Не сообщайте номера своей карты

digitalrus

Цитата:
Разместила я на АВИТО объявление о продажи коляски вчера. С разумной ценой. Сегодня утром звонит мне мужик и быстро так говорит, коляска хорошая, цена заманчивая...не продавайте я работаю до 8 приеду заберу. Меня смутило сначала ( я то в регионе) а с авито редко кто из моего города звонит, скорее Москва, он говорит я у вас В Кашире в Водоконале работаю. Давайте я сразу вам денюшку на карту переведу...мне так удобнее. Ну удобнее так удобнее, и мне не морочиться, тк все равно постоянно с картой работаю (инет магизины и тд....) Назвала я номер карты....на том и сошлись. Через 5 мин приходит смс что списано 8 с копейками рублей, и перезванивает мужик. Я вам 10 рублей перевел, пробные пришли? Я говорю, нет ушли...блин и называю сумму. Оказывается только это и нужно ему было...Эта сумма как потом оказалось требуется для подтверждения мошеннеческой операции Пипец девочки ровно через минуту сняли BEELINE MTOPUP 1000 и потом еще 1000 Я сразу в сбер звонить. Карту заблокировала, а потом в инет...а там СТОЛЬКО ТАКИХ ЖЕ ЛОШАРИКОВ как я Оказывается Билайн открыл такую услугу, что нужно ввести номер карты и срок ее действия, и номер телефона на который желаете перевести деньги. И ВСЕ! Никаких блин подтверждений , никаких запросов от СБЕРА...просто тупо списали деньги и все. Я опытный инетшоппер...так заколебут же на сайтах подверждением поролями...а тут на тебе...сняли и все!
Короче вернуть 2008 рублей я не мечтаю, просто обидно что деньги были последней декретной выплатой..и были отложены на новую коляску сыну Теперь на колясон денег не хватает и глубокая обида на Сбер засела в душе....Опять заморачиваться со сменой карты, раз...и Два- Ну какого блин ВЫ РАБОТНИЧКИ БАНКОВСКИЕ, не предупреждаете своих клиентов о долбанном BEELINE MTOPUP?

myrka88

Я опытный инетшоппер

нет.

nadegda91

вроде давно уже писали про такую хрень от белайна?

kastodr33

Никаких блин подтверждений

Scud

Оказывается Билайн открыл такую услугу, что нужно ввести номер карты и срок ее действия

Т.е. мошеннику мало того, что был отправлен номер карты, но еще и срок действия? Это ж явный развод...

avp1976

но еще и срок действия

Срок действия и подобрать нетрудно, вообще говоря. Можно таким же макаром на Амазоне чего-нибудь купить без подтверждений.

Scud

Срок действия и подобрать нетрудно, вообще говоря. Можно таким же макаром на Амазоне чего-нибудь купить без подтверждений.

Ну хз. Мне вот кажется, что СБ банка, который не засечет подбор срока действия, надо увольнять за профнепригодность. Не знаю, как на самом деле это обстоит.

Krevetka

сб банка тут совсем не при чем
девчонке надо заявку на несогласие с операцией написать и все вернут
то, что билайн такую ебалу придумал - это его трудности, кода подтверждения не было, 3д секьюра и аналогов тоже, операция оспорена - компенсация выплачена
главное не провафлить момент и после информировании о списании написать заяву

Scud

сб банка тут совсем не при чем

Да? А подбор cvv банковский фрод-мониторинг тоже не обязан ловить? Сказки рассказываете, батинька.
А по опротестовыванию полностью согласен. Тут еще поскольку сбер поддерживает 3d-secure, то билайн вообще в автоматическом прососе в случае опротестовывания.

dmitry131

Да? А подбор cvv банковский фрод-мониторинг тоже не обязан ловить? Сказки рассказываете, батинька.

