Comments 56
Отказ от PIN-кода красной кнопкой — это стандарт или инициатива банка/торговой точки?
То есть, я могу отказаться вводить ПИН, и покупка совершится всё равно?
Отказаться можешь. Но также банк может отказать в одобрении транзакции.
В 99% случаев решение о вводе или не вводе пин-кода принимает терминальное устройство. И блокирует всякие попытки карты провести offline проверку пин-кода.
Так же надо понимать что засветить пин-код от чиповой карыт не так страшно как кажется. Даже если у тебя отскиммирили магнитку и тиснули пин-код на мошенническом терминале. То воспользоваться мошенники такими данными смогут ограниченно. Нормалный фрод мониторинг сразу такие операции отклонит.
Ну а если ты просрал карту и пин-код подглядели, то уж извини тут хоть магнитная, хоть чиповая, хоть бесконтактная карта все операции пройдут на ура.
В 99% случаев решение о вводе или не вводе пин-кода принимает терминальное устройство. И блокирует всякие попытки карты провести offline проверку пин-кода.
Так же надо понимать что засветить пин-код от чиповой карыт не так страшно как кажется. Даже если у тебя отскиммирили магнитку и тиснули пин-код на мошенническом терминале. То воспользоваться мошенники такими данными смогут ограниченно. Нормалный фрод мониторинг сразу такие операции отклонит.
Ну а если ты просрал карту и пин-код подглядели, то уж извини тут хоть магнитная, хоть чиповая, хоть бесконтактная карта все операции пройдут на ура.
Да, скорее всего банк отклонит. Не зря же запрашивают ПИН.
Ну почему же? Очень часто, запрос PIN — это инициатива терминала, а не банка.
У меня чипованая платиновая виза и в повседневных покупках я всегда использовал только авторизацию по подписи. PIN — либо в банкоматах, либо при оплате существенных сумм.
И я точно никогда бы не стал платить с вводом PIN в ненадежных местах, такие как заправки, бары, рестораны,..., где вероятность физического увода карты больше, чем в других заведениях.
У меня чипованая платиновая виза и в повседневных покупках я всегда использовал только авторизацию по подписи. PIN — либо в банкоматах, либо при оплате существенных сумм.
И я точно никогда бы не стал платить с вводом PIN в ненадежных местах, такие как заправки, бары, рестораны,..., где вероятность физического увода карты больше, чем в других заведениях.
У Вас карта настроена на приоритет PIN? Или постоянно через красную кнопку подпись ставите?
Через красную кнопку. Отказов пока не было, за исключением того, что не все кассиры знают об этой возможности и иногда приходилось им говорить о необходимости прочитать текст на терминале для продолжения операции.
А приоритет PIN или подписи на карте я честно говоря даже не знаю. Надо будет в банке спросить.
А приоритет PIN или подписи на карте я честно говоря даже не знаю. Надо будет в банке спросить.
Весь вопрос в том, как оплатить покупку, если ты не хочешь светить PIN код, отменяешь его ввод, а оператор отменяет транзакцию(ну не хочет он по подписи авторизовывать)? Или есть какой-то регламент, обязывающий их принимать авторизацию по подписи?
Терминалы корректно обрабатывают ситуацию при ошибке чтения чипа и позволяют провести оплату с использованием магнитной полосы. Алгоритм такой:
1. Проводим магнитной полосой => Терминал говорит что надо использовать чип
2. Вставляем карту, но так, чтобы чип был наружу, т.е. обратной стороной => Терминал принимает это за ошибку чтения и просит повторить (или пишет что-то про ошибку)
3. Повторяем предыдущий пункт еще 2 раза
4. После этого терминал разрешает провести оплату при помощи магнитной полосы
Про данную особенность мне рассказал сотрудник компании, которая предоставила нам банковский терминал для разработки ПО, которое общается с ним (терминалом) по WiFi.
Данная возможность заложена на случай поломки считывателя в терминале или неисправности чипа на карте.
Все хочу проверить эту возможность на верипосовских терминалах, но в последнее время тестовых в офисе не появлялось.
1. Проводим магнитной полосой => Терминал говорит что надо использовать чип
2. Вставляем карту, но так, чтобы чип был наружу, т.е. обратной стороной => Терминал принимает это за ошибку чтения и просит повторить (или пишет что-то про ошибку)
3. Повторяем предыдущий пункт еще 2 раза
4. После этого терминал разрешает провести оплату при помощи магнитной полосы
Про данную особенность мне рассказал сотрудник компании, которая предоставила нам банковский терминал для разработки ПО, которое общается с ним (терминалом) по WiFi.
Данная возможность заложена на случай поломки считывателя в терминале или неисправности чипа на карте.
Все хочу проверить эту возможность на верипосовских терминалах, но в последнее время тестовых в офисе не появлялось.
А еще говорят что кур доят.
Вы описали процедуру нарушения условий использования терминального оборудования. Это может быть ошибкой в ПО, но ни как не «стандартным функционалом»
Вы описали процедуру нарушения условий использования терминального оборудования. Это может быть ошибкой в ПО, но ни как не «стандартным функционалом»
Это именно стандартное поведение, но о нем широко не афишируют. Сделано для того, чтобы иметь возможность провести оплату при испорченном чипе.
Лично я менял одну из карточек как раз из-за не работающего чипа. Проводишь магнитной полосой, а терминал говорил что надо использовать чип. Ну а чип он не мог прочитать.
Тогда еще не знал о возможности 3-х ошибок, разрешения прочитать магнитную полосу и подписать слип по старинке.
Лично я менял одну из карточек как раз из-за не работающего чипа. Проводишь магнитной полосой, а терминал говорил что надо использовать чип. Ну а чип он не мог прочитать.
Тогда еще не знал о возможности 3-х ошибок, разрешения прочитать магнитную полосу и подписать слип по старинке.
Да?
Вы проходили EMV сертификацию?
Такая фичка обойдется компании в 50 K$ и полгода потерянного времени.
Вы проходили EMV сертификацию?
Такая фичка обойдется компании в 50 K$ и полгода потерянного времени.
Это называется emv technical fallback — если чип поврежден, то терминал может провести операцию по полосе.
Но это зависит от настроек
Но это зависит от настроек
Плавали знаем, в попу такие решения.
Я конечно передергиваю, но так и не долго договорится до:
Магнитная полоса не читается давай номер разрешим клиенту вводить.
Не видно номера на карте пусть ее по памяти клиент введет.
Надежность чипа примерно на 3 порядка выше чем магнитной полосы с высокой коэрцитивной силой, так что необходимость таких фичек разговоры в пользу мошенников.
Я конечно передергиваю, но так и не долго договорится до:
Магнитная полоса не читается давай номер разрешим клиенту вводить.
Не видно номера на карте пусть ее по памяти клиент введет.
Надежность чипа примерно на 3 порядка выше чем магнитной полосы с высокой коэрцитивной силой, так что необходимость таких фичек разговоры в пользу мошенников.
Согласно требованиям международных платежных систем при наличии комбинированной карты и невозможности прочитать чип разрешается проводить операцию по магнитке.
«подпись» — как я понимаю дело сугубо добровольное? и зависит от торговой точки (либо договора с банком). Неоднократно расплачивался (небольшие суммы, до 1т.р. точно, возможно где-то несколько больше) без ввода пинкода и без подписи.
Да это возможно для увеличения скорости обслуживания. Серьезная точка может заключить такой договор с банком. Но только тогда она принимает все риски мошенничества на себя.
Хотя если вы обратили внимание в России массово нарушаются условия обслуживания карт по подписи.
Порядок должны быть таким:
1 Ввели сумму
2 Прочитали карту
3 Получил подтверждение транзакции
4 Распечатали чек
5 Клиент расписался в чеке
6 Кассир сравнил подпись в чеке с подписью в карте
7 Если подписи совпадет то все Ok, карту отдаем клиенту с копией чека
Хотя если вы обратили внимание в России массово нарушаются условия обслуживания карт по подписи.
Порядок должны быть таким:
1 Ввели сумму
2 Прочитали карту
3 Получил подтверждение транзакции
4 Распечатали чек
5 Клиент расписался в чеке
6 Кассир сравнил подпись в чеке с подписью в карте
7 Если подписи совпадет то все Ok, карту отдаем клиенту с копией чека
То есть вы утверждаете что кассир на месте может провести почерковедческую экспертизу за пару секунд, определить является ли подпись на чеке и на карте «идентичными», и если кассиру кажется что они не идентичны — отказать в покупке.
Кстати никогда не понимал подобной меры, ведь злоумышленник имея 5-10 минут «свободного времени» может научится более-менее сносно подделывать подпись по образцу (карта то у него уже есть), а на некоторых картах даже стереть подпись (они и так почти везде полустерты) и поставить свою.
Кстати никогда не понимал подобной меры, ведь злоумышленник имея 5-10 минут «свободного времени» может научится более-менее сносно подделывать подпись по образцу (карта то у него уже есть), а на некоторых картах даже стереть подпись (они и так почти везде полустерты) и поставить свою.
Утверждаю не я, а правил платежных систем. В частности «правила приема карточек в предприятиях торговли и сервиса».
Так же как держатель карты Вы с этими условия и допущениями согласны. Так что если не согласны то не используйте карты.
Если карта у вас изготовлена качественное то стереть подпись не получится. Если хотите что бы ваша карта стала не действительной можете провести этот эксперимент и поделится здесь. Я вам потом в частной переписке скажу что надо посмотреть на обратной стороне кареты что бы «страна узнала фиговых производителей пластика».
Только пара маленьких условий:
1 Не расписывайтесь карандашом. Его можно реально смыть водой.
2 Прежде чем стирать подпись дайте 3-4 часа засохнуть чернилам, не важно каким.
Так же как держатель карты Вы с этими условия и допущениями согласны. Так что если не согласны то не используйте карты.
Если карта у вас изготовлена качественное то стереть подпись не получится. Если хотите что бы ваша карта стала не действительной можете провести этот эксперимент и поделится здесь. Я вам потом в частной переписке скажу что надо посмотреть на обратной стороне кареты что бы «страна узнала фиговых производителей пластика».
Только пара маленьких условий:
1 Не расписывайтесь карандашом. Его можно реально смыть водой.
2 Прежде чем стирать подпись дайте 3-4 часа засохнуть чернилам, не важно каким.
Если не введен PIN и терминал напечатал на чеке поле для подписи, то подпись обязательна. Если Вы не распишитесь, то кассир имеет право отменить операцию.
Например в Украине это вообще неактуально. Оффлайн режима нет в принципе, т.к. это в постсоветском пространстве 90% мошенническая операция. В России, подозреваю, тоже. Пост интересный, но расходится с реальностью. Почему paypass не затронут? Это вполне уже актуально.
Я проработал 10 лет в банке и имел отношение к процессингам и платежным картам. Так вот. 99,9% мошеннических операций это либо клиент потерял карту без пина, либо засветил ее номер и cvv в магазине/интернете.
Самый страшный случай фрода в моей жизни предотвратила бабушка-кассир в супермаркете, когда отказалась продать моей жене продуктов на 4 доллара по карте с мужским именем, с тех пор даю ей обезличенную карту))
P.S. И еще автор забыл упомянуть один сценарий. Повторная покупка в том же терминале в течении короткого времени всегда запрашивает пин независимо от суммы.
P.P.S. Не понимаю что этот пост делает в информационной безопасности. Это ликбез для новичков скорее. Но за труды спасибо
Я проработал 10 лет в банке и имел отношение к процессингам и платежным картам. Так вот. 99,9% мошеннических операций это либо клиент потерял карту без пина, либо засветил ее номер и cvv в магазине/интернете.
Самый страшный случай фрода в моей жизни предотвратила бабушка-кассир в супермаркете, когда отказалась продать моей жене продуктов на 4 доллара по карте с мужским именем, с тех пор даю ей обезличенную карту))
P.S. И еще автор забыл упомянуть один сценарий. Повторная покупка в том же терминале в течении короткого времени всегда запрашивает пин независимо от суммы.
P.P.S. Не понимаю что этот пост делает в информационной безопасности. Это ликбез для новичков скорее. Но за труды спасибо
За последний год всего пару раз сталкивался с тем, что в операции отказано(при отмене ввода пин). А пин код не ввожу почти всегда.
Откуда такие данные? Каждый день хожу в «Ленту», стою в очереди по 10 минут и сам вижу, что у большинства покупателей магнитные карты. Терминалы повернуты к покупателю, что позволяет самому провести по нему картой. PIN-код вводить также не требуется, оплата моментальная, а на чеке ставит подпись сам кассир.Не чипованыемагнитные карты встречаются редко
О, я еще забыл добавить, что Ваша статья(пост) относится к параллельной реальности.
Не поделитесь, как туда попасть?
Не поделитесь, как туда попасть?
О, Лента, это вообще что-то с чем-то, если речь заходит об использовании банковских карт. Потому что никогда нельзя быть уверенным, а сможешь ли вообще там что-то купить, если нет привычки таскать с собой паспорт везде и всегда. Сегодня ты там без каких-либо проблем покупаешь что-то, расплачиваясь карточкой и не вводя ПИН, не ставя никаких подписей и не предъявляя удостоверения личности(!!!) (хотя у них на каждой кассе написано, что последнее — гарантия нашего спокойствия), а на следующий день кассир поставит на тебя глаза по 10р. и скажет — без паспорта ничего не отдам.
Когда лично меня такое положение дел совсем достало, я попытался разговорить одну из кассиров. Ответ «порадовал» — мы сами в шоке, но наше руководство каждый день новые требования спускает.
На всякий случай — речь идет о «Ленте» в СПБ, Пулковское ш.
И да, чуть не забыл. По поводу магнитных карт у меня статистика прямо противоположна вашей. У большинства — все же чипованные карты с пин-кодом :)
Когда лично меня такое положение дел совсем достало, я попытался разговорить одну из кассиров. Ответ «порадовал» — мы сами в шоке, но наше руководство каждый день новые требования спускает.
На всякий случай — речь идет о «Ленте» в СПБ, Пулковское ш.
И да, чуть не забыл. По поводу магнитных карт у меня статистика прямо противоположна вашей. У большинства — все же чипованные карты с пин-кодом :)
Любопытно. Видимо, это руководство конкретной «Ленты» так «шалит». Пользуюсь несколько раз в неделю «Лентой» на проспекте Обуховской обороны, почти всегда расплачиваюсь картой — ни разу не спросили удостоверение личности. Карты были разные — Сбер нулевого уровня, Maestro, Mastercard World (разных банков), никаких проблем (тьфу-тьфу-тьфу!)
Не-не-не, Лента в Москве, в Новокосино тоже каждый раз разные требования предъявляет. До идиотизма. Оплачиваешь покупку в 500р. картой PayPass, а кассир требует показать документ. Показываешь права — сразу успокаивается. Прочитать имя на правах и/или сравнить его с именем на карте — не, зачем. Главное — показать документ.
Приходите на Руставели — там таким не балуются.
Со следующего года российские банки будут обязаны выпускать карты обязательно с чипом.
В США не все банки умеют выпускать карты с чипом вообще, а в большинстве магазинов терминалы умеют читать только магнитную полосу. Ровно с той же неохотой внедряется 3D Secure.
Замена инфраструктуры это гигантские деньги.
Амазон вон даже CVV2 не проверяет, не то что 3Dsecure, и ничего )
Многие американские интернет-магазины не проверяют CVV2. Но при этом они могут задалбывать с требованием прислать документы или подтвердить адрес кодом из бумажного письма.
Кто, например?
Вот совсем недавний пример — payeer.com — при попытке оплатить через них заказ на что-то в районе 10 баксов — сказали «а чой-то у вас карточка нам кажется подозрительной, вышлите фотку (не скан а именно необработанную фотку) вашего паспорта или driver's license нам, мы проверим все».
Еще пару раз подобное встречал на некоторых сайтах, вроде maximuscards.com. Суммы опять же в пределах 10-20 баксов.
Еще пару раз подобное встречал на некоторых сайтах, вроде maximuscards.com. Суммы опять же в пределах 10-20 баксов.
Исходя из таблички, самая безопасная карта у ТКС. Она с чипом и приоритетом подписи вместо ПИНа.
А кто может что сказать о динамическом пароле, который в СМС.
У меня все операции по списанию денег с карточки в инете происходили только после аутентификации паролем в СМС.
Но на днях мой ребенок что-то покупал на ГугльПлей при помощи моей карты и там было достаточно только ввести данные карты
Как такое может быть?
От чего зависит?
Я не давал согласия на такие операции. Мой банк дал?
Сайт считается надежным- поэтому?
к Гугль кошельку карта не привязана
У меня все операции по списанию денег с карточки в инете происходили только после аутентификации паролем в СМС.
Но на днях мой ребенок что-то покупал на ГугльПлей при помощи моей карты и там было достаточно только ввести данные карты
Как такое может быть?
От чего зависит?
Я не давал согласия на такие операции. Мой банк дал?
Сайт считается надежным- поэтому?
к Гугль кошельку карта не привязана
ru.wikipedia.org/wiki/3-D_Secure
Если коротко, то есть 2 варианта: 1) Защита со стороны магазина есть, он делает запрос в банк, банк присылает смс, вы вводите код и в случае чего виноваты вы.
2) Защита со стороны магазина не поддерживается, в случае чего виноват магазин.
Если коротко, то есть 2 варианта: 1) Защита со стороны магазина есть, он делает запрос в банк, банк присылает смс, вы вводите код и в случае чего виноваты вы.
2) Защита со стороны магазина не поддерживается, в случае чего виноват магазин.
Не услышал ничего о покупках вообще без авторизации. Приведу пример:
Есть карта с чипом. В России все покупки проходят только через чип и пин-код. Приехал я в Израиль, даю в магазине карту. Они ее проводят магнитной полосой и покупка совершена даже без пин-кода!!! Как так??
Есть карта с чипом. В России все покупки проходят только через чип и пин-код. Приехал я в Израиль, даю в магазине карту. Они ее проводят магнитной полосой и покупка совершена даже без пин-кода!!! Как так??
Sign up to leave a comment.
Когда запрашивается PIN-код при оплате?