Можно ли стирать код cvc
Мошенники придумывают все новые и новые способы украсть деньги с банковских карт. Но благодаря современным технологиям деньги под надежной защитой. Человеческий фактор продолжает оставаться основной причиной утечки персональных платёжных данных. Редакции «Банки сегодня» удалось пообщаться с Павлом Чеботаревым, руководителем Управления по развитию инициатив в области финансовых технологий ПАО «Совкомбанк». Эксперт ответил на вопросы о том, как современные технологии стоят на страже финансового благополучия россиян.
– По мере распространения операций по картам, мошенничество с ними становится все более распространенным. В России и в мире мошеннические схемы носят одинаковый характер, или у нас есть какие-то особенности?
Павел Чеботарев
По данным платежных систем, банки РФ более эффективно защищают своих клиентов от мошенничества, чем во всем мире.
– Пройдёмся немного по теории. У каждой банковской карты есть определенные реквизиты: номер, срок действия, код CVV, фамилия и имя, ПИН код. Это все, или есть еще какие-то идентификаторы? Для чего нужны все эти данные?
Павел Чеботарев
Все эти данные и еще целый набор данных, зашифрованных в чипе карты, используются платежной системой в алгоритме проверки действительности этой карты и принадлежности карты к определенному банку, а банки используют эти данные для проверки принадлежности карты конкретному клиенту.
– По некоторым данным, ещё несколько лет назад на зарубежных можно было провести оплату, имея только номер карты – без ввода срока ее действия и кода CVV. Так ли это? Какие данные обязательны для ввода при оплате картой покупки в российском или зарубежном интернет-магазине? И насколько широко используется технология 3DSecure?
Павел Чеботарев
CVV код – это проверочная величина номера карты и срока ее действия. Так что, магазины, не требовавшие ввода этого кода, сильно рисковали продать товар по несуществующей карте. Сейчас, насколько мне известно, этот код проверяется всегда. Правила платежных систем регулируют разделение ответственности между банками за проведенные операции по картам. Так, например, если сайт магазина поддерживает проверку 3DSecure, а банк не предоставляет держателям своих карт такую услугу, ответственность перед держателем карты за мошенническую операцию будет нести банк, выпустивший карту. И, наоборот, если по карте подключена услуга 3DSecure, а магазин эту проверку не проводит, ответственность за мошенническую операцию понесет банк продавца товара. Поэтому все банки стремятся поддерживать услугу 3DSecure.
– В сети советуют сделать CVV код на карте нечитаемым – с помощью маркера или лезвия. Допускается ли это с точки зрения банков и платежных систем? Вправе ли продавец отказаться принимать к оплате такую карту?
Павел Чеботарев
Так лучше не делать. Внимательный продавец может признать карту недействительной и отказаться ее принимать при расчетах в POS терминале.
– Если предположить, что при оплате картой в ресторане официант-мошенник тайком сфотографировал карту с двух сторон. Чем в этом случае рискует владелец карты? Если бы CVV код был стерт, это помогло бы избежать рисков?
Павел Чеботарев
Если к карте подключена услуга 3DSecure, то мошеннику-официанту придется еще и телефон украсть, узнать пароль к нему и прочитать СМС. И, если вдруг мошенник не потрудился украсть телефон и нашел сайт, не поддерживающий 3DSecure, и что-то оплатил, то такую операцию довольно легко оспорить – нужно обратиться в банк, выпустивший карту, и банк, на основании заявления клиента, по регламентированной платежными системами процедуре вернет деньги.
– Зачем платежные системы вообще размещают CVV код на обратной стороне карты? Не лучше ли выдавать его в конверте, как ПИН код?
Павел Чеботарев
Этот код пишут на карте для удобства, чтобы не нужно было доставать отдельную бумажку из отдельного конверта для оплаты услуги в Интернет.
– Как показывают исследования, в 90% краж денег с карт виноваты их владельцы – теряют карты, небрежно относятся к своим персональным данным и т.д. Но кто виновен в остальных 10% случаев?
Павел Чеботарев
Реальный случай: В центре одного крупного города довольно продолжительное время стоял банкомат не известного банка. Люди вставляли в него свои карты в целях получения наличных денежных средств, и банкомат выдавал ошибку «Операция невозможна». Через некоторое время на банкомат обратили внимание сотрудники силовых ведомств и выяснили, что банкомат не принадлежит ни одному банку. Его установили мошенники, и в момент, когда в банкомат вставлялась карта и вводился PIN-код, мошенники получали информацию о карте, делали клон карты и воровали деньги. Кто виноват в этих кражах?
