можно ли списать деньги без cvv кода
Как снять с карты деньги без кода CVV
Недавно нужно было пополнить карту Рокетбанк с карты Альфа-Банк, вот что из этого вышло.
Карты альфы с собой не было, ну вроде номер, дату помню, решил код CVC2/CVV2 тоже вспомню. Операцию провел, деньги перевелись.
Вечером приехал домой, решил проверить код, а CVV другой! Те есть вся страна пересылает друг другу лицевую сторону карты со сроком, но бережно хранит cvc, который банк, оказывается, не чекает!
Пишу в Альфу узнать как такое могло произойти. Мне отвечают, что вообще ни при каких обстоятельствах этого не могло было быть, идите типа в Рокет и с ними разбирайтесь.
Я, конечно, не поверил, но спросил и мои догадки подтвердились. Проблема оказалась на стороне Альфа-банка. Пишу в альфу и ещё раз говорю, что у них дыра в безопасности и чтобы с ней разобрались. Они опять отвечают, что проблема не у них.
Ладно, раз не у них дыра, значит она у Рокетбанка, но решил перепроверить эту теорию. Захожу в Тинькофф Банк и пополняю там карту с карты АльфаБанка с неверным кодом Си-Ви-Ви и опять перевод проходит!
Опять пишу в альфу, чтобы разобрались. Говорю: переводил в два банка и в обоих случаях платежи прошли с неверными данными. А они меня опять отправляют в поддержку вышеуказанных банков, типа у них проблемы. Ну я уже не отстаю и требую разобраться.
И вдруг, оказывается, выясняется вот что: «Операция проходит, так как их вы подтверждали по SMS, то есть если бы сторонний сервис не требовал СМС, то с неправильным CVV кодом и операция бы не прошла. Ну а в данном случае код с оборота карточки можно было и вовсе не указывать.»
Да, я знал, что есть сайты интернет-магазинов, на которых оплата идет только по номеру карты и сроку действия, а CVV не обязателен, например, в Amazon. Но чтобы переводы C2C проходили без указания верного кода безопасности это было для меня открытием!
Оказалось, что операция действительно может произойти, если был указан верный код из SMS. Дело в том, что процедура проверки Альфа-Банком карты отправителя осуществляется одним из трех способов:
То есть, если перевод с карты на карту был подтвержден по SMS в рамках технологии 3D-Secure, то дополнительный ввод CVV/CVC не нужен. Сегодня это уже сложившаяся общепринятая практика, используемая на данный момент практически всеми банками.
Это объясняется просто — технология подтверждения по коду CVV разрабатывалась когда 3D-Secure ещё не было и служила защитой от несанкционированных платежей по платёжным данным с лицевой стороны банковской карточки. Таким образом подтверждение переводов CVV-кодом уже, оказывается, является пережитком прошлого, как когда-то подпись на чеках-слипах в магазинах.
Но как быть с тем, что сегодня всё, что передается посредством SMS, совсем не находится в безопасности? Например, достаточно взять свой смартфон и посмотреть список приложений, имеющих разрешение на чтение сообщений SMS — вот вы тем самым и отдали им полный доступ ко всем своим банковским счетам. Ведь зачастую СМС-код является единственной преградой для авторизации доступа к банк-клиенту вашего в онлайн-банка.
И это не считая админов систем операторов связи, контент-провайдеров, через которые работают системы рассылки смсок, операторов СОРМ (сокр. от Система технических средств для обеспечения функций оперативно-разыскных мероприятий). При желании все они могут получить определенный доступ к вашим финансам. В интерфейсе СОРМ или лог-контроллера вполне реально подсмотреть все подтверждающие коды от банков и платежных систем. В Сбербанке, например, для активации андроид-клиента достаточно ТОЛЬКО sms!
И про клон SIM-карты сегодня уже слышали многие, хотя от клонирования защита какая-то все-таки у банков работает. Например, при клоне сим-карты блокируются транзакции по 3DSecure. Хотя, говорят, нет 100%-ой гарантии блокировки при клонировании симок, а вот при их перевыпуске оператором — есть.
В итоге, для отправки денег по номеру карты нужно знать только ее 16-значный номер. Срок и код CVV/CVC сейчас это уже лишнее. Главное сделать так, чтобы получать смску с кодом 3DSecure на секретный телефон, номер которого известен только вам.
Можно ли снять деньги с карты, зная только ее номер
Интернет-преступность в последнее время растет так же быстро, как и количество пользователей глобальной сети. 20% мошеннических операций с финансами связаны именно с кражами денег с банковских карт. Если же считать в деньгах, то сумма «украденных» средств составляет около 2,5 млрд. долларов.
Мошенничество бывает разным. Самыми популярными направлениями, связанными с кражей денег с карточек, являются фишинг и скимминг. В первом случае ваши деньги просто крадутся с использованием интернет-ресурсов. Вам в качестве ссылки подсовывают фальшивую страницу банка, вы вводите там свои данные (при необходимости, которая рано или поздно появляется), и готово – данные о вашем счете уже находятся у мошенников!
Что касается скимминга, то здесь тоже все весьма просто – на банкомате имеются считывающие устройства ввода. То есть, устройство запоминает цифры, которые вы вводите при требовании набрать пин-код. Цифры фиксируются, также на банкоматах устанавливают маленькие камеры, с помощью которых становится видно номер вашей карты. Сделать дубликат не составляет труда, так как скиммером еще считывается информация с магнитной ленты вашей карты. При изготовлении дубликата используется именно эта информация, и для снятия средств остается только вставить дубликат в банкомат и ввести пин-код, считанный скиммером ранее.
Как мошенники снимают деньги по номеру карты
Многие часто задаются вопросом – могут ли мошенники снять деньги с карты, зная только номер карты? Ответ однозначен – конечно, могут. Однако это касается не всех типов карт. Расскажем подробнее.
Такому приему могут поддаваться карты типа MasterCard и Visa Classic. Иными словами, те карты, по которым можно совершать покупки в Интернете. Не могут быть «обчищены» благодаря такому приему карты Maestro, а также продукты Momentum.
Именно у Сбербанка есть возможность перевода средств с карты на карту без дополнительных сведений – для этого вам потребуется только знать ее номер. Таким методом перевода пользуются люди достаточно активно, когда необходим расчет между знакомыми. Так можно узнать и имя держателя, — сделайте лишь минимальный перевод посредством Сбербанка онлайн, и вам придет смс-сообщение с информация об имени и отчестве владельца.
Получается, что если вы знаете номер карты, то самый простой способ – договориться о приобретении товара через сторонние ресурсы, к примеру, Авито при условии перевода на сбербанковскую карту. В этой ситуации мошенник уже будет знать номер карты, ФИО он сможет узнать посредством онлайн-кабинета, и он сможет совершить любую покупку через ваш счет на тех платформах, где нет необходимости ввода CVV кода, а также где не нужно будет вводить защитный код от MasterCard SecureCode.
Как происходит снятие средств только по номеру? Рассмотрим пример с использованием Авито.
Мошеннику нужно будет сначала узнать номер вашей карты, для этого он может попросить его у вас для расчета за покупку (якобы, так будет расплатиться намного быстрее удобнее). Также можно записать номер карты, запомнить его, зафиксировать на камере, или использовать для этого многие другие способы.
Далее мошеннику потребуется ФИО держателя карты. Это сделать гораздо проще, чем узнать ее номер. Достаточно лишь задать вопрос, на чье имя перевести деньги. Можно также использовать вариант, упомянутый выше, с переводом средств через онлайн-кабинет. Нет необходимости проводить до конца перевод, потому что стоит дойти лишь до того момента, когда потребуется проверка данных.
После того, как данные будут отображены, мошенник переводит ваши данные в транслитерацию, и это тоже совершенно несложно.
На этом все, мошенник может начинать тратить ваши средства с карты, переходя при этом на любой ресурс, где подтверждение по CVV коду не требуется, также нет переброски на SecureCode. Также мошенники выбирают ресурсы, где нет нужды использовать одноразовые пароли Сбербанка. Так вы становитесь жертвой – достаточно лишь выдать три своих параметра: ФИО и номер карты, а также срок ее действия.
Если вы имеете перед глазами номер пластиковой карточки, то и тип ее узнать будет несложно. Соответственно, опытному мошеннику прикинуть по имеющимся данным, к какому типу относится ваша карта, не составит совершенно никакого труда. Для этого ему достаточно будет знать количество цифр и цифру, с которой сам номер и начинается.
Дальше остается «самое сложное» — узнать, какой у карты срок действия. Здесь все просто – срок действия карты составляет три года, соответственно, 12 месяцев на каждый год. В сумме получаем, что будет 36 разновидностей дат для срока действия. Перебрать 36 вариантов для того, чтобы добавить карту на ресурс для оплаты – дело 10 минут. Ограничений для ввода информации нет, поэтому можно перебирать до тех пор, пока карта не будет добавлена.
Теперь вы полностью осведомлены о том, как мошенники снимают деньги по номеру карты
Как снять деньги с карты, зная номер и CVV
По номеру карты и CVV коду украсть деньги еще проще. Ресурсов для оплаты товаров и услуг с использованием CVV кода при оплате гораздо больше, чем простых магазинов, которые не требуют этой информации. Как снять деньги с карты, зная ее номер и CVV без смс? Для выполнения списания средств стоит знать следующее:
После этого нужно просто выбрать любой понравившийся товар в интернет-магазине, или перевести деньги на счет в букмекерской конторе, платежной системы, счет электронного кошелька и т.д. Достаточно ввести все данные и подтвердить операцию своевременно – и деньги будут списаны со счета.
Как выбрать безопасную карту
Таким образом, получается, что если человек знает номер карты, то он вполне может списать средства с нее, и для того, чтобы осуществить эту операцию, вовсе нет нужды искать все остальные данные о владельце карты, потому что это можно сделать достаточно легко. Вы теперь знаете, как мошенники могут легко узнать ФИО владельца карты и как можно подобрать самостоятельно срок действия чужой карты.
Что же можно сказать в пользу защиты от таких неправомерных действий? От интернет-мошенников обезопасить себя достаточно просто – нужно всего лишь использовать для повседневной жизни карты типа Maestro Momentum или Cirrus. Такие карты выдают в Сбербанке, и без дополнительной защитной информации посторонний человек не сможет снять или перевести средства с вашей карты, а также совершить покупку в Интернете.
Кроме этого, стоит задуматься над тем, какими банкоматами вы пользуетесь при снятии средств. Лучше всего использовать те устройства, которые находятся в офисах Сбербанка или те, которыми вы пользуетесь постоянно и считаете их проверенными. На такие банкоматы мошенники не смогут поставить считывающее устройство скиммер, поэтому такие устройства являются наиболее безопасными.
Что касается мер безопасности, кроме перечисленных, то стоит еще обратить внимание на то, что использовать ресурсы для интернет-банкинга нужно с большой осторожностью. Мошенники не сидят на месте и постоянно совершенствуют свои навыки по изощренным кражам денег с карт.
Сейчас очень популярным является создание вирусных форм страниц, которые являются полной копией популярных ресурсов для оплаты услуг или товаров. К ним относятся социальные сети, интернет-магазины, сайты банков и т.д. Нужно всегда внимательно смотреть на адрес сайтов и сравнивать его с оригиналом. Если вы заметили различия в них, то знайте – вас пытаются обмануть!
Как защитить себя от мошенничества с пластиковыми картами
Итак, можно ли снять деньги с карты, зная только ее номер? Судя по вышенаписанной информации, безусловно, можно. Сделать это можно несколькими способами – с использованием CVV кода или же без него, при использовании контактных данных, посредством считывания сведений при снятии наличных в банкомате и т.п. Чем больше информации о карте и его держателе находится в руках мошенника – тем проще и быстрее он снимет деньги с карты.
На самом деле, все меры безопасности являются достаточно условными для всех держателей карт. Если кто-то посторонний сможет узнать ваше имя и номер карты – остается лишь надеяться на то, что он окажется честным и порядочным человеком и не станет пользоваться этими сведениями для своего личного блага. Если вы предпримете гораздо больше мер безопасности для того, чтобы ваша банковская карта была менее уязвимой – шансы на то, что вы станете жертвой интернет-мошенника, будет сведен к минимуму. Однако минимальная вероятность быть обманутым все равно останется.
Все это вовсе не значит, что не нужно хранить свои кровные сбережения на банковских картах – это совсем не так. Просто необходимо быть осторожными в расчетах и стараться по возможности не выдавать информацию о себе и своей карте. Особо важно обезопасить свои гаджеты, которыми вы пользуетесь иногда для просмотра информации по своему счету. Сейчас, в последнее время, участились случаи, когда именно через телефоны и планшеты случаются взломы паролей. На основании уже имеющихся данных у мошенника будет доступк счету держателя карты.
Обратите внимание на степень безопасности использования ваших гаджетов. Если они оборудованы антивирусными системами наивысшего качества – мошенникам будет сложно подсунуть вам фишинговую ссылку, чтобы вы, пройдя по ней, потеряли контроль за доступом к вашему банковскому счету. В противном случае, при отсутствии этой защитной степени вы будете гораздо более уязвимы, если пользуетесь Сбербанком Онлайн именно через телефон или планшет.
Старайтесь также не использовать карту в качестве основной платежной силы – все-таки, наличные средства никогда не смогут вытеснить электронные деньги, даже несмотря на удобство их использования. Кстати, самое интересное – владельцы карт чаще всего становятся сами виноваты в том, что стали жертвами мошенничества. Не нужно сообщать никому данные о своей карте – ни лично, ни по телефону. Это можно делать только в том случае, если вы сами уверены в том, что сообщаете данные специалисту банка или надежному человеку. Если же номер телефона, по которому с вами связались, не внушает вам доверия и является подозрительным – не стоит даже разговаривать о таких вещах, как данные банковской карты.
Исходя из всего сказанного выше, стоит выделить особенно несколько моментов:
Придерживайтесь всегда этих правил, и вы не станете легкой добычей для мошенников. Если вас не устраивает то, насколько безопасен Сбербанк – вы всегда можете сменить банк для хранения средств, но перед этим нужно хорошо подумать – стоит ли это делать и окажется ли другой банк более надежным.
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
Примеры с «Хабр»:
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Деньги с карты без СМС: как самому снять, а мошенникам не дать
Мобильный телефон держателя банковской карты — орудие защиты собственных и кредитных средств на его счетах от преступных посягательств. Сведения, как вывести деньги с карты без СМС-подтверждений, необходимы для предотвращения их кражи.
В каких случаях требуется вывод денег без СМС
Желание снять денежные средства с пластиковой карточки без подтверждения операции кодом из SMS возникает в двух ключевых ситуациях:
В первой ситуации лучшее, что можно сделать — немедленно позвонить в банк, эмитировавший карту, на горячую линию, номер которой нанесен на пластик.
Дело в том, что карточка, выпущенная банком — неважно, кредитная или расчетная, — является его собственностью. Она принадлежит банку, а не человеку, чье имя указано на лицевой стороне, котрый является держателем карточного бланка.
Желание снять со своей платежной карточки свои деньги, не подтверждая транзакцию одноразовым SMS-кодом, возникает в случаях:
Если банк рядом.
При посещении офиса банка-эмитента есть возможность:
Обратите внимание: наличие отделения банка, в которое можно съездить для решения проблем с доступностью средств и безопасностью карты, не гарантирует сохранность денег клиента. Например, известны случаи списания денег с карты Сбербанка без подтверждения по новому телефону держателя, когда банк не поменял данные своевременно, а злоумышленники получили доступ к старому телефону и реквизитам карточки.
Если банк далеко.
В случае утери мобильного телефона, привязанного к карточке, и невозможности лично обратиться в отделение следует срочно направить в банк просьбу заблокировать карту другим способом, выбрав доступный из трех вариантов:
В каждом варианте для идентификации личности держателя карты нужно назвать:
Как правило, банки принимают по электронной почте заявки на перевыпуск карты, но за новым пластиком всё равно необходимо ехать в ближайшее отделение — только некоторые эмитенты присылают новую карточку «Почтой России» либо доставляют курьером как «Тинькофф Банк».
При проблемах с обслуживанием пластика в банкоматах и терминалах страны пребывания держателям карт класса Gold и выше обычно доступна услуга экстренной выдачи наличных.
Как отключить СМС-подтверждение
Если клиенту банка надоели SMS-уведомления о каждой операции по карте, их вместе с СМС-подтверждением транзакций можно отключить. Для этого нужно либо позвонить в колл-центр эмитента с номера сотового, привязанного к карте, либо прийти в отделение с паспортом.
Вместе с SMS-подтверждением операций будет отключена возможность делать покупки, платежи и переводы онлайн. Избавляться от этой услуги следует только в том случае, если карта действительно нужна только для оффлайн-покупок и снятия наличных.
Обратите внимание: при онлайн-транзакциях средства, как правило, не списываются с картсчета сразу, а временно замораживаются. Так что если вовремя забить тревогу, банк может отменить операцию и оставить деньги клиента в целости и сохранности.
Как дистанционно воруют деньги с карт
Злоумышленники изобретают и используют довольно разнообразные способы снять деньги с карты без пин-кода и СМС-подтверждения либо с перехватом пароля (PIN или SMS):
Получение средств с карты без ввода пин-кода
Пин-код предоставляется держателю карточки только при ее выпуске и при последующих перевыпусках. Шифр печатается на листе, который помещается в специальный запечатанный конверт.
Эмитенты рекомендуют сразу после прочтения и запоминания кода уничтожить этот документ. В целях обеспечения безопасности карты и конверты с пин-кодами даже в банке хранятся по отдельности. И ни один банковский служащий не имеет доступа к базе данных этих паролей. Держателям карт не стоит писать шифр на карточных бланках.
Допускается 3 попытки перебора пин-кода. Если восстановление шифра не удалось, карта заблокируется на 24 часа или навсегда. Возможно, по звонку в колл-центр удастся снять блокировку. Но тогда нужно сообщить паспортные данные и секретное слово. Для изменения пин-кода в банкомате придется сначала указать данные текущего, забытого, шифра. В личном кабинете интернет-банкинга большинства банков такая услуга не доступна.
В таких случаях возможно 2 варианта, но оба предполагают посещение банковского офиса с паспортом, где просят закрыть счет и выдать все деньги или перевыпустить бланк.
Последнее требует времени (до 2-4 недель) и, возможно, дополнительных расходов, поскольку чаще всего внеплановый выпуск платный. Цена услуги зависит от политики эмитента и класса карты.
Еще один способ получения денег с карты без ввода пин-кода – это воспользоваться интернет-банкингом и перевести средства на счет, с которого есть возможность снять деньги. Это могут быть сберегательный счет или иная карта.
Перевод средств и дистанционная оплата с карты без СМС
Максимально возможный уровень защиты банковских счетов обеспечивается технологией 3-D Secure. Платежные системы MasterCard, VISA и МИР пользуются соответственно системами MasterCard SecureCode, Verified by VISA и MirAccept.
В 2019 г. презентована новая версия протокола. Предполагается, что с ее внедрением большинство платежных операций и не нужно будет подтверждать СМС-кодами: программное обеспечение в процессе оплаты станет автоматически оценивать степень рискованности той или иной операции, то есть система на основе анализа данных о клиенте, имеющихся у банка-эмитента, будет определять вероятность того, что счетом пользуется законный владелец.
Сейчас многие, но не все, интернет-магазины поддерживают 3-D Secure. Например, Алиэкспресс пользуется собственной системой защиты сделок. Если на сайтах интернет-продавцов нет на данном ресурсе пройдет без СМС-подтверждения. Тогда вся ответственность возлагается или на банк, выпустивший карту, или на покупателя.
Не требуется подтверждение SMS-кодом расчетов, осуществляемых через PayPal. Данная платежная система все риски по безопасности сделки возлагает на продавцов.
Альтернативные способы использования средств на карте без СМС-подтверждений
За сутки система безопасности пропустит не более 3 таких операций. Сделки на суммы свыше 1 000 рублей, даже при использовании указанных технологий, нужно подтверждать пин-кодом.
Также можно выполнить перевод средств с банковской карты на другой счет, доступ к которому менее проблематичен. Иногда такие транзакции удается выполнить без СМС-паролей, например, если:
Как обезопасить свои деньги на банковской карте
Чтобы предотвратить хищение средств с банковской карты, соблюдайте несложные рекомендации: