Ads
Comments 56
+3
Отказ от PIN-кода красной кнопкой — это стандарт или инициатива банка/торговой точки?
0
В данном случае это зависит от того, согласен ли банк-эмитент на проведение операции по подписи. То есть, нажать-то на красную кнопу можно всегда, но в ответ на это может прийти отказ в проведении операции.
+2
То есть, я могу отказаться вводить ПИН, и покупка совершится всё равно?
+1
Отказаться можешь. Но также банк может отказать в одобрении транзакции.

В 99% случаев решение о вводе или не вводе пин-кода принимает терминальное устройство. И блокирует всякие попытки карты провести offline проверку пин-кода.

Так же надо понимать что засветить пин-код от чиповой карыт не так страшно как кажется. Даже если у тебя отскиммирили магнитку и тиснули пин-код на мошенническом терминале. То воспользоваться мошенники такими данными смогут ограниченно. Нормалный фрод мониторинг сразу такие операции отклонит.
Ну а если ты просрал карту и пин-код подглядели, то уж извини тут хоть магнитная, хоть чиповая, хоть бесконтактная карта все операции пройдут на ура.
0
Ну почему же? Очень часто, запрос PIN — это инициатива терминала, а не банка.

У меня чипованая платиновая виза и в повседневных покупках я всегда использовал только авторизацию по подписи. PIN — либо в банкоматах, либо при оплате существенных сумм.

И я точно никогда бы не стал платить с вводом PIN в ненадежных местах, такие как заправки, бары, рестораны,..., где вероятность физического увода карты больше, чем в других заведениях.
0
У Вас карта настроена на приоритет PIN? Или постоянно через красную кнопку подпись ставите?
0
Через красную кнопку. Отказов пока не было, за исключением того, что не все кассиры знают об этой возможности и иногда приходилось им говорить о необходимости прочитать текст на терминале для продолжения операции.

А приоритет PIN или подписи на карте я честно говоря даже не знаю. Надо будет в банке спросить.
0
Весь вопрос в том, как оплатить покупку, если ты не хочешь светить PIN код, отменяешь его ввод, а оператор отменяет транзакцию(ну не хочет он по подписи авторизовывать)? Или есть какой-то регламент, обязывающий их принимать авторизацию по подписи?
0
Нет. Тебе предложили надежный способ подтверждения транзакции ты отказался.
+1
В этом и проблема — он надежный для них(со стороны что покупатель — потенциальный мошенник), но не надежный в целом для меня(со стороны что держатель терминала/продавец — потенциальный мошенник).
+4
Терминалы корректно обрабатывают ситуацию при ошибке чтения чипа и позволяют провести оплату с использованием магнитной полосы. Алгоритм такой:
1. Проводим магнитной полосой => Терминал говорит что надо использовать чип
2. Вставляем карту, но так, чтобы чип был наружу, т.е. обратной стороной => Терминал принимает это за ошибку чтения и просит повторить (или пишет что-то про ошибку)
3. Повторяем предыдущий пункт еще 2 раза
4. После этого терминал разрешает провести оплату при помощи магнитной полосы

Про данную особенность мне рассказал сотрудник компании, которая предоставила нам банковский терминал для разработки ПО, которое общается с ним (терминалом) по WiFi.
Данная возможность заложена на случай поломки считывателя в терминале или неисправности чипа на карте.

Все хочу проверить эту возможность на верипосовских терминалах, но в последнее время тестовых в офисе не появлялось.
+2
А еще говорят что кур доят.
Вы описали процедуру нарушения условий использования терминального оборудования. Это может быть ошибкой в ПО, но ни как не «стандартным функционалом»
0
Это именно стандартное поведение, но о нем широко не афишируют. Сделано для того, чтобы иметь возможность провести оплату при испорченном чипе.
Лично я менял одну из карточек как раз из-за не работающего чипа. Проводишь магнитной полосой, а терминал говорил что надо использовать чип. Ну а чип он не мог прочитать.
Тогда еще не знал о возможности 3-х ошибок, разрешения прочитать магнитную полосу и подписать слип по старинке.
0
Да?
Вы проходили EMV сертификацию?
Такая фичка обойдется компании в 50 K$ и полгода потерянного времени.
0
Это называется emv technical fallback — если чип поврежден, то терминал может провести операцию по полосе.
Но это зависит от настроек
0
Плавали знаем, в попу такие решения.
Я конечно передергиваю, но так и не долго договорится до:
Магнитная полоса не читается давай номер разрешим клиенту вводить.
Не видно номера на карте пусть ее по памяти клиент введет.
Надежность чипа примерно на 3 порядка выше чем магнитной полосы с высокой коэрцитивной силой, так что необходимость таких фичек разговоры в пользу мошенников.
0
не буду говорить за тотальную необходимость такой фичи, но иногда было бы полезно.
в свое время у меня на руках была сберовская виза с работавшим через раз чипом. правда, ей и до конца срока действия месяца 4 оставалось.
0
Согласно требованиям международных платежных систем при наличии комбинированной карты и невозможности прочитать чип разрешается проводить операцию по магнитке.
0
«подпись» — как я понимаю дело сугубо добровольное? и зависит от торговой точки (либо договора с банком). Неоднократно расплачивался (небольшие суммы, до 1т.р. точно, возможно где-то несколько больше) без ввода пинкода и без подписи.
+1
Да это возможно для увеличения скорости обслуживания. Серьезная точка может заключить такой договор с банком. Но только тогда она принимает все риски мошенничества на себя.
Хотя если вы обратили внимание в России массово нарушаются условия обслуживания карт по подписи.
Порядок должны быть таким:
1 Ввели сумму
2 Прочитали карту
3 Получил подтверждение транзакции
4 Распечатали чек
5 Клиент расписался в чеке
6 Кассир сравнил подпись в чеке с подписью в карте
7 Если подписи совпадет то все Ok, карту отдаем клиенту с копией чека
+2
То есть вы утверждаете что кассир на месте может провести почерковедческую экспертизу за пару секунд, определить является ли подпись на чеке и на карте «идентичными», и если кассиру кажется что они не идентичны — отказать в покупке.

Кстати никогда не понимал подобной меры, ведь злоумышленник имея 5-10 минут «свободного времени» может научится более-менее сносно подделывать подпись по образцу (карта то у него уже есть), а на некоторых картах даже стереть подпись (они и так почти везде полустерты) и поставить свою.
-1
Утверждаю не я, а правил платежных систем. В частности «правила приема карточек в предприятиях торговли и сервиса».
Так же как держатель карты Вы с этими условия и допущениями согласны. Так что если не согласны то не используйте карты.

Если карта у вас изготовлена качественное то стереть подпись не получится. Если хотите что бы ваша карта стала не действительной можете провести этот эксперимент и поделится здесь. Я вам потом в частной переписке скажу что надо посмотреть на обратной стороне кареты что бы «страна узнала фиговых производителей пластика».
Только пара маленьких условий:
1 Не расписывайтесь карандашом. Его можно реально смыть водой.
2 Прежде чем стирать подпись дайте 3-4 часа засохнуть чернилам, не важно каким.
0
Если не введен PIN и терминал напечатал на чеке поле для подписи, то подпись обязательна. Если Вы не распишитесь, то кассир имеет право отменить операцию.
0
В посте есть таблица, а в ней нет ни слова про ситуацию которую я описал.
Поэтому и вопросы: кассир «имеет право» или «обязан» отменить операцию, поле «подпись» печатается «всегда» или при «определенных условиях»? В всех случаях интересуют именно условия.
+3
Например в Украине это вообще неактуально. Оффлайн режима нет в принципе, т.к. это в постсоветском пространстве 90% мошенническая операция. В России, подозреваю, тоже. Пост интересный, но расходится с реальностью. Почему paypass не затронут? Это вполне уже актуально.

Я проработал 10 лет в банке и имел отношение к процессингам и платежным картам. Так вот. 99,9% мошеннических операций это либо клиент потерял карту без пина, либо засветил ее номер и cvv в магазине/интернете.

Самый страшный случай фрода в моей жизни предотвратила бабушка-кассир в супермаркете, когда отказалась продать моей жене продуктов на 4 доллара по карте с мужским именем, с тех пор даю ей обезличенную карту))

P.S. И еще автор забыл упомянуть один сценарий. Повторная покупка в том же терминале в течении короткого времени всегда запрашивает пин независимо от суммы.

P.P.S. Не понимаю что этот пост делает в информационной безопасности. Это ликбез для новичков скорее. Но за труды спасибо
0
Про PayPass/PayWave тоже интересно почитать, а именно интересует какого хрена в России при оплате картой Visa всегда спрашивает пин-код?
0
За последний год всего пару раз сталкивался с тем, что в операции отказано(при отмене ввода пин). А пин код не ввожу почти всегда.
+2
Не чипованые магнитные карты встречаются редко
Откуда такие данные? Каждый день хожу в «Ленту», стою в очереди по 10 минут и сам вижу, что у большинства покупателей магнитные карты. Терминалы повернуты к покупателю, что позволяет самому провести по нему картой. PIN-код вводить также не требуется, оплата моментальная, а на чеке ставит подпись сам кассир.
-1
О, я еще забыл добавить, что Ваша статья(пост) относится к параллельной реальности.

