117

Безопасность карт Visa и Mastercard. Наивная вера в пин-код.

Решил написать пост, прочитав этот:

#comment_97924905


Так как у некоторых пользователей таких карт до сих пор есть вопросы по безопасности и использованию. А так же наивная вера в защиту ПИН-КОДА.


1. Самое главное, что надо понимать - эти карты НЕ ПРЕДНАЗНАЧЕНЫ, что бы хранить на них деньги. Их главная задача - удобство при расчете. Чтобы не таскать с собой наличку, сдача, нет мелочи и прочее. Поэтому эти карты ни кто и не защищал (и не будет защищать) мега-супер-пупер защитой. Это надо понимать.

Поэтому первое правило - не держите на этих картах всю зарплату, сбережения и прочее. Банально? Но как выясняется, многие так делают. А потом, удивляются - ах, куда ушли все деньги.

Вам пришла зарплата на карточку? Сняли всю сумму, оставили только на текущие расходы. Одну тысячу, две, пять - каждому свое. Заканчивается сумма - пополнили. Благо терминалов и банкоматов, которые принимают наличность сейчас очень много.

Но хранить там всю зарплату, ходить с этой картой везде, светить свой пин-код...

Своруют, потеряете, ограбят и прочее - вы рискуете малой суммой. Знаю случаи, когда люди жизнь отдавали за карточку, так как там были все их сбережения. А если там малая сумма - отдали без проблем.


2. Именно поэтому Visa и Mastercard без особых сомнений ввели бесконтактную оплату. Ибо само предназначение этих карт - быстрая оплата услуг, а не защита ваших сбережений! И возмущаться тут бессмысленно - см.пунк 1. Не храните крупные суммы на этих карточках, используйте их только для оплаты услуг. И пополняйте при необходимости.


3. Про якобы защиту пин-кодом. Так как задача этих карточке не защита ваших сбережений, а удобство оплаты, то пин-код предназначен не для защиты ваших денег, а для идентификации доступа к ним! Смекаете разницу?

А теперь самое главное - идентификация вас, как владельца карты, может быть любой. Раньше была при помощи подписи, потом пин-код, сейчас вообще бесконтактная без пин-кода до суммы в 1000р. Но приоритет идентификации задает банк/ПО терминала/сам клиент. В разных банках по разному, но общий порядок у многих банков следующий (я сейчас коротко, кому интересно - гуглите более полную информацию): пин-код оффлайн, пин-код онлайн, подпись.

То есть, если по какой-то причине пин-код не проходит (не ошибка, а именно невозможность введения пин-кода), то система переходит на следующий уровень.

И если пользователь карты забыл пин-код, он может сам отказаться от ввода пин-кода и провести идентификацию при помощи своей подписи.

Как это происходит? Легко.

Приходите вы в магазин со своей (конечно же!) картой. Набрали полную корзину товара, подходите к кассе. Вставляете карточку, система просит ввести пин-код. Но от волнения вы его забыли. Или, вокруг столько сомнительных личностей и камеры сверху, что вы боитесь скомпрометировать свой пин-код. Вы отказываетесь от ввода пин-кода оффлайн (нажимаете cancel на клавиатуре). Система предлагает ввести пин-код  онлайн. Вы опять отказываетесь (cancel). Иногда это надо сделать два раза. И после этого ПЛАТЕЖ ПРОХОДИТ и печатается чек, в котором стоит строка "подпись клиента ________". (супер да?). Система перешла к следующему варианту идентификации - подпись клиента.

По правилам, продавец обязан потребовать от вас ввода подписи, сверить с подписью на специальном поле на карточке (у многих она есть?) и только после отдать покупку. 99% продавцов про это не знают.

Смысл понятен? Ваша карта НЕ ЗАЩИЩЕНА ПИН-КОДОМ! Это ТОЛЬКО средство идентификации, от которого можно отказаться! И провести идентификацию путем подписи.

Я сам так пробовал (со своими картами  естественно). В 99% случаев это срабатывало без особых проблем. Вставили карту, требует ввести пин-код, три раза cancel, оплата прошла, чек вышел, продавец отдает вам товар, чек и карту. Все!

То есть, любой человек, завладевший вашей карточкой может спокойно ею рассчитаться в магазине без ввода пин-кода (если это не запрещено банком-эмитентом. Я пока знаю только один такой банк, это Альфа-банк. Не сочтите за рекламу, сам не пользовался. Там, по крайне мере раньше, было запрещено проведение платежей путем идентификации по подписи, если клиент отказался от ввода пин-кода).


