Как стать автором
Обновить

Комментарии 68

А что, если клиент вообще не будет заводить детали карты при оплате товара в интернет-магазине?

Не поленился, снова открыл гугл плеймаркет, скажем — захотел купить книгу. Меня вежливо попросили ввести номер карты и сказали, что сохранят эти данные. Когда дошёл до ввода CVC снова закрыл гугл плеймаркет. Снова я не купил книгу…
И это либо сохранение CVC на моём устройстве (судя по статье это возврат в пещерные 90тые), откуда их может вытащить троян или кейлоггер, либо сохранение в облаках гугл (и когда я потеряю свой телефон — мне любезно восстановят фотки и кредитные карты по данным в облаке). Даже не знаю, что из этого хуже.
Так и вопрос: насколько такие действия гугла противоречат правилам платёжных систем?
CVC не должен сохраняться гуглом. Он используется для однократного холда денежных средств, чтобы подтвердить валидность данных карты на момент добавления.
Мгм, звучит логично. Только откуда я должен узнать об этом до того, как заплатил хотя бы раз? А огромная надпись «мы щас сохраним все ваши параметры кредитки» при обязательном вводе CVC не вдохновила на попытку хотя бы раз сделать покупку. Возможно, это какая-то проблема юзабилити.

А вам — спасибо за совет: сколько я раз рассказывал эту историю — ни один человек мне не сказал, что CVC сохранится для однократного холда (видимо, никого проблема не волнует, все тупо вбивают абы что абы где, не смотря ни на строку браузера и не читая соглашения).
CVC вообще не сохранится, а будет единожды использован для авторизации карты.
А как же случаи когда продавец оформляет подписку и списывает ежемесячно?
Там используется или стандартная схема рекарринга платежных систем, грубо говоря ты запоминаешь ID первого платежа и переодически говоришь «повтори». Переодичность определяешь сам.

Другой вариант — использование операций типа ECI07 (CVV not present), списание с любой карты без ввода CVV-кода. Он вводится только для первичной верификации карты.

Амазон, например, вообще CVV не просит.
Почему нельзя всех заставить перейти на 3D Secure технологию? Амазон да ладно, а есть куча мелочи которые 3D Secure не делают так как это меньше кода.
Потому что люди недовольны будут. У кучи американских банков 3D Secure до сих пор нет. А Amazon… в Европе Амазон может деньги забрать с вашего счёта в банке без всяких кредиток, к примеру :-)

В одной отдельно взятой стране — да, можно что угодно устроить…
НЛО прилетело и опубликовало эту надпись здесь
У меня Amazon снял деньги с карты которая была уже как 2 года просрочена. Студенческий EC2 вдруг стал платный и $20 он каким-то образом снял. Писал в тех.службу обещали вернуть, так и не вернули. Звонил в банк, они ничего не знают (операция прошла успешно). Более того, что в личном кабинете, у меня не было привязанных карт.
НЛО прилетело и опубликовало эту надпись здесь
На самом деле так и задумано. Банковская карта — это ключ к счету, но она не работает с ним на прямую. Карточка работает с неким OTB (Open-To-Buy) лимитом, и сумма в нем может быть не равна остатку средств на счете. Когда вы что-то оплачиваете картой, деньги с вашего счета не списываются мгновенно, лишь уменьшается OTB и авторизация становится в очередь на финансовое подтверждение (outstanding). Финансовая авторизация банком аквайером посылается позже, может даже через пару недель, а бываю случаи что и через год, и только когда она приходит в ваш банк с вашего счета списывают деньги, а outstanding авторизация помечается как проведенная, и OTB корректируется соответственно итоговой сумме (она может отличаться, но это долго объяснять). Outstanding авторизация сама будет удалена вышим банком, а средства разблокированы, если финансовая транзакция не пришла в течении месяца.

Так вот, карта с ее OTB — это лишь способ проверки что вы платежеспособны, а именно финансовая транзакция спишет с вас деньги независимо от того есть ли они у вас, заблокирована ли карта, или еще чего… Даже если вы уйдете в минус.
НЛО прилетело и опубликовало эту надпись здесь
У кардеров нету возможности просто взять и послать финансовую транзакцию без предварительной авторизации. Это может сделать только банк, либо список мерчантов который строго ограничен, например продажи в самолете: представьте что вы летите в самолете и хотите на борту что-то купить, терминал не имеет доступа в сеть, поэтому нет возможности послать авторизацию чтобы проверить ваш баланс, вы можете что-то купить даже если у вас нету денег на счету. Но финансовой транзакцией с вас все равно спишут деньги когда вы приземлитесь, и загонят вас в минус.

