«Пластиковая карта» — обывательское название банковской платежной карты (БПК). Вещь в хозяйстве крайне полезная — ведь её можно прекрасно использовать чтобы ровнять дорожку вырезать из неё отличный медиатор для электрогитары. Но — шутки в сторону — любопытная конкретика…

Карты

Основное распространение на территории СНГ получили карты платежных систем Visa и MasterCard/Europay. Карта является собственностью банка, который её эмитировал и клиенту она выдаётся только на срок действия этой карты. Если отбросить некоторые нюансы, то карты делятся на два вида – дебетовые и кредитные. В Европе/США – если у тебя карта типа «Gold/Platinum и т.д.» — значит имеешь солидный кредитный лимит, значит ты уважаемый человек – тебе будут шире улыбаться и каждый понимает, что у тебя за душой немало. Во всяком случае так было раньше. В СНГ же – любой студент откроет себе бесплатно карту «Gold», чтобы произвести впечатление на друзей за вечерним распитием пива и таким образом рушит всю западную систему ценностей.

Карты могут быть только с магнитной полосой, либо еще с чипом. Кто с чипом – тот и прав в случае разбора споров. Если ваша карта с чипом, а банкомат не имеет соответствующего считывающего устройства – то вы правы. Если наоборот – прав банкомат.

Магнитную полоску в карте размагнить достаточно сложно. Локальные платежные карты этому подвержены больше (о них потом как-нибудь расскажу), а вот за несколько лет у меня была только одна международная платежная карта, которая размагнитилась. К тому времени через меня лично прошло их где-то 15 тысяч, так что – считаю, что это немного.

Карты также используются в системах контроля доступа. Если банкомат стоит в холле отделения банка – то в ночное время – попасть туда можно (если предусмотрено) – проведя картой по устройству на входе. Устройству подходит карта любого банка (бомжам на заметку – в холлах отделений тепло и уютно).

В банкоматах чужого банка не всегда есть возможность посмотреть баланс по карте. Вообще – банкоматы ставятся не для своих клиентов, а для чужих – чтобы зарабатывать на (вообщем-то довольно неплохой) комиссии. Средняя окупаемость АТМ (если посчитать грязную комиссию) составляла в 2004-2007 годах около 4-5 лет. Мой первый подотчетный банкомат, установленный в 2002 году, окупился только в 2006. Конечно есть косвенная экономия – на разгрузке кассира, круглосуточная работа опять же… но появляются и расходы на инкассацию, обслуживание и т.п.

Если попробовать картой, что числится как украденная, вставится в банкомат – то он её без разговоров заберет. Если через POS-терминал – у кассира высветится – изъять карту. При этом в процессинговом центре также высветится эта информация – и дежурный оператор может вызвать органы правопорядка для задержания мошенника к торговой точке/отделению. Если кассир не захотела неприятностей сделала вид, что не заметила и отдала карту клиенту – начинается волынка…

Когда карта сдаётся в банк – её положено уничтожить. Например в шредере. Зачастую шредеров не случается, поэтому в ход идут суровые ножницы. Пластик твердый, карт в конце месяца может накопиться 400-600 штук – а разрезать нужно так, чтобы повредить магнитную полосу, номер карты и имя владельца.

Посмотрите на свою карту. На ней есть номер карты. Первая цифра – 4 – это Visa, 5 – MasterCard, 6 – Maestro и т.д. Первые шесть цифр – это BIN банка. Есть справочники. На карте есть её дата действия. Карта действительна до последнего календарного дня месяца, что указан. Если вы получили новую карту до истечения срока старой – то старая еще будет работать, но когда вы сделаете первую операцию по новой карте – начинает работать уже новая. Банки получают (покупают) ключи для генерации на определённый срок. На год/два/пять. Именно от этого зависит тот максимальный срок, на который выдаются карты.

Надписи на карте могут быть просто нанесены, либо выдавлены (эмбоссированы). Зачем это надо?

Импринтер

Историческое устройство. Первые появились еще в 40-х годах, но успешно работали и в двухтысячных. Может где трудятся и поныне. На импринтер прикручивается клише торговой точки/отделения банка, на котором также выдавлена идентифицирующая информация точки. В специальную нишу кладется карта клиента, сверху – т.н. «слип» — самокопирующийся бланк, прокатываем сверху и получается оттиск на бланках данных карты и торговой точки. Рассчитались. Последнее время карты (особенно низкого уровня) выпускаются с печатью идентификационной информации, а не выдавливанием. Хотя мне «old-style» субъективно нравится больше.

Процессинговый центр

Карты учитываются и обслуживаются не в банках, а в процессинговых центрах (ПЦ). Это достаточно сложное организационное и техническое учреждение. Только крупные банки могут себе позволить организовать собственный ПЦ. Небольшие же банки – заключают договоры на обслуживание в чьём-то ПЦ. Процессинг кроме карт обслуживает также и все устройства взаимодействия с платёжными системами – банкоматы, POS-терминалы и системы, программные комплексы. В банке клиенту открывают текущий счет и выдают карту. Теоретически возможна ситуация, что текущий счет у двух клиентов в разных банках будет совпадать (на самом деле шанс ещё меньше, т.к. в номере счета есть контрольные цифры, в расчете которых используется код банка, но контрольная цифра тоже может совпасть….) – речь о том, что оба этих банка могут работать с единым ПЦ. Так вот – карта имеет свой технический счет в ПЦ, о котором клиент может даже не догадываться. Поэтому все операции с картой в ПЦ проходят по этому техническому счету. При зачислении средств на карту – банк сообщает ПЦ, что нужно зачислить средства на такой-то технический счет. Таким образом налицо двойной учет – внутри банка и внутри ПЦ (точнее – всей платёжной системы).

Банк

Банки, как правило, сами печатают (эмитируют/эмбоссируют) свои карты. Из ПЦ получается информация о сгенерированных картах и PIN-кодах – банк заряжает свой агрегат – идёт тиснение карт и печать кодов. Средняя производительность 400 карт в час. Допускаешь ошибку при заказе карты и пишешь в имени владельца какие-нибудь цифры или знаки пунктуации – получается по голове достаточно занятно. Бывало.

Минутка юмора

Исправительная колония. Всем заключенным платится зарплата за выполненные работы. Копейки, но за весь срок набегают какие-то суммы. Банк (не мой) заключает зарплатный проект с департаментом исполнения наказаний и всем зэкам печатают карты. Много. Очень много. Напечатали, привезли выдавать. Начальник колонии взял первую попавшуюся карту и его чуть удар не хватил. Сказав несколько непечатных слов, он поинтересовался как он будет эти карты выдавать своим подопечным? Пришлось убираться несолоно хлебавши и перепечатывать все карты.

Мошенники

В комментариях к прошлой статье был интерес к мошенничеству и взлому. Так вот – невзирая на художественные фильмы и басни в интернете жизнь показала, что на самом деле в ходу только два варианта экспроприации. В первом нужно поработать руками, а во втором – головой.

В первом случае это будет банальное ограбление. Банкомат штука тяжелая – 900-1200 килограмм – средний вес. Плюс он, как правило, на совесть прикручен к полу. Тут уж насколько хватит фантазии. Гарпуном пробивается экран уличного витринного банкомата. Трос. Грузовик. На рывок. Со скрежетом лебёдкой затягиваем банкомат на платформу грузовика и ноги. В тихой, непринужденной, обстановке, не торопясь, вскрываем сейф. Либо на авиационном заводе – группа высококвалифицированных слесарей и токарей шестого разряда вскрывают заводской банкомат в цеху и изымают содержимое без лишнего шума. Народ у нас башковитый.

Во втором случае – речь о воровстве персональных данных о картах. В банках эта информация не хранится. Весьма фантастично – украсть базу прямо из ПЦ (конечно не удаленно, а изнутри) – но бывает и такое. Зачастую же всё более приземлено и мы поговорим о скимерах и накладках.

На АТМ банками часто вешаются антискимеры. Но визуально скимеры тоже могут выглядеть так. И встроить в антискимер свой скимер – весьма просто. Он сам по себе очень тонкий. Его задача – сосчитать магнитную полосу в карте и записать себе в память (реже)/передать по Wi-Fi (чаще). Но магнитной полосы недостаточно. Нужен PIN-код. Значит это будет миниатюрная видеокамера (встроенная куда-угодно) или соглядатай (в бинокль из окна дома напротив).

Также это может быть накладка на клавиатуру. Но тут сложнее. Сама по себе накладка вещь достаточно дорогая – несколько тысяч евро могут стоить годные модели. Поэтому, если вы обнаружили накладку на клавиатуре – лучше прикиньтесь памятником и, не отсвечивая, уходите, т.к. вон та компания студентов, которая пьёт пиво на лавочке или группа хмурых мужчин в кожанках – она здесь находится не просто так, а для контроля ситуации – чтобы никто не тиснул ценную вещь.

Наметанный глаз почти всегда определит, что на банкомате есть накладка – т.к. подогнать точно верхнюю панель АТМ очень сложно – это кропотливая работа, а задача – быстро получить набор данных и уйти к другому банкомату.

В общем – всегда стоит исходить из того – что скимер в банкомате есть и есть миниатюрная камера (технологии не стоят на месте). Поэтому – снимайте деньги в проверенных АТМ, внешний вид которого вы помните, закрывайте клавиатуру другой рукой/кошельком, когда вводите код – и шанс пострадать – минимален.

Отдельная тема – фальшивые банкоматы, но шанс найти на свалке у нас АТМ крайне мал – поэтому эта тема больше популярна для стран Европы. Это когда на улице стоит банкомат – Вы подходите снять деньги – он спрашивает pin-код, сумму снятия, но в конце пишет – что-то из серии «ошибка связи» и вы спокойно уходите к другому банкомату. А данные ваши уже переданы кому надо.

Что касается взлома по сети/интернету – шанс ничтожный. Даже находясь в одной сети с банкоматом и поставив сниффер и имея весь трафик – требуется провести огромную работу по его дешифровке и потом требуется изучить все протоколы обмена – т.к. придётся имитировать обмен между ПЦ и АТМ с вот этой конкретной картой…. К тому времени Вы уже будете работать на серьёзной работе под серьёзным присмотром.

Короче, Склифосовский!

Что делают с полученными данными карт и PIN-кодами? Белый пластик. На него пишется магнитная полоса с карты. Получается клон. Идём в стране третьего мира и снимаем через АТМ с карты (зная PIN-код) деньги. Это делается массировано организованными группами. Каждый получает свою долю.

Отдельно отмечу держателей карт (особенно старшего возраста), которые пишут (царапают) на карте PIN-код. Ничего не скажу о них – просто отмечу. Верх цинизма – нацарапать неправильный код.

Препарируем банкомат

Никого из нас не удивить банкоматом (АТМ). Даже люди старшего поколения мало-помалу привыкли к этому устройству и свою пенсию в состоянии как-то снять. Однако кроме всего прочего — банкомат – это крайне занятная штука с технической и организационной точки зрения. Даже сотрудники банковских учреждений (в т.ч. и связанных с платежными картами) не всегда представляют себе тонкости его работы. В прошлой жизни я достаточно много лет был связан с платежными картами и обслуживанием банкоматов. Мне доводилось и отогревать его феном и выковыривать оттуда по кусочкам мышь кровь кишки, застрявшую в обнимку с купюрами. Даже спалил один из подконтрольных банкоматов. Дважды. Поэтому поделюсь некоторыми, на мой взгляд, интересными техническими нюансами в работе АТМ.

К сожалению основной упор этой моей деятельности приходился на тот период, когда даже фотоаппарат 0,3Мп в телефоне это была немалая роскошь – посему собственных фотографий у меня практически нет.

40 купюр

Банкомат выдаёт не более 40 купюр за один раз. Связано это с самим механизмом подачи. Поэтому – снимая деньги в банкомате – если он выводит на экране «В наличии купюры 50, 200» — а вам нужно снять большУю сумму – сразу можете прикинуть сколько максимум денег банкомат может вам выдать. Если попробуете ввести больше чем 40 банкнот — банкомат подумает и откажет. А вы останетесь гадать почему.

30 секунд

Интервал ответа для каждой операции, после действия клиента должен быть не более 30 секунд. Это требование международных платежных систем. Клиент вставил карту – можно задуматься на 29 секунд и дать ответ. Выбрал пункт меню — опять можно подумать. И так далее. Раньше, когда связь была не особо хорошей – это был важный момент. Сейчас – с этим полегче.

Белая карта супервизора

Да — именно такая. Идёт с каждым банкоматом в комплекте. Как и обычные карты — тоже имеет PIN-код и срок действия.
Может подходить и к другим банкоматам. Тут детальных подробностей не могу сообщить – по ошибке я карту от одного АТМ использовал для другого своего АТМ и она работала – так и должно быть или она работает в рамках одного ПЦ (процессингового центра) – не знаю. Надо было видимо пойти в банкомат другого банка и проверить. Но сидеть было неохота.

Так вот – карта требуется для выполнения инкассации/аудита банкомата и некоторых технических функций – можно выдать сколько угодно купюр из кассет , пооткрывать дверцей выдачи, помигать индикаторами и дисплеями и т.п. Три раза неправильно ввел код на карте – она блокируется до следующего дня.

Мозги

Кроме «системного блока» (назовём его так) в клавиатуре банкомата, в блоке кард-ридера и дисплее есть свои мозги. Нельзя просто так взять и подключить детали одного АТМ к другому. При подключении новых устройств требуется вводить криптографические 3DES-ключи. Они записываются в эти подключаемые устройства и позволяют им работать с этим конкретным АТМ. Ключи представляют собой 2 конверта (как конверты PIN-кода для обычных карт) в которых находятся последовательность цифр. Два человека получают по конверту и вводят ключи.

Денежные кассеты

В банкомате как правило 4-6 кассет с купюрами. В кассету помещается ~2.5 тысячи банкнот. Каждая кассета настроена на конкретную банкноту. Поэтому, даже если при инкассации АТМ перепутать кассеты местами – всё равно чип в кассете – не даст выдавать оттуда денег. Обратная сторона медали – если в кассету для двадцаток загрузить полтинники – то (при изрядной доли везения – если характеристики купюр более-менее похожи) АТМ начнёт выдавать купюры большего номинала. Кассир банкомата и зав.кассой сразу могут раскошеливаться и покрывать недостачу. Бывало и такое…

Кассета выбраковки

Склеенные банкноты, банкноты, которые не нравятся по тем или иным причинам банкомату, а также деньги, которые вы не взяли из щели выдачи – откидываются в кассету выбраковки. По размерам она меньше в два раза стандартной.

Банкомату бывает холодно

Уличный банкомат имеет 100% влагозащищенность. Однако он чувствителен к холоду. В ранних моделях АТМ не было пакета «Русская зима»нагревательных элементов и поэтому когда на дворе температура падала ниже 10-15 градусов (мороза) — АТМ начинал капризничать. Особенно актуально – когда АТМ стоит в витрине и его передняя (внутренняя) часть фактически тоже упирается в витрину и мерзнет. АТМ может вообще не включаться, т.к. диагностика возмущается и требует тепла для банкомата (хозяйке на заметку: чтобы АТМ запустился нужно в этот момент дуть феном на термодатчик). Может не работать механизм выдачи денег и прочие прелести.

Изъятые карты

В банкомате люди оставляют свои карты. Иногда случайно, иногда – введя неправильно три раза PIN-код, иногда – ты снимаешь деньги, пропадает напряжение — банкомат выключается и как бы всё… дальше по выбору – стоишь сколько сможешь и ждешь свою карту (которая, что характерно, когда появится напряжение – выедет наружу – и её если не ты – то кто-то подцепит, если успеет) либо идешь домой, а карту банкомат потом заберёт к себе. За картами зачастую никто не обращался. За несколько лет мы насобирали изрядную коллекцию карт разных банков. В т.ч. иностранных.

Старые АТМ

В Украину в 2002-2004 годах привозили достаточно много бывших в употреблении АТМ из Европы/США. Здесь их приводили в божеский вид, делали обслуживание и продавали банкам. Они были приблизительно в 8-12 раз дешевле (5-8 тысяч долларов) новых современных банкоматов (80-110 тысяч долларов). Работали они, скажем прямо, паршиво, но т.к. карточный бизнес ещё только зарождался и доходы были невелики (банкоматы ставятся не для своих клиентов, а для чужих) – новые АТМ в требуемых объемах позволить себе могли не все банки. Поэтому ставили то, что подешевле. На АТМ были старые ЭЛТ-мониторы с выгоревшими эмблемами европейских банков (предыдущих владельцев). Кошерная операционная система для АТМ того времени – OS/2.

Сейф банкомата

В нём хранятся кассеты с деньгами и кассета выбраковки. Представляет собой, как правило, сейф с ключом и поворотным колесом. Код колеса нужно менять регулярно. Очень неприятно, когда при смене кода и закрытии дверцы ты понимаешь, что код не подходит и сейф уже не открывается.

Чеки

Принтеры используются матричные (старые модели АТМ) и термопринтеры. Бумажная лента для чеков – в бобинах. Обычно 2-5 тысяч чеков на бобине. Проблема матричных – сложновато найти картриджи. Проблема термопринтеров – когда холодно и ты греешь феном банкомат – если попасть струёй воздуха на ленту чеков – будет чёрная лента.

Мышь

Зима. Банкомат находился в отделении банка, но в дальнем пустом помещении, а лицом стоял за окно. Холодно. Мышь нашла лазейку (в АТМ их много – подвод кабелей) и залезла внутрь греться. В итоге механизм подачи денег её прижал от души. Я там оказался, т.к. банкомат перестал работать и из кассеты выбраковки торчали деньги в крови. Пришлось разобрать половину банкомата – чтобы достать то что осталось от мыши и три порванных купюры. Погибла смертью храбрых, но была при деньгах.

В качестве бонуса. Конфигурация старенького банкомата NCR 5684 (для понимания комплектующих):

В 2003 году такой б/у банкомат стоил 8 тысяч долларов.