Безопасность банковских карт?

Question

[WebDev]

Пользуюсь банковской картой при оплате самых разных услуг в интернете и появилось несколько вопросов:
1) На некоторых интернет магазинах не требуется никакого подтверждения смс кодом или еще как-то. Я просто ввожу номер карты, даты истечения код и деньги сразу снимаются. В других сервисах требуется дополнительно ввести пароль из смс. Первый способ выглядит очень небезапасно, потому что получить эти данные с карты не состовляет труда. Зачем такой способ существует и почему он регулируется на стороне сервиса? Другое дело, если бы я сам доверил какому-то сайту списывать у меня деньги, но такой настройки нет.
2) Везде пишут, что нужно скрывать номер своей карты и в то же время все банки печатают крупные цифры на самой карте. Кроме того мы сами вынуждены давай номер карты другим, например, начальнику для перевода зарплаты. Номер карты опять же может очень легко уйти куда-угодно. Вопрос: что можно сделать с картой, имея лишь ее номер и зачем, если это небезопасно, банки выбивают номер на самом видном месте?
В общем все это выглядит очень небезопасно и я стараюсь не хранить большие суммы на карте. Но ведь не могли же люди создать такую непродуманную и уязвимую структуру? Объясните, пожалуйста, как все это работает.

Comments

[account-1]

Этой структуре уже более 50 лет. Она за это время почти не менялась и поменять ее нереально, по крайней мере одним махом. СМС-уведомления - это лишний геморрой ПОТРЕБИТЕЛЮ, банки заинтересованы в упрощении транзакций. А все остальное - застрахованные отклонения в статистике (кражи данных). Это мелочи для банков. Ну и да - любое списание средств с карты вы оспариваете и банк вам ОБЯЗАН вернуть деньги - это чарджбек.

Answer 1

[Dmitry MiksIr]

1) На некоторых интернет магазинах не требуется никакого подтверждения смс кодом или еще как-то.

1) Так называемое 3ds (подверждение смс) - способ защиты мерчанта от фрода. В случае вашего несогласия с платежом (опротестование через банк) при отключенном 3ds - убыток несет мерчант. Если мерчант поддерживает 3ds - ответственность перекладыватся на владельца карты. Т.е. если у вас увели данные карты и купили через 3дс - у вас хороший шанс опротестовать и получить деньги назад (хоть это и займет много времени). Если 3дс был (у вас увели телефон или посадили вирус или как-то узнали код) - вернуть ничего не получится. Почему не все мерчанты поддерживают 3дс? Ну, например почитайте https://habrahabr.ru/company/badoo/blog/234677/ - там есть цифры, как 3дс уменьшало продажи.

Вопрос: что можно сделать с картой, имея лишь ее номер и зачем, если это небезопасно, банки выбивают номер на самом видном месте?

2) Сейчас почти ничего, мест, где можно провести операцию только по номеру карты без какой-то дополнительной верификации - почти не осталось. Я бы не стал светить номер карты везде в интернете, но и скрывать номер от друзей/начальника и т.п. смысла нет. А вот CVV код (на обратной стороне) стоит спрятать (лучше всего переписать и затереть нафиг). Опять же, если уведут номер карты + cvv - скорее всего такие платежи можно будет опротестовать, но нафига вам лишний гимор.

общем все это выглядит очень небезопасно и я стараюсь не хранить большие суммы на карте.

Угроз много, опротестование занимает время, банки не особо охотно это делают и т.п. Так что держать сумму, которую не сильно обидно потерять - самое оптимальное. И подкидывать туда деньги с другого счета через интернет-банк по мере необходимости.

Answer 2

[АртемЪ]

3d secure включено практически на всех картах у нас.
Однако некоторые магазины могут провести платеж, и без подтверждения через смс, даже при включенном 3ds.
Но такое позволено далеко не всем магазинам - мелкому ларьку такое сделать не позволят, только очень крупным конторам, у кого репутация и солидный баланс. Любой платеж совершенный без 3ds вы можете оспорить.

По факту - номер карты можно светить направо и налево. Это безопасно.
Если кто увидит CSV - тут уже можно воспользоваться вашей картой.
Однако деньги вы не потеряете - такие фокусы без проблем можно оспорить, и деньги вернут.
Правда дело это не быстрое, не стоит рассчитывать что вернут их через пять минут, обычно пара месяцев.

Плюс ко всему платежи контролирует автоматика и служба безопасности на стороне банка.
Если вы попытаетесь совершить нетипичную для вас операцию на крупную сумму - вам могут заблокировать платеж. Я сталкивался с таким - пытаюсь оплатить, платеж не проходит, и тут же звонок из банка, задали пару вопросов, повторил платеж - все прошло.

Т.е пользователь достаточно защищен. Банк тоже защищен, потому как деньги на счет магазина поступают не мгновенно.
Взломы случаются, но крайне редко, не чаще чем кошельки у граждан в автобусах крадут.

Просто надо понимать что карта это не место для хранения денег, а инструмент для расчетов.
Хранить крупные суммы надо на банковском счету.
А на карте должны быть деньги на текущие расходы.
Так же нужно иметь более одной карты - очень неприятно когда у вас все деньги на одной карте, а у банка зависает система, или неисправный банкомат зажевывает вашу карту, или ее блокируют по какой-то причине.

Answer 3

[Егор Оммоник]

На работе вы указываете лицевой счет а не номер карты (чаще всего).
Если переживаете за безопасность сильно - заклейте трехзначный \ четырехзначный код на карте маленьким непрозрачным кусочком скотча.
Держите отдельную карту для покупок в интернете (или виртуальную например).

Comments

[CityCat4]

+1
у меня виртуалка от Яндекс.Деньги

Answer 4

[CityCat4]

Все решается очень просто - заводится вторая (третья, четвертая) карта, на которой нет никаких денег. Деньги туда сбрасываются непосредственно перед покупкой, а так болтается рублей двадцать :) Скинул, купил. И именно эта карта привязывается к различным маркетам и вообще ко всем онлайн-платежам. А данные основной карты, где деньги - не давать никому. Да, это немного добавляет хлопот и комиссию за перевод придется платить. Ну так - Ваш выбор...