За что не любят CVV и 3D Secure. И почему разработчик не виноват. Разбор | dev.by

Технология защиты интернет-платежей 3D Secure одна из самых важных в защите ваших средств от рук мошенников. В обзоре способы ее обхода.

Содержание

Как вывести деньги с карты без 3D Secure

Обычно мошенникам недостаточно знать только номер карты. Но иногда они могут вычислить дату окончания ее действия и CVC код. Имея эти данные, можно вывести деньги со счета при использовании специальной технологии. Так как действия носят преступный характер, алгоритм действий в статье не описывается.

Стоит понимать, что банки часто отказывают в совершении перевода, если операция носит сомнительный характер. То есть, когда платеж производится без применения системы 3ds, то есть вероятность блокировки транзакции.

Если платеж производится через специализированную интернет-площадку, то платежные системы МИР, VISA и MasterCard перекладывают ответственность при возникновении мошеннических действий в отношении одной из сторон, на саму площадку.

Согласно пользовательскому соглашению специализированных сайтов, полную ответственность за действия несут сами стороны, а сервис является посредником, который взимает небольшую комиссию. При этом подключение защиты невыгодно в силу того, что за нее необходимо платить.

Исходя из этого, не стоит предоставлять номер карты всем подряд и держать его в открытом доступе. Рекомендуется предоставлять его только тем, кто намерен перевести определенную сумму. Например, если вы берете займ онлайн на карту. При этом это должен быть надежный контрагент, который точно не будет пытаться вывести средства получателя преступным путем.

Чем является 3D Secure

3D Secure – это специализированный протокол защиты, который применяется пользователями банковских карт, чтобы платить за услуги через интернет. Благодаря технологии банки и продавцы могут быть защищены от действий мошенников. При этом система не гарантирует, что средства владельца карты останутся в сохранности.

Зная, что такое 3D Secure, можно хотя бы примерно понимать, как она работает. К примеру, вы заказали какой-то товар. Он был добавлен в «корзину». После этого обычно появляются всплывающие окна. На них пользователя попросят указать:

  1. номер банковской карточки;
  2. дату завершения срока действия;
  3. ФИО владельца;
  4. цифры с защитного кода.

Далее покупателя отправляют на страницу той кредитной компании, которая выпускала карту. Здесь пользователь вводит дополнительный код безопасности.

3D Secure от Сбербанка3D Secure от Сбербанка

Главный плюс защитной системы состоит в том, что вся вводимая человеком информация остается только на сервере банка. В магазин, в котором пользователь покупал какую-то вещь, эти данные не попадают. Второе преимущество – это использование одноразового кода, высылаемого банком для подтверждения аутентификации. Однако именно этот плюс может превратиться в значительный минус. При помощи специализированных программ или банальных вирусов мошенники способны перехватить такие данные. Для этого достаточно однажды случайно поставить любое зараженное приложение на телефон и личный компьютер. Есть и второй недостаток – не каждый интернет-магазин желает подключать для себя 3D Secure. Это не возбраняется и не преследуется по закону, так как система не является обязательной.

О неправильном CVV: а был ли код?

Александр, давайте начнём с азов: что такое CVV и зачем нужна его валидация?

CVV (card verification value) — название кода у Visa, СVC (card verification code) — название аналогичного кода у Mastercard, это дополнительная мера безопасности при приеме CNP-транзакций (card not present). Платёж в интернете — это пример CNP-транзакции. 

Как и в случае с PIN-кодом, предполагается, что CVV/CVC известен только держателю карты. 

Это своего рода пароль, подтверждающий эмитенту, что запрос на списание денег с карты его клиента действительно пришёл от клиента. Со временем, когда стало очевидно, что этот код уже не является достаточно надёжной гарантией аутентичности держателя карты, была придумана технология 3D Secure.

Валидация CVV/CVC обязательна?

Нет. Наличие этого кода не является обязательным условием для проведения CNP-транзакции.

Как вообще происходит валидация CVV/CVC? От чего она зависит — от разработчика, от банка-эквайера, от платежной системы?

От разработчика необходимость валидировать CVV/CVC вообще никак не зависит: разработчик делает то, что ему говорит заказчик. Валидация CVV/CVC зависит от конкретной ситуации, в которой формируется транзакционный запрос от эквайера к эмитенту.

Международные платёжные системы (МПС), заинтересованные в снижении мошеннических транзакций, настоятельно рекомендуют мерчантам запрашивать CVV/CVC у своих клиентов. И как правило, эквайеры требуют от мерчантов эти рекомендации выполнять.

Вместе с тем бывают ситуации, когда CVV/CVC не запрашивается и не передается — например, при рекуррентных (повторяющихся) платежах. И вообще говоря, если эквайер решит не передавать CVV/CVC в запросе эмитенту, ничто не помешает ему это сделать. Если же CVV/CVC был запрошен и передан, эмитент в своём ответе сообщает эквайеру, совпал ли переданный CVV/CVC с оригинальным кодом или нет. И это исключительное право эмитента решать, одобрять ли платёж, если CVV/CVC не совпадает. 

Почему некоторые сервисы не проверяют CVV? Может, это дорого или сложно в разработке?

Передача CVV/CVC — это стандартная процедура. Добавление ещё одного поля в запросе и обработка ответа для этого поля — это недорого и несложно. Правильнее говорить не о сервисах, а о ситуациях или типах транзакций, когда CVV/CVC не требуется или можно обойтись без него. По стандартам безопасности, принятым в платежной индустрии, введённый держателем карты CVV/CVC нельзя хранить ни на стороне процессора платежей, ни на стороне эквайера. Отсюда возникают ситуации, когда CVV/CVC можно не передавать (рекуррентные платежи) или когда он не нужен.

Если эмитент имеет возможность другими способами убедиться в том, что транзакция инициирована держателем карты, то ни CVV/CVC, ни 3D Secure ему не нужны.

А как ещё эмитент может убедиться, если не с помощью CVV/CVC и 3D Secure?

Бывают ситуации, когда эквайер и эмитент — это один и тот же банк, который к тому же проводит идентификацию клиента. Например, в О!плати при регистрации кошелька пользователь проходит идентификацию, следовательно, Белинвестбанк знает, что Иван Иванов, зарегистрировавшийся в приложении — это действительно Иван Иванов. Далее, если Иван Иванов пытается пополнить свой счет в О!плати картой Белинвестбанка, последний и без CVV/CVC и 3D Secure может проверить, действительно ли именно эта карта была выдана им Ивану Иванову.

Да, в такой ситуации отсутствие проверки понятно. Но в случае с О!плати платежи проходили без проверки CVV c карт других банков. Как такое может быть? Белорусские банки-эмитенты не запрашивают CVV/CVC?

Сложно сказать, этот вопрос надо адресовать банкам-эмитентам. Я могу сказать только одно: CVV/CVC известен лишь эмитенту, ни эквайер, ни разработчик ничего о нём не знает. Задача разработчика — принять код от клиента и отправить его на шлюз эквайера. Задача эквайера — сформировать запрос по протоколам Visa и Mastercard и передать в сети МПС. А уже эмитент, знающий, какой CVV/CVC на самом деле, даёт ответ: совпали цифры или нет. Почему проходят платежи с неправильными CVV/CVC? У меня две версии. Либо эмитент разрешил транзакции с неправильными CVV/CVC, и тогда это на совести эмитента. Либо эквайер CVV/CVC не отправляет.

(Вторая догадка Александра оказалась правильной. Наш сотрудник обратился в банк-эмитент карты, участвовавшей в тестировании, с вопросом о некорректном CVV. Пришёл такой ответ: «Банк, обслуживающий данную платформу, не передал нам поле, содержащее значение CVV-кода, введёного вами, соответственно проверки CVV-кода на нашей стороне не было. Согласно правилам международной платёжной системы, авторизовать операцию, мы как эмитент можем и без CVV-кода. По этой причине операция прошла успешно»). 

А какая выгода эквайеру не передавать CVV?

Это может быть забота об удобстве плательщиков. Приём платежей в электронной коммерции — это вечный поиск баланса между защитой информации и удобством для клиентов. Например, во многих приложениях карточку можно ввести путём фотографирования — данные распознаются автоматом, но CVV/CVC в этих случаях не считается, так как он указан на обратной стороне карты. Такая практика не так уж и редка. Например, магазин Amazon тоже не запрашивает CVV/CVC — у них просто нет такого поля.

Но тут-то поле есть. И я всё равно ввожу код!

Можно предположить, что в целях упрощения платежей эквайер отказался от CVV/CVC, но разработчики не успели убрать это поле: оно есть, но данные никуда не передаются. Но это всего лишь моё предположение. Точный ответ знает только Белинвестбанк.

А почему эмитенты не отклоняют транзакции без CVV?

Трудно сказать. Для эмитентов тоже важно найти баланс между защитой своих клиентов от мошенничества и удобством карточных платежей для них же. CVV/CVC — это один из способов верификации держателя карты. Но если этот код не передан, верифицировать нечего. Однако отсутствие кода не обязательно означает, что транзакция — мошенническая.

Вот если бы код был передан и не совпал, это был бы сильный аргумент в пользу отклонения платежа. А если кода просто нет…

Принимая решение о том, одобрить или нет платёжную транзакцию, эмитент смотрит не только на наличие-отсутствие CVV/CVC, но и на другие параметры транзакции.

Может, это всё-таки стоит дополнительных денег?

Нет. По крайней мере, здесь нет расходов, которые бы делали экономически целесообразным отказ от CVV/CVC. Это стандартные протоколы, формированием запросов и обработкой ответов занимается специализированное ПО, которое само по себе дорогое, но CVV/CVC входит в его базовый функционал. Для разработчиков добавление поля тоже не представляет никакой сложности.

Давайте резюмируем эту часть: отсутствие валидации CVV/CVC — это нормально?

Это отличается от общепринятых подходов проверки пользователя, которые практикуют другие системы электронных кошельков. Обычно сперва к кошельку привязывается карта с валидацией CVV/CVC и проверкой по 3D Secure, а потом все последующие платежи идут как рекурренты, без каких-либо дополнительных проверок.

Как отсутствие валидации CVV влияет на безопасность платежей? А на риск мошеннических действий с картами?

Конечно же, отсутствие CVV/CVC при CNP-транзакции обычно увеличивает риск того, что кто-то заплатит не своей картой. Номер карты и срок её действия легко подсмотреть, запомнить, украсть. Увидеть CVV/CVC, которые расположены на обратной стороне карты — сложнее. Именно поэтому эмитенты, как правило, отклоняют транзакции, в которых CVV/CVC не совпадает с оригинальным.

Исключение в плане рисков — если банк является и эмитентом, и эквайером для собственных карт, плюс к этому он заранее идентифицировал пользователя как своего клиента — в этом случае проверка CVV/CVC уже не играет роли.

Схемы мошенников

— Что происходит сейчас в сфере мошенничества с картами? За последние годы что-то изменилось?

Вячеслав: По нашим ощущениям особо ничего не поменялось. Но рынок электронной коммерции растет, и приходят новые мошенники. Можно сказать, что появляются более молодые ребята, которые считают, что здесь реально быстро и много заработать. Как правило, они быстрее всего и попадаются.

Также замечу, что упростилась работа с управлением «К». Если раньше без заявления пострадавшей стороны сложно было начать дело, то сейчас к ним можно обращаться уже при подозрениях — сотрудники займутся рассмотрением.

— Молодые ребята — они наши или из соседних стран?

Вячеслав: Наши ребята. Почитали форумы, поверили в сказки — и все, начались проблемы. На самом деле ловят многих, просто это мало освещают.

— О каких доходах стандартного белорусского мошенника из этой сферы мы говорим?

Вячеслав: Самая крупная сумма на моей памяти — ущерб в несколько миллионов долларов. Это было в 2015 году в одном из белорусских банков. Мошенничество с картами.

Вообще, есть две схемы такого мошенничества. Одни покупают ворованные карты и пытаются их обналичить, а другие подходят к делу серьезнее. Они организуют компанию, делают якобы интернет-магазин, турагентство или, допустим, сервис по продаже авиабилетов.

Таким образом мошенники подключают у банка эквайринг и прогоняют транзакции картами из ворованной базы. Юрлицо создают для того, чтобы можно было принимать платежи. Как правило, если банк-эквайер (принимающий платежи. — Прим. Onliner) пропускает такую схему, ущерб идет на сотни тысяч, а иногда и миллионы долларов. Но это обычно кратковременные схемы.

А при краже карт обычно создаются фейковые сайты. Выглядеть, конечно, все будет очень красиво: о таком сервисе сделают много положительных отзывов, могут даже реальный офис снять. И сайт будет продавать топовые товары с хорошей скидкой. Страница для ввода данных карты окажется максимально похожей на страницу какого-нибудь известного провайдера. Но данные примут уже мошенники.

Или еще пример, но уже скорее из сферы жульничества: в соцсетях распространялась информация о продаже билетов на концерт с хорошей скидкой. Для покупки билета нужно было сообщить свою электронную почту, фамилию и имя. По этим сведениям мошенники регистрировались на одном из сайтов билетных операторов, покупали билет, передавали его клиенту и просили перевести деньги на электронный кошелек или пополнить баланс на телефоне.

— Говорят, в большинстве подобных потерь виноваты сами люди: ведутся на халяву. Согласны с этим? 

Вячеслав: Да, согласен. Вы ведь не ходите зимой в шортах и футболке, потому что в этом случае высока вероятность получить простуду или более серьезную болезнь. Аналогичная ситуация и с оплатами: надо же смотреть, где вы покупаете. Конечно, есть законодательство, на высоком уровне все контролируется, но риски остаются. Это интернет — среда, в которой нет конкретного места. Если о магазине гуглятся только свежие отзывы — это уже повод насторожиться. Когда iPhone стоит $2000, а его продают за $500 — ну такого просто не может быть, и это опять же должно вас насторожить.

Справочно:

UNITELLER является одной из наиболее защищенных систем электронных платежей, прошла международную сертификацию, использует защищенный протокол SSL 3.0.

Это означает, что обработка данных, включая номер карты и другой информации, соответствует правилам конфиденциальности платежных систем Visa и MasterCard, и абсолютно защищена от несанкционированного использования.

О валидации имени кардхолдера: не нужна?

Отсутствие валидации имени держателя карты — это нормально?

Да, это нормально.

Имя вообще никто и никогда не проверяет?

Я могу ошибаться, но, по-моему, имя держателя обычно не проверяется. Опять же, если кто-то и может его верифицировать, то только эмитент.

А зачем тогда это поле?

С точки зрения процессинговой компании, я бы сказал, что это поле является своего рода источником статистических данных. Если наша система фрод-мониторинга засекает две транзакции с одним номером карты, но разным именем держателя карты, для нас это сигнал о том, что одна из этих транзакций, возможно, мошенническая. Или обе. Обычно настоящие держатели карт пишут свои настоящие имена. Если эмитент решит проверять присылаемые имена и по результатам проверки будет принимать решение одобрять или отклонять транзакцию, это его право.

Опять же, как и в случае с CVV/CVC, если эмитент имеет какой-то иной способ убедиться, что транзакция действительно была инициирована его клиентом, то ему всё равно, что написано в поле «имя держателя карты».

Можно ли передавать кассиру карту

— В Беларуси карты появились у большого числа людей за короткий промежуток времени. Может быть, дело в этом? Не все успели адаптироваться.

Вячеслав: Возможно. Все умеют снимать деньги в банкоматах — мы давно поняли, что на них могут быть скиммеры (устройства в виде накладок или других приспособлений, которые считывают данные карты. — Прим. Onliner). Теперь нужно привыкнуть, что и в интернете стоит быть внимательным. Раньше ведь не было потребности оплачивать что-то в интернете: курьер привез товар, и вы рассчитались картой.

— Терминалы в магазинах иногда расположены так, что до них не дотянуться. Но вроде как кассир не имеет права брать в руки вашу карту. Как тогда быть?

Артур: Скорее это у вас в договоре с банком сказано, что вы не можете передавать карту в чужие руки. В этой ситуации все исключительно на ваш страх и риск. На мой взгляд, чтобы кассир за пару секунд запомнил данные карты — это почти из области фантастики. Да, такое было — кажется, в Японии. Но, честно говоря, если бы человек с подобными навыками иначе распорядился своим умением, то зарабатывал бы гораздо больше. Тем не менее в крупных торговых точках терминалы развернуты прямо к вам.

Вячеслав: Основная задача — сохранить карту в поле зрения. Если ее взяли и понесли в подсобку, потому что терминал, как было раньше, соединялся с интернетом по телефонной линии, то да, это уже недопустимо. А когда видишь карту — все в порядке. Единственное, лично мне не нравится ситуация с заправками: тонированное окошко, протягиваешь карту и не видишь, что там с ней делают. Или в ресторанах иногда хотят забрать вашу карту и с ней уйти к терминалу — так неправильно. Всегда просите принести терминал к вашему столику.

Что касается ситуации с кассиром, то при большом желании можно научиться использовать техники по запоминанию, и уже через несколько дней вы сможете держать в голове 16-значный код. Так что в любом случае риск остается.

— Но еще ведь нужно запомнить срок действия, имя и фамилию, CVV/CVC-код.

Артур: Раньше при оплате на Amazon требовался только номер карты и срок действия. Этого было достаточно для проведения транзакции.

Вячеслав: А дальше самое интересное начинается. Человек думает, что раз деньги украли, то он один на один с этой проблемой. Но помимо продавца и владельца карты есть еще как минимум два участника — это банк-эмитент и банк-эквайер. А порядок игры задает платежная система — обычно Visa или Mastercard. И они смотрят, какая технология использовалась, какой тип транзакции, какие данные вводились, чип или магнитная полоса, приходил ли 3D Secure. Исходя из этого распределяются ответственность и риски: виноват будет либо эквайер, который обслужил платеж, либо эмитент, который выдал карту. И начинается своеобразная игра, словно суд: идут прения сторон, и важно, кто опытнее.

Есть два серьезных момента по оспариванию операций (чарджбэки). Вариант первый: операция оспаривается как мошенническая, то есть эмитент утверждает, что владелец карты не участвовал в транзакции. Вариант второй: транзакция подлинная, но товар или услуга оказались некачественными. Даже в таком случае могут привлекаться платежные системы.

Клиенту не обязательно доказывать отелю, что ему обещали пять звезд и вертолетную площадку, но посадить вертолет было негде, поэтому услугу оказали некачественно. Или, например, вы купили билет на поезд. Он задержался на полчаса, вас не предупредили, и вы опоздали еще и на самолет. Это тоже некачественно оказанная услуга. В таких ситуациях деньги обычно возвращают при обращении не к продавцу, а в банк. И они должны это делать — просто не говорят об этом.

Одни банки готовы помочь клиенту бесплатно, другие выставляют ценник в $25—50. Это тарифы платежных систем за оспаривание операций, и таким образом банки перераспределяют данные расходы на клиента.

— Допустим, я заказываю в зарубежном магазине iPhone 11, оплачиваю его белорусской картой, но мне приходит iPhone X. Я могу просто обратиться в свой банк, а не искать зарубежного продавца? 

Вячеслав: Да, нужно заявить о некачественном товаре. В идеале, если еще скриншоты при покупке делали: заказывал iPhone 11, а привезли «десятку». Тогда банк должен разобраться в ситуации с эквайером и вернуть вам деньги. В описанной ситуации факт нарушения очевиден, поэтому платежная система точно встанет на вашу сторону.

Как защитить себя от мошенников

Есть несколько способов защитить себя от злоумышленников при отсутствии технологии защиты 3ds во время совершения платежей:

  1. подключить данную технологию, обратившись в банк. В зависимости от кредитной организации, способ и сроки подключения могут отличаться;
  2. использовать карты разных банков. Например, одна – зарплатная. Она используется только для получения денег с места работы. Вторая – дебетовая. Она открывается для совершения различных финансовых операций. На ней не должно быть средств или их количество незначительное;
  3. использовать виртуальные одноразовые карты;
  4. работать только с надежными контрагентами.

Никакие IT-технологии не смогут защитить, если клиент сам не позаботится о собственной безопасности, поэтому надо осуществлять платежи через проверенные сервисы.

Обход 3D Secure

Как можно заметить, названные выше недостатки достаточно серьезны. Они известны большинству мошенников, поэтому опытные злоумышленники периодически их используют. Притом обходят систему защиты с поразительной легкостью. Проще всего это делать с интернет-магазинами, не подключенными к 3D Secure (на самом деле их много, а в некоторых магазинах эта технология отключена до определенной суммы). Даже начинающие хакеры порой без проблем воруют деньги с банковских карт пользователей из-за этого серьезного недостатка.

Но и продавцы не дремлют, так как им не хочется терять репутацию у своих клиентов. Для этого был придуман банальный, но при этом хитрый способ. Владелец интернет-магазина звонит в кредитную компанию с просьбой заблокировать определенную сумму на счете пользователя. После этого владелец банковской карты перезванивает в организацию и отвечает на ряд вопросов, чтобы пройти аутентификацию. Далее он называет количество заблокированных денег и сообщает об этом продавцу. Схема довольно неудобная, однако все-таки позволяет обезопасить средства на счете.

Присутствует и еще один довольно любопытный, но вполне стандартный вариант обхода 3D Secure. Называется он «человек в браузере». Владельцу компьютера незаметно для него присылается специальный вирус, который долгое время себя никак не проявляет. Именно поэтому многие антивирусные программы его не замечают. Вредоносное приложение аккуратно перехватывает данные и меняет их. Расчет идет на то, что человек ничего не увидит. Поэтому всегда нужно читать, что приходит в СМС от банка во время покупки или перевода средств.

Чтобы подобных проблем не возникало, старайтесь чаще полностью проверять на наличие вирусов свои компьютеры и другие гаджеты. Также не заходите на сомнительные сайты и ничего с них не скачивайте.

Ну и один из интереснейших советов по обходу этой технологии – использование платежных посредников, например, платежной системы PayPal. В «палке» достаточно подключить свою карту по известным данным, а при дальнейших платежах запросов специальных кодов больше не будет.

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5

(

5

оценок, среднее:

3,40

из 5)

loading.gif

Загрузка…

Почему магазины не любят 3D Secure

— В случае с интернет-платежами есть 3D Secure. Это ведь повышает безопасность?

Вячеслав: Да, но все риски не исключает. Технология сама по себе неудобная. Она сильно уменьшает количество успешных операций, и продавцы ее не любят. Допустим, из-за настроек браузера у вас не открылась страница 3D Secure или вовремя не пришло SMS с кодом — покупатель не может совершить операцию, и продавец остается без денег. Поэтому многие торговые точки договариваются с провайдерами и банками-эквайерами, чтобы отключать 3D Secure. Но предварительно анализируются риски: если вероятность мошенничества высока, 3D Secure оставят.

Если речь о белорусском магазине и оплате белорусскими картами, то 3D Secure не обязателен: юрлицо здесь, владелец карты здесь, управление «К» тоже здесь — всех очень быстро найдут. А если транзакция с иностранной карты, то 3D Secure можно оставить.

— Оплата кольцом, браслетом, Samsung Pay или Apple Pay безопаснее, чем картой? 

Артур: С моей точки зрения, да. Если оплата идет из мобильного приложения, то получается, что сначала нужно открыть его, то есть разблокировать телефон, а это еще один защитный барьер. В России, например, с появлением NFC была такая ситуация: мошенники брали терминалы, ходили по остановкам и незаметно прикладывали к сумкам — суммы были небольшими, потому что обычно лимиты на транзакцию без подтверждения кодом низкие, но тем не менее. Так вот, если карта привязана к смартфону, то списания не произойдет. Хотя с кольцом или браслетом сработает. Но пока что кольца и браслеты не очень популярны у нас.

— Значит, лучше ставить минимально возможные лимиты?

Артур: Да, но это не всегда вам поможет. Иногда банки идут на уступки торговым точкам и повышают для них лимиты самостоятельно. Больше всего это зависит от банка-эквайера: возможно, он заключил какой-то особый тариф для конкретной торговой точки. Сегодня без PIN при бесконтактной оплате проходит сумма до 20 рублей. Но инициатором всегда выступает торговая точка: например, при желании увеличить пропускную способность касс лимит может быть повышен до 25 рублей.

— Недавно было два одинаковых случая: имел место дубль транзакции, но SMS о втором списании не приходили. Можете простым языком объяснить, как такое происходит?

Вячеслав: Суть следующая. В момент совершения оплаты деньги на карте блокируются, а списываются потом. На физических терминалах есть такое понятие, как закрытие смены. Это можно делать несколько раз на день. Выходит так: операции собираются, и потом при нажатии кнопки «Закрыть смену» формируется электронный реестр всех операций. Он уходит в процессинг на обработку для списания денег уже с карт-счета. Запрос на авторизацию в банк отправляется один раз, но у банка что-то идет не так, и он блокирует сумму дважды. Соответственно, при закрытии смены на списание пойдет только одна сумма, потому что о второй мы ничего не знаем — ни кода авторизации, ни других данных.

У клиента эта вторая сумма может быть заблокирована до 30 дней, а потом ее разморозят. Поэтому при звонке в кол-центр банка всегда нужно уточнять: сумма списана или заблокирована.

Артур: Этот нюанс виден даже по выписке со счета: есть дата оплаты и дата списания. То есть деньги «холдируются», они недоступны, но по факту не списаны.

