Monobank, динамічний CVV, повага до продавців та безпека ваших коштів
Зіткнувся із цікавою ситуацією, настільки цікавою, що аж вирішив написати фактично перший свій пост на DOU. Можливо ця інформація комусь стане у пригоді, бо багато речей, які я взнав під час спілкування із підтримкою Монобанку особисто для мене було цікавим і не дуже приємним відкриттям.
Отож, до теми.
Близько року тому Монобанк почав вихвалятись новою функцією, а саме динамічним CVV(CVV2) кодом. Ось що говорить сайт-партнер Монобанку:
moneybank.com.ua/dinamicheskij-cvc2
Динамический CVC2 от Монобанка
Monobank заботится о безопасности своих клиентов, предлагая все больше интересных опций. Так, недавно была введена технология динамического кода CVC2, которая на порядок повышает уровень защищенности данных в интернете. Больше такого ни у кого нет. CVC2 или CVV2 — статичный код, состоящий из 3 цифр, который написан на обороте карты. Card Validation Code применяет система Mastercard.
Динамический CVC2 Монобанка предполагает, что код на обороте карты будет меняться каждый час. Уникальные сгенерированные секретные цифры можно будет посмотреть внутри приложения для смартфона.
Зачем это нужно?
Сегодня большинство платежей осуществляется не в кассах и терминалах, а через интернет. Транзакции происходят путем ввода данных с лицевой стороны карточки, а также CVC2 кода, расположенного на другой стороне. Именно он обеспечивает дополнительную защищенность личной информации.
Но пользователей банковских услуг это не устраивает. Они беспокоятся, что мошенники смогут похитить и повторно использовать их секретные данные для совершения переводов сомнительным лицам или банкам без их ведома. Специально для них Монобанк ввел динамический код безопасности, включив который новые цифры начнут генерироваться ежечасно.
Здавалось би от він ідеал і супер безпека при платежах у інтернеті.
Але як завжди, реальність виявилась трішки іншою.
Я час від часу купую якісь дрібнички у інтернеті і зокрема на AliExpress.
Спеціально для всяких дрібних покупок у інтернеті та оплати комуналки у мене є картка Монобанку, яка поповняється із ЗП картки при потребі. Оскільки на картці монобанку залишок зазвичай порядка
Отож, заходжу я цього тижня на Ali, пробую купити якусь дрібничку за пару баксів і на автоматі тисну і пробую проплатити збереженою карткою Монобанку.
Тоді згадую, що я ж використовував останній раз динамічний CVV код, який і збережений. А зараз у мене новий динамічний CVV код. Логічно, що зараз мав би вискочити попап-чик із повідомленням, типу : «Помилка оплати, перевірте введені дані». Але де там, на сайті AliExpress оплата пройшла на Ура!!!. За кілька хвилин і у аплікушці Монобанку я бачив успішну транзакцію.
Стало цікаво, аж настільки, що я пішов шукати якусь інформацію у супорту.
Перша ж відповідь мене доволі сильно ошелешила.
При підв’язці карти на ресурсі ви погоджуєтеся з Умовами та Правилами ресурсу — де вказано, що їх система підтягує всі дані
Перевірив скрін збереження карток на Алі— такого нема.
Поки я перевіряв, Монобанк мені вже відписав нову відповідь...
MDES for Merchants (M4M)
Позволяет продавцам хранить «токены» вместо информации по карте, что обеспечивает дополнительную безопасность сохранности персональных данных Клиентов.Например:
Клиент хочет подвязать свою карту на сайте Netflix. Токен создается со стороны Нетфликс и направляет запрос в Монобанк для подтверждения данных Клиента.
При успешном подтверждении со стороны Монобанка Нетфликс при дальнейших списаниях использует «Токен» вместо реального номера карты.
Ну що ж, погуглив, пошукав, почитав... developer.mastercard.com/...chants-on-behalf-of-model цікава штука, але при швидкому читанні нічого схожого на Dynamic CVV/CCV я там не знайшов. Тож, Монобанк, виглядає так, взяв стандарт МС, придумав Dynamic CVV і щось собі імплементував.
Після чого ми мило продовжили спілкування із супортом і визначили, що всі схожі неявні кейси і зокрема токенізовані оплати регламентуються пунктом:
8.10. Клієнт несе відповідальність в повному обсязі за всі операції, що супроводжуються авторизацією, до моменту заяви Клієнта, поданої до контактного центру Банку за допомогою каналів дистанційного
обслуговування, про блокування картки / рахунку / на рух коштів, номера мобільного телефону на надання банківських послуг.
Тобто, якщо Алі, чи інший сайт, на якому я зберіг дані картки хакнуть...навіть незважаючи на те, що у мене динамічний CVV, який дійсний годину...зловмисник зможе виконати від мого імені платежі, використовуючи CVV введений місяць чи рік тому, і який я як користувач вважав уже давним давно невалідним.
Після чого ми ще трішки мило поспілкувались і супорт видав чергову клієнт орієнтовану фразу:
у вас може картка повністю змінитись, а списання буде з нової картки. Віза і мастер кард можуть передавати дані про перепипуск карток компаніям. Це зроблено з ціллю захостити продавця
Тобто Ви можете випустити нову картку із іншим номером, CVV, exp. date...і ваші кошти спишуть... для захисту продавця якщо що.
Після чого мені кілька разів сказали шаблонну фразу:
Вибачте, що розчарували вас
Тоді послали далеко далеко ... у Visa і МС, розповіли, що законодавства України не порушують і все працює як слід.
Тож на цьому спілкування і закінчилось.
Висновки.
1. Зберігати на сайтах картки, щоб потім було легше платити — ЗЛО!
2. Динамічний CVV — подвійне ЗЛО, поведінка цієї фічі зовсім не така як очікується і нормального опису нема.
3. Будь які проблеми із платежами у Монобанку регламентуються пунктом
8.10. Клієнт несе відповідальність в повному обсязі за всі операції, що супроводжуються авторизацією, до моменту заяви Клієнта, поданої до контактного центру Банку за допомогою каналів дистанційного
обслуговування, про блокування картки / рахунку / на рух коштів, номера мобільного телефону на надання банківських послуг. — якщо коротко, щось пішло не так — сам олень!
4. Захист продавця це пріорітет № 1, захист клієнта...це пріорітет явно не № 1.
5. Як на мене це очевидна діра у безпеці, коли платіж може здійснитись без моєї явної згоди (на догоду зручності списання бабла вендорами послуг/контенту).
6. Монобанку дуже жаль, але все законно.
7. Якщо раптом щось трапиться, і умисно чи не умисно продавцю здасться, що ви йому винні гроші...із вас їх спишуть.
8.Монобанку знову дуже жаль, але все законно.
І на останок, цікава стаття, як із картки користувача моно, яка була заблокована, довго і плідно зловмисники списували гроші.
Найкращі коментарі пропустити