Почему магазины не любят 3D Secure? Ликбез

12 November 2019
A full set of statistics will be available when the publication has over 100 views.

В случае с интернет-платежами есть 3D Secure. Это повышает безопасность.

Но все риски не исключает. Технология сама по себе неудобная. Она сильно уменьшает количество успешных операций, и продавцы ее не любят. Допустим, из-за настроек браузера у вас не открылась страница 3D Secure или вовремя не пришло SMS с кодом — покупатель не может совершить операцию, и продавец остается без денег. Поэтому многие торговые точки договариваются с провайдерами и банками-эквайерами, чтобы отключать 3D Secure. Но предварительно анализируются риски: если вероятность мошенничества высока, 3D Secure оставят.

Оплата кольцом, браслетом, Samsung Pay или Apple Pay безопаснее, чем картой?

С моей точки зрения, да. Если оплата идет из мобильного приложения, то получается, что сначала нужно открыть его, то есть разблокировать телефон, а это еще один защитный барьер. В России, например, с появлением NFC была такая ситуация: мошенники брали терминалы, ходили по остановкам и незаметно прикладывали к сумкам — суммы были небольшими, потому что обычно лимиты на транзакцию без подтверждения кодом низкие, но тем не менее. Так вот, если карта привязана к смартфону, то списания не произойдет. Хотя с кольцом или браслетом сработает. Но пока что кольца и браслеты не очень популярны у нас.

Раньше, когда терминалы только появлялись, кассиры часто забывали закрыть смену. Получалось так: за месяц совершены 250 операций, закрыто 1,5—2 месяца, бухгалтерия сводит баланс — а денег не хватает, потому что смена не закрыта. У держателей карт те суммы успели уже разблокироваться, потому что их не списывали. Продавец закрывал смену, деньги на списание уходили — и если средств на балансе было недостаточно, вас загоняли в несанкционированный овердрафт. Теперь банки контролируют, закрыты ли смены в торговых точках. И платежные системы ужесточили требования: если смена не закрыта, операции могут быть оспорены в одностороннем порядке, и продавцу деньги могут не вернуться — вина ведь его.

Что еще умеют мошенники? Двухфакторное подтверждение с кодом из SMS можно считать стопроцентной защитой. Если пароль динамический, то есть каждый раз новый, то как его может получить злоумышленник?  Звонки от имени банка кажутся довольно убедительными, и некоторые люди легко ведутся на них. Как убедиться, что вам действительно звонит банк?

Допустим, на вашем компьютере вирус: вводите код у себя, и его же получает злоумышленник. Или делаете перевод, думая, что на карту получателя, а на самом деле — на карту злоумышленника. Подтверждаете транзакцию своим одноразовым кодом и теряете деньги. Стопроцентной защиты никогда не будет. Просто нужно быть внимательным.

Полные реквизиты карты ни один банк никогда не будет спрашивать. Максимум — последние четыре символа или секретное слово, причем только если вы сами звоните в банк. По-хорошему, если банк первым вам звонит, то спросите фамилию сотрудника, положите трубку и перезвоните сами. На всех картах написан телефон для связи. Если у вас спрашивают полные данные карты и код из пришедшего только что SMS — тут все понятно, банки никогда такого делать не будут ни под каким предлогом. Если не было дублированных операций или чего-то подобного, то звонок от банка вас уже должен насторожить. Особенно когда звонят не по маркетинговой линии: новый кредит, выгодная рассрочка или что-нибудь такое.

Иногда сами банки взламывают, как это было с российским «Сбербанком».

Банк должен сразу заблокировать скомпрометированные карты, чтобы хоть какую-то часть средств сохранить. Это больше имиджевая ситуация: если потеря имиджевая, банку придется сообщить — ведь люди заметят, что их карты больше не работают, поэтому лучше не ждать, пока они обрушатся с жалобами на банк. Другой момент — персональные данные: например, злоумышленники узнали фамилии и суммы на счетах. Здесь для банков тоже есть ответственность.