Банковские карты: неочевидные риски

Поговорим про опасности трансграничных платежей с пластиковых карт и уязвимостях в архитектуре платежных систем

Банковские карты: неочевидные риски

О способах мошенничества с банковскими картами мы уже писали. И не один раз. И не только мы. Сегодня же мы поговорим о менее очевидных опасностях, на которые редко обращают внимание: речь о возможных рисках трансграничных платежей и изначально заложенных в архитектуру платежных систем уязвимостях.

Платежи без ввода CVV

Многие считают, что для осуществления платежа через Интернет нужно обязательно указывать размещенный на оборотной стороне карты код CVV. Однако некоторые интернет-магазины позволяют оплачивать покупки, не сообщая платежному шлюзу секретный код.

Прокомментировать ситуацию мы попросили директора по исследованиям и инновациям департамента развития бизнеса компании «Диасофт» Сергея Добриднюка: «Обычно указываются следующие реквизиты: номер карты, срок действия, эмбоссируемое имя и код CVV с обратной стороны карты».

«Карты с выдавленными (эмбоссированными) буквами, которые чаще всего применяются в Интернете, как правило, высокого класса — Visa Classic, Visa Gold и так далее. Выдавший их зарубежный банк проводит проверку держателя и его платежеспособности. Поэтому при мелких покупках продавец может спросить лишь про номер карты и не проводить авторизацию, потому что уверен: перед ним солидный покупатель», — рассказал Добриднюк.

«Это называется floor limit (подлимитные операции). В некоторых банках и у некоторых продавцов такая подлимитная сумма может достигать $1000», — сообщил нам эксперт.

По словам Сергея Добриднюка, на развивающихся рынках такого пиетета нет и уровней безопасности может быть больше, но общих правил приема карточных реквизитов не существует — каждая торговая площадка может устанавливать их самостоятельно.

«Почти все операции, которые вы проводите «дистанционно», без предъявления PIN-кода или сертификата 3D Secure, можно опротестовать. Если вы сомневаетесь в легальности списания со стороны магазина, напишите специальное заявление в банк (charge back), и после проведенного расследования вам вернут деньги», — заявил Сергей Добриднюк.

Эксперт рекомендует пользоваться услугами интернет-магазинов, которые поддерживают стандарт 3D Secure («Verified by Visa» и «SecureCode» для Visa и MasterCard соответственно) — дополнительную аутентификацию после ввода реквизитов с помощью ввода одноразового пароля, присланного в SMS или распечатанного на чеке банкомата.

К сожалению, решение об использовании дополнительной защиты принимает именно торговая площадка — даже если ваша карта защищена с помощью 3D Secure, магазин может и не запросить одноразовый пароль.

Использование виртуальных карт без физических носителей также повышает уровень безопасности: они отличаются относительно небольшим сроком действия и малыми суммами на счете — в случае взлома интернет-магазина реквизиты основной карты не утекут в Интернет.

Как видите, сообщать номер с лицевой стороны карты кому попало не следует, а если мошенники ухитрятся выудить у вас (например, для перечисления денег — так часто обманывают продавцов подержанных гаджетов) имя держателя карты и срок ее действия, списать деньги будет делом техники. Даже без кода CVV.

Electronic use only

Еще одно заблуждение связано с картами Visa Electron и аналогичными продуктами начального уровня других платежных систем. На них нет выдавленных (эмбоссированных) букв и присутствует надпись «ELECTRONIC USE ONLY».

Банковские карты: неочевидные риски

Многие ошибочно полагают, будто такой картой нельзя платить через Интернет; на самом деле это зависит от решения банка-эмитента. Правила платежных систем не запрещают использовать их для дистанционных платежей.

Проще говоря, с карты начального уровня украсть деньги через Интернет тоже можно.

Трансграничные платежи

Из-за скачков курсов валют возникает много проблем с трансграничными платежами и снятием иностранной валюты в банкоматах. Один из основных рисков здесь — невыгодный курс конвертации.

«Конвертация может происходить четырежды: и в терминале (модуле) e-commerce-магазина, и в его банке-эквайере, и в платежной системе, и в выдавшем карту банке-эмитенте», — предупреждает Сергей Добриднюк.

Комиссий здесь несколько, но держатель видит их обычно одной суммой, которая может быть включена в стоимость покупки или списана отдельно. «Честно скажу, — продолжает Сергей Добриднюк, — без детального изучения тарифов платежных систем и своего банка простому обывателю разобраться невозможно».

Бывает, что фактическое списание с карты происходит позже, чем был проведен платеж, — магазин может взаимодействовать со своим банком раз в несколько дней или недель (правила платежных систем допускают отсрочку до 45 дней). Из-за этой задержки при нестабильном валютном рынке расчеты могут пройти по менее выгодному курсу.

https://twitter.com/blpo4ka/status/550279329905905665

С подобной ситуацией сейчас сталкиваются многие держатели рублевых карт, оплачивающие покупки в иностранных магазинах или снимающие валюту в банкоматах. Если речь идет об ощутимых суммах, делать этого не стоит: в результате нехватки средств открывается овердрафт.

Многим это может показаться странным, но особенно плохо дело с дебетовыми картами: в этом случае открывается «технический» или «запрещенный» овердрафт, и банк будет взимать с вас очень большие штрафы — до сотен процентов годовых.

Защита от конвертации

Некоторые банки выпускают мультивалютные карты, основную валюту которых можно менять. Если едете в еврозону, устанавливаете евро, если в США — доллары, внутри России — рубли. Тогда никакой конвертации не будет.

Самый грабительский процент берут банкоматы и платежные терминалы, предлагая осуществить операцию в вашей родной валюте вместо той, в которой указана цена

Но если карта рублевая, платежные системы Visa, MasterCard и прочие устанавливают внутренние курсы системы, опираясь на официальные курсы Банка России. Переплата там небольшая — проценты или доли процентов.

Самый грабительский процент берут банкоматы, сторонние платежные системы (например, PayPal) и платежные терминалы, предлагая осуществить операцию в вашей родной валюте вместо той, в которой указана цена. Осознать это на месте обычно довольно сложно: для этого требуется потратить некоторое время на аккуратные подсчеты, держа в голове актуальные курсы всех задействованных в операции валют, дополнительные комиссии и так далее.

Но поверьте на слово: такая услуга всегда чревата переплатой, нередко существенной. Так что стоит просто взять за правило ни в коем случае не соглашаться на подобные заманчивые предложения и платить в той валюте, в которой осуществляются покупка или снятие наличных на самом деле.

Следует понимать, что изобретенные почти 50 лет назад пластиковые карты и способы расчета по ним небезупречны. Предлагаемые платежными системами технические решения не всегда удобны и зачастую призваны в большей степени обеспечивать выгоду продавцу, чем безопасность покупателю. Однако при грамотном использовании риски можно свести к минимуму — будьте осторожны и не забывайте про скользкие нюансы.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.