Не(зовсім)безпечні розрахунки в Інтернеті

Так, розрахунки в Інтернеті завжди були небезпечними, але цей випадок як на мене кричущий. Спойлер: маючи номер вашої картки (в КредоБанку) та термін її дії зловмисник може розрахуватись за бронь на booking.com .

Тепер історія спочатку. Вирішив я забронювати номер на букінгу для короткого закордонного візиту в нашу країну-сусід. Букінг попросив ввести дані картки – її номер та термін дії. Далі пише – “Вводити CVC-код не потрібно”. Мене насторожило – платіж без цього коду ж не пройде – ну але ок – ні так ні, відхилиться.

Сьогодні ж приходить СМСка з банкінгу – гроші успішно списались. Wut?

Ще раз: я ввів лише номер картки і термін дії, ніякого CVC-коду, ніякої додаткової верифікації мене як власника сайт не проводив, раніше цю картку на букінгу не використовував.

Сьогодні прийшов в банк розпитатись – як це взагалі можливо? Після розмови менеджера з “відділом безпеки” – сказали, що все ок. Виявляється букінг працює як торгова точка, карл! І відповідно для проведення оплати введення коду не потребує! Крім цього ця “торгова точка” не потребує фізичної присутності покупця, пластику, введення пін-коду чи підпису на чеку – треба лище номер картки і термін її дії!

Але і це ще не все! Інтернет-ліміти для такої транзакції теж не діють! Це ж грьобана торгова точка, без перевірки особи, піну і підпису. Все як положено.

Що це означає? Це означає, що від таких операцій ви не захищені ніяк. Єдиний захист – ліміт на розрахунки в торгово-сервісній мережі, який не може бути малим через те що це банально незручно. Отже хтось в черзі в супермаркеті за вами глипне на вашу картку, запам’ятає номер та термін дії (так це складно, але цілком реально), а може працівник ресторану – та будь-хто, хто буде мати фізичний доступ до картки – зможе тепер її використати для оплати броні на готель. Та навіть той же власник готелю чи апартаментів таким чином може повторно ввести дані вашої картки.

І кошти преспокійно спишуться – без код, без лімітів, без піну і без підпису, без фізичної вашої пристуності.

Можливо для когось букінг буде ризикованим для розрахунку, в такому випадку можна зробити це ще на якомусь сайті, який працює як “торгова точка” – напевно це не єдиний такий сервіс.

Представники КредоБанку запевняють, що це – цілком нормально. І що так у всіх банках. Хотілось би почути ваші коментарі – чи комусь вдавалось розрахуватись на букінгу без CVC-коду? А може ще десь?

Також коментар від банку (банків) теж би не завадив.

Ділись:

4 thoughts on “Не(зовсім)безпечні розрахунки в Інтернеті”

  1. Саме тому у мене є окрема карка для онлайн розрахунків. Я її ніколи не використовую оффлайн, тому фізичного доступу до неї не має ніхто. Ліміти на ній, ясна річ, менші на всі вили операцій

    1. Колись теж так робив. Але пізніше з’явились ліміти для розрахунку в мережі – тому розраховуюсь основною картою. Ліміт не дозволить зловмиснику вкрасти значну суму.
      І, до речі, у тому випадку, що я описав віртуальна карта напевно не підійде – вони не можуть використовуватись в торгово-сервісній мережі – платіж зафейлиться.

  2. Це у всіх банках так, це правила платіжних систем. Для готелів і прокатних фірм є окремі правила, що вони можуть проводити реальні (не інтернет) трансакції без фізичної картки, тупо в терміналі вписують номер картки і термін дії. Напевно Букінг також оформився як готель і завів собі такий прокачаний термінал. І думаю будь хто такий термінал отримати не може.
    Таку трансакцію завжди можна відмінити, якщо вона була невірна або шахрайська. Бо коли ви реально поселяєтесь в готель, то на ресепшені вас попросять підписати документ і це є гарантією для готелю, що ви дійсно сплатили і т.д.
    П.С. Також по цим прокачаним терміналам вони можуть блокувати (резервувати) гроші, також не всі таке можуть робити.

    1. Так, виглядає шо десь так і є. Гроші списав саме готель, а не букінг. Цікаво чому в Україні немає такого роду еквайрингу 🙂 Було б зручно лишній раз не світити CVV код і міняти інтернет-ліміти.

Leave a Reply

Your email address will not be published. Required fields are marked *