Итог. Карты Visa и Mastercard не предназначены для хранения ваших сбережений. Это только удобный способ безналичной оплаты товара. Соответственно там нет защиты, а только идентификация. Поэтому не пользуйтесь этими карточками для хранения крупных сумм, держите там суммы, которые вам необходимы для текущих расходов.

Пин-код вовсе не гарантирует защиту ваших денег, он не для этого предназначен, а только для идентификации вас, как владельца карты. И эта идентификация может быть обойдена.


З.Ы. Некоторые упоротые личности могут начать кричать, нафиг я про это написал, дескать раскрыл тайну, что пин-код можно обойти и прочее. Пипл, это не тайна, это стандартные правила для держателей банковский карт. Просто их мало кто читает. А много кто верит в защиту пин-кода, а потом удивляется, как это с его сворованной карточки ушли все деньги. Там же была зашита! Так вот, ни какой защиты там нет. Есть только идентификация, которую можно обойти. И все про это должны знать.

Дубликаты не найдены

+15

ну, тогда и говорить надо правильно и до конца.

на карте вообще не лежат деньги. Деньги лежат на банковском счете.

Карта - это лишь способ идентификации клиента и средство доступа к банковскому счету.

Соответственно не должно быть карты, дающей доступа к основному банковскому счету, и к счету, с которого могут дать много денег в кредит.

раскрыть ветку 12
+2

Ну в понимании обывателя они лежат на карточке :)


Конечно, можно иметь несколько банковских счетов, к каким-то есть доступ по карточке, к каким-то нет. Но это уже следующий этап :)

Я то как можно проще

раскрыть ветку 11
0

А у меня умные часы ) Чтобы запустить на них оплату, надо ввести пин-код, и тут он уже не идентифицирует, а авторизует. То есть есть-таки варианты )

0
распишите пжалуста, для просвещения, кидать на депозит?
раскрыть ветку 9
+7

Не могу снова не поблагодарить тебя, о автор... Главное, что я извлек для себя - это суть:  не о том я заботился. Я не шучу, я честно благодарю тнбя

+6

Держу счёт в банке, к которому доступа через карты нет, только онлайн либо в отделении.

Зарплата приходит на другой счёт, к которому прицеплена карта. Всё очень просто - пришла з/п - перевёл её на другой счёт. Появились наличные поступления от шабашек - закинул на карту, слил на другой счёт.

Потребовались деньги? Сел за комп, перевёл денег на карту сколько надо и не дёргаешься.

раскрыть ветку 3
+4

Да, я так же.

Это пожалуй на данный момент самый удобный вариант.

раскрыть ветку 2
+4

Подозреваю, что вы тоже либо имеете IT-специальность, либо работаете в банковской сфере, либо совмещаете. :)

раскрыть ветку 1
+10

Ну вообще-то по самой системе Visa деньги довольно неплохо защищены. Во всех цивилизованных странах платежи, которые были совершенны мошенниками довольно легко оспариваются и возвращаются. Это в России в сбербанке кладут болт на процессинг системы, кладут болт на ФЗ о национальной платежной системе, который тоже обязывает банк во всех случаях мошенничества к возврату средств, так они еще предлагают и свою страховку, на которую, я  полагаю, они кладут болт ровно так же, как и на два предыдущих пункта.

раскрыть ветку 6
+3
Во всех цивилизованных странах платежи, которые были совершенны мошенниками довольно легко оспариваются и возвращаются.
Я слышал, что в США легко возвращают деньги за мошеннические операции по кредитным картам. Так как фактически жертвой мошенничества в таком случае является не клиент, чью карту выпотрошели злоумышленники, а банк, предоставивший клиенту кредитные средства. С дебетовыми картами и собственными средствами на них, якобы, уже все не так радужно.
раскрыть ветку 3
+1

Ну в США в основном и пользуются кредитными. Там есть дебетовые, но ими редко кто пользуется, в основном детям на карманные расходы. На них крупными буквами указано DEBIT CARD, у них очень ограниченный функционал, их не везде принимают, там около 14 дней дается на подтверждение операции и т.д.  Если так подумать, то все эти платежные системы и были изначально придуманы как кредитные. И те продукты, что продаются у нас по факту являются кредитными картами, просто расходный лимит на банковские деньги выставлен нулевым.

раскрыть ветку 1
-1

Хм, есть логика в этих словах. Но это все конечно проверять надо. И лучше не на себе :)

0

Было дело, что у меня выцыганили денежки мошенники со сберовской карты. Заявление в банк и через пару недель деньги на счету. Карту перевыпустил конечно.

-3

:)

Самый смысл - это все постфактум. Не защита от мошенничества, а возврат денег после мошенничества. Согласен, в цивилизованных странах все гораздо проще, но согласись, лучшее рисковать малой суммой (даже если потом её вернут), чем всеми накоплениями.


Многие же рассуждают как - да фигня, там есть пин-код, даже если украдут, то не воспользуются. Ага, щаз...

+5

Всё конечно замечательно, только вам в полночь отключают интернет, забыли заплатить, на карте денег нет, т.к. мы всё сняли и у нас всё надёжно хранится в наличке в кармане, ближайший рабочий банкомат на другом конце города, в этот момент вы почувствуете всю прелесть хранения денег наличкой.

А ещё в магазинах вам будут очень рады, когда вы покупку на 100 рублей оплатите купюрой 5000р. Или сдачи мелочью с 500р отсыпят, вот счастье то.

Ну и вы забыли добавить что у некоторых банков есть лимит на покупку без подтверждения пин-кодом/cvv (у меня такое было на карте ВТБ, до 1000р проходило без пин-кода и подписи)

раскрыть ветку 3
+2

Идеальных решений нет.

Но, по крайне мере не класть все яйца в одну корзину еще в Месопотамии придумали ;)

0
чет мне кажется человек о другом.

заводите себе 2й счет в банке с возможностью снятия/пополнения в любое время и держите деньги на нем.

на карте держите сумму для текущих расходов.

0

У меня интернет работает всегда. Даже дома для меня это рабочая необходимость. Плюс мобильный интернет.

+3

В режиме параноика можно даже хранить деньги на счёте без онлайн-доступа, только ножками и по паспорту. Но в наше время это надо постараться, мне даже приходилось заявления писать, чтобы отключили нафиг интернет-банкинг от моего аккаунта в банке.

+3

Ага. А ваша система не защищена паролем это просто "средство идентификации"

Система задумывалась чтобы человек который способен оплатить товар мог не носить с собой деньги. Реальная оплата происходила в конце месяца когда владельцу приходили счета.

С тех пор мир конечно изменился, и карты дошли до всех слоев населения и до всех стран, но суть примерно такая же осталась.

Банковская операция с картой это только снятие наличных в банкомате и без пина ее не сделаешь.

Все остальное это сложная операция с четырьмя участниками. То что украденной картой расплатились за автомобиль не значит что деньги потеряны. Любые транзакции можно оспорить. Банки конечно делают это неохотно, благо российское законодательство с некоторых пор им это позволяет, а для банка само обращение платно. Но при своевременном обращении добиться можно.

+3

дам картинку ,может кому пригодится при поиске кнопки cancel ))

Иллюстрация к комментарию
раскрыть ветку 1
+5
О! Теперь покупать станет более интересно :-)
Иллюстрация к комментарию
+4

Когда последний раз меняла карточку в "любимом" зеленом банке, мне пытались втюхать мега-супер-пупер-защиту для карточки от мошенников ВСЕГО за какие-то 66 рублей в месяц.
Бедный парень пытался меня заверить, что это выгодно! Мол, он на проезд в день больше тратит (аж целых 100 рублей на туда-обратно).

Когда я ему сказала, что платить что-то дополнительно, а не вместо чего-то, то это нихрена не выгодно (а на проезд я вообще трачу 46 рублей), его лицо надо было видеть. Парень просто завис. Но пока мне не принесли карточку, продолжать втюхивать эту защиту.

+2
Вообще не запариваюсь. И кредитка и 2 дебетовки лежат дома. Расплачиваюсь с помощью самсунг пэй + на всякий случай 5000 наличкой.
+2
Идти в магазин под камеры расплачиваться чужой картой такая себе идея, да и по закону, если обратится в банк в течение суток после незаконного платежа с вашей карты (счета),банк обязан вернуть деньги, если конечно вы сами не передали всю информацию мошенникам.
раскрыть ветку 1
-1

Это все да, вроде как и камеры есть и возврат.

Но сами понимаете, лучше и самому подстраховаться и знать про все это.

+2

есть ещё пункт 4...деньги на карте не ваши они банка.

.и он может в любое время их там заблокировать (суд\ошибка\подозрения\)

0

Мне вот интересно, а с онлайн приложениями та же ситуация? То-есть легко ли потерять свои средства с украденного смартфона?

