи зарплат у купивших вотки за 300 рублей - банальный. Клиент приходит с заявой, куда делись его деньги, а взбудораженная сб банка находит видеозапись косого в хлам клиента, снимающего деньги с банкомата - т.е. косой, не контролирующий себя клиент может и наснимать и растратить и не вспомнить.
Во избежание - пин не хранится ни на магнитной полосе карты ни в процессинговом центре. Ни даже в шифрованном виде. Для сверки в бд используется хеш, т.е. такой шифр, который только зашифровывается, а в обратную сторону - не раскручивается. Сверкой занимаются специально устроенные железки, даже устройство корпуса которых препятствует возможности скрытного несанкционированного подключения и съема информации.

Я работал в техподдержке супермаркетов, кассовое ПО знаю неплохо 😊

SwD
просто сумму в нормальном ПО добавить нельзя - должен быть товар

SwD
и список не изничтожается до печати чеков

SwD
должен быть товар, более того, имеющийся по учету в наличии

SwD
По идее - касса - все же комп и теоретически злодей может фальсифицировать многое

SwD
но для этого нужен опыт

А самое главное - 90% кассиров совершенно необразованы в этой области, и даже со своими обязанностями едва справляются. Не для их мозгов 😊

Эйнхерий
...А самое главное - 90% кассиров совершенно необразованы в этой области, и даже со своими обязанностями едва справляются. Не для их мозгов 😊

Лично я, в примерно 40 магазинах, которые обслуживал - не видел ни одного более-менее грамотного кассира. Да и просто неоткуда им такие знания получить - ПО специфическое, права урезаны, повторюсь, если только какой-то сговор с техническим специалистом.

А столь кривого ПО, как описывает автор, в сетевых магазинах нет (по крайней мере, в Питере).

А столь кривого ПО, как описывает автор, в сетевых магазинах нет
Не описывает, а упоминает возможность существования. В сетевых - действительно скорее чисто теоретическая.
Ведь напишешь "не бывает", так обязательно нарисуется какой-нить сранский шоп с уникальным ПО через ж..
Ну и за время становления отрасли кой-чего доводилось наблюдать - мало ли где какие реликты остались из эпохи скрещивания ужа с носорогом. Может даже и с каким подзапретным решением.
Суть в другом - даже с носорожьим ПО можно найти концы даже без мордобития 😊

Случай в Перекрестке. В очереди передо мной стоит тетка с бутылкй дорогой конины, 3700 рэ или что-то в этом роде. Расплачивается картой Сбера. Кассир осуществляет все необходимые операции с картой и отдает ее тетке. Покупательнице коньяка на мобильный приходит СМС о списании денег со счета. Следом, с интервалом секунд в тридцать приходит еще одна СМСка о списании такой же суммы повторно. Начинается ор и истерика, типа какого буя вы два раза конину пробили при наличии ОДНОЙ бутылки. Кассир в отказ, типа ничего такого не было. Чем история закончилась я не знаю.

Вопрос вот в чем: Возможен ли такой вариант мошенничества - сумма на один товар списывается дважды, у покупателя СМС-сервис не подключен, и, он довольный уходит. Вечером или на след. день (если лох не очухался) от имени покупателя пишется заявление об ошибочном снятии суммы с карты, после чего требуемая сумма изымается из кассы и кочует в карман всех заинтересованных лиц. Все шито-крыто, лохобоище в пролете. По документам неправильно снятую сумму вернули налом. Или это фантастика?

Infidel
Возможен ли такой вариант мошенничества - сумма на один товар списывается дважды, у покупателя СМС-сервис не подключен, и, он довольный уходит.

А СМСки банков глючные - мне например после оплаты кредита всё равно получаю послания, дескать, заплатите немедленно!

Эйнхерий
Только если два раза пробить товар. Что будет видно в чеке.

А если будет два чека? Один из которых просто не отдается покупателю. Есть ли возможность на кассе НЕ ПЕЧАТАТЬ чек? Второй чек в данном случае.

😊

Infidel
А если будет два чека? Один из которых просто не отдается покупателю.

Infidel
Есть ли возможность на кассе НЕ ПЕЧАТАТЬ чек?

Плюс, повторюсь, карту кассиру в любом случае снова придётся взять, когда один чек уже пробит - что сразу его выдаст.

Llevellyn
Llevellyn

Это чаевые пробили 😊

либо логисты при приходе товара его так лихо обозвали.
если в магазине кассир имеет доступ к записи штрихкода товару, то тут да, могут быть веселые моменты, но это для более мелких/сеток магазинов

zxc4
но это для более мелких/сеток магазинов

Либо фотошоп, либо IT-отдел отмечал первое апреля. Кассир не может ввести какой-то товар в принципе -

Llevellyn
дык это вроде из бара какого то чек, судя по товарам.

Llevellyn
Может у кассира там прилеплен где то штрих-код от товара "ни за что"

Если сам кассир - то это ахтунг с точки зрения безопасности. Слишком большие права для человека, непосредственно контактирующего с деньгами.

А кто его загрузил в систему-то? Не сам кассир же.

Если сам кассир - то это ахтунг с точки зрения безопасности.

Llevellyn
вообще то по НТВ как то показывали расследование про кражи с кредиток - выяснилось, что кассир был повязан с директором, и делили навар между собой.

Случай в Перекрестке. ... Покупательнице коньяка на мобильный приходит СМС о списании денег со счета. Следом, с интервалом секунд в тридцать приходит еще одна СМСка о списании такой же суммы повторно.
Это технические моменты.
Например, послан запрос, центр дал ответ, но из-за связи ответ не был получен полностью/не был получен вовсе, но это видно только на стороне кассы, центр думает, что все, что надо - отослал. Что делать - неясно. Схемы решения ситуации может быть разные, в том числе повторный запрос на авторизацию (причем автоматически). Далее в зависимости от принятой схемы - либо устаревшая операция отменяется сразу и автоматически (но тетке не пришло смс о отменне - м.б. система недонастроена) либо (что чаще) - лишняя операция будет отменена по завершению рабочего дня, когда сервер скидывает центру все операции, которые посчитали проведенными на кассе. Лишние операции будут выявлены и отменены автоматически.

А если будет два чека?
Не будет. Процедура строго последовательна - ввод суммы, уведомление клиента о сумме, проведение карты, (ввод пина), запрос-ответ, печать чека, подпись (если без пина).
Несколько чеков на одну покупку сейчас может печататься, если товары продаются от разных чп (обычно спиртное - отдельно из-за налогов, лицензий). Но должен быть и единый чек на операцию, на сумму операции с реквизитами операции - код авторизации, дата, время, часть номера карты.

Есть ли возможность на кассе НЕ ПЕЧАТАТЬ чек?
Если хитрым способом заблокировать датчики бумаги при отсутствии ленты.
Но учитывая поток - это нереально - тут печатаем, тут не печатаем.
ПО (нормальное ПО) предусматривает контроль за печатью чека.

SwD
Если хитрым способом заблокировать датчики бумаги при отсутствии ленты.

SwD
Если хитрым способом заблокировать датчики бумаги при отсутствии ленты.

Но у кассира мозгов не хватит 99,9%.
Да оно технически непросто - если очередь - то надо чек, то не надо, если это не отдельный принтер для печати чеков по карточным операциям.
Обычно (обычно!) реквизиты операции печатаются в клиентском чеке вместе со списком покупок. На подпись может печататься отдельный чек без списка покупок, но с теми же реквизитами, под которыми и ставится подпись - согласие клиента.

В любом случае - химичить в шопе с картами - все одно, что красть оставляя визитку - следов дофига, как только гражданин обнаруживает пропажу. Ну может раз наколят с поддельной подписью - банк незамутненно пошлет нестойкого клиента с претензией, другой.. На третий - будут оргвыводы и стойкий клиент получит свое обратно.
Кроме как в магазин имеет прямой смысл сообщать о замеченных безобразиях в свой банк. Местами, конечно, могут попробовать отмазаться. Но многие вопросы решаются в результате решаются уже на другом уровне. Ведь именно банк имеет полную информацию о судьбе операций и более того - может вести диалог кто там у них кому чего в реале должен отстегнуть.

SwD
если это не отдельный принтер для печати чеков по карточным операциям.

Нигде такого не видел.
Аналогично. Но не факт, что такого нигде нет!! 😊
Фантазия позволяет представить вариант кассы с подключенным pos вместо сервера, а там и принтер свой есть..

Мсье знает толк... 😊

Есть магазины, у которых касса с штихкодом отдельно, а терминал для карт - отдельно... вот тут простор для кассира, imho... например на мелкой покупке картой провести, сказать "не читается почему-то, не могли бы вы наличными дать", а потом в догонку транзакцию ему на N рублей, под прикрытием следующего чека...

Есть магазины, у которых касса с штихкодом отдельно, а терминал для карт - отдельно...
Есть такие, да. Обычно терминал дает два чека по операции (с реквизитами операции) - один скрепляется с чеком с кассы (у клиента получается два чека), второй - с подписью клиента остается у кассира.

вот тут простор для кассира, imho... например на мелкой покупке картой провести, сказать "не читается почему-то, не могли бы вы наличными дать", а потом в догонку транзакцию ему на N рублей, под прикрытием следующего чека...
Если карта требует ввода пин, то кассир резко обламывается.
Если карта требует подписи, у кассира нет подписанного экземпляра - подделывать подпись на память (на карте ж есть образец) - крайне непросто.
Регулярно находятся такие особо умные продавцы, но подобные махинации, повторюсь - все одно, что красть, оставляя визитку.
Кроме в отказе "не читается карта" есть и другой вариант - после печати чеков ловко провести карту еще раз. Клиент ушел, кассир доволен. Но опять же - эти операции отбиваются клиентом через свой банк.
На некоторых ПО порядок работы несколько усложняет процесс химии, но полностью исключить нельзя. Именно с учетом этого и построен процесс возврата денег клиенту по операции, на которые торговец не смог предоставить убедительные доказательства.
Повторюсь, ну раз такой номер может прокатить (по одному чеку подделать подпись на другом, это непросто) и клиент забьет ввиду малой суммы, ну два, но это ж все на виду у двух банков - банка клиента и банка торговца, ни один из них не заинтересован в кражах на точке. Тут тоже помогают смс об операциях и, особенно в случае разных сумм (про одинаковые повторные операции до печати чека я писал, но смс может прийти с задержкой) есть повод насторожиться и позвонить в свой банк. Наличие у продавца двух чеков на одинаковые суммы непросто объяснить, особенно с кривоватой подписью.

Я плачу картами где-то с 96-го года. В Египте карта даже попадала в список скомпрометированных (данные по карте попали в какую-то открытую базу), картой этой потом пользовался год, потом пришло уведомление о факте компрометации и карта была переиздана.

Есть разные способы защиты своих денег от левых операций.
- запрет на операции из-за рубежа, через инет.
- поставить лимит на операцию и дневной лимит, разделить карты для мелких и крупных покупок с разными лимитами.
- для покупок через интернет заводить специальные инет-карты, которые предназначены только для покупок через инет и могут иметь ограничения на сумму и количество операций.
- не очень удобная фича, но можно завести карту, которая требует ввода пина в торговых терминалах (к сожалению, не все кассы оснащены пинпадами - устройствами для ввода пина). Тогда сложно провести операцию без вас и вы на экране пинпада обычно видите сумму операции.
- ограничение максимальной суммы, после которой от продавца для завершения потребуется звонок в центр авторизации, а клиент по своим каналам должен подтвердить операцию в своем банке.

А подскажите, что за феня с печатью 2х подчеков и 2 моих подписи соответственно. Несколько раз было. напрягало. Хотя один из них всегда мне отдавался.
Проверял потом - деньги неа месте 😊

P.s. тема скиммеров не раскрыта 😊 скотч на банкоматах.. про фишинг и дубликаты я молчу. 😊

TarasZ
например на мелкой покупке картой провести, сказать "не читается почему-то, не могли бы вы наличными дать", а потом в догонку транзакцию ему на N рублей, под прикрытием следующего чека...

Соображайте! Это возможно, если покупатель баран - ну тут уж, на дурака не нужен нож.

А подскажите, что за феня с печатью 2х подчеков и 2 моих подписи соответственно. Несколько раз было. напрягало. Хотя один из них всегда мне отдавался.
Правила немного варьируют кто во что горазд.
Как вариант бывает - клиент подписывает чек, который остается у кассира, кассир подписывает чек, который дает клиенту.
Соображения бывают разные.
Зачем на Вашем чеке Ваша же подпись - представить трудно. Возможно, просто на обоих чеках написано "подпись клиента", раз написано - стали брать. Необходимости в ней мне представляется - нет, но и Вам ничем не грозит.
Ваша подпись ставится под реквизитами операции. Вы можете подписать десять дубликатов с одинаковыми реквизитами - все одно это означает согласие только на одну операцию с такими реквизитами. У другой операции будут другие реквизиты - хотя бы уникальный код авторизации (если уж время совпало до секунд 😀 ). Вы подписываетесь не только под суммой, а под комплексом параметров, что согласны с тем, что именно такая операция проведена тут, в такое время, с таким кодом авторизации, на такую сумму.
Забыл указать, что еще к реквизитам относится и имя терминала (торговой точки), под которым он известен процессингу, но без информации о торговце любой чек сложно представить.

P.s. тема скиммеров не раскрыта скотч на банкоматах.. про фишинг и дубликаты я молчу.
Речь за торговлю. Про скиммеры была отдельная тема.

SWD, спасибо. за ответ. париться перестану. 😊 Напрягало просто непонятная тема со вторым подчеком.

париться перестану.
Периодическая сверка по выписке операций по карте все одно не помешает.

5 копеек в тему.

Проблема фрода с пластиком существует не первый день, и у платежных систем имеются свои механизмы разруливания спорных ситуаций (VIOR для Visa и т. п.). Там все формализовано и детально описано.

Хочу обратить внимание на несколько моментов:

Существует принципиальная разница между операциями с пин-кодом и без него (с подписью на чеке).

"Химичить" с операциями без пин-кода намного проще (особенно если руководство торговой точки "в теме"). Кстати если карта не электрон а классом повыше то они могут даже не прокатывать карту, а просто ввести ее данные с клавиатуры, после того как Вы уйдете, конечно.

Но как раз для таких ситуаций существуют специальные процедуры (Charge back), позволяющие "отбить" деньги назад. Обращаетесь в свой банк, пишете заявление по форме, прилагаете имеющиеся документы - и пошла писать губерния. Если банк нормальный - они будут "играть" на Вашей стороне и помогать Вам "отбивать" деньги. Удастся ли это - зависит от многих факторов: в каком городе торговая точка, какие у Вас есть документы и т. п. Но шансы весьма неплохие. Вдобавок, если количество заявлений на фрод у конкретной точки превышает определенную величину - у них будут серьезные проблемы.

Далее. Пин-код (изначально предназначен для операций с наличными) придуман как раз для того чтобы "химичить" было сложнее. НО (!) ввод пин-кода юридически считается авторизацией (все равно что паспорт предъявить) соответственно "отбить" деньги по операции с использованием пин почти невозможно. Вдобавок, если пин код все-же скомпроментирован (видеокамера, например, записала какие кнопки Вы нажимали), возможности для мошенников открываются на порядок более широкие. Можно например изготовить копию карты (на куске белого пластика) и бегом с ней и пин-кодом к ближайшему банкомату... Тут уж точно никого не найдут и ничего не вернут...

Вот такой расклад. Соответственно, если меня, например, в торговой точке попросят ввести пин-код - я предпочту расплатиться наличными :-)

Впрочем, обсуждать пластик на оружейном форуме, гм... ИМХО вот тут можно получить более достоверную инфу:

http://dom.bankir.ru/forumdisplay.php?f=17

Впрочем, обсуждать пластик на оружейном форуме, гм..
Да ладно. Тут не обсуждение, а комментарии к встреченным в соседних темах непоняткам.

Вдобавок, если количество заявлений на фрод у конкретной точки превышает определенную величину - у них будут серьезные проблемы.
Более того, если количество фрода (мошеннических операций) точек, которые обслуживаются у конкретного банка/процессинга превышают определенную величину - неприятности начинаются у этого банка/процессинга. Так что заинтересованных во фроде участников не так много. Но, учитывая, что в конкретном случае идет разговор о передачи денег - разбор ситуации может оказаться непростым. Но не бесперспективным 😊

Вдобавок, если пин код все-же скомпроментирован (видеокамера, например, записала какие кнопки Вы нажимали)
НЕЛЬЗЯ СТЕСНЯТЬСЯ прикрывать вводимый код рукой. Многие модели пинпадов имеют защитные шторки по бокам.

Соответственно, если меня, например, в торговой точке попросят ввести пин-код - я предпочту расплатиться наличными
Про организацию платежей писал выше - можно иметь две карты. Можно запретить на одну карту расчет в магазинах, на другой - снятие наличных. Это реально, но требует некоторой организации 😊
Но, если на вашу карту не должен справшиваться пин (уточнить в банке, в каких ситуациях пин может быть запрошен для вашей карты, а в каких - точно нет), а пин тем не менее спрашивается - серьезный повод насторожиться.

Можно например изготовить копию карты (на куске белого пластика) и бегом с ней и пин-кодом к ближайшему банкомату...
Крайне медленно внедряются карты с чипом, а там такие фокусы малореальны.

Установить себе СМС информирование по любому платежу. Приходит мнгновенно, всегда можно отследить любой платёж. Храню архив из таких СМСок уже 2 года. Там и приход и расход.

насчет того, что pin-код не хранится на карте я сильно сомневаюсь. Есть у меня карта давно лопнувшего банка... так вот ппри попытке сунуть ее в банкомат она успешно запрашивает и принимает pin-код.

Эйнхерий
Ну да, непрочиталась, а пин введён, гы... или чек со снятой суммой дали подписать... 😀

Соображайте! Это возможно, если покупатель баран - ну тут уж, на дурака не нужен нож.

Вводить пин в магазине считаю моветоном... поскольку не вижу большого припятствия (кроме УК) с помощью такого кассира соорудить "белый пластик" и снять в пином в банкомате весь нал со счёта 😊

насчет того, что pin-код не хранится на карте я сильно сомневаюсь. Есть у меня карта давно лопнувшего банка... так вот ппри попытке сунуть ее в банкомат она успешно запрашивает и принимает pin-код.
Порядок работы с картой с магнитной полосой в общем виде такой:
Прочесть карту.
Спросить пинкод и запомнить зашифрованный пинблок (не проверяя чего-либо - этой информации там нет).
Запросить сумму.
Послать всю собранную информацию в центр.
Центр соглашается или дает отлуп. Пин в данном случае проверяется в центре.

В случае карты с чипом возможна проверка пина самой картой. Но пин с карты опять же не читается.

Вводить пин в магазине считаю моветоном... поскольку не вижу большого припятствия (кроме УК) с помощью такого кассира соорудить "белый пластик"
Как кассир узнает пин?
Ну, кроме как клиент его демонстративно вводит или просит кассира самого набрать n цифр?

SwD
Как кассир узнает пин?
Ну, кроме как клиент его демонстративно вводит или просит кассира самого набрать n цифр?

Может дать терминал для ввода, который не совсем терминал, и совсем не терминал, а вовсе даже логгер 😊 Тут большого ума не надо, только коробочку протянуть, а логгер сделают те кто поумнее кассира.

Такие страсти, и ради того, чтобы не платить наличными.

------------------
Lupus lupo homo est

Может дать терминал для ввода, который не совсем терминал, и совсем не терминал, а вовсе даже логгер
Именно поэтому писал выше, что если просят ввести пин там, где вы не должны его вводить - повод насторожиться и позвонить в свой банк. И вообще - как писал - неплохо держать разные карты для налички и оплаты покупок с разными ограничениями.
А если ваша карта требует (именно требует) ввода пина для данной операции - злоумышленнику проблематично зная пин сформировать зашифрованный пинблок, даже если он влез в реальное ПО. Т.к. ключи шифрования лежат в самом пинпаде и по последним правилам вводятся разными людьми.
Т.е. с логгером сложно провести реальную операцию - дофига народу должно быть в теме. Плюс, если стоит левое железо и левое ПО - это даже не визитка, считай паспорт оставили.
В реале, более чем за 10 лет я встречался больше с ошибками сдачи (к примеру минус полтинник со сдачи со 100), чем с мухлежем по моей карте (один раз деньгомет денег не додал ввиду неисправности конвеера - вернули по заявлению). Но это не повод не терять бдительность и не значит, что злодеев не бывает. Просто надо быть в курсе - что к чему.

Такие страсти, и ради того, чтобы не платить наличными.
Страсти - они больше в головах граждан. Примерно как по факту стрельбы Евсюковым. Я от мотрудников в гастрономак тем не менее не шарахаюсь 😀
Страсть бывает одна - когда "особо продвинутый" шоп начинает проводить операцию по цать минут непонятно с какого перепугу. В нормальном же - чек со списком печатается дольше. Карта у меня одна!! 😀
Хотя нет - все же несколько, но пользую ровно одну.

SwD
Именно поэтому писал выше, что если просят ввести пин там, где вы не должны его вводить - повод насторожиться и позвонить в свой банк. И вообще - как писал - неплохо держать разные карты для налички и оплаты покупок с разными ограничениями.
А если ваша карта требует (именно требует) ввода пина для данной операции - злоумышленнику проблематично зная пин сформировать зашифрованный пинблок, даже если он влез в реальное ПО. Т.к. ключи шифрования лежат в самом пинпаде и по последним правилам вводятся разными людьми.
Т.е. с логгером сложно провести реальную операцию - дофига народу должно быть в теме. Плюс, если стоит левое железо и левое ПО - это даже не визитка, считай паспорт оставили.
В реале, более чем за 10 лет я встречался больше с ошибками сдачи (к примеру минус полтинник со сдачи со 100), чем с мухлежем по моей карте (один раз деньгомет денег не додал ввиду неисправности конвеера - вернули по заявлению). Но это не повод не терять бдительность и не значит, что злодеев не бывает. Просто надо быть в курсе - что к чему.

Так эта... в порядке криминального мышления - коробочка выглядит так же как самая обычная выносная пинонабиралка, только внутри всё другое. Если по умному, то в разрыв клавиатуры и платы, там где еще зашифровать ничего не успели, вставить логгер. Если шифрует уже клавиатура, то модифицировать клавиатуру, самое простое - сделать её двойной и читать нажатия, а не код.
Все карточки потрошить совсем не обязательно, достаточно найти хотя бы одну голд карту в день, подождать пару недель и клонировать где-нить в Болгарии. Владелец голда, который расплачивается им часто, может и не скоро почует неладное.

У меня давно вопрос есть, даже когда я работал в банке мне никто не смог на него ответить - если основание для списания - подпись клиента, правда ли что любую карточную операцию в инете можно оспорить на раз, потому как подписи нет?

У меня давно вопрос есть, даже когда я работал в банке мне никто не смог на него ответить - если основание для списания - подпись клиента, правда ли что любую карточную операцию в инете можно оспорить на раз, потому как подписи нет?
По этому вопросу лучше на банкир ру сходить.
С покупками через интернет свои фишки.
Наколоть инет шоп без последствий - непросто.
Также непросто получить товар себе по чужой карте. Особенно без последствий 😊

в порядке криминального мышления - коробочка выглядит так же как самая обычная выносная пинонабиралка, только внутри всё другое.
Какой процессинг в здравом уме будет вносить ключи (два человека минимум, с разработкой не связанные) в непонятно какую коробочку? Имея ключи - коробочка не нужна. Компрометация ключей указывает пальцем на двух человек минимум.

Если по умному, то в разрыв клавиатуры и платы, там где еще зашифровать ничего не успели
Пин-клавиатура - это специальным образом разработанное устройство, имеющее датчики на вскрытие. Пин клавиатура никуда не передает пин в открытом виде и получает его только со своих кнопочек. Наружу выходит только сформированный и зашифрованный пинблок.
Без разрушения коробки, подключиться к внутренним шлейфами невозможно.
Если пинпад был вскрыт штатным образом (без разрушения корпуса) - срабатывают датчики на вскрытие, уничтожаются ключи шифрования (теряется работоспособность), возможно появляется сообщение о факте вскрытия. Эти устройства не просто кем-то разрабатываются и тупо устанавливаются, а сертифицируются. Если банк хочет работать в некоей платежной системе - никто не разрешит ему участвовать на несертифицированном оборудовании.
Единственная возможность неразрушающего перехвата - сделать накладку на родную клавиатуру, что опять же сказывается на внешнем виде пинпада и пальцем указывает на кассира. Это на банкоматах - неизвестное лицо может подойти и пришпандорить и накладку и камеру, а на кассе - вот он, кассир.
Плюс организация такого мухлежа требует специфических знаний в разных областях. Вель даже накладки на клавиатуры - они у каждого жителя есть, по пять штук 😊

оплачивал как-то цветы в австрийском инет-магазине

понадобилось набрать только имя, дату до какой годна карта и последние 3 или 4 цифры, 50 евро или вроде того

собственно они благополучно и списались, все хорошо..

т.е. имея, например, фотографию банковской карточки с 2х сторон.......

понадобилось набрать только имя, дату до какой годна карта и последние 3 или 4 цифры, 50 евро или вроде того
Адрес доставки не набирался чтоль?

т.е. имея, например, фотографию банковской карточки с 2х сторон......
На какой адрес ушли цветы и удалось ли отбить в банке операцию? 😛
Не забываем - инет операции по указанной карте можно отключить в банке.
Для инет оплат есть другие карты.

Спасибо спецам, тут написавшим. Тема весьма интересная.
Сам я картами не пользуюсь. И, что подтверждается вышенаписанным - это 100%правильно. Только нал. И ничего, кроме нала. За купюры отвечаешь только ты сам - и никто больше. К внутреннему карману куртки имею доступ только я, а к карте целая толпа (айтишники, кассиры, их начальство, банки, и ещё хрен знает кто).
Вот они, деньги. В кармане. Под защитой ножа, ГБ и трезвой головы.
А айтишники - отдыхают. Я не их клиент. Пусть разводят кого другого. 😊

К внутреннему карману куртки имею доступ только я,
И мужик с трубой. И тот же хитрорукий кассир (соседний топик). Врят ли кто носит с собой переписанные номера купюр.

а к карте целая толпа
1 октября 1958 года была выпущена первая карта American Express.
50-ти летний мировой опыт выявил абсолютную неэффективность и полную опасность использования банковских карт. 😊

Точный ответ - пользовать/не пользовать каждый выбирает сам. В любом методе есть свои тонкие стороны. Только желательно не преувеличивать мнимое и маловероятное и не преуменьшать реальное.

SwD
И мужик с трубой. И тот же хитрорукий кассир (соседний топик). Врят ли кто носит с собой переписанные номера купюр.

Если я просру (пардон за мой французский) свои деньги - я буду виноват сам.

SwD
50-ти летний мировой опыт выявил абсолютную неэффективность и полную опасность использования банковских карт. 😊

Несколько лет назад у моего шефа спёрли бумажник с картой. Он сразу позвонил в банк и заблокировал карту. Но потом оказалось, что деньги (немалые) с карты всё равно были сняты. Причём операция была проведена уже ПОСЛЕ того звонка.
Деньги не вернули.
С тех пор картам не доверяю.
Может я не прав, но так комфортнее.
Слышал я и другие случаи, когда карты приносили своим владельцам одни проблемы.

На кредитной карте - деньги банка, а не Ваши, Вы потратите свои, если сочтете что деньги банка потрачены именно Вами 😊

На кредитной карте - деньги банка, а не Ваши, Вы потратите свои, если сочтете что деньги банка потрачены именно Вами

Это очень сложно для меня.
В кармане - вот это мои деньги.

Несколько лет назад у моего шефа спёрли бумажник с картой.
Ключевой момент - сперли бумажник. Злые айтишники остались не при делах 😊
Налички сколько было в бумажнике? Почему не было больше?

Причём операция была проведена уже ПОСЛЕ того звонка.
Какая операция? Через какое время? Действително интересно - если банкомат - как узнали пин, если магазин - что купили, почему не отбили по подписи?
Есть разряд карт, которые в определенных условиях не требует немедленной авторизации - в этом случае - блокировка от операции не поможет и надо смотреть на другие моменты.

Деньги не вернули.
Там договор с клиентом читать надо. Боюсь, тут одно из ключевых слов - "несколько лет назад". Банки стараются обезопасить себя от всякого и иногда стараются не брать на себя тот груз, который обязаны тащить сами.
В данном случае главная проблема - доказательство факта звонка. При нормальной организации работы банка карта блокируется сразу.
Сейчас есть возможность управления счетами и картой через инет/мобилу, но функционал - индивидуален.

Слышал я и другие случаи, когда карты приносили своим владельцам одни проблемы.
Были случаи, когда при инкассации банкомата путали ящики с деньгами. Гражданин просил одно, а подваливало - щастье!! Правда другим подваливало обратное 😛
Бывает неудачное расположение банкоматов - гражданин по башке получает не успев далеко отойти - отдельный резон оплачивать услугу картой непосредственно на кассе. В других случаях злодей тупо отодвигал ожидающую появления денег женщину в сторону.
Жертвы есть, причем не только со стороны карт, но и магазинов. Карточный бизнес - довольно рисковый. В угоду удобства клиента другие участники порой неплохо подставляются.

но так комфортнее.
Дык никто ж не заставляет 😊

Какая операция? Через какое время? Действително интересно - если банкомат - как узнали пин, если магазин - что купили, почему не отбили по подписи?
Есть разряд карт, которые в определенных условиях не требует немедленной авторизации - в этом случае - блокировка от операции не поможет и надо смотреть на другие моменты.

Деньги сняли через банкомат уже после блокировки карты. С введением пин-кода. В украденном бумажнике, по словам шефа, никаких бумажек с этим пином не было.

Там договор с клиентом читать надо.

Стандартный договор, наверное, карта ведь не "кредитная", а простая "зарплатная" была.

Дык никто ж не заставляет

Если бы. Зарплату перечисляют на карту. Эта система была введена без всякой консультации с работниками.
Всегда стараюсь снять всё сразу, как деньги поступают. На этом мои взаимоотношения с банком прекращаются.
Полагаю, так надёжнее будет, чем доверять СВОИ деньги неизвестным мне "айтишникам".

SwD
Там договор с клиентом читать надо. Боюсь, тут одно из ключевых слов - "несколько лет назад". Банки стараются обезопасить себя от всякого и иногда стараются не брать на себя тот груз, который обязаны тащить сами.

Мое мнение такое -

1. Карта дебетовая - в суд "Эти редиски в наглую тырят деньги у меня со счета как хотят, прикрываясь операциями, которых я не совершал, хочут - пусть докажут что я всё это купил"

2. Карта кредитная - в банк, заявление "Платить не буду, идите в ж., операция не моя". Пусть банк идет в суд если хочет. В суде - см. п. 1

SwD
В данном случае главная проблема - доказательство факта звонка. При нормальной организации работы банка карта блокируется сразу.
Сейчас есть возможность управления счетами и картой через инет/мобилу, но функционал - индивидуален.

Только не факта звонка, а заявления. С подписью на копии желательно.

Не пойму, на кой кассирам мутить с картами? С наличкой ясно - можно сразу себе в карман положить. А с карты ведь попадает на банковский счет торговой организации...

SwD
В данном случае главная проблема - доказательство факта звонка. При нормальной организации работы банка карта блокируется сразу.
Сейчас есть возможность управления счетами и картой через инет/мобилу, но функционал - индивидуален.

Интересный расклад 😊
Деньги сняли через банкомат уже после блокировки карты. С введением пин-кода. В украденном бумажнике, по словам шефа, никаких бумажек с этим пином не было.
Это уже интересно. И операция после звонка (по словам шефа). И пин нигде не был записан (по словам шефа).
Дело в том, что если, к примеру, каким-то волшебным (зная технологию) образом подозревать айти - тырить бумжники - не надо. Типа пин узналм, а все остальное - не смогли, пришлось карту тырить - смешно.
Если компрометирован пин (видеокамера или еще как) - это ж надо так изловчиться - и ввод пина записать и успеть бумажник тырнуть.
В результате - имеем - слова шефа и непонятный расклад.
Беспиновая операция в магазине еще как-то вписывалась бы в расклад, если кассир яростно щелкал клювом, но тогда пришлось бы работать с подписью.
Дети у шефа есть? Карта личная или корпоративная?
Шеф пил?
Номер телефона банка шеф где взял? Потом номер телефона сверил?

Звонок будет недоказуем, мало ли по какому поводу клиент звонил.
Такой банк, где оператор забывает что-то заблокировать - идет лесом.
Разговор можно под запись разговора.
Во вменяемом банке оператор предупреждает клиента, что разговор записывается - банк пишет сам для разбора полетов. Т.к. щелкающие клювом операторы мало кому нужны - у банков кроме нас, любимых граждан, есть еще Клиенты. Не дай бог у иного Клиента где что не сработает.

А вот заявление, с отметкой о принятии - уже что-то.
Заявление - заявлением, а звонок - звонком. Одно другого не отменяет.

Всегда стараюсь снять всё сразу, как деньги поступают. На этом мои взаимоотношения с банком прекращаются.
Многие так и делают. Отчасти и потому, что оплата картой пока еще не повсеместна.

Стандартный договор,
Если почитать "стандартные договора" разных банков - можно найти отличия.
Некоторые умудрялись включать пункты противоречащие правилам платежных систем.

Насчет судов с банком и проблем клиент-банк - была в одном месте анекдотичная ситуация.
Клиент с картой подходит к оператору банка и тихо спрашивает "милицию вызвать можете?"
Та в аухе - что случилось?
Тот - меня два злодея привели, на выходе ждут, требуют, чтобы деньги снял....
Они б его сразу б в ровд вели 😀

50-ти летний мировой опыт выявил абсолютную неэффективность и полную опасность использования банковских карт.

SwD
Дети у шефа есть? Карта личная или корпоративная?
Шеф пил?
Номер телефона банка шеф где взял? Потом номер телефона сверил?

Ну, я Вас уверяю, в личности шефа и в его детях искать не следует.
Проблема была по ту сторону карты.

Ну, я Вас уверяю, в личности шефа и в его детях искать не следует.
Ну, в личности шефа - да, не следует. Но обычно - либо граждане сами, либо - близкие. 😊 Некоторые, повторюсь, искренне офигевают с видеозаписи с банкомата.
Человек же ж может быть просто не заинтересован рассказывать окружающим все.

Проблема была по ту сторону карты.
Подробности есть? Каким образом злодеям был доступен пин?
Случаем не юнионкард - там было одно время веселое решение? Но зачем тогда красть лопатник?

Это как?
То была ирония с целью указать, что уязвимость системы штурмуется со всех сторон уже несколько десятилетий. Соответственно - столько же дорабатывается защищенность.

У меня в прошлом году ктото с моей картой в Европе погулял на примерно $8,000. Позвонил в кр. карт, сказал (просто сказал-ничего не доказывая) что ничего не знаю и в европе не был. Деньги списали сразу, ну не сразу а через пару дней.
Ну вот - а у шефа - проблемы 😊

Интересная тема.
Только не раскрыто, в каких случаях стоит кипеж на кассе поднимать, с вызовом СМ и администрации.
Если карту прокатали раза три - не повод, если SMS приходят паровозиком - опять не повод. А если ушёл с кассы и на другой день очухался - всё, превед, концы в воду. Ничего не докажешь.

Сам стараюсь не расплачиваться картой по другим причинам - во-первых, это дольше по времени. Обычно не намного, но зависит от тупости продавцов, процесс может затянуться. А во-вторых, если товар вернёшь - не вопрос, деньги взад перечислят. Через месяц примерно. Если покупка была на значительную сумму - напрягает.

А если ушёл с кассы и на другой день очухался - всё, превед, концы в воду. Ничего не докажешь.
С чего такой вывод?

Если карту прокатали раза три - не повод
Там ясно написано - если отбили один чек, прокатали карту еще раз, отбили другой, прокатали карту третий раз, отбили третий - повод насторожиться.

если SMS приходят паровозиком - опять не повод
Там ясно написано - если суммы разные - повод.
Если кассир яростно катает карту, делает чеки пачками и валятся смс - обратно повод.
Если есть сомнения по технической стороне - на телефоне банка скорее всего не забанили.

А во-вторых, если товар вернёшь - не вопрос, деньги взад перечислят. Через месяц примерно.
Сколько раз так попадали? Где?
Такое возможно, если банк продавца задерживает передачу денег Вашему банку. А Ваш банк в свою очередь стесняется зачислить деньги на ваш счет. Деньги с вашего счета не списываются, а резервируются. Потом, в течении некоего времени с банка кассира придет уведомление, что деньги неплохо б получить полностью и идет окончательное списание. Иногда деньги висят подолгу. Торговцам это тоже неудобно, поэтому многие банки идут на риск - зачисляют деньги до реального поступления из другого банка.
Если торговец и карта в одном банке - проблем намного меньше.

Я ж тоже товары возращал. Но ТАКОГО не было ни разу. Одно время были сложности с возвратом наличкой - получалось обналичивание, которым магазины не должны заниматься. Но сейчас, кроме отмены операции или операции возврата, бывает и возврат наличкой. Как оформляют - без понятия.
Если возврат в течении дня - технически отмена проводится еще проще.

Если покупка была на значительную сумму - напрягает.
Меня больше напрягает котлету таскать. Вот ее, если что - теряешь полностью.

SwD
[b]понадобилось набрать только имя, дату до какой годна карта и последние 3 или 4 цифры, 50 евро или вроде того
Адрес доставки не набирался чтоль?

т.е. имея, например, фотографию банковской карточки с 2х сторон......
На какой адрес ушли цветы и удалось ли отбить в банке операцию? 😛
Не забываем - инет операции по указанной карте можно отключить в банке.
Для инет оплат есть другие карты. [/B]

адрес доставки еще понадобился, это да =) все доставилось в лучшем виде