Можно ли передавать кассиру карту? Почему магазины не любят 3D Secure? Ликбез

398
11 ноября 2019 в 8:00
Автор: Станислав Иванейко. Фото: Влад Борисевич

Можно ли передавать кассиру карту? Почему магазины не любят 3D Secure? Ликбез

От банковских карт и интернет-платежей уже никуда не деться: конечно, можно по старинке постоять в очереди местного отделения почты и узнать свежие сплетни района, но если хоть немного ценишь свое время — будешь использовать электронный платеж. То же самое, по сути, с любыми покупками. Но из-за распространения безналичной оплаты в эту сферу пришло много подозрительных личностей, которых очень интересуют номера ваших карточек. Да и банки сами если и не хитрят, то не всегда в полной мере говорят, как и что они могут сделать для клиента. Директор провайдера электронных платежей Assist Belarus Вячеслав Сенин и заместитель директора Артур Ангилевич рассказали о хитростях мошенников, их доходах и обязанностях банков.

Схемы мошенников

— Что происходит сейчас в сфере мошенничества с картами? За последние годы что-то изменилось?

Вячеслав: По нашим ощущениям особо ничего не поменялось. Но рынок электронной коммерции растет, и приходят новые мошенники. Можно сказать, что появляются более молодые ребята, которые считают, что здесь реально быстро и много заработать. Как правило, они быстрее всего и попадаются.

Также замечу, что упростилась работа с управлением «К». Если раньше без заявления пострадавшей стороны сложно было начать дело, то сейчас к ним можно обращаться уже при подозрениях — сотрудники займутся рассмотрением.

Вячеслав Сенин и Артур Ангилевич

— Молодые ребята — они наши или из соседних стран?

Вячеслав: Наши ребята. Почитали форумы, поверили в сказки — и все, начались проблемы. На самом деле ловят многих, просто это мало освещают.

— О каких доходах стандартного белорусского мошенника из этой сферы мы говорим?

Вячеслав: Самая крупная сумма на моей памяти — ущерб в несколько миллионов долларов. Это было в 2015 году в одном из белорусских банков. Мошенничество с картами.

Вообще, есть две схемы такого мошенничества. Одни покупают ворованные карты и пытаются их обналичить, а другие подходят к делу серьезнее. Они организуют компанию, делают якобы интернет-магазин, турагентство или, допустим, сервис по продаже авиабилетов.

Таким образом мошенники подключают у банка эквайринг и прогоняют транзакции картами из ворованной базы. Юрлицо создают для того, чтобы можно было принимать платежи. Как правило, если банк-эквайер (принимающий платежи. — Прим. Onliner) пропускает такую схему, ущерб идет на сотни тысяч, а иногда и миллионы долларов. Но это обычно кратковременные схемы.

А при краже карт обычно создаются фейковые сайты. Выглядеть, конечно, все будет очень красиво: о таком сервисе сделают много положительных отзывов, могут даже реальный офис снять. И сайт будет продавать топовые товары с хорошей скидкой. Страница для ввода данных карты окажется максимально похожей на страницу какого-нибудь известного провайдера. Но данные примут уже мошенники.

Или еще пример, но уже скорее из сферы жульничества: в соцсетях распространялась информация о продаже билетов на концерт с хорошей скидкой. Для покупки билета нужно было сообщить свою электронную почту, фамилию и имя. По этим сведениям мошенники регистрировались на одном из сайтов билетных операторов, покупали билет, передавали его клиенту и просили перевести деньги на электронный кошелек или пополнить баланс на телефоне.

— Говорят, в большинстве подобных потерь виноваты сами люди: ведутся на халяву. Согласны с этим? 

Вячеслав: Да, согласен. Вы ведь не ходите зимой в шортах и футболке, потому что в этом случае высока вероятность получить простуду или более серьезную болезнь. Аналогичная ситуация и с оплатами: надо же смотреть, где вы покупаете. Конечно, есть законодательство, на высоком уровне все контролируется, но риски остаются. Это интернет — среда, в которой нет конкретного места. Если о магазине гуглятся только свежие отзывы — это уже повод насторожиться. Когда iPhone стоит $2000, а его продают за $500 — ну такого просто не может быть, и это опять же должно вас насторожить.

