Як захистити свою картку в інтернеті

Що ж таке інтернет-платіж

Хоч як дивно, але в термінології платіжних систем немає такого поняття, як інтернет-транзакція. З точки зору Visa і Mastercard, транзакція в інтернеті нічим не відрізняється від транзакції в терміналі, по телефону, IVR і т.д.

Платіжні системи розглядають інтернет тільки як середовище проведення транзакції. І це вводить деяку плутанину при спілкуванні кардхолдера з банком, що випустив картку (емітентом).

Ствердження співробітника кол-центру про те, що ваша картка відкрита для оплати в інтернеті, так само, як і твердження, що вона закрита, може не відповідати дійсності.

Імовірно, багато хто з вас, хто регулярно користується картками, стикалися з ситуацією, коли картка начебто відкрита для оплати в інтернеті, але платежі на деяких сайтах не проходять. Можлива і зворотна ситуація, коли емітент не вказує в договорі на відкриття картки про можливість оплати в інтернеті, а оплата на деяких сайтах все-таки може пройти.

Це все пов’язано з типами транзакцій, які дозволені на стороні емітента. Тип транзакції залежить від параметрів, що беруть участь в авторизації (CVV2, магнітна смуга, PIN, 3D Secure пароль, чіп, адреса кардхолдера і т.д.) і від типу термінала (традиційний POS-термінал, e-commerce мерчант, Mail/Phone order, банкомат). Бачите, немає такої властивості, яка б вказувала на середовище проведення транзакції, зокрема – інтернет.

Так, наприклад, емітент із метою безпеки може дозволити авторизацію тільки транзакцій типу e-commerce із введенням CVV2, тоді як деякі сайти CVV2 не потребують і формують транзакцію як Mail/Phone order. В останньому випадку оплата не пройде. Або емітент може заборонити e-commerce, але забути заборонити Mail/Phone order, тоді оплата в деяких інтернет-мерчантах буде дозволена.

Тому до кінця впевненим у тому, пройде платіж чи ні при тих чи інших умовах, може бути хіба що співробітник процесингового центру, котрий бачить перед собою налаштування авторизаційного ПЗ, та й то не завжди.

Культура користування особистими картками

Зважаючи на вищесказане, потрібно бути завжди акуратним зі своєю зарплатною, кредитною, бізнес/корпоративною або будь-якою іншою карткою, на якій є доступні кошти.

Насамперед ми б порекомендували не користуватися цими картками в мережі інтернет, попри зручність (завжди є доступна сума, зазвичай дозволено багато видів транзакцій).

Також не світити номер картки і зворотний бік з CVV2 в чергах до терміналів (можна навіть стерти CVV2 лезом або іншим підручним засобом) і не випускати картку з поля зору, передаючи її касиру/офіціантові/іншому персоналу. У деяких випадках сума з картки може бути списана навіть без введення CVV2. Тобто зловмисникові буде достатньо підглянути номер вашої картки і термін дії, щоб здійснити платіж в інтернеті.

Для оплати в інтернеті найкраще завести окрему інтернет-картку або використовувати наявну дебетову, постійно контролюючи на ній доступний залишок (наприклад, підключивши послугу sms-інформування).

Також, якщо банк-емітент надає таку послугу, бажано встановити на картку індивідуальний ліміт платежів в інтернеті.

Засоби захисту

Окрім дотримання порад, які ми дали вище, одним із засобів захисту картки, тепер уже технічним, є протокол 3D Secure (програма Visa Secure у платіжної системи Visa і Mastercard SecureCode у Mastercard).

Незважаючи на спроби просування платіжними системами протоколу 3D Secure, банки на території СНД не поспішають його освоювати і досі винаходять свої методи захисту від шахрайства. Чому це відбувається і що таке протокол 3D Secure?

Якщо коротко, 3D Secure – це протокол платіжних систем Visa і Mastercard, що дає змогу додатково аутентифікувати кардхолдера, переспрямувавши його під час онлайн-покупки на сайт банку-емітента. Банк-емітент при цьому перевіряє пароль, введений кардхолдером і дає відповідь про згоду або відмову в проведенні транзакції.

Здавалося б, очевидно, що головна мета протоколу 3D Secure – захистити кардхолдера від несанкціонованого використання його картки. Але насправді повною мірою це працює тільки в тому випадку, якщо і банк-еквайр, і банк-емітент підтримують протокол. Тобто якщо шахрай спробує розплатитися вашою карткою, підключеною до 3D Secure, в торговій точці, що не підтримує його, захист не спрацює.

Оскільки більшість мерчантів у СНД все ще не підтримують протокол 3D Secure або підтримують, але тільки на словах, користі власнику картки від такого захисту мало. У разі несанкціонованого використання захищеної картки у мерчанта, що не підтримує 3D Secure, відповідальність за шахрайство лягає на банк, що обслуговує торгову точку. Хоча в цьому випадку кардхолдер може повністю розраховувати на повернення коштів, це слабо втішає, знаючи, чим загрожує тяганина з претензією в наших банках.

Таким чином, головна перевага 3D Secure на даному етапі розвитку електронної комерції в країнах СНД – це перенесення відповідальності на банк, що обслуговує торгову точку.