Приложение

к письму Банка России

от 02.10.2009 N 120-Т

ПАМЯТКА

«О МЕРАХ БЕЗОПАСНОГО ИСПОЛЬЗОВАНИЯ БАНКОВСКИХ КАРТ»

Соблюдение рекомендаций, содержащихся в Памятке, позволит обеспечить максимальную сохранность банковской карты, ее реквизитов, ПИН и других данных, а также снизит возможные риски при совершении операций с использованием банковской карты в банкомате, при безналичной оплате товаров и услуг, в том числе через сеть Интернет.

1. Никогда не сообщайте ПИН третьим лицам, в том числе родственникам, знакомым, сотрудникам кредитной организации, кассирам и лицам, помогающим Вам в использовании банковской карты.

2. ПИН необходимо запомнить или в случае, если это является затруднительным, хранить его отдельно от банковской карты в неявном виде и недоступном для третьих лиц, в том числе родственников, месте.

3. Никогда ни при каких обстоятельствах не передавайте банковскую карту для использования третьим лицам, в том числе родственникам. Если на банковской карте нанесены фамилия и имя физического лица, то только это физическое лицо имеет право использовать банковскую карту.

4. При получении банковской карты распишитесь на ее оборотной стороне в месте, предназначенном для подписи держателя банковской карты, если это предусмотрено. Это снизит риск использования банковской карты без Вашего согласия в случае ее утраты.

5. Будьте внимательны к условиям хранения и использования банковской карты. Не подвергайте банковскую карту механическим, температурным и электромагнитным воздействиям, а также избегайте попадания на нее влаги. Банковскую карту нельзя хранить рядом с мобильным телефоном, бытовой и офисной техникой.

6. Телефон кредитной организации - эмитента банковской карты (кредитной организации, выдавшей банковскую карту) указан на оборотной стороне банковской карты. Также необходимо всегда иметь при себе контактные телефоны кредитной организации - эмитента банковской карты и номер банковской карты на других носителях информации: в записной книжке, мобильном телефоне и/или других носителях информации, но не рядом с записью о ПИН.

7. С целью предотвращения неправомерных действий по снятию всей суммы денежных средств с банковского счета целесообразно установить суточный лимит на сумму операций по банковской карте и одновременно подключить электронную услугу оповещения о проведенных операциях (например, оповещение посредством SMS-сообщений или иным способом).

8. При получении просьбы, в том числе со стороны сотрудника кредитной организации, сообщить персональные данные или информацию о банковской карте (в том числе ПИН) не сообщайте их. Перезвоните в кредитную организацию - эмитент банковской карты (кредитную организацию, выдавшую банковскую карту) и сообщите о данном факте.

9. Не рекомендуется отвечать на электронные письма, в которых от имени кредитной организации (в том числе кредитной организации - эмитента банковской карты (кредитной организации, выдавшей банковскую карту)) предлагается предоставить персональные данные. Не следуйте по "ссылкам", указанным в письмах (включая ссылки на сайт кредитной организации), т.к. они могут вести на сайты-двойники.

10. В целях информационного взаимодействия с кредитной организацией - эмитентом банковской карты (кредитной организации, выдавшей банковскую карту) рекомендуется использовать только реквизиты средств связи (мобильных и стационарных телефонов, факсов, интерактивных web-сайтов/порталов, обычной и электронной почты и пр.), которые указаны в документах, полученных непосредственно в кредитной организации - эмитенте банковской карты.

11. Помните, что в случае раскрытия ПИН, персональных данных, утраты банковской карты существует риск совершения неправомерных действий с денежными средствами на Вашем банковском счете со стороны третьих лиц.

В случае если имеются предположения о раскрытии ПИН, персональных данных, позволяющих совершить неправомерные действия с Вашим банковским счетом, а также если банковская карта была утрачена, необходимо немедленно обратиться в кредитную организацию - эмитент банковской карты (кредитную организацию, выдавшую банковскую карту) и следовать указаниям сотрудника данной кредитной организации. До момента обращения в кредитную организацию - эмитент банковской карты Вы несете риск, связанный с несанкционированным списанием денежных средств с Вашего банковского счета. Как правило, согласно условиям договора с кредитной организацией - эмитентом банковской карты денежные средства, списанные с Вашего банковского счета в результате несанкционированного использования Вашей банковской карты до момента уведомления об этом кредитной организации - эмитента банковской карты, не возмещаются.

с банковской картой в банкомате

1. Осуществляйте операции с использованием банкоматов, установленных в безопасных местах (например, в государственных учреждениях, подразделениях банков, крупных торговых комплексах, гостиницах, аэропортах и т.п.).

2. Не используйте устройства, которые требуют ввода ПИН для доступа в помещение, где расположен банкомат.

3. В случае если поблизости от банкомата находятся посторонние лица, следует выбрать более подходящее время для использования банкомата или воспользоваться другим банкоматом.

4. Перед использованием банкомата осмотрите его на наличие дополнительных устройств, не соответствующих его конструкции и расположенных в месте набора ПИН и в месте (прорезь), предназначенном для приема карт (например, наличие неровно установленной клавиатуры набора ПИН). В указанном случае воздержитесь от использования такого банкомата.

5. В случае если клавиатура или место для приема карт банкомата оборудованы дополнительными устройствами, не соответствующими его конструкции, воздержитесь от использования банковской карты в данном банкомате и сообщите о своих подозрениях сотрудникам кредитной организации по телефону, указанному на банкомате.

6. Не применяйте физическую силу, чтобы вставить банковскую карту в банкомат. Если банковская карта не вставляется, воздержитесь от использования такого банкомата.

7. Набирайте ПИН таким образом, чтобы люди, находящиеся в непосредственной близости, не смогли его увидеть. При наборе ПИН прикрывайте клавиатуру рукой.

8. В случае если банкомат работает некорректно (например, долгое время находится в режиме ожидания, самопроизвольно перезагружается), следует отказаться от использования такого банкомата, отменить текущую операцию, нажав на клавиатуре кнопку "Отмена", и дождаться возврата банковской карты.

9. После получения наличных денежных средств в банкомате следует пересчитать банкноты полистно, убедиться в том, что банковская карта была возвращена банкоматом, дождаться выдачи квитанции при ее запросе, затем положить их в сумку (кошелек, карман) и только после этого отходить от банкомата.

10. Следует сохранять распечатанные банкоматом квитанции для последующей сверки указанных в них сумм с выпиской по банковскому счету.

11. Не прислушивайтесь к советам третьих лиц, а также не принимайте их помощь при проведении операций с банковской картой в банкоматах.

12. Если при проведении операций с банковской картой в банкомате банкомат не возвращает банковскую карту, следует позвонить в кредитную организацию по телефону, указанному на банкомате, и объяснить обстоятельства произошедшего, а также следует обратиться в кредитную организацию - эмитент банковской карты (кредитную организацию, выдавшую банковскую карту), которая не была возвращена банкоматом, и далее следовать инструкциям сотрудника кредитной организации.

для безналичной оплаты товаров и услуг

1. Не используйте банковские карты в организациях торговли и услуг, не вызывающих доверия.

2. Требуйте проведения операций с банковской картой только в Вашем присутствии. Это необходимо в целях снижения риска неправомерного получения Ваших персональных данных, указанных на банковской карте.

3. При использовании банковской карты для оплаты товаров и услуг кассир может потребовать от владельца банковской карты предоставить паспорт, подписать чек или ввести ПИН. Перед набором ПИН следует убедиться в том, что люди, находящиеся в непосредственной близости, не смогут его увидеть. Перед тем как подписать чек, в обязательном порядке проверьте сумму, указанную на чеке.

4. В случае если при попытке оплаты банковской картой имела место "неуспешная" операция, следует сохранить один экземпляр выданного терминалом чека для последующей проверки на отсутствие указанной операции в выписке по банковскому счету.

картой через сеть Интернет

1. Не используйте ПИН при заказе товаров и услуг через сеть Интернет, а также по телефону/факсу.

2. Не сообщайте персональные данные или информацию о банковской(ом) карте (счете) через сеть Интернет, например ПИН, пароли доступа к ресурсам банка, срок действия банковской карты, кредитные лимиты, историю операций, персональные данные.

3. С целью предотвращения неправомерных действий по снятию всей суммы денежных средств с банковского счета рекомендуется для оплаты покупок в сети Интернет использовать отдельную банковскую карту (так называемую виртуальную карту) с предельным лимитом, предназначенную только для указанной цели и не позволяющую проводить с ее использованием операции в организациях торговли и услуг.

4. Следует пользоваться интернет-сайтами только известных и проверенных организаций торговли и услуг.

5. Обязательно убедитесь в правильности адресов интернет-сайтов, к которым подключаетесь и на которых собираетесь совершить покупки, т.к. похожие адреса могут использоваться для осуществления неправомерных действий.

В случае если покупка совершается с использованием чужого компьютера, не рекомендуется сохранять на нем персональные данные и другую информацию, а после завершения всех операций нужно убедиться, что персональные данные и другая информация не сохранились (вновь загрузив в браузере web-страницу продавца, на которой совершались покупки).

7. Установите на свой компьютер антивирусное программное обеспечение и регулярно производите его обновление и обновление других используемых Вами программных продуктов (операционной системы и прикладных программ), это может защитить Вас от проникновения вредоносного программного обеспечения.

Как защититься от мошенников?

ПИН-КОД – КЛЮЧ К ВАШИМ ДЕНЬГАМ
Никогда и никому не сообщайте ПИН-код Вашей карты. Лучше всего его запомнить. Относитесь к ПИН-коду как к ключу от сейфа с Вашими средствами. Набирая ПИН-код, прикрывайте клавиатуру рукой.
Нельзя хранить ПИН-код рядом с картой и тем более записывать ПИН-код на карту – в этом случае Вы даже не успеете обезопасить свой счёт, заблокировав карту после кражи или утери.

ВАША КАРТА – ТОЛЬКО ВАША
Не позволяйте никому использовать Вашу пластиковую карту – это всё равно что отдать свой кошелёк, не пересчитывая сумму в нём.

НИ У КОГО НЕТ ПРАВА ТРЕБОВАТЬ ВАШ ПИН-КОД
Если Вам позвонили из какой-либо организации, или Вы получили письмо по электронной почте (в том числе из банка) с просьбой сообщить реквизиты карты и ПИН-код под различными предлогами, не спешите её выполнять. Ни одна организация, включая банк, не вправе требовать Ваш ПИН-код. Не переходите по указанным в письме ссылкам, поскольку они могут вести на сайты-двойники. Помните: хранение реквизитов и ПИН-кода в тайне – это Ваша ответственность и обязанность.

НЕМЕДЛЕННО БЛОКИРУЙТЕ КАРТУ ПРИ ЕЕ УТЕРЕ
Если Вы утратили карту, срочно свяжитесь с банком по тел: 34-22-22 или 8-800-100-34-22, сообщите о случившемся и следуйте инструкциям сотрудника банка. Для этого держите телефон банка в записной книжке или в списке контактов Вашего мобильного телефона.

ПОЛЬЗУЙТЕСЬ ЗАЩИЩЁННЫМИ БАНКОМАТАМИ
При проведении операций с картой пользуйтесь только теми банкоматами, которые расположены в безопасных местах и оборудованы системой видеонаблюдения и охраной: в государственных учреждениях, банках, крупных торговых центрах и т.д. Граждане, пользующиеся банкоматами без видеонаблюдения, могут подвергнуться нападениям злоумышленников.

ОПАСАЙТЕСЬ ПОСТОРОННИХ
Совершая операции с пластиковой картой, следите, чтобы рядом не было посторонних людей. Если это невозможно, снимите деньги с карты позже, либо воспользуйтесь другим банкоматом. Набирая ПИН-код, прикрывайте клавиатуру рукой. Реквизиты и любая прочая информация о том, сколько средств Вы сняли, и какие цифры вводили в банкомат, могут быть использованы мошенниками.

БАНКОМАТ ДОЛЖЕН БЫТЬ «ЧИСТЫМ»
Обращайте внимание на картоприемник и клавиатуру банкомата. Если они оборудованы какими-либо дополнительными устройствами, то от использования данного банкомата лучше воздержаться и сообщить о своих подозрениях по указанному на нём телефону.

СОВЕТУЙТЕСЬ ТОЛЬКО С БАНКОМ
Никогда не прибегайте к помощи либо советам третьих лиц при проведении операций с банковской картой в банкоматах. Свяжитесь с банком – мы предоставим консультацию по работе с картой. Телефон указан на оборотной стороне карты.

НЕ ДОВЕРЯЙТЕ КАРТУ ОФИЦИАНТАМ И ПРОДАВЦАМ
В торговых точках, ресторанах и кафе все действия с Вашей пластиковой картой должны происходить в Вашем присутствии. В противном случае Вы можете, подвергнуты мошенническим действиям со стороны персонала: сканирование реквизитов. Вашей карты при помощи специальных устройств и использовать их в дальнейшем для изготовления подделки.

Пластиковая банковская карта решает многие проблемы, связанные с учетом, хранением и расходом денег. Пользуясь средствами на карте, нужно соблюдать определенные правила безопасности. Основная роль в этом вопросе отведена пин-коду. О том, что это такое, как правильно его выбирать и хранить, вы узнаете из нашей статьи.

Что такое пин-код карты?

Пин код карты банка – это идентификационный номер, который дает доступ владельцу карты к выполнению тех или иных финансовых операций. Это всегда четырехзначная комбинация – пароль. При получении карты на руки код предоставляется в закрытом конверте. Он присваивается автоматически и никто, кроме владельца, не должен его знать. Сохранность пин кода пластиковой карты от третьих лиц дает гарантии защиты от противозаконных действий мошенников.

Как подобрать идеальный пин-код для своей карты

Рin код карты нельзя заранее выбрать и продиктовать сотруднику банка, но его можно изменить. Чаще всего это делают люди, которым сложно запоминать разные цифры, либо те, кто считает такую комбинацию слишком легкой.

Поменять этот секретный номер можно через банкомат того банка, который выпустил карту или на его официальном сайте (если вы подключены к онлайн-банку). Совершить операцию по замене пин-кода допустимо только после авторизации карты.

Выбирая новый пин-код, нельзя:

• указывать 4 одинаковые цифры,
• выбирать цифры по порядку (к примеру, 4567),
• использовать даты рождения: свою, близких либо родственников.

Особенно внимательно подбирайте пин код кредитной карты. Иногда за смену pin-кода банк берет комиссию.

В случае, когда клиент забыл пин код карты, а конверт с этой комбинацией утерян, действия должны быть следующими:

1. Немедленно сообщить обслуживающему банку об этой ситуации;
2. В случае подозрения на кражу конверта с пин кодом можно заблокировать карту для сохранности оставшихся на ней средств (по телефону или же в отделении);
3. Написать заявление о намерении присвоить карте новый пин код, указав свою причину. С этим заявлением следует обратиться к менеджеру банка.
4. Если необходимо срочно получить деньги, а пин код банковской карты еще не доступен, то можно обратиться непосредственно в кассу банка, предварительно написав соответствующее заявление.

Такой же последовательности действий нужно придерживаться в случае утери самой карты. Вариантов того, как восстановить пин код карты в прежнем виде, не существует. После рассмотрения заявления в банке вам будет выдан новый «пластик» и новый пин код. При этом номер счета не поменяется, а оставшиеся деньги будут перенесены на полученную карту.

Как разблокировать карту после неправильного ввода пин кода

Если при снятии денег через банкомат 3 раза был неправильно введен пин код карты, то карта автоматически блокируется. Снять блокировку можно, обратившись по телефону в call-центр банка и назвав слово-код, которое вы оговаривали с банковским служащим в момент открытия карты.

Правила использования и хранения пин-кода

Чтобы свести к минимуму возникновение проблемных ситуаций, а мошенники не нашли способ, как узнать пин код карты,накоторой хранятся ваши деньги, следует воспользоваться такими советами:

1. Хранить пин код в памяти или же написанный в зашифрованном виде, понятном только вам.
2. Не писать код на задней полосе карточки.
3. Не оставлять карту вне поля зрения, не давать уходить с ней официанту или кассиру. Помните: никто не должен узнать пин код банковской карты.
4. Не передавать данные о пластиковой карте, пин-коде в телефонном режиме.
5. Всегда иметь при себе записанный номер карты и обслуживающего банка.
6. При снятии денег в банкомате проверять наличие видеокамер, которые могут снимать вас со спины или с боку. Как правило, банкомат оборудован только одной камерой, расположенной в одной плоскости с экраном.

Когда-то использование пластиковых карт было для российской аудитории «в новинку». Недоверие постепенно сменилось признанием максимального комфорта. Многие даже отказались от хранения большой суммы наличными и предпочитают везде использовать пластиковые карты. У одного человека их количество очень часто может превышать одну-две и достигать даже пяти, а то и более. Вот только как не запутаться в пин-кодах от кредиток и не перепутать их друг с другом? С приложением PIN Master можно безопасно хранить пароли от разных карт и не держать все эти цифры в своей голове.

Среднестатистический пользователь мобильного устройства обычно записывает все пароли от своих карт в Заметки. Это самый распространенный метод, притом что еще и максимально небезопасный. С одной стороны можно всегда получить быстрый доступ к паролям (ведь iPhone всегда под рукой), с другой стороны, попадание мобильного телефона в чужие руки может иметь, сами знаете, какие последствия. Идеальный вариант – приложение PIN Master! Сейчас поймете почему…

Если коротко, то приложение PIN Master – это надежно, безопасно, персонализировано, красиво, а главное – бесплатно! В приложении можно хранить неограниченное число пин-кодов от ваших пластиковых карт, и не один чужой глаз не сможет понять вашу комбинацию засекречивания.

Добавляя новую карту, задавая ей персональное имя, перед вами появится большое поле, заполненное цифрами в произвольном порядке. Первое впечатление – как среди стольких цифр запомнить и расположить свой пароль? Но оно обманчивое…

Для себя вы выбираете определенную комбинацию из выделенных цифр и, например, располагаете свой пароль под ними, внутри и т.д. В качестве самого простого примера можно расположить четыре выделенных цифры подряд на одном из рядов и запомнить, что строго под ними находится ваш пин-код. Если ваша голова способна запоминать более сложные комбинации, включайте свою фантазию и придумывайте. Но даже самое простое решение уже поставит ваш пароль под защиту.

Персонализировать цифровое поле очень просто. Любую цифру можно выделять или изменять с помощью простого касания или длительного. Замочком можно заблокировать дальнейшие изменения. Подобрать комбинацию невозможно, потому что ключ от картинки знаете только вы. В итоге, расплачиваясь кредиткой в магазине, обналичивая купюры в банкомате, вы всегда имеете под рукой доступ к паролям от ваших карт в один клик.

Весомое преимущество приложения PIN Master – его стоимость. Приложение абсолютно бесплатно, не содержит встроенных покупок и рекламных баннеров, при этом имеет очень красивый минималистичный дизайн. Примитивные аналоги хранения паролей, как правило, платные, либо не гарантируют высокой степени защиты. Так чего ждать… Хватит записывать пароли, где попало или держать их в своей голове. Воспользуйтесь отличным решением проблемы – приложением PIN Master!

Добрый день. Разбираюсь с безопасным хранением информации в своем приложении для Android, и столкнулся с интересным моментом: можно ли считать PIN код для входа в приложение (самопальный) достаточной защитой?
Допустим, у злоумышленника есть физических доступ к устройству (ну украл он его, почему нет? чем не сценарий атаки?). В самом простом случае, если разработчик не задумался о безопасности хранения данных, можно или банально открыть приложение и получить доступ ко всей интересной злоумышленнику информации, или же слить файл Бд (sqlite, например) и расковыряв его вытянуть все данные. отсюда напрашиваются следующие выводы:
1. Необходима защита для входа в приложение (PIN код или пароль)
2. Необходимо хранить все данные в зашифрованном виде.

Идея проста - у пользователя есть некий, заданный им, мастер-ключ, которым шифруется вся информация (БД). Ключ большой и длинный, и чтобы при каждом входе в приложение пользователю не надо было его вводить, вводим новую сущность - PIN код для входа в приложение (код из 4 цифр). Сам мастер-ключ хранится на этом же устройстве в зашифрованном виде, и ключом является PIN код (точнее, производная от него. Например, MD5 хеш). В данном случае все выглядит очень безопасно, не так ли? Но если подумать, смоделировать ситуацию. то все становится гораздо печальнее.