Да, конечно продавщица посмотрит на ваш экспаири дейт на карте, а если это чиповая карта, то даже пин попросят ввести (чип умеет сам проверять пин, не посылая запрос в банк), но это лишь чтобы не было претензий к мерчанту.

Банки чуть попроще относятся к очень крупным мерчантам, таким как амазон — это бизнес. Но опять же, по правилам платежек, вам должны в полном объеме вернуть все средства если они были списаны за не предоставленные услуги, тем более по просроченной карте. Надо долбить свой банк. (Хотя согласен что сложно что-то требовать когда слабо представляешь как оно работает, в этом проблема нашего населения)

НЛО прилетело и опубликовало эту надпись здесь
В магазине не смотрят на срок действия, потому что они проводят авторизацию, в России даже уже не так важно в онлайн режиме она проходит или в офлайн режиме, потому что чиповые карты, а чип сразу выдаст устарела ли карта, заблокирована ли, и т.п. (На самом деле процесс взаимодействия карты и терминалом очень сложный, не все карты и не все терминалы одинаковые, у всех свои списки проверок которые выполняются).

По правилам же платежных систем должны смотреть, так же должны смотреть на подпись. Карта без подписи не действительна, хотя я лично не подписал ни одну свою банковскую карту. Если вы попадете в страну где преоблдают магнитные карты (южная америка например) — будут смотреть, и даже паспорт спрашивать.

Про отрицательный баланс я говорил чтобы объяснить главное: финансовой транзакции абсолютно фиолетово заблокирована карта, истекла, есть ли на ней деньги, и т.п. Один банк списывает средства с другого, а он в свою очередь с владельца карты.
Другой вопрос что попасть на финансовую транзакцию без авторизации — это очень редкий случай.

Все банки работают по этой схеме, это договора с платежными системами, иначе они не смогли бы выпускать карты мастеркарда, визы и т.п. Другой вопрос если банку лень решать вашу проблему, но вы можете спокойно обращаться к платежной системе напрямую, они дадут вашему банку по голове. Тем более что эти финансовые транзакции идут как раз через них.

Вполне достаточно просто заблокировать карту, кардера это действительно остановит, потому что как я ранее сказал, просто финансовую транзакцию без предварительной авторизации провести очень сложно. А если что-то и прошло после блокировки, оно легко оспаривается.

Но полностью защититься можно наверное лишь полным закрытием счета в банке (тут уже у каждого банка договора разные).
НЛО прилетело и опубликовало эту надпись здесь
Получается, блокировка карты — не «панацея» от списания средств с украденной карты?
Блокируются только определённые виды платежей. Не все. В конце-концов если какая-нибудь организация 200-300 летней историей «прокатала» вашу карту — она же должна получить свои деньги? Причём тут все эти новомодные 3D-изыскания?
НЛО прилетело и опубликовало эту надпись здесь
Вы могли провести авторизацию год назад, и вам даже смска приходила. Но реально деньги за нее спишут только сейчас, уже после того как вы заблокировали карту.
В действительности, на систематической основе сталкивался с таким только на ямайке. Были мерчанты с очень старыми терминалами не умеющими реконсилироваться, которые их очень редко использовали, но все-таки использовали. Поэтому раз в пол года-год продавцы с распечатанным чеком ползли в банк, и только тогда с владельцев карт реально списывали деньги.
НЛО прилетело и опубликовало эту надпись здесь
Да, верно, деньги заблокировали, но примерно через месяц ваш банк сам их разблокирует. Так как вам скорее всего не сообщат что их разблокировали (только в выписке такие моменты могут отражаться), вы можете этого не заметить. А вот когда их опять спишут, но уже окончательно, вы можете заподозрить неладное…
Это уже детали, которые в каждом конкретном банке разнятся. Тут вы никак толком не узнаете, насколько мало багов в АБС конкретной организации, максимум что можно — это пользоваться услугами солидных банков в расчёте, что у них-то бардака поменьше.
Детали о том, как деньги двигаются по картсчёту и расчётному счёту описаны постом выше хорошо: минимум подробностей не заслоняет саму схему.
Заходите на немецкий Amazon, покупаете что-нибудь, вбиваете немецкий же IBAN, через пару дней деньги уходят со счёта.

Иметь кредитку для этого в принципе необязательно.
НЛО прилетело и опубликовало эту надпись здесь
Когда есть выбор, я плачу по той системе где нет 3d secure. Мне лень вставать искать телефон, водить разовые коды. Кстати одна из причин, по которой стараюсь не покупать в российских интернет магазинах — они все требуют этот код.
У каждого человека свои вкусы. Я как раз очень не люблю магазины, где не спрашивают подтверждения кода по SMS — не могу вспомнить ни одного, где бы я захотел заплатить второй раз после того, как увидел, что у меня списывают деньги просто так, без всяких подтверждений.
У каждого человека свои вкусы, да — но есть и статистика. Параноиков мало, ленивых много, так что… вывод очевиден…
Такую операцию вы можете легко опротестовать и забрать деньги, а вот если ввели код 3DS — нет.
НЛО прилетело и опубликовало эту надпись здесь
На самом деле, если такое произойдет, деньги вам вернут. У платежных систем есть правила по разбору диспутов/чарджбеков, и там есть такой пункт как Liability Shift, так вот в кратце: если ваш банк эмитент поддерживает 3-D Secure, но аквайер его не запросил, то виноват аквайер и финансовые потери на нем.
НЛО прилетело и опубликовало эту надпись здесь
Чаще всего деньги от мерчанта отзываются сразу как только банк ишуер послал чарджбек, и только потом начинается разбирательство. Оно не всегда длится долго, но это бюрократический процесс. Поверьте, банки этим занимаются постоянно, это не единичные случаи. Естественно поддержка будет вам говорить что это может затянуться.

Я работаю с банковскими системами.
НЛО прилетело и опубликовало эту надпись здесь
Это раньше надо было доказывать, что вы не верблюд.
Согласно текущему законодательству, вам сначала вернут деньги, а потом (если докажут, что вы верблюд), будут сильно пороть розгами…
НЛО прилетело и опубликовало эту надпись здесь
Вы правильно рассуждаете. Кто угодно, кто сфотографировал карту, может купить «ноутбук за штуку баксов на ебай». А мне же для того чтоб оплатить 7 долларов за интернет или телефон приходится вводить какие-то коды.
Если бы код требовался в зависимости от размера суммы — это бы другой разговор. Например платежи более 100 баксов только с СМС.
Если бы код требовался в зависимости от размера суммы — это бы другой разговор. Например платежи более 100 баксов только с СМС.


Не поможет, можно сделать N транзакций, каждая на сумму 100 баксов и у вас будут N*100 баксов.
Банки тоже не дураки. У меня был случай, когда мне банк отклонял попытку оплатить онлайн-покупку. Позвонил в банк, сказали примерно следующее, что было установлено ограничение на количество транзакций, и потому, если я хочу оплатить 4ую покупку в этих сутках, мне нужно снять это ограничение.
выжепрограммист :) значит лимит на транзакцию 50 долларов и на сутки 100 долларов. это достаточно для снижения рисков.

кстати сегодня вы не сможете в течении 10 минут оплатить две покупки подряд в одном магазине например. механизм аналогичен
НЛО прилетело и опубликовало эту надпись здесь
Вот сейчас почти у всех чиповые карты. Ридер для смарткарт вроде не такое уж дорогое устройство, можно в ноутбуки встраивать. Почему нет технологии, позволяющей оплачивать в интернете с использованием реального чипа реальной карты? Ведь в таком случае данные карты вообще никуда не передаются, и токены никуда не передаются, и украсть их в принципе невозможно, пока не научились удалённо считывать приватные ключи из чипа.
Если встраивать ридер, то надо и экран для него отдельный, чтобы детали платежа отображать и клавиатуру для ввода пин-кода. Нужно создать т.н. доверенную среду, чтобы быть однозначно уверенным в том что платишь столько, сколько просят и туда, куда надо.
Детали платежа можно и софтово показывать. Какое-нибудь отдельное окно в браузере, которое не сэмулировать с сайта.
Серьёзно? Вы надеетесь что домохозяйка, вбивающая адрес сайта в первую попавшуюся строку ввода на первом попавшемся сайте сможет понять — это окно можно «сэмулировать с сайта» или нельзя?

Если бы пользователи думали головой, то много проблем сразу бы отпало. Но когда у вас сто миллионов клиентов, то даже 1% идитов среди них — это миллион пользователей, который будут хотят вас распять, когда у них деньги пропадут…
Доверять такому окну нельзя, потому что существует огромное количество вариантов, как подменить в нем информацию. Поэтому только отдельное законченное устройство может гарантировать Вам достоверность и неизменяемость информации.
Есть ридеры и со встроенными пин-клавиатурами, и экранами, и даже со встроенными принтерами для печати чеков. Стоят около 100 долларов за штуку. Цепляются по блютусу, либо те что попроще — через разъем для наушников (ну они обычно предназначены для использования в паре со смартфоном как мобильный терминал оплаты)
Проблема курицы и яйца. Железо появилось ещё в прошлом веке, но владельцы сайтов его не используют, так как оно мало у кого есть. А мало у кого оно есть, так как покупки можно совершать и без него.
«Почти у всех» — это вам так кажется. В США до сих пор более популярны магнитные полоски, например.
Одного не могу понять, почему CVC код не идет в конверте вместе с PIN кодом. Даже при кратковременной передачи карточки для проведения оплаты карта может быть скомпроментирована (сфотографированы лицевая и обратная сторона). Отсутствие CVC на самой карте сделало бы бессмысленным такой фокус.
Полностью согласен. У нас на многих заправках карту приходится отдавать в окошко для оплаты. И что там с ней делает кассир не видно, если голову в это маленькое окошко не засовывать. И все равно, ничего не мешает кассиру поставить тот же смартфон на запись видео, чтобы быстро заснять обе стороны карты. А потом прощай денежки, потому что кто-то сделает покупку в зарубежном интернет-магазине. Приходится всегда в интернет-банке блокировать оплату картой через интернет и включать только на то время, когда сам что-то купить хочешь.
НЛО прилетело и опубликовало эту надпись здесь
Интересно, почему 3d secure нельзя сделать опцией банка эмитента, которую клиент, совершающий покупки, может по своему желанию подключить или отключить?
Потому что конкуренция. Потому что куча мелких магазинчиков, которые всё настроили лет 5-10 назад сразу отпадут. Потому что, в конечном итоге, супернадёжная система, через которую вы не можете заплатить никому нафиг не нужна: Bitcoin уже существует, однако.

Всем разработчикам приходится соотносить риски и утерянную прибыль, однако. В какой-то момент, возможно, платежи без 3D-secure банки и перестанут принимать. Но вряд ли это случится уж очень скоро…
НЛО прилетело и опубликовало эту надпись здесь
Не могу понять, почему они отпадут?
Ум. Вы же вроде сами всё объяснили.

Получается, в банке есть условно 2 url: первый — для платежа без 3d secure, второй — для платежа с 3d secure. И от магазина зависит, какой url использовать.
Если бы дело было только в URL'ях! Многие магазинчики вообще пользуются системами учёта и обработки платежей, разработанными лет 10-20-30 назад под телефонные заказы. У них нет никаких URL'ей в самом магазине! У них есть база заказов куда стекаются все заказы — в том числе сделанные и через телефон и через Web. А потом она, скажем, раз в сутки, выгребает оттуда все заказы и «отоваривает» их.

Куда вы тут 3D Secure прицепите? Тут весь дизайн всего IT-хозяйства в магазине менять надо!

На мой взгляд, этот подход устарел, и банк вполне может отметить первый url как deprecated, и через некоторое время удалить.
Вот лет через 10 так и сделают. А пока — «рановато будет»…

Преимущество России тут в том, что в 90е годы всё к чёртовой матери развалили и в XXI веке все системы были отстроены заново. Большинство Internet-магазинов — это именно что Internet-магазины, а не надстройка к магазинам, заточенным под торговлю «по каталогу». В Америке и Европе этого не было… там огромное число магазинов по прежнему рассылают каталоги и принимают заказы по телефону! А Web туда добавлен «сбоку»…
НЛО прилетело и опубликовало эту надпись здесь
Теоретически это сделать можно. Но на практике ни VISA, на MasterCard этого делать не хотят. Внутри России это, в принципе, можно было бы сделать — но для этого тоже нужно время.
НЛО прилетело и опубликовало эту надпись здесь
Банк может заблокировать все транзакции без 3D-secure «скопом», но тогда вы и за номер в гостинице заплатить не сможете! Вряд ли вы этого хотите.

А вот платёжная система могла бы различать эти транзакции — но они, похоже, с этим заморачиваться не хотят.
Приходится всегда в интернет-банке блокировать оплату картой через интернет и включать только на то время, когда сам что-то купить хочешь.
А от чего это защищает? Как вы угадываете момент, когда нужно оплату черещ Internet включать?

Я общался со многими западными Internet-магазинами и в подавляющем большинстве магазинчиков (да и крупных магазинов — всё тот же пресловутый Amazon) деньги снимались с карты вовсе не сразу после оформления заказа. Иногда — через час, иногда — через месяц.
Блокировка идёт только на транзакцию, насколько я понимаю. Я делаю разблокировку платежей непосредственно перед оплатой и блокирую сразу после оплаты. Проблем ещё не возникало.
Удивительно. То ли вы вообще никогда ничего не покупали в зарубежных магазинах, то ли вы для вас «зарубежный магазин == AliExpress».

Вы на Amazon'е вообще чего-нибудь когда-нибудь покупали? Вот если я сейчас, сегодня, пойду и закажу какой-нибудь Naruto Shippuden: Ultimate Ninja Storm 4 то когда, как вы думаете, транзакция случится? Правильный ответ: где-то в районе 9го февраля. Может — чуть раньше, может — чуть позже. А если выпуск игры отложат — то и через полгода может быть. Какой-нибудь Patreon снимает деньги в начале месяца — но это может случиться 2го или 5го. Kickstarter снимает в 48 часов после окончания компании…

Или вы ждёте пока вам письмо придёт с отказом о транзакции, потом разрешаете ей пройти, надеясь, что это случится в 24 часа, потом снова запрещаете… это же не жизнь, а какая-то постоянная борьба! Как так можно жить?
Покупал на eBay, в Steam и в нескольких китайских магазинах. Ещё раз говорю, что ни разу проблем не было: разблокировка происходит только на момент оплаты в интернет-магазине. Не больше, не меньше. Во всех случаях списание происходило в тот же момент. Ежемесячные автоплатежи вообще не люблю и стараюсь их избегать: не люблю когда что-то списывается без моего участия.
Покупал на eBay, в Steam и в нескольких китайских магазинах.
Ну то есть в западных магазинах вы не покупали ничего и никогда. Steam не в счёт — у него нет заморочек с логистикой, товар «внезапно кончится» не может. Тогда — да, тогда верю.

В этом смысле Россия — это всё-таки азия :-) На «западе» (то есть в США, Европе, Японии, Австралии… ну на таком «условном» западе) жизнь устроена совсем по другому и ваш подход в принципе работать не может. Там почти во всех местах «что-то списывается без вашего участия».

Отсюда, кстати, много конфликтов возникают. Типа того же недоумения с Google Play, когда он блокирует 30 рублей, а в комментариях буча поднимается. С точки зрения Гугла не произошло ничего страшного вообще: он просто проверил существование карты, чтобы убедиться в том, что клиент существует в природе и является совершеннолетним, даже никаких денег не списал (только заблокировал) — чисто техническая операция, большинство западных банков о ней даже клиенту сообщать не будут… C точки зрения же российского покупателя Гугл совершил чуть ли не преступление, LOL.
Запомните, а потом закрасьте/заклейте CVC-код на карте.
почему CVC код не идет в конверте вместе с PIN кодом.

Хороший вопрос. Ответа я не знаю, но помню советы некоторых бывалых параноиков: берёте лезвие и аккуратно зачищаете циферки, чтобы их никто не мог прочитать.
Хорошая практика — его попросту стирать. Но незнание CVV кода лишь незначительно усложняет жизнь мошенникам.
НЛО прилетело и опубликовало эту надпись здесь
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.