Недавно нужно было пополнить карту Рокетбанк с карты Альфа-Банк, вот что из этого вышло.
Карты альфы с собой не было, ну вроде номер, дату помню, решил код CVC2/CVV2 тоже вспомню. Операцию провел, деньги перевелись.
Вечером приехал домой, решил проверить код, а CVV другой! Те есть вся страна пересылает друг другу лицевую сторону карты со сроком, но бережно хранит cvc, который банк, оказывается, не чекает!
Пишу в Альфу узнать как такое могло произойти. Мне отвечают, что вообще ни при каких обстоятельствах этого не могло было быть, идите типа в Рокет и с ними разбирайтесь.
Я, конечно, не поверил, но спросил и мои догадки подтвердились. Проблема оказалась на стороне Альфа-банка. Пишу в альфу и ещё раз говорю, что у них дыра в безопасности и чтобы с ней разобрались. Они опять отвечают, что проблема не у них.
Ладно, раз не у них дыра, значит она у Рокетбанка, но решил перепроверить эту теорию. Захожу в Тинькофф Банк и пополняю там карту с карты АльфаБанка с неверным кодом Си-Ви-Ви и опять перевод проходит!
Опять пишу в альфу, чтобы разобрались. Говорю: переводил в два банка и в обоих случаях платежи прошли с неверными данными. А они меня опять отправляют в поддержку вышеуказанных банков, типа у них проблемы. Ну я уже не отстаю и требую разобраться.
И вдруг, оказывается, выясняется вот что: «Операция проходит, так как их вы подтверждали по SMS, то есть если бы сторонний сервис не требовал СМС, то с неправильным CVV кодом и операция бы не прошла. Ну а в данном случае код с оборота карточки можно было и вовсе не указывать.»
Да, я знал, что есть сайты интернет-магазинов, на которых оплата идет только по номеру карты и сроку действия, а CVV не обязателен, например, в Amazon. Но чтобы переводы C2C проходили без указания верного кода безопасности это было для меня открытием!
Читайте также: промокоды Алиэкспресс и как заказ получить в «Пятерочке»
Оказалось, что операция действительно может произойти, если был указан верный код из SMS. Дело в том, что процедура проверки Альфа-Банком карты отправителя осуществляется одним из трех способов:
- верификация по коду CVC2/CVV2-кода
- верификация по одноразовому SMS-паролю
- верификация по 3DSecure
То есть, если перевод с карты на карту был подтвержден по SMS в рамках технологии 3D-Secure, то дополнительный ввод CVV/CVC не нужен. Сегодня это уже сложившаяся общепринятая практика, используемая на данный момент практически всеми банками.
Это объясняется просто — технология подтверждения по коду CVV разрабатывалась когда 3D-Secure ещё не было и служила защитой от несанкционированных платежей по платёжным данным с лицевой стороны банковской карточки. Таким образом подтверждение переводов CVV-кодом уже, оказывается, является пережитком прошлого, как когда-то подпись на чеках-слипах в магазинах.
Но как быть с тем, что сегодня всё, что передается посредством SMS, совсем не находится в безопасности? Например, достаточно взять свой смартфон и посмотреть список приложений, имеющих разрешение на чтение сообщений SMS — вот вы тем самым и отдали им полный доступ ко всем своим банковским счетам. Ведь зачастую СМС-код является единственной преградой для авторизации доступа к банк-клиенту вашего в онлайн-банка.
И это не считая админов систем операторов связи, контент-провайдеров, через которые работают системы рассылки смсок, операторов СОРМ (сокр. от Система технических средств для обеспечения функций
И про клон SIM-карты сегодня уже слышали многие, хотя от клонирования защита какая-то все-таки у банков работает. Например, при клоне сим-карты блокируются транзакции по 3DSecure. Хотя, говорят, нет 100%-ой гарантии блокировки при клонировании симок, а вот при их перевыпуске оператором — есть.
В итоге, для отправки денег по номеру карты нужно знать только ее 16-значный номер. Срок и код CVV/CVC сейчас это уже лишнее. Главное сделать так, чтобы получать смску с кодом 3DSecure на секретный телефон, номер которого известен только вам.