Можно ли передавать кассиру карту

— В Беларуси карты появились у большого числа людей за короткий промежуток времени. Может быть, дело в этом? Не все успели адаптироваться.

Вячеслав: Возможно. Все умеют снимать деньги в банкоматах — мы давно поняли, что на них могут быть скиммеры (устройства в виде накладок или других приспособлений, которые считывают данные карты. — Прим. Onliner). Теперь нужно привыкнуть, что и в интернете стоит быть внимательным. Раньше ведь не было потребности оплачивать что-то в интернете: курьер привез товар, и вы рассчитались картой.

— Терминалы в магазинах иногда расположены так, что до них не дотянуться. Но вроде как кассир не имеет права брать в руки вашу карту. Как тогда быть?

Артур: Скорее это у вас в договоре с банком сказано, что вы не можете передавать карту в чужие руки. В этой ситуации все исключительно на ваш страх и риск. На мой взгляд, чтобы кассир за пару секунд запомнил данные карты — это почти из области фантастики. Да, такое было — кажется, в Японии. Но, честно говоря, если бы человек с подобными навыками иначе распорядился своим умением, то зарабатывал бы гораздо больше. Тем не менее в крупных торговых точках терминалы развернуты прямо к вам.

Вячеслав: Основная задача — сохранить карту в поле зрения. Если ее взяли и понесли в подсобку, потому что терминал, как было раньше, соединялся с интернетом по телефонной линии, то да, это уже недопустимо. А когда видишь карту — все в порядке. Единственное, лично мне не нравится ситуация с заправками: тонированное окошко, протягиваешь карту и не видишь, что там с ней делают. Или в ресторанах иногда хотят забрать вашу карту и с ней уйти к терминалу — так неправильно. Всегда просите принести терминал к вашему столику.

Что касается ситуации с кассиром, то при большом желании можно научиться использовать техники по запоминанию, и уже через несколько дней вы сможете держать в голове 16-значный код. Так что в любом случае риск остается.

— Но еще ведь нужно запомнить срок действия, имя и фамилию, CVV/CVC-код.

Артур: Раньше при оплате на Amazon требовался только номер карты и срок действия. Этого было достаточно для проведения транзакции.

Вячеслав: А дальше самое интересное начинается. Человек думает, что раз деньги украли, то он один на один с этой проблемой. Но помимо продавца и владельца карты есть еще как минимум два участника — это банк-эмитент и банк-эквайер. А порядок игры задает платежная система — обычно Visa или Mastercard. И они смотрят, какая технология использовалась, какой тип транзакции, какие данные вводились, чип или магнитная полоса, приходил ли 3D Secure. Исходя из этого распределяются ответственность и риски: виноват будет либо эквайер, который обслужил платеж, либо эмитент, который выдал карту. И начинается своеобразная игра, словно суд: идут прения сторон, и важно, кто опытнее.

Есть два серьезных момента по оспариванию операций (чарджбэки). Вариант первый: операция оспаривается как мошенническая, то есть эмитент утверждает, что владелец карты не участвовал в транзакции. Вариант второй: транзакция подлинная, но товар или услуга оказались некачественными. Даже в таком случае могут привлекаться платежные системы.

Клиенту не обязательно доказывать отелю, что ему обещали пять звезд и вертолетную площадку, но посадить вертолет было негде, поэтому услугу оказали некачественно. Или, например, вы купили билет на поезд. Он задержался на полчаса, вас не предупредили, и вы опоздали еще и на самолет. Это тоже некачественно оказанная услуга. В таких ситуациях деньги обычно возвращают при обращении не к продавцу, а в банк. И они должны это делать — просто не говорят об этом.

Одни банки готовы помочь клиенту бесплатно, другие выставляют ценник в $25—50. Это тарифы платежных систем за оспаривание операций, и таким образом банки перераспределяют данные расходы на клиента.

— Допустим, я заказываю в зарубежном магазине iPhone 11, оплачиваю его белорусской картой, но мне приходит iPhone X. Я могу просто обратиться в свой банк, а не искать зарубежного продавца? 

Вячеслав: Да, нужно заявить о некачественном товаре. В идеале, если еще скриншоты при покупке делали: заказывал iPhone 11, а привезли «десятку». Тогда банк должен разобраться в ситуации с эквайером и вернуть вам деньги. В описанной ситуации факт нарушения очевиден, поэтому платежная система точно встанет на вашу сторону.

Почему магазины не любят 3D Secure

— В случае с интернет-платежами есть 3D Secure. Это ведь повышает безопасность?

Вячеслав: Да, но все риски не исключает. Технология сама по себе неудобная. Она сильно уменьшает количество успешных операций, и продавцы ее не любят. Допустим, из-за настроек браузера у вас не открылась страница 3D Secure или вовремя не пришло SMS с кодом — покупатель не может совершить операцию, и продавец остается без денег. Поэтому многие торговые точки договариваются с провайдерами и банками-эквайерами, чтобы отключать 3D Secure. Но предварительно анализируются риски: если вероятность мошенничества высока, 3D Secure оставят.

Если речь о белорусском магазине и оплате белорусскими картами, то 3D Secure не обязателен: юрлицо здесь, владелец карты здесь, управление «К» тоже здесь — всех очень быстро найдут. А если транзакция с иностранной карты, то 3D Secure можно оставить.

— Оплата кольцом, браслетом, Samsung Pay или Apple Pay безопаснее, чем картой? 

Артур: С моей точки зрения, да. Если оплата идет из мобильного приложения, то получается, что сначала нужно открыть его, то есть разблокировать телефон, а это еще один защитный барьер. В России, например, с появлением NFC была такая ситуация: мошенники брали терминалы, ходили по остановкам и незаметно прикладывали к сумкам — суммы были небольшими, потому что обычно лимиты на транзакцию без подтверждения кодом низкие, но тем не менее. Так вот, если карта привязана к смартфону, то списания не произойдет. Хотя с кольцом или браслетом сработает. Но пока что кольца и браслеты не очень популярны у нас.

— Значит, лучше ставить минимально возможные лимиты?

Артур: Да, но это не всегда вам поможет. Иногда банки идут на уступки торговым точкам и повышают для них лимиты самостоятельно. Больше всего это зависит от банка-эквайера: возможно, он заключил какой-то особый тариф для конкретной торговой точки. Сегодня без PIN при бесконтактной оплате проходит сумма до 20 рублей. Но инициатором всегда выступает торговая точка: например, при желании увеличить пропускную способность касс лимит может быть повышен до 25 рублей.

— Недавно было два одинаковых случая: имел место дубль транзакции, но SMS о втором списании не приходили. Можете простым языком объяснить, как такое происходит?

Вячеслав: Суть следующая. В момент совершения оплаты деньги на карте блокируются, а списываются потом. На физических терминалах есть такое понятие, как закрытие смены. Это можно делать несколько раз на день. Выходит так: операции собираются, и потом при нажатии кнопки «Закрыть смену» формируется электронный реестр всех операций. Он уходит в процессинг на обработку для списания денег уже с карт-счета. Запрос на авторизацию в банк отправляется один раз, но у банка что-то идет не так, и он блокирует сумму дважды. Соответственно, при закрытии смены на списание пойдет только одна сумма, потому что о второй мы ничего не знаем — ни кода авторизации, ни других данных.

У клиента эта вторая сумма может быть заблокирована до 30 дней, а потом ее разморозят. Поэтому при звонке в кол-центр банка всегда нужно уточнять: сумма списана или заблокирована.

Артур: Этот нюанс виден даже по выписке со счета: есть дата оплаты и дата списания. То есть деньги «холдируются», они недоступны, но по факту не списаны.

Вячеслав: Раньше, когда терминалы только появлялись, кассиры часто забывали закрыть смену. Получалось так: за месяц совершены 250 операций, закрыто 1,5—2 месяца, бухгалтерия сводит баланс — а денег не хватает, потому что смена не закрыта. У держателей карт те суммы успели уже разблокироваться, потому что их не списывали. Продавец закрывал смену, деньги на списание уходили — и если средств на балансе было недостаточно, вас загоняли в несанкционированный овердрафт. Теперь банки контролируют, закрыты ли смены в торговых точках. И платежные системы ужесточили требования: если смена не закрыта, операции могут быть оспорены в одностороннем порядке, и продавцу деньги могут не вернуться — вина ведь его.

— SMS приходит сразу при оплате, то есть вас уведомляют не о списании денег, а об их блокировке. Почему тогда не пришло SMS о второй транзакции?

Вячеслав: Это уже вопросы к банку-эмитенту. Ситуаций может быть несколько. Либо действительно сбой и запрос на SMS не прошел, либо запрос отправили, но до мобильного оператора он не дошел.

Списание денег с карты — это не потеря наличных. Есть программисты, базисты, они достают логи файлов и в деталях рассматривают транзакцию. Все реально видно.

Однажды такой случай был: клиент на нашей странице ввел реквизиты карты, запрос ушел через процессинг эмитенту, но в какой-то момент связь оборвалась. Эмитент операцию одобрил, но положительный ответ до нас не дошел. И принять операцию уже нельзя, потому что деталей нет (код авторизации и так далее).

Что еще умеют мошенники

— Двухфакторное подтверждение с кодом из SMS можно считать стопроцентной защитой. Если пароль динамический, то есть каждый раз новый, то как его может получить злоумышленник? 

Артур: Допустим, на вашем компьютере вирус: вводите код у себя, и его же получает злоумышленник. Или делаете перевод, думая, что на карту получателя, а на самом деле — на карту злоумышленника. Подтверждаете транзакцию своим одноразовым кодом и теряете деньги. Стопроцентной защиты никогда не будет. Просто нужно быть внимательным.

— Звонки от имени банка кажутся довольно убедительными, и некоторые люди легко ведутся на них. Как убедиться, что вам действительно звонит банк?

Вячеслав: Полные реквизиты карты ни один банк никогда не будет спрашивать. Максимум — последние четыре символа или секретное слово, причем только если вы сами звоните в банк. По-хорошему, если банк первым вам звонит, то спросите фамилию сотрудника, положите трубку и перезвоните сами. На всех картах написан телефон для связи.

У мошенников отлично развиты навыки социальной инженерии: у них хорошо поставлен голос, они очень убедительны и действительно эффективно выманивают информацию.

Белорусы очень доверчивые — это и хорошо, и плохо. Много психологических моментов: деньги, например, у кассы не пересчитывают — мол, доверяют, или когда друг отдает долг, кажется некрасивым пересчитывать при нем. А это ведь ненормально. При обращении с деньгами о доверии говорить неуместно — вы не подозреваете человека в чем-то нехорошем, а просто перепроверяете.

Артур: Если у вас спрашивают полные данные карты и код из пришедшего только что SMS — тут все понятно, банки никогда такого делать не будут ни под каким предлогом.

Вячеслав: Если не было дублированных операций или чего-то подобного, то звонок от банка вас уже должен насторожить. Особенно когда звонят не по маркетинговой линии: новый кредит, выгодная рассрочка или что-нибудь такое.

— Иногда сами банки взламывают, как это было с российским «Сбербанком». Они обязаны в таких случаях информировать своих клиентов?

Артур: Банк сразу заблокирует скомпрометированные карты, чтобы хоть какую-то часть средств сохранить. Это больше имиджевая ситуация: если потеря имиджевая, банку придется сообщить — ведь люди заметят, что их карты больше не работают, поэтому лучше не ждать, пока они обрушатся с жалобами на банк.

Вячеслав: Другой момент — персональные данные: например, злоумышленники узнали фамилии и суммы на счетах. Здесь для банков тоже есть ответственность.

Читайте также:

аудитория женская, материал: натуральная кожа, 190×100 мм
аудитория унисекс, материал: натуральная кожа, 100×120 мм

Библиотека Onliner: лучшие материалы и циклы статей

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. nak@onliner.by

Автор: Станислав Иванейко. Фото: Влад Борисевич