Вячеслав: Раньше, когда терминалы только появлялись, кассиры часто забывали закрыть смену. Получалось так: за месяц совершены 250 операций, закрыто 1,5—2 месяца, бухгалтерия сводит баланс — а денег не хватает, потому что смена не закрыта. У держателей карт те суммы успели уже разблокироваться, потому что их не списывали. Продавец закрывал смену, деньги на списание уходили — и если средств на балансе было недостаточно, вас загоняли в несанкционированный овердрафт. Теперь банки контролируют, закрыты ли смены в торговых точках. И платежные системы ужесточили требования: если смена не закрыта, операции могут быть оспорены в одностороннем порядке, и продавцу деньги могут не вернуться — вина ведь его.

— SMS приходит сразу при оплате, то есть вас уведомляют не о списании денег, а об их блокировке. Почему тогда не пришло SMS о второй транзакции?

Вячеслав: Это уже вопросы к банку-эмитенту. Ситуаций может быть несколько. Либо действительно сбой и запрос на SMS не прошел, либо запрос отправили, но до мобильного оператора он не дошел.

Списание денег с карты — это не потеря наличных. Есть программисты, базисты, они достают логи файлов и в деталях рассматривают транзакцию. Все реально видно.

Однажды такой случай был: клиент на нашей странице ввел реквизиты карты, запрос ушел через процессинг эмитенту, но в какой-то момент связь оборвалась. Эмитент операцию одобрил, но положительный ответ до нас не дошел. И принять операцию уже нельзя, потому что деталей нет (код авторизации и так далее).

Что еще умеют мошенники

— Двухфакторное подтверждение с кодом из SMS можно считать стопроцентной защитой. Если пароль динамический, то есть каждый раз новый, то как его может получить злоумышленник? 

Артур: Допустим, на вашем компьютере вирус: вводите код у себя, и его же получает злоумышленник. Или делаете перевод, думая, что на карту получателя, а на самом деле — на карту злоумышленника. Подтверждаете транзакцию своим одноразовым кодом и теряете деньги. Стопроцентной защиты никогда не будет. Просто нужно быть внимательным.

— Звонки от имени банка кажутся довольно убедительными, и некоторые люди легко ведутся на них. Как убедиться, что вам действительно звонит банк?

Вячеслав: Полные реквизиты карты ни один банк никогда не будет спрашивать. Максимум — последние четыре символа или секретное слово, причем только если вы сами звоните в банк. По-хорошему, если банк первым вам звонит, то спросите фамилию сотрудника, положите трубку и перезвоните сами. На всех картах написан телефон для связи.

У мошенников отлично развиты навыки социальной инженерии: у них хорошо поставлен голос, они очень убедительны и действительно эффективно выманивают информацию.

Белорусы очень доверчивые — это и хорошо, и плохо. Много психологических моментов: деньги, например, у кассы не пересчитывают — мол, доверяют, или когда друг отдает долг, кажется некрасивым пересчитывать при нем. А это ведь ненормально. При обращении с деньгами о доверии говорить неуместно — вы не подозреваете человека в чем-то нехорошем, а просто перепроверяете.

Артур: Если у вас спрашивают полные данные карты и код из пришедшего только что SMS — тут все понятно, банки никогда такого делать не будут ни под каким предлогом.

Вячеслав: Если не было дублированных операций или чего-то подобного, то звонок от банка вас уже должен насторожить. Особенно когда звонят не по маркетинговой линии: новый кредит, выгодная рассрочка или что-нибудь такое.

— Иногда сами банки взламывают, как это было с российским «Сбербанком». Они обязаны в таких случаях информировать своих клиентов?

Артур: Банк сразу заблокирует скомпрометированные карты, чтобы хоть какую-то часть средств сохранить. Это больше имиджевая ситуация: если потеря имиджевая, банку придется сообщить — ведь люди заметят, что их карты больше не работают, поэтому лучше не ждать, пока они обрушатся с жалобами на банк.

Вячеслав: Другой момент — персональные данные: например, злоумышленники узнали фамилии и суммы на счетах. Здесь для банков тоже есть ответственность.

Читайте также:

  • Победить бюрократов. Белорусы разработали приложение по оформлению европротокола
  • IT-основатели. Глава Belhard о зарплате в $6, встречах с бандитами 90-х и будущем страны

Библиотека Onliner: лучшие материалы и циклы статей

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. nak@onliner.by

Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...