Как снять с карты деньги без кода CVV


Недавно нужно было пополнить карту Рокетбанк с карты Альфа-Банк, вот что из этого вышло.

Как снять с карты деньги без кода CVV

Карты альфы с собой не было, ну вроде номер, дату помню, решил код CVC2/CVV2 тоже вспомню. Операцию провел, деньги перевелись.

Вечером приехал домой, решил проверить код, а CVV другой! Те есть вся страна пересылает друг другу лицевую сторону карты со сроком, но бережно хранит cvc, который банк, оказывается, не чекает!

Пишу в Альфу узнать как такое могло произойти. Мне отвечают, что вообще ни при каких обстоятельствах этого не могло было быть, идите типа в Рокет и с ними разбирайтесь.

Я, конечно, не поверил, но спросил и мои догадки подтвердились. Проблема оказалась на стороне Альфа-банка. Пишу в альфу и ещё раз говорю, что у них дыра в безопасности и чтобы с ней разобрались. Они опять отвечают, что проблема не у них.

Ладно, раз не у них дыра, значит она у Рокетбанка, но решил перепроверить эту теорию. Захожу в Тинькофф Банк и пополняю там карту с карты АльфаБанка с неверным кодом Си-Ви-Ви и опять перевод проходит!

Опять пишу в альфу, чтобы разобрались. Говорю: переводил в два банка и в обоих случаях платежи прошли с неверными данными. А они меня опять отправляют в поддержку вышеуказанных банков, типа у них проблемы. Ну я уже не отстаю и требую  разобраться.

И вдруг, оказывается, выясняется вот что: «Операция проходит, так как их вы подтверждали по SMS, то есть если бы сторонний сервис не требовал СМС, то с неправильным CVV кодом и операция бы не прошла. Ну а в данном случае код с оборота карточки можно было и вовсе не указывать.»

Да, я знал, что есть сайты интернет-магазинов, на которых оплата идет только по номеру карты и сроку действия, а CVV не обязателен, например, в Amazon. Но чтобы переводы C2C проходили без указания верного кода безопасности это было для меня открытием!

Оказалось, что операция действительно может произойти, если был указан верный код из SMS. Дело в том, что процедура проверки Альфа-Банком карты отправителя осуществляется одним из трех способов:

  • верификация по коду CVC2/CVV2-кода
  • верификация по одноразовому SMS-паролю
  • верификация по 3DSecure

То есть, если перевод с карты на карту был подтвержден по SMS в рамках технологии 3D-Secure, то дополнительный ввод CVV/CVC не нужен. Сегодня это уже сложившаяся общепринятая практика, используемая на данный момент практически всеми банками.

Это объясняется просто — технология подтверждения по коду CVV разрабатывалась когда 3D-Secure ещё не было и служила защитой от несанкционированных платежей по платёжным данным с лицевой стороны банковской карточки. Таким образом подтверждение переводов CVV-кодом уже, оказывается, является пережитком прошлого, как когда-то подпись на чеках-слипах в магазинах.

Но как быть с тем, что сегодня всё, что передается посредством SMS, совсем не находится в безопасности? Например, достаточно взять свой  смартфон и посмотреть список приложений, имеющих разрешение на чтение сообщений SMS — вот вы тем самым и отдали им полный доступ ко всем своим банковским счетам. Ведь зачастую СМС-код является единственной преградой для авторизации доступа к банк-клиенту вашего в онлайн-банка.

И это не считая админов систем операторов связи, контент-провайдеров, через которые работают системы рассылки смсок, операторов СОРМ (сокр. от Система технических средств для обеспечения функций оперативно-разыскных мероприятий). При желании все они могут получить определенный доступ к вашим финансам. В интерфейсе СОРМ или лог-контроллера вполне реально подсмотреть все подтверждающие коды от банков и платежных систем. В Сбербанке, например, для активации андроид-клиента достаточно ТОЛЬКО sms!

И про клон SIM-карты сегодня уже слышали многие, хотя от клонирования защита какая-то все-таки у банков работает. Например, при клоне сим-карты блокируются транзакции по 3DSecure. Хотя, говорят, нет 100%-ой гарантии блокировки при клонировании симок, а вот при их перевыпуске оператором — есть.

В итоге, для отправки денег по номеру карты нужно знать только ее 16-значный номер. Срок и код CVV/CVC сейчас это уже лишнее. Главное сделать так, чтобы получать смску с кодом 3DSecure на секретный телефон, номер которого известен только вам.



Теги: , , , , , ,

Добавить комментарий

Ваш e-mail не будет опубликован.

86 − 83 =