Допустим, злоумышленник выкрал девайс жертвы, и слил зашифрованную БД приложения. Далее, злоумышленник может банальным брутфорсом (10^4 комбинаций - мелочь) перебрать все возможные варианты PIN кода, пока не найдет нужный. Для этого необходимо знать алгоритм работы приложения, что не является существенной проблемой. Одно из правил защиты информации гласит: нельзя считать защищенной систему, вся защита которой заключается в секрете механизма защиты (перефразировал своими словами для подходящего случая). Узнать методику защиты не составляет большого труда. Далее, если процедура дешифровки БД выдает даже полную белиберду, злоумышленнику достаточно расковырять копию БД с известным PIN кодом (поставить приложение на свой девайс, установить PIN, заполнить данные, расковырять БД) и найти структуру хранения данных, а точнее сигнатуры данных (Например JSON - {_id: x, name: "xxxx"} и прогнать все варианты дешифровки через простой сигнатурный поиск (даже простой regex справится с задачей). А далее мы получаем:
1. Всю "защищенную" и "приватную" информацию пользователя
2. Заведомо корректный PIN для входа в приложение.

И неизвестно,что хуже. Допустим, что приложение для банк-клиента защищено именно так. В таком случае, зная PIN для входа в приложение и имея физический доступ к девайсу перевести все средства пользователя себе (PIN известен, СМС придет на это самое устройство) для злоумышленника не составляет труда.

Отсюда возникает вывод: если вся защита построена на PIN коде (уязвим для перебора) и имеется возможность провести брутфорс - защита не стоит ничего. Но при этом все банковские приложения используют этот (или похожий) механизм защиты.
Отсюда вопрос:
1. Действительно ли все так плохо и нельзя доверять подобным приложениям?
2. Реально ли разработать нормальную, устойчивую к взлому систему с использованием PIN кода для входа (не графический ключ и отпечаток пальца, а именно коротккий и легко перебираемый код)? Если да - то как?

З.Ы. Уверен, что чего-то важного я не знаю, и это мешает разобраться в вопросе.

В общем и целом задачка выглядит неразрешимой. Т.к. есть "черный ящик" - наше приложение, установленное на девайсе. Для получения всех данных нужно знать только четырехзначный пин, а он брутфорсится на раз. Считается., что имея на руках девайс, злоумышленник может выковырять любые данные оттуда. А отсюда вопрос - верно ли последнее утверждение? Может, есть какое-то супер защищенное хранилище Android? Локально хранящееся на устройстве, и которое достаточно сложно взломать? Если приложение будет иметь доступ туда - писать туда ключик, и задача решена. Но что это за загадочное место?

Итак, нашел . Все достаточно понятно расписано. Вывод простой - хранить ключи надо в KeyStore, но это не спасение, если девайс рутован. Нужно проверять, рутован ли девайс, и предупреждать пользователя. НО! Насколько я понял, есть возможность рутировать девайс без потери данных , а это означает, что злоумышленник может рутировать девайс, сохранив все данные, и расковырять KeyStore. Беда.

Но если не вдаваться в проблему рутования, то решение выглядит следующим образом: по PIN коду происходит вход в приложение, а приложение вытягивает ключ, сгенерированный при первом запуске приложения, из KeyStore и им расшифровывает БД. При этом не сохраняет расшифрованные данные в незащищенном месте (часто это используют для увеличения скорости работы приложения, этакое кеширование данных), т.к. эти данные можно вытянуть без проблем.

Теперь понятно, почему многие банковские приложения не запускаются на рутированных девайсах. Но это не решает проблемы рутирования без потери данных. Т.е. допустим, что злоумышленник умыкнул мой НЕ рутованный девайс, рутанул его, вытянул из KeyStore ключик для приложения банк-клиента, и вытянул мои данные. При этом, для проверки корректности PIN, необходимо где-то хранить его хэш (зашифрованный, соленый - и что? И соль и пароль шифрования лежит в уже доступном для злоумышленника KeyStore). Таким образом полным перебором можно подобрать PIN для входа в приложение, зайти в приложение и перевести все средства. Снести все банковские приложения, что-ли?))