(no subject)
Вы думаете, ваши деньги на банковской карте в полной безопасности, если она подключена к системе 3D-Secure? До последнего времени я так же думал. И так и надо думать, если вы вообще запретили интернет-операции по реквизитам карты (или установили лимит таких операций в 0, что, по сути, то же самое); в этом случае даже неважно, подключена ли карта к 3D-Secure или нет. Но, даже если карта к этой «системе защиты» и подключена, деньги на ней, как оказалось, вовсе не находятся под защитой, во всяком случае, всегда. Итак, система 3D-Secure подразумевает, что для совершения платежа или перевода с карты, кроме её реквизитов, которые, понятное дело, могут быть известны не только вам, надо ввести ещё и только вам известный пароль или код, полученный в СМС-сообщении. Так вот, оказалось, что этот пароль или код запрашиваются не всегда (!). Платёж может осуществиться и без ввода этих защитных данных, как-будто никакой системы 3D-Secure и не существует вовсе. Например, так происходит при платеже за электроэнергию на сайте «Мосэнергосбыта». Собственно адрес сайта - мосэнергосбыт.рф; если на нём перейти к оплате с карты, то попадаем на страницу с адресом https://engine.paymentgate.ru/merchant/mos_energo_sbyt/register_ru.jsp. Я логично предполагаю, что очень многие пользовались этой страничкой, оплачивали электроэнергию и, вполне возможно, даже не заметили той вопиющей опасности, которой подвергаются (и подвергались) средства на их картах. Возможно, многие даже не спохватились: «А где, собственно, окно с запросом пароля??? На каком основании совершён платёж без его запроса!!!???». Видимо, людям, более заботящимся о зашибании денег, нежели об их сохранности, некогда задаваться подобными «лишними» вопросами: «платёж прошёл, да и ладно». А ведь ситуация гораздо серьёзнее, чем может показаться на первый взгляд. Ведь данный пример с оплатой электоэнергии в московском регионе - это всего лишь случайно обнаруженный факт, который, в свою очередь, свидетельствует о том, что система-то 3D-Secure, оказывается, неабсолютна, банки и платёжные системы (а может, и другие организации?) могут её обходить или, говоря иначе, не задействовать (что, по их утверждению, абсолютно законно). Такое положение дел открывает ворота перед мошенниками и наносит серьёзный удар по карточным технологиям.
Предвосхищу возражение. «Поскольку оплата электроэнергии производится на определённый лицевой счёт по определённому почтовому адресу, то этот получатель платежа и есть мошенник, его легко найти». Отвечаю. Во-первых, дело вовсе не только в данном примере, вполне возможно, что, не сработав где-либо, система 3D-Secure не сработает и где-нибудь ещё. Во-вторых, никого не прельщает перспектива разбираться в подобном случае, если он произойдёт. Более того, если факт мошеннического платежа будет замечен держателем карты не сразу, то, вполне возможно, что банк откажет (!) в приёме претензии, ссылаясь на условия договора, в котором может быть указано, что операции по карте, не опротестованные держателем карты в течение определённого срока, опротестовыванию не подлежат (как правило, такой срок - десять суток). К тому же, держатель карты во время такого мошеннического платежа может находиться далеко от банка-эмитента (например, за границей), что, помимо прочего, может поставить держателя карты в сложное финансовое положение (платёж с карты в вышеуказанном примере может достигать 50000 рублей - и это только один платёж). И в-третьих. Посмотрим на проблему шире. Предположим, человек А знает реквизиты банковской карты человека Б и лицевой счёт человека В. Напоминаю, что такие сведения особо секретными не являются и могут быть узнаны человеком А без особых трудностей. Человек А, желая «насолить» человеку Б или В (или обоим), совершает в интернете, на этой самой странице, платёж с карты человека Б на лицевой счёт человека В. Человеку В, на первый взгляд, хорошо, он получил «халявный» платёж на свой счёт. Но это только на первый взгляд. Потому что через некоторое время он с ужасом узнаёт, что он... мошенник!!! Ему приходится разбираться, а вернее, с ним хочет разобраться человек Б, которого он, человек В, и знать-то, возможно, не знает! Цель человека А достигнута. Его никто не найдёт. Потому что в описанной ситуации его просто никто не будет искать.
Не храните деньги на банковских картах с разрешённой оплатой по их реквизитам в интернете! Даже если они подключены к 3D-Secure.
Всё вышеизложенное к оплате в интернет-банкингах банков не имеет ни малейшего отношения.
Предвосхищу возражение. «Поскольку оплата электроэнергии производится на определённый лицевой счёт по определённому почтовому адресу, то этот получатель платежа и есть мошенник, его легко найти». Отвечаю. Во-первых, дело вовсе не только в данном примере, вполне возможно, что, не сработав где-либо, система 3D-Secure не сработает и где-нибудь ещё. Во-вторых, никого не прельщает перспектива разбираться в подобном случае, если он произойдёт. Более того, если факт мошеннического платежа будет замечен держателем карты не сразу, то, вполне возможно, что банк откажет (!) в приёме претензии, ссылаясь на условия договора, в котором может быть указано, что операции по карте, не опротестованные держателем карты в течение определённого срока, опротестовыванию не подлежат (как правило, такой срок - десять суток). К тому же, держатель карты во время такого мошеннического платежа может находиться далеко от банка-эмитента (например, за границей), что, помимо прочего, может поставить держателя карты в сложное финансовое положение (платёж с карты в вышеуказанном примере может достигать 50000 рублей - и это только один платёж). И в-третьих. Посмотрим на проблему шире. Предположим, человек А знает реквизиты банковской карты человека Б и лицевой счёт человека В. Напоминаю, что такие сведения особо секретными не являются и могут быть узнаны человеком А без особых трудностей. Человек А, желая «насолить» человеку Б или В (или обоим), совершает в интернете, на этой самой странице, платёж с карты человека Б на лицевой счёт человека В. Человеку В, на первый взгляд, хорошо, он получил «халявный» платёж на свой счёт. Но это только на первый взгляд. Потому что через некоторое время он с ужасом узнаёт, что он... мошенник!!! Ему приходится разбираться, а вернее, с ним хочет разобраться человек Б, которого он, человек В, и знать-то, возможно, не знает! Цель человека А достигнута. Его никто не найдёт. Потому что в описанной ситуации его просто никто не будет искать.
Не храните деньги на банковских картах с разрешённой оплатой по их реквизитам в интернете! Даже если они подключены к 3D-Secure.
Всё вышеизложенное к оплате в интернет-банкингах банков не имеет ни малейшего отношения.