интернет магазины где не требуется cvv код
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
Примеры с «Хабр»:
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Версия защиты: банки разрешили делать покупки в интернете без SMS-кода
Россиянам, которые совершают покупки в интернете, больше не придется подтверждать каждую транзакцию кодом из SMS. Платежные системы и банки начали внедрять новый стандарт безопасности 3D-Secure 2.0, который квалифицирует часть операций как низкорисковые и не требует дополнительного верификации личности. Эту систему для карт «Мир» подключили уже 140 кредитных организаций, а остальные проходят сертификацию, рассказали «Известиям» в НСПК. В крупнейших банках сообщили, что новая технология вводится также для Visa и MasterCard. Эксперты отмечают, что об однозначном влиянии стандарта 3D-Secure 2.0 на безопасность платежей в Сети пока говорить некорректно.
Бесшовно и быстро
В число 140 банков, подключивших 3D-Secure 2.0 для «Мира», вошли Промсвязьбанк, Совкомбанк, УБРиР, крымский РНКБ, «Дом.РФ», банк «Восточный» и СКБ-банк, рассказали «Известиям» их представители. В Национальной системе платежных карт подчеркнули, что поддержка нового стандарта для эмитентов «Мир» обязательна.
Новый стандарт безопасности делает процесс бесшовным для клиента, сокращает долю отказов от операций, а также позволяет банкам экономить на СМС. 3D-Secure 2.0 даст возможность проводить аутентификацию и подтверждать операцию на основе анализа рисков без дополнительного обращения к держателю карты. Клиенту, в свою очередь, не придется вводить код из SMS от банка для совершения онлайн-покупки, отметили в пресс-службе платежной системы «Мир».
— При этом сохраняется высокий уровень безопасности платежа. Кроме того, технология ориентирована на удобство и безопасность совершения платежей не только через web-браузер, но и непосредственно в приложениях различных сервисов в мобильном устройстве. В новой версии также реализована удобная поддержка аутентификации пользователей при оформлении регулярных платежей, подписок на различные сервисы, — рассказал представитель «Мира».
Промсвязьбанк, Совкомбанк и УБРиР уже внедрили новый стандарт безопасности и при оплате картами Visa и MasterCard. Над запуском технологии для международных платежных систем работают банки «Дом.РФ», «Восточный» и СКБ. В ВТБ, МКБ, «Альфе» и банке «Хоум Кредит» «Известиям» сообщили, что находятся в процессе реализации функционала для карт всех платежных систем. В Visa и MasterCard не ответили на запросы «Известий».
Совокупность сведений совместно с анализом транзакционной активности клиента дает возможность эмитенту «узнавать» своего держателя на этапе аутентификации и разрешать проведение операции без дополнительного подтверждения, оставаясь в защищенной среде протокола, объяснил принцип действия новой системы зампред правления банка «Зенит» Дмитрий Юрин.
Стандарт версии 2.0 позволяет проанализировать более 200 характеристик платежа, уточнил директор по мониторингу операций и диспутам Альфа-банка Алексей Голенищев. Среди них — точка продажи, сумма операции, позиции в чеке, геолокация и характеристики устройства, с которого совершается транзакция. Без дополнительных проверок будет проходить около 70–80% операций, оценил Алексей Голенищев.
Кроме того, теперь банки смогут выбрать способ дополнительного подтверждения личности в случаях, когда это необходимо. В частности, появилась возможность использовать в качестве фактора аутентификации сохраненную на устройстве (например, на смартфоне) биометрию, подчеркнули в банке «Восточный».
Новый способ подтверждения личности удобен для клиента, поскольку ускоряет проведение операции. Также функционал повышает продажи и увеличивает объемы транзакций, отметил директор департамента платежных карт Промсвязьбанка Александр Петров. Стандарт версии 2.0. «упрощает клиентский путь и позволяет экономить на отправке одноразовых паролей», добавили в ВТБ.
20 лет спустя
Протокол безопасности нового уровня — это попытка найти разумный компромисс между безопасностью и удобством, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. С одной стороны, стандарт поддерживает несколько механизмов верификации плательщиков: наряду с паролями на усмотрение банка-эмитента могут использоваться биометрия и криптография. Но с другой, в некоторых регионах мира даже первая версия стандарта — с подтверждением только с помощью кода из SMS — привела к заметному снижению числа покупок. Дополнительное действие при проведении платежа оттолкнуло часть клиентов, которые предпочли менее защищенные площадки, пояснил Дмитрий Кузнецов.
По его словам, об однозначном влиянии нового стандарта на безопасность платежей говорить некорректно. Технология лишь делает меры защиты более гибкими, позволяя усиливать их для одних операций и ослаблять для других, подчеркнул эксперт Positive Technologies.
Банковские карты: неочевидные риски
Поговорим про опасности трансграничных платежей с пластиковых карт и уязвимостях в архитектуре платежных систем
О способах мошенничества с банковскими картами мы уже писали. И не один раз. И не только мы. Сегодня же мы поговорим о менее очевидных опасностях, на которые редко обращают внимание: речь о возможных рисках трансграничных платежей и изначально заложенных в архитектуру платежных систем уязвимостях.
Платежи без ввода CVV
Многие считают, что для осуществления платежа через Интернет нужно обязательно указывать размещенный на оборотной стороне карты код CVV. Однако некоторые интернет-магазины позволяют оплачивать покупки, не сообщая платежному шлюзу секретный код.
Пять уроков, которые я извлёк из взлома моей кредитной карты (не я лично, а автор статьи 🙂 https://t.co/tdX3dl2DFJ
Прокомментировать ситуацию мы попросили директора по исследованиям и инновациям департамента развития бизнеса компании «Диасофт» Сергея Добриднюка: «Обычно указываются следующие реквизиты: номер карты, срок действия, эмбоссируемое имя и код CVV с обратной стороны карты».
«Карты с выдавленными (эмбоссированными) буквами, которые чаще всего применяются в Интернете, как правило, высокого класса — Visa Classic, Visa Gold и так далее. Выдавший их зарубежный банк проводит проверку держателя и его платежеспособности. Поэтому при мелких покупках продавец может спросить лишь про номер карты и не проводить авторизацию, потому что уверен: перед ним солидный покупатель», — рассказал Добриднюк.
A floor limit is the payment amount above which credit or debit card transactions must be authorized.
По словам Сергея Добриднюка, на развивающихся рынках такого пиетета нет и уровней безопасности может быть больше, но общих правил приема карточных реквизитов не существует — каждая торговая площадка может устанавливать их самостоятельно.
«Почти все операции, которые вы проводите «дистанционно», без предъявления PIN-кода или сертификата 3D Secure, можно опротестовать. Если вы сомневаетесь в легальности списания со стороны магазина, напишите специальное заявление в банк (charge back), и после проведенного расследования вам вернут деньги», — заявил Сергей Добриднюк.
Эксперт рекомендует пользоваться услугами интернет-магазинов, которые поддерживают стандарт 3D Secure («Verified by Visa» и «SecureCode» для Visa и MasterCard соответственно) — дополнительную аутентификацию после ввода реквизитов с помощью ввода одноразового пароля, присланного в SMS или распечатанного на чеке банкомата.
К сожалению, решение об использовании дополнительной защиты принимает именно торговая площадка — даже если ваша карта защищена с помощью 3D Secure, магазин может и не запросить одноразовый пароль.
@mikko @aukia Amazon do not support Verified by Visa or MasterCard SecureCode either. Well, their risk.
Использование виртуальных карт без физических носителей также повышает уровень безопасности: они отличаются относительно небольшим сроком действия и малыми суммами на счете — в случае взлома интернет-магазина реквизиты основной карты не утекут в Интернет.
Как видите, сообщать номер с лицевой стороны карты кому попало не следует, а если мошенники ухитрятся выудить у вас (например, для перечисления денег — так часто обманывают продавцов подержанных гаджетов) имя держателя карты и срок ее действия, списать деньги будет делом техники. Даже без кода CVV.
Electronic use only
Еще одно заблуждение связано с картами Visa Electron и аналогичными продуктами начального уровня других платежных систем. На них нет выдавленных (эмбоссированных) букв и присутствует надпись «ELECTRONIC USE ONLY».
Многие ошибочно полагают, будто такой картой нельзя платить через Интернет; на самом деле это зависит от решения банка-эмитента. Правила платежных систем не запрещают использовать их для дистанционных платежей.
Проще говоря, с карты начального уровня украсть деньги через Интернет тоже можно.
Трансграничные платежи
Из-за скачков курсов валют возникает много проблем с трансграничными платежами и снятием иностранной валюты в банкоматах. Один из основных рисков здесь — невыгодный курс конвертации.
«Конвертация может происходить четырежды: и в терминале (модуле) e-commerce-магазина, и в его банке-эквайере, и в платежной системе, и в выдавшем карту банке-эмитенте», — предупреждает Сергей Добриднюк.
Комиссий здесь несколько, но держатель видит их обычно одной суммой, которая может быть включена в стоимость покупки или списана отдельно. «Честно скажу, — продолжает Сергей Добриднюк, — без детального изучения тарифов платежных систем и своего банка простому обывателю разобраться невозможно».
Бывает, что фактическое списание с карты происходит позже, чем был проведен платеж, — магазин может взаимодействовать со своим банком раз в несколько дней или недель (правила платежных систем допускают отсрочку до 45 дней). Из-за этой задержки при нестабильном валютном рынке расчеты могут пройти по менее выгодному курсу.
#Сбербанк радует под Новый год курсом #евро. На сайте и в call #курс один, а при оплате картой вчера 97, сегодня уже 133 оО #рада #наличка
С подобной ситуацией сейчас сталкиваются многие держатели рублевых карт, оплачивающие покупки в иностранных магазинах или снимающие валюту в банкоматах. Если речь идет об ощутимых суммах, делать этого не стоит: в результате нехватки средств открывается овердрафт.
Многим это может показаться странным, но особенно плохо дело с дебетовыми картами: в этом случае открывается «технический» или «запрещенный» овердрафт, и банк будет взимать с вас очень большие штрафы — до сотен процентов годовых.
Защита от конвертации
Некоторые банки выпускают мультивалютные карты, основную валюту которых можно менять. Если едете в еврозону, устанавливаете евро, если в США — доллары, внутри России — рубли. Тогда никакой конвертации не будет.
Но если карта рублевая, платежные системы Visa, MasterCard и прочие устанавливают внутренние курсы системы, опираясь на официальные курсы Банка России. Переплата там небольшая — проценты или доли процентов.
Самый грабительский процент берут банкоматы, сторонние платежные системы (например, PayPal) и платежные терминалы, предлагая осуществить операцию в вашей родной валюте вместо той, в которой указана цена. Осознать это на месте обычно довольно сложно: для этого требуется потратить некоторое время на аккуратные подсчеты, держа в голове актуальные курсы всех задействованных в операции валют, дополнительные комиссии и так далее.
Но поверьте на слово: такая услуга всегда чревата переплатой, нередко существенной. Так что стоит просто взять за правило ни в коем случае не соглашаться на подобные заманчивые предложения и платить в той валюте, в которой осуществляются покупка или снятие наличных на самом деле.
Как устроен криминальный бизнес на банкоматах и как не стать целью преступников — http://t.co/SEhJVjiFMz pic.twitter.com/00M0k6orJJ
Следует понимать, что изобретенные почти 50 лет назад пластиковые карты и способы расчета по ним небезупречны. Предлагаемые платежными системами технические решения не всегда удобны и зачастую призваны в большей степени обеспечивать выгоду продавцу, чем безопасность покупателю. Однако при грамотном использовании риски можно свести к минимуму — будьте осторожны и не забывайте про скользкие нюансы.
Деньги с карты без СМС: как самому снять, а мошенникам не дать
Мобильный телефон держателя банковской карты — орудие защиты собственных и кредитных средств на его счетах от преступных посягательств. Сведения, как вывести деньги с карты без СМС-подтверждений, необходимы для предотвращения их кражи.
В каких случаях требуется вывод денег без СМС
Желание снять денежные средства с пластиковой карточки без подтверждения операции кодом из SMS возникает в двух ключевых ситуациях:
В первой ситуации лучшее, что можно сделать — немедленно позвонить в банк, эмитировавший карту, на горячую линию, номер которой нанесен на пластик.
Дело в том, что карточка, выпущенная банком — неважно, кредитная или расчетная, — является его собственностью. Она принадлежит банку, а не человеку, чье имя указано на лицевой стороне, котрый является держателем карточного бланка.
Желание снять со своей платежной карточки свои деньги, не подтверждая транзакцию одноразовым SMS-кодом, возникает в случаях:
Если банк рядом.
При посещении офиса банка-эмитента есть возможность:
Обратите внимание: наличие отделения банка, в которое можно съездить для решения проблем с доступностью средств и безопасностью карты, не гарантирует сохранность денег клиента. Например, известны случаи списания денег с карты Сбербанка без подтверждения по новому телефону держателя, когда банк не поменял данные своевременно, а злоумышленники получили доступ к старому телефону и реквизитам карточки.
Если банк далеко.
В случае утери мобильного телефона, привязанного к карточке, и невозможности лично обратиться в отделение следует срочно направить в банк просьбу заблокировать карту другим способом, выбрав доступный из трех вариантов:
В каждом варианте для идентификации личности держателя карты нужно назвать:
Как правило, банки принимают по электронной почте заявки на перевыпуск карты, но за новым пластиком всё равно необходимо ехать в ближайшее отделение — только некоторые эмитенты присылают новую карточку «Почтой России» либо доставляют курьером как «Тинькофф Банк».
