маскировочный номер карты что это

Зачем в пречеке скрывают цифры номера карты?

Когда я пополняю свою карту по ее номеру в каком-нибудь салоне связи, мне дают пречек на проверку. Номер карты в нем частично скрыт. Зачем скрывают цифры в середине номера карты? Как я могу их проверить, если сотрудник салона мне их не диктует, ссылаясь на требования безопасности?

Буду рад, если объясните, зачем это нужно, ведь просто по номеру карты списать деньги невозможно.

Павел, действительно, номер карты скрывают в целях безопасности. Чтобы ответить на ваш вопрос, нужно объяснить, из чего состоит номер карты.

Из чего состоит номер карты

Последняя цифра — специальная, рассчитывается по алгоритму «Луна». Это особая формула, которая формируется из остальных цифр карты и выступает проверкой правильности и подлинности карты.

Вы могли обратить внимание, что даже в личном кабинете номер карты полностью не указан. В Тинькофф-банке это выглядит так:

Почему не указывают данные карты

Полностью данные чеков и пречеков не указываются в связи с требованиями стандартов безопасности данных индустрии платежных карт. В них прописано, что в чеке максимально могут быть указаны первые 6 и последние 4 цифры карты.

Раньше у Тинькофф-банка была договоренность с партнерами, через которых можно было пополнять счет так, чтобы на пречеке номер карты указывался полностью. Но в связи с обращениями клиентов и принятыми стандартами теперь в пречеках стали указывать только последние 4 цифры номера карты.

Сотрудники салона чаще всего сами предлагают устно проверить номер введенной карты. Если вы переживаете, что могли ошибиться в номере карты, попросите сотрудника сверить с вами номер карты или пополняйте карту по номеру договора.

Если у вас есть вопрос о личных финансах, правах и законах, здоровье или образовании, пишите. На самые интересные вопросы ответят эксперты журнала.

Источник

Маскирование ИЛИ усечение номера PAN: в чем разница?

Я, конечно, не получаю пачками вопросы по безопасности платежных карт, однако, время от времени кто-нибудь да и задаст мне такой вопрос, который заслуживает отдельной публикации в блоге. Буквально на днях одна читательница, Мишель, задала мне такой вопрос, который, в целом отражает часто встречающееся непонимание в сфере безопасности платежных карт:

Вчера я перечитывала PCI DSS 2.0, требование 3.4, и была немало удивлена тем, что для защиты хранимых номеров PAN не предлагается такая мера как «маскирование». Правильно ли я понимаю, что эти номера подлежат шифрованию перед помещением их на хранение, а при извлечении, они подлежат расшифрованию и маскированию? И потом, если мы получаем номер PAN уже в маскированном виде, а затем храним его, то попадает ли такое хранение под действие стандарта PCI DSS? С технической точки зрения, как я думаю, не попадает, т.к. PAN уже маскирован при получении, а значит нет возможности найти номер PAN в незашифрованном виде.

Вот в этом как раз и кроется основная суть непонимания сути маскирования. Многие люди либо вообще не знают о существовании усечения и полагают, что если они не могут видеть полный номер карты, то это маскирование, либо считают, что усечение и маскирование — это одно и то же. Несомненно это разные вещи, поэтому я позволю себе процитировать определения маскирования и усечения прямо из Глоссария PCI SSC:

Маскирование (Masking)

Метод сокрытия сегмента данных при отображении или печати. Маскирование используется, когда нет служебной необходимости в просмотре всего номера PAN.

Усечение (truncation)

Метод приведения номера PAN к нечитаемому виду посредством удаления сегмента данных PAN.

Представьте себе данные о держателе карты (далее – ДДК) в виде цифр на листке бумаги. При маскировании мы словно берем коррекционную ленту и наносим ее на большую часть цифр таким образом, чтобы человеку, которому передается этот листок, было видно только последние 4 цифры. Очевидно, что при этой операции данные по прежнему существуют под коррекционной лентой, хотя она их и скрывает. Разумеется, с этого листка бумаги, приложив некоторые усилия, можно счистить коррекционную ленту, а значит этот лист бумаги по прежнему нуждается в защите, при которой никакие злоумышленники не могли бы восстановить и использовать данные о держателе карты.

В свою очередь, если бы мы хотели выполнить усечение на этом листке бумаги, то мы бы либо вообще изначально не писали эти цифры, либо стерли их настолько надежно, что их никогда нельзя было бы воссоздать. Такие данные никогда не были бы написаны на листе бумаги, а значит никак не могли бы быть использованы для мошенничества с платежными картами. В таком сценарии, этот лист бумаги не имеет никакой ценности для злоумышленника, а значит нет необходимости его защищать, по крайней мере в той же степени, в которой следует защищать маскированные данные. Конечно, к этим усеченным данным могут быть привязаны какие-то дополнительные данные или значения, но сами по себе усеченные данные ценности не имеют.

Если на экране отображаются данные, из которых видна только малая часть, то нельзя знать наверняка, какие именно представлены данные — усеченные или маскированные. Для того, чтобы это узнать, необходимо глубже понимать процессы их обработки. Только понимая процессы, можно сказать, можно ли каким-либо воссоздать эти данные или же в базе данных хранятся те же данные, которые видны на экране. Находясь в обычном магазине, можно увидеть на чеках последние 4 цифры номера карты. Если платежное приложение написано корректно, то должность персонала – будь то руководитель торгового зала или продавец — не должна иметь значения: в любом случае никто не должен видеть ничего кроме последних 4 цифр номера. Дело в том, что в таком приложении данные не сохраняются, а значит ни у кого из сотрудников магазина нет возможности извлечь данные из системы — данные усечены и их в системе больше нет.

Совсем иная ситуация в бэк-офисе, в бухгалтерии и в службе, отвечающей за предотвращение ущерба. По умолчанию, сотрудники этих отделов и служб должны видеть только 4 последних цифры номера платежной карты. Однако при возникновении претензионных платежей или подозрений на вероятное мошенничество, сотрудники компании в рамках расследования должны иметь возможность отменить маскирование полного номера карты. Эти номера по-прежнему существуют на сервере, однако, они там в основном хранятся в маскированном (скрытом) виде, и отображаются только должным образом уполномоченному персоналу. Поскольку имеется возможность извлечения этих данных на серверах, они полностью входят в область оценки на соответствие стандарту PCI DSS и подлежат соответствующей защите.

Таким образом, отвечая на вопрос читательницы, я скажу, что хранимые данные не могут быть «маскированы». Они маскируются только при извлечении и считаются маскированными, если отображены частично. Именно поэтому, в требовании 3.4 отсутствует маскирование. Если же ТСП получает ДДК, в которых имеется только сегмент номера PAN (например, сегмент из первых 6 или последних 4 цифр), то такие данные являются усеченными. В таком случае полный номер PAN отсутствует, воссоздание его невозможно, а значит нет необходимости его защищать так же, как и ДДК. Я не говорю, конечно, о том, что данные, привязанные к этому номеру не имеют ценности и не подлежат защите, просто усеченные данные не входят в область применения требований стандарта.

Если же ТСП получает полный номер PAN, но сотрудникам он отображается в маскированном виде, то, даже если никто в ТСП не имеет доступа к ДДК, оно все равно отвечает за их защиту согласно требованиям стандарта. Если в этих данных нет необходимости, есть смысл просить о предоставлении усеченных данных, тем самым, сэкономив кучу сил и нервов на общении с аудиторами, выполнении требований стандарта, да и вообще на процессе приведения среды в соответствие со стандартом PCI DSS. Например, я приятный в общении человек, но даже самые большие мои поклонники среди клиентов подтвердят, что я становлюсь противным и невыносимым, как минимум, раз в год, когда прихожу к ним для проведения аудита.

Источник

Возможна ли анонимная оплата в Apple Pay?

Конечно, нельзя называть Apple Pay анонимным в принципе, хотя бы потому что к ней привязана наша банковская карта. Однако, в момент оплаты что о нас узнаёт продавец? Какие наши персональные данные получает продавец от Apple Pay? Можно ли избежать передачи данных и, тем самым, сделать оплату анонимной в глазах продавца?

Когда мы полагаем, что оплачиваем через Apple Pay, то можем заблуждаться. В зависимости от того что мы приобретаем, используется один из двух механизмов Apple. При покупке любой материальной услуги действительно применяется Apple Pay. Однако, когда мы приобретаем цифровой контент в экосистеме Apple, применяется In-App Purchase. Заказываете Uber через Apple Pay? Верно, это Apple Pay. Оформляете подписку в Apple Music? Это уже In-App Purchase.

Ниже мы рассказываем, какие данные утекают продавцу при оплате внутри приложений. Мы не стали разбирать ситуацию, когда товар оплачивается через POS-терминал, так как она требует отдельного внимания.

Визуально оба механизма очень похожи, но “под капотом” все иначе.

In-App Purchase

При анализе In-App Purchase выяснилось, что мы анонимны перед продавцом. Некоторая информация о нас все же передается продавцу, но в обезличенном виде. Если мы купим неприличную книгу в LitRes, то разработчики приложения не узнают, что именно мы её приобрели. При условии, что мы не поделились с приложением личной информацией иным путем.

Какие данные передаются продавцу

Ниже представлена таблица, где мы видим какие данные In-App Purchase передает продавцу.

In-App Purchase

Как предотвратить передачу?

Дата первой установки приложения

Список всех сделанных покупок

Биллинговая ошибка на стороне клиента (не хватает денег, карта неактивна)

Дата первой установки приложения

Можно определить, когда мы первый раз скачали приложение, даже если удалим сейчас, но скачаем заново через пол года.

Список всех сделанных покупок

По сути, только дата покупки и что за продукт был приобретен.

Биллинговая ошибка на стороне клиента

Если мы оформим автовозобновляемую подписку, а потом на карте закончатся деньги или карта будет неактивной, то разработчик узнает об этом.

Технические подробности

Приложение предлагает пользователю какой-то контент.

Пользователь инициирует процесс покупки.

Приложение показывает ему окно для совершения транзакции.

После подтверждения приложение какое-то время думает.

Чтобы определить дату первой установки, в JSON необходимо найти поле original_purchase_date. Это просто дата, когда приложение было скачано тем самым iTunes аккаунтом, через который совершается покупка.

О нехватке баланса на карте можно будет узнать только в случае продления автовозобновляемой подписки. Эту информацию можно получить через App Store Server Notifications. Это система нотификаций от App Store, на которую подписывается бекенд и может обрабатывать разного рода сообщения. В конкретном случае нас интересует событие DID_FAIL_TO_RENEW

Apple Pay

Просто напомню, что Apple Pay предназначен для материальных товаров и услуг. Примерами могут быть: доставка еды в UberEATS, аренда дома в Airbnb, авиабилеты в Skyscanner.

Исследование Apple Pay показало нам, что продавец однозначно понимает, кто у него покупает товар/услугу. Мы полностью открыты в глазах продавца. Можно ограничить доступ к некоторой информации о себе, но кардинально ситуацию не изменить.

Какие данные передаются продавцу

Ниже представлена таблица, где мы видим какие данные Apple Pay передает продавцу.

До подтверждения оплаты

В момент, когда у нас выскакивает шторка с просьбой подтвердить оплату, продавец уже получает о нас информацию.

Поле

Значение

Как предотвратить передачу?

Примерный адрес доставки пользователя

Страна, область, город, почтовый индекс

Исказить или убрать в iOS. Настройки iOS → Wallet и Apple Pay → Параметры оплаты по умолчанию

Примерный платежный адрес пользователя (если не запрошен адрес доставки)

Страна, область, город, почтовый индекс

Исказить или убрать в iOS. Приложение Wallet → Карта → Настройки → Адрес плательщика [1]

Информация о банке эмитенте карты (при наличии договоренности между разработчиком и банком)

После подтверждения оплаты

Как только мы подтверждаем оплату с помощью Face ID, Touch ID или пароля, продавец получает новую порцию данных.

Поле

Значение

Как предотвратить передачу?

Название карты с последними символами реальной карты

Точный адрес доставки пользователя

Страна, область, город, почтовый индекс, улица, дом, квартира

До подтверждения оплаты исказить текст в самой шторке

Точный платежный адрес пользователя

Страна, область, город, почтовый индекс, улица, дом, квартира

Исказить или убрать в iOS. Приложение Wallet → Карта → Настройки → Адрес плательщика [1]

Исказить или убрать в iOS. Находится там же, где и адрес доставки или платежный адрес.

1. Либо до подтверждения оплаты исказить текст в самой шторке

2. Либо исказить/убрать в iOS. Настройки → Wallet и Apple Pay → Параметры оплаты по умолчанию [2]

От банка-эквайера

После успешной оплаты продавец может запросить дополнительную информацию о нас. Информация запрашивается у того, кто непосредственно обрабатывает нашу оплату (эквайер).

Поле

Значение

Как предотвратить передачу?

Источник

Что такое CVC на банковской карте, и как не стать жертвой мошенников

Для того чтобы ваша банковская карта не стала легкой добычей мошенников и дырой, через которую пропадают деньги, научитесь грамотно ей пользоваться. Каждый элемент на карточке имеет свое назначение, и знать его необходимо прежде всего для вас и вашей безопасности. Если с фамилией и именем владельца на лицевой стороне все понятно, то на цифры обратной стороны часто не обращают внимания. Что такое CVC на банковской карте, для чего нужен код, и как защититься от мошенников – все это рассмотрим в статье.

Понятие и назначение

CVC – это цифровой код, который присваивается при выпуске банковских карт: виртуальных или реальных, для безопасных расчетов в интернете. Введением его при покупке в специальную форму на каком-либо сайте вы сообщите обслуживающему банку, что именно вы владелец карты и согласны на осуществление расходной операции.

Не путайте с ПИН-кодом, который вы получаете в конверте, придумываете в отделении банка или в мобильном приложении при оформлении карточки. Он нужен для действий, которые осуществляете непосредственно в банкоматах, магазинах, кафе и других местах, оборудованных платежными терминалами. Причем по операциям более 1 000 руб. практически везде просят ввести 4 цифры ПИН-кода для безопасности, даже если карта имеет бесконтактную систему оплаты.

При платежах в интернете за товары и услуги банковскую карту не вставишь в компьютер или телефон, чтобы проверить ее подлинность и убедиться в согласии владельца на осуществление денежного перевода. Для этого просят ввести CVC-код.

Он расположен на обратной стороне любой карты: дебетовой или кредитной. Найдите поле для подписи. Как правило, код будет в самом его конце. Это 3 цифры. Иногда в поле написаны еще цифры (часть номера банковской карточки), и только потом CVC. Он отделен пробелом или дробной чертой.

Обратите внимание, что у платежных систем разные аббревиатуры. У Visa – CVV2, у MasterCard – CVC2. Платежная система МИР имеет свое обозначение – CVP2 или MirAccept. Код American Express CID находится на лицевой стороне под номером и состоит из четырех цифр.

Несмотря на разные аббревиатуры, назначение цифр на карточке одно и то же – обеспечение безопасности при оплате через интернет.

Как он работает

CVC – это не единственный инструмент для безопасных операций по банковской карте. Последние поколения платежных средств выпускаются с дополнительной защитой. Например, 3-D Secure. Кроме ввода в специальное поле кода, надо дождаться SMS от банка с еще одним цифровым подтверждением операции.

Рассмотрим, как выглядит процедура покупки в интернете.

Шаг 1. Выбираете на сайте товар или услугу, которую хотите приобрести. Нажимаете “Оплатить”.

Шаг 2. Часто на выбор предлагают несколько вариантов оплаты: банковская карта, электронные деньги и др. Выбираете свой.

Шаг 3. При оплате карточкой появляется специальная форма для ввода реквизитов. Пример от Сбербанка:

Шаг 4. Вводите данные. С помощью отправки реквизитов в банковской системе проверяется следующая информация: срок действия карты, имя владельца, сумма на счете, достаточная для проведения операции, установленные лимиты и пр. При поддержке 3-D Secure после нажатия кнопки “Оплатить” появится еще одна форма для ввода дополнительного пароля. Он придет на телефон, привязанный к карте. Только после его ввода процедура будет завершена, и платеж исполнен.

Внимание! CVC-код нужен только при расходных операциях. Если кто-то спрашивает его, чтобы якобы перевести вам на счет деньги, это мошенник. Никогда и никому не сообщайте цифры с обратной стороны пластикового платежного средства. Также никто не должен знать и пароль, присланный от банка по SMS.

Особенности виртуальных карт

Банк выпускает виртуальные карты, как правило, для расчетов в сети Интернет. Они не имеют физического носителя (пластика). Это выгодно финансово-кредитным организациям, потому что не надо тратиться на производство, и для владельцев обслуживание карточки бесплатное.

Несмотря на отсутствие материальной основы, на виртуальную карту распространяются те же правила, что и на обычную. Возникает только вопрос: “Где смотреть код безопасности CVC?” При выпуске его сообщит банк в СМС или пришлет на электронную почту.

Меры безопасности

Отдельно хочу остановиться на мерах предосторожности, которые надо соблюдать, чтобы не остаться без денег. Мошенники изобретают все новые и новые способы обмана владельцев банковских карт, и не всегда они связаны с современными технологиями. Методы убеждения и вхождения в доверие гражданам остаются самыми действенными до сих пор. Вернуть украденные деньги непросто, а в некоторых случаях невозможно, если вы сами сообщили реквизиты мошеннику.

Элементарные правила безопасности:

Заключение

Надеюсь, что теперь у вас не осталось “белых пятен” на банковской карте. Все цифры важны и нужны. Помните, что для перевода денег на ваш счет от других людей им достаточно знать только номер карточки (на лицевой стороне) и больше ничего. При покупках в интернете в специальную форму надо вводить следующие данные: номер, срок действия, имя и фамилию владельца, код CVC. При наличии дополнительной защиты – еще и пароль, полученный в SMS от банка.

Желаю, чтобы никто из наших читателей не стал жертвой мошенников. Будьте осторожны и не поддавайтесь на манипуляции. Следите за своей карточкой точно так же, как вы делаете это с обычным кошельком. А в случае любых подозрений сразу блокируйте счет. Лучше потом восстановить карту, чем потерять все деньги.

Источник

Секреты вашей банковской карты. Что означает её номер?

Наличка – это неудобно и опасно, поэтому уходит в прошлое. Благо, терминалы для приема карт и оплаты смартфонами уже можно найти даже в киосках в глубокой провинции.

Рассказываем, что внутри у банковской карты, чем чип отличается от магнитной полосы и как происходит оплата смартфоном.

Из чего состоит номер карты

Стандартный номер карты состоит из 16 цифр. Он уникален для конкретного банка и определенной платежной системы.

Номера либо выдавливают (эмбоссируют), или наносят краской. Первое дороже, но надежнее: выдавленные цифры не стираются от частого использования.

Первые 6 цифр в номере – банковский идентификационный номер (БИН) эмитента (банка, который выпустил карту). Расшифровать цифры можно, к примеру, здесь.

Первая цифра определяет платежную систему:

► 2: Мир
► 3: American Express, JCB International
► 4: VISA
► 5: MasterCard – 5
► 3, 5 или 6: Maestro
► 6: China UnionPay
► 7: УЭК

Банки используют определенные комбинации первых цифр для разных карт. Например, номера «Пенсионной карты МИР» и «МИР Сбербанка России» начинаются с 22, дебетовая карта «Аэрофлот» (Visa Gold и Visa Classic) Сбербанка или Visa Classic – с 4276.

Цифры с 7 по 15-ю – непосредственно номер карты. В нем указан тип карты (дебетовая или кредитная), валюта, регион выпуска и др.

Последняя цифра является проверочным числом. Она вычисляется по алгоритму Луна, чтобы избежать ошибок при вводе номера.

Проверить номер можно на этом сайте. Но будьте внимательны! Алгоритм хорошо ловит ошибки в одной цифре, но он не заметит перестановки цифр 0-9 и 9-0, может пропустить и другие ошибки.

Выпускаются карты и с более длинными номерами. Дополнительные цифры используют, чтобы обозначить субнаправления или подпрограммы.

Так, у карт Maestro и карты мгновенной выдачи «Momentum» Visa Сбербанка часто 18-значные номера. Есть и варианты с 19 знаками.

Бывает и наоборот. У многих карт American Express, а также виртуальных карт Visa и MasterCard Сбербанка всего 15 цифр в номере. Минимальное количество цифр – 13.

Выпускают карты и без нанесенного номера и других данных. Так безопаснее. Реквизиты можно узнать в мобильном приложении.

Как работает магнитная полоса

Первая в мире карта с магнитной полосой

Изначально магнитную полосу пытались приклеить на карту клейкой лентой. Но сделать это ровно было очень сложно = полоса деформировалась и переставала читаться.

Расстроенный инженер, который целый день пытался наклеить полосу на карту, рассказал о проблеме жене. Та предложила прогладить полосу на пластиковой карте утюгом и вплавить её. Получилось!

Стандартная ширина магнитной полосы – 9,52 мм. В ней три дорожки шириной 2,79 мм.

Формат записи на дорожки разный. Так, на первой хранится до 76 заглавных букв латинского алфавита, цифр, спецсимволов. Запись на второй дорожке начинается с «;», дальше – до 37 символов: цифры, знак «=», «+» вместо пробела, «?» – символ завершения записи.

Строка на третьей дорожке начинается с «_», заканчивается «?». Между ними – до 104 символов: цифр и «+» вместо пробела. Плотность записи на первой и третьей дорожках – 210 бит/дюйм, на второй – 75 бит/дюйм. Буквы и спецсимволы занимают 7 бит, цифры – 5 бит. Так как разработчики точно знают, что значение не займет все 8 бит (1 байт) места, они используют такие нестандартные кодировки для экономии памяти.

Данные на полосе определяют карту в банковской системе. Они позволяют отправить запрос на оплату и получить либо подтверждение, либо отказ. Но кассир не видит остаток на вашем счету или ваши личные данные.

Полосы в основном черного или коричневого цвета, но бывают и других оттенков. Черные – это карты HiCo (High Coercitive – высококоэрцитивные), которые работают с магнитными полями напряженностью 2750-4000 эрстед. Они более долговечные.

Коричневые – LoCo (Low Coercitive – низкокоэрцетивные). Рассчитаны на напряженность магнитного поля всего в 300 эрстед. 1 эрстед – около 80 А/м. Банковские карты обычно HiCo, дисконтные или топливные – LoCo.

HiCo-карта не повредится от контакта с не слишком сильным магнитом, LoCo такой встречи может и не пережить. Вывод: носите LoCo-карты в кошельках без металла и магнитных застежек.

Но все карты с магнитной полосой со временем выходят из строя. Магнитный слой просто стирается от частого считывания.

Как устроены бесконтактные карты

Карты EMV (стандарт был разработан Europay, MasterCard и VISA) можно приложить к терминалу для оплаты. В пластик таких карт встроены электронные компоненты:

Карта обменивается данными с терминалом по протоколу ISO/IEC 14443 на частоте 13,56 МГц. Процесс похож на работу с RFID-метками.

Когда вы совершаете покупку, кассир создает предварительный чек и сообщает вам сумму для оплаты. Вы прикладываете карту к терминалу. Можно не касаться – достаточно расстояния до 10-15 см.

Колебательный контур попадает в переменное магнитное поле, образуется переменный ток. Катушка индуктивности запасает энергию в своем магнитном поле, конденсатор заряжается от неё, основной чип получает питание.

Карта и терминал аутентифицируют друг друга, проверяя подлинность криптограмм. Терминал должен убедиться, что карта подлинная, а карта – что всё в порядке с терминалом. Сигнал от считывателя в терминале передается за счет модуляции сигнала. Чип карты распознает такие изменения.

