может ли отель списать деньги с карты без cvc кода
Подводные камни «Букинга»
Кто в отеле знает реквизиты вашей карты
Полгода назад я путешествовала по США и последний отель бронировала с американской карты друга.
Отелю показалось подозрительным, что номер бронирует один человек, а оплачивает другой. Чтобы подтвердить, что все в порядке, мы должны были указать в специальной форме все данные карты, вплоть до CVV-кода.
Я была уверена, что CVV просят только мошенники, поэтому позвонила в отель. Разговор с оператором отеля затянулся, она устала объяснять и в сердцах сказала: «Ну короче, в этом поле укажите цифры 578». Это был CVV банковской карты, который час назад мы ввели на «Букинге».
Так я узнала, что «Букинг» передает в отели все данные банковской карты. Расскажу, что еще я выяснила о бронировании отелей и как теперь защищаю свои деньги.
Лучшая защита для денег — дополнительная карта
В любой непонятной ситуации расплачивайтесь и указывайте реквизиты дополнительной карты. Оформите ее к основному счету, поставьте лимит и расслабьтесь.
Если мошенники получат данные вашей карты и попытаются обналичить деньги, они не смогут ничего снять, а вы получите смс.
Дополнительная карта бесплатная. Оформляется в интернет-банке.
Принцип работы «Букинга»
«Букинг» — это биржа. Отели выставляют на ней свои предложения, туристы выбирают и бронируют. «Букинг» получает комиссию с отеля, в который он привлек клиента.
Большая часть действий клиента по бронированию происходит на сайте «Букинга». Поэтому клиенты иногда полагают, что «заказали отель у „Букинга“», «заплатили „Букингу“». Это не так. На «Букинге» встречаются два самостоятельных субъекта — отель и клиент.
Отель устанавливает стоимость и другие условия проживания, отвечает за правильность и актуальность этих данных и получает от «Букинга» информацию о бронировании. Именно отель, а не «Букинг» подтверждает бронь, переписывается с клиентом об условиях, переносит или отменяет проживание и принимает оплату. «Букинг» лишь предоставляет площадку и инструменты для взаимодействия отеля и клиента.
Зачем отелю ваша карта
Если при бронировании вы выбрали предоплату, то реквизиты карты нужны, чтобы отель списал деньги за проживание.
Как хакеры крадут информацию у постояльцев гостиниц
Если вы не хотите платить сразу, в действие вступает понятие «гарантия бронирования». Отель обещает предоставить вам комнату в обмен на ваше обещание оплатить эту комнату.
Гарантию отеля подкрепляют его деловая репутация и система бронирования «Букинга». Честного слова клиента, к сожалению, недостаточно для гарантии.
Если клиент передумает и забудет сообщить об отмене брони, номер останется пустым, а отель недополучит прибыль. Поэтому отельеры хотят получить финансовую гарантию: если клиент отменит бронирование позже указанной даты, то должен будет заплатить штраф.
Чтобы иметь возможность взять штраф, отелю нужны данные вашей банковской карты. Эти данные «Букинг» предоставляет отельеру сразу в момент брони.
Кто знает ваши данные
Когда вы вводите данные карты на сайте, «Букинг» передает их по зашифрованному протоколу — если их перехватит злоумышленник, он не сможет их прочитать. Уязвимость возникает, когда ваши данные получает отель.
У «Букинга» предусмотрена двухфакторная аутентификация для доступа в личный кабинет отеля: увидеть данные клиента может только уполномоченный сотрудник отеля. Теоретически он должен только снять или заморозить положенную по условиям бронирования сумму и не может использовать данные карты в других целях. В итоге судьба денег на вашей карте зависит только от порядочности и ответственности этого сотрудника.
В договоре между отелем и «Букингом» отель обязуется обрабатывать данные карт в соответствии со стандартом безопасности данных индустрии платежных карт. Однако в договоре не прописаны ни способы проверки, ни санкции за нарушение стандарта безопасности.
Если отель небрежно хранит распечатанные бронирования, например оставляет их на стойке регистрации, то данные карты могут стать достоянием не только сотрудников отеля, но и других постояльцев. Если через пару месяцев после путешествия кто-то в Китае купит велосипед с вашей карты, вы даже не сразу поймете, откуда злоумышленник получил ваши данные.
В момент, когда отельер сохраняет ваши данные себе на компьютер или распечатывает их, «Букинг» снимает с себя ответственность.
Как безопасно забронировать отель
Если вы не хотите передавать данные карты в отель, можно обойтись без нее. Расскажу о нескольких способах, которые я пробовала.
Самостоятельная предоплата отелю. На «Букинге» есть объявления с пометкой «Вы можете оформить бронирование без кредитной карты». Чтобы найти их, выберите в меню слева фильтр «Бронирование без кредитной карты».
Чтобы гарантировать вашу бронь, отель предложит сделать банковский перевод, перевод через «Пэйпэл» или на банковскую карту. Бронирование будет подтверждено только после получения такой предоплаты.
Плюс такого способа в том, что отель не узнает данные вашей карты.
Личная договоренность. В некоторых случаях в переписке с отелем удается сохранить бронирование без финансовых гарантий. Два гостевых дома на Сейшелах после моего письма согласились держать за мной комнату без предварительных переводов и заморозки денег.
Такая уступка — право, а не обязанность отеля. Если отельер уже столкнулся с непорядочными или необязательными постояльцами, он может отказаться бронировать номер другому туристу без предоплаты.
Отдельная карта для бронирования. Я выбрала этот способ, потому что так мне не приходится каждый раз совершать лишние действия и вступать в переписку с отелями. При этом я полностью уверена в безопасности денег на основной карте.
Перед тем как забронировать номер, я перевожу на отдельную банковскую карту необходимую сумму и слежу, чтобы после путешествия на ней не оставалось денег. Даже если мои данные получит злоумышленник, сбережения останутся в безопасности. Эту карту я использую только для бронирования отелей.
Главное за 30 секунд
Это происходит независимо от условий оплаты и отмены бронирования. Даже если отель не снимает и не блокирует ваши деньги, в его распоряжении сразу появляются все данные вашей карты.
Доступ к данным карты имеют уполномоченные сотрудники отеля. Если они пренебрегают правилами безопасности, реквизиты карты может узнать злоумышленник.
Можно забронировать отель без карты, но это работает не с каждым отелем и потребует больше движений, чем оплата картой.
Рациональный способ защитить свои деньги — использовать для бронирования отдельную карту.
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
Примеры с «Хабр»:
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Правда ли, что Booking.com передаёт отелям данные банковских карт клиентов в открытом виде Статьи редакции
Сервис утверждает, что «безопасно передаёт информацию», но при желании сотрудники отелей могут воспользоваться CVC-кодами.
23 июля на «Пикабу» обратили внимание на то, что сайт для бронирования отелей Booking.com запрашивает полные данные о банковской карте, включая CVC-код. Подобные жалобы появлялись и раньше, так как пользователи обеспокоены, что информация попадёт к неизвестным владельцам отелей.
TJ разобрался, насколько защищены банковские данные при работе с Booking.com и можно ли не делиться с отелем секретным кодом.
Обычно отель запрашивает у сервиса полные реквизиты карты, чтобы списать деньги за бронирование заранее или уже после выезда клиента, а также при отмене заказа. Однако пользователь Oyshoboy заподозрил, что сотрудники отеля смогут позднее использовать данные для кражи денег с его счёта.
Используя эти данные, администратор отеля списал деньги с карты для оплаты бронирования. Я даже не вводил пинкод! Получается, букинг сливает секретные данные карт всем, кому ни попадя, и с помощью этих данных можно проводить операции без спроса владельца карты.
Специалист по системам бронирования в 2012 году рассказывал vc.ru, что факсы с данными клиентов высылаются отелям «из соображений безопасности», чтобы не пользоваться электронной почтой.
Дело в том, что тот же Booking.com не снимает деньги за номер с вашей банковской карты, а просто передаёт данные в отель, который сам даёт команду к транзакции денежных средств. И если вдруг с вашей карты сняли лишние деньги, то любой перевод средств можно с легкостью опротестовать, связавшись с гостиницей. Эта практика уже давно отлажена на Западе.
Специалист по системам бронирования рассказал, что отели работают с букингом через закрытую систему Extranet. От системы к отелю по факсу приходит информация с данными банковской карты, но без CVC-кода и последних четырёх цифр. Эта информация передаётся через Extranet, где хранится не больше трёх дней.
В Booking.com не ответили на вопрос TJ о том, почему не все отели запрашивают CVC-коды и как в таком случае они проводят банковские транзакции. Представитель сервиса лишь подтвердил, что данные клиентов хранятся в сервисе для партнёров Extranet с двухфакторной аутентификацией. Однако соблюдение правил безопасности «остаётся ответственностью объектов размещения» : то есть, если сотрудник отеля может заполучить ваш CVC-код.
Все партнёры Booking.com соглашаются с нашими условиями и положениями, которые требуют от объектов размещения соблюдения определенных процедур обработки данных для защиты клиентов, эффективно и ответственно управляя своим бизнесом.
В тех редких случаях, когда мы получаем сообщения о ненадлежащих действиях партнеров, мы, как и в этом случае, незамедлительно проводим расследование.
В феврале 2018 года «Тинькофф-журнал» рассказал, как можно обезопасить свои банковские данные при работе с букингами.
Если вы сами предоставили полные данные своей карты третьему лицу, то, вообще-то, это вы нарушили условия пользования банковской картой. Тинькофф хотя бы написал об этом целую статью. Понятно, что очень сложно отделить скимминг от таких случаев, но в статье, кстати, нигде не написано про проценты и так далее. По факту, Тинькофф, как и любой другой наш банк, примет заявление от клиента о том, что эти транзакции не были авторизованы.
зы: букинг делает это все наиболее корректно из всех ОТА-каналов. экспедиа, островок, эгода, озон, и иже с ними делают передачу данных ваших карт еще более криво.
кидайте свои каверзные вопросики, я сегодня в хорошем расположении 🙂
Как защитить реквизиты карты
Какие данные нельзя сообщать и в каких случаях включать параноика
Этот материал обновлен 17.05.2021
Реквизиты банковской карты — это секретная информация. Если она попадет в руки не тех людей, вы можете потерять деньги.
В России 68% мошеннических операций совершается с помощью реквизитов. Это самый распространенный способ украсть деньги с карты. Мошеннику нужны только цифры, которые написаны прямо на карте, — и он уже сможет вас ограбить.
Что за реквизиты?
Реквизиты — это всё, что написано на карте: номер из 16 цифр (иногда 18), имя и фамилия владельца, срок действия и CVC-код — трехзначный код безопасности на обратной стороне. Для удобства мы отнесем к реквизитам и смс-код, который присылает вам банк, когда вы платите в интернете или переводите деньги.
По правилам платежных систем реквизиты нельзя сообщать посторонним. Если банк узнает, что ваши реквизиты попали в чужие руки, то сразу заблокирует карту. Однако кое-что сообщать все-таки можно. Если кратко, дела обстоят так:
Что можно сделать, зная реквизиты карты?
По реквизитам карты можно заплатить в интернете или оформить перевод с карты на карту. Человек, который знает ваши реквизиты, имеет полный доступ к деньгам.
Вернуть потерянное будет сложно. В договорах на оказание банковских услуг прописано, что ответственность за сохранность данных карты несет держатель карты. Если он сам добровольно эти реквизиты сообщил посторонним, банк за такие действия ответственности не несет. Придется обращаться в полицию и если она найдет мошенника, с него и взыскивать ущерб.
Какие реквизиты нужны вору, чтобы украсть мои деньги?
Обычно номер карты, срок действия, CVC-код и код из смс. Но есть магазины, которые проводят операции с меньшим числом реквизитов.
Например, чтобы заплатить на «Амазоне», нужен только номер, имя и срок действия. Ни кода безопасности, ни одноразового пароля из смс не нужно:
Виды мошенничества с картами
Фальшивые банкоматы. Не каждый банкомат, который вы видите, обязательно принадлежит банку. Мошенники могут скупать на черном рынке старые банкоматы, перенастраивать их и получать доступ к данным карты. Снять наличные в таком банкомате не получится — он выдаст сообщение, что купюр нет или что он неисправен. Зато такой банкомат передаст мошенникам все реквизиты карты.
Чтобы обезопасить себя, проверьте банкомат на карте с банкоматами в приложении банка.
Скрытые камеры. Мошенники крепят их на банкомат или прячут где-то возле. Миниатюрная камера направлена на клавиатуру банкомата и записывает, как клиенты вводят пин. Еще камера может записать все реквизиты, указанные на карте: имя владельца, срок действия и даже код безопасности.
Скимминг. Скиммер — это считыватель магнитной ленты на карте. Мошенники прикрепляют его к картоприемнику банкомата.
Банки знают об уловках мошенников, и поэтому начали выпускать банкоматы без картоприемников. На современных банкоматах карту достаточно приложить к специальной площадке со значком бесконтактной оплаты. Если есть альтернатива, рекомендую пользоваться именно такими банкоматами.
Траппинг, или «ливанская петля». Мошенник вставляет в картридер кусок фотопленки или пластика, и карта, попадая в прорезь, не возвращается владельцу, а попадает в конверт, который мошенник вытащит и получит возможность пользоваться картой.
По возможности пользуйтесь банкоматами без прорезей. В них карта в принципе не может быть удержана из-за неисправности устройства и к мошенникам в руки не попадет ни при каких обстоятельствах.
Накладная клавиатура. Мошенники устанавливают на банкомат поддельную клавиатуру поверх оригинальной. Поддельная запоминает все, что вы набираете, и передает нажатия на настоящие клавиши.
Фишинг. Это рассылка писем и уведомлений от имени брендов, банков, платежных систем, почтовых сервисов, социальных сетей. В письме содержится ссылка, якобы ведущая на сайт сервиса, но на самом деле она ведет на сайт мошенников, внешне не отличающийся от оригинала.
Как не попасться на удочку хакеров
Пользователя убеждают ввести данные карты якобы для оплаты товаров или услуг, но на самом деле покупки не происходит, а данные попадают в руки мошенников.
Совет здесь только один: не переходить по ссылкам, если не уверены в их надежности. Убедитесь, что отправитель — именно тот, за кого себя выдает.
Смс-мошенничество. Мошенники через смс убеждают держателя карты перевести деньги. Например, предлагают поучаствовать в розыгрыше приза, получить компенсацию или просто позвонить на платный номер.
Вишинг — телефонное мошенничество. Самый распространенный сейчас вид мошенничества.
Мошенники представляются работниками службы безопасности, сотрудниками правоохранительных органов, Центробанка. Бывает, что они представляются покупателями на сайтах объявлений.
Цель у них одна — получить реквизиты карты: ее номер, код безопасности, а если повезет, то и код из смс.
Можно ли сообщать номер банковской карты и имя владельца
Если у кого-то есть номер карты, он не сможет украсть ваши деньги. Но он может использовать это знание для фишинга: прикинуться банком и выудить у вас другую информацию.
А вот если у мошенника есть и номер карты, и ваше имя латиницей, он сможет подобрать срок действия методом перебора и, например, привязать карту к «Амазону».
Номер карты и имя владельца следует беречь точно так же, как вы бережете данные паспорта.
Мошеннику нужен только номер карты, срок действия и ваше имя, чтобы украсть деньги.
Какие данные карты можно сообщать для перевода денег, а какие нельзя
| Можно сообщать | Нельзя сообщать |
|---|---|
| Номер из 16 цифр | Имя и фамилия |
| Cрок действия | |
| Код безопасности на обратной стороне | |
| Код из смс |
Вопросы о безопасности банковских карт из жизни
Я забыл карту в кафе, вернулся за ней через 15 минут. Надо перевыпускать? Лучше перевыпустить. Если вам не повезет, официант перепишет реквизиты в блокнот или просто сфотографирует карту. Он не будет тратить все деньги, а просто через месяц-другой по-тихому купит что-нибудь в интернете.
Если у вас не подключен смс-банк, вы можете даже не заметить пропажи денег с карты. А если клиент не забил тревогу, то и банк ничего не заметит. Вы никогда не узнаете, что деньги украли.
Официант унес карту, чтобы провести оплату на кассе. Это плохо? Да. Целую минуту он может делать с вашей картой что угодно. Если вам совсем не повезет, официант окажется еще и скиммером: проведет карту через специальный считыватель, потом продаст данные в Таиланд через анонимный форум. Там ребята обналичивают сразу и много.
Чтобы такого не случилось, попросите официанта принести терминал. Сейчас во всех приличных заведениях терминал приносят к столу. Но если такой возможности нет, сходите на кассу вместе с официантом.