+1
Шутки шутками, а мне вот Сити не давал провести несколько транзакций подряд (штук 6 или 8) по покупке билетов - блокировка стоит. Причём даже вручную не разблокируют.
А у ТКС при подозрительной транзакции мне звонили. Правда, сами назвали моё имя (мол, это вы?) и спросили, я ли совершаю операции. Ни кодового слова, ничего не спросили.

zulya67

Не печалься. Я Ауди А8 выигрывал. Сумму стыдливо умолчу. Все учатся именно на своих ошибках, иначе - врут. А предупредить и того меньше решаются.

kochegar10

у меня 11 000 с карты недавно увели по другой схеме, но тоже билайн + сбер, тоже декретные )

lodi2

интересно как?

meles

По статистике отзывов на banki.ru, прогноз на возврат денег благоприятный в аналогичных случаях - 100%
Но надо понимать, что номер карты является конфиденциальной информацией, банк может сказать что клиент сам добровольно сообщил его третьим лицам, тем самым нарушил правила пользования картой, поэтому ничего возвращать не будет. Срок действия, насколько я понимаю, подобрали перебором.
Твои покупки, скорее всего, не являются информацией, которую нельзя разглашать, поэтому нет формальных нарушений правил с твой стороны в том, что ты сообщила сумму тестового платежа третьим лицам. Иначе даже такая фраза как "зацените чуваки, какую я купил мобилу всего за ххх" была бы нарушением.

kvn1726

сорри я не поняла, срок действия за минуту что ли подобрали?

bitle

Там всего 36 вариантов максимум

kastodr33

А у ТКС при подозрительной транзакции мне звонили. Правда, сами назвали моё имя (мол, это вы?) и спросили, я ли совершаю операции. Ни кодового слова, ничего не спросили.

ну а тут, на минуточку, тоже имело место двухфакторная авторизация, надо ввести заблокированную сумму которая приходит в СМС, что и было успешно сделано.
Думаю не вернут ничего.

kvn1726

аа, так срок сначала подобрали(примерно за 5 минут получается а потом владелец карты карты сама контрольную сумму сказала
вместо зачисления списались бабки - неужели не возникло подозрений

Yansloka

Но надо понимать, что номер карты является конфиденциальной информацией,

и как тогда, согласно правилам банка, можно например пользоваться услугой "перевод денег на карту сбера"?

bitle

вместо зачисления списались бабки - неужели не возникло подозрений

когда подвоха не ждешь, можно и не придать этому должного значения

montoya

Билайн просит cvv http://oplata.beeline.ru/mobile/?pay%5B0%5D.ctn=9637108799&...

meles

и как тогда, согласно правилам банка, можно например пользоваться услугой "перевод денег на карту сбера"?

никак, только если самому себе перевести

rishar

Кстати, я тут читал, что Имя и Фамилию по факту не проверяют. Кто-то пробовал писать чужие имя-фамилии, платеж проходил?

meles

ну а тут, на минуточку, тоже имело место двухфакторная авторизация, надо ввести заблокированную сумму которая приходит в СМС, что и было успешно сделано.

Двухфакторной авторизации банком-эмитентом карты (сбербанком) не было. Поскольку сумма, которую надо указать, была сгенерирована не банком, а продавцом. И банк не проверял правильность указания этой суммы.

sn0wsky

Есть подозрение, что он просто попробовал штук 20 разных переводов с разными сроками действия, первый перевод 1 рубль, второй 2 и так далее. Прошел только один, по сумме понятно, какой именно - а следовательно известен срок действия.

Evgenui

Но надо понимать, что номер карты является
конфиденциальной информацией,

я тут знаю магазин, который на чеках полный номер карты печатает. им надо намекнуть, что они неправы?

kastodr33

Есть подозрение, что он просто попробовал штук 20 разных переводов с разными сроками действия, первый перевод 1 рубль, второй 2 и так далее.

нет
билайн блочит рандомную сумму до 10 руб. и просит ее вести в качестве подтверждения

Glofish

да,я всегда ввожу левые фио т.к. лень свои впечатывать

Glofish

почему за 5?
может и за секунду, если все 36 запросов были отправлены одновременно каким нибудь скриптом через список проксей с разных айпишников.
только по идее карта должна блочиться после пары неправильных запросов.

Glofish

номер карты не является секретной инфой, не вводи в заблуждение. наоборот, есть целый вид платежей, когда ты сообщаешь номер карты для перевода тебе денег, это есть почти в любой сетке тарифов.

Glofish

на амазоне цвв вводить надо, не?

avtosun

я тут знаю магазин, который на чеках полный номер карты печатает. им надо намекнуть, что они неправы?

Однозначно стоит намекнуть. Другой вопрос, как это у них получается? Если карту проводить через процессинг, а ответ процессинга об успешности транзакции печатать в чеке, то там не будет полного номера карты.
Остаются варианты - вбивать силами кассира вручную, либо прокатывать карту на сканере магнитной полосы, не относящемуся к процессингу. И то и другое - хорошие дыры в безопасности карт покупателей.

bitle

да,я всегда ввожу левые фио т.к. лень свои впечатывать

а не создаст ли это проблем при возникновении спорных случаев?

komBAR

я тут знаю магазин, который на чеках полный номер карты печатает. им надо намекнуть, что они неправы?

Из комментариев к сегодняшнему посту про банковские карты на хабре:

Через альфу прокатило быстро: спросил у знакомого, который в этой каше крутился — получил ответ, что для отключения точки достаточно того, чтобы на чеке засветился полный номер карты ( для visa пришел в офис банка, так и так мол, вот купил кокаколу, а мне такую хрень на чеке насандалили, нарисовал заявление. Спустя гдето месяц у супермаркета висела табличка, что карты временно не обслуживаются.

dunkel68

Оказывается Билайн открыл такую услугу,

глубокая обида на Сбер засела в душе...

?

Tallion

на амазоне цвв вводить надо, не?

Нет.

Glofish

не создаст!

avp1976

на амазоне цвв вводить надо, не?

Ни разу не вводил, покупая на самые разные суммы десятки раз (как минимум).

TOPMO3

интересно, зачем амазон так подставляется? или он полагает, что по карте всега будет 3-d secure?

bassy

Amazon не использует 3D-secure

Eva3712

Билайн просит cvv http://oplata.beeline.ru/mobile/?pay%5B0%5D.ctn=9637108799&...

А тут не просит http://pay1.beeline.ru/

stm8886373

Кстати, я тут читал, что Имя и Фамилию по факту не проверяют. Кто-то пробовал писать чужие имя-фамилии, платеж проходил?

Имя фамилия хранятся на магнитной ленте карты. Они теоретически еще хранятся в системе процессинга банка, но для процессинга визы достаточно CVV2 и номер с датой.
Собственно для сверки имя/фамилия банк должен будет от визы получить инфу, сверить со своей и если что направить отказ. Я не знаю банков, которые с этим заморачиваются.
Кстати, если завладеть одной хитрой машинкой из банка, то достаточно будет только номера карты, а с ее помощью и дату и CVV2 получить можно. Но только для карт этого банка. Да еще эта машинка у банка единственная, да еще при любом изменении условий отключается насовсем. И обычно в банке она у людей, лично заинтересованных в ее неприкосновенности.

meles

номер карты не является секретной инфой, не вводи в заблуждение. наоборот, есть целый вид платежей, когда ты сообщаешь номер карты для перевода тебе денег, это есть почти в любой сетке тарифов.

Вот например, на сайте visa.com правила безопасного использования карты

никогда не передавайте номер своей кредитной карты по телефону каким-либо лицам или компаниям. Вы можете продиктовать данные карты, только если вы уверены, что имеете дело с известной, благонадежной компанией

Mastercard

Храните номер карты и личный идентификационный номер (PIN-код) в тайне от других.

На сайте Сбербанка:

Держатель обязуется:
- не сообщать ПИН-код и контрольную информацию, не передавать Карту ( ее реквизиты ) для
совершения операций другими лицами, предпринимать необходимые меры для
предотвращения утраты, повреждения, хищения Карты;

pita

интересно, зачем амазон так подставляется?

он не подставляется, он настолько большой и крутой что ему и так верят

Eva3712

Имя фамилия хранятся на магнитной ленте карты. Они теоретически еще хранятся в системе процессинга банка, но для процессинга визы достаточно CVV2 и номер с датой.

Технически, для процессинга визы достаточно только номера карты. Дату и CVV2 можно передавать в процессинг для проверки данных, но если не передать, то платеж всё равно можно провести.
Если интересно, можешь, например, глянуть в API ПэйПала , он позволяет чарджить карту, имея только её номер, остальные поля необязательны. Другое дело, что в случае малейшего подозрения на фрод, платеж придется вернуть.

meles

Я так понимаю, если продажа идет только по номеру карты, то риски несет продавец, поэтому Сбербанк так легко возвращает деньги, т.к. получает их обратно от продавца.

Eva3712

Да

Glofish

он не подставляется, он настолько большой и крутой что ему и так верят

ты не то пишешь.
тогда надо писать:
"он не подставляется, он настолько большой и крутой что готов вернуть деньги, если владелец карты скажет, что вы нарушили закон, проведя операцию только по номеру карты и не запросив CVV/3-dsecure"
только я не понимаю, если это так, почему фрод не идёт на амазон миллионами?

Glofish

не надо тут ссылки приводить.
сам по себе номер карты не является секретной инфой.
номеркарты+пин - да
номеркаты+реквизиты (цвв, срок действия) - да
сам по себе номер карты - нет. сам подумай, это же тупо, номера идут подряд. если бы по номеру карты можно было
бы красть деньги - тупо бы один номер за другим вводили бы просто и всё.
неужели не очевидно?
вот тебе номер карты 2348923095834093465
что, он секретен? по номеру уже можно деньги снять? запрещено говорить кому то сам номер?

pita

он не подставляется, он настолько большой и крутой что готов вернуть деньги, если владелец карты скажет, что вы нарушили закон, проведя операцию только по номеру карты и не запросив CVV/3-dsecure

эту часть я не стал дописывать, потому что вживую с нею не сталкивался
только с покупками, но там всё по моей доброй воле было
вообще, я не уверен что проведение операций только по номеру карты это нарушение закона

pita

это же тупо, номера идут подряд

не идут, кстати, номер строится по определённому закону

meles

вот тебе номер карты 2348923095834093465

Этот набор цифр не является номером какой-либо карты. Не сцы, пиши сюда номер своей карточки сбербанка.

Glofish

ты бы еще возмущался что паспортные данные в паспорте печатают.не хочешь светить номер карты - замажь, заклей или не носи карту.

ты понимаешь какая ситуация складывается?
кто угодно видит твою карту и покупает по ней на амазоне себе что угодно.
и ты делаешь претензию, но ты в пролёте - денег тебе не вернут, ведь ты сам дурак, что не заклеил номер на карте и его видел кто угодно.
обязанность держать номер в секрете, наложенная на тебя банком - и есть обязанность заклеить номер бумажкой. если у тебя номер написан на карте - это не есть хранение его в секрете - его видят все - работники банка, когда ты карту показываешь в отделении, работники кафешке - когда ты в кафешке отдал карту официанту, таджики в Ашане - которые стоят за тобой в очереди на кассе, а ты там платишь картой.
получается в первую очередь сам банк имеет рыльце в пушку, печатая в открытую конфеденциальную инфу.

pita

заведи себе карту, которой нельзя совершать покупки в интернете, и ходи повсюду с нею

Glofish

речь не обо мне, тут тема для всех. обсуждается общая ситуация а не я конкретно.

meles

обязанность держать номер в секрете, наложенная на тебя банком - и есть обязанность заклеить номер бумажкой. если у тебя номер написан на карте - это не есть хранение его в секрете - его видят все - работники банка, когда ты карту показываешь в отделении, работники кафешке - когда ты в кафешке отдал карту официанту, таджики в Ашане - которые стоят за тобой в очереди на кассе, а ты там платишь картой.

Нет обязанности заклеить номер бумажкой.
Если у банка будут доказательства, что ты передавал данные карты другому лицу - то ты в пролете. Покупки в Ашане не являются таким доказательсвам, с точки зрения суда это плохой аргумент.
И даже случай, который описал ТС, является пограничным. Если бы дело дошло до суда, сбербанк бы обязательно применил арумент о запрете передачи данных третьим лицам (сделай выборку судебных решений - Сбербанк всегда применяет этот аргумент и суд с этим обычно соглашается). Что бы решил суд, я не знаю, так как не нашел похожих случаев.
Но я, например, читал решение суда, когда увели деньги с карты (явный фрод). Банк отказал на том основании, что нашел видеозапись, как с банкомата деньги снимал другой человек (муж болел и дал карту жене, чтобы та сняла зарплату). Этот случай не имел никакого отношения к фроду, но послужил формальным отказом для возврата денег, и суд согласился с банком.

pita

обсуждается общая ситуация а не я конкретно

это вполне себе общее решение, я, например, им пользуюсь

Yansloka

муж болел и дал карту жене, чтобы та сняла зарплату

ну дык это "запрещена предача карты другому лицу", а не "запрещено сообщать номер другим лицам"

meles

ну дык это "запрещена предача карты другому лицу", а не "запрещено сообщать номер другим лицам"

согласен, я просто показал, как невинное вроде бы действие может привести к потери большой суммы в случае фрода. Не имеет прямого отношения к случаю ТС.

myrka88

кто угодно видит твою карту и покупает по ней на амазоне себе что угодно. и ты делаешь претензию, но ты в пролёте - денег тебе не вернут, ведь ты сам дурак, что не заклеил номер на карте и его видел кто угодно.

неверно

Glofish

неверно

неверно только если юзер не обязан ее скрывать и имеет полное право демонстрировать на публике. а если обязан как тут пишут, и нарушил это, то вполне себе верно.

myrka88

неверно только если юзер не обязан ее скрывать и имеет полное право демонстрировать на публике.

откуда у тебя этот бред? пруфы будут?

Glofish

откуда у тебя этот бред? пруфы будут?

пруфы тебе тут выше привели - юзер ОБЯЗАН хранить номер карты в секрете и не имеет никакого права демонстрировать его публике.
как я тебе приведу пруфы если я сам считаю что это неверно?

myrka88

ты прям эталонный диванный аналитик.
не увидел пруфов выше. увидел лишь
рекомендации платежных систем не палить номер карты
требование Сбера не передавать карту другим лицам
Ты придираешься к словам. Человек не обязан хранить номер в секрете, но наживет себе немало геморроя, если этого делать не будет. Да, для клиента банка нет требований и обязательств не светить. Но в нормальных клиентских хранищах банков эти данные (как и другие перс данные) хранятся в зашифрованном виде.
Ну и смешно видеть твои попытки доказать, что номер карты не секретен и боязнь запостить сюда номер своей карточки

Nefertyty

пруфы тебе тут выше привели - юзер ОБЯЗАН хранить номер карты в секрете и не имеет никакого права демонстрировать его публике

нет, в цитатах выше такого требования не было

Glofish

вот и я гоорвю , что СЕТИ не прав. не обязан юзер хранить номер в секрете.
номер +пин = да
номер +цвв=да

myrka88

так чо, запостишь свой номер карты сюда?

Glofish

если ты по ней что нить купишь на амазоне - мне вернут деньги?

myrka88

Я не банк, не знаю. Но статистика в твою пользу.
зы. У меня как раз неделю назад был подобный случай. Светанул карту где-то при покупке, в этот же день списали 10к. Карту заблокировал, написал обращение в банк - вернули вчера.

номер +цвв=да

так цвв тоже на карте есть, где логика в твоих рассуждениях?

Glofish

против кражи ЦВВ ввели три дэ секьюр
так что с ЦВВ я погорячился - его уже можно не скрывать.

myrka88

против кражи ЦВВ ввели три дэ секьюртак что с ЦВВ я погорячился - его уже можно не скрывать.

щито?
1. почему 3д сек сделан именно против кражи ЦВВ? а не номера карты, срока?
2. 3д сек введен сейчас далеко не везде и далеко не на все суммы.
3. 3д сек не поможет при покупках в pos-терминалах

stm8886373

неверно только если юзер не обязан ее скрывать и имеет полное право демонстрировать на публике. а если обязан как тут пишут, и нарушил это, то вполне себе верно.

Сейчас спросил у знающего человека. Значит так. Номер карты условно секретный. То есть узнать-то его можно, но передавать нельзя. А хранить не всем. То есть торговый терминал способен на чеке много чего напечатать, включая всю необходимую инфу для выпуска дубликата, но хранить он это не должен. За терминал, который слишком много печатает, пабашке дает тот, кто выдал такой терминал.
Для совершения транзакции достаточно PAN (номер) и дату, но если ничем дополнительно не защищено, то ответственность на банке. Поэтому нужны остальные поля, вроде CVV2. По правилам VISA можно показать первые 4 и последние 6 цифр всегда.
А еще я узнал кучу способов как нагнуть банк и как собственно от этого защититься.

Glofish

Для совершения транзакции достаточно PAN (номер) и дату, но если ничем дополнительно не защищено, то ответственность на банке.

на каком именно банке в случае с амазоном? допустим у меня карта сбербанка и кто то подсмотрел её в ашане и купил по ней на амазоне.
сбербанк обязан мне вернуть бабло в этот же день?

myrka88

сбербанк обязан мне вернуть бабло в этот же день?

нет конечно, лол
он будет проводить расследование, и если по итогам расследования выяснится, что на амазоне покупал не ты, то вернет деньги из своих резервов.

Frosya

94208081257

myrka88

это виртуальная киви, скорее всего с заблокированными или анально отгороженными web-транзакциями
так что толку 0

Glofish

как же он интересно выяснит это?

Frosya

я привязывал её к пайпалу и в свое время совершал через нее покупки, пока не завел визу в СБ.

meles

ты киви не пиши, сбербанк пиши

Frosya

не не не, червь сомнения мне не позволяет...

Glofish

ты киви не пиши, сбербанк пиши

никто не будет писать т.к. у амазона дыра в безопасности.
когда будет четко ясно, что если магазин не делает 3DSECURE то он безоговорочно и по первому требованию вернёт деньги - тогда и можно будет написать.

tanyavk

Я тебе контрольные десять рублей послал. Получил?

Frosya

мотивы предыдущего треда? =D
но однако нет, вообще ничего нет.

stm8886373

на каком именно банке в случае с амазоном? допустим у меня карта сбербанка и кто то подсмотрел её в ашане и купил по ней на амазоне.
сбербанк обязан мне вернуть бабло в этот же день?

Не так. Ты пишешь заяву в сбер, они бычкуют на Амазон, обычно последние возмещают, но если нет, то хрен ты чего в мирном порядке от Сбера получишь. В плохом случае ничего не получишь, даже если Амазон возместил.
Там кстати в банк можно с интересной галочкой инфу передавать, типа "мы сами не проверяли, вся ответственность на вас". Ну то есть можно съинициировать транзакцию и отдать ответственность банку.
Там кстати блокируется карта весело. Фродмонитор, который в 95% российских банков, лочит карту в некоторых "секретных" случаях, а разлочить можно только в отделении. Вот в сбере он настроен хреново. Можно легко остаться за рубежом без активной карточки, а разлочить можно только в отделении, в котором открывал. Ну и суперкрутой способ за 50 зеленых рублей за регион, это когда VISA добавляет карточку в стоплист устройств. Тогда по идее карточка в устройстве инициирует сигнализацию в "молле" и набегают "секьюрити", а потом и менты. Я даже не буду пояснять, почему в России бесполезно

ninash

продолжая тему - возник вопрос.
покупаю что-нибудь в стиме с карточки, транзакция успешно проходит, бабло списывается и т.п. там есть галка - сохранить данные для дальнейших покупок, сохраняю. При следующей покупке транзакция блокируется "причина неизвестна", приходится руками еще раз ввести все реквизиты, тогда транзакция проходит.
Может кто-нибудь объяснить что за нахи можно ли как-нибудь на это повлиять? В то, что стим рукожопые верится слабо

meles

Возможно, сохраняются не все данные, например, без cvv. При следующей попытке стим пытается сделать покупку без этого кода, банк дает отлуп пока не введешь вручную

Glofish

банк дает отлуп пока не введешь вручную

не введёшь вручную или не введёшь вместе с CVV?

mask_78

По правилам VISA можно показать первые 4 и последние 6 цифр всегда.

Первые 6 (BIN) и последние 4. И не всегда, а в зависимости от ряда условий - иногда это только последние 4.
При этом, например, российский ситибанк выдаёт mastercard, у которых 14 и 15 цифры номера - нули. То есть, если для других банков есть по десять тысяч вариантов маски карты, то у ситибанка их только сто, и карту не получится идентифицировать даже по маске и сроку действия, если ты обрабатываешь их в минимально заметных масштабах.