Пользователь
0,0
рейтинг
6 декабря 2010 в 20:15

Что нужно знать про оплату банковскими картами через интернет

Прочитав вот этот топик, я увидел, что очень многие хабралюди (в том числе и автор топика) не представляют себе, как работает оплата банковскими картами в интернете. Руководствуясь домыслами и предположениями, а не фактами, автор делает вывод, будто бы карты Сбербанка наиболее уязвимы для мошенничества в интернете. Поэтому я решил рассказать о том, как на самом деле устроена оплата банковскими картами в интернете, чтобы хабралюди на основании фактов, а не домыслов, представляли себе, как это работает, и где их могут поджидать реальные, а не мнимые, опасности.

Disclaimer: Я работаю в Сбербанке России. Моя работа связана с помощью клиентам, а не с карточками, однако раньше я работал в области e-commerce, и очень хорошо знаю, как работает схема оплаты карточками в интернете.


1. Итак, автор вышеупомянутого топика упрекнул Сбербанк в том, будто бы он, показывая при переводе на карту через терминал или «Сбербанк Онлайн» имя клиента, облегчает таким образом работу карточным мошенникам. Это утверждение не соответствует действительности, и вот почему:
При оплате в интернете карточкой, выпущенной американским банком, банк-эквайер (так называется банк, который обслуживает платежи по карточкам интернет-магазина) способен проверить и имя владельца карты, и его billing address (это адрес, куда банк, выпустивший карточку, присылает ежемесячную выписку по этой карте). Это происходит, если банк-эквайер или платежный шлюз, через который проходит платеж, использует услугу под названием AVS (Address Verification System).
Эта услуга предоставляется, как правило, независимыми от банков компаниями, которые делают запрос в бюро кредитных историй, соответствует ли данному номеру карты введенное имя и биллинговый адрес, и получают оттуда ответ «да» или «нет». Помимо США такой услугой банки-эквайеры или сами интернет-магазины могут пользоваться в Канаде, Австралии, Великобритании и Новой Зеландии. В остальных странах, в том числе и в России, AVS не существует, поэтому ни российские, ни зарубежные интернет-магазины не могут проверить, действительно ли карта с таким-то номером принадлежит человеку с таким-то именем и фамилией.

Таким образом, вывод, будто бы показ имени держателя карты, создает угрозу мошенничества с картой, не соответствует действительности. Зная реквизиты карты (а это не только номер карты), мошенники могут использовать для покупок в интернет-магазинах любые имя и фамилию, и магазин, а также его банк-эквайер, никак не смогут это проверить. Это системный баг международных платежных систем, связанный с их принципиально устаревшей архитектурой, основы которой были заложены в начале второй половины прошлого века, и не были рассчитаны ни на появление интернета, ни на появление терминалов, позволяющих в режиме реального времени авторизовывать карту в оффлайне.

2. Автор рассматриваемого топика пеняет Сбербанку на то, будто бы тот придумал делать переводы между картами, тогда как можно было бы использовать для этих целей номер счета. Однако не Сбербанк придумал переводы между картами, а международные платежные системы. Вот описание такой услуги от международной платежной системы Visa. Светить реквизиты своей карты в интернете (даже пусть и не полные реквизиты) – не самая лучшая идея, однако это делает не банк, а сами люди.

3. Автор утверждает, будто бы в Амазоне возможно подобрать срок окончания действия карты, и, на основании этого делает вывод, что номера карты достаточно для совершения мошеннических операций по картам. Я не знаком с тем, как устроена борьба с мошенничеством конкретно в Амазоне, однако уверяю вас, что этот интернет-магазин уже давным давно бы загнулся, если бы не боролся с такими элементарными видами мошенничества, как подбор номера карты и срока окончания ее действия. Думаю, что их автоматическая система борьбы с мошенничеством увеличивает оценку риска для нее с каждым разом, когда неправильно вводится срок окончания действия карты. Поэтому утверждение, что для совершения платежа на Амазоне нужно «всего лишь» перебрать «не больше 36 вариантов», является не более, чем плодом разгулявшейся фантазии.

4. Всем, кто платит карточкой в интернете, следует твердо знать одно: во всех спорах между банком-эмитентом (так называется банк, который выдал карточку) и банком-эквайером по поводу интернет-транзакций разрешаются в пользу банка-эмитента (а значит, в пользу держателя карточки). Исключение из этого правила одно – о нем пойдет речь в следующем пункте. Неважно – ввели ли мошенники правильное имя держателя карты, или даже правильный CVC/CVV – правила платежных систем при card not present транзакциях всегда стоят на стороне держателя карты. Убытки по спорным транзакциям ложатся на банк-эквайер, который перекладывает их на интернет-магазин. Более того – за каждую опротестованную операцию на интернет-магазин международными платежными системами накладывается штраф. Поэтому тому гораздо выгоднее самому побыстрее вернуть деньги держателю карты, если тот обратился в интернет-магазин с требованием вернуть деньги по транзакции, которую не совершал, чем в 100% случаев сделать это после официального опротестования транзакции, но уже с дополнительным штрафом в пользу платежной системы.

5. Единственное исключение – это транзакции с использованием 3D Secure (так эта технология называется у Visa) и MasterCard SecureCode (думаю, понятно, что это технология международной платежной системы MasterCard). На схеме работы этой технологии стоит остановиться подробнее.
Когда и банк-эмитент, и банк-эквайер (обязательно оба!) проводят интернет-транзакции с использованием одной из этих технологий, держатель карты, совершая покупку, после ввода реквизитов карты, видит окошко от своего банка, который выдал ему карточку, с просьбой ввести пароль, который знают только он и его банк. Ввод этого пароля является аналогом ввода ПИН-кода при оффлайновых транзакциях, и эти технологии были призваны дать дополнительную защиту интернет-магазинам.

Однако этот план международных платежных систем не сработал, и вот почему. Дело в том, что описанная выше схема работает только в том случае, если и банк-эквайер, и банк-эмитент сертифицированы по этим технологиям. В случае, если только один из них использует эти технологии, то тот банк, который их не использует, при спорных транзакциях оказывается в заведомо проигрышной ситуации. Из-за этого банки-эмитенты, когда видели, что им от банка-эквайера приходит запрос на авторизацию с применением Visa 3D Secure или MasterCard SecureCode, просто отказывали в авторизации, чтобы не «попадать» в случае спорных операций. А магазины, увидев, что из-за этого количество успешных авторизаций у них уменьшается, решили, что более выгодно будет «попадать» на часть оспариваемых транзакций, нежели недополучать прибыль из-за того, что банки-эмитенты дают «отлуп» (можете сами посмотреть, сколько банков в России сертифицировалось по MasterCard SecureCode).

Но это теория, а на практике вам следует знать следующее: если вы используете кредитку Сбербанка, который сертифицирован и по Visa 3D Secure, и по MasterCard SecureCode, то независимо от того, использует ли банк-эквайер, обслуживающий тот или иной интернет-магазин, эту технологию, ваши транзакции полностью защищены.
Надеюсь, что этот пост помог всем разобраться в том, чего нужно опасаться в сети, а что является домыслами и мифами.
Михаил Беляев @Onair
карма
32,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (101)

  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Не знаю как у вас проходил АД, но у меня в 3 случаях все ограничивалось написанием заявления и ожиданием 30-60 дней и возврат денег.
      1. отель списал деньги за ночь, хотя я отказался и штрафа не должно было быть
      2. Списание штрафа за неправильную парковку, но они не смогли предъявить никаких доказательств этого
      3. Списание за повреждения авто (вместо денег за 1 коплак колеса, сняли за 4)
      во всех случаях деньги были возвращены.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          В России клиент банка (добропорядочный держатель карты) всегда защищён от несанкционированных транзакций по своей карте. Надо только знать ГК РФ и всё ))))

          Другой момент, что у нас в стране на это приходиться тратить больше времени (чем в других странах мира) из за того что в каждом нашем российском банке-эмитенте свои правила (своя процедура возврата денежных средств), эта процедура не стандартизирована и на это накладывается так же бюрократия в каждом банке.
          • +1
            В России клиент банка (добропорядочный держатель карты) всегда защищён от несанкционированных транзакций по своей карте. Надо только знать ГК РФ и всё ))))

            Можно с этого места подробнее? Я не юрист, ГК РФ не знаю. Но некоторые моменты знать очень бы хотелось.
    • 0
      В наших банках для любой операции нужно пройти эти самые семь кругов. При том, чем крупнее банк — тем дольше будете их проходить. Даже тупо кинуть кеш на карту для интернет-платежей редко занимает меньше 15 минут. Наши банки как были совком, так им и остались, и в особенности Сбер, в который я захожу от силы раз в год, да и то в случае крайней необходимости. Сбер уже давно превратился в банк для пенсионеров, т.к. там только они и тусуются для получения пенсии и оплаты услуг ЖКХ.
      А в плане обслуживания у буржуев все значительно проще не только в банковском секторе.
      • +2
        Вы заметно отстали от сегодняшней действительности, в сбербанк уже давно не нужно заходить. Можно всё сделать сидя в любимом кресле за чашкой вкусного кофе). «Сбребанк Онлайн» — кажется так называется.

        И да, Вы не были клиентом ситибанка, раз так нахваливаете буржуев.
        • 0
          >«Сбребанк Онлайн»
          Ага. Теперь вся та же тягомотина, только в режиме он-лайн. Нет уж, спасибо. У меня зарплатная карта от Сбера. С грустью вспоминаю времена, когда четко два раза в месяц после обеда мне давали кеш на руки в кассе. Теперь же чтобы получить зарплату надо выполнить квест:
          1. Найти рабочий банкомат.
          2. Найти банкомат в котором есть кеш.
          3. Молиться, чтобы эта скотина без предупреждения не настрогала мне зарплату сотками или пятисотками и мне не пришлось тащить пресс бабла в кармане.
          Про обнал чеков по пол-года вообще молчу.
          Так что уж извините, но я в этот банк больше ни ногой.

          >И да, Вы не были клиентом ситибанка, раз так нахваливаете буржуев.
          Нашего ситибанка, или их ситибанка? Просто насколько я знаю, что ситик, что райф — только по названию совпадают с их зарубежными офисами. Ни по уровню сервиса, ни по набору услуг, они даже близко не валялись.
          Но могу по секрету сказать, что одно время я был клиентом прибалтийского банка. Хоть и не 100% Европа это, но сервис с нашим не сравнить. Разве что жопку мне они не подтирали, несмотря на то, что суммы у меня совсем небольшие там бегали. При том, что там у меня в 2000м году уже был полноценный интернет-банкинг с полным контролем над мультивалютным счетом. У нас только последние год-два банки к такому уровню начали подходить, да и то не все услуги предоставляют.
          • +1
            Плюс перед новым годом, первый два пункта квеста «получи зарплату в гребаном сбере», растягивается иногда на половину дня, т.к. приходится с десяток банкоматов объездить.
            • 0
              Читаю вас и удивляюсь, если у вас отторжение сбера, заключите с ними договор один раз на бумаге, о том что при поступлении денег на карточный счет он бы переводил их все на любой другой выбранный вами карточный счет, да потеряете стоимость транзакции, но избежите «квестов»
          • +1
            Почему то у меня нет таких проблем)… Правда, активно пользуюсь услугами сбера. На районе два банкомата, на работе 1. Ниразу не встречался с проблемой, чтобы они не работали или выдавали приличные суммы мелкими купюрами. А вот ситибанковский бакомат, расположенной на БиПи однажды благополучно накормил меня 50 руб-ми купюрами, когда снимал 5к, это было фееричное зрелище.
            • +1
              Вчера только снимал 10к в банкомате около дома. Эта скотина настрогала сотками и пятисотками, при том еле не подавилась этим прессом бабла.
              В прошлом году перед новом годом снял бабло успешно, потому что нам заранее закинули деньги, плюс нашел банкомат на отшибе, где народ редко бывает. А вот в позапрошлом я хорошо по городу побегал на морозе, когда машина не завелась, а бабло срочно нужно было — мотался на маршрутках блин.
              Может конечно разные города и разные сбербанки — не исключаю возможности, что в мск сбер стал работать нормально. Но как-то слабо верится с их раздутыми штатами и бюрократией.
              • +2
                Где связь между обычной работой банкомата как железа и как вы говорите совковостью Сбербанка и работой Сбербанк Онлайн?
                Если не нравится получать зп на карту, думаю можно обратиться в свою бухгалтерию и получать деньги в кассе вашей компании.
                На счет банкоматов, думаю не ошибусь, что их кол-во в населенном пункте обычно всегда больше чем у любого другого банка. Так что найти его не проблема, чего не скажешь о других.

                Сбербанк конечно возможно совок еще тот, но с горем пополам пытается развиваться. Не все так уж плохо.
            • +4
              1. Если более крупные купюры из какой-то кассеты кончились — банкомат выдаёт теми, что остались. Не вижу в этом ничего криминального. Инкассация банкомата стоит денег (сама процедура) и банк старается её проводить (вне плана) как можно реже (а не тогда, когда закончились купюры всего в одной из кассет).

              2. максимальная выдача в этих банкоматах одновременно — 40 купюр. Соответственно при всём желании более 2000 рублей одновременно 50-ы рублёвыми купюрами не получите.
              • 0
                Про то как система работает мы в курсе, и про 40 купюр тоже. В сберовских иногда можно определить что у него осталось. Если максимальную сумму он называет 20000, то остались максимум 500ки. Но у меня позавчера это не сработало :(
                Убивает больше всего другое — банкомат не может спрашивать юзера, ну пусть не номинал купюр, которыми хотелось бы получить кеш, но хотя бы уверен ли он, что хочет получить свою сумму мелочью?
              • 0
                Вы несколько выпали из контекста того, о чем Demosfen и я толкуем.

                Криминала нет, но неприятно. Названные Вами ограничения — это всё очень хорошо, но я разве где то написал что он выплюнул мне 100 банкнот разом? По 20 и снимал. Повторюсь, потому и зрелище было фееричное.
            • 0
              Те, кто работает продавцом/кассиром только порадовались бы. С их вечными проблемами с мелочью.
          • +2
            Я клиент райффа с 2006 года. Всегда был очень вежливый и четкий сервис, что в отделениях, что в телефонном общении.
          • 0
            Ну заедьте в любое отделение банка и снимите всю зарплату в кассе за один раз, еще и можете попросить, чтобы выдали нужным номиналом.
            • +1
              а. В отделение в рабочие дни особо нет возможности попасть, т.к. я работаю в те же часы, что и их отделения.
              б. Даже если я туда попадаю в рабочий день или в субботу — там по жизни толпы народу.
              Я несколько раз снимал в отделениях. Больше не хочу. Сначала минут 30-40 в душном помещении надо отстоять очередь к операционисту, потом еще минут 20 в кассу. Нафик, нафик.
              • 0
                О, у вас там ад :)
                • 0
                  Ну движение в положительном направлении в принципе есть, но блин за 20 лет могли бы уже окончательно перейти на цивилизованные стандарты.
                  Плюс еще в крупных банках убивает то, что клепают кучу отделений по окраинам, в которых хорошо если 10 клиентов за день побывает и операционисты весь день или в пасьянс режутся, или бумажки из кучки в кучку перекладывают. А в центре пожизненные очереди. Т.е. никто похоже не занимается оптимизацией филиальной сети. :(
          • +4
            1) А зачем вам снимать всё налом, я не понимаю? (впрочем, вы не один, конечно, но это какая-то дикая инерция мышления, когда люди получают деньги на полноценную Visa Classic и ТУТ ЖЕ их все снимают) Немалую часть транзакций можно проводить по карте, да и это тупо безопаснее, чем ходить с пачкой денег в кармане. Тем более что при наличии телебанка можно хранить деньги на текущем счету (так это называется у ВТБ24, по крайней мере — в общем, счёт, к которому не привязана карта), откуда их снять можно только при введении одноразового кода, получить который вместе с вашим паролем практически невозможно. После чего выводить через карту по мере надобности — перекинуть со счёта на счёт дело пары минут, даже в дороге через 3G. И это однозначно безопаснее, чем крупные суммы кеша.
            2) Вот уже третий год являюсь клиентом ВТБ24. Никогда никаких проблем, за исключением 1 (!) офиса в Питере, который неудачно расположен и слишком маленький по площади для такого потока клиентов. Во всех остальных — пришёл, ответил на вежливый вопрос менеджера относительно цели визита, прошёл к нужному специалисту либо подождал несколько минут на удобном диванчике. Вполне удобно и мило.
            >полноценный интернет-банкинг с полным контролем над мультивалютным счетом
            >У нас только последние год-два банки к такому уровню начали подходить, да и то не все услуги предоставляют.
            Вы не правы. Телебанк ВТБ24 предоставляет все (!) услуги, которые только можно сделать в «физическом» офисе, минимум 3 года (раньше не знаю).
            • 0
              >когда люди получают деньги на полноценную Visa Classic и ТУТ ЖЕ их все снимают
              Когда в любой торговой точке, и даже платных сортирах и маршрутках, будет терминал для оплаты картами, то все сразу перестанут носить с собой кеш. Я сам жду, когда же наконец придет это светлое будущее, но оно зараза такое, не приходит. :( Да и даже в тех точках, где карты вроде как принимают, то связи с банком нет, то паспорт им покажи.

