Если вы хоть раз осуществляли покупки через интернет, то, вероятнее всего, сталкивались с необходимость введения кода безопасности. Этот параметр должен знать каждый. Итак, безопасности карты? Именно о нем идет речь.
Если говорить о том, что такое код безопасности карты, то следует отметить, что он представляет собой набор символов, отделенный от номера карты и используемый для совершения однократных платежей во время покупки товаров через интернет. Разные платежные средства обычно обладают различными наборами символов. Код безопасности на карте "Виза", JCB, DinersClub обычно состоит из тройки уникальных знаков, которые размещены на обратной стороне, а именно на полосе для подписи. Карты AmericanExpress используют четырехзначное число, размещенное над основным номером на лицевой стороне.
Итак, что такое код безопасности карты, вам уже понятно, теперь стоит затронуть вопросы работы с ним. Существующие правила прописаны таким образом, чтобы продавец не хранил этот набор символов после того, как операция завершится, а также он не обязан использовать его для получения платежей. Однако ситуация такова, что многие банки не согласны проводить операции без введения этого кода, поэтому платежи не проходят, а клиенты недовольны. Так как добросовестный продавец обязан после транзакции забывать код безопасности, покупки с помощью такого инструмента не подходят для реализации периодических платежей.
Итак, вы знаете, где код безопасности на карте находится, поэтому можете совершать покупки через интернет. Для пользователей, совершающих покупки в сети регулярно, стоит сказать, что ПИН-код не нужен. Введение кода безопасности - это единственный способ подтверждения платежа. При вводе в сети каких-либо персональных данных ни в коем случае не нужно сообщать ПИН-код.
Итак, вы не должны сообщать код безопасности карты Visa, ее номер, кредитные лимиты, продолжительность действия карты в ответ на запросы, которые могут приходить посредством СМС-сообщений, на вашу электронную почту, а также на страницах сайтов, которые не занимаются продажами. Оплату услуг в сети стоит реализовывать посредством отдельной, предоплаченной карты. И в этом случае не стоит хранить на ней много денег. При наличии значительного остатка стоит установить лимит на расходные операции в день.
Существуют признаки, сразу бросающиеся в глаза, свидетельствующие о том, что сайт мошеннический, - примитивный дизайн, обилие баннеров и активных ссылок сомнительного содержания. Еще одной мерой предосторожности можно назвать установку на компьютере антивирусного программного обеспечения, а также его регулярное обновление.
Этого бренда позволяет владельцам обналичивать денежные средства, приобретать товары в торговых точках, оплачивать счета в кафе и ресторанах, а также осуществлять оплату интернет-покупок. Такие банковские инструменты пользуются большим спросом, ведь это удобное и достаточно безопасное средство ввода/вывода денежных активов.
Visa International можно приобрести в любом финансовом учреждении. На практике становится понятно, что для ее оформления на наиболее выгодных условиях требуется ознакомиться с условиями кредитования в трех банках и более. Отдельное внимание вам стоит уделить лимиту средств, размеру кредитной ставки, сроку погашения задолженности и лимиту кредитования.
Став владельцем этого поистине финансового чуда, стоит помнить, что злоумышленники в последнее время научились очень быстро подделывать любую кредитку. Поэтому рекомендуется никому не доверять, а также не показывать свою карту. При обналичивании средств при помощи банкомата обязательно проверяйте, нет ли на приемном устройстве считывающих накладок. А код безопасности вашей карты следует беречь еще более тщательно.
Итак, если говорить о том, что такое код безопасности карты Visa, то стоит отметить, что он имеет рабочее название CVV2. Он представлен в виде набора символов, размещенных на магнитной полосе. Его основное назначение заключается в возможности совершения однократных платежей посредством сети Интернет.
Все вышесказанное свидетельствует о том, что на практике введение кода безопасности совершенно никак не способствует повышению уровня безопасности, но при этом можно гарантированно получить путаницу. При неправильном вводе кода безопасности платежи не проводятся, а это становится причиной недовольства клиентов банка. В последнее время именно поэтому большинство предпочитает предоплаченные кредитки, так как с их помощью осуществляются транзакции, которые не требуют от пользователя введения кода безопасности. Эта тенденция послужила толчком для развития совершенно новой технологии 3-DSecure, предназначенной для того, чтобы сделать кредитные карты по всем функциям аналогичными электронным платежным системам.
Какими бы простыми в использовании не казались нам банковские карты, это все-таки сложнейшая система, отвечающая за деньги держателя карты. Кроме таких хорошо известных элементов защиты, как ПИН-код, магнитная полоса, образец подписи владельца, номер карты и срок ее действия, существует еще некий код безопасности – три или четыре цифры на обратной стороне карты.
Код безопасности (CVV2-код ), как правило, находится в правой части обратной стороны карты на полосе для подписи или над ней и наносится особым шрифтом, имеющим наклон влево. Чтобы не запутаться в терминологии, обозначим сразу, что аналогичные защитные механизмы на картах разных платежных систем носят разные названия:
Для других пластиковых карт возможны другие названия этого кода, но его роль в любой платежной системе остается неизменной – аутентификация держателя карты при осуществлении интернет-платежа или совершении любой другой транзакции без предъявления карты .
Во время дистанционного платежа покупателя просят указать номер карты, срок действия и код безопасности CVV2. Такие платежи осуществляются при интернет-покупках, аренде автомобиля, заказе гостиницы и во многих других случаях.
Такой легкий способ проведения удаленных платежей делает код CVV2 желанной добычей для мошенников. Существует несколько распространенных методов похищения и дальнейшего использования этого кода.
Сразу оговоримся, что варианты взлома базы данных в этом случае бесполезны, поскольку в соответствии со стандартом безопасности PCI DCC код CVV2 не сохраняется ни в одной базе данных , а удаляется сразу после проведения транзакции. Кроме того, даже в момент проведения платежа все данные шифруются системой платежей и надежно защищаются.
Поэтому мошенники создают ситуации, в которых владелец карты сам сообщит им все необходимые данные: номер карты, срок действия и даже код CVV2. Например, это могут быть такие схемы:
А дальше, как говорится, дело техники. Обладая данными держателя карты, злоумышленник может осуществить мошенническую операцию на любой интернет-площадке или перевести деньги на свою карту при помощи системы интернет-банкинга. Такие несанкционированные владельцем карты действия по осуществлению платежей в Интернете называются фродовыми, т.е. мошенническими операциями.
Как известно, любую проблему легче предотвратить, чем решить. Когда речь идет о защите платежных карт от посягательств мошенников, необходимы совместные усилия международных платежных систем, банков, интернет-площадок и самих держателей карт. Основными превентивными мерами могут быть:
Никому не сообщайте и не показывайте не только ПИН-код своей карты, но и ее номер, срок действия и код кода CVV2. Держите пластиковые карты в сумках, кошельках или специальных портмоне, вдали от посторонних глаз.
Ни в коем случае не верьте просьбам «сотрудников банка» сообщить им код CVV2 по телефону или электронной почте – это строго запрещено системой безопасности, поэтому настоящий банковский работник о таком не попросит. Внимательно смотрите на адресную строку в браузере, прежде чем вводить данные своей карты и осуществлять платеж – защищенные страницы банков обязательно имеют вид https.
Виртуальная карта выполнит роль своеобразного буфера, не пропускающего мошенников к вашему счету. Независимо от того будет ли ваша виртуальная карта иметь код безопасности, вы будете защищены – ведь на нее вы будете переводить средства, необходимые для конкретных, уже запланированных интернет-платежей.
Пользуйтесь картами и сайтами, поддерживающими протокол 3D Secure, который предполагает дополнительный этап аутентификации держателя карты. Причем последний метод важен как для владельцев пластиковых карт, так и для остальных участников процесса интернет-эквайринга, как способ снизить риски фродовых операций. Ведь, в конечном счете, похищение данных пластиковой карты ставит под удар не только владельцев пластика, но и банки-эквайеры, и представителей электронной коммерции.
Для обеспечения безопасности данных своих клиентов банкам и интернет-площадкам обязательно следует использовать в работе платежные решения, поддерживающие протоколы 3D Secure, соответствующие стандартам безопасности PCI DCC и имеющие отлаженную систему фрод-мониторинга. Одним из платежных решений, где реализованы все эти механизмы защиты, является PaynetEasy Processing platform.
Если у вас «Виза», мы вам сочувствуем: хакерам потребуется максимум 6 секунд, чтобы подобрать номер, дату истечения срока действия и код безопасности карты.
К таким выводам после особо тщательного анализа пришли ученые из Университета Ньюкасла.
Выяснилось, что Visa не реагирует на многочисленные попытки хакеров ввести данные карточки одновременно в нескольких онлайн-магазинах. Система просто не блокирует карту!
А значит, все нужные защитные цифры можно ввести методом простого автоматического перебора!
«Подобрать все данные пугающе легко, если есть ноутбук и подключение к интернету», - пишут исследователи.
Чтобы все это провернуть, не нужно быть ни гением, ни специалистом в области компьютерной безопасности.
В самой компании на развернувшийся во всем мире скандал никак не отреагировали и говорят, что система защиты их пользователей надежная.
564Банковская индустрия тратит много сил, времени и средств на то, чтобы платежными картами мог воспользоваться только их законный владелец. Когда-то защита карты состояла в основном из рельефных цифр и места для образца подписи, но со временем на стражу ваших денег стали защитные коды и умные микросхемы.
Карты с чипом (стандарта EMV) считаются очень безопасными, но злоумышленники уже «пробуют их на зуб». К счастью, этим заняты не только они - исследователи тоже ищут и находят недочеты в оборудовании и архитектуре платежных систем, чтобы заранее уведомить производителя и помочь залатать все дыры.
Сразу два разных исследования по этой теме, представленных на хакерской конференции Black Hat в Лас-Вегасе, вселяют одновременно и тревогу, и надежду: украсть деньги можно, но защита есть.
Два сотрудника компании NCR, производящей платежные терминалы и банкоматы, продемонстрировали атаку на терминалы, обычно используемые в магазинах и на заправках. С помощью крошечного дешевого компьютера Raspberry PI они вклинились в общение основного компьютера (грубо говоря, кассы) и платежного модуля (грубо говоря, панели ввода PIN-кода).
Вообще-то обмен данными между ними должен быть хорошо зашифрован, но зачастую систему настраивают неправильно и применяется устаревшее, нестойкое шифрование. В результате становится возможна атака «человек посередине» : хакеры могут перехватить данные, которыми обмениваются платежный модуль и основное устройство, и расшифровать их.
Это, правда, не отменяет фундаментальную защиту чипованной карты: некоторые данные, такие как PIN-код, шифруются на самом чипе и никогда не передаются в открытом виде. Но атакующий может получить другую информацию, например хранящийся в чипе дубликат данных, обычно записываемых на магнитной полосе.
Благодаря этому можно узнать имя владельца и номер карты, а потом использовать полученные данные для онлайн-платежей по чужой карте. Правда, тогда потребуется еще защитный код с оборота карты, который при обычном обмене данными никак не передается. Но тут злодеям может помочь вот какой трюк.
Платежные терминалы помимо стандартных команд «Вставьте карту» и «Введите PIN-код» умеют выводить дополнительные. Технически подкованным злоумышленникам вполне по силам добавить в сценарий диалога с покупателем дополнительный экран «Введите CVV2» (или CVC2 - тот самый код с обратной стороны карты) и получить искомые данные.
Пять уроков, которые стоит извлечь из взлома кредитной карты: http://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется "пластиком".
— Kaspersky Lab (@Kaspersky_ru)
Специалисты изучили топ сайтов по версии аналитической компании Alexa и выбрали 400 наиболее популярных из них. Затем они исключили из списка ресурсы с надежной системой защиты, оставив 342 сайта для экспериментов.
На выбранных ресурсах ученые пытались провести оплату с помощью одной и той же банковской карты. Обычно срок действия Visa не превышает пяти лет, так что на формирование запросов с различными комбинациями дат и трехзначных CVV-кодов ушло около 6 секунд.
Ученые установили, что адресом, привязанным к карте, интересовались далеко не все ресурсы. Ни один из сайтов не проверял подлинности фамилии и имени держателя Visa.
Эксперты уверяют, что хакерам не нужно даже покупать базы данных с номерами карт. Подбор номера осуществляется аналогичным брутфорсом с учетом правил составления номера карты.
Дыра в безопасности только у карт Visa
Специалисты подчеркивают, что Mastercard не имеют такой уязвимости – система блокирует множественные запросы для одной карты из разных магазинов, а также передает информацию о них. В безопасности и карты с поддержкой технологии 3D Secure, а также карты chip-and-PIN.
303 из 342 сайтов (78% ресурсов) не отреагировали на сообщение об уязвимости и не предприняли мер для защиты от атак. Некоторые ресурсы уже получили обновления, но часто оказывалось, что новая система безопасности работала еще хуже, чем старая.
