Программист
0,0
рейтинг
24 октября 2014 в 18:08

Когда запрашивается PIN-код при оплате? из песочницы

пластиковые карты

Заметил, что люди часто рассуждают о причинах не запроса PIN-кода, либо наоборот удивляются, почему вдруг он потребовался. Пытаясь объяснить, в каких ситуациях необходим PIN-код, я запутался и решил собрать данные и написать статью.

Теория


Сначала разберемся с картами

Не чипованые магнитные карты встречаются редко, но все же до сих пор используются. Ответственность за утерянные средства нес банк, но появился стандарт EMV (международный стандарт для операций по банковским картам с чипом), который позволил банкам перенести ответственность за утерянные средства на торгующие организации, не поддерживающие EMV, иначе на держателя карты (если он не сможет доказать что ни имеет никакого отношения к операции). Оборудование, не поддерживающее EMV, оставлено, в связи с тем, что покупка оборудования, поддерживающего новый стандарт является не выгодной для организаций. Выходит, если в магазине старое оборудование, смогут обслуживать с любой картой, но если у клиента чипованая поддерживающая стандарт EMV карта, ответственность несет магазин, если магазин против — ему придется покупать новое оборудование.

В итоге получаем два типа карт: поддерживающие EMV и не поддерживающие. Есть и другие платежные карты, но они используются банками локально и нас не интересуют.

Далее разберемся c PIN-кодом

Запрашивать PIN-код или подпись терминал будет ссылаясь на CVM-лист чип-карты и опираясь на свой режим. Сколько людей — столько и мнений, кто-то за подпись, кто-то против. На деле у всех банков по разному. Одни банки забивают в карту приоритет на подпись, другие на PIN-код, а третьи позволяют перенастроить карту через банкомат по желанию клиента.

Теперь о торговом оборудовании

Я не нашел конкретной информации, как настраивают терминалы в магазинах, но понял, что они тоже содержат определенные настройки, которые, например, позволяют требовать подпись вместо PIN-кода, даже если у карты стоит приоритет PIN-кода, но только если сумма не превышает определенного лимита. Такой режим необходим в магазинах, где в очереди много клиентов при небольших суммах. Этот режим, если я не ошибаюсь называется Offline, переносит ответственность на магазин, даже если используется оборудование EMV.

Результат

Исходя из выше написанного я составил таблицу, чтобы вычислить, в каком случае будет запрашиваться PIN-код:



Зеленым отмечены самые безопасные операции, красным — самые опасные. В столбце ответственные (за утерянные средства) в некоторых ячейках указал две/три стороны, думаю, кто именно, зависит от конкретного тарифного плана. (поправьте меня, если я не прав). Синим отмечены безопасные операции, при условии, что не была прочитана магнитная лента.

Безопасность

Скомпрометировать данные можно у любой карты, если прочитана магнитная лента и введен PIN-код. У скомпрометированной карты злоумышленник сможет совершить покупки только в торговых точках с оборудованием, не поддерживающем EMV. Карту, поддерживающую EMV, нельзя будет использовать в банкоматах (в ленте есть запись, что карта имеет чип). А по карте без EMV злоумышленник кроме покупок сможет совершать операции и в банкомате, например, снять деньги.

Обратите внимание на такую, достаточно распространенную, ситуацию: оператор проводит магнитную ленту, «тормозит», замечая, что у карты есть чип (либо «сильно тормозит», увидев сообщение на дисплее о чипе), затем вставляет карту как положено и просит ввести PIN-код. В этом случае вы тоже скомпрометируете данные своей карты, ведь, возможно, оператор сделал это нарочно.

В любом случае, мы всегда можем отказаться вводить PIN-код, чтобы не скомпрометировать его. Для этого после запроса PIN-кода необходимо нажать на терминале красную клавишу, после чего кассир увидет на экране «Клиент отказался вводить PIN-код» и у него будет выбор принять подпись (нажать «продолжить») вместо PIN-кода или отказать в операции (нажать «отмена»). Не знаю, как вы, но лично я не знал об этой функции и думал, что красная кнопка для полной отмены операции. Конечно, оператор может возмущаться, но на это есть простой ответ «Не помню PIN-код» или «Не знаю его» (есть кредитные карты, к которым не выдают конверт с PIN-кодом).

