Грабёж среди бела дня!

[green_fr]

Только что звонок из банка. Есть подозрение, говорят, что у вас карточку скопировали. За последнюю неделю подозрительно много нетипичных транзакций из разных Бельгии и Тайваня.

Посмотрели вместе с нашей прекрасной банкиршей все транзакции — Бельгия наша (фотографии из Брюгге уже в пути), а вот Тайвань действительно левый. Причём не оплата в интернете, а снятие наличных в банкомате — видимо, где-то умудрились копию карточки снять. Когда-то пробегали ролики-предупреждения о том, что пираты ставят читалки магнитных карт прямо на настоящие банкоматы, но во Франции, мне казалось, уже все банкоматы переделали так, что такие надстройки стали практически невозможными. Ан нет.

А с защитой платежей в интернете у нашего банка (скорее всего не только у него, но про остальные я не знаю) зашита достаточно параноидальная. После ввода стандартной информации — номер карточки, дата и «секретный» код на обороте* — система оплаты просит ввести два дополнительных кода. Один напечатан на специальной «шифровальной таблице», которую раз в несколько лет нам обновляют, и которую я храню в отдельном кошельке. А второй код приходит либо на e-mail, либо SMS на телефон. Не то, чтобы невозможно было всё это вместе украсть, но всяко сложнее, чем просто подсмотреть номер кредитки.

На прощание банкирша пообещала постараться узнать, как работает центр авторизации снятия наличных — оказывается, с нашей карточки неизвестные тайваньцы пытались снять деньги несколько раз, им всё время отказывали, а потом, непонятно из каких соображений, один запрос удовлетворили. Очень интересно узнать, с какого перепугу.
А деньги (чуть больше 500€) обещали вернуть недели через 2—3. Карточку, конечно же, заблокировали тут же.

* Кстати, я этот код каждый раз старательно зацарапываю на кредитке до полной потери читаемости — бред какой, помещать секретный код на обороте! И эти люди возмущаются Post-It'ами с паролями на мониторе!

Comments

[birdwatcher.livejournal.com]

У нас говороят, что люди, котроые ставят читалки на банкоматы, заодно ставят миниатюрные камеры над клавиатурой, и видят, что люди набирают.

[green-fr.livejournal.com]

Это понятно, без кода карточка мало пригодна. Я читал, кстати, про инфракрасные камеры, которые фотографируют клавиатуру после того, как ты набрал код (и убрал загораживающую клавиатуру руку) - по температуре кнопок можно понять и какие из них ты нажимал, и в каком порядке.

При этом читалки на банкоматах ставятся прямо на щель картоприёмника. Во Франции с этим разобрались "элегантно" - навесили официальные прибамбасы на эти щели, достаточно массивные, если на них ещё что-то навесить, это уже незаметно не будет.
Хотя, писал и вспомнил - есть же ещё всякие заправки, парковки и пр. места, где я вставляю карточку. Там, по-моему, не всегда эти прибамбасы висят.

[kalvado.livejournal.com]

Опять таки, на американской заправке, кроме самой физической карточки не нужно ничего - ни подписи, ни кода.
И пошла тема - в больших магазинах транзакции меньше некоей суммы (сначала было 25, теперь вроде 50) - тоже так, дернул картой и пошел дальше.

[birdwatcher.livejournal.com]

В Америке все по-другому, у нас же кредитные карточки, для которых не нужен код, и дебитные, для которых нужен, и еще карточки, которые можно использовать тем или иным способом по желанию.
Если код не вводился (т.е. карточка использовалась в "кредитном" режиме), то вернуть деньги особенно легко.
Я это последнее обстоятельство плохо понимал, и специально пошел в банк с просьбой убрать такую возможность (делать покупки без кода). Банкиры мне буквально сказали не заморачиваться, мол, в случае чего это проблемы магазина.

[green-fr.livejournal.com]

Здесь только на оплате дороги можно расплатиться без кода. До сих пор не понимаю, каким образом. Видимо, если что — тебя легко будет можно найти по машине?

[grave--digger.livejournal.com]

Я вот не совсем понимаю, как этот сервис подтверждений с смс работает. В том смысле, что при покупках на одних сайтах есть запрос на этот смс-код, а на других (и таких большинство) - нет. Я почему-то думал, что если у банка есть этот уровень безопасности, то он должен всегда срабатывать.

[green-fr.livejournal.com]

Если я правильно понимаю, только какие-то операции попадают под эту паранойю. Например, первая покупка на amazon’е попадёт, а вторая на тот же адрес — уже нет. Третья с новым адресом доставки — опять попадает. Покупка на «нестандартном» сайте (который, наверное, недостаточно крут, чтобы пройти сертификацию Visa & C°) — каждый раз попадает.
Но это мои догадки, я тоже об этом задумывался, но только гипотетически, ответа не особо искал.

[aaalex.livejournal.com]

До смеха доходит. На сайте voyages-sncf, билеты на TGV.
IDTGV - пролетает без защиты, классический TGV требует всех этих кодов.

[grave--digger.livejournal.com]

Мы, кстати, после подобного случая практически перестали пользоваться карточками на Украине во время отпуска. Стрёмно как-то. Как в пословице про молоко и воду. :) Платим только в проверенных местах, где карточку вставляют в терминал в твоём присутствии, и деньги стараемся снимать только в банкоматах внутри отделения банка.

[green-fr.livejournal.com]

Да, вполне логично. Вспомнил, как лет 10 назад спокойно отдавал каким-то стрёмным официантам кредитку, они уходили с нею в какие-то подсобки на неопределённое время и выносили оттуда уже готовые чеки на подпись :-)

[oldjackaroo.livejournal.com]

Практически все рестораны в США делают то же самое. :)

[green-fr.livejournal.com]

Однако! Даже совершенно левые рестораны? И им все поголовно верят? Или наоборот - люди ходят только в те рестораны, хозяевам которых ни доверяют?

[kalvado.livejournal.com]

Знаешь, таки ни разу не заморачивался верить - не верить. Да, делается именно так - положил карточку на чек и сиди допивай свой стакан.

[green-fr.livejournal.com]

Так а что тебе говорит, что официант за это время не купит в интернете себе Порше? У него есть вся нужная для этого информация.

[kalvado.livejournal.com]

Адреса нет, кстати, а тут это обязательная часть онлайн-транзакции.

[green-fr.livejournal.com]

При покупке в интернете спрашивают домашний адрес? И что, есть какой-то стандартный формат ввода, или у них там искусственный интеллект и борьба с опечатками ("проскепт Ленимский" вместо "Ленинский проспект")?

[kalvado.livejournal.com]

Всегда вводятся два адреса - shipping address и billing address (можно поставить галочку "одинаковый адрес") - billing - адрес привязанный к кредитке.
И да, за "ленимский проспект" может прийти отлуп.

[green-fr.livejournal.com]

Я всегда от балды ставил этот адрес. Казалось, что это просто так, что напечатать на фактуре, которую я всё равно не то что не распечатаю, не открою даже. Так что, может и у нас какая-то проверка есть.
Но это же достаточно липовая проверка — у тебя есть имя человека и белые страниц, за 30 секунд ты с хорошей вероятностью находишь его адрес, нет? По крайней мере, во Франции не так много полных тёзок.

[muh2.livejournal.com]

А зачем верить при zero liability.

[green-fr.livejournal.com]

А что такое «zero liability»? :-)

[kalvado.livejournal.com]

Это значит, случись что - если ты не тупил пол-года, а позвонил в банк после получения ежемесячной выписки - то с тебя взятки гладки, ты никому ничего лишнего не должен.

[muh2.livejournal.com]

Никакой ответственности за эти жульничества клиент не несет. Ну снимет с него ресторан мильон - заплатит этот мильен банк, а не клиент. Есть какие-то минимальные правила, типа если после утери карточки не заявить в банк в течении 24 часов, то клиент может быть ответственным за сумму аж в 50 долларов. Но в целом - проблемы банка клиента не волнуют.

Конечно если слишком часто сообщать банку о жульнических трансакциях и просить их отменить - они тоже могут задуматься.

[oldjackaroo.livejournal.com]

Верят.

Ну и не надо забывать, что в США у всех банков нулевая ответственность пользователя за неавторизованные транзакции. Украли - не большая проблема. Но у меня за >10 лет кража случалась всего раза два, и один из них явно не был связан с ресторанами (тогда были массовые проблемы с кражей карточек у, кажется, Citi bank).

Я только что в Европе был с друзьями тоже из США - их очень забавляли ваши машинки, которые прямо к столу приносят. :)

[green-fr.livejournal.com]

Здесь тоже, по-моему, нулевая ответственность клиента. Но это вторично — если кто-то за что-то платит, в конечном счёте за это платит конечный пользователь системы. Покупая возмещающую всё страховку, не получая причитающиеся ему проценты с вклада и т.п.
Хотя, конечно, если платит клиент, но поменять что-то может только банк, то ситуация вполне может зависнуть...

[lexus-lyosha.livejournal.com]

Большинство кредитных карточек бесплатны и не связаны с банковским счётом - т.е. нет ни страховки ни процентов с вклада (ибо вклада нет).
Ещё во Франции карточка дебитовая и даже если нулевая ответственность пока разберёшься денег этих у тебя нет, а в Америке пока ты не заплатил счёт по кредитки - это деньги банка.

[green-fr.livejournal.com]

Бесплатного не бывает. Если тебе дают что-то бесплатное, чтобы ты этим пользовался, я всегда рассматриваю это как аннулирование двух сумм: я плачу за использование кредитки, потому что мне удобно так платить, банк мне платит за использование кредитки, потому что ему выгодно иметь лишнего клиента. Если первую сумму урезать (снизить риск, а значит и стоимость владения карточкой), а вторую оставить (я как клиент для банка остаюсь столь же выгодным), можно вообразить кредитки, за которые банк будет приплачивать. В общем-то, уже ведь есть карточки, которые какие-то там мили дают, бонусы на заправке, бесплатные страховки и т.п.

Второе — да, точно.

[lexus-lyosha.livejournal.com]

Те кредитки, что у меня банк действительно приплачивает - как минимум 1% мне возвращают.
Но я всё равно не согласен, что я плачу за это. Банк зарабатывает на том, что получает процент от покупки у продавца плюс процент с тех пользователей, которые не возвращают всю сумму в течении 25 дней после конца месячного цикла (после того как счёт за месяц получают). Таких большинство и индустрия рассчитана на них. Т.е. банк предлагает всякие бонусы, страховки и т.д., чтоб завлечь клиентов и потом на большинстве из них зарабатывать на процентах. Но это не значит, что лично я буду платить за эти бонусы. Есть много систем за которые большинство платят, а меньшинство просто пользуется.
К тому же, некоторые вещи типа страховок стали стандартом без которых клиент не согласится на карточку - это "cost of doing business" и если его убрать от этого выиграет только банк, а не клиент. Например, когда сигаретные компании в 60-ых всем скопом перестали рекламировать по телевизору из-за нового закона их доход пошёл вверх, но цены они не понизили.

[green-fr.livejournal.com]

Я понимаю логику, но рассуждаю немного по-другому. Предположим, у банка есть два клиента - умный, который пользуется системой, и глупый, который регулярно попадает на мелким шрифтом набранные условия. Первый клиент зарабатывает на системе 100$, второй теряет 150$. Точнее бонус всем пользователям в 100$, но умный при этом ничего не теряет, а глупый переплачивает 250$. Банк живёт на 50$ разницы.
Из этих 50$ банк теряет на страховку (возмещение левых трат) 20$, то есть он согласен жить (конкуренты живут ) на 30$. Если эти траты убрать, то банк может повысить бонус до 110$, то есть умный будет получать чуть больше бонусов, глупый терять чуть меньше денег.

[green-fr.livejournal.com]

Про отказ клиента жить без страховки — не о том речь. Не страховку убирать нужно, а снижать риски, а с ними и стоимость этой страховки. Другое дело — как тут уже писали, — что снижение риска может выйти дороже, чем разруливание текущих проблем, а платить за всё клиенту.

[oldjackaroo.livejournal.com]

Платят, конечно, но банки деньги считают. Им выгоднее иногда заплатить за левую транзакцию, чем постоянно платить за более суровые проверки.

[aaalex.livejournal.com]

В Канаде нам тоже машинки принисили. Они как французские, только еще и сумму чаевых предлагают вбить.

[kalvado.livejournal.com]

В Канаде любят дебитки, в штатах дебитками в режиме дебитки почти не пользуются

[dmpogo.livejournal.com]

В Канаде на всех кредитках уже чип и пин. Редко-редко когда просят расписаться по-старому.

[grave--digger.livejournal.com]

Дык, машинки приносят же, потому что пин-код вводить надо. В Италии в одном любимом мной ресторане машинка была на кабеле у кассы. Народ каждый раз извинялся и просил подойти на кассу, код ввести. :) После очередного раза я стал просто сам туда сразу подходить с чеком.

А в ситуации с кражей данных напрягает не столько сам этот факт - банк-то вернёт всё через несколько недель. Напрягает то, что надо напрягаться. :) В банк ходить, в полицию (без заявления в полицию банк же не принимает претензий), бумажки всякие заполнять.

[oldjackaroo.livejournal.com]

У нас никуда ходить не надо. По телефону или онлайн сказал, что транзакция не твоя - и все. По-моему, банк еще может прислать форму, в которой надо расписаться и отослать обратно.
И "возращать" ничего не надо - деньги не твои же.

[sasmok.livejournal.com]

опа!
отдельное опа о том, что я узнаю об этом из жж :)

[green-fr.livejournal.com]

Я ждал твоего комментария :-Р

[green-fr.livejournal.com]

Ты точно не была в Тайване 7 мая? А то я как-то за всех ответил...

[sasmok.livejournal.com]

чё, и у натана спросил ? :)

[kalvado.livejournal.com]

По-моему, надо самого зеленого допросить с пристрастием. Что-то мне подозрительно как он...

[grave--digger.livejournal.com]

Как интересно. Судя по времени, я свой комментарий запостил позже. Но твоего я не видел при этом.

[green-fr.livejournal.com]

У ЖЖ динамическая вставка только что написанных твоих комментариев, но нет подгрузки комментариев, которые появились с момента загрузки страницы в твой браузер. Всё логично, но я тоже регулярно на эти грабли наступаю :-)

[grave--digger.livejournal.com]

Ты у Натана ещё поинтересуйся. ;)