Comments 56
Отказ от PIN-кода красной кнопкой — это стандарт или инициатива банка/торговой точки?
+3
То есть, я могу отказаться вводить ПИН, и покупка совершится всё равно?
+2
Отказаться можешь. Но также банк может отказать в одобрении транзакции.
В 99% случаев решение о вводе или не вводе пин-кода принимает терминальное устройство. И блокирует всякие попытки карты провести offline проверку пин-кода.
Так же надо понимать что засветить пин-код от чиповой карыт не так страшно как кажется. Даже если у тебя отскиммирили магнитку и тиснули пин-код на мошенническом терминале. То воспользоваться мошенники такими данными смогут ограниченно. Нормалный фрод мониторинг сразу такие операции отклонит.
Ну а если ты просрал карту и пин-код подглядели, то уж извини тут хоть магнитная, хоть чиповая, хоть бесконтактная карта все операции пройдут на ура.
В 99% случаев решение о вводе или не вводе пин-кода принимает терминальное устройство. И блокирует всякие попытки карты провести offline проверку пин-кода.
Так же надо понимать что засветить пин-код от чиповой карыт не так страшно как кажется. Даже если у тебя отскиммирили магнитку и тиснули пин-код на мошенническом терминале. То воспользоваться мошенники такими данными смогут ограниченно. Нормалный фрод мониторинг сразу такие операции отклонит.
Ну а если ты просрал карту и пин-код подглядели, то уж извини тут хоть магнитная, хоть чиповая, хоть бесконтактная карта все операции пройдут на ура.
+1
Да, скорее всего банк отклонит. Не зря же запрашивают ПИН.
0
Ну почему же? Очень часто, запрос PIN — это инициатива терминала, а не банка.
У меня чипованая платиновая виза и в повседневных покупках я всегда использовал только авторизацию по подписи. PIN — либо в банкоматах, либо при оплате существенных сумм.
И я точно никогда бы не стал платить с вводом PIN в ненадежных местах, такие как заправки, бары, рестораны,..., где вероятность физического увода карты больше, чем в других заведениях.
У меня чипованая платиновая виза и в повседневных покупках я всегда использовал только авторизацию по подписи. PIN — либо в банкоматах, либо при оплате существенных сумм.
И я точно никогда бы не стал платить с вводом PIN в ненадежных местах, такие как заправки, бары, рестораны,..., где вероятность физического увода карты больше, чем в других заведениях.
0
У Вас карта настроена на приоритет PIN? Или постоянно через красную кнопку подпись ставите?
0
Через красную кнопку. Отказов пока не было, за исключением того, что не все кассиры знают об этой возможности и иногда приходилось им говорить о необходимости прочитать текст на терминале для продолжения операции.
А приоритет PIN или подписи на карте я честно говоря даже не знаю. Надо будет в банке спросить.
А приоритет PIN или подписи на карте я честно говоря даже не знаю. Надо будет в банке спросить.
0
Весь вопрос в том, как оплатить покупку, если ты не хочешь светить PIN код, отменяешь его ввод, а оператор отменяет транзакцию(ну не хочет он по подписи авторизовывать)? Или есть какой-то регламент, обязывающий их принимать авторизацию по подписи?
0
Терминалы корректно обрабатывают ситуацию при ошибке чтения чипа и позволяют провести оплату с использованием магнитной полосы. Алгоритм такой:
1. Проводим магнитной полосой => Терминал говорит что надо использовать чип
2. Вставляем карту, но так, чтобы чип был наружу, т.е. обратной стороной => Терминал принимает это за ошибку чтения и просит повторить (или пишет что-то про ошибку)
3. Повторяем предыдущий пункт еще 2 раза
4. После этого терминал разрешает провести оплату при помощи магнитной полосы
Про данную особенность мне рассказал сотрудник компании, которая предоставила нам банковский терминал для разработки ПО, которое общается с ним (терминалом) по WiFi.
Данная возможность заложена на случай поломки считывателя в терминале или неисправности чипа на карте.
Все хочу проверить эту возможность на верипосовских терминалах, но в последнее время тестовых в офисе не появлялось.
1. Проводим магнитной полосой => Терминал говорит что надо использовать чип
2. Вставляем карту, но так, чтобы чип был наружу, т.е. обратной стороной => Терминал принимает это за ошибку чтения и просит повторить (или пишет что-то про ошибку)
3. Повторяем предыдущий пункт еще 2 раза
4. После этого терминал разрешает провести оплату при помощи магнитной полосы
Про данную особенность мне рассказал сотрудник компании, которая предоставила нам банковский терминал для разработки ПО, которое общается с ним (терминалом) по WiFi.
Данная возможность заложена на случай поломки считывателя в терминале или неисправности чипа на карте.
Все хочу проверить эту возможность на верипосовских терминалах, но в последнее время тестовых в офисе не появлялось.
+4
А еще говорят что кур доят.
Вы описали процедуру нарушения условий использования терминального оборудования. Это может быть ошибкой в ПО, но ни как не «стандартным функционалом»
Вы описали процедуру нарушения условий использования терминального оборудования. Это может быть ошибкой в ПО, но ни как не «стандартным функционалом»
+2
Это именно стандартное поведение, но о нем широко не афишируют. Сделано для того, чтобы иметь возможность провести оплату при испорченном чипе.
Лично я менял одну из карточек как раз из-за не работающего чипа. Проводишь магнитной полосой, а терминал говорил что надо использовать чип. Ну а чип он не мог прочитать.
Тогда еще не знал о возможности 3-х ошибок, разрешения прочитать магнитную полосу и подписать слип по старинке.
Лично я менял одну из карточек как раз из-за не работающего чипа. Проводишь магнитной полосой, а терминал говорил что надо использовать чип. Ну а чип он не мог прочитать.
Тогда еще не знал о возможности 3-х ошибок, разрешения прочитать магнитную полосу и подписать слип по старинке.
0
Да?
Вы проходили EMV сертификацию?
Такая фичка обойдется компании в 50 K$ и полгода потерянного времени.
Вы проходили EMV сертификацию?
Такая фичка обойдется компании в 50 K$ и полгода потерянного времени.
0
Это называется emv technical fallback — если чип поврежден, то терминал может провести операцию по полосе.
Но это зависит от настроек
Но это зависит от настроек
0
Плавали знаем, в попу такие решения.
Я конечно передергиваю, но так и не долго договорится до:
Магнитная полоса не читается давай номер разрешим клиенту вводить.
Не видно номера на карте пусть ее по памяти клиент введет.
Надежность чипа примерно на 3 порядка выше чем магнитной полосы с высокой коэрцитивной силой, так что необходимость таких фичек разговоры в пользу мошенников.
Я конечно передергиваю, но так и не долго договорится до:
Магнитная полоса не читается давай номер разрешим клиенту вводить.
Не видно номера на карте пусть ее по памяти клиент введет.
Надежность чипа примерно на 3 порядка выше чем магнитной полосы с высокой коэрцитивной силой, так что необходимость таких фичек разговоры в пользу мошенников.
0
Согласно требованиям международных платежных систем при наличии комбинированной карты и невозможности прочитать чип разрешается проводить операцию по магнитке.
0
«подпись» — как я понимаю дело сугубо добровольное? и зависит от торговой точки (либо договора с банком). Неоднократно расплачивался (небольшие суммы, до 1т.р. точно, возможно где-то несколько больше) без ввода пинкода и без подписи.
0
Да это возможно для увеличения скорости обслуживания. Серьезная точка может заключить такой договор с банком. Но только тогда она принимает все риски мошенничества на себя.
Хотя если вы обратили внимание в России массово нарушаются условия обслуживания карт по подписи.
Порядок должны быть таким:
1 Ввели сумму
2 Прочитали карту
3 Получил подтверждение транзакции
4 Распечатали чек
5 Клиент расписался в чеке
6 Кассир сравнил подпись в чеке с подписью в карте
7 Если подписи совпадет то все Ok, карту отдаем клиенту с копией чека
Хотя если вы обратили внимание в России массово нарушаются условия обслуживания карт по подписи.
Порядок должны быть таким:
1 Ввели сумму
2 Прочитали карту
3 Получил подтверждение транзакции
4 Распечатали чек
5 Клиент расписался в чеке
6 Кассир сравнил подпись в чеке с подписью в карте
7 Если подписи совпадет то все Ok, карту отдаем клиенту с копией чека
+1
То есть вы утверждаете что кассир на месте может провести почерковедческую экспертизу за пару секунд, определить является ли подпись на чеке и на карте «идентичными», и если кассиру кажется что они не идентичны — отказать в покупке.
Кстати никогда не понимал подобной меры, ведь злоумышленник имея 5-10 минут «свободного времени» может научится более-менее сносно подделывать подпись по образцу (карта то у него уже есть), а на некоторых картах даже стереть подпись (они и так почти везде полустерты) и поставить свою.
Кстати никогда не понимал подобной меры, ведь злоумышленник имея 5-10 минут «свободного времени» может научится более-менее сносно подделывать подпись по образцу (карта то у него уже есть), а на некоторых картах даже стереть подпись (они и так почти везде полустерты) и поставить свою.
+2
Утверждаю не я, а правил платежных систем. В частности «правила приема карточек в предприятиях торговли и сервиса».
Так же как держатель карты Вы с этими условия и допущениями согласны. Так что если не согласны то не используйте карты.
Если карта у вас изготовлена качественное то стереть подпись не получится. Если хотите что бы ваша карта стала не действительной можете провести этот эксперимент и поделится здесь. Я вам потом в частной переписке скажу что надо посмотреть на обратной стороне кареты что бы «страна узнала фиговых производителей пластика».
Только пара маленьких условий:
1 Не расписывайтесь карандашом. Его можно реально смыть водой.
2 Прежде чем стирать подпись дайте 3-4 часа засохнуть чернилам, не важно каким.
Так же как держатель карты Вы с этими условия и допущениями согласны. Так что если не согласны то не используйте карты.
Если карта у вас изготовлена качественное то стереть подпись не получится. Если хотите что бы ваша карта стала не действительной можете провести этот эксперимент и поделится здесь. Я вам потом в частной переписке скажу что надо посмотреть на обратной стороне кареты что бы «страна узнала фиговых производителей пластика».
Только пара маленьких условий:
1 Не расписывайтесь карандашом. Его можно реально смыть водой.
2 Прежде чем стирать подпись дайте 3-4 часа засохнуть чернилам, не важно каким.
-1
Если не введен PIN и терминал напечатал на чеке поле для подписи, то подпись обязательна. Если Вы не распишитесь, то кассир имеет право отменить операцию.
0
Например в Украине это вообще неактуально. Оффлайн режима нет в принципе, т.к. это в постсоветском пространстве 90% мошенническая операция. В России, подозреваю, тоже. Пост интересный, но расходится с реальностью. Почему paypass не затронут? Это вполне уже актуально.
Я проработал 10 лет в банке и имел отношение к процессингам и платежным картам. Так вот. 99,9% мошеннических операций это либо клиент потерял карту без пина, либо засветил ее номер и cvv в магазине/интернете.
Самый страшный случай фрода в моей жизни предотвратила бабушка-кассир в супермаркете, когда отказалась продать моей жене продуктов на 4 доллара по карте с мужским именем, с тех пор даю ей обезличенную карту))
P.S. И еще автор забыл упомянуть один сценарий. Повторная покупка в том же терминале в течении короткого времени всегда запрашивает пин независимо от суммы.
P.P.S. Не понимаю что этот пост делает в информационной безопасности. Это ликбез для новичков скорее. Но за труды спасибо
Я проработал 10 лет в банке и имел отношение к процессингам и платежным картам. Так вот. 99,9% мошеннических операций это либо клиент потерял карту без пина, либо засветил ее номер и cvv в магазине/интернете.
Самый страшный случай фрода в моей жизни предотвратила бабушка-кассир в супермаркете, когда отказалась продать моей жене продуктов на 4 доллара по карте с мужским именем, с тех пор даю ей обезличенную карту))
P.S. И еще автор забыл упомянуть один сценарий. Повторная покупка в том же терминале в течении короткого времени всегда запрашивает пин независимо от суммы.
P.P.S. Не понимаю что этот пост делает в информационной безопасности. Это ликбез для новичков скорее. Но за труды спасибо
+3
За последний год всего пару раз сталкивался с тем, что в операции отказано(при отмене ввода пин). А пин код не ввожу почти всегда.
0
Откуда такие данные? Каждый день хожу в «Ленту», стою в очереди по 10 минут и сам вижу, что у большинства покупателей магнитные карты. Терминалы повернуты к покупателю, что позволяет самому провести по нему картой. PIN-код вводить также не требуется, оплата моментальная, а на чеке ставит подпись сам кассир.Не чипованыемагнитные карты встречаются редко
+2
О, я еще забыл добавить, что Ваша статья(пост) относится к параллельной реальности.
Не поделитесь, как туда попасть?
Не поделитесь, как туда попасть?
-1
О, Лента, это вообще что-то с чем-то, если речь заходит об использовании банковских карт. Потому что никогда нельзя быть уверенным, а сможешь ли вообще там что-то купить, если нет привычки таскать с собой паспорт везде и всегда. Сегодня ты там без каких-либо проблем покупаешь что-то, расплачиваясь карточкой и не вводя ПИН, не ставя никаких подписей и не предъявляя удостоверения личности(!!!) (хотя у них на каждой кассе написано, что последнее — гарантия нашего спокойствия), а на следующий день кассир поставит на тебя глаза по 10р. и скажет — без паспорта ничего не отдам.
Когда лично меня такое положение дел совсем достало, я попытался разговорить одну из кассиров. Ответ «порадовал» — мы сами в шоке, но наше руководство каждый день новые требования спускает.
На всякий случай — речь идет о «Ленте» в СПБ, Пулковское ш.
И да, чуть не забыл. По поводу магнитных карт у меня статистика прямо противоположна вашей. У большинства — все же чипованные карты с пин-кодом :)
Когда лично меня такое положение дел совсем достало, я попытался разговорить одну из кассиров. Ответ «порадовал» — мы сами в шоке, но наше руководство каждый день новые требования спускает.
На всякий случай — речь идет о «Ленте» в СПБ, Пулковское ш.
И да, чуть не забыл. По поводу магнитных карт у меня статистика прямо противоположна вашей. У большинства — все же чипованные карты с пин-кодом :)
+2
Любопытно. Видимо, это руководство конкретной «Ленты» так «шалит». Пользуюсь несколько раз в неделю «Лентой» на проспекте Обуховской обороны, почти всегда расплачиваюсь картой — ни разу не спросили удостоверение личности. Карты были разные — Сбер нулевого уровня, Maestro, Mastercard World (разных банков), никаких проблем (тьфу-тьфу-тьфу!)
0
Не-не-не, Лента в Москве, в Новокосино тоже каждый раз разные требования предъявляет. До идиотизма. Оплачиваешь покупку в 500р. картой PayPass, а кассир требует показать документ. Показываешь права — сразу успокаивается. Прочитать имя на правах и/или сравнить его с именем на карте — не, зачем. Главное — показать документ.
+1
Приходите на Руставели — там таким не балуются.
0
Со следующего года российские банки будут обязаны выпускать карты обязательно с чипом.
+1
В США не все банки умеют выпускать карты с чипом вообще, а в большинстве магазинов терминалы умеют читать только магнитную полосу. Ровно с той же неохотой внедряется 3D Secure.
+1
Замена инфраструктуры это гигантские деньги.
0
Я в курсе. Просто отметил этот факт, потому что в статье приводятся сведения, которые касаются Европы вообще и России, как частности, но которые не распространяются на весь мир.
0
Амазон вон даже CVV2 не проверяет, не то что 3Dsecure, и ничего )
0
Многие американские интернет-магазины не проверяют CVV2. Но при этом они могут задалбывать с требованием прислать документы или подтвердить адрес кодом из бумажного письма.
0
Кто, например?
0
Вот совсем недавний пример — payeer.com — при попытке оплатить через них заказ на что-то в районе 10 баксов — сказали «а чой-то у вас карточка нам кажется подозрительной, вышлите фотку (не скан а именно необработанную фотку) вашего паспорта или driver's license нам, мы проверим все».
Еще пару раз подобное встречал на некоторых сайтах, вроде maximuscards.com. Суммы опять же в пределах 10-20 баксов.
Еще пару раз подобное встречал на некоторых сайтах, вроде maximuscards.com. Суммы опять же в пределах 10-20 баксов.
0
Исходя из таблички, самая безопасная карта у ТКС. Она с чипом и приоритетом подписи вместо ПИНа.
0
А кто может что сказать о динамическом пароле, который в СМС.
У меня все операции по списанию денег с карточки в инете происходили только после аутентификации паролем в СМС.
Но на днях мой ребенок что-то покупал на ГугльПлей при помощи моей карты и там было достаточно только ввести данные карты
Как такое может быть?
От чего зависит?
Я не давал согласия на такие операции. Мой банк дал?
Сайт считается надежным- поэтому?
к Гугль кошельку карта не привязана
У меня все операции по списанию денег с карточки в инете происходили только после аутентификации паролем в СМС.
Но на днях мой ребенок что-то покупал на ГугльПлей при помощи моей карты и там было достаточно только ввести данные карты
Как такое может быть?
От чего зависит?
Я не давал согласия на такие операции. Мой банк дал?
Сайт считается надежным- поэтому?
к Гугль кошельку карта не привязана
0
ru.wikipedia.org/wiki/3-D_Secure
Если коротко, то есть 2 варианта: 1) Защита со стороны магазина есть, он делает запрос в банк, банк присылает смс, вы вводите код и в случае чего виноваты вы.
2) Защита со стороны магазина не поддерживается, в случае чего виноват магазин.
Если коротко, то есть 2 варианта: 1) Защита со стороны магазина есть, он делает запрос в банк, банк присылает смс, вы вводите код и в случае чего виноваты вы.
2) Защита со стороны магазина не поддерживается, в случае чего виноват магазин.
0
Не услышал ничего о покупках вообще без авторизации. Приведу пример:
Есть карта с чипом. В России все покупки проходят только через чип и пин-код. Приехал я в Израиль, даю в магазине карту. Они ее проводят магнитной полосой и покупка совершена даже без пин-кода!!! Как так??
Есть карта с чипом. В России все покупки проходят только через чип и пин-код. Приехал я в Израиль, даю в магазине карту. Они ее проводят магнитной полосой и покупка совершена даже без пин-кода!!! Как так??
-1
Sign up to leave a comment.
Когда запрашивается PIN-код при оплате?