Надеюсь, эта информация была для вас полезной.

Полезные ссылки


PowerMetall написал отличную статью о CVM
@brzsmg
карма
8,0
рейтинг 0,0
Программист
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (56)

  • +3
    Отказ от PIN-кода красной кнопкой — это стандарт или инициатива банка/торговой точки?
    • +1
      Стандарт, наверное. Работает, вроде, везде.
      • 0
        В данном случае это зависит от того, согласен ли банк-эмитент на проведение операции по подписи. То есть, нажать-то на красную кнопу можно всегда, но в ответ на это может прийти отказ в проведении операции.
        • –1
          Сбер обычно согласный… =)))
  • +2
    То есть, я могу отказаться вводить ПИН, и покупка совершится всё равно?
    • +1
      Отказаться можешь. Но также банк может отказать в одобрении транзакции.

      В 99% случаев решение о вводе или не вводе пин-кода принимает терминальное устройство. И блокирует всякие попытки карты провести offline проверку пин-кода.

      Так же надо понимать что засветить пин-код от чиповой карыт не так страшно как кажется. Даже если у тебя отскиммирили магнитку и тиснули пин-код на мошенническом терминале. То воспользоваться мошенники такими данными смогут ограниченно. Нормалный фрод мониторинг сразу такие операции отклонит.
      Ну а если ты просрал карту и пин-код подглядели, то уж извини тут хоть магнитная, хоть чиповая, хоть бесконтактная карта все операции пройдут на ура.
      • 0
        Да, скорее всего банк отклонит. Не зря же запрашивают ПИН.
        • 0
          Ну почему же? Очень часто, запрос PIN — это инициатива терминала, а не банка.

          У меня чипованая платиновая виза и в повседневных покупках я всегда использовал только авторизацию по подписи. PIN — либо в банкоматах, либо при оплате существенных сумм.

          И я точно никогда бы не стал платить с вводом PIN в ненадежных местах, такие как заправки, бары, рестораны,..., где вероятность физического увода карты больше, чем в других заведениях.
          • 0
            У Вас карта настроена на приоритет PIN? Или постоянно через красную кнопку подпись ставите?
            • 0
              Через красную кнопку. Отказов пока не было, за исключением того, что не все кассиры знают об этой возможности и иногда приходилось им говорить о необходимости прочитать текст на терминале для продолжения операции.

              А приоритет PIN или подписи на карте я честно говоря даже не знаю. Надо будет в банке спросить.
  • 0
    Весь вопрос в том, как оплатить покупку, если ты не хочешь светить PIN код, отменяешь его ввод, а оператор отменяет транзакцию(ну не хочет он по подписи авторизовывать)? Или есть какой-то регламент, обязывающий их принимать авторизацию по подписи?
    • 0
      Нет. Тебе предложили надежный способ подтверждения транзакции ты отказался.
      • +1
        В этом и проблема — он надежный для них(со стороны что покупатель — потенциальный мошенник), но не надежный в целом для меня(со стороны что держатель терминала/продавец — потенциальный мошенник).
  • +4
    Терминалы корректно обрабатывают ситуацию при ошибке чтения чипа и позволяют провести оплату с использованием магнитной полосы. Алгоритм такой:
    1. Проводим магнитной полосой => Терминал говорит что надо использовать чип
    2. Вставляем карту, но так, чтобы чип был наружу, т.е. обратной стороной => Терминал принимает это за ошибку чтения и просит повторить (или пишет что-то про ошибку)
    3. Повторяем предыдущий пункт еще 2 раза
    4. После этого терминал разрешает провести оплату при помощи магнитной полосы

    Про данную особенность мне рассказал сотрудник компании, которая предоставила нам банковский терминал для разработки ПО, которое общается с ним (терминалом) по WiFi.
    Данная возможность заложена на случай поломки считывателя в терминале или неисправности чипа на карте.

    Все хочу проверить эту возможность на верипосовских терминалах, но в последнее время тестовых в офисе не появлялось.
    • +2
      А еще говорят что кур доят.
      Вы описали процедуру нарушения условий использования терминального оборудования. Это может быть ошибкой в ПО, но ни как не «стандартным функционалом»
      • 0
        Это именно стандартное поведение, но о нем широко не афишируют. Сделано для того, чтобы иметь возможность провести оплату при испорченном чипе.
        Лично я менял одну из карточек как раз из-за не работающего чипа. Проводишь магнитной полосой, а терминал говорил что надо использовать чип. Ну а чип он не мог прочитать.
        Тогда еще не знал о возможности 3-х ошибок, разрешения прочитать магнитную полосу и подписать слип по старинке.
        • 0
          Да?
          Вы проходили EMV сертификацию?
          Такая фичка обойдется компании в 50 K$ и полгода потерянного времени.
          • 0
            Это называется emv technical fallback — если чип поврежден, то терминал может провести операцию по полосе.
            Но это зависит от настроек
            • 0
              Плавали знаем, в попу такие решения.
              Я конечно передергиваю, но так и не долго договорится до:
              Магнитная полоса не читается давай номер разрешим клиенту вводить.
              Не видно номера на карте пусть ее по памяти клиент введет.
              Надежность чипа примерно на 3 порядка выше чем магнитной полосы с высокой коэрцитивной силой, так что необходимость таких фичек разговоры в пользу мошенников.
              • 0
                не буду говорить за тотальную необходимость такой фичи, но иногда было бы полезно.
                в свое время у меня на руках была сберовская виза с работавшим через раз чипом. правда, ей и до конца срока действия месяца 4 оставалось.
      • 0
        Согласно требованиям международных платежных систем при наличии комбинированной карты и невозможности прочитать чип разрешается проводить операцию по магнитке.
  • 0
    «подпись» — как я понимаю дело сугубо добровольное? и зависит от торговой точки (либо договора с банком). Неоднократно расплачивался (небольшие суммы, до 1т.р. точно, возможно где-то несколько больше) без ввода пинкода и без подписи.
    • +1
      Да это возможно для увеличения скорости обслуживания. Серьезная точка может заключить такой договор с банком. Но только тогда она принимает все риски мошенничества на себя.
      Хотя если вы обратили внимание в России массово нарушаются условия обслуживания карт по подписи.
      Порядок должны быть таким:
      1 Ввели сумму
      2 Прочитали карту
      3 Получил подтверждение транзакции
      4 Распечатали чек
      5 Клиент расписался в чеке
      6 Кассир сравнил подпись в чеке с подписью в карте
      7 Если подписи совпадет то все Ok, карту отдаем клиенту с копией чека
      • +2
        То есть вы утверждаете что кассир на месте может провести почерковедческую экспертизу за пару секунд, определить является ли подпись на чеке и на карте «идентичными», и если кассиру кажется что они не идентичны — отказать в покупке.

        Кстати никогда не понимал подобной меры, ведь злоумышленник имея 5-10 минут «свободного времени» может научится более-менее сносно подделывать подпись по образцу (карта то у него уже есть), а на некоторых картах даже стереть подпись (они и так почти везде полустерты) и поставить свою.
        • –1
          Утверждаю не я, а правил платежных систем. В частности «правила приема карточек в предприятиях торговли и сервиса».
          Так же как держатель карты Вы с этими условия и допущениями согласны. Так что если не согласны то не используйте карты.

          Если карта у вас изготовлена качественное то стереть подпись не получится. Если хотите что бы ваша карта стала не действительной можете провести этот эксперимент и поделится здесь. Я вам потом в частной переписке скажу что надо посмотреть на обратной стороне кареты что бы «страна узнала фиговых производителей пластика».
          Только пара маленьких условий:
          1 Не расписывайтесь карандашом. Его можно реально смыть водой.
          2 Прежде чем стирать подпись дайте 3-4 часа засохнуть чернилам, не важно каким.
    • 0
      Если не введен PIN и терминал напечатал на чеке поле для подписи, то подпись обязательна. Если Вы не распишитесь, то кассир имеет право отменить операцию.
      • 0
        В посте есть таблица, а в ней нет ни слова про ситуацию которую я описал.
        Поэтому и вопросы: кассир «имеет право» или «обязан» отменить операцию, поле «подпись» печатается «всегда» или при «определенных условиях»? В всех случаях интересуют именно условия.
  • +3
    Например в Украине это вообще неактуально. Оффлайн режима нет в принципе, т.к. это в постсоветском пространстве 90% мошенническая операция. В России, подозреваю, тоже. Пост интересный, но расходится с реальностью. Почему paypass не затронут? Это вполне уже актуально.

    Я проработал 10 лет в банке и имел отношение к процессингам и платежным картам. Так вот. 99,9% мошеннических операций это либо клиент потерял карту без пина, либо засветил ее номер и cvv в магазине/интернете.

    Самый страшный случай фрода в моей жизни предотвратила бабушка-кассир в супермаркете, когда отказалась продать моей жене продуктов на 4 доллара по карте с мужским именем, с тех пор даю ей обезличенную карту))

    P.S. И еще автор забыл упомянуть один сценарий. Повторная покупка в том же терминале в течении короткого времени всегда запрашивает пин независимо от суммы.

    P.P.S. Не понимаю что этот пост делает в информационной безопасности. Это ликбез для новичков скорее. Но за труды спасибо
    • 0
      Про PayPass/PayWave тоже интересно почитать, а именно интересует какого хрена в России при оплате картой Visa всегда спрашивает пин-код?
      • 0
        Даже при мелких суммах спрашивает?
  • 0
    За последний год всего пару раз сталкивался с тем, что в операции отказано(при отмене ввода пин). А пин код не ввожу почти всегда.
  • +2
    Не чипованые магнитные карты встречаются редко
    Откуда такие данные? Каждый день хожу в «Ленту», стою в очереди по 10 минут и сам вижу, что у большинства покупателей магнитные карты. Терминалы повернуты к покупателю, что позволяет самому провести по нему картой. PIN-код вводить также не требуется, оплата моментальная, а на чеке ставит подпись сам кассир.
    • –1
      О, я еще забыл добавить, что Ваша статья(пост) относится к параллельной реальности.