0

Многие банки сейчас выпускают карты с процентом на остаток, подвергая своих клиентов неиллюзорному риску. Мне, например, один банк впарил карту с 10% на остаток (не менее 50 000). Я уж молчу, что мне нагло наврали, что процент будет с 30000. В договоре, естественно, прописано совершенно иное. 10% - это повышенный процент, начисляющийся раз в 3 месяца. Немногие люди до сих пор понимают, я думаю, что, доверяя деньги банку, они выступают инвесторами и несут определенные риски (в приведенном мной случае - повышенные). Особенно это касается карт, счета по которым не страхуются государством. Тоесть, получается, банки знают, что клиенты несут высокие риски, что карточка не предназначена для накопления средств ввиду малой защиты, но выпускают такие карты (причем, это повальное явление).

0

Коллега вот только что попробовал. Не прошло.

Но подозреваю, что нужно было нажимать "Отказ", а не "Дальше".
Кто еще пробовал?

https://youtu.be/yO2gBW6T8vc

раскрыть ветку 2
+1
Отказ нужно нажимать.
раскрыть ветку 1
0

Понял. Попробуем еще.

0

автор сам дурак

0
С банкоматом получится трюк с отменой пин-кода?
раскрыть ветку 2
0

Нет конечно. Там то нет варианта про идентификацию через подпись.


Я же написал в конце - про что прежде всего этот пост.

раскрыть ветку 1
0
А жаль... столько уже нафантазировал...
0

Твердил, твержу и буду бубнить это своей 55-летней матушке)) плюсую

0
А где же тогда бабосы хранить? Всю зарплату наликом в одном кошельке в заднем кармане брюк?
раскрыть ветку 5
+3

на другом счете, переводя с него необходимое бабло на картсчёт.

+2

:)

А что, кроме брюк не где?

Другой банковский счет, другой банк, сейфовая ячейка, золото, украшения, банка в земле наконец.

Вариантов масса.


Я же не про хранение денег вообще, а про то, что их нельзя хранить на карточках, они там вообще ни чем по сути не защищены.

раскрыть ветку 3
+7
Ладно, ладно, я просто решил доебаться. У меня все равно денег нет
+3

Ну на карточном счёте деньги хранить можно. У меня, например, социальная. Туда сбрасывается пенсия, всякие ЕДВ, компенсации за квартплату и пр. Там идёт процент на остаток по счёту, не большой, но всё же он есть. На этом счёте в данный момент примерно моя годовая пенсия. Раньше просто снимал наличкой сколько надо и тратил. Но теперь, когда кругом безналичный расчёт, я просто взял в том же банке кредитку с минимальным лимитом и бесплатным обслуживанием, и пользуюсь в магазинах, заправках, интернете только ею. Наличку с кредитки не снимаю, пополняю в срок беспроцентного пользования. Никаких проблем нет. Дебетовой пользуюсь только для снятия наличных, остальное время она дома.

раскрыть ветку 1
0
Чет задумался.
При оплате картой деньги снимаются с того счета, к которому она привязана, верно? Т.е. если у меня есть какой-нибудь параллельный счет (накопительный, например) то можно не держать на карте деньги, а переводить по мере необходимости с накопительного? Через тот же интернет-банк.
раскрыть ветку 4
0

Конечно.

Я так и делаю.

Зарплата приходит на счет, к которому привязана карточка. Я перевожу на другой, оставляю сумму небольшую. И потом, по мере надобности - перевожу на карточку.


Кому как удобнее. Проще всего снять наличку, чуть сложнее - другой счет.

раскрыть ветку 3
+1

И/или, если позволяет банк, установить лимиты на ежедневные и ежемесячные траты по карте.  Если злоумышленник доберется-таки до денег, то потратит только лимит, а там вы уже и карточку заблокируете.

0
Я в этом профан. Скажите, той что вы расплачиваетесь (мелочовкой) обычная, дебетовая Visa карта?
раскрыть ветку 1
-1
ЯННП. За лет 15 пользования картой Visa никаких проблем никогда не возникало. Да и в приложении своего банка поставил геоограничения на все операции.. простите, но ничего не понял из Вашего поста.
-1
Спасибо. Для кого то может это и не интересно, но мне было полезно. Стоит завести себе второй счёт.
-2
Вот почему на чеке появляются "волшебные надписи", "идентификация по пин коду" и поле "подпись" остается пустым...
А у "зелёного банка", как самого "зарплатно-перечисляльного", финт при покупке "отмена+подпись" действует? Стало интересно, сам попробую позже, но может кто уже так делал?

