Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 29
А зачем тогда в пригципе писать срок действия на карте?
Он указал, что такая возможность впервые появилась во время пандемии COVID-19, когда у граждан отсутствовала возможность посещать отделения банков.
В других странах карты прекрасно приходят по почте и посещать отделение не требуется.
По почте?
При условии что на карте напечатаны все данные для её использования злоумышленником.
А почему нет? Хоть на улицах стопками складывать можно.
Обязательную активации карты в приложении осилили уже все банки. Без нее это просто кусок пластика которым разве что лед со стекла машины соскрести можно.
Обязательную активации карты в приложении осилили уже все банки.
Сценарий атаки:
Списываем данные.
Дожидаемся когда клиент ее активирует.
Пользуемся записанными данными.
Какая последняя строка - понятно.
Это если предположение "напечатаны все данные для её использования злоумышленником" верны.
Тут вопрос - а что, у МИР-а тоже есть сценарии, когда это верно? Их вот прямо не глядя с более старых карточных систем скопировали?
Давно пора сделать обязательный 3ds везде где еще нет. И пусть все с списывают с физической карты что им угодно.
Отмена любой транзакции без 3ds должна быть по одному клику. Пусть кто хочет из продавцов сам рискует.
Сценарий атаки:
Списываем данные.
Дожидаемся когда клиент ее активирует.
Пользуемся записанными данными.
Я, честно говоря, уже и не помню, чтобы где-то по таким картам была возможность что-то оплатить чисто по реквизитам и CVV, без двухфакторного подтверждения, будь-то 3D Secure, или там в банковском приложении.
списываем данные
клиент получает вскрытый конверт
клиент отказывается от активации скомпрометированной карты
конец.
Zero liability. Банк возвращает вам деньги и сам ищет мошенников.
Они в запечатанном конверте. Чипованная карта не списывается, а покупки в интернете сравнительно легко оспариваются.
Отмена любой транзакции без 3ds должна быть по одному клику. Пусть кто хочет из продавцов сам рискует.
Оно почти так и есть.
Сценарий не попадалова по сценарию выше 1. Увидел, что приехал вскрытый конверт (а по другому данные не узнаешь).
2. Не активируешь карту.
3. Опционально обращаешься с такой проблемой в банк (полицию).
4. Находят умника, который ворует данные карт, набутыливают по всей строгости закона.
Да, по почте. В конвертах. И даже пины приходят, в другом письме, через недельку.
Можно делать numberless карты, такие выпускают уже лет пять в некоторых странах.
Так не активируйте карту, если она придёт во вскрытом конверте.
По почте?
При условии что на карте напечатаны все данные для её использования злоумышленником.
Вспомните времена бума потребкредитования - банки (типа русского стандарта) вообще безадресно кредитки по почтовым ящикам распихивали.
Ну в этом (в целом идиотском конечно) случае рядовой пользователь имеет два дополнительных "уровня защиты":
подавляющее большинство этих кредиток полетит сразу в мусорку, без активации. Т.е. невыгодно становится - собирать гораздо больше данных предварительно, а потом просеивать, еще и увеличивая кратно риски засветится на каком-то этапе
интерес мелких мошенников вступает в конфликт с интересами более крупных эмм... организаций. А это можно сказать самый надежный гарант (локального) правопорядка.
Я, честно говоря, не помню, чтобы ходил в отделение за картой. Обычно курьер привозит
А зачем тогда в пригципе писать срок действия на карте?
В нормальных ситуациях оно действует, но сейчас в стране разброд вот и латки на латки и это игнорят
А зачем тогда в пригципе писать срок действия на карте?
У просроченных карт, к слову, даже если на стороне банка и подправили срок действия в базе данных, перестаёт работать бесконтактная оплата, т.к. по ней предварительная валидация производится на стороне терминала, не гоняя авторизацинные запросы в банк. Поэтому срок годности у них все равно есть, а эти манипуляции - лишь костыль, призванный как-то поддержать людей, не имеющих возможности вовремя менять карты.
Ну полно вам, моя visa до 23-го года, уже дважды «виртуально» перевыпущенная сбером по сроку прекрасно работает с бесконтактной оплатой.
У меня такая же. В транспорте не работает
Зато у меня совершенно виртуальная карта МИР, которой вообще нет никаких причин искусственно продлевать срок не перевыпускается банком, ибо "можно, но зачем", но при этом не принимается некоторыми онлайн-магазинами, потому что таки валидация срока прямо на фронтенде
Кто-нибудь может объяснить абзац про ограничение офлайн транзакций - ничего не понял - так истёкшие карты имеют какие-то ограничения? Что они там собрались уменьшать?
Всё просто. Говорят о том, что к 2028 году по истёкшим картам будет 2,5% от общего количества транзакций по всем картам, исёкших и актульных.
Транзакция по карте может быть онлайн (когда эквайер запрашивает авторизацию по карте у эмитента) и офлайн (когда не запрашивает). В первом случае риск меньше, т.к. эмитент карты просто не авторизует операцию, если карта утеряна или счёт закрыт или на нём нет денег. Поэтому для онлайн транзакций не так важно соблюдение срока. Офлайновые транзакции проводятся без запроса эмитента карты, и может оказаться, что когда эквайер запросит расчёт по операции у эмитента, то эмитенту придётся искать владельца карты и требовать деньги с него, если счёт уже закрыт или на нём нет денег. А если владелец карты заявил об утрате, то расплачиваться самому. Поэтому они хотят запретить офлайновые транзакции после истечения срока карты, а онлайновые оставить. Но доля офлайновых постоянно снижается, то есть после истечения срока карта будет функционировать почти также, как до истечения срока.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Банки РФ: карты «Мир» с истёкшим сроком действия продолжат работать на постоянной основе, за одним исключением