Кирилл Данилов (donz_ru) wrote,
Кирилл Данилов
donz_ru

Categories:

Как безопасно переводить деньги, или почему перевод по номеру карты - абсолютное зло

«Наступая на волочащиеся за ним тесемки от кальсон,
нищий схватил его за руку и быстро забормотал:
«Дай миллион, дай миллион, дай миллион!»

«Золотой теленок»



В последнее время очень большую популярность получила услуга по переводу средств по номеру карты. На первый взгляд логично: пластик есть у каждого, данные для перевода в виде номера карты всегда с собой, четыре группы по четыре цифры относительно просты для передачи отправителю, ошибка при вводе данных будет сразу же выявлена до отправки денег, перевод почти мгновенный, стоимость разумная.
Казалось бы, в чем проблема.
Проблема одна, но самая критичная: номера карты с легким подбором остальных данных достаточно для кражи денег. Набор информации для платежа через интернет, телефон или другой способ без личного присутствия картодержателя состоит из номера карты, фамилии, имени и срока действия карты. При этом для неименных карт фамилия и имя хотя и передаются, но не проверяются банком-эмитентом, выпустившем карту. А бывает и так, что банк не проверяет ФИО и для именных карт. Рационального объяснения такому поведения нет, просто банальная халатность.
Передача номера карты аналогична передаче ключей от сейфа с деньгами - мошеннику остается лишь узнать местоположение сейфа. И если ключи являются вещественным предметом, пропажа которого сразу заметна, то кражу данных карты во их время передачи пусть даже самому надежному человеку зафиксировать практически невозможно. Публикация номера пластика в интернете сродни разбрасыванию ключей от сейфа по всему земному шару. Не удивлюсь, если сбор выложенных в социальных сетях данных карты уже поставлен на поток. Формат данных очень простой, написать парсер для Фейсбука, ВКонтакта, Одноклассников тоже не проблема.



Как осуществляется подбор недостающих данных
Это не инструкция, но данное знание поможет понять, насколько уязвима защита карт.
Имя и фамилия редко скрываются. При минимальном навыке поиска найти ФИО можно практически по любому засветившемуся в интернете человеку. Остается срок действия карты. По номеру карты вычисляется выпустивший ее банк. Информация о количестве лет, на которое конкретный банк выпускает карту, открыта. Для большинства эмитентов это два или три года, в редких случаях пять лет. Даже если не использовать вспомогательную информацию о пользователе, которая могла бы сузить период действия карты (например, пользователь может сделать пост о том, как он вчера стал счастливым клиентом банка X), то всего два-три десятка вариантов перебора. Насколько банки тщательно следят за подозрительными запросами, в частности за прямым перебором данных карты, можно судить по этой теме. Это не дешевый фильм о хакерах, это наша реальность. Банк принес в суд тринадцать листов, на которых была информация о более чем шестистах неудачных попыток платежей с прямым перебором CVV2, и все равно продолжал утверждать, что в хищении денег виноват сам клиент, проявивший халатность!

Про дополнительную защиту
Чуть подробнее о CVV2. CVV2 или CVC2 - секретный код, который указывается на обратной стороне карты и никогда ни при каких условиях не должен передаваться кому бы то ни было, кроме продавцов. При этом продавец невправе хранить данную информацию, он может только передать ее в платежную систему для идентификации. Но запрос у клиента CVV2 является не обязанностью продавца, а его правом для уточнения, что карта используется легально. Это означает, что данный код необязателен для совершения платежей. Банк может запретить платежи без указания CVV2, но такие крупнейшие магазины и системы оплаты как Amazon и Paypal этот код не используют, потому что они предоставляют сервисы автоматической периодической оплаты, а CVV2 хранить они не имеют право, как уже сказано выше. Перед банком встает выбор: либо защита, либо возможность его клиентам пользоваться Paypal'ом и множеством других сервисов. Я пока не знаю ни одного банка, который сделал бы выбор в пользу защиты.
Еще есть технология 3D-Secure. При оплате в интернете на телефон клиента в смс высылается секретный код, действующий несколько минут для одного конкретного платежа. Вместо смс может использоваться карта с кодами доступа, но смысл тот же - одноразовый пароль для подтерждения операции. Кроме того, что телефон и карту можно потерять (а некоторые люди в телефоне хранят данные карт и даже пин-коды!), эта технология уязвима точно так же, как и CVV2 код. 3D-Secure не является обязательным для оплаты. Его использование остается на усмотрение продавца. В силу технического ограничения данная технология не используется в Paypal, Amazon и т.д., и снова банки не готовы пожертвовать сервисом ради безопасности.
В конечном итоге получается, что минимальным набором данных для оплаты в интернете являются номер карты и срок ее действия. В большинстве случаев набор чуть шире: нужны фамилия и имя. И будьте уверены, мошенники точно знают сервисы, которые не запрашивают CVV2 и не используют 3D-Secure.

Варинты развития событий, если был сделан перевод по номеру карты
Хорошо, предположим, что в интернете данные не публикуются, а перевод должен сделать очень близкий человек, который точно не украдет ваши деньги. Можете ли вы быть уверены, что этот человек не запишет номер карты на каком-нибудь листочке, который потом выкинет в мусорку около банкомата, где совершал перевод? Не оставит ли он этот листочек на видном месте? Проще говоря, можете ли вы быть на сто процентов уверены, что данные не были случайно, неявно переданы еще кому-то? Этот вариант вполне возможен.
Хорошо, предположим даже, что номер карты был запомнен, использован для легального перевода, а потом сразу же забыт и действительно никому не передавался. Но деньги у вас украли. Вы идете в банк, банк вас посылает (гарантировано), вы идете в суд. Далее на слушании последует примерно такой диалог между Клиентом и Банком:
-(Б) Передавали ли Вы данные карты третьим лицам?
-(К) Нет.
-(Б) Вот информация о переводе на вашу карту по ее номеру. Вы сами осуществляли этот перевод между своими картами?
-(К) Нет, но перевод делала жена/отец/лучший друг (супруг, с которым прожито пятьдесят лет, тоже является третьим лицом)
-(Б) Вы передавали данные карты третьим лицам, а значит нарушили банковский договор и скомпрометировали карту. До свидания.
У банка действительно нет никаких оснований верить вам на слово, что другой человек не мог украсть деньги сам или неумышленно разгласить номер карты. И ни суду, ни банку уже будет неважно, что ваша жена делала перевод в Москве, а деньги украли на торговую точку Афганистана.

Для чего банки внедряют настолько опасную услугу перевода денег по номеру карты
Возможно, это просто рвачество и разгильдяйство, на что намекает случай с сотнями попыток подбора CVV2. К тому же, если деньги украдут, то клиент должен будет доказывать свою невиновность. Шансы, что дело дойдет до суда, и клиент докажет свою правоту, минимальны.
А возможно наоборот - банки смотрят в будущее, а точнее обезопасивают себя от рисков, связанных с вступлением в силу с 2014 года (если банки опять не пролоббируют перенос срока) части федерального закона "О национальной платежной системе", которая дает презумпцию невиновности клиентам. Это означает, что банки должны будут доказывать виновность клиента, чтобы не возмещать похищенные средства. В случае, если клиент хотя бы раз получил перевод на карту, данный клиент автоматически считается скомпрометировавшим секретные данные, и в суде произойдет вышеуказанный диалог.

Вывод
Передавать номер карты кому бы то ни было можно только при условии, что оплата этой картой в принципе невозможна без личного присутствия картодержателя. Для Visa Electron и Maestro в большинстве случаев удаленная оплата запрещена, их можно использовать в качестве карт-доноров. Но необходимо удостовериться в банке, что карту действительно нельзя использовать в интернете. Оптимально, чтобы это было прописано в официальных документах. Тогда вы защищены и можете не бояться разглашать данные пластика.

Как безопасно переводить деньги
Самый старый, проверенный и полностью безопасный способ - межбанковский перевод. Он, к сожалению, не очень удобен, хотя это дело привычки.
Для межбанка необходимо знать ФИО, БИК банка-получателя (открытая информация, доступная в интернете), счет получателя. Еще нужен комментарий, отражающий цель перевода. Стандартный комментарий такой: "Некоммерческий перевод. Не облагается НДС". Номер счета не является конфиденциальной информацией. По нему можно узнать тип счета (текущий, вклад и т.д.) и валюту счета. Плюс на него можно получить деньги, но нельзя использовать. Проще говоря, предоставив данные для межбанковского перевода вы даете информацию о том, что в таком то банке у вас открыт счет, и на этом все. Получить доступ к вашим деньгам по этим данным невозможно.
По сравнению с карточным переводом межбанк долгий - деньги по закону идут в течении пяти рабочих дней, по факту один рабочий день (иного пока не встречал). Зато они сразу появляются на счету, в отличие от перевода на карту, когда деньги на пластике доступны сразу (их можно использовать посредством карты), а финальное зачисление произойдет через несколько дней (до зачисления нельзя использовать деньги через номер счета).
По стоимости межбанковский перевод в большинстве банков сравним с карточным (от 0.5% до 2%). Но ситуация быстро меняется. Некоторые банки предоставляют этот сервис абсолютно бесплатно, например, 2ТБанк. Какие-то берут фиксированную символическую сумму в десять или двадцать рублей - это Авангард и Хоумкредит. Власти на данный момент рассматривают, как можно простимулировать кредитные организации снизить стоимость перевода до пары десятков рублей. В реальности переводы станут почти бесплатными, когда цену этой услуги понизит Сбер.
FAQ по межбанковским переводам - настоятельно рекомендую. Хорошо объясняются основные принципы и понятия.
Для желающих изучить тему досконально ссылка на Положение ЦБ РФ по Московскому региону.
Здесь можно посмотреть информацию о текущем состоянии системы переводов ЦБ.

Итог
Переводам по номеру карты нет. Межбанку да!
Сейчас мне проще оплатить газ и другие коммунальные услуги межбанковским переводом, чем искать в разделе "Платежи" интернет-банка какой-нибудь "Межрегионгаз" или ЖКХ "Красный коммунист", не говоря уже о походе в отделение банка.
Основная проблема при переводе денег другим людям - объяснить, где они могут найти номер своего счета. Но она сама собой решится с повышением уровня финансовой грамотности :)
Tags: банки, деньги, ликбез, полезное
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 81 comments