При проблемах с обслуживанием пластика в банкоматах и терминалах страны пребывания держателям карт класса Gold и выше обычно доступна услуга экстренной выдачи наличных.
Как отключить СМС-подтверждение
Если клиенту банка надоели SMS-уведомления о каждой операции по карте, их вместе с СМС-подтверждением транзакций можно отключить. Для этого нужно либо позвонить в колл-центр эмитента с номера сотового, привязанного к карте, либо прийти в отделение с паспортом.
Вместе с SMS-подтверждением операций будет отключена возможность делать покупки, платежи и переводы онлайн. Избавляться от этой услуги следует только в том случае, если карта действительно нужна только для оффлайн-покупок и снятия наличных.
Обратите внимание: при онлайн-транзакциях средства, как правило, не списываются с картсчета сразу, а временно замораживаются. Так что если вовремя забить тревогу, банк может отменить операцию и оставить деньги клиента в целости и сохранности.
Как дистанционно воруют деньги с карт
Злоумышленники изобретают и используют довольно разнообразные способы снять деньги с карты без пин-кода и СМС-подтверждения либо с перехватом пароля (PIN или SMS):
Получение средств с карты без ввода пин-кода
Пин-код предоставляется держателю карточки только при ее выпуске и при последующих перевыпусках. Шифр печатается на листе, который помещается в специальный запечатанный конверт.
Эмитенты рекомендуют сразу после прочтения и запоминания кода уничтожить этот документ. В целях обеспечения безопасности карты и конверты с пин-кодами даже в банке хранятся по отдельности. И ни один банковский служащий не имеет доступа к базе данных этих паролей. Держателям карт не стоит писать шифр на карточных бланках.
Допускается 3 попытки перебора пин-кода. Если восстановление шифра не удалось, карта заблокируется на 24 часа или навсегда. Возможно, по звонку в колл-центр удастся снять блокировку. Но тогда нужно сообщить паспортные данные и секретное слово. Для изменения пин-кода в банкомате придется сначала указать данные текущего, забытого, шифра. В личном кабинете интернет-банкинга большинства банков такая услуга не доступна.
В таких случаях возможно 2 варианта, но оба предполагают посещение банковского офиса с паспортом, где просят закрыть счет и выдать все деньги или перевыпустить бланк.
Последнее требует времени (до 2-4 недель) и, возможно, дополнительных расходов, поскольку чаще всего внеплановый выпуск платный. Цена услуги зависит от политики эмитента и класса карты.
Еще один способ получения денег с карты без ввода пин-кода – это воспользоваться интернет-банкингом и перевести средства на счет, с которого есть возможность снять деньги. Это могут быть сберегательный счет или иная карта.
Перевод средств и дистанционная оплата с карты без СМС
Максимально возможный уровень защиты банковских счетов обеспечивается технологией 3-D Secure. Платежные системы MasterCard, VISA и МИР пользуются соответственно системами MasterCard SecureCode, Verified by VISA и MirAccept.
В 2019 г. презентована новая версия протокола. Предполагается, что с ее внедрением большинство платежных операций и не нужно будет подтверждать СМС-кодами: программное обеспечение в процессе оплаты станет автоматически оценивать степень рискованности той или иной операции, то есть система на основе анализа данных о клиенте, имеющихся у банка-эмитента, будет определять вероятность того, что счетом пользуется законный владелец.
Сейчас многие, но не все, интернет-магазины поддерживают 3-D Secure. Например, Алиэкспресс пользуется собственной системой защиты сделок. Если на сайтах интернет-продавцов нет на данном ресурсе пройдет без СМС-подтверждения. Тогда вся ответственность возлагается или на банк, выпустивший карту, или на покупателя.
Не требуется подтверждение SMS-кодом расчетов, осуществляемых через PayPal. Данная платежная система все риски по безопасности сделки возлагает на продавцов.
Альтернативные способы использования средств на карте без СМС-подтверждений
За сутки система безопасности пропустит не более 3 таких операций. Сделки на суммы свыше 1 000 рублей, даже при использовании указанных технологий, нужно подтверждать пин-кодом.
Также можно выполнить перевод средств с банковской карты на другой счет, доступ к которому менее проблематичен. Иногда такие транзакции удается выполнить без СМС-паролей, например, если:
Как обезопасить свои деньги на банковской карте
Чтобы предотвратить хищение средств с банковской карты, соблюдайте несложные рекомендации: