сайты без кода подтверждения
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
Примеры с «Хабр»:
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Версия защиты: банки разрешили делать покупки в интернете без SMS-кода
Россиянам, которые совершают покупки в интернете, больше не придется подтверждать каждую транзакцию кодом из SMS. Платежные системы и банки начали внедрять новый стандарт безопасности 3D-Secure 2.0, который квалифицирует часть операций как низкорисковые и не требует дополнительного верификации личности. Эту систему для карт «Мир» подключили уже 140 кредитных организаций, а остальные проходят сертификацию, рассказали «Известиям» в НСПК. В крупнейших банках сообщили, что новая технология вводится также для Visa и MasterCard. Эксперты отмечают, что об однозначном влиянии стандарта 3D-Secure 2.0 на безопасность платежей в Сети пока говорить некорректно.
Бесшовно и быстро
В число 140 банков, подключивших 3D-Secure 2.0 для «Мира», вошли Промсвязьбанк, Совкомбанк, УБРиР, крымский РНКБ, «Дом.РФ», банк «Восточный» и СКБ-банк, рассказали «Известиям» их представители. В Национальной системе платежных карт подчеркнули, что поддержка нового стандарта для эмитентов «Мир» обязательна.
Новый стандарт безопасности делает процесс бесшовным для клиента, сокращает долю отказов от операций, а также позволяет банкам экономить на СМС. 3D-Secure 2.0 даст возможность проводить аутентификацию и подтверждать операцию на основе анализа рисков без дополнительного обращения к держателю карты. Клиенту, в свою очередь, не придется вводить код из SMS от банка для совершения онлайн-покупки, отметили в пресс-службе платежной системы «Мир».
— При этом сохраняется высокий уровень безопасности платежа. Кроме того, технология ориентирована на удобство и безопасность совершения платежей не только через web-браузер, но и непосредственно в приложениях различных сервисов в мобильном устройстве. В новой версии также реализована удобная поддержка аутентификации пользователей при оформлении регулярных платежей, подписок на различные сервисы, — рассказал представитель «Мира».
Промсвязьбанк, Совкомбанк и УБРиР уже внедрили новый стандарт безопасности и при оплате картами Visa и MasterCard. Над запуском технологии для международных платежных систем работают банки «Дом.РФ», «Восточный» и СКБ. В ВТБ, МКБ, «Альфе» и банке «Хоум Кредит» «Известиям» сообщили, что находятся в процессе реализации функционала для карт всех платежных систем. В Visa и MasterCard не ответили на запросы «Известий».
Совокупность сведений совместно с анализом транзакционной активности клиента дает возможность эмитенту «узнавать» своего держателя на этапе аутентификации и разрешать проведение операции без дополнительного подтверждения, оставаясь в защищенной среде протокола, объяснил принцип действия новой системы зампред правления банка «Зенит» Дмитрий Юрин.
Стандарт версии 2.0 позволяет проанализировать более 200 характеристик платежа, уточнил директор по мониторингу операций и диспутам Альфа-банка Алексей Голенищев. Среди них — точка продажи, сумма операции, позиции в чеке, геолокация и характеристики устройства, с которого совершается транзакция. Без дополнительных проверок будет проходить около 70–80% операций, оценил Алексей Голенищев.
Кроме того, теперь банки смогут выбрать способ дополнительного подтверждения личности в случаях, когда это необходимо. В частности, появилась возможность использовать в качестве фактора аутентификации сохраненную на устройстве (например, на смартфоне) биометрию, подчеркнули в банке «Восточный».
Новый способ подтверждения личности удобен для клиента, поскольку ускоряет проведение операции. Также функционал повышает продажи и увеличивает объемы транзакций, отметил директор департамента платежных карт Промсвязьбанка Александр Петров. Стандарт версии 2.0. «упрощает клиентский путь и позволяет экономить на отправке одноразовых паролей», добавили в ВТБ.
20 лет спустя
Протокол безопасности нового уровня — это попытка найти разумный компромисс между безопасностью и удобством, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. С одной стороны, стандарт поддерживает несколько механизмов верификации плательщиков: наряду с паролями на усмотрение банка-эмитента могут использоваться биометрия и криптография. Но с другой, в некоторых регионах мира даже первая версия стандарта — с подтверждением только с помощью кода из SMS — привела к заметному снижению числа покупок. Дополнительное действие при проведении платежа оттолкнуло часть клиентов, которые предпочли менее защищенные площадки, пояснил Дмитрий Кузнецов.
По его словам, об однозначном влиянии нового стандарта на безопасность платежей говорить некорректно. Технология лишь делает меры защиты более гибкими, позволяя усиливать их для одних операций и ослаблять для других, подчеркнул эксперт Positive Technologies.