- Почему важно знать, какие данные хранить в тайне?
- Что такое реквизиты банковской карты?
- Реквизиты, которые можно сообщать
- Реквизиты, которые нельзя сообщать
- Когда сообщать даже номер карты небезопасно?
- Как обезопасить реквизиты своей карты?
- Популярные вопросы по безопасности
- Полезное по теме
- Генератор номеров кредитных и банковских карт онлайн
- Как Google следит за мной
- Из чего состоит номер карты
- Как работает магнитная полоса
- Как устроены бесконтактные карты
- Как узнать банк по номеру карты?
- Как смартфон заменяет карту
- Почему CVC/CVV никому нельзя сообщать
- Как обезопасить карту от мошенников
- Как работает 3D Secure
- Как троллить очередь бесконтактной оплатой
- Можно ли давать номер карты? Реквизиты, которые безопасно сообщать посторонним
- Безопасно ли сообщать кому-либо номер банковской карты
- Какие данные можно сообщать другим людям
- Что делать, если сообщил мошенникам платежные данные
Почему важно знать, какие данные хранить в тайне?
Банковская карта — быстрый и удобный способ хранения средств и оплаты счетов. На ней находятся ваши денежные средства, необходимые для существования: зарплата, пенсия, накопления. Каждая карта имеет уникальный набор реквизитов: номер, дату окончания и т.д. Эти данные нужно хранить в тайне и желательно не сообщать посторонним лицам.
Ответственность за сохранность данных карты несет держатель карты. Если вы сообщите реквизиты карты третьим лицам, то можете лишиться ваших денежных средств на карте, стать жертвой мошенника, а в определенных случаях и фигурантом уголовного дела.
Пройти тест: Правила безопасности держателя банковской карты
Поэтому рекомендуем со всей серьезность относиться к защите своих карт и в случае их компроментации реквизитов немедленно блокировать пластик и перевыпускать. Это поможет сохранить ваши деньги в сохранности.
Что такое реквизиты банковской карты?
Реквизиты банковской карты — это данные, указанные на пластике (номер, фамилия и имя владельца, срок действия и т.д.) Рассмотрим реквизиты на банковской карте более подробно на примере. На картинке каждый реквизит имеет собственный номерной знак.
Цифра 0 — ПИН-код к банковской карте, который указывается в запечатанном конверте или придумывается клиентом.
Цифра 1 — наименование банка-эмитента карты. Указывается банк, выпустивший карты и обслуживающий ее.
Цифра 2 — Защитный чип.
Цифра 3 — Номер карты, который обычно состоит из 16-ти цифр. Некоторые номера состоят из 18-ти цифр. В этих цифрах заложена определенная информация (наименование платежной системы, типа карты и т.п.)
Цифра 4 — Окончание срока действия карты. Здесь указывается месяц и год, когда у карточки закончится срок действия.
Цифра 5 — Имя и фамилия владельца карты латинскими буквами.
Цифра 6 — CVC/CVV2 код. Он находится на оборотной стороне карты и состоит из 3 или 4 цифр.
Реквизиты, которые можно сообщать
Практически все интернет-магазины требуют данный код для оплаты. При оплате онлайн сообщать данный код можно. Без ввода этого кода оплата не пройдет и платеж за нужный вам товар или услугу вы не осуществите. Желательно вводить этот код на проверенном сайте во избежание мошенничества.
А вот сообщать этот номер человеку, по телефону или при помощи электронной почты не следует. Велика вероятность лишиться денег на карте.
Реквизиты, которые нельзя сообщать
Согласно отчету Центробанка год свыше 65% мошеннических операций с банковскими картами совершаются при наличии у злоумышленников реквизитов пластика. Это самый распространенный способ, как можно украсть деньги с карточки любого человека.
Зная реквизиты карты, злоумышленники могут списать с нее деньги абсолютно разными способами.
Зная реквизиты вашей банковской карты, злоумышленник может расплатиться ей за покупки в интернет-магазине, совершить перевод с карты на карту и т.п.
Есть более изощренные варианты, как завладеть чужими деньгами, зная данные карты, поэтому владельцу пластика важно хранить эту информацию в секрете.
Когда сообщать даже номер карты небезопасно?
Номер карты можно сообщать друзьям и близким для перевода. Однако нужно быть очень аккуратным, если что то продаете и покупаете на Авито. Сейчас на этой доске объявлений действует множество мошенников.
Итого вам нужно будет вернуть 40 тыс. обманутому покупателю и 20 тыс. вы отдали мошеннику и 20 тыс. осталось на вашей карте. Итого минус 40 тыс.
Как видите, не всегда можно сообщать номер карты даже посторонним людям. Нужно быть внимательным и правильно взвешивать риски.
Как обезопасить реквизиты своей карты?
Этот способ кажется гораздо более надежным и безопасным, чем предыдущий. Да, здесь тоже есть риск потерять телефон, но современные гаджеты надежно защищены паролями, отпечатками пальцев или сканированием сетчатки глаза.
В-третьих, нужно внимательно проверять сайт при оплате в интернете. Сегодня очень распространены фишинговые сайты, которые собирают информацию о банковских карточках, списывают все деньги под 0. Фишинговый сайт — это абсолютная копия (подделка) какого-то популярного сайта, интернет-магазина или даже интернет-банка. Перед тем как вводить реквизиты своей банковской карты на сайте, всегда перепроверяйте его адрес на соответствие действительности.
В-четвертых, не сообщайте реквизиты своей банковской карты даже близким родственникам, старайтесь принимать переводы не по реквизитам карты, а по номеру телефона. Они доступны для клиентов Сбербанка, Тинькофф и других банков.
В-пятых, для интернет-покупок заведите виртуальную банковскую карту. Ее можно оформить за считанные минуты в интернет-банке любого банка. Это абсолютно бесплатно. На виртуальную карту можно переводить деньги со своего основного пластика без комиссии и за считанные секунды.
После пополнения виртуальной картой можно оплачивать покупки и услуги в любых интернет-магазинах без ограничений. Это самый безопасный способ покупок в интернете и сохранения реквизитов основного пластика.
В-шестых, если вы все-таки не открыли виртуальную карту для покупок в интернете, всегда следите, чтобы интернет-магазин был настоящим, имел какие-то отзывы в интернете. Вместе с фишинговыми сайтами в интернете много сайтов-однодневок, которые создаются под видом интернет-магазина и собирают данные банковских карт.
Популярные вопросы по безопасности
Работник банка или другого фин. учрежденияПодробнее
Создатель проекта, финансовый эксперт
Привет, я автор этой статьи и создатель всех калькуляторов данного проекта. Имею более чем 3х летний опыт работы банках Ренессанс Кредит и Промсвязьбанк. Отлично разбираюсь в кредитах, займах и в досрочном погашении. Пожалуйста оцените эту статью, поставьте оценку ниже.
Полезное по теме
Исследование компании Positive Technologies, специализирующейся в области информбезопасности, заставило пользователей интернета не на шутку распереживаться: аккаунты россиян могут быть «угнаны» злоумышленниками в 9 из 10 случаев прямо в эту секунду. Всему виной — мобильные телефоны. На самом деле не сами аппараты являются угрозой: ее представляет возможность перехвата смс в 78% существующих мобильных сетей — именно столько мировых операторов прямо сейчас являются уязвимыми для хакерских атак. Между прочим, в прошлом году, по результатам исследования аналитиков этой же компании, Россия заняла не слишком почетное второе место по числу киберинцидентов (первое — за США). В течение января, февраля и марта 2017-го всего лишь пять дней не наблюдалось новых киберпроисшествий. Тем временем российские специалисты по всему миру тестируют сети и обеспечивают их безопасность.
Мы поговорили с Александром Зимариным, специалистом по кибербезопасности компании Practical Security Lab, о том, как хакеры «ловят» чужие смс, а отечественные спецы спасают кибермир.
— Александр, хочется сразу задать главный вопрос: можно ли защититься от потенциальных кибератак и сохранить свои аккаунты?
— На сегодняшний день практически не существует возможности избежать взлома. Если понадобился ваш аккаунт — например в WhatsApp или «ВКонтакте», — будьте уверены: он его получит.
— Как связаны смс и аккаунт WhatsApp?
— По смс можно запросить пароль на восстановление. Если такая смс придет не вам, а злоумышленнику, он с легкостью может сменить пароль и пользоваться аккаунтом от вашего имени. Вычитать переписку, совершать звонки, писать сообщения — почти превратиться в вас.
— Как вообще смс-сообщение, адресованное абоненту, попадает хакерам?
— Это делается через искусственное отправление абонента в роуминг. Как только устройство «думает», что находится в чужой сети, оно автоматически подключается к той, с которой у вашего оператора существует взаимное соглашение. Мало кто знает, что все сотовые операторы имеют доступ к их собственной единой сети — некоей «песочнице»: SS7-сеть. Безопасность этой сети на таком низком уровне, что это становится одинаковой проблемой по всему миру. Надо сказать, наши специалисты очень востребованы за рубежом, когда вопрос касается кибербезопасности.
— Расскажите на примере.
— Не будем далеко ходить — Африка. Одна из моих коллег (не могу называть ее имя по причине элементарной безопасности) в настоящее время работает над проектом в одной из африканских стран. Занимается тестированием систем на предмет информационной безопасности — тестированием на проникновение, анализом защищенности, составлением рекомендаций. Именно в SS7-сетях, в перехвате телефонного трафика. В ходе работы над этим проектом она убедилась — операторы сотовой связи уязвимы по умолчанию.
— Чем обусловлена такая абсолютная уязвимость?
— Дело в том, что эти сети совсем не похожи на наши привычные IP-сети, которые встречаются внутри обычных компаний. Они принципиально другие. Сам протокол был разработан много лет назад, еще до того, как появилась модель взаимодействия открытых сетей OSI, которая нам известна, поэтому эти сети не с ней перекликаются. И не соответствуют ей. Да и современным стандартам не соответствуют тоже, но самое главное — они не имеют механизмов обеспечения безопасности. Поэтому нашим спецам они и интересны: если не реализованы никакие дополнительные средства защиты или не настроены конфигурации, то они остаются совершенно уязвимыми. Это такой, на мой взгляд, забавный факт.
— А как проходит процесс тестирования? В чем точки уязвимости?
— Сигнальная сеть на этапе все равно объединена с IP-сетью. Спец анализирует точки коннектов — перехода сигнального трафика в IP-сеть. Они рассматриваются в уязвимости интерфейсов управления сети, они контролируются администраторами со своих рабочих мест. На уязвимость проверяется вся сеть, а после каждый ее узел в отдельности. Каждый сетевой узел либо передает сигнал, либо получает — они разделены. В отношении каждого из узлов можно отследить некоторые атаки. Они зависят от типа проверяемого сервиса и строятся на сообщениях, которые в сетях разрешены, — так называемых легитимных сообщениях.
— То есть во время теста фиксируются реальные атаки? А если их просто нет, но сеть уязвима?
— Нет, в роли злоумышленника выступает сам специалист. Для каждого протокола существуют процедуры инициации, управляющие сообщения и сообщения, которые обеспечивают передачу данных или управляют услугами. Каждое из сообщений можно использовать либо в благих целях, либо наоборот. Перед специалистом стоит задача — использовать легитимные сообщения злонамеренным образом: будто он злоумышленник и хочет получить информацию с плохими намерениями. Процесс тестирования значительно отличится от обычной сети — совсем не похож на классический пинг-тест.
— Какие действия может совершать злоумышленник, забравшись в сеть?
— Перехват звонков, сообщений. Посылается специальный запрос, ответом на который служит наш внутренний идентификатор пользователя международной сети. Для уровня этого приложения существуют сообщения, некоторые могут позволить подменить профиль пользователя в общей базе данных сотового оператора и поучить предназначающееся ему сообщение. И если злоумышленник находится в этой сети, то может отправить сообщение о том, что абонент-жертва находится в его роуминге. И теперь звонки будут отправляться через него, злоумышленника.
— Отследить злоумышленника практически невозможно?
— Суть в том, что когда появляется такой злонамеренный узел, не осуществляется проверка отправителя, поэтому злоумышленник-узел становится таким же доверенным, как все остальные. То есть, простыми словами, вся безопасность сети построена на доверии, а такого быть не должно.
— Почему безопасность такого серьезного ресурса на таком низком уровне?
— И сегодня это не меняется?
— Появились более современные стеки реализации протокола, но все они тянут за собой зависимость и сопрягаемость со старой сетью. Они пропускают трафик через нее и обеспечивают с ней совместимость, делая таким образом выполнение атак возможным. Но некоторые операторы все же научились защищаться: не дают переписывать домашний регистр абонента, все звонки идут через основного оператора, а не через того, кто скажет, будто бы абонент-жертва якобы находится у него в сети.
— Почему все операторы не воспользуются таким выходом?
— Нерационально. Дорого очень для оператора. Реализуется такая схема дополнительно интегрированными средствами защиты, которые очень дорогостоящи, не все операторы могут себе их позволить. Для небольших сотовых компаний это настоящая проблема. Наши операторы платят за транзитный трафик. Это называется оплатой за интерконнект. А те, кто имеет доступ в SS7-сеть, могут легко его продать хакерам.
— Выходит, что получив доступ в эту SS7-сеть, я могу не только увести аккаунт в соцсети, но и прослушивать телефонные разговоры, получить коды банковских карт?
— Да. Не так давно очень активно действовали кардерские группировки — мошенники, выводившие таким образом деньги с банковских карт. Пик кардерства пришелся на 2015—2016 годы. Для этого использовались передовые технологии.
— Сложно ли получить доступ в сеть сотовых операторов?
Генератор номеров кредитных и банковских карт онлайн
Номер кредитной карты Visa состоит из 16 цифр, самая первая из которых 4 и обозначает принадлежность к данной платежной системе (5 — для MasterCard).
Для удобства расшифровки этот номер делят на три части.
Первая часть — это начальные 6 цифр. В них заложена информация о типе банковского продукта, стране, в которой он изготовлен, а также о финансовой организации, занимавшейся его выпуском.
Следующие 9 цифр идентифицируют лицевой счет, к которому привязан платежный инструмент. Последнюю, 16-ю цифру, используют для того, чтобы с помощью специального алгоритма проверить правильность введенной цифровой комбинации.
Полная расшифровка показывает, что извлечь какие-либо данные о владельце из номера кредитки не представляется возможным. Единственная доступная информация — наименование кредитно-финансового учреждения, которое является эмитентом.
Примеры номера кредитной карты Visa:
4276 1234 5678 9100
4716 5531 2343 7936
4276 8800 3378 4871
Ниже приведены части номеров платежных инструментов, выпущенных российскими кредитно-финансовыми учреждениями:
Как Google следит за мной
Я даже не слишком переживаю о том, что Gmail позволяет Google анализировать мои сообщения в обмен на использование функции автоматического исправления ошибок. В конце концов, зачем лишать себя удобств, тем более, если скрывать особенно нечего. Однако этим дело не ограничилось.
Думаю, вы в курсе, что у Google есть фирменная клавиатура под названием Gboard. Она существует и для iOS, и для Android, поэтому, скорее всего, вы ей пользовались, а значит, написанное ниже не будет казаться вам чем-то, что вас не касается.
И это не выводы, сделанные нездоровым воображение автора. Google прямо так и пишет об этом: «Для ввода текста будет использоваться приложение Gboard, которое может собирать все вводимые данные, в том числе пароли и номера кредитных карт». Довольно неожиданно, правда? Во всяком случае не этого ждешь, когда устанавливаешь на смартфон новое приложение.
Из чего состоит номер карты
Стандартный номер карты состоит из 16 цифр. Он уникален для конкретного банка и определенной платежной системы.
Номера либо выдавливают (эмбоссируют), или наносят краской. Первое дороже, но надежнее: выдавленные цифры не стираются от частого использования.
Первые 6 цифр в номере – банковский идентификационный номер (БИН) эмитента (банка, который выпустил карту). Расшифровать цифры можно, к примеру, здесь.
Первая цифра определяет платежную систему:
Банки используют определенные комбинации первых цифр для разных карт. Например, номера «Пенсионной карты МИР» и «МИР Сбербанка России» начинаются с 22, дебетовая карта «Аэрофлот» (Visa Gold и Visa Classic) Сбербанка или Visa Classic – с 4276.
Цифры с 7 по 15-ю – непосредственно номер карты. В нем указан тип карты (дебетовая или кредитная), валюта, регион выпуска и др.
Последняя цифра является проверочным числом. Она вычисляется по алгоритму Луна, чтобы избежать ошибок при вводе номера.
Проверить номер можно на этом сайте. Но будьте внимательны! Алгоритм хорошо ловит ошибки в одной цифре, но он не заметит перестановки цифр 0-9 и 9-0, может пропустить и другие ошибки.
Выпускаются карты и с более длинными номерами. Дополнительные цифры используют, чтобы обозначить субнаправления или подпрограммы.
Так, у карт Maestro и карты мгновенной выдачи «Momentum» Visa Сбербанка часто 18-значные номера. Есть и варианты с 19 знаками.
Бывает и наоборот. У многих карт American Express, а также виртуальных карт Visa и MasterCard Сбербанка всего 15 цифр в номере. Минимальное количество цифр – 13.
Выпускают карты и без нанесенного номера и других данных. Так безопаснее. Реквизиты можно узнать в мобильном приложении.
Как работает магнитная полоса
Первая в мире карта с магнитной полосой
Магнитная полоса на карте состоит из частиц железосодержащего сплава, которые намагничивают для записи информации. Считывает данные специальная магнитная головка. Почти как в кассетном магнитофоне или проигрывателе для винила.
Изначально магнитную полосу пытались приклеить на карту клейкой лентой. Но сделать это ровно было очень сложно = полоса деформировалась и переставала читаться.
Расстроенный инженер, который целый день пытался наклеить полосу на карту, рассказал о проблеме жене. Та предложила прогладить полосу на пластиковой карте утюгом и вплавить её. Получилось!
Стандартная ширина магнитной полосы – 9,52 мм. В ней три дорожки шириной 2,79 мм.
Формат записи на дорожки разный. Так, на первой хранится до 76 заглавных букв латинского алфавита, цифр, спецсимволов. Запись на второй дорожке начинается с «;», дальше – до 37 символов: цифры, знак «=», «+» вместо пробела, «?» – символ завершения записи.
Строка на третьей дорожке начинается с «_», заканчивается «?». Между ними – до 104 символов: цифр и «+» вместо пробела. Плотность записи на первой и третьей дорожках – 210 бит/дюйм, на второй – 75 бит/дюйм. Буквы и спецсимволы занимают 7 бит, цифры – 5 бит. Так как разработчики точно знают, что значение не займет все 8 бит (1 байт) места, они используют такие нестандартные кодировки для экономии памяти.
Данные на полосе определяют карту в банковской системе. Они позволяют отправить запрос на оплату и получить либо подтверждение, либо отказ. Но кассир не видит остаток на вашем счету или ваши личные данные.
Полосы в основном черного или коричневого цвета, но бывают и других оттенков. Черные – это карты HiCo (High Coercitive – высококоэрцитивные), которые работают с магнитными полями напряженностью 2750-4000 эрстед. Они более долговечные.
Коричневые – LoCo (Low Coercitive – низкокоэрцетивные). Рассчитаны на напряженность магнитного поля всего в 300 эрстед. 1 эрстед – около 80 А/м. Банковские карты обычно HiCo, дисконтные или топливные – LoCo.
HiCo-карта не повредится от контакта с не слишком сильным магнитом, LoCo такой встречи может и не пережить. Вывод: носите LoCo-карты в кошельках без металла и магнитных застежек.
Но все карты с магнитной полосой со временем выходят из строя. Магнитный слой просто стирается от частого считывания.
Как устроены бесконтактные карты
Карты EMV (стандарт был разработан Europay, MasterCard и VISA) можно приложить к терминалу для оплаты. В пластик таких карт встроены электронные компоненты:
Карта обменивается данными с терминалом по протоколу ISO/IEC 14443 на частоте 13,56 МГц. Процесс похож на работу с RFID-метками.
Когда вы совершаете покупку, кассир создает предварительный чек и сообщает вам сумму для оплаты. Вы прикладываете карту к терминалу. Можно не касаться – достаточно расстояния до 10-15 см.
Колебательный контур попадает в переменное магнитное поле, образуется переменный ток. Катушка индуктивности запасает энергию в своем магнитном поле, конденсатор заряжается от неё, основной чип получает питание.
Карта и терминал аутентифицируют друг друга, проверяя подлинность криптограмм. Терминал должен убедиться, что карта подлинная, а карта – что всё в порядке с терминалом. Сигнал от считывателя в терминале передается за счет модуляции сигнала. Чип карты распознает такие изменения.
На карте можно подключить нагрузочное сопротивление и или изменить емкость конденсатора, чтобы повысить силу тока в контуре карты и, соответственно, передать данные с неё.
Если карта и терминал узнали друг друга, основной чип карты запускает платежное приложение. Оно генерирует ключ для оплаты, и на терминал отправляется сигнал с зашифрованными данными карты, в том числе CVV-код.
Кассовая программа получает информацию от терминала и связывается с банком. Если банк подтверждает подлинность данных и видит достаточный остаток на вашем счету, он разрешает транзакцию. Если она больше допустимого значения, запрашивается подтверждение платежа (PIN-код).
Также можно установить приложение, которое позволит платить по NFC со смартфона на смартфон. Такая функция есть и в некоторых приложениях крупных банков.
Карты с чипом гораздо сложнее подделать, чем карты с магнитной полосой. Они долговечнее и принимаются практически во всех терминалах и банкоматах за границей.
На одной карте с чипом может работать несколько апплетов. В результате вы, к примеру, можете использовать её непосредственно как банковскую карту и как проездной билет.
Как узнать банк по номеру карты?
Можно ли по номеру карты узнать банк, которому принадлежит карта? Узнать, а вернее определить, можно, но только нужной информации в открытом доступе практически нет. Банк определяется по первым 6 цифрам номера карты, которые показывают банковский идентификационный номер в платёжной системе, сокращённое название — БИН. Далее банковский идентификационный номер сверяется со списком банковских БИНов, но вот списка БИНов то как раз в свободном доступе не встречала. Думаю что это является закрытой информацией платежных систем, которая доступна только ее участникам. Принадлежность карты к конкретному банку проще определять по логотипу банка, который обязательно присутствует на карте. Логотип банка-эмитента, выпустившего карту, располагается в верхней части карты в правом или левом углу карты и идентифицирует карту как собственность конкретного банк.
Как смартфон заменяет карту
Смартфоны с NFC-чипами могут заменить карты для бесконтактной оплаты. Apple Pay, Samsung Pay, Android Pay и другие «пеи» работают с картами определенных платежных систем и конкретных банков.
В приложении карта оцифровывается, и её номер нигде не сохраняется – ни на смартфоне, ни на серверах приложения. Продавцы тоже не видят номер карты.
Вместо номера генерируется токен. Только банк или платежная система могут сопоставить этот токен с номером карты.
При оплате NFC-устройством в терминале касса так же, как и при обычной оплате, генерирует предварительный чек. Вы запускаете приложение и подносите смартфон к терминалу. Он устанавливает связь с терминалом, эмулируя карту.
Для эмуляции карты используется технология HCE (Host-based Card Emulation). NFC-контроллер обеспечивает передачу данных из платежного приложения в смартфоне на терминал и обратно.
Когда сеанс связи установлен, смартфон получает данные от терминала и формирует транзакцию. Затем вам нужно подтвердить транзакцию отпечатком пальца, сканированием лица или другим надежным способом.
В транзакции участвуют банк-эквайер, который обслуживает терминал, банк-эмитент, который выпустил карту, и платежная система, к которой относится карта. Получается как в 3D Secure, только ещё безопаснее. Сымитировать подтверждение транзакции гораздо сложнее, да и шагов проверки больше.
Смартфоны Samsung также могут имитировать карты с магнитной полосой в Samsung Pay. Для этого используется собственная технология MST (Magnetic Secure Transmission — магнитная безопасная передача).
В этом случае создается магнитное поле, похожее на сигнал от магнитной полосы банковской карты. Проводить смартфоном по считывателю не придется: MST работает на расстоянии до 7-8 см.
Таким образом, MST в Samsung Pay позволяет платить смартфоном даже в древних терминалах, рассчитанных только на карты с магнитной полосой. С iPhone так не получится.
С другой стороны, не все смартфоны Samsung поддерживают Samsung Pay, особенно в бюджетных сериях.
Всё сложно и с умными часами. Так, Gear S2, Gear Sport, Galaxy Watch и Galaxy Watch Active2 поддерживают только оплату по NFC, а Gear S3 – и MST тоже.
Почему CVC/CVV никому нельзя сообщать
Множество платежей (как правило, мелких) не нужно подтверждать PIN-кодом, паролем из SMS или другими способами. Вас как клиента банка идентифицируют по номеру карты, сроку её действия и CVC/CVV-коду.
Такие схемы упрощенной идентификации обычно используют интернет-магазины. Но даже если нужно подтверждение из SMS, push-сообщения или кода в приложении, всё это можно перехватить с помощью вредоносного ПО.
Результат – подозрительные покупки с вашей карты совершаются, пока на ней вообще есть деньги. Но чаще мошенники, зная реквизиты и CVC/CVV, просто переводят деньги с одной карты на другую, а затем обналичивают их в банкомате.
Как обезопасить карту от мошенников
Технически официант или кассир, которому вы передаете карту, может сфотографировать её или запомнить номер, срок действия и CVC/CVV. А затем расплатиться вашей картой в интернет-магазине или в своем же заведении.
Даже если вы напишете заявление о краже денег в банк, средства вам не вернут. По закону, если вы показали карту, то раскрыли её данные третьим лицам. А значит, сами виноваты.
Чтобы этого не произошло, достаточно отрезать часть пластика с номером – например, последние четыре цифры. Карта по-прежнему будет работать. Магнитную полосу вы не повредите, катушку индуктивности вокруг чипа не заденете.
Лайт-вариант – закрасить или стереть CVC/CVV.
Как работает 3D Secure
3D Secure (Three-Domain Secure) – это защищенный протокол, который добавляет ещё один уровень безопасности вашим платежам с карты. Он помогает убедиться, что операцию проводит владелец карты, а не мошенники.
3D Secure создавали для CNP-операций (card not present) – оплат в интернете. Вы можете проводить их без самой карты, достаточно её фото или реквизитов.
Прототип решения разработали в Visa для работы сервиса Verified by Visa (VbV). Позднее протокол приняли и другие платежные гиганты: Mastercard (Mastercard SecureCode, MCC), JCB International (J/Secure), Мир (Мир Accept) и др.
Для оплаты в интернете вы вводите на сайте номер карты, срок её действия, имя держателя карты и код проверки ее подлинности (например, CVC2). Если сайт и банк поддерживают 3D Secure, вас перенаправят на сайт банка, который выпустил вашу карту.
Банк пришлет код подтверждения вам в SMS, в мессенджере или в банковском приложении. Реже используются разовые коды с листочка или постоянный код, который вы установили.
После того, как вы введете проверочный код на странице, банк проверит его. Если введенный код совпадет с отправленным, транзакция будет выполнена.
Как видите, в схеме Three-Domain Secure три домена: сайта или эквайера, который принимает за него оплату, платежной системы, в которой выпущена ваша карта, и банка, который её выпустил.
Данные для подтверждения платежа не сохраняются в интернет-магазине. Он может получить только часть реквизитов. Согласитесь, к банку, который выпустил вашу карту, или платежной системе вроде Visa или MasterCard, доверия больше.
Если на сайте есть логотипы Masterсard SecureCode и/или Verified by Visa, он поддерживает 3D-Secure. Подключена ли ваша карта к 3D-Secure, лучше уточнить в банке.
Важно: если ваш банк и ваша карта поддерживают 3D-Secure, а интернет-магазин нет, то если с вашей карты совершат несанкционированную транзакцию, отвечать будет интернет-магазин. Если сайт, наоборот, поддерживает технологию, а ваша карта нет, то ответственность будете нести вы.
Минус в том, что 3D-Secure – необязательная технология. Никто не может заставить её использовать. Но если есть выбор, лучше заказывать в магазинах с 3D-Secure.
Как троллить очередь бесконтактной оплатой
Действительно, карту можно вклеить или вложить куда угодно, от комсомольского билета до книг Сапковского о Ведьмаке. Весь вопрос в удобстве и безопасности использования.
Можно ли давать номер карты? Реквизиты, которые безопасно сообщать посторонним
Число махинаций с банковскими картами не снижается. По данным ЦБ, во втором квартале 2021 года с карт россиян похищено более 3 млрд рублей(1). При этом 47% занимает доля «социальной инженерии» — психологических манипуляций, когда клиент вынужденно сообщает платежные данные третьим лицам. Как защитить себя и свои карты, и какие реквизиты можно сообщить, чтобы не потерять деньги — рассказываем в нашей статье.
Банковская карта — пластиковый носитель, позволяющий проводить операции со счетом клиента при оплате товаров и услуг онлайн и офлайн. Для списания и зачисления средств необязательно держать карту в руках — достаточно ее платежных данных.
