Банковская карта - тонкости безопасности

Как мы выяснили в статье "С 2014 года появилась возможность оспорить мошенническую операцию по карте", полностью уповать на защиту карт банком и законом – нельзя. А  с учетом ежегодного роста «фрода» (мошеннических операций по карте) тема безопасного использования карты остается очень актуальной.

В статье попробуем разобраться, как именно клиент может обезопасить себя от действий мошенников.

Выберите карту с чипом или никогда не вводите ПИН-код по карте без чипа

Переход «на чип» широко освещался, как практически 100% защита от карточного мошенничества. Основное преимущество  чипа – чрезвычайно сложно скопировать его данные на копию карты. Попробуем разобраться, так ли безопасны «чиповые» карты.

Сначала замечу, что в России нет чиповых карт международных платежных систем (исключением являются лишь локальные платежные системы, например - Сберкарта). Широко распространены – комбинированные. В них информация хранится как на чипе, так и на имеющейся в наличии магнитной полосе.

Дублирование данных о карте на магнитную полосу сделано из-за необходимости совместимости со старыми платежными терминалами и банкоматами, которые просто не умеют читать чип.

Таким образом, если злоумышленник скопирует магнитную полосу с вашей комбинированной карты и узнает ваш ПИН-код, то без особенных проблем сможет снять наличные деньги с вашего карточного счета в банкомате, который все еще не умеет работать с «чипом».

Но для пользователя карты важнее наличие возможности опротестовать подобную операцию. По правилу переноса ответственности (Liability Shift), в случае использования злоумышленником копии полосы комбинированной карты, ответственность переходит на владельца «старого» банкомата или POS-терминала. И именно он должен вернуть вашему банку всю сумму, списанную по транзакции с участием копии полосы комбинированной карты. А ваш банк, в свою очередь, возместит вам убыток по мошеннической операции.

Увы, но само правило Liability Shift действует не во всех регионах! Например, по картам VISA единое правило переноса ответственности начнет действовать только с 2017 года. Пока же все операции, совершенные по копии карты в США (и некоторых других странах), не попадают под это правило и владелец старого банкомата или терминала не возместит ущерб вашему банку. А ваш банк, в свою очередь, не захочет возмещать его вам из своих средств.

При этом вы можете ни разу не выезжать за пределы России, чтобы столкнуться с подобным мошенничеством! Злоумышленнику лишь достаточно снять копию полосы вашей комбинированной карты, передать файл с данными своему сообщнику в США, а он уже изготовит копию вашей карты и снимет все деньги в американском банкомате. Зачастую так и происходит, т.к. именно владельцы банкоматов США не спешат их модернизировать (из-за отсутствия дополнительных рисков для них) и существенная часть «фрода», по копиям полосы комбинированных карт, обналичивается именно в них.

По MasterCard ситуация намного лучше, в 2013 правило начало действовать в США. Кстати, именно поэтому карты MasterCard считаются безопасней карт платежной системы VISA. Так же по картам MasterCard, как правило, выгоднее рассчитываться «за рубежом» (об этой особенности обязательно напишу в следующих статьях).

Достаточно ли заменить свою карту VISA на MasterCard и навсегда забыть о воровстве с карт через банкоматы? Увы, но нет. Увлекшись борьбой с «виртуальными» мошенниками, комбинированные карты уступают в защите от простых воришек.

Дело в том, что по комбинированной карте вы будете вводить ПИН-код почти в каждом POS-терминале магазина при оплате покупки по карте. И вору достаточно лишь запомнить 4 цифры, стащить у вас портмоне с банковской картой и снять с нее деньги в любом банкомате. При этом данную операцию оспорить точно не получится, даже если сообщить о ней в течение суток в банк.

Зачастую в сговоре с вором может быть сам кассир, особенно при покупках в небольших торговых точках «за рубежом». В туристических поездках люди, как правило, более раскрепощены и у них гораздо проще «стащить» банковскую карту.

Именно поэтому не стоит полностью «списывать» со счетов карты с магнитной полосой. Если вы никогда не вводили по ней ПИН-код (возможно даже не знаете его сами), то безопасность «полосатой» карты в чем-то даже выше «комбинированной». Что-либо купить по копии вашей карты в магазине гораздо сложнее, чем снять с нее деньги в банкомате, который обязательно запросит ПИН-код.

Но осознанно противиться «переходу на чип» так же не стоит. Уже через несколько лет «полосатые карты» перестанут выпускать, поэтому следует привыкать к преимуществам и недостатком новой технологии.

К тому же, для обычного пользователя в оценке надежности карты гораздо важнее следующий пункт.

Убедитесь, что в банке реализована дополнительная проверка при online-покупках по карте (3D-Security)

Даже если вы никогда ничего не покупаете по карте в интернет-магазинах, вам важно знать: поддерживает ли ваша карта дополнительную проверку при совершении online-покупок (3D-Security) или совершить покупку можно лишь по реквизитам, эмбоссированным (нанесенным) на саму карту?

Некоторых до сих пор шокирует тот факт, что еще несколько лет назад для покупки в любом интернет-магазине было достаточным переписать данные карты, явно эмбоссированные на ней: номер карты, фамилия и имя владельца, срок действия и трехзначный CVC2 (CVV2) код на оборотной стороне карты.

Именно поэтому банки, выпускающие карты в России, и ввели фактически невыполнимое требование – не передавать карту постороннему лицу. При этом во многих магазинах (не говоря уже про кафе и рестораны) до сих пор принято передавать карту именно кассиру и он самостоятельно проводит оплату по вашей карте. Сохранит ли он при этом данные вашей карты или нет - остается только гадать.

Когда сумма мошеннических операций по картам, совершенных в интернет-магазинах начала «зашкаливать», платежные системы (в первую очередь VISA и MasterCard) решили ввести дополнительную проверку при online-покупках – запрос дополнительного кода 3DS от банка, выпустившего карту.

Как правило, код 3DS уникален для каждой покупки и отправляется вашим банком на указанный вами номер мобильного телефона в виде СМС сообщения. Иногда так же присутствует возможность ввода кода с таблицы напечатанных одноразовых паролей или даже код 3DS постоянный и задается пользователем при получении карты. Последний способ, разумеется, самый ненадежный.

При этом действует аналогичное правило переноса ответственности. Если магазин не может (или не желает) запрашивать дополнительный код, то риск мошенничества лежит на нем. Верно и обратное, если в магазине реализован требуемый функционал, но он не поддерживается банком, то банк выпустивший карту не оспорит подобную операцию и, соответственно, будет всячески пытаться не вернуть деньги вам за нее.

Таким образом, следует всячески избегать банки, которые до сих пор не поддерживают 3DS! Ведь даже если вы не используете карту для покупок в интернет-магазине, то злоумышленник, просто скопировав данные с нее, может своровать деньги со счета карты.

На мой взгляд, поддержка 3DS даже важнее наличия чипа на карте. Ведь гарантировать невозможность копирования реквизитов карты вы не в состоянии.

Установите лимиты по карте

Некоторые банки предлагают возможность установки лимитов по карте на разные типы операций. Например, можно полностью запретить снятие наличных денег в банкоматах по кредитной карте, которую вы используете исключительно для покупок в магазине. Или же ограничить возможность использования зарплатной карты при любых покупках, за исключением снятия наличных денег в банкомате.

Иногда банк предоставляет возможность ограничить использование карты в выбранных странах. Например, запретить использовать вашу карту «за рубежом».

Увы, но возможность выставлять лимиты есть лишь у немногих банков, и их список очень медленно расширяется. С другой стороны, сами пользователи редко заботятся настройкой лимитов.

Не храните на карте существенных средств

Если ваша карта – дебетовая, то старайтесь не хранить на карте существенных средств. Идеальным вариантом будет тот банк, который предоставляет возможность через интернет-банк переводить деньги с текущего счета на карту и обратно.

В этом случае можно не хранить на карте существенных средств, а переводить на нее с текущего счета частями по мере необходимости.

С кредитными картами не так просто, лимит установлен банком и может быть достаточно существенный. В этом случае рекомендую попросить установить лимит ограниченный среднему 2-х месячному расходу по карте. Либо же «уповать» на остальные приемы безопасного использования карты.

Прочитайте памятку по карте от вашего банка

В своей статье я не стал повторять простых правил (вроде того, что сотрудники банка никогда не запрашивают ваш ПИН-код). Однако ознакомится с ними полезно в любом случае.

Для этого подойдет памятка по использованию карты вашего банка. Несмотря на очевидность советов в ней, я рекомендую их прочитать.