Защита средств клиентов банков от мошенников и повышение финансовой грамотности – это постоянная совместная работа банков и платежных систем.
– Если есть риск того, что данные карты скомпрометированы (украдены), то карта блокируется. А сколько по времени длится проверка после этого? Другими словами, на сколько клиент остается без доступа к своим деньгам?
Павел Чеботарев
Если карта компрометируется, банк в любом случае выпускает клиенту карту с другим номером. В большинстве банков клиент может получить карту с другим номером и доступ к своим деньгам в тот же день или на следующий рабочий день, также если банк, является участником Системы быстрых платежей, то денежные средства клиент сможет будет перевести с ее помощью в иной банк, в котором у него есть карта, так как перевод осуществляется с карточного счета (а не с самой карты).
– Правда ли, что при онлайн-оплате картой заполнение полей с именем и фамилией держателя – простая формальность? Обычно операцию удается провести, даже если в этих полях есть ошибки, а какие-то магазины вообще не требуют их заполнять.
Павел Чеботарев
В некоторых типах операции имя и фамилия играют ключевую роль. Без их ввода в приеме карты может быть отказано. При оплате на некоторых сайтах за границей дополнительно запрашивается адрес. Но, в большинстве случаев, имя и фамилия действительно не требуются для оплаты. Проверки легитимности использования карты (то, что именно владелец карты осуществляет операцию) проводятся другими способами.
– Может ли магазин за границей отказать в приеме карты, если имя в загранпаспорте и на карте отличается на одну букву?
Павел Чеботарев
Теоретически, могут, практически данных случаев на моей практике не было.
– Насколько мне известно, у платёжных систем имеется деление банковских операций на CNP (card not presented) – где карта не требуется и те, при которых карта требуется. Есть ли еще какое-то деление операций по банковских картам? При каких операциях риск мошенничества выше?
Павел Чеботарев
Основные градации таковы: CNP (Card not present) – Операция без физического присутствия карты, CP (Card present) – операция с физическим присутствием карты. Платежные системы также классифицируют операции по сумме, месту проведения, типу, порядку оформления и т.д. В каждом виде операции есть обязательные и не обязательные правила защиты и проверки, начиная от правил шифрования информации, заканчивая требованиями к оборудованию по приему карт. Платежные системы совместно с банками постоянно совершенствуют методы защиты операций от мошенничества.
– Насколько безопасны платежи через смартфоны с NFC (Android Pay, Samsung Pay, Apple Pay)? Есть ли вероятность, что данные карты могут утечь через зараженный вирусом смартфон?
Павел Чеботарев
При платежах через Pay-системы данные реальных карт не участвуют в операции и не хранятся в телефонах. Платежные системы продумали отдельное решение для защиты таких операций. Поэтому такие платежи вполне безопасны.
– Платежная система Visa увеличила лимит по оплате бесконтактной картой без PIN-кода до 3000 рублей. Насколько это рискованно?
Павел Чеботарев
С момента увеличения лимита прошло не значительное временя и сейчас рано говорить о какой-либо статистике.
– Последний вопрос – по кэшбэку. Ходят слухи, что банкам уже невыгодно его начислять и в скором времени кэшбэка в привычном виде уже не будет. Так ли это?
Павел Чеботарев
Если бы механика cash back была невыгоднаи не влияла на лояльность клиента и увеличение объема безналичных расчетов, то ее бы не использовали.
Сейчас мы наблюдаем трансформацию механики cash-back от самого простого – возврата части денежных средств, до более сложных механизмов с использованием элементов геймификации, позволяющих клиентам получить дополнительный бонус при выполнении определенных условий.
Это добавляет в чисто финансовые отношения между банком и клиентом положительных эмоций.
Спасибо за уделённое время участнику интервью!
| Павел Чеботарев | Руководитель Управления по развитию инициатив в области финансовых технологий ПАО «Совкомбанк» |
Источник
Рассуждая на тему безопасности работы с банковской картой, невозможно обойти вопрос методов защиты реквизитов от посторонних. Для совершения онлайн платежа крупного банка приходится вносить набор обязательных реквизитов. Зная их, любой человек сможет списать средства с чужого счета, не спрашивая его согласия. Во избежание проблем при попадании карточки к посторонним, некоторые рекомендуют стирать код безопасности на оборотной стороне пластика. Не стоит этого делать, поскольку при последующих операциях продавец может усомниться в карточке и отказаться от списания.
Какая информация нужна для списаний?
Каждый раз при оплате онлайн продавец предлагает ввести три основных реквизита:
- Номер, нанесенный внизу лицевой стороны пластика (16 цифр, которые привязаны к карточному счету). Для получения переводов этой информации достаточно.
- Месяц/ год истечения срока действия (в формате dd/yy).
- CVV или CVC-код, состоящий из 3 цифр, нанесенных слева на обороте карточки.
Помимо 3 обязательных реквизитов могут потребовать ввести имя и фамилию держателя пластика, однако этот параметр второстепенный, и многие интернет-терминалы его не проверяют. На неименных карточках сведения о владельце отсутствуют изначально.
Главное правило безопасности связано с сохранением конфиденциальности сведений с карточными реквизитами, за исключением номера пластика. Его достаточно для выполнения платежей в пользу владельца карточки, но мало, чтобы попытаться списать средства.
Когда карточка теряется, вся важная информация становится доступной посторонним. Далеко не все смогут устоять соблазну обнулить чужой счет, выполнив ряд онлайн-операций. Если карточка украдена, шансов сохранить сбережения еще меньше.
Чтобы уберечь свои средства от несанкционированных снятий, некоторые рекомендуют стереть код безопасности, сделав его нечитаемым, либо закрасить важный реквизит маркером, предварительно выписав его в записную книжку. Так делать не стоит, поскольку при первом же осмотре пластика законопослушный продавец откажется принимать его к оплате, объясняя отказ недействительностью карточки после порчи основного реквизита.
Что спасет средства от мошенников?
На самом деле риск списания по 3 реквизитам преувеличен, ведь каждая интернет-оплата предполагает подтверждением операции дополнительным паролем, который приходит на привязанный номер мобильного.
Почти все российские эмитенты, выдающие карточки клиентам, подключают им систему 3DSecure. Если выдана карта МИР, клиентов подключают к аналогичной системе MirAccept.
Система, получая запрос на списание, попросит ввести пароль из смс, что исключает возможность использования средств кем-либо еще, кроме владельца телефона. Подобрать пароль нереально, а после неудачных попыток банк заметит подозрительную активность и ограничит использование карты.
Риск одновременной кражи телефона и банковского пластика менее вероятен, поскольку большинство активных пользователей не выпускает его из рук. Получается, что сдирание надписи с цифрами кода-безопасности – занятие бесполезное и неэффективное.
Если нужно обеспечить повышенную защиту от мошенничества, выпускают бесплатную виртуальную карточку с установленным лимитом на списания. Пластик физически не существует, это обычные реквизиты, через которые плательщик спокойно оплачивает счета в интернете, не опасаясь потери или кражи важной платежной информации.
Лучшая защита денег на карте – осторожность при передаче сведений о пластике другим лицам и бдительность при совершении оплат через незнакомые сайты. Уничтожение данных карточки с оборотной стороны – мера чрезмерная и неэффективная. Деньги невозможно списать без ввода одноразового пароля, а вот на кассах в магазинах могут забраковать платежный инструмент с закрашенным или стертым кодом.
Источник
Альбина Шабазова
10 февраля · 166,1 K
Не сказал бы, что уж очень опасно. Всё больше и больше людей платят онлайн с помощью банковских карт. Опасность… Читать дальше
Опасность есть всегда, т.е. гарантия безопасности не является стопроцентной, если оплата производится онлайн. Ну а если сайт вдруг оказался мошенническим, тогда тушите свет, блокируйте карту. Подтверждение платёжных операций через СМС ничего не гарантирует, т.к. Сбербанку необязательно знать что-то о сайте – это не входит в его компетенцию, и если вы… Читать далее
Никакой опасности нет! Но при этом у вас ОБЯЗАТЕЛЬНО должна быть активирована функция подтверждения любой платежной операции по карте через СМС. В этом случае, даже если злоумышленник завладел данными вашей картв, он не сможет произвести оплату.
Здравствуйте Альбина, мы уверены, что писать все данные карты при оплате онлайн безопасно на 100%, есть нюансы, но они зависят только от Вас:
- производить оплату онлайн в интернет магазинах, действующих в рамках законодательства
- не использовать для оплаты онлайн, ноутбуки, компьютеры и тд, заражённые вирусами
финансовый блогер, автор дзен-канала Деньготека и сайта dengoteka.com
При оплате картой онлайн все данные с её лицевой и оборотной стороны вносятся в соответствующие поля формы:
– имя и фамилия,
– номер карты,
– срок окончания действия,
– секретный код (с оборотной стороны).