Не поделитесь, как туда попасть?
+2
О, Лента, это вообще что-то с чем-то, если речь заходит об использовании банковских карт. Потому что никогда нельзя быть уверенным, а сможешь ли вообще там что-то купить, если нет привычки таскать с собой паспорт везде и всегда. Сегодня ты там без каких-либо проблем покупаешь что-то, расплачиваясь карточкой и не вводя ПИН, не ставя никаких подписей и не предъявляя удостоверения личности(!!!) (хотя у них на каждой кассе написано, что последнее — гарантия нашего спокойствия), а на следующий день кассир поставит на тебя глаза по 10р. и скажет — без паспорта ничего не отдам.
Когда лично меня такое положение дел совсем достало, я попытался разговорить одну из кассиров. Ответ «порадовал» — мы сами в шоке, но наше руководство каждый день новые требования спускает.
На всякий случай — речь идет о «Ленте» в СПБ, Пулковское ш.
И да, чуть не забыл. По поводу магнитных карт у меня статистика прямо противоположна вашей. У большинства — все же чипованные карты с пин-кодом :)
0
Любопытно. Видимо, это руководство конкретной «Ленты» так «шалит». Пользуюсь несколько раз в неделю «Лентой» на проспекте Обуховской обороны, почти всегда расплачиваюсь картой — ни разу не спросили удостоверение личности. Карты были разные — Сбер нулевого уровня, Maestro, Mastercard World (разных банков), никаких проблем (тьфу-тьфу-тьфу!)
+1
Не-не-не, Лента в Москве, в Новокосино тоже каждый раз разные требования предъявляет. До идиотизма. Оплачиваешь покупку в 500р. картой PayPass, а кассир требует показать документ. Показываешь права — сразу успокаивается. Прочитать имя на правах и/или сравнить его с именем на карте — не, зачем. Главное — показать документ.
0
Я бы с радостью, но это ж через весь город пилить. А я весьма ленив :)
+1
Со следующего года российские банки будут обязаны выпускать карты обязательно с чипом.
0
Это все банки. Во всяком случае со стороны Mastercard. В этом году принудительно выводятся устаревшие модели терминалов, т.е. их можно будет использовать, но все 100% рисков ты берешь на себя, терминал дешевле
+1
В США не все банки умеют выпускать карты с чипом вообще, а в большинстве магазинов терминалы умеют читать только магнитную полосу. Ровно с той же неохотой внедряется 3D Secure.
0
Я в курсе. Просто отметил этот факт, потому что в статье приводятся сведения, которые касаются Европы вообще и России, как частности, но которые не распространяются на весь мир.
0
Да согласен, таблица показывает все 100% вариантов, но 3 вариант закрывают 99% количества транзакций.
А еще есть 101% и 102%, типа CNP транзакций.
0
Многие американские интернет-магазины не проверяют CVV2. Но при этом они могут задалбывать с требованием прислать документы или подтвердить адрес кодом из бумажного письма.
0
Лет десять покупаю у них, ни разу не сталкивался. Карты были начиная от Альфы и ВТБ24, заканчивая сбером и СобинБанком
0
Возможно это связано с тем, что я заказываю на адрес посредника в США, а карта российская.
0
Вот совсем недавний пример — payeer.com — при попытке оплатить через них заказ на что-то в районе 10 баксов — сказали «а чой-то у вас карточка нам кажется подозрительной, вышлите фотку (не скан а именно необработанную фотку) вашего паспорта или driver's license нам, мы проверим все».
Еще пару раз подобное встречал на некоторых сайтах, вроде maximuscards.com. Суммы опять же в пределах 10-20 баксов.
0
Исходя из таблички, самая безопасная карта у ТКС. Она с чипом и приоритетом подписи вместо ПИНа.
0
А кто может что сказать о динамическом пароле, который в СМС.
У меня все операции по списанию денег с карточки в инете происходили только после аутентификации паролем в СМС.
Но на днях мой ребенок что-то покупал на ГугльПлей при помощи моей карты и там было достаточно только ввести данные карты
Как такое может быть?
От чего зависит?
Я не давал согласия на такие операции. Мой банк дал?
Сайт считается надежным- поэтому?
к Гугль кошельку карта не привязана
0
ru.wikipedia.org/wiki/3-D_Secure

Если коротко, то есть 2 варианта: 1) Защита со стороны магазина есть, он делает запрос в банк, банк присылает смс, вы вводите код и в случае чего виноваты вы.
2) Защита со стороны магазина не поддерживается, в случае чего виноват магазин.
-1
Не услышал ничего о покупках вообще без авторизации. Приведу пример:
Есть карта с чипом. В России все покупки проходят только через чип и пин-код. Приехал я в Израиль, даю в магазине карту. Они ее проводят магнитной полосой и покупка совершена даже без пин-кода!!! Как так??
+1
Читаем внимательно!
Решение нужен или не нужен ПИН-код принимает терминальное оборудование.
Терминальное оборудование принадлежит банку эквайеру.
Эквайер сам решает какие риск он готов нести.
Only those users with full accounts are able to leave comments.  , please.