На карте можно подключить нагрузочное сопротивление и или изменить емкость конденсатора, чтобы повысить силу тока в контуре карты и, соответственно, передать данные с неё.

Если карта и терминал узнали друг друга, основной чип карты запускает платежное приложение. Оно генерирует ключ для оплаты, и на терминал отправляется сигнал с зашифрованными данными карты, в том числе CVV-код.

Кассовая программа получает информацию от терминала и связывается с банком. Если банк подтверждает подлинность данных и видит достаточный остаток на вашем счету, он разрешает транзакцию. Если она больше допустимого значения, запрашивается подтверждение платежа (PIN-код).

Транзакция проходит через банк-эквайер (который обслуживает терминал) в платежную систему и до банка-эмитента (который выпустил карту). Деньги списываются с вашего счета. Терминал выдает чек об успешной оплате.

Также можно установить приложение, которое позволит платить по NFC со смартфона на смартфон. Такая функция есть и в некоторых приложениях крупных банков.

Карты с чипом гораздо сложнее подделать, чем карты с магнитной полосой. Они долговечнее и принимаются практически во всех терминалах и банкоматах за границей.

На одной карте с чипом может работать несколько апплетов. В результате вы, к примеру, можете использовать её непосредственно как банковскую карту и как проездной билет.

Почему CVC/CVV никому нельзя сообщать

Множество платежей (как правило, мелких) не нужно подтверждать PIN-кодом, паролем из SMS или другими способами. Вас как клиента банка идентифицируют по номеру карты, сроку её действия и CVC/CVV-коду.

Такие схемы упрощенной идентификации обычно используют интернет-магазины. Но даже если нужно подтверждение из SMS, push-сообщения или кода в приложении, всё это можно перехватить с помощью вредоносного ПО.

Результат – подозрительные покупки с вашей карты совершаются, пока на ней вообще есть деньги. Но чаще мошенники, зная реквизиты и CVC/CVV, просто переводят деньги с одной карты на другую, а затем обналичивают их в банкомате.

Как обезопасить карту от мошенников

Технически официант или кассир, которому вы передаете карту, может сфотографировать её или запомнить номер, срок действия и CVC/CVV. А затем расплатиться вашей картой в интернет-магазине или в своем же заведении.

Даже если вы напишете заявление о краже денег в банк, средства вам не вернут. По закону, если вы показали карту, то раскрыли её данные третьим лицам. А значит, сами виноваты.

Чтобы этого не произошло, достаточно отрезать часть пластика с номером – например, последние четыре цифры. Карта по-прежнему будет работать. Магнитную полосу вы не повредите, катушку индуктивности вокруг чипа не заденете.

Лайт-вариант – закрасить или стереть CVC/CVV.

Как работает 3D Secure

3D Secure (Three-Domain Secure) – это защищенный протокол, который добавляет ещё один уровень безопасности вашим платежам с карты. Он помогает убедиться, что операцию проводит владелец карты, а не мошенники.

3D Secure создавали для CNP-операций (card not present) – оплат в интернете. Вы можете проводить их без самой карты, достаточно её фото или реквизитов.

Прототип решения разработали в Visa для работы сервиса Verified by Visa (VbV). Позднее протокол приняли и другие платежные гиганты: Mastercard (Mastercard SecureCode, MCC), JCB International (J/Secure), Мир (Мир Accept) и др.

Для оплаты в интернете вы вводите на сайте номер карты, срок её действия, имя держателя карты и код проверки ее подлинности (например, CVC2). Если сайт и банк поддерживают 3D Secure, вас перенаправят на сайт банка, который выпустил вашу карту.

Банк пришлет код подтверждения вам в SMS, в мессенджере или в банковском приложении. Реже используются разовые коды с листочка или постоянный код, который вы установили.

После того, как вы введете проверочный код на странице, банк проверит его. Если введенный код совпадет с отправленным, транзакция будет выполнена.

Как видите, в схеме Three-Domain Secure три домена: сайта или эквайера, который принимает за него оплату, платежной системы, в которой выпущена ваша карта, и банка, который её выпустил.

Данные для подтверждения платежа не сохраняются в интернет-магазине. Он может получить только часть реквизитов. Согласитесь, к банку, который выпустил вашу карту, или платежной системе вроде Visa или MasterCard, доверия больше.

Если на сайте есть логотипы Masterсard SecureCode и/или Verified by Visa, он поддерживает 3D-Secure. Подключена ли ваша карта к 3D-Secure, лучше уточнить в банке.

Важно: если ваш банк и ваша карта поддерживают 3D-Secure, а интернет-магазин нет, то если с вашей карты совершат несанкционированную транзакцию, отвечать будет интернет-магазин. Если сайт, наоборот, поддерживает технологию, а ваша карта нет, то ответственность будете нести вы.

Минус в том, что 3D-Secure – необязательная технология. Никто не может заставить её использовать. Но если есть выбор, лучше заказывать в магазинах с 3D-Secure.

Как смартфон заменяет карту

Смартфоны с NFC-чипами могут заменить карты для бесконтактной оплаты. Apple Pay, Samsung Pay, Android Pay и другие «пеи» работают с картами определенных платежных систем и конкретных банков.

В приложении карта оцифровывается, и её номер нигде не сохраняется – ни на смартфоне, ни на серверах приложения. Продавцы тоже не видят номер карты.

Вместо номера генерируется токен. Только банк или платежная система могут сопоставить этот токен с номером карты.

При оплате NFC-устройством в терминале касса так же, как и при обычной оплате, генерирует предварительный чек. Вы запускаете приложение и подносите смартфон к терминалу. Он устанавливает связь с терминалом, эмулируя карту.

Для эмуляции карты используется технология HCE (Host-based Card Emulation). NFC-контроллер обеспечивает передачу данных из платежного приложения в смартфоне на терминал и обратно.

Когда сеанс связи установлен, смартфон получает данные от терминала и формирует транзакцию. Затем вам нужно подтвердить транзакцию отпечатком пальца, сканированием лица или другим надежным способом.

В транзакции участвуют банк-эквайер, который обслуживает терминал, банк-эмитент, который выпустил карту, и платежная система, к которой относится карта. Получается как в 3D Secure, только ещё безопаснее. Сымитировать подтверждение транзакции гораздо сложнее, да и шагов проверки больше.

Смартфоны Samsung также могут имитировать карты с магнитной полосой в Samsung Pay. Для этого используется собственная технология MST (Magnetic Secure Transmission — магнитная безопасная передача).

В этом случае создается магнитное поле, похожее на сигнал от магнитной полосы банковской карты. Проводить смартфоном по считывателю не придется: MST работает на расстоянии до 7-8 см.

Таким образом, MST в Samsung Pay позволяет платить смартфоном даже в древних терминалах, рассчитанных только на карты с магнитной полосой. С iPhone так не получится.

С другой стороны, не все смартфоны Samsung поддерживают Samsung Pay, особенно в бюджетных сериях.

Всё сложно и с умными часами. Так, Gear S2, Gear Sport, Galaxy Watch и Galaxy Watch Active2 поддерживают только оплату по NFC, а Gear S3 – и MST тоже.

Бонус: как троллить очередь бесконтактной оплатой

Идею подала пользовательница Twitter @MyHopeIsRock (мы не пытаемся задеть чувства верующих):

снилось что я приклеила скотчем кредитку под обложку библии пришла в магаз на кассе спрашивают как платить будете я отвечаю С БОЖЬЕЙ ПОМОЩЬЮ прикладываю библию к терминалу платеж проходит а я эпично собираю покупки и валю
звучит как то что я обязана буду сделать во взрослой жизни

— Алевтина Карловна ❄️ дожила до 2020 (@MyHopeIsRock) November 4, 2019

Действительно, карту можно вклеить или вложить куда угодно, от комсомольского билета до книг Сапковского о Ведьмаке. Весь вопрос в удобстве и безопасности использования.

Источник