Прочитав вот этот топик, я увидел, что очень многие хабралюди (в том числе и автор топика) не представляют себе, как работает оплата банковскими картами в интернете. Руководствуясь домыслами и предположениями, а не фактами, автор делает вывод, будто бы карты Сбербанка наиболее уязвимы для мошенничества в интернете. Поэтому я решил рассказать о том, как на самом деле устроена оплата банковскими картами в интернете, чтобы хабралюди на основании фактов, а не домыслов, представляли себе, как это работает, и где их могут поджидать реальные, а не мнимые, опасности.
Disclaimer: Я работаю в Сбербанке России. Моя работа связана с помощью клиентам, а не с карточками, однако раньше я работал в области e-commerce, и очень хорошо знаю, как работает схема оплаты карточками в интернете.
1. Итак, автор вышеупомянутого топика упрекнул Сбербанк в том, будто бы он, показывая при переводе на карту через терминал или «Сбербанк Онлайн» имя клиента, облегчает таким образом работу карточным мошенникам. Это утверждение не соответствует действительности, и вот почему:
При оплате в интернете карточкой, выпущенной американским банком, банк-эквайер (так называется банк, который обслуживает платежи по карточкам интернет-магазина) способен проверить и имя владельца карты, и его billing address (это адрес, куда банк, выпустивший карточку, присылает ежемесячную выписку по этой карте). Это происходит, если банк-эквайер или платежный шлюз, через который проходит платеж, использует услугу под названием AVS (Address Verification System).
Эта услуга предоставляется, как правило, независимыми от банков компаниями, которые делают запрос в бюро кредитных историй, соответствует ли данному номеру карты введенное имя и биллинговый адрес, и получают оттуда ответ «да» или «нет». Помимо США такой услугой банки-эквайеры или сами интернет-магазины могут пользоваться в Канаде, Австралии, Великобритании и Новой Зеландии. В остальных странах, в том числе и в России, AVS не существует, поэтому ни российские, ни зарубежные интернет-магазины не могут проверить, действительно ли карта с таким-то номером принадлежит человеку с таким-то именем и фамилией.
Таким образом, вывод, будто бы показ имени держателя карты, создает угрозу мошенничества с картой, не соответствует действительности. Зная реквизиты карты (а это не только номер карты), мошенники могут использовать для покупок в интернет-магазинах любые имя и фамилию, и магазин, а также его банк-эквайер, никак не смогут это проверить. Это системный баг международных платежных систем, связанный с их принципиально устаревшей архитектурой, основы которой были заложены в начале второй половины прошлого века, и не были рассчитаны ни на появление интернета, ни на появление терминалов, позволяющих в режиме реального времени авторизовывать карту в оффлайне.
2. Автор рассматриваемого топика пеняет Сбербанку на то, будто бы тот придумал делать переводы между картами, тогда как можно было бы использовать для этих целей номер счета. Однако не Сбербанк придумал переводы между картами, а международные платежные системы. Вот описание такой услуги от международной платежной системы Visa. Светить реквизиты своей карты в интернете (даже пусть и не полные реквизиты) – не самая лучшая идея, однако это делает не банк, а сами люди.
3. Автор утверждает, будто бы в Амазоне возможно подобрать срок окончания действия карты, и, на основании этого делает вывод, что номера карты достаточно для совершения мошеннических операций по картам. Я не знаком с тем, как устроена борьба с мошенничеством конкретно в Амазоне, однако уверяю вас, что этот интернет-магазин уже давным давно бы загнулся, если бы не боролся с такими элементарными видами мошенничества, как подбор номера карты и срока окончания ее действия. Думаю, что их автоматическая система борьбы с мошенничеством увеличивает оценку риска для нее с каждым разом, когда неправильно вводится срок окончания действия карты. Поэтому утверждение, что для совершения платежа на Амазоне нужно «всего лишь» перебрать «не больше 36 вариантов», является не более, чем плодом разгулявшейся фантазии.
4. Всем, кто платит карточкой в интернете, следует твердо знать одно: во всех спорах между банком-эмитентом (так называется банк, который выдал карточку) и банком-эквайером по поводу интернет-транзакций разрешаются в пользу банка-эмитента (а значит, в пользу держателя карточки). Исключение из этого правила одно – о нем пойдет речь в следующем пункте. Неважно – ввели ли мошенники правильное имя держателя карты, или даже правильный CVC/CVV – правила платежных систем при card not present транзакциях всегда стоят на стороне держателя карты. Убытки по спорным транзакциям ложатся на банк-эквайер, который перекладывает их на интернет-магазин. Более того – за каждую опротестованную операцию на интернет-магазин международными платежными системами накладывается штраф. Поэтому тому гораздо выгоднее самому побыстрее вернуть деньги держателю карты, если тот обратился в интернет-магазин с требованием вернуть деньги по транзакции, которую не совершал, чем в 100% случаев сделать это после официального опротестования транзакции, но уже с дополнительным штрафом в пользу платежной системы.
5. Единственное исключение – это транзакции с использованием 3D Secure (так эта технология называется у Visa) и MasterCard SecureCode (думаю, понятно, что это технология международной платежной системы MasterCard). На схеме работы этой технологии стоит остановиться подробнее.
Когда и банк-эмитент, и банк-эквайер (обязательно оба!) проводят интернет-транзакции с использованием одной из этих технологий, держатель карты, совершая покупку, после ввода реквизитов карты, видит окошко от своего банка, который выдал ему карточку, с просьбой ввести пароль, который знают только он и его банк. Ввод этого пароля является аналогом ввода ПИН-кода при оффлайновых транзакциях, и эти технологии были призваны дать дополнительную защиту интернет-магазинам.
Однако этот план международных платежных систем не сработал, и вот почему. Дело в том, что описанная выше схема работает только в том случае, если и банк-эквайер, и банк-эмитент сертифицированы по этим технологиям. В случае, если только один из них использует эти технологии, то тот банк, который их не использует, при спорных транзакциях оказывается в заведомо проигрышной ситуации. Из-за этого банки-эмитенты, когда видели, что им от банка-эквайера приходит запрос на авторизацию с применением Visa 3D Secure или MasterCard SecureCode, просто отказывали в авторизации, чтобы не «попадать» в случае спорных операций. А магазины, увидев, что из-за этого количество успешных авторизаций у них уменьшается, решили, что более выгодно будет «попадать» на часть оспариваемых транзакций, нежели недополучать прибыль из-за того, что банки-эмитенты дают «отлуп» (можете сами посмотреть, сколько банков в России сертифицировалось по MasterCard SecureCode).
Но это теория, а на практике вам следует знать следующее: если вы используете кредитку Сбербанка, который сертифицирован и по Visa 3D Secure, и по MasterCard SecureCode, то независимо от того, использует ли банк-эквайер, обслуживающий тот или иной интернет-магазин, эту технологию, ваши транзакции полностью защищены.
Надеюсь, что этот пост помог всем разобраться в том, чего нужно опасаться в сети, а что является домыслами и мифами.