Не все данные, указанные на пластиковом носителе, являются платежными. К реквизитам, необходимым для списания средств, относят:
Ряд операций требует подтверждения паролем, направляемым клиенту по СМС или в push-уведомлениях. Он генерируется для каждой операции отдельно, имеет ограниченный период действия, направляется только по номеру, указанному держателем в договоре или на мобильное устройство с установленным приложением банка и активированной учетной записью.
Для зачисления платежа на счет вашей карты используется:
К реквизитам, не отраженным на пластиковом носителе, относится номер счета банковской карты и ПИН-код. Номер счета можно найти в бумажном договоре, мобильном приложении или личном кабинете на сайте банка, обычно он используется для зачисления зарплаты, пособий, возвратов от продавцов и редко фигурирует при проведении оплат. ПИН необходим для подтверждения операций по карте при расчетах пластиковым носителем. Если у вас кто-то по телефону просит эти данные — это мошенники.
Вы как владелец карты можете получать и отправлять денежные переводы, оплачивать покупки, открывать вклады, платить за ЖКУ, пополнять счет своего мобильного телефона и выполнять другие расчетные операции.
Мошенники, завладевшие данными вашей карты, могут совершить все те же действия. При онлайн-расчетах не всегда нужен код из СМС(2). И хоть большинство онлайн-сервисов допускает списание средств без ввода кода подтверждения только если карта была привязана и подтверждена до этого, риск, что вы потеряете деньги, есть.
Возможности хищения средств тем шире, чем больше данных известно мошенникам:
Безопасно ли сообщать кому-либо номер банковской карты
Списать деньги с карты, зная только её номер и ваше имя, невозможно. Если вас просят дать номер карты, например, когда вы дали объявление о продаже чего-то на популярном сайте объявлений, вы даете его и потом у вас нас начинают просить дополнительные данные: срок действия, код на обороте или просто номер из СМС под предлогом перевода из другого банка или оплаты через терминал — завершите разговор, это мошенники. Но бояться не надо: то, что вы сообщили номер своей карты, ничего им не позволит — списать деньги по номеру нельзя.
Однако при наличии номера карты возможно совершение перевода на ваше имя с дальнейшим истребованием возврата. Вы возвращаете средства, к вашей карте подключается автоплатеж, по которому начинаются регулярные списания. Еще один вариант мошенничества — перевод денег с пометкой «зачисление средств по кредитному договору». Далее следует звонок «специалиста», который сообщает, что на ваши данные открыт кредитный договор, и вы должны вернуть деньги с процентами. В обеих ситуациях необходимо уведомить свой банк об ошибочном зачислении средств письменно в отделении или устно по телефону горячей линии и не вступать в переговоры с мошенниками. Деньги тратить нельзя: после завершения разбирательств банк спишет их у вас и вернет отправителю.
Чтобы не переживать за свои данные, используйте СБП — систему быстрых платежей, позволяющую переводить до 100 000 в месяц без комиссии с карты на карту даже в другие банки. Если у вас просят номер карты для перевода вам денег, дайте номер телефона и скажите, в каком банке у вас карта, ваше имя и отчество. Никаких других данных не нужно, данные банковской карты не требуются.
Какие данные можно сообщать другим людям
Если отправитель не может использовать СПБ и просит другие реквизиты, вы можете назвать:
Другие сведения для перевода на карту не нужны. Не сообщайте посторонним срок действия карты, чисто на обороте, код из СМС.
Что делать, если сообщил мошенникам платежные данные
Если вы сообщили ил ввели где-то свои данные, а теперь переживаете за сохранность денег или списания уже начались, срочно блокируйте карту. Это можно сделать по звонку на горячую линию банка, но быстрее всего — с помощью мобильного приложения.
После того, как карта заблокирована, необходимо написать заявление в банк и полицию об инциденте, сообщить все данные о мошенниках, которые вам известны. Шансов вернуть деньги немного, но они есть.
Чтобы повысить защищенность своих карт, следуйте простым правилам:
В Райффайзен Банке лимит переводов по Системе быстрых платежей увеличен до 300 тыс ₽ в день. А до 30 сентября можно и вовсе переводить по номеру телефона по СБП без комиссии
Эта страница полезна?
% клиентов считают страницу полезной
Следите за нами в соцсетях и в