Как обезопасить карту от мошенников
Технически официант или кассир, которому вы передаете карту, может сфотографировать её или запомнить номер, срок действия и CVC/CVV. А затем расплатиться вашей картой в интернет-магазине или в своем же заведении.
Даже если вы напишете заявление о краже денег в банк, средства вам не вернут. По закону, если вы показали карту, то раскрыли её данные третьим лицам. А значит, сами виноваты.
Чтобы этого не произошло, достаточно отрезать часть пластика с номером – например, последние четыре цифры. Карта по-прежнему будет работать. Магнитную полосу вы не повредите, катушку индуктивности вокруг чипа не заденете.
Лайт-вариант – закрасить или стереть CVC/CVV.
Как работает 3D Secure
3D Secure (Three-Domain Secure) – это защищенный протокол, который добавляет ещё один уровень безопасности вашим платежам с карты. Он помогает убедиться, что операцию проводит владелец карты, а не мошенники.
3D Secure создавали для CNP-операций (card not present) – оплат в интернете. Вы можете проводить их без самой карты, достаточно её фото или реквизитов.
Прототип решения разработали в Visa для работы сервиса Verified by Visa (VbV). Позднее протокол приняли и другие платежные гиганты: Mastercard (Mastercard SecureCode, MCC), JCB International (J/Secure), Мир (Мир Accept) и др.
Для оплаты в интернете вы вводите на сайте номер карты, срок её действия, имя держателя карты и код проверки ее подлинности (например, CVC2). Если сайт и банк поддерживают 3D Secure, вас перенаправят на сайт банка, который выпустил вашу карту.
Банк пришлет код подтверждения вам в SMS, в мессенджере или в банковском приложении. Реже используются разовые коды с листочка или постоянный код, который вы установили.
После того, как вы введете проверочный код на странице, банк проверит его. Если введенный код совпадет с отправленным, транзакция будет выполнена.
Как видите, в схеме Three-Domain Secure три домена: сайта или эквайера, который принимает за него оплату, платежной системы, в которой выпущена ваша карта, и банка, который её выпустил.
Данные для подтверждения платежа не сохраняются в интернет-магазине. Он может получить только часть реквизитов. Согласитесь, к банку, который выпустил вашу карту, или платежной системе вроде Visa или MasterCard, доверия больше.
Если на сайте есть логотипы Masterсard SecureCode и/или Verified by Visa, он поддерживает 3D-Secure. Подключена ли ваша карта к 3D-Secure, лучше уточнить в банке.
Важно: если ваш банк и ваша карта поддерживают 3D-Secure, а интернет-магазин нет, то если с вашей карты совершат несанкционированную транзакцию, отвечать будет интернет-магазин. Если сайт, наоборот, поддерживает технологию, а ваша карта нет, то ответственность будете нести вы.
Минус в том, что 3D-Secure – необязательная технология. Никто не может заставить её использовать. Но если есть выбор, лучше заказывать в магазинах с 3D-Secure.
Как смартфон заменяет карту
Смартфоны с NFC-чипами могут заменить карты для бесконтактной оплаты. Apple Pay, Samsung Pay, Android Pay и другие «пеи» работают с картами определенных платежных систем и конкретных банков.
В приложении карта оцифровывается, и её номер нигде не сохраняется – ни на смартфоне, ни на серверах приложения. Продавцы тоже не видят номер карты.
Вместо номера генерируется токен. Только банк или платежная система могут сопоставить этот токен с номером карты.
При оплате NFC-устройством в терминале касса так же, как и при обычной оплате, генерирует предварительный чек. Вы запускаете приложение и подносите смартфон к терминалу. Он устанавливает связь с терминалом, эмулируя карту.
Для эмуляции карты используется технология HCE (Host-based Card Emulation). NFC-контроллер обеспечивает передачу данных из платежного приложения в смартфоне на терминал и обратно.
Когда сеанс связи установлен, смартфон получает данные от терминала и формирует транзакцию. Затем вам нужно подтвердить транзакцию отпечатком пальца, сканированием лица или другим надежным способом.
В транзакции участвуют банк-эквайер, который обслуживает терминал, банк-эмитент, который выпустил карту, и платежная система, к которой относится карта. Получается как в 3D Secure, только ещё безопаснее. Сымитировать подтверждение транзакции гораздо сложнее, да и шагов проверки больше.
Смартфоны Samsung также могут имитировать карты с магнитной полосой в Samsung Pay. Для этого используется собственная технология MST (Magnetic Secure Transmission — магнитная безопасная передача).
В этом случае создается магнитное поле, похожее на сигнал от магнитной полосы банковской карты. Проводить смартфоном по считывателю не придется: MST работает на расстоянии до 7-8 см.
Таким образом, MST в Samsung Pay позволяет платить смартфоном даже в древних терминалах, рассчитанных только на карты с магнитной полосой. С iPhone так не получится.
С другой стороны, не все смартфоны Samsung поддерживают Samsung Pay, особенно в бюджетных сериях.
Всё сложно и с умными часами. Так, Gear S2, Gear Sport, Galaxy Watch и Galaxy Watch Active2 поддерживают только оплату по NFC, а Gear S3 – и MST тоже.