      Не поделитесь, как туда попасть?
    • +2
      О, Лента, это вообще что-то с чем-то, если речь заходит об использовании банковских карт. Потому что никогда нельзя быть уверенным, а сможешь ли вообще там что-то купить, если нет привычки таскать с собой паспорт везде и всегда. Сегодня ты там без каких-либо проблем покупаешь что-то, расплачиваясь карточкой и не вводя ПИН, не ставя никаких подписей и не предъявляя удостоверения личности(!!!) (хотя у них на каждой кассе написано, что последнее — гарантия нашего спокойствия), а на следующий день кассир поставит на тебя глаза по 10р. и скажет — без паспорта ничего не отдам.
      Когда лично меня такое положение дел совсем достало, я попытался разговорить одну из кассиров. Ответ «порадовал» — мы сами в шоке, но наше руководство каждый день новые требования спускает.
      На всякий случай — речь идет о «Ленте» в СПБ, Пулковское ш.
      И да, чуть не забыл. По поводу магнитных карт у меня статистика прямо противоположна вашей. У большинства — все же чипованные карты с пин-кодом :)
      • 0
        Любопытно. Видимо, это руководство конкретной «Ленты» так «шалит». Пользуюсь несколько раз в неделю «Лентой» на проспекте Обуховской обороны, почти всегда расплачиваюсь картой — ни разу не спросили удостоверение личности. Карты были разные — Сбер нулевого уровня, Maestro, Mastercard World (разных банков), никаких проблем (тьфу-тьфу-тьфу!)
        • +1
          Не-не-не, Лента в Москве, в Новокосино тоже каждый раз разные требования предъявляет. До идиотизма. Оплачиваешь покупку в 500р. картой PayPass, а кассир требует показать документ. Показываешь права — сразу успокаивается. Прочитать имя на правах и/или сравнить его с именем на карте — не, зачем. Главное — показать документ.
      • 0
        Приходите на Руставели — там таким не балуются.
        • 0
          Я бы с радостью, но это ж через весь город пилить. А я весьма ленив :)
    • +1
      Со следующего года российские банки будут обязаны выпускать карты обязательно с чипом.
      • 0
        Это все банки. Во всяком случае со стороны Mastercard. В этом году принудительно выводятся устаревшие модели терминалов, т.е. их можно будет использовать, но все 100% рисков ты берешь на себя, терминал дешевле
  • +1
    В США не все банки умеют выпускать карты с чипом вообще, а в большинстве магазинов терминалы умеют читать только магнитную полосу. Ровно с той же неохотой внедряется 3D Secure.
    • 0
      Замена инфраструктуры это гигантские деньги.
      • 0
        Я в курсе. Просто отметил этот факт, потому что в статье приводятся сведения, которые касаются Европы вообще и России, как частности, но которые не распространяются на весь мир.
        • 0
          Да согласен, таблица показывает все 100% вариантов, но 3 вариант закрывают 99% количества транзакций.
          А еще есть 101% и 102%, типа CNP транзакций.
    • 0
      Амазон вон даже CVV2 не проверяет, не то что 3Dsecure, и ничего )
      • 0
        Многие американские интернет-магазины не проверяют CVV2. Но при этом они могут задалбывать с требованием прислать документы или подтвердить адрес кодом из бумажного письма.
        • 0
          Кто, например?
          • 0
            Например, cabelas.com
            • 0
              Лет десять покупаю у них, ни разу не сталкивался. Карты были начиная от Альфы и ВТБ24, заканчивая сбером и СобинБанком
              • 0
                Возможно это связано с тем, что я заказываю на адрес посредника в США, а карта российская.
        • 0
          Вот совсем недавний пример — payeer.com — при попытке оплатить через них заказ на что-то в районе 10 баксов — сказали «а чой-то у вас карточка нам кажется подозрительной, вышлите фотку (не скан а именно необработанную фотку) вашего паспорта или driver's license нам, мы проверим все».
          Еще пару раз подобное встречал на некоторых сайтах, вроде maximuscards.com. Суммы опять же в пределах 10-20 баксов.
  • 0
    Исходя из таблички, самая безопасная карта у ТКС. Она с чипом и приоритетом подписи вместо ПИНа.
  • 0
    А кто может что сказать о динамическом пароле, который в СМС.
    У меня все операции по списанию денег с карточки в инете происходили только после аутентификации паролем в СМС.
    Но на днях мой ребенок что-то покупал на ГугльПлей при помощи моей карты и там было достаточно только ввести данные карты
    Как такое может быть?
    От чего зависит?
    Я не давал согласия на такие операции. Мой банк дал?
    Сайт считается надежным- поэтому?
    к Гугль кошельку карта не привязана
    • 0
      ru.wikipedia.org/wiki/3-D_Secure

      Если коротко, то есть 2 варианта: 1) Защита со стороны магазина есть, он делает запрос в банк, банк присылает смс, вы вводите код и в случае чего виноваты вы.
      2) Защита со стороны магазина не поддерживается, в случае чего виноват магазин.
  • –1
    Не услышал ничего о покупках вообще без авторизации. Приведу пример:
    Есть карта с чипом. В России все покупки проходят только через чип и пин-код. Приехал я в Израиль, даю в магазине карту. Они ее проводят магнитной полосой и покупка совершена даже без пин-кода!!! Как так??
    • +1
      Читаем внимательно!
      Решение нужен или не нужен ПИН-код принимает терминальное оборудование.
      Терминальное оборудование принадлежит банку эквайеру.
      Эквайер сам решает какие риск он готов нести.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.