Если какие-то из этих данных не укажите, платёж просто не осуществится. Что касается безопасности онлайн-оплаты, то нельзя сказать, что эта… Читать далее
Как стереть данные моей кредитки из всех онлайн магазинов, где я ей расплачивался?
Руководитель службы консультирования клиентов
Совершая удаленные покупки, мы действительно вводим свои личные данные (фамилию, имя, пароль) и данные банковских карт. Более того, когда мы заходим в один и тот же интернет-магазин повторно, там нас уже “знают”, и иногда показывают образ карты – первые и последние ее цифры. Это удобно, но возникает ощущение, что небезопасно. Есть люди, которые заводят специальную карту для оплаты товаров онлайн.
По большому счету, такие меры предосторожности излишни, так как волноваться не о чем. Данные вашей карты не хранятся на серверах интернет-магазина и – главное – ему абсолютно недоступны. За этим очень внимательно следят Visa и Mastercard и моментально наказывают нарушителей. Магазину доступна лишь ссылка на данные карты, которые хранят у себя провайдеры платежей (Яндекс.Касса, Cloud Payments и т.д.), владеющими сертификатами PCI DSS, выданными им платежными системами. Такой сертификат говорит о том, что данные карты надлежащим образом зашифрованы и никто, кроме платежной системы, к ним доступа не имеет.
Что касается личных данных (ФИО, пароль, логин), они хранятся не на сайте, и не на сервере интернет-площадки, а совсем в других местах. Главным образом – на вашем собственном компьютере. Для этого существуют так называемые «куки» (cookies) – текстовые файлы, в которых прописаны ваши данные (логин, пароль, индивидуальные настройки и предпочтения пользователя, статистика посещений и т. п). Когда вы заходите на сайт, ваш браузер отправляет серверу сайта имеющийся файл cookies для вашей идентификации. Сайт использует эту информацию, но не запоминает ее – файлы cookies отправляются каждый раз снова.
Насколько долго они «куки» сохраняются в вашем компьютере, зависит от настроек, которые можно поменять в любой момент. Можно установить удаление cookies после завершения сессии (то есть после выключения компьютера), можно вообще их запретить. Если вы вручную удалите cookies (что рекомендуется делать время от времени, чтобы не засорять компьютер), все ваши регистрационные данные на посещаемых сайтах, в том числе интернет-магазинах, будут стерты.
В Америке, где интернет-коммерция существует дольше и практически каждая домохозяйка что-то продает и покупает в сети, есть интернет- магазины, которые пытаются хранить данные карт сами. Такие магазины, и в особенности “темная” сторона интернета (порно-сайты, например) и есть главная опасность. Если вам предлагается ввести данные вашей банковской карты, обращайте внимание, кем предоставлена форма для ввода данных – платежной системой или самим магазином. В России на такое нарваться практически невозможно, так как за этим крайне пристально следят сами Visa и Mastercard. Также помните, что CVV/CVC не хранят даже сами провайдеры платежей, и для хранения данных карты надо поставить дополнительную галочку, говорящую о том, что вы согласны на сохранение.
Если вам все-таки очень хочется удалить данные вашей банковской карты, хранящиеся у провайдера платежей, есть два способа. Первый – зайти в личный кабинет интернет-магазина, где вы совершали покупку, и нажать на кнопку “удалить данные карты” рядом с образом (первыми и последними цифрами) вашей карты . В серьезных интернет-магазинах эта возможность всегда есть. Если ее нет – написать письмо самим Visa или Mastercard. Обычно они очень быстро реагируют на подобные запросы.
Прочитать ещё 2 ответа
Можно ли, зная только номер пластиковой карты Сбербанка, украсть с нее деньги?
Деловые и общественно-политические новости Казани и Татарстана, экспертное мнение… · tatcenter.ru
Как мошенники крадут деньги с банковских карт: 5 сценариев
В 2020 году аферисты обновили арсенал уловок, жертвам теперь могут звонить «известные банковские аналитики». Они знают ваши персональные данные и предлагают кредиты и «выгодные продукты». Заполучив нужную информацию, они тут же добираются до чужих денег. Ваших денег.
Знают ФИО, остальное жертва расскажет сама
Звонки от мошенников поступают в основном в рабочее время — с понедельника по четверг, с 11:00 до 18:00, делится наблюдениями ведущий эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, в разговоре злоумышленники используют методы социальной инженерии. К примеру, в 42% случаев они полностью называли правильные имя, фамилию и отчество жертвы.
В числе наиболее распространенных легенд — необходимость подтвердить данные (72%), сообщение о блокировке карты (58%) и предложение кредита (57%).
Почти в половине случаев злоумышленники пытались получить код из СМС или данные карты, а в каждом пятом — убеждали перевести деньги якобы на безопасный счет.
«Настоящий сотрудник банка или финансовой организации никогда не будет возражать против завершения разговора в отличие от мошенника, который всеми способами будет пытаться удержать разговор с потенциальной жертвой. Многие люди по-прежнему не умеют распознавать злоумышленников и лишаются денег в результате простейших схем», — констатирует Голованов.
В арсенале мошенников — рассылки, сайты-подделки и звонки
Руководитель группы мониторинга и предотвращения кибератак отдела информационной безопасности Райффайзенбанка Павел Нагин говорит, что сегодня злоумышленники используют пять основных схем для кражи денег. Ключевые приемы — фишинговые рассылки, сайты-подделки и различные виды голосового мошенничества.
Фишинговые рассылки мошенники делают ежедневно. Темы писем — привлекательные для получателя. Это может быть обучение, дополнительные выплаты, сервисы и другая информация, которая может заинтересовать жертву.
«В числе приемов, которые используют мошенники в рассылках, — призыв к срочному действию в экстренной ситуации, сообщение о выигрыше или крупном переводе, эксплуатация актуальной новостной повестки или использование публичной, легкодоступной персональной информации».
Методы вовлечения жертвы, по словам Павла Нагина, строятся на психологических уловках. Цель мошенников — заинтересовать (напугать) жертву и заставить перейти по вредоносной ссылке в письме.
Фишинговые сайты – «онлайн-банк».
Сайты-подделки, точно имитирующие онлайн-банки кредитных организаций, — крайне опасный сценарий. Мошенники регистрируют похожие имена сайтов, делают идентичный дизайн и верстку официальной страницы банка. Задача — привлечь к сайту-подделке как можно больше людей, для этого запускается реклама, в т. ч. в соцсетях.
Для входа в онлайн банк злоумышленники требуют провести дополнительные действия, например, установить специальный плагин, ввести код из СМС, указать номер карты, дату или CVV/CVC и др.
Сайт – «инвестиционный фонд».
Эта схема также строится на привлечении пользователей на сайт-подделку. В соцсетях мошенники запускают таргетированную рекламу на фишинговый ресурс. В числе признаков мошенничества — обещание фантастической доходности, отсутствие контактных данных, фейковые отзывы.
«Смотрите на наименование сайта в адресной строке браузера. Банк никогда не будет использовать незащищенное соединение http для входа в онлайн-банк, проверяйте сертификат https. Если есть сомнения — звоните в банк по номеру, который указан на карте», — призывает Павел Нагин.
Голосовое мошенничество – «звонок из службы безопасности банка».
Приемы голосового мошенничества постоянно меняются. В большинстве случаев, зафиксированных в первом полугодии, злоумышленники просят жертву назвать код из СМС, установить приложение для управления телефоном или сделать перевод через банкомат под руководством «технического специалиста».
При этом злоумышленники звучат убедительно. Они используют сложные фразы, чтобы удержать жертву на трубке, к примеру: «фиксирую ответ», «запомните код протекции», «сегрегировали на временную ячейку» и др.
Финансовые услуги от «аналитиков банка».
Мошенники представляются известными на рынке банковскими аналитиками и звонят клиентам с «выгодным предложением». Используют имена реальных людей, которых часто упоминают в СМИ, предлагают брокерские услуги или помощь на фондовом рынке, заявляют о наличии профессиональной лицензии.
«Настоящие аналитики никогда не инициируют контакт с физлицами, не предлагают инвестиционные идеи, не обсуждают детали их реализации, не запрашивают личную информацию. При любом звонке от такого „аналитика“ рекомендуем класть трубку и перезванивать напрямую в банк по номеру, указанному на обратной стороне карты», — предупреждает Павел Нагин.
Доверчивая жертва — залог успеха мошенников
Эксперты настоятельно рекомендуют быть бдительными и соблюдать базовые правила безопасности, чтобы не потерять деньги.
С осторожностью относитесь к любым звонкам от людей, которые представляются сотрудниками банков.
Не переходите по сомнительным ссылкам из СМС или сообщений в мессенджерах.
Никому и никогда не сообщайте CVV и одноразовые коды из СМС или push-уведомлений.
В случае любых подозрений немедленно кладите трубку и перезвоните в банк по номеру, указанному на обратной стороне карты.
Установите защитное решение, определяющее мошеннические и спам-номера.
Прочитать ещё 4 ответа
Источник