Valery's Mlog

Mindlog of a Freak
February 18th, 2012 by Valery Dachev

(Не)сигурна кредитна карта (част 2)

В първата част на тази публикация писах за рисковете, които крият банковите карти като физически носител. В тази част ще стане въпрос за сигурността на разплащанията с тях в Интернет, а в следващата ще видим как да внесем известна доза сигурност при заплащането на стоки и услуги онлайн.

Методите за разплащане с банкови карти Интернет не са много и зависят от това, което съответният търговец предлага. Всеки от тези методи решава някои проблеми, запазва други и създава нови. Нека видим какви!

Разплащане с проверка на основните данни

В доброто старо време, когато разплащанията в Интернет не бяха толкова масови, сайтовете осигуряваха успешна трансакция само на база въведени име на картодържателя, номер на кредитната карта и дата на изтичане. С други думи, все неща изписани на лицевата ѝ част, често с добре оцветени, големи, релефни букви.

Сега си представете колко малка може да бъде една камера, която да снима лицевата част на картата ви, докато я вкарвате в банкомат. А каква е гаранцията, че камерата, която следи ръцете касиера в заведението за бързо хранене, в което пазарувахте вчера, не е с достатъчна разделителна способност, за да бъде тази информация свалена от картата? А може да сте попаднали на човек с добра памет за числа…

За мен тук има колосална слабост в сигурността на картите – основните данни на картата могат да бъдат копирани, а следователно – използвани за разплащане в по-стари сайтове. Нещо повече – може да разберете, че това се е случило, едва след като някой е осъществил трансакции с картата ви.

Сигурно ще кажете, че такива вече няма. Да, но не – преди само две години успях да си заплатя резервацията в сайта на Албена АД само с тази информация. До ден днешен Първа инвестиционна банка (издатели на кредитната ми карта Visa) не са ми обяснили механизма, по който това се случи, нито защо е възможно.

Разплащане с проверка на пощенския адрес

За да се избегне посочения по-горе проблем, много сайтове започнаха да изискват т.нар. billing address асоцииран с картата, тъй като той не е изписан на самата карта (дали може да бъде променен междувременно, честно казано, нямам идея). Проблемът е, че този адрес често е в не особено структуриран вид. Как е въведен от банката, и как ще го въведете вие може да са две съвсем различни неща. Още повече, че българските ни адреси като структура са различни от американските, на кирилица са… и това прави нещата съвсем отчайващи.

Тук вариантите са два – автоматична обработка, която с голяма вероятност може да откаже извършване на трансакцията, или ръчна обработка, която ще я забави. Предполагам това са причините в последно време да попадам на все по-малко сайтове използващи този метод, особено когато са ориентирани към клиентела извън САЩ, Великобритания и т.н..

Разплащане с проверка на CCV

Множеството съвременни сайтове поддържащи разплащания с банкови карти разчитат на т.нар. CCV код (за него стана въпрос в първата част на тази публикация). Този код не е част от номера на картата и не е гравиран на лицевата ѝ страна.

За сметка на това, CCV кодът не е нещо, което получавате на допълнителен лист, записвате някъде и унищожавате, а е изписан на самата карта. Следователно тук имаме същия проблем с копирането на картата, за който стана въпрос по-рано. От гледна точка на сигурност в това отношение сме мръднали съвсем малко, доколкото CCV в общия случай е изписан на гърба на картата, а не на лицевата страна. Казвам “в общия случай”, тъй като при American Express дори това не е така.

Иска ми се да направя и забележката, че фактът, че картата ви има изписан CCV код, не задължава банката да одобрява само онлайн трансакции извършени с него. До тук със сигурността, която дава CCV кодът.

(Не)добронамереност на сайта

Независимо от използвания по-горе метод, съществува риск сайтът, в който сте въвели данните си, да е злонамерен и просто да ги записва. Гаранция, че това не се случва, просто няма. Затова решението да предоставите данните си на сайта или не е въпрос на доверие. Искам да наблегна не нещо очевидно: този, комуто предоставям данните за плащането, е този, който може да ги запише с користни цели.

Твърдя, че плащането в сайта, в който пазарувате, не е сигурно. Онлайн магазините не са банкови институции, а използват услугите на такива. Някои от тях могат да си позволят вграждане на разплащането, но това е и начинът, по който злонамерени сайтове придобиват данните ви. С други думи, ако плащането е в рамките на сайта, в който пазарувате, това е индикация, че или той разполага с ресурса да си го позволи, или че цели да придобие на данните ви. И в двата случая плащането най-вероятно ще мине.

Как да се защитим?

След толкова много изприказвани приказки, време е да разберем как да се защитим… Но затова в третата част. Stay tuned!

Comments

2 Responses to “(Не)сигурна кредитна карта (част 2)”
  1. […] За него и как да затрудним злоупотребите – в следващата част! :) […]

  2. […] банковите карти като физически носител, докато във втората част се фокусирах върху методите за разплащане с тях в […]

Leave a Reply

%d bloggers like this: