Кредитные карты являются неотъемлемой частью повседневной жизни многих людей. Их используют, например, для оплаты покупок в Интернете, но возникает вопрос: насколько безопасны такие финансовые операции. К сожалению, многие задаются вопросами безопасности только в тот момент, когда уже ощутили проблемы на себе. Какие опасности могут подстерегать владельцев кредитных карт при совершении операций в Интернете, мы расскажем в этой статье.
Классический пример мошенничества
Владелец кредитной карты Т. из Франкфурта перед важной и длительной командировкой решил увеличить кредитный лимит, так как планировал брать машину для деловых поездок напрокат. Как известно, при получении прокатного автомобиля на месте на карточном счете блокируется сумма залога. Это могло существенно ограничить финансовую свободу г-на Т. при существующем кредитном лимите, поэтому его увеличение он посчитал необходимым. Т. увеличил кредитный лимит своей карты до 3000 евро, чтобы во время поездки не столкнуться с финансовыми трудностями.
Г-н Т. ранее часто использовал свою карту Amazon.de Visa для оплаты онлайн-покупок, поэтому был хорошо знаком с особенностями управления ею через Интернет. После входа в свою учетную запись он воспользовался функцией увеличения кредитного лимита. Как и в случае совершения через Интернет других операций, он получил на смартфон текстовое сообщение с номером транзакции (TAN), который необходим для авторизации доступа к счету карты Visa.
На следующий день г-н Т. получил письмо о том, что его счет заблокирован. Он был уверен, что письмо является попыткой мошенничества, на которую нельзя реагировать. Он проигнорировал письмо о блокировке счета и на время забыл о нем. Свою ошибку Т. понял только через несколько недель, когда у него возникла необходимость оплатить с помощью своей карты онлайн-покупку — карту отклонили, и попытка оплаты не прошла.
Какой была реакция
Г-н Т. позвонил в банк, чтобы выяснить ситуацию со своей картой. Сотрудник банка сообщил ему о том, что с карты было 2 крупных списания средств, сумма которых превысила кредитный лимит в размере 3000 евро. В результате этого карта Visa была заблокирована. Сотрудник банка сразу обвинил клиента в том, что тот действовал с грубой неосторожностью, и сообщил о необходимости возмещения ущерба и списания средств с его основного счета. В дальнейшем во время переговоров с клиентом сотрудник банка отрицал тот факт, что обвинял его в халатности, но в любом случае основная проблема заключалась в факте мошенничества и решении вопроса о возмещении ущерба.
Банк отказался от публичных комментариев отношений с отдельными клиентами и заявил, что будет решать проблемы без привлечения общественности. По словам пресс-секретаря, при подозрении на факт мошенничества в банке сразу запускается несколько механизмов защиты. К таким процедурам, призванным обеспечить безопасность клиентов, относятся, например, отправка текстового сообщения с соответствующим предупреждением, блокировка карты для предотвращения списания средств с нее, выход на контакт с клиентом для решения всех возникших вопросов.
В то же время сотрудники банка подчеркивают, что для наиболее эффективного предотвращения потенциального ущерба банк рассчитывает на активную помощь своих клиентов. То есть игнорирование сообщения о блокировке карты господином Т. может быть расценено как отказ от сотрудничества в предотвращении дальнейшего мошенничества.
Обратите внимание, операции с кредитной картой делятся на защищенные и незащищенные. К защищенным относятся операции, которые проводятся с использованием двухфакторной аутентификации. Если двухфакторная аутентификация не используется, операция является незащищенной. Риск и возможная ответственность по таким транзакциям возлагаются на торговую или дебиторскую компанию.
Кто несет финансовую ответственность
Конечно, г-на Т. в первую очередь интересовали вопросы возмещения ущерба от мошенничества. Его карта являлась расчетной, а не дебетовой, то есть средства за все операции, совершенные в течение месяца, списывались с его расчетного счета. Таким образом, в начале каждого месяца счет его карты снова уравновешивался.
Г-н Т. владел картой Visa с провозглашаемой политикой нулевой ответственности. Несмотря на это, банк полностью списал средства с его расчетного счета. В то же время в ходе переговоров банк не поддержал обвинение в грубой халатности, выдвинутое его сотрудником ранее и в дальнейшем отрицаемое.
Средства были списаны, несмотря на то, что Visa обещает держателям карт освобождение от ответственности за операции, которые они не санкционировали. В данном случае банк ссылался на общие условия банков-эмитентов карт, в которых имеются положения об обязанностях клиентов по проявлению ответственности и осторожности при работе с финансовыми данными.
Как обеспечить безопасность финансовых операций в Интернете
Существуют различные механизмы защиты, обеспечивающие безопасность клиентов при проведении финансовых операций в сети. Например, для доступа к Интернет-банкингу во многих банках необходимо пройти двухфакторную аутентификацию. Также прохождение такой процедуры часто требуется и в процессе оплаты покупок в Интернете.
Например, для подтверждения права на совершения платежа держателю карты необходимо ввести одноразовый код (TAN), который отправляется на смартфон в виде текстового сообщения, или авторизоваться в банковском приложении. Таким образом держатель карты подтверждает свой платеж с помощью двух отдельных факторов (например, знание пароля и владение смартфоном или подтверждение личности с помощью отпечатка пальца).
В случае г-на Т. очевидно, что канал связи между банком и держателем карты был взломан. Банковские специалисты пока не дали однозначного ответа на вопрос, каким образом мошенники перехватили канал SMS-TAN, поэтому держателям карт, которые используют данный метод защиты данных, стоит самостоятельно приложить дополнительные усилия для обеспечения собственной безопасности.
Специалисты рекомендуют соблюдать 2 основных правила, направленных на защиту от мошенничества. Во-первых, необходимо позаботиться о том, чтобы смартфон был защищен современным антивирусным сканером. Во-вторых, отдавать предпочтение сервисам, на которых для подтверждения транзакции через Интернет используется банковское приложение.
Опыт предыдущих лет показывает, что такие приложения обеспечивают достаточно высокий уровень защиты. Это достигается за счет того, что в банковских приложениях обычно используется биометрическая аутентификация, которая более эффективна для защиты от мошенничества, чем обычный TAN из текстового сообщения на смартфон.
Новая технология защиты финансовых данных
Visa уже использует новую технологию защиты, которая работает независимо от канала связи между клиентом и банком. Усовершенствованная система безопасности делает платежи в Интернете более анонимными и таким образом снижает риск мошенничества с кредитными картами.
По словам представителей Visa Europe, для защиты используют так называемую токен-технологию. Ее суть заключается в том, что вместо 16-значного номера карты используется токен (индивидуальный идентификатор). Токен, как заменитель для реальных данных карты, предназначен для использования при оплате покупок в Интернете. То есть продавцу во время проведения транзакции не предоставляется реальный номер карты. Даже если мошенникам удастся завладеть токеном, эти данные для них будут бесполезны, так как использовать их в дальнейшем для проведения платежей не представляется возможным.
По словам представителей Visa Europe, на данный момент примерно каждый 3-й перевод средств в Интернете уже является токен-транзакцией, когда продавец не использует и не сохраняет в своей системе реальные номера карт покупателей. Вместо этого продавец при совершении платежа запрашивает у Visa токен для карты покупателя. В свою очередь Visa после получения разрешения от банка, который выпустил карту, генерирует индивидуальный токен и отправляет его продавцу. Токен может быть использован только с данным продавцом и только во время совершения данной транзакции, в дальнейшем он бесполезен.
На данный момент с Visa Token Service работают не все порталы по продаже товаров или услуг, но их количество постепенно увеличивается. Так как не все продавцы используют такую систему, стоит уточнять этот вопрос заранее.
Стоит ли доверять банкам
Как показывает практика, даже владельцы карт Visa с токен-технологией не могут быть полностью уверены в безопасности финансовых операций в сети. В случае, который мы рассматриваем в статье, до сих пор точно неизвестно, как именно мошенники получили доступ к финансовым данным и какую ошибку совершил владелец карты.
Вопросы: можно ли доверять защитным механизмам банка при оплате в Интернете, и кто будет нести финансовую ответственность в случае мошенничества — задают себе многие владельцы кредитных карт. Случай, приведенный в примере, только добавляет сомнений и вопросов. Банк заявляет, что ищет решение, которое будет приемлемым для клиента, но вопрос пока не решен.
Вероятно, в случае с г-ном Т. оперативное раскрытие информации о том, была ли нарушена система безопасности банка и выявленных обстоятельствах мошенничества (если он подтвердится), станет весомым доводом в пользу повышения доверия к защитным механизмам банка.