ПС. Я, как параноик, даже телефоны разные использую, один для онлайн банк приложения, другой, привязанный к сервису и неАндроид, для принятия смс. Есть скрипты, которые отлично работают в фоне "Андрюши", и могут оперировать данными, снимая все деньги... И заразу, легко подцепить, тоже онлайн :-)
А тут ты, с таким вбросом, я ж теперь спать спокойно не смогу :-)
раскрыть ветку 3
-2

Действует.  Из крупных только Альфа банк ставил запрет. Сейчас не знаю.

А "зеленый" без проблем пропускает.

Это вообще как бы рекомендации Визы и Мастеркадра. Дескать для удобства клиентов. Ну забыл пин-код или не хочешь светить. Изначально так было, это не нововведение, а сразу как опция пин-кода идет.

Причем, теоретически, вы, как пользователь карты, можете сами попросить банк поставить такой запрет. Что только по пин и все. И ни какой по подписи. Но насколько реально эти заявления принимают и обрабатывают - не знаю.

раскрыть ветку 2
0
Порядок и приоритет подтверждений устанавливает на карте сам банк, верно? Как клиенту узнать этот порядок и вообще кол-во установленных подтверждений? В статье вы пишите:


Вставили карту, требует ввести пин-код, три раза cancel, оплата прошла, чек вышел, продавец отдает вам товар, чек и карту. Все!

Почему именно три раза нажать Cancel? Три подтверждения пропустить? А если их меньше? Такое ведь возможно, если какое-то из подтверждений банк для карты запретил?


Еще возникает вопрос, что если клиент вставил карту, но платить ей передумал (не важно по какой причине). Нажатие Cancel, получается, не отменяет операцию, а многократное и вовсе приведет к ее проведению, как вы пишите выше. Выдергивать карту из терминала без каких либо нажатий?

раскрыть ветку 1
-2
Плюсую за стиль. Напиши еще инструкций, например, как детям дорогу переходить или как экономить на покупках в супермаркете! Просто можно будет готовые брать и зачитывать!
раскрыть ветку 1
-3

Инструкции я на работе пишу, уже лет 20 (не каждый день, но раз в полгода точно) :)

И имею к этому стойкое отвращение, так как приходится делать по служебной необходимости.


Данные пост написал исключительно в целях предупреждения, что пин-код - это не защита от слова вообще. А то многие хаят бесконтактные карты, что дескать вот раньше была защита пин-кодом, а теперь... Не было ни какой защиты пин-кодом ни когда.

-4

Вы чего паникуете? =)

У меня уже лет 5 карта виза Тиньковская (дебетовая) там вообще нет пин-кода даже на большие суммы (только на снятие в банкомате надо набирать). Все покупки через терминалы по подписи.


И знаете что?

Эта карта надежнее самых крепких сейфов =)

Потому что у Визы есть процедура чарджбэка (возврат платежа). И если в вашем "зеленом банке", которым вы по какой-то нелепой случайности еще пользуетесь, на данную процедуру работники кладут болт, то у Тинькова возврат платежа осуществляется по одному звонку на горячую линию.


Позвонил, рассказал как было, они приняли инфу, могут еще один раз перезвонить тебе, чтобы что-то уточнить и через неделю-другую деньги опять на карте.


Не порите чушь, с карты деньги украсть можно только, если вашему банку насрать на вас как на клиента.

раскрыть ветку 5
+2
Не порите чушь, с карты деньги украсть можно только, если вашему банку насрать на вас как на клиента.
Большинству банков РФ насрать на клиентов.
раскрыть ветку 1
-4

И кто заставляет быть их клиентом?

У меня тоже зарплатный проект в банках из подобного большинства, но как только туда ЗП приходит, я ее сразу же перевожу на карту тинькова

+2

Вот и сотрудники банков подтянулись :)

Удачный ход!


И что, прям так часто с вашей карточкой происходят мошеннические действия, что вы досконально знаете процедуру возврата денег? Часто теряете карту? :) :) :)


Сказали бы честно, что сотрудник банка и все.

раскрыть ветку 2
-4

Три раза было. И действия банка были таковыми, что я вообще не волнуюсь за суммы на карте.


Вообще, странно. Давайте разберемся, вам поныть или решить проблему?


Вы жаловались, что у вас полный пипец, бабло не защищено, сбер - г-но и тд. Я рассказываю вам о своем положительным опытом (я не работник Тинькова). 


Если вы писали пост, чтобы поныть, то ок, я перестаю отвечать =)

Если хотите решить проблему - то вот как минимум один из выходов.


Всем сторонникам заговора всегда предлагал называть альтернативы. Они наверняка они есть, ведь не Тиньковым единым, но пока глухо. Обычно называют какие-то отдельные преимущества, напрочь забывая об остальных.

раскрыть ветку 1
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: