Спорим, не знали? Google собирает ваши пароли и номера банковских карт

Генератор номеров кредитных и банковских карт онлайн

Мнение экспертаЕлена БонусЭксперт по регистрации и активации карт. Слежу за новыми промо-акциями всех магазинов России.Представленный генератор карт создает не существующие номера кредитных и дебетовых банковских карт согласно алгоритму Луна. Использование этих данных в магазинах ни к чему не приведет. Сервис создан для личного пользования. Если у вас есть предложение или Вы нашли ошибку, напишите в комментарии.

Расшифровка номеров Visa / MasterCard

Номер кредитной карты Visa состоит из 16 цифр, самая первая из которых 4 и обозначает принадлежность к данной платежной системе (5 — для MasterCard).

Для удобства расшифровки этот номер делят на три части.

Первая часть — это начальные 6 цифр. В них заложена информация о типе банковского продукта, стране, в которой он изготовлен, а также о финансовой организации, занимавшейся его выпуском.

Следующие 9 цифр идентифицируют лицевой счет, к которому привязан платежный инструмент. Последнюю, 16-ю цифру, используют для того, чтобы с помощью специального алгоритма проверить правильность введенной цифровой комбинации.

Полная расшифровка показывает, что извлечь какие-либо данные о владельце из номера кредитки не представляется возможным. Единственная доступная информация — наименование кредитно-финансового учреждения, которое является эмитентом.

Примеры номера кредитной карты Visa:

4276 1234 5678 9100

4716 5531 2343 7936

4276 8800 3378 4871

Ниже приведены части номеров платежных инструментов, выпущенных российскими кредитно-финансовыми учреждениями:

Как Google следит за мной

Я даже не слишком переживаю о том, что Gmail позволяет Google анализировать мои сообщения в обмен на использование функции автоматического исправления ошибок. В конце концов, зачем лишать себя удобств, тем более, если скрывать особенно нечего. Однако этим дело не ограничилось.

Читайте также: Как защитить себя от слежки через Gmail на Android и в вебе

Думаю, вы в курсе, что у Google есть фирменная клавиатура под названием Gboard. Она существует и для iOS, и для Android, поэтому, скорее всего, вы ей пользовались, а значит, написанное ниже не будет казаться вам чем-то, что вас не касается.

Пользовательское соглашение

Сегодня я случайно наткнулся на пользовательское соглашение этой клавиатуры, которое включало в себя ряд примечательных положений. В частности, там говорится о том, что, устанавливая Gboard на свое устройство, вы даёте Google разрешение на сбор всей информации, введённой на клавиатуре. Это может быть всё что угодно от сообщений, логинов и паролей, которые вы вводите на сайтах и в приложениях, до платёжных данных ваших банковских карт.

Читайте также: Как обезопасить свои письма, пользуясь Gmail

И это не выводы, сделанные нездоровым воображение автора. Google прямо так и пишет об этом: «Для ввода текста будет использоваться приложение Gboard, которое может собирать все вводимые данные, в том числе пароли и номера кредитных карт». Довольно неожиданно, правда? Во всяком случае не этого ждешь, когда устанавливаешь на смартфон новое приложение.

Из чего состоит номер карты

Стандартный номер карты состоит из 16 цифр. Он уникален для конкретного банка и определенной платежной системы. 

Номера либо выдавливают (эмбоссируют), или наносят краской. Первое дороже, но надежнее: выдавленные цифры не стираются от частого использования. 

Первые 6 цифр в номере – банковский идентификационный номер (БИН) эмитента (банка, который выпустил карту). Расшифровать цифры можно, к примеру, здесь.

Первая цифра определяет платежную систему:

Банки используют определенные комбинации первых цифр для разных карт. Например, номера «Пенсионной карты МИР» и «МИР Сбербанка России» начинаются с 22, дебетовая карта «Аэрофлот» (Visa Gold и Visa Classic) Сбербанка или Visa Classic – с 4276. 

Цифры с 7 по 15-ю – непосредственно номер карты. В нем указан тип карты (дебетовая или кредитная), валюта, регион выпуска и др. 

Последняя цифра является проверочным числом. Она вычисляется по алгоритму Луна, чтобы избежать ошибок при вводе номера. 

Проверить номер можно на этом сайте. Но будьте внимательны! Алгоритм хорошо ловит ошибки в одной цифре, но он не заметит перестановки цифр 0-9 и 9-0, может пропустить и другие ошибки.

Выпускаются карты и с более длинными номерами. Дополнительные цифры используют, чтобы обозначить субнаправления или подпрограммы. 

Так, у карт Maestro и карты мгновенной выдачи «Momentum» Visa Сбербанка часто 18-значные номера. Есть и варианты с 19 знаками. 

Бывает и наоборот. У многих карт American Express, а также виртуальных карт Visa и MasterCard Сбербанка всего 15 цифр в номере. Минимальное количество цифр – 13. 

Выпускают карты и без нанесенного номера и других данных. Так безопаснее. Реквизиты можно узнать в мобильном приложении. 

Как работает магнитная полоса

Первая в мире карта с магнитной полосой

Магнитная полоса на карте состоит из частиц железосодержащего сплава, которые намагничивают для записи информации. Считывает данные специальная магнитная головка. Почти как в кассетном магнитофоне или проигрывателе для винила.

Изначально магнитную полосу пытались приклеить на карту клейкой лентой. Но сделать это ровно было очень сложно = полоса деформировалась и переставала читаться.

Расстроенный инженер, который целый день пытался наклеить полосу на карту, рассказал о проблеме жене. Та предложила прогладить полосу на пластиковой карте утюгом и вплавить её. Получилось!

Стандартная ширина магнитной полосы – 9,52 мм. В ней три дорожки шириной 2,79 мм.

Формат записи на дорожки разный. Так, на первой хранится до 76 заглавных букв латинского алфавита, цифр, спецсимволов. Запись на второй дорожке начинается с «;», дальше – до 37 символов: цифры, знак «=», «+» вместо пробела, «?» – символ завершения записи.

Строка на третьей дорожке начинается с «_», заканчивается «?». Между ними – до 104 символов: цифр и «+» вместо пробела. Плотность записи на первой и третьей дорожках – 210 бит/дюйм, на второй – 75 бит/дюйм. Буквы и спецсимволы занимают 7 бит, цифры – 5 бит. Так как разработчики точно знают, что значение не займет все 8 бит (1 байт) места, они используют такие нестандартные кодировки для экономии памяти.

Данные на полосе определяют карту в банковской системе. Они позволяют отправить запрос на оплату и получить либо подтверждение, либо отказ. Но кассир не видит остаток на вашем счету или ваши личные данные. 

Полосы в основном черного или коричневого цвета, но бывают и других оттенков. Черные – это карты HiCo (High Coercitive – высококоэрцитивные), которые работают с магнитными полями напряженностью 2750-4000 эрстед. Они более долговечные.

Коричневые – LoCo (Low Coercitive – низкокоэрцетивные). Рассчитаны на напряженность магнитного поля всего в 300 эрстед. 1 эрстед – около 80 А/м. Банковские карты обычно HiCo, дисконтные или топливные – LoCo. 

HiCo-карта не повредится от контакта с не слишком сильным магнитом, LoCo такой встречи может и не пережить. Вывод: носите LoCo-карты в кошельках без металла и магнитных застежек.

Но все карты с магнитной полосой со временем выходят из строя. Магнитный слой просто стирается от частого считывания. 

Как устроены бесконтактные карты 

Карты EMV (стандарт был разработан Europay, MasterCard и VISA) можно приложить к терминалу для оплаты. В пластик таких карт встроены электронные компоненты:

чип для хранения и обработки данных – микрокомпьютер с загруженной в память Java-платформой JavaCard и апплетами-приложениями</li>контактный чип для взаимодействия с терминалами</li>конденсатор и катушка индуктивности – колебательный контур, который накапливает энергию для первичного импульса. Катушка работает и как антенна для приема и передачи сигнала</li>

Карта обменивается данными с терминалом по протоколу ISO/IEC 14443 на частоте 13,56 МГц. Процесс похож на работу с RFID-метками. 

Когда вы совершаете покупку, кассир создает предварительный чек и сообщает вам сумму для оплаты. Вы прикладываете карту к терминалу. Можно не касаться – достаточно расстояния до 10-15 см.

Колебательный контур попадает в переменное магнитное поле, образуется переменный ток. Катушка индуктивности запасает энергию в своем магнитном поле, конденсатор заряжается от неё, основной чип получает питание.

Карта и терминал аутентифицируют друг друга, проверяя подлинность криптограмм. Терминал должен убедиться, что карта подлинная, а карта – что всё в порядке с терминалом. Сигнал от считывателя в терминале передается за счет модуляции сигнала. Чип карты распознает такие изменения. 

На карте можно подключить нагрузочное сопротивление и или изменить емкость конденсатора, чтобы повысить силу тока в контуре карты и, соответственно, передать данные с неё. 

Если карта и терминал узнали друг друга, основной чип карты запускает платежное приложение. Оно генерирует ключ для оплаты, и на терминал отправляется сигнал с зашифрованными данными карты, в том числе CVV-код. 

Кассовая программа получает информацию от терминала и связывается с банком. Если банк подтверждает подлинность данных и видит достаточный остаток на вашем счету, он разрешает транзакцию. Если она больше допустимого значения, запрашивается подтверждение платежа (PIN-код). 

Также можно установить приложение, которое позволит платить по NFC со смартфона на смартфон. Такая функция есть и в некоторых приложениях крупных банков.

Карты с чипом гораздо сложнее подделать, чем карты с магнитной полосой. Они долговечнее и принимаются практически во всех терминалах и банкоматах за границей. 

На одной карте с чипом может работать несколько апплетов. В результате вы, к примеру, можете использовать её непосредственно как банковскую карту и как проездной билет. 

Как узнать банк по номеру карты?

Можно ли по номеру карты узнать банк, которому принадлежит карта? Узнать, а вернее определить, можно, но только нужной информации в открытом доступе практически нет. Банк определяется по первым 6 цифрам номера карты, которые показывают банковский идентификационный номер в платёжной системе, сокращённое название — БИН. Далее банковский идентификационный номер сверяется со списком банковских БИНов, но вот списка БИНов то как раз в свободном доступе не встречала. Думаю что это является закрытой информацией платежных систем, которая доступна только ее участникам. Принадлежность карты к конкретному банку проще определять по логотипу банка, который обязательно присутствует на карте. Логотип банка-эмитента, выпустившего карту, располагается в верхней части карты в правом или левом углу карты и идентифицирует карту как собственность конкретного банк.

Как смартфон заменяет карту

Смартфоны с NFC-чипами могут заменить карты для бесконтактной оплаты. Apple Pay, Samsung Pay, Android Pay и другие «пеи» работают с картами определенных платежных систем и конкретных банков. 

В приложении карта оцифровывается, и её номер нигде не сохраняется – ни на смартфоне, ни на серверах приложения. Продавцы тоже не видят номер карты. 

Вместо номера генерируется токен. Только банк или платежная система могут сопоставить этот токен с номером карты. 

При оплате NFC-устройством в терминале касса так же, как и при обычной оплате, генерирует предварительный чек. Вы запускаете приложение и подносите смартфон к терминалу. Он устанавливает связь с терминалом, эмулируя карту. 

Для эмуляции карты используется технология HCE (Host-based Card Emulation). NFC-контроллер обеспечивает передачу данных из платежного приложения в смартфоне на терминал и обратно. 

Когда сеанс связи установлен, смартфон получает данные от терминала и формирует транзакцию. Затем вам нужно подтвердить транзакцию отпечатком пальца, сканированием лица или другим надежным способом.

В транзакции участвуют банк-эквайер, который обслуживает терминал, банк-эмитент, который выпустил карту, и платежная система, к которой относится карта. Получается как в 3D Secure, только ещё безопаснее. Сымитировать подтверждение транзакции гораздо сложнее, да и шагов проверки больше. 

Смартфоны Samsung также могут имитировать карты с магнитной полосой в Samsung Pay. Для этого используется собственная технология MST (Magnetic Secure Transmission — магнитная безопасная передача). 

В этом случае создается магнитное поле, похожее на сигнал от магнитной полосы банковской карты. Проводить смартфоном по считывателю не придется: MST работает на расстоянии до 7-8 см.

Таким образом, MST в Samsung Pay позволяет платить смартфоном даже в древних терминалах, рассчитанных только на карты с магнитной полосой. С iPhone так не получится. 

С другой стороны, не все смартфоны Samsung поддерживают Samsung Pay, особенно в бюджетных сериях.

Всё сложно и с умными часами. Так, Gear S2, Gear Sport, Galaxy Watch и Galaxy Watch Active2 поддерживают только оплату по NFC, а Gear S3 – и MST тоже. 

Почему CVC/CVV никому нельзя сообщать

Множество платежей (как правило, мелких) не нужно подтверждать PIN-кодом, паролем из SMS или другими способами. Вас как клиента банка идентифицируют по номеру карты, сроку её действия и CVC/CVV-коду. 

Такие схемы упрощенной идентификации обычно используют интернет-магазины. Но даже если нужно подтверждение из SMS, push-сообщения или кода в приложении, всё это можно перехватить с помощью вредоносного ПО.

Результат – подозрительные покупки с вашей карты совершаются, пока на ней вообще есть деньги. Но чаще мошенники, зная реквизиты и CVC/CVV, просто переводят деньги с одной карты на другую, а затем обналичивают их в банкомате. 

Как обезопасить карту от мошенников

Технически официант или кассир, которому вы передаете карту, может сфотографировать её или запомнить номер, срок действия и CVC/CVV. А затем расплатиться вашей картой в интернет-магазине или в своем же заведении.

Даже если вы напишете заявление о краже денег в банк, средства вам не вернут. По закону, если вы показали карту, то раскрыли её данные третьим лицам. А значит, сами виноваты. 

Чтобы этого не произошло, достаточно отрезать часть пластика с номером – например, последние четыре цифры. Карта по-прежнему будет работать. Магнитную полосу вы не повредите, катушку индуктивности вокруг чипа не заденете. 

Лайт-вариант – закрасить или стереть CVC/CVV.

Как работает 3D Secure

3D Secure (Three-Domain Secure) – это защищенный протокол, который добавляет ещё один уровень безопасности вашим платежам с карты. Он помогает убедиться, что операцию проводит владелец карты, а не мошенники. 

3D Secure создавали для CNP-операций (card not present) – оплат в интернете. Вы можете проводить их без самой карты, достаточно её фото или реквизитов. 

Прототип решения разработали в Visa для работы сервиса Verified by Visa (VbV). Позднее протокол приняли и другие платежные гиганты: Mastercard (Mastercard SecureCode, MCC), JCB International (J/Secure), Мир (Мир Accept) и др.

Для оплаты в интернете вы вводите на сайте номер карты, срок её действия, имя держателя карты и код проверки ее подлинности (например, CVC2). Если сайт и банк поддерживают 3D Secure, вас перенаправят на сайт банка, который выпустил вашу карту.

Банк пришлет код подтверждения вам в SMS, в мессенджере или в банковском приложении. Реже используются разовые коды с листочка или постоянный код, который вы установили.

После того, как вы введете проверочный код на странице, банк проверит его. Если введенный код совпадет с отправленным, транзакция будет выполнена. 

Как видите, в схеме Three-Domain Secure три домена: сайта или эквайера, который принимает за него оплату, платежной системы, в которой выпущена ваша карта, и банка, который её выпустил. 

Данные для подтверждения платежа не сохраняются в интернет-магазине. Он может получить только часть реквизитов. Согласитесь, к банку, который выпустил вашу карту, или платежной системе вроде Visa или MasterCard, доверия больше. 

Если на сайте есть логотипы Masterсard SecureCode и/или Verified by Visa, он поддерживает 3D-Secure. Подключена ли ваша карта к 3D-Secure, лучше уточнить в банке. 

Важно: если ваш банк и ваша карта поддерживают 3D-Secure, а интернет-магазин нет, то если с вашей карты совершат несанкционированную транзакцию, отвечать будет интернет-магазин. Если сайт, наоборот, поддерживает технологию, а ваша карта нет, то ответственность будете нести вы. 

Минус в том, что 3D-Secure – необязательная технология. Никто не может заставить её использовать. Но если есть выбор, лучше заказывать в магазинах с 3D-Secure. 

Бонус: как троллить очередь бесконтактной оплатой

Идею подала пользовательница Twitter @MyHopeIsRock (мы не пытаемся задеть чувства верующих):

— Алевтина Карловна ❄️ дожила до 2020 (@MyHopeIsRock) November 4, 2019

Действительно, карту можно вклеить или вложить куда угодно, от комсомольского билета до книг Сапковского о Ведьмаке. Весь вопрос в удобстве и безопасности использования. 

? Хочешь больше? Подпишись на наш Telegramнаш Telegram. … и не забывай читать наш Facebook и Twitter ? iPhones.ru Зачем в ней полоса, что записано внутри и не только. —> Используемые источники:

• https://registraciyakoda.com/generator-kart
• https://skarty.ru/informatsiya/nomera-kart-visa.html
• https://androidinsider.ru/eto-interesno/sporim-ne-znali-google-sobiraet-vashi-paroli-i-nomera-bankovskih-kart.html
• https://www.iphones.ru/inotes/sekrety-vashey-bankovskoy-karty-09-06-2020
• https://bankirsha.com/nomer-bankovskoi-karty-nomer-karty.html