              >Никогда никаких проблем, за исключением 1 (!) офиса в Питере, который неудачно расположен и слишком маленький по площади для такого потока клиентов.
              Ну в Уфе у них филиальная сеть тоже не фонтан по количеству. Вот откроют побольше, тогда можно будет подумать.

              >Телебанк ВТБ24 предоставляет все (!) услуги
              Рад за них. Те банки, которыми пользуюсь я, все равно для большинства действий со счетом заставляют в отделение тащиться. Если увеличат сеть филиалов, то вполне можно будет задуматься о переходе к ним.
              • +2
                >Когда в любой торговой точке, и даже платных сортирах и маршрутках, будет терминал для оплаты картами, то все сразу перестанут носить с собой кеш.
                Ну есть некоторая разница между «носить небольшое количество кеша» и «снимать вообще все деньги за раз кешем». В большинстве крупных магазинов карты принимают без проблем, а, имхо, большая часть денег именно там и тратится (продукты, одежда, железо). Опять же, даже из дома деньги воришке вынести гораздо проще, чем с банковского счёта, закрытого на пароль и одноразовый код.
                И это не говоря уже об увеличении затрат для банков, клиенты которых в большинстве снимают деньги за раз в начале месяца. С учётом того, что эти затраты, в конечном счёте, ложатся на плечи клиентов — думается мне, что это порочная практика.
                >Ну в Уфе
                Может быть, конечно, что у вас там всё сурово. Просто в Самаре и в Питере всё ок, поэтому я и (возможно, ошибочно) экстраполировал это на все города.
        • 0
          Клиентом российского Ситибанка или американского?
          • 0
            Забыл обновить комментарии.
          • 0
            На всякий случай выглянул в окно: на дворе зима, Россея).
            • 0
              Дальше следует вопрос, что можно сказать об обслуживании у буржуев, исходя из опыта клиента российского Ситибанка :) Ответ — ничего.
    • 0
      Этот вопрос я думаю всегда будет актуален, и не важно он-лайн транзакция или реальная. Законодательство такое!
  • +3
    отличная статья
  • НЛО прилетело и опубликовало эту надпись здесь
  • +2
    Все по делу написано. Еще хотелось бы отметить, что карту пропроцессить можно и без CVV.
    • 0
      Угу. А также стоит отметить, что у Альфа-банка без CVV2 можно только СПЕЦИАЛЬНУЮ виртуальную карту пропроцессить. (У многих других банков тоже, но я про всех не знаю).
  • 0
    Спасибо. Многое стало понятно.
  • +2
    Не понимаю, зачем тогда нужны технологии 3D-Secure, CVV, итд, если транзакции можно совершать в обход них? Это все равно как повесить на дверь кодовый замок, но оставить открытой дверь рядом.
    Фактически, как и ожидалось, самое важное, что следует бережно хранить от всех — это номер карты и саму карту, а все остальные виды защиты не гарантируют что деньги не будут сняты.
    • +1
      От банка зависит можно ли совершать транзакции без CVV и прочих средств защиты. Не зря же народ на форумах ведет списки банков и их карт, которые нормально работают с PayPal, который CVV не передает при транзакциях.
      • +1
        А зачем тогда PayPal его спрашивает и для кого эта страничка https://www.paypal.com/ru/cgi-bin/webscr?cmd=p/acc/cvv_info_pop&enable_locale.x=1?
        • 0
          Спрашивать он может что угодно и наделать кучу страниц, но при транзакциях CVV не передает. Может при верификации карты, может еще для чего-то юзает, но при транзакциях не передает, и из-за этого отклоняется многими банками.
    • +4
      технологии эти нужны для защиты самих банков от протестов а не для защиты пользователей
    • 0
      Если у вас будет «красивый» номер, то не поможет даже хранить его в секрете. Знаю по опыту.
  • +1
    Очень бы хотелось узнать больше подробностей по поводу подбора реквизитов.
  • 0
    Что в предшествующем топике, что в этом авторы имеют поверхностное представление о том, о чем говорят. Ошибки которые бросаются в глаза при беглом чтении топика:
    1)во всех спорах между банком-эмитентом [...] и банком-эквайером по поводу интернет-транзакций разрешаются в пользу банка-эмитента
    • 0
      сорри…
      • +11
        Что в предшествующем топике, что в этом авторы имеют поверхностное представление о том, о чем говорят. Ошибки которые бросаются в глаза при беглом чтении топика:
        1)во всех спорах между банком-эмитентом [...] и банком-эквайером по поводу интернет-транзакций разрешаются в пользу банка-эмитента

        а как же правила претензионной работы и переноса ответственности?

        2)Из-за этого банки-эмитенты, когда видели, что им от банка-эквайера приходит запрос на авторизацию с применением Visa 3D Secure или MasterCard SecureCode, просто отказывали в авторизации

        не правда, за отказ полагаются огромные штрафы, платежные системы мониторят такие случаи

        3)Неважно – ввели ли мошенники правильное имя держателя карты, или даже правильный CVC/CVV – правила платежных систем при card not present транзакциях всегда стоят на стороне держателя карты. Убытки по спорным транзакциям ложатся на банк-эквайер, который перекладывает их на интернет-магазин.

        если эмитент авторизовал без CVV2/CVC — это его риски, почитайте правила платежных систем

        4)на практике вам следует знать следующее: если вы используете кредитку Сбербанка, который сертифицирован и по Visa 3D Secure, и по MasterCard SecureCode, то независимо от того, использует ли банк-эквайер, обслуживающий тот или иной интернет-магазин, эту технологию, ваши транзакции полностью защищены.

        не правда, не защищены, просто переносится ответственность на эквафера


        и много много других ошибок
        • +1
          Больше! Пишите, пожалуйста, больше, чаще и подробней. Не отказывайте нам в этом, пожалуйста.
  • +1
    В остальных странах, в том числе и в России, AVS не существует, поэтому ни российские, ни зарубежные интернет-магазины не могут проверить, действительно ли карта с таким-то номером принадлежит человеку с таким-то именем и фамилией.


    1. Правильно ли я понимаю что американские инет магазины не смогут проверить верность моего биллинг адреса ( у меня виза от Сбербанка)?

    Буквально недавно совершил первую покупку в инет магазине по карте виза. Магазин попросил указать актуальный биллинг адрес. После этого платёж прошёл. Если они не могут его проверить тогда получается что платёж проводили на свой риск??

    2. Сегодня расплачивался на ебэе через пэй пал. Через некоторое время позвонил с пэй пала и уточнили делал ли я платёж. Звонили по номеру указанному в профиле. Если у них нет доверия к авторизации через пароль при платеже, то почему доверяют номеру телефона и мне?

    P.S. Я в общем доволен что платежи проходят без особых проблем, просто ожидал гораздо более параноидальной ответственности от платёжных систем, а так выходит что только номера карты действительно достаточно для совершения покупки.
    • +1
      Ни PayPal и ни один из интернет магазинов/сервисов не проверяли мой биллинг адрес. Я его в общем сам не знаю толком, забыл. Никто никода у меня его не просил. Адреса доставки у меня однозначно отличаются от биллинг адреса.
      • 0
        И при этом проблем никогда с оплатой не было, разве что при крупных покупках просили прислать скан какого-нибудь документа подтверждающего личность(русские права прокатывали на забугорных сайтах уже не раз).
        • 0
          Не забывайте, что PAYPAL организовал (и владеет им) бывший гражданин СССР, который (прекрасно понимая особенности мышления граждан бывшего СССР) всё изначально организовал так, как надо. Поэтому там ваши русские права и проходят… ))) И именно поэтому раньше они и не работали с картами из российских эмитентов…
      • +1
        PayPal проверяло не адрес а сам факт платежа звонком по телефону, при том, что телефон принадлежит именно мне они никак не проверяли раньше. И короткий разговор со мной на ломанном английском их устроил.

        А биллинг адрес спрашивал инет магазин, изначально я указал такой же как и адрес доставки в сша, их это не устроило. а вот когда указал свой Российский адрес их это устроило. Вот и интересно зачем им он, если всё равно проверить не смогут.
        • +3
          Хм, мне PayPal не звонил, просто провел тестовый платеж и вроде еще попросил у них на сайте ввести код указанный в транзакции этого платежа(глянуть его можно было в интернет-банкинге моего банка).
          • 0
            Да, я код указывал раньше при верификации карты. И до этого сделал небольшую покупку, и не звонили. Сегодня или потому что сумма по больше, или адрес доставки отличался от адреса в профиле PayPal — вот что то им не понравилось. В общем молодцы они, что беспокоятся и проверяют, просто звонок на непроверенный телефон, на мой взгляд весьма не надёжная проверка.
        • 0
          Возможно как раз потому, что первый адрес был американский, его они пробили и заметили несоответствие, а российский пробить не смогли и забили на него, хоть там было бы «на деревню дедушке»
    • –1
      Собственно запрос на AVS экваер может отправить, только по русским картам он всегда получит «да» в ответ.
    • 0
      В остальных странах, в том числе и в России, AVS не существует, поэтому ни российские, ни зарубежные интернет-магазины не могут проверить, действительно ли карта с таким-то номером принадлежит человеку с таким-то именем и фамилией.


      не далее как на прошлой неделе оплачивал услуги Apple, указал неправильное имя владельца карточки. В ответ пришел отлуп от менеджера. С правильным именем карточка прошла. Вывод — автор сам не понимает, как устроена система верификации.
  • 0
    Пожалуйста, скажите, откуда Вы взяли, что я обвиняю Сбербанк и называю конкретно показ имени владельца карты в телебанке «дырой» в безопасности?

    Перечитайте, пожалуйста.
    habrahabr.ru/blogs/eCommerce/109361/#comment_3472110
    nут как раз Сбер не виноват, подобным способом обходится любая защита, если есть номер карты — и не спасут никакие 3D Secure, SecureCode и прочие SMS-подтверждения

    habrahabr.ru/blogs/eCommerce/109361/#comment_3472141
    а чем сбер виноват? люди сами пишут номер карты вместе с именем. а амазон принимает

    Более того, считаю, что показ имени при переводах с карты на карту облегчает процесс проверки введённых данных, повышая удобство работы пользователя.
    О чём тоже было сказано:
    habrahabr.ru/blogs/eCommerce/109361/#comment_3472485
    А так — удобство — ввёл цифирь (не только в интернете! Может быть пользователь стоит на морозе перед банкоматом с бумажкой в руках и пытается отправить деньги своему далёкому родственнику на карту) — убедился что «тому» — по имени, а не долго и нудно сверяя поразрядно номер карты — подтвердил.

    Целью статьи было показать уязвимость перед такими транзакциями, где не проверяется CVV2/CVC2 и не участвуют дополнительные защитные механизмы.
    И лишний раз привлечь внимание к проблеме конфиденциальности таких данных. Сбербанк просто наиболее популярен среди тех, кто публикует номера карт для приёма платежей подобным образом. Все эти данные в руках мошенников, даже если и не приведут к списанию средств, дают простор для социальной инженерии и прочего мошенничества.

    Полностью солидарен в части, что многим неизвестно о механизмах проводки платежей по карте.
  • +4
    Вообще, защиту вида подтверждения транзакции по SMS давно можно уже было реализовать.

    На примере интернет-мошенников:
    Злоумышленники узнали номер, имя, фамилию, CVC2, год и месяц — короче все мои данные. Они пытаются произвести оплату. Тут, мне приходит SMS, где необходимо тупо подтвердить транзакцию ответом. Ответ есть — транзакция прошла. Или я что-то упустил?
    • +1
      Ага. И сразу найдутся умельцы, которые в детали платежа будут писать «Ваша карта будет заблокирована, чтобы избежать блокировки — ответьте на данное сообщение» :( И часть юзеров, испугавшись и не читая остальной части сообщения, ответят :)
      • 0
        Вот, вот, я же говорил, что я что-то упустил :)
      • +4
        Вот это уже их проблемы, потому что часть юзеров и в оффлайне позволит себя тысячу раз облапошить — предлагаете на них равняться?
        А нормальным людям нужен нормальный механизм.
        • 0
          Не забывайте, что юзабилити — величина обратно пропорциональная защищенности. Чем круче защита — тем сложнее пользоваться системой. С смс сходу ситуации — нет денег на сотовом, а мы на отдыхе, где нет ни одного терминала оплаты, а на сотовом денег ноль, а надо что-то срочно оплатить. Потеряли телефон и пока не восстановим симку будем бриться с возможностью оплатить?
          • 0
            а у вас входящие смс платные?
          • +2
            Извините, коммент не туда отправил.
            Я не забываю, но это деньги. Предоставьте мне выбрать пропорции юзабилити и защищенности.
            А насчет ваших аргументов:
            — входящие смс как правило бесплатны
            — потерял кошелек — остался вообще без денег
            а главное что вы предлагаете? вместо этого лучше пусть моими деньгами пользуется любой кому не лень?
            или вы намекаете, что при существующей ситуации все круче: даже если ты на отдыхе, потерял телефон, кошелек, голову и совесть — остается вариант заплатить с чужой карточки :)
            Тогда согласен, все круто
            • 0
              В посте, на который я ответил, было написано следующее:
              >Тут, мне приходит SMS, где необходимо тупо подтвердить транзакцию ответом. Ответ есть — транзакция прошла.
              Т.е. в принципе разумная система — забугорные инет-магазины ни сном ни духом про нашу систему защиты как-бы не знают, а банк про каждую транзакцию спрашивает у нас, а мы подтверждаем ее также через смс, а не вводим на сайте. В данном случае речь не про 3D Secure, где код надо на сайте вводить. С предложенной системой сразу вылезают те проблемы, что я перечислил, плюс блокировка денег на сайтах идет в real-time, т.е. сайт выдаст тайм-аут пока вы будете смс отправлять (не совсем представляю как отклонять блокировку после ее совершения), плюс оплата такой картой будет очень оригинально выглядеть в офф-лайновом магазине.

              >Предоставьте мне выбрать пропорции юзабилити и защищенности.
              Да и я как-бы про то же говорю. О безопасности пусть у банков голова болит, мы им за это бабки платим, а мы уже выберем то, что нам удобнее.

              >или вы намекаете, что при существующей ситуации все круче
              Проблем в том, что существующая, годами отлаженная система, даже в нынешнем ее виде работает в нашей стране через одно место :( Ее бы сначала до ума довести, а потом уже можно и защиту дополнительную накрутить.
    • 0
      3D Secure может быть реализован любым способом.
      В том числе и отправкой кода через SMS например.
      • 0
        мало того — в сбербанке это как раз так и осуществлено.
  • +6
    Не знаю одно ли это и то же, но у моей карочки Visa есть система Verified by Visa, и работает она по описанию ровно так, как вы описываете 3D Visa. В процессе транзакции происходит перенаправление на домен банка, и там нужно ввести свой пароль. Еще интересная деталь это системы, что банк тоже сообщает вам свой «пароль» — ключевое слово, которое вы ввели при регистрации в системе Verified by Visa. Таким образом вы можете проверить, что находитесь действительно на странице своего банка и спокойно вводить свой пароль.

    Еще пользуюясь случаем хочу задать вопрос. Ситуация — прокат автомобиля в Северной Америке (хотя, думаю, что вопрос распространяется и на многие другие ситуации с бронированием чего-либо). При оплате проката, компания часто блокирует на карте бОльшую сумму, чем стоит сам прокат. Например, прокат стоит 30 в сутки, но на карте блокируется при этом 150. Почему при этом любой местный (Канадский или Американский) банк возвращает излишек практически на следующий день после возврата автомобиля, а российский — не раньше, чем через месяц? Один раз был вынужден оплачивать тут прокат российской карточкой (Юникредит) — ждал возврата месяц. Аналогичная ситуация и с карточками Сбербанка — знаю по рассказам мамы, которая бронировала где-то гостиницу, потом отказалась, и опять же ждала месяц или даже больше. Почему такая разница в сроках ожидания возврата непроведенной транзакции?
    • +1
      Ну зачем же сразу месяц — можно сходить в банк, написать заявление и через 1-3 недели Вам вернут бабло. Чертовски удобно, не правда ли? :)
      Сам с такой же фигней постоянно сталкиваюсь. Покупаю в каком-нибудь инет-магазине импортном, при заказе блокируется (авторизуется) сумма, а при отправке заказа выясняется, что каких-то позиций нет в наличии. Буржуи пишут — мы авторизацию отменили, но бабки снять не можем с Вашей карты. Захожу в клиент-банк и вижу, что авторизация висит себе спокойно, а бабла на счете четко на заказ с небольшим запасом. Приходится идти докидывать денег и писать заявление на снятие блокировки. Наши банки они блин такие банки… Любят у нас к правилам Визы или Мастеркарда, какие-нибудь свои правила еще до кучи навесить, чтобы нам жизнь медом не казалась.
      • 0
        Это потому, что система ориентирована на кредитки, а не на дебетные карты. Там-то пофигу сколько блокировка висит. Что касается «запаса» — как-то выяснял в банке. «Чужие» терминалы (не родные банковские), как правило блокируют бабло с запасом (у себя заметил примерно 3 прицента), в конце месяца блокировка снимается и сумма типо «возвращается». Почему так уже не помню. Но это тоже особенность системы, а не банка.
        • 0
          Почему же пофигу? Кредитный лимит не бесконечен, так что ровно настолько же это важно, как и в случае с дебетовой картой.
          Про лишние несколько процентов — это правда, но вот они как раз возвращаются в Юникредите достаточно быстро, за неделю обычно где-то.
    • 0
      Когда торговая точка запрашивает авторизацию, то она говорит банку: зарезервируйте для меня такую-то сумму на счету этого гражданина. Банк резервирует и обязан держать ее в резерве, потому что он должен будет оплатить эту сумму торговой точке, если придет запрос на списание. Разблокируется сумма только если истекает срок авторизации (обычно 30 дней), либо если торговая точка пришлет запрос на отмену авторизации. Почему зарубежные конторы не посылают такой запрос по картам российских банков — это вопрос к ним, а не к банкам.
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Вряд ли торговая точка получает от банка-эквайра информацию о стране банка-эмитента и принимает на основании этого какое-то решение. Как в них для этого смысл? Могу теоретически поверить, что банк-эквайр не пропускает запрос о снятии блокировки от мерчанта к банку-эмитенту. Но как-то намного более вероятной кажется версия, что либо Российские банки не поддерживают соответствующие команды. Либо поддерживают, но забивают на них.
      • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Злоумышленники узнали номер, имя, фамилию, CVC2, год и месяц — короче все мои данные
    Скорее всего все данные узнают просто украв карточку, а значит и мобильник стянуть могут :)
  • +8
    Давайте по порядку:
    1. AVS сверяет только цифры адреса и зип-кода (индекса). Т.е. для него ул. Ленина 39 и Проспект буденого 39 — одно и то же. Вся буквенная информация игнорируется.
    2. Имя держателя карты можно вписать вообще что угодно, хоть микки маус и в 99% случаев транзакция пройдет.
    3. 3д секур не панацея, ибо есть куча мерчантов, которые его просто игнорируют (да, да, с вашей 3д секур карты спишут деньги без вопросов о 3д кодах)
    4. Выкладывать номер своей карты в интернет — верх идиотизма в принципе.
    • 0
      собственно, о п.3 и п.4 и писалась та статья
      habrahabr.ru/blogs/eCommerce/109361/
      которую здесь поминает топикстартер.

      проблема в первую очередь людей, а не банка. если уж и банка — то всей этой карточной системы.
      • 0
        И, конечно, всей этой карточной системы, она рождена дырявой
        и банка тоже — если банк обещает мне как клиенту защищать мои деньги, например, механизмом 3D secure, то пусть будет добр так и делать — то есть отклонять мерчанты не пользующиеся им
  • +1
    Успешно оспаривал транзакции с MC Secure code и ATM операции с вводим пина. Так что оспаривается все.
    • 0
      как и где?
    • 0
      Все зависит от причины оспаривания. Вы не сможете оспорить транзакцию по основанию, будто это не вы использовали карту. Но сможете, если товар вам не был доставлен либо доставили не то, что вы заказывали.
  • 0
    Оспаривается все, только в России с большим трудом. На Украине еще сложнее.
    Культура еще не та, к сожалению. Уважения к держателям карт/клиентам банкам должного не проявляют.

    На случай, если у кого опротестовать не получилось, как действовать.
    Практическое пособие, писали специалисты нашей компании www.payonlinesystem.ru/analyst/81/

    Берегите номер карты.

    • +1
      Уважения к держателям карт/клиентам банкам должного не проявляют.
      Не исключаю, что одна из причин этого, что подавляющее большинство карт — зарплатные, имхо, людям навязанные сверху (руководством организации) фактически без права выбора получать нал, получать на личный счёт/карту в любом банке или на предлагаемую.
  • +1
    Американские магазины не проверяют имени на карте и сторонние компании не делают запросы в бюро кредитных историй. Для такого запроса требуется разрешение или как минимум обязательно уведомление, а где вы видели, что при биллинге карты такая информация спрашивается? Да и каждый запрос в бюро стоит хороших денег, что не покроет доход с операции. С Россией все просто — или процессинг магазина разрешает транзакции российских карточек или нет. Если в принципе разрешает — то никакой проверки адреса не последует. Проверяют номер карты, дату окончания и свв (свс) код, некоторые процессинги могут и не спрашивать код безопасности (например, Амазон), но тогда успешность транзакции зависит от банка эмитента карты. ВТБ24 отклоняет транзакции по своим картам Classic и Gold без свв кода.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Слишком много воды, и автор (намеренно?) умолчал очень важный момент:
    Главный компонент уязвимости из того топика — это то, что для оплаты товара на амазоне нужно знать номер карты, срок действия и имя владельца, а вот код CVV\CVC знать НЕ НУЖНО. И это и есть ГЛАВНАЯ проблема сбербанка — платежи по картам в интернете без участия этого кода РАЗРЕШЕНЫ. Многие другие банки это запрещают, и, на мой взгляд, правильно делают.
    Возможность оплаты без CVV\CVC кода — потенциальная дыра в безопасности, так как узнать номер карты, срок действия и имя владельца можно без больших трудозатрат, как показал предыдущий топик, а вот узнать CVV\CVC код на порядок сложнее. Так что нечего отмазывать родной банк…
    • +3
      >Возможность оплаты без CVV\CVC кода — потенциальная дыра в безопасности
      Закроют они это дело и сразу пойдут матюки от тех, кто специально взял сбербанковскую карту для оплаты через PayPal, который CVV не передает. В нормальных банках для этого есть специальные карты, может конечно и сбер уже сподобился такие сделать — я давно не смотрел их список сервисов.
    • 0
      Кстати так делает не любой амазон.
      Французский амазон запрашивает CVV/CVC код, так как во Франции запрещены интернет-транзакции без него.
    • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    Так, и куда слился топикстартер? Ждем ответов на кинутые выше предъявы.
  • 0
    спасибо за ликбез, хотя, безусловно, остаются вопросы. буду мониторить ветки обсуждений выше.
  • 0
    кросспостов-то!

    Под кат специально не убираю, чтобы проиндексировалось и люди могли найти верную информацию.

    Хабр ничего не знает о картах,

    Ответ по поводу сегодняшнего скандала



    community.livejournal.com/sber_bank/50566.html
    winnorokomo.livejournal.com/34271.html?mode=reply
    twitter.com/MikeBelyaev
    • 0
      И что? Миша Беляев не имеет права твитнуть ссылку на свой пост?
  • +1
    Пользуясь случаем хочу передать привет Сбербанку России, Райффайзен Банку (Россия и Украина) и Сити Банку. К сожалению, много было говна в моей «банковской» жизни, но эти банки заслуживают как благодарности, так и доброго слова. Ну, или мне просто очень везло )
  • 0
    > во всех спорах между банком-эмитентом (так называется банк, который выдал карточку) и банком-
    > эквайером по поводу интернет-транзакций разрешаются в пользу банка-эмитента (а значит, в пользу
    > держателя карточки)

    на словах это звучит отлично, а вот на практике есть такие банки, которые за расследование ситуации
    берут дополнительные средства.

    у меня был опыт — рассчитывался в магазине визой, списало вместо одного раза — 2 раза небольшую сумму (где-то в районе 15 долларов). сохранил чеки, позвонил в банк — сообщили, что нужно всего лишь прийти в отделение и написать заявление на возврат средств, приложить чеки — и все, деньги вернут.

    пошел в банк, простоял 30 мин в очереди, написал заявление, а уже потом мне удосужились донести, что операция по расследованию некорректно списанных денег чужим банком — платная, стоимостью 12 долларов. бесплатно расследуют только операции внутри банка. и еще в догонку мне кинули фразу — договор читать нужно было, ну а там как всегда — на последней странице, мельчайшим шрифтом…

    звонил в банк-эквайер (который мне некорректно средства списал) — у них такие расследования что внутри банка, что внешне — бесплатны.
    • 0
      Какой у вас банк? Обычно в договоре указано, что деньги возьмут, если в результате расследования выяснится, что платеж был проведен корректно.
  • +1
    1. номер карты не секретная информация. карта не хранится исключительно в кармане владельца, она выдается в руки кассиров, «светится» под камерами в офф-магазинах. поэтому никак нельзя сказать, что клиент сам виноват сказав кому-то номер карты.
    2. почему бы не сделать все просто — не требовать введение ПИНа для проведения операции.
    3. это личные дела Сбера с магазинами которые берут или не берут на себя риски по транзакциям. просто не надо допускать вывода средств по данным, которые не являются секретными!
    • +1
      «2. почему бы не сделать все просто — не требовать введение ПИНа для проведения операции.»
      в смысле — начать требовать введение пина, секретного слова, кода и тд при оплате с карты, когда карту не предъявляют
  • 0
    А меня вот удивляет, почему никто еще про украинский Приветбанк не написал… Вот этому банку вообще сложно хоть что-то доказать)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.