Дыры в безопасности банковских карт

Разрешение современных камер устанавливаемых в супермаркетах и даже небольших магазинах более чем достаточна, для того, что бы зафиксировать всю необходимую информацию на банковской карте.

Вы задумывались о банальной безопасности при расчёте банковской картой? Речь не о злостных хакерах, которые тёмной ночью посредством кибер-атаки пытаются взломать ваш банковский счёт. Речь о простых правилах. Какими минимальными знаниями нужно обладать, чтобы избежать проблем и разочарований?

Информация на карте

Банковская карта содержит в себе:

1.      магнитный и/или чиповый идентификатор в пластике;

2.      номер карты (16 цифр);

3.      срок её действия (месяц и год);

4.      фамилию и имя владельца;

5.      CVV2 (CVC2) код

Кроме CVV2-кода, все цифры находятся с лицевой стороны карты. CVV2-код наносится на полосе для подписи держателя карты, после последних 4 цифр номера карты. Используется в качестве защитного элемента при проведении платежей в интернет. Для снятия же денег в банкомате и некоторых магазинах требуется PIN-код, (который на самой карте не пишут, он выдаётся в отдельном конверте).

При помощи карты вы можете:

1.      получить деньги в банкомате;

2.      оплатить товар или услуги в магазинах;

3.      рассчитаться в интернете.

Риски

В случае утери (кражи) карты необходимо сразу информировать банк и блокировать карту. Эта мера не даст возможность постороннему лицу ею воспользоваться. На первый взгляд, это действие даже лишнее: снять деньги с вашей карты и так не получится, PIN-код знаете только вы. Тем не менее, банк настаивает на блокировке в случае кражи или утери. Снять же деньги в отделении банка с карты без вашего паспорта и вашего присутствия теоретически сложно, если не вступать в преступный сговор с сотрудником банка. Но если ваша карта не имеет ограничений для оплаты в интернете, у злоумышленника есть возможность оплатить ею определённое количество товаров и услуг. В этом случае ситуация гораздо интереснее и сложнее. Для этих действий абсолютно все данные есть на вашей карте (PIN-код в данном случае не нужен). Сама карта для этого тоже не нужна. Нужна лишь информация нанесённая на карту (номер карты, срок её действия, CVV2 код). Карта может находиться у вас, а вы даже не будете знать, о том, что деньги с вашей карты исчезают.

Вопросы и размышления

Тут возникает вопрос. Почему тот же CVV2-код, мне как клиенту не выдают в одном конверте вместе с PIN-кодом? Почему он, призванный быть элементом  для защиты платежей, в открытом виде напечатан на карте? Почему в эпоху электронных платежей и паранойе с банковской безопасностью банк не защищает должным образом своего клиента при работе в сети Интернет? Вся информация, которая нанесена на карту в открытом виде очень легко считывается. Это, к примеру, может сделать официант, которому вы дали карту для расчёта. Поверьте, это секундное дело, карту можно сфотографировать, сделать слепок при помощи карандаша и бумаги. Именно по причине такой «дыры» в системе безопасности в некоторых кафе и ресторанах уже начали приносить платёжный терминал клиенту, чтобы тот не выпускал карту из рук.

Удобно платить, удобно красть.

Есть ещё одна методика получения данных нанесённых на карту, причём она может быть поставлена на поток. Если уже поставлена. Вы видели в супермаркетах видеокамеры наблюдения за рабочим местом кассира? Так вот, разрешение современной камеры,  более чем достаточно для того, чтобы зафиксировать всю необходимую информацию на вашей карте. Фактически сфотографировать её. А «правильно» мотивированный кассир поможет процессу, медленно и аккуратно взяв у вас карту одной стороной и вернув её вам после оплаты другой. Это для того, что бы получить информацию со всех сторон карты. Нужна секунда, чтобы карта не двигалась. Но даже без сговора с кассиром процент принятых и возвращённых карт по принципу «орёл + решка» для крупного супермаркета просто огромен. А в течение 1-2 месяцев все жители прилегающего к супермаркету района, использующие при расчетах карты, почти со стопроцентной вероятностью передадут все данные своих карт в руки злоумышленников. Как легко можно получить доступ к видеоархиву супермаркетов в нашей стране, рассказывать, думаю, не нужно. Чтобы выбрать из видеопотока данные карт, используется «парсеры - специальные программы. Они бесплатно доступны в интернет.

Кстати, комбинацию PIN-кода, который вы набираете на клавиатурном терминале, если кассир просит вас об этом, также элементарно фиксирует камера. Зачем красть PIN-код, если карта у вас? Никто не отменял процедуру снятия денег с вашей  карты после банальной кражи. Такое развитие событий зависит только от времени суток, освещённости подходов к дому, ваших физических данных и степени вашего алкогольного опьянения. Но это уже другая история (вернее, статья). Помните, как у Гайдая в «Бриллиантовой руке»: «Человека можно напоить, усыпить, оглушить, ну, в общем, с бесчувственного тела. Но я уверен, что до этого не дойдет».

Вернут ли деньги при несанкционированном использовании карты в интернет?

Если вы заметите кражу денег с вашего счёта, то вероятность того, что онлайн-платежи можно отследить и того, что деньги банк вам вернёт, конечно, существует. Но для этого нужно догадаться, что у вас с карты исчезают средства. Это довольно сложно сделать, если у вас, к примеру, не подключён сервис SMS-уведомлений или нет привычки хотя бы раз в месяц контролировать движение денег на карте. У вас могут снять с карты всё сразу, а могут снимать незначительные суммы, но на регулярной основе, и если вы не контролируете счёт, то можете об этом даже не догадываться. Предположим, вы подключены к услуге SMS-Banking. Предположим также, что вы заметили: какой-то нехороший человек купил с вашей карты холодильник. С этого момента вы начинаете непростую и увлекательную игру с банком. Вы пытаетесь доказать, что не вы, не ваш ребёнок, сестра или ваш пёс сделали эту покупку. Игра длительна, увлекательна и полезна для тренировки вашего психологического состояния и умения управлять артериальным давлением. Не факт, что по итогам игры деньги вам вернут. Не исключено, что после этого у банка(ов) вы будете в «чёрном списке» или как мошенник или как клиент, у которого есть дар нарываться на подобные случаи, и таким образом ваша кредитная (банковская) история будет не в вашу пользу.

Можно ли себя обезопасить и как?

Есть ли элементарные способы защиты, которые помогут исключить вас из списка потенциальных жертв подобного мошенничества?

Конечно, есть, например такие:

1.      Если вы используете банковские карты для оплаты посредством интернет, заведите себе вторую карту. Непринципиально, какого банка, главное, чтобы банкомат или отделение было недалеко от вашего дома или работы и вам было удобно пополнять там карту. Храните на второй карте минимальную сумму денег. Возможность оплаты через интернет для первой карты, (основной) куда вам перечисляют, к примеру, зарплату, закройте.

2.      Подключите услугу SMS-Banking – это достаточно удобно и её стоимость небольшая. При помощи этого сервиса можно контролировать движение денежных средств на вашей карте. Последнее время наличие услуги SMS-Banking является фактически обязательной при осуществлении платежей через интернет.

3.      Возьмите за правило контролировать движение денежных средств на карте хотя бы раз в месяц. Это дисциплинирует и помогает обнаруживать несанкционированные движения денег.

4.      Скройте CVV2-код на вашей карте. Сначала запишите или сфотографируйте его на всякий случай, а потом закрасьте, например маркером. Такое на первый взгляд простое решение сможет уберечь от искушения нечистых на руку людей. Какой смысл возится с вашей картой, когда вокруг масса лёгких потенциальных жертв? Незнание мошенником CVV2-кода значительно затруднит использование карты для оплат в интернет.  

5.      При необходимости ввода PIN-кода на терминале по просьбе кассира закрывайте рукой клавиатуру таким образом, что бы окружающим вас людям и камерам вводимая комбинация не была видна. Не стесняйтесь это делать и при снятии денег с банкомата.

Вопрос касательно предоставления CVV2-кода или других кодов в конверте, так же как и PIN-кода, а не размещения их на карте остаётся открытым и достаточно критичным. Ответить на него могут только Visa,  MasterCard и другие бренды — держатели данной технологии.

P.S.

Уже наметились тенденции в направлении того, что банковская карта для платежа в интернет скоро будет не нужна. В частности, мобильные операторы уже начали работать в данном направлении. Цель — дать абоненту возможность проводить расчёты с использованием средств, находящихся на лицевом счете. Когда мобильный оператор, (провайдер) получит статус финансового учреждения, (получит лицензию на финансовую деятельность) то со временем может оказаться, что для платежей в интернете не нужны будет не только карты, но и  банки.  Но об этом в другой раз.