Monobank, динамічний CVV, повага до продавців та безпека ваших коштів

Зіткнувся із цікавою ситуацією, настільки цікавою, що аж вирішив написати фактично перший свій пост на DOU. Можливо ця інформація комусь стане у пригоді, бо багато речей, які я взнав під час спілкування із підтримкою Монобанку особисто для мене було цікавим і не дуже приємним відкриттям.

Отож, до теми.
Близько року тому Монобанк почав вихвалятись новою функцією, а саме динамічним CVV(CVV2) кодом. Ось що говорить сайт-партнер Монобанку:

moneybank.com.ua/dinamicheskij-cvc2

Динамический CVC2 от Монобанка
Monobank заботится о безопасности своих клиентов, предлагая все больше интересных опций. Так, недавно была введена технология динамического кода CVC2, которая на порядок повышает уровень защищенности данных в интернете. Больше такого ни у кого нет. CVC2 или CVV2 — статичный код, состоящий из 3 цифр, который написан на обороте карты. Card Validation Code применяет система Mastercard.

Динамический CVC2 Монобанка предполагает, что код на обороте карты будет меняться каждый час. Уникальные сгенерированные секретные цифры можно будет посмотреть внутри приложения для смартфона.

Зачем это нужно?
Сегодня большинство платежей осуществляется не в кассах и терминалах, а через интернет. Транзакции происходят путем ввода данных с лицевой стороны карточки, а также CVC2 кода, расположенного на другой стороне. Именно он обеспечивает дополнительную защищенность личной информации.

Но пользователей банковских услуг это не устраивает. Они беспокоятся, что мошенники смогут похитить и повторно использовать их секретные данные для совершения переводов сомнительным лицам или банкам без их ведома. Специально для них Монобанк ввел динамический код безопасности, включив который новые цифры начнут генерироваться ежечасно.

Здавалось би от він ідеал і супер безпека при платежах у інтернеті.

Але як завжди, реальність виявилась трішки іншою.

Я час від часу купую якісь дрібнички у інтернеті і зокрема на AliExpress.
Спеціально для всяких дрібних покупок у інтернеті та оплати комуналки у мене є картка Монобанку, яка поповняється із ЗП картки при потребі. Оскільки на картці монобанку залишок зазвичай порядка 300-500 грн. то ризики втратити гроші не такі вже й ризики. Ну і власне моя картка Моно забережена на сайті AliExpress.

Отож, заходжу я цього тижня на Ali, пробую купити якусь дрібничку за пару баксів і на автоматі тисну і пробую проплатити збереженою карткою Монобанку.
Тоді згадую, що я ж використовував останній раз динамічний CVV код, який і збережений. А зараз у мене новий динамічний CVV код. Логічно, що зараз мав би вискочити попап-чик із повідомленням, типу : «Помилка оплати, перевірте введені дані». Але де там, на сайті AliExpress оплата пройшла на Ура!!!. За кілька хвилин і у аплікушці Монобанку я бачив успішну транзакцію.

Стало цікаво, аж настільки, що я пішов шукати якусь інформацію у супорту.
Перша ж відповідь мене доволі сильно ошелешила.

При підв’язці карти на ресурсі ви погоджуєтеся з Умовами та Правилами ресурсу — де вказано, що їх система підтягує всі дані

Перевірив скрін збереження карток на Алі— такого нема.
Поки я перевіряв, Монобанк мені вже відписав нову відповідь...

MDES for Merchants (M4M)
Позволяет продавцам хранить «токены» вместо информации по карте, что обеспечивает дополнительную безопасность сохранности персональных данных Клиентов.

Например:

Клиент хочет подвязать свою карту на сайте Netflix. Токен создается со стороны Нетфликс и направляет запрос в Монобанк для подтверждения данных Клиента.

При успешном подтверждении со стороны Монобанка Нетфликс при дальнейших списаниях использует «Токен» вместо реального номера карты.

Ну що ж, погуглив, пошукав, почитав... developer.mastercard.com/...​chants-on-behalf-of-model цікава штука, але при швидкому читанні нічого схожого на Dynamic CVV/CCV я там не знайшов. Тож, Монобанк, виглядає так, взяв стандарт МС, придумав Dynamic CVV і щось собі імплементував.

Після чого ми мило продовжили спілкування із супортом і визначили, що всі схожі неявні кейси і зокрема токенізовані оплати регламентуються пунктом:

8.10. Клієнт несе відповідальність в повному обсязі за всі операції, що супроводжуються авторизацією, до моменту заяви Клієнта, поданої до контактного центру Банку за допомогою каналів дистанційного
обслуговування, про блокування картки / рахунку / на рух коштів, номера мобільного телефону на надання банківських послуг.

Тобто, якщо Алі, чи інший сайт, на якому я зберіг дані картки хакнуть...навіть незважаючи на те, що у мене динамічний CVV, який дійсний годину...зловмисник зможе виконати від мого імені платежі, використовуючи CVV введений місяць чи рік тому, і який я як користувач вважав уже давним давно невалідним.

Після чого ми ще трішки мило поспілкувались і супорт видав чергову клієнт орієнтовану фразу:

у вас може картка повністю змінитись, а списання буде з нової картки. Віза і мастер кард можуть передавати дані про перепипуск карток компаніям. Це зроблено з ціллю захостити продавця

Тобто Ви можете випустити нову картку із іншим номером, CVV, exp. date...і ваші кошти спишуть... для захисту продавця якщо що.

Після чого мені кілька разів сказали шаблонну фразу:

Вибачте, що розчарували вас

Тоді послали далеко далеко ... у Visa і МС, розповіли, що законодавства України не порушують і все працює як слід.

Тож на цьому спілкування і закінчилось.

Висновки.

1. Зберігати на сайтах картки, щоб потім було легше платити — ЗЛО!

2. Динамічний CVV — подвійне ЗЛО, поведінка цієї фічі зовсім не така як очікується і нормального опису нема.

3. Будь які проблеми із платежами у Монобанку регламентуються пунктом

8.10. Клієнт несе відповідальність в повному обсязі за всі операції, що супроводжуються авторизацією, до моменту заяви Клієнта, поданої до контактного центру Банку за допомогою каналів дистанційного
обслуговування, про блокування картки / рахунку / на рух коштів, номера мобільного телефону на надання банківських послуг. — якщо коротко, щось пішло не так — сам олень!

4. Захист продавця це пріорітет № 1, захист клієнта...це пріорітет явно не № 1.

5. Як на мене це очевидна діра у безпеці, коли платіж може здійснитись без моєї явної згоди (на догоду зручності списання бабла вендорами послуг/контенту).

6. Монобанку дуже жаль, але все законно.

7. Якщо раптом щось трапиться, і умисно чи не умисно продавцю здасться, що ви йому винні гроші...із вас їх спишуть.

8.Монобанку знову дуже жаль, але все законно.

І на останок, цікава стаття, як із картки користувача моно, яка була заблокована, довго і плідно зловмисники списували гроші.

itc.ua/...​achali-spisyvatsya-dengi

👍ПодобаєтьсяСподобалось2
До обраногоВ обраному5
LinkedIn

Найкращі коментарі пропустити

Давайте я трохи поясню що і до чого, особливо тим, хто прочитавши коментарі не зможе зрозуміти де помилки, а де ні :)
Не претендую на те щоб стверджувати що я знаю все по цій темі, але працюю з процессінгом карт і трохи знаю що і до чого.

Коли сайт знімає плату за певний товар він може:
— зробити запит на перевірку CVV (CVC)
— зробити запит на перевірку 3ds (типу смс, дзвінок від банку або банківська аплікуха; сам магазин не знає як перевірка робиться — тільки сам факт чи вона була і чи пройшла)
— зробити запит на перевірку адреси прив’язаної до карти
— ну і ще якісь штуки, але це робиться рідко і часто не самим сайтом а процессінговим партнетор (PSP)

Люди вони такі, що люблять, блін, робить помилки. А крім того помилки можуть бути через проблеми інтернету між телефоном і сайтом або в банку і в 100500 випадків.
Тож чим більше перевірок захоче сайт тим більш ймовірно що заплатити НЕ вийде. Бо помилки від кожної перевірки складають певним чином свої ймовірності. Ймовірність що платіж буде успішним називають Acceptance rate (AR).
Коли сайт не робить 3ds перевірку він отримує кращий AR, але набирає автоматичну відповідальність при оскаржуванні оплати. Якщо перевірка зроблена, то виникає Liability shift — банк несе відповідальність у випадку якщо клієнт скаже що це шахрайство.
Спрацьовує ця відповідальність коли користувач звертається до банку і каже що він не робив цю оплату або що йому товар не доставили і він хоче гроші назад. Дуже розповсюджена штука в Сполучених Штатах. Тож якщо у вас не перевіряли 3ds, то довести що ви не робили платіж легше. Правда це (disput) буде вартувати 19$ які вам повернуть разом із платежем що оскаржується, якщо оскарження пройде успішно. Сайт в свою чергу може навести аргументи, що доводять що ви все ж оплатили товар. Ця штука досить повільна і перемога також залежить від того наскільки якісно цю справу веде ваш банк. Закордоном банки можуть одразу повертати гроші і тоді сайт повинен оскаржувати оплату сам.

Тепер CVV. Хоча код і написаний на картці та він може бути змінений (або dynamic cvv) тож користувач може дуже легко помилитися. Через це перевірка CVV часто не робиться — ймовірність помилки сильно вища (зберігати CVV не можна).
Те саме і з 3ds тільки з ним помилок ще більше.
Сайти типу Amazon, Ali, etc дуже часто не роблять 3ds. 3ds іноді вимога закону, але вони використовують всі виключення із закону які можуть, щоб підвищити AR.

Більш того, навіть сам банк може провести платіж коли CVV неправильно вказаний. Чому?! А тому що банку вигідно коли ви платите за товари, бо банк заробляє комісію з кожного платежу (interchange). Тепер ви знаєте, що кешбек це не подарунок банка — часто це частка тієї комісії яку ви і так заплатили.
Але ж я не плачу комісії! Яка ціна на сайті стільки і списують з картки!
Тому що комісія вже закладена в ціни на сайті.

Тож CVV може не перевіряти сайт або банк. Але ж це не все! Ще коли Visa або MC (scheme) змогли зв’язатися з банком, то сама scheme може не перевірити CVV.

Ну і цього замало! Насправді у картки є 2 CVV. І один із них може бути використаний замість іншого. Але ви його ніколи не дізнаєтеся — він зашитий в банківській картці. А от якщо у вас зроблять копію картки то можуть його дізнатися і проводити оплати в інтернет (наприклад якщо вони пін код не знають).

Тепер зважте що ми нічого ще не казали про токени (network tokens). Network token працює ну дуже схожим чином до GooglePay і ApplePay, хоча останні НЕ є network tokens бо виникли перші.
Коли створюється network token він прив’язується до банківського рахунку і знає про вашу певну картку. Коли ви перевипускаєте картку чи отримуєте іншу, network token може бути автоматично асоційований з новою карткою (певною мірою залежить від банку).
Тож якщо сайт створив такий токен, то і з іншої картки він зможе знімати гроші.
Плюс в тому що інший сайт не може використати цей токен (наприклад якщо вкраде базу токенів).

Також є випадки коли можуть не перевіряти чи є гроші на рахунку і чи ви не вийшли з лімітів. Це так званий овердрафт і кейси коли scheme не спитала у банка дозвіл на оплату, а просто повідомила банк що оплата відбулась. Але з цим питанням я не дуже знайомий.

Ну і кількість нюансів йде до нескінченності. Як от чому можна оплатити карткою в літаку, і чому не будь якою. І так далі і тому подібне.

Давайте підсумуємо:
— dynamic cvv це класно від певних видів шахрайств, але не від усіх
— є багато причин чого вас можуть не спитати CVV або спитати і не перевірити, або перевірити і проігнорувати помилку
— платежі складний домен :)

Просто вся эта оплата картами пошла не туда изначально. Правильно это когда у вас есть деньги, а каждый продавец на каждую транзакцию должен спрашивать, а можно ли я сниму столько-то. Нынешние же кредитные карты это просто как ключ к сейфу. И у кого есть ключ — заходи бери сколько хочешь. И ты никак не можешь защитить свои деньги, если продавец сделал токен, и хочет их списать — он их спишет. Конечно некоторые возразят мол продавцы так делать не будут, можно потом оспорить через банк. Но во первых есть куча мошенников, недобросовестных продавцов и так далее. Ну а во вторых в этой схеме мне кажется покупатель более уязвим, и это его нужно защищать прямо на уровне технологии. А не разрешать открывать сейф и забирать сколько захочется, а ты типа потом иди и разбирайся в банк.

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Тоже столкнулась с полным отсутствием клиентооринтированности после ошибочного платежа. Спрашиваю «как вернуть деньги», а они мне карту блокируют. Оператор морочил голову 2 часа, а потом ответил, что ничем помочь не может. Но банку очень жаль.

А это бесполезно объяснять, приложение же прикольное, с котиками, и стикеры дают, так что все норм)

Ждём новых откровений, как этот зловредный монобанк даст списать деньги с украденного телефона по отрезанному пальцу не сверяя дайнэмик цвв!

Бачу у нас доволі «експерітв» по токенізації, динамічних CVV і роботі платіжних систем. Давайте товариші експерти розкажіть як працює фіча «cross border fees» і як перед платежем перевірити, чи ці фііз будуть зняті чи ні. ;-)

Разгадуй загадку автора «отзыва», мы ж тут клуб любителей шарад.

Автор сначала крыл конкретный банк за то что в платежной системе есть токены, теперь переметнулся в лагерь мерчантов и осуждает (кого?) за cross borders fee.

Не переключайтесь ©

Дивні висновки. Дуже дивні...при чому тут мерчанти? Де ви побачили осуд? Просто бачу що форум аж кишить знавцями MDES, який з’явився чуть більше року тому...і всі ці знавці чомусь вважають, що кожна пересічна людина має знати як цей сервіс від МС працює. Тому тре користуватись моментом і випитувати інфу по інших цікавих питаннях.

при чому тут мерчанти?

При «cross border fees» яки вони сплачують.

Людино,

cross border fees

завжди платить покупець! бо мерчант це перекладає на попупця і в підсумку товар коштує дорожче ніж на ціннику.

НДФЛ продавца по такой логике тоже платит покупатель. Но тогда и НДФЛ покупателя платит кто-то другой. Вот и твои налоги платят покупатели магазинов.

Користуйтеся Transferwise. Ми завжди за чесність і багато зусиль витрачаємо щоб ніяких неочікуваних комісій не було.
Більш того ми лобіювали закон в Європі щоб банки буди зобов’язані показувати свої комісії.

ніяких неочікуваних комісій не було.

Вот только большую часть комиссий можно узнать лишь в момент проведения платежа потому что нет одного документа который бы содержал перечень всех комиссий которые могут возникнуть при попытке пополнить счёт или отправить деньги со счёта TransferWise.

Пишу не с позиции критикана, а как пользователь TW которому вот эта неизвестность реально мешает. Почему в одном случае с меня берут 0,6 фунта, а в другом 1,3? Почему через гугль пей комиссия одна, а при использовании карты напрямую другая и в разы выше?

На останьому кроці перед тим як ви оплачуєте вам має бути показана остаточна ціна яка залежить від параметрів переводу які ви обрали. Якщо це не так, будь ласка, напишіть мені в лінкедін або підтримку.

Комісії різні тому що є перві обставини які змінюють ціну для компанії. Ми намагаємося знизити фактори що впливають на ціну і коли це виходить то знижуємо ціну саме для тих випадків коли наші видатки знизилися.
Не певен чи є ще якась компанія яка реально знижує ціни для користувачів залежно від того скільки на користувачів витрачає. Зазвичай компанії якщо і знижують ціни то просто всім рівно (незалежно від того що оплати одних користувачів дорогі а інших дешеві). Це називається крос-субсидіювання і ми протии цього.

На останьому кроці перед тим як ви оплачуєте вам має бути показана остаточна ціна яка залежить від параметрів переводу які ви обрали. Якщо це не так, будь ласка, напишіть мені в лінкедін або підтримку.

Це так.

Але ж неможна наперед знати цю комісію коли йде мова про поповнення рахунку з картки іншого банку: коміссія стає відомою лише під час операції. Тож важко назвати цю комісію очікуваною. На одних сумах комісія такаж як при відправці грошей з рахунку TW, ті самі 0,6 фунта. На інших вже не фіксована сума, а якась інша пропорційна сумі переказу. Від чого це залежить, як розраховується — прочитати ніде.

Звісно це краще за SWIFT коли навіть при відправці платежу не знаєш скільки це буде коштувати.

Нажаль для того щоб показувати ціну одразу треба вирівняти ціни для всіх користувачів карток — і тих за кого ми платимо високі комісії і тих за кого низькі. Звісно ми хочемо зробити максимально зручний сервіс, але у цьому випадку ми приносимо в жертву простоту справедливості.
Якби ми додали опцію в налаштуваннях показувати комісію одразу але вона може бути на 50% більша ніж та що ви платите зазвичай, ви б увімкнули цей режим?

Просто вся эта оплата картами пошла не туда изначально. Правильно это когда у вас есть деньги, а каждый продавец на каждую транзакцию должен спрашивать, а можно ли я сниму столько-то. Нынешние же кредитные карты это просто как ключ к сейфу. И у кого есть ключ — заходи бери сколько хочешь. И ты никак не можешь защитить свои деньги, если продавец сделал токен, и хочет их списать — он их спишет. Конечно некоторые возразят мол продавцы так делать не будут, можно потом оспорить через банк. Но во первых есть куча мошенников, недобросовестных продавцов и так далее. Ну а во вторых в этой схеме мне кажется покупатель более уязвим, и это его нужно защищать прямо на уровне технологии. А не разрешать открывать сейф и забирать сколько захочется, а ты типа потом иди и разбирайся в банк.

Я кстати тоже этого в упор не понимаю, нахиба отдавать хрен пойми кому полные креды на свой кошелек. И нахереа мне заводит какие-то дополнительные карты для оплаты в интрнете.

А самая мякотка в том что отдельная карта для оплат в интернете, даже чисто дебетовая — не спасет от списание денег даже если баланс уйдёт в ноль.

Даже если закрыть счет, не то что номер :-)

Aliexpress не смог пару раз снять за покупку по причине того, что я забыл лимит на онлайн оплату поднять.
Так что в этом случае спасёт.
Второй случай, хостер пытался списать денег с монобанка, и не смог. Ибо динамический cvv был (хотя, может и там лимит был на онлайн, не помню уже, помню, что три дня пытался списать :) ) .
То есть и тут спасло.
В остальных — без понятия, нет опыта

Треба розрізняти підходи: той про який ви кажете я б назвав restricting. Той що є enablement. З англійського сенсу цих слів випливе те як я бачу ситуацію — картки створені щоб гроші швидше крутилися в системі а гравці заробляли на комісіях. Це раніше з готівкою все було повільно і дорого, картки дали доступ до швидких і дешевих рішень. На таких зараз і будується весь світ.

Сдается мне что конечных пользователей при этой постройке мира не особо и спрашивали, а сварганили какое-то решение на коленке, и пытаются втюхать что мол это быстро и дешево и нужно пользоваться. А вот если бы появился банк, который не как монобанк с бесполезным динамическим CVV кодом, а который мог бы предоставить реальную безопасность: все удаленные транзакции только через 3ds с вводом одноразового пароля, и вот по другому вообще никак — думаю очень многие бы таким пользовались. Как дополнительные фишки можно уже прикрутить белые списки, чтобы подписки например могли работать, paypass без пин кода на мелкие суммы и так далее, но это вторично. Потому как сейчас напридумывали все эти токены, и пытаются впарить клиенту что это для его же блага. По факту это просто ключ для продавца забрать чужие деньги без возможности остановить такие операции.

Фокус в том что пользователям в США (возможно и в Европе, не уверен) это все пропихнули под соусом «банк в ответе за все косяки». А нам по под соусом — «все уже пользуются и вы берите».

Тут где-то полгода или год назад была дискуссия в которой затрагивалось отличие их кредитных карты от наших дебетовых псевдо-кредитных карт. Одним из главных отличий было то что такие косяки для тру-кредиток автоматом разруливались штатовским банком. Вроде как это составная часть тарифа.

В Америці 3ds набагато менш розповсюджений ніж у нас.
Щоб не було ілюзій, вони платять інтерченджу набагато більше ніж в Європі. І ціни на їх ринку також підвищуються через велику кількість шахрайств з картками.
Класична проблема того що краще там де нас нема.

Давайте я трохи поясню що і до чого, особливо тим, хто прочитавши коментарі не зможе зрозуміти де помилки, а де ні :)
Не претендую на те щоб стверджувати що я знаю все по цій темі, але працюю з процессінгом карт і трохи знаю що і до чого.

Коли сайт знімає плату за певний товар він може:
— зробити запит на перевірку CVV (CVC)
— зробити запит на перевірку 3ds (типу смс, дзвінок від банку або банківська аплікуха; сам магазин не знає як перевірка робиться — тільки сам факт чи вона була і чи пройшла)
— зробити запит на перевірку адреси прив’язаної до карти
— ну і ще якісь штуки, але це робиться рідко і часто не самим сайтом а процессінговим партнетор (PSP)

Люди вони такі, що люблять, блін, робить помилки. А крім того помилки можуть бути через проблеми інтернету між телефоном і сайтом або в банку і в 100500 випадків.
Тож чим більше перевірок захоче сайт тим більш ймовірно що заплатити НЕ вийде. Бо помилки від кожної перевірки складають певним чином свої ймовірності. Ймовірність що платіж буде успішним називають Acceptance rate (AR).
Коли сайт не робить 3ds перевірку він отримує кращий AR, але набирає автоматичну відповідальність при оскаржуванні оплати. Якщо перевірка зроблена, то виникає Liability shift — банк несе відповідальність у випадку якщо клієнт скаже що це шахрайство.
Спрацьовує ця відповідальність коли користувач звертається до банку і каже що він не робив цю оплату або що йому товар не доставили і він хоче гроші назад. Дуже розповсюджена штука в Сполучених Штатах. Тож якщо у вас не перевіряли 3ds, то довести що ви не робили платіж легше. Правда це (disput) буде вартувати 19$ які вам повернуть разом із платежем що оскаржується, якщо оскарження пройде успішно. Сайт в свою чергу може навести аргументи, що доводять що ви все ж оплатили товар. Ця штука досить повільна і перемога також залежить від того наскільки якісно цю справу веде ваш банк. Закордоном банки можуть одразу повертати гроші і тоді сайт повинен оскаржувати оплату сам.

Тепер CVV. Хоча код і написаний на картці та він може бути змінений (або dynamic cvv) тож користувач може дуже легко помилитися. Через це перевірка CVV часто не робиться — ймовірність помилки сильно вища (зберігати CVV не можна).
Те саме і з 3ds тільки з ним помилок ще більше.
Сайти типу Amazon, Ali, etc дуже часто не роблять 3ds. 3ds іноді вимога закону, але вони використовують всі виключення із закону які можуть, щоб підвищити AR.

Більш того, навіть сам банк може провести платіж коли CVV неправильно вказаний. Чому?! А тому що банку вигідно коли ви платите за товари, бо банк заробляє комісію з кожного платежу (interchange). Тепер ви знаєте, що кешбек це не подарунок банка — часто це частка тієї комісії яку ви і так заплатили.
Але ж я не плачу комісії! Яка ціна на сайті стільки і списують з картки!
Тому що комісія вже закладена в ціни на сайті.

Тож CVV може не перевіряти сайт або банк. Але ж це не все! Ще коли Visa або MC (scheme) змогли зв’язатися з банком, то сама scheme може не перевірити CVV.

Ну і цього замало! Насправді у картки є 2 CVV. І один із них може бути використаний замість іншого. Але ви його ніколи не дізнаєтеся — він зашитий в банківській картці. А от якщо у вас зроблять копію картки то можуть його дізнатися і проводити оплати в інтернет (наприклад якщо вони пін код не знають).

Тепер зважте що ми нічого ще не казали про токени (network tokens). Network token працює ну дуже схожим чином до GooglePay і ApplePay, хоча останні НЕ є network tokens бо виникли перші.
Коли створюється network token він прив’язується до банківського рахунку і знає про вашу певну картку. Коли ви перевипускаєте картку чи отримуєте іншу, network token може бути автоматично асоційований з новою карткою (певною мірою залежить від банку).
Тож якщо сайт створив такий токен, то і з іншої картки він зможе знімати гроші.
Плюс в тому що інший сайт не може використати цей токен (наприклад якщо вкраде базу токенів).

Також є випадки коли можуть не перевіряти чи є гроші на рахунку і чи ви не вийшли з лімітів. Це так званий овердрафт і кейси коли scheme не спитала у банка дозвіл на оплату, а просто повідомила банк що оплата відбулась. Але з цим питанням я не дуже знайомий.

Ну і кількість нюансів йде до нескінченності. Як от чому можна оплатити карткою в літаку, і чому не будь якою. І так далі і тому подібне.

Давайте підсумуємо:
— dynamic cvv це класно від певних видів шахрайств, але не від усіх
— є багато причин чого вас можуть не спитати CVV або спитати і не перевірити, або перевірити і проігнорувати помилку
— платежі складний домен :)

А от якщо у вас зроблять копію картки то можуть його дізнатися

а разве копии возможны с картами чипами? я почему-то думал что это проблема магнитных карт и карты с чипами её лишены, так как похожи на хранилище сертификата где внутри карты лежит приватный ключ, а банк знает его публичную часть или все же нет?

Так магнітна частина на карті все одно є для підтримки терміналів що не читають чіпи. Хоча, чесно кажучи, я більш наближений до прийняття оплат з карт. Випуском карт інша команда займається.

вы затронули очень интересную тему для меня, как возможно оплата картой в самолете, я задумывался об этом. Я думал что они не списывают деньги, а делают отложенные транкзакции, а после приземления проводят их, если денег нет, то будет время задержать пассажира в аэропорту. Но это мои фантазии.
Кстати, ваш комментарий очень интересный и познавательный.

то будет время задержать пассажира

На основании чего? Есть всемирный уголовно-процессуальный кодекс который говорит «если у человека на карте нет денег для проведения офлайн-транзакции то задержать его и посадить в долговую яму пока родственники не погасят долг»?

Забув написати:
Є 2 варіанта токенів.
1. Більшість знає про токери які створюються на стороні провайдера що опрацьовує платежі (PSP). Вони необхідні для того щоб сайт міг зберігати карти у зашифрованому вигляді. Справав в тому, що регуляція збереження карток дуже сувора і не всі готові вкласти гроші в розробку системи якій дозврлять зберігати карти у себе в базі даних (PSI certified). Тоді PSP робить це на своїй стороні і повертає сайту тільки токен ассоційований з картою. З нього неможливо отримати дані картки, навіть неможна назад отримати через PSP API.
PSP не зберігає CVV! Це заборонено.
Якщо у компаніі є потрібні сертифікати (перевірка раз в рік),то вона зможе обробляти дані карток у себе, якщо ні, то дані карток повинні шифруватися прямо в JS і передаватися в зашифрованому вигляді (ще до отримки токена).
Якщо компанія отримала PCI DSS certified level 0 то вона може зберігати дані карток у себе. Але це той ще геморой щоб пройти цю сертифікацію.

Ці токени відповідають банківській картці і ніякої прив’язки до рахунку не має. Якщо ви перевипустили карту то токен вже не спрацює. Так само як і дані старої картки не дадуть проводити платежі.

2. Я вище писав про інший тип токенів — Network token. Це супер нова штука і мало хто її використовує. Netflix, наприклад, використовує. Можна навіть знайти в інтернеті відео де команда платежів про це розказує.

Насправді сайт може використовувати такі токени не знаючи того — для цього цю технологію повинен реалізувати PSP і увімкнути її для сайта.

Ось ці токени дійсно певним чином прив’язані до рахунку в банку і блокування чи перевипуск карти може незавадити сайту зняти гроші.
Але не у всіх країнах вони нормально підтримуються на момент написання коментаря. В україні підтримка топова — у першій трійці чи п’ятірці.
До речі, у нас банківська система досить просунута з точки зору технологій порівняно з багатьма розвиненими країнами.

І на додачу до цього тобі можуть дати кредитний ліміт, який ти не замовляв, і навіть якщо грошей на картці немає, то спишуть з кредитного ліміту, а тобі потім віддавати кредит. Не знаю, чи допомогає в такому випадку ліміт оплат через інтернет, на всякий випадок поставив собі 0 щоб не було сюрпризів.

На aliexpress ліміт допомагає 100%.
Стикався неодноразово.
Провожуу оплату, бац і отлуп.
І тут я : «Бляха, в мене ж ліміт 10 гривень стоїть» :)

Ви можете випустити нову картку із іншим номером, CVV, exp. date...і ваші кошти спишуть...

только не новую, а перевыпустить текущую
да, деньги будут списываться
itc.ua/...​achali-spisyvatsya-dengi

Тобто, якщо Алі, чи інший сайт, на якому я зберіг дані картки хакнуть...навіть незважаючи на те, що у мене динамічний CVV, який дійсний годину...зловмисник зможе виконати від мого імені платежі, використовуючи CVV введений місяць чи рік тому, і який я як користувач вважав уже давним давно невалідним.

Він зможе виконати перекази тільки на рахунок того самого мерчанта, тобто Алі.

Скажіть, а це українська версія? Просто для ЄС й ЮС зовсім інші правила, м’яко кажучи

8.10. Клієнт несе відповідальність в повному обсязі за всі операції, що супроводжуються авторизацією, до моменту заяви Клієнта, поданої до контактного центру Банку за допомогою каналів дистанційного
обслуговування, про блокування картки / рахунку / на рух коштів, номера мобільного телефону на надання банківських послуг.

да, это от страны зависит
в ЕС будет ZL ответственность для клиента (для локальной карты)

зловмисник зможе виконати від мого імені платежі, використовуючи CVV введений місяць чи рік тому

Так при чем тут cvv, из того что я понял из ответа монобанка — у них просто токен типо access token в OAuth, и привязывается он скорее всего к вашему акку на алике. Т.е. новый юзер со старыми данными карты ничего не сможет сделать)

все так

у кардеров целые напраяления — ломать Амазоны и тариться гифт картами с таких вот привязанных, интересно, на Али гифт карты есть?....

Динамічний CVV — подвійне ЗЛО,

Немного странно читать такое на айтишном форуме при описании ситуации когда CVV не используется.

Захист продавця

При чём тут вообще защита продавца если это фича платежной системы снимающая с продавца и покупателя необходимость соответственно требовать и подтверждать каждый платёж?
Direct Debit из некарточных платежей — это тоже защита продавцы? Единственно за что можно упрекнуть карточные ПС что владелец карты не имеет доступа к списку токенов, в отличии от того же Direct Debit.

так в пусть в шманябанке сделают доступ к своим токенам а не всякую бесполезную хрень типа банок и сосисок

Ни у одного банка нет списка токенов созданных для его карт. Это фунционал самой платежной системы. Слегай в штаб-квартиру Визы, открой с ноги дверь и возмутись с лицо президенту: «Доколе! Почему не? Требую!»

Не может такого быть. Если банку прилетает токен, то он должен знать с какого счета списать деньги , а для этого надо иметь ассоциацию токена с клиентом

Приватбанк позволяет списывать с карты деньги, даже если поставлен нулевой лимит оплаты в Интернет.
Ну, а чё? PayPal же уважаемая компания, как не дать ей залезть в кошелёк клиента.

Тому що у пейпал не карта, а рахунок підв‘язаний. Ліміт на карті, а не на рахунку. Попросіть банк овердрафт відключити.

В моєму розумінні керування карткою — це і є керування рахунком. Який сенс розмежовувати ці два поняття для клієнта.
Овердрафт: в мінус рахунок не заходив, просто відбулося неочікуванн для менн списання коштів. Як пояснили в підтримці, є компанії, яким банк так довіряє, що дозволяє списання попри встановлені ліміти.

В моєму розумінні керування карткою — це і є керування рахунком. Який сенс розмежовувати ці два поняття для клієнта.

к одному счету могут быть повязаны несколько карт, несколько человек могут распоряжаться одним счетом, ну например муж/жена и у каждого своя карта, свой лимит.

В мене в scotiabank

ну ты ж не путай Канаду и Украину, где Пейпал работает как в Буркина — Фасо: только отсюда

никаких счетов не подвязывается, карта онли

ТСа с таким подходом к привязке карты Моно где попало ждет еще много удивительных открытий

Приватбанк позволяет

Зато почти на каждую транзакцию в интернетах, нужно подтверждение. Хотя помнится когда то лимит работал, правда не для всех магазинов.

ви будете доводити хто тут правий, а хто ні.

доводити при chargeback буде мерчант

Про chargeback: как/кем вообще защищаются права потребителя при покупках в иностранных интернет магазинах? Насколько банк вникает в суть спора?

Платіжна система мається на увазіи VISA/MC? А як сам процес проходив? В мене попросили описати ситуацію і надати скріншот замовлення, і поки це все.

Кожен банк сам вирішує як. В мене в scotiabank достатньо було по телефону сказати, що за товар заплачено 3 тижня назад, підтвердження замовлення не було, в списання було, лист був написаний, відповіді не було, товар я не отримав свій. Мені тут же повернули гроші, ніяких доків я не надсилав, тільки сказав дати і суму транзакції.

Тому це up to bank. Ну і банк в свою чергу мабуть дивиться на ваш моральний (кредитний) рейтинг, чи ви хороший клієнт.

Якщо у банка є сумніви — відкривається клейм, куди ви надсилаєте доки. В мене якось з Bank of America вкрали 1000 баксів. Сума величенька і аккаунт в мене не супер активний. Відкрили клейм, але мені зразу на розгляд клейму компенсували «заморожено» суму вкрадених грошей. Клейм закрили в мою користь за 2-3 місяці і ці гроші розморозились на рахунку. Буває і так.

Хто працював в хайлоад екоммерс, той знає, шо в кожного бізнеса є бюджет на чарджбеки і є ціла сфера сервісів і послуг по оптимізації цього бюджету. Є компанії консалтинги які в семі-автоматичному режимі апелює чарджбек клейми, якщо їх внутрішня ML model каже, що є висока імовірність виграти клейм. Кожен чих коштує грошей, як апеляція так і чарджбек (10-15$ за транзакцію незалежно від суми). І по тому що я знаю, банк частіше стає на захист споживача. Так що є і така перспектива.

цікавий досвід, дякую за відповідь

за 89 днів можна вже й забути про таке)

Недавно на карточку Моно прилетела левая транзакция. Сообщил в саппорт, карту блокнули, новую выпустили, через 2 дня деньги вернули

через 2 дня

успел , на фазе авторизации
с чарджем могло и не повезти

дані картки хакнуть

і нічо зробити не зможуть бо токен тільки для цього мерчанта діє

Якщо вкрадуть ще й токен мерчанта то зможуть, теоретично.

ошелешила

мьс’є не знає про токенізацію?

мьс’є уже гуру 27 левела у питанні токенізації ))

Похоже, он стал гуру уже после создания поста, иначе поста бы не было 🙂

Таки відкрив. Бо по означенню:
В настоящее время легко получить данные с чужой платежной карты, например, в магазине, где видеокамеры безопасности записывают нас во время почти каждого платежа. Это одна из причин, почему CVV/CVC код находится на задней стороне карты, таким образом обеспечивая базовые меры безопасности. Поэтому CVV/CVC код запрашивается при всех оплатах по интернету, когда платежная карта физически не предлагается и нельзя запросить ПИН код карты.

Поэтому CVV/CVC код запрашивается при всех оплатах по интернету

я знаю один относительно крупный магазин который не только CVV не спрашивает, а на нем даже 3d secure не вылазит, просто списывает бабло по нормеру.

Да, многие об этом узнали когда на букинге заказали отель с но рефанд, а потом передумали ехать и закрыли карту :-)

от банка еще как зависит — погововорите с любым кто настраивает биллинг, там куча ответов — от «нет денег», до «карта потеряна», «карта возможно мошенничество»

но моно лояльный к продавцу в этом плане, рекорд, насколько помню, 40к гривен чела на букинге пробиллило с нуля ))

Запрашивает при первом платеже. Если платеж успешный, для этой карты создается токен на стороне мерчанта (точнее, платежного провайдера, который использует мерчант) для этого пользователя, и CVV не запрашивается повторно, пока карта не истечет, и все последующие платежи идут как recurring payments.

Этот токен содержит что-то вроде ссылки на самый первый платеж, в котором хранится вся информация о карте (номер, срок действия, имя держателя карты и т. д.), в том числе и флаг, что CVV был успешно проверен.

Больше такого ни у кого нет

apple pay ;)

Имхо к Монобанку никаких претензий. Если у них спрашивают CVV — они должны его сверить (со статическим или динамическим — не важно). Но Aliexpress не спрашивает у банка CVV в данном случае. В чем претензия? Вон Amazon вообще никогда не спрашивает CVV — они и так могут деньги снять ;) Не сохраняйте свои карты на сторонних сайтах — не украдут.

А по поводу защиты продавца... Как продавец заверяю Вас, у покупателя много больше прав и защиты.

Та ніби претензія у тому, що банк рекламує додатковий рівень захисту і сам його ж і не використовує. А я як користувач думаю, який же ж я (мої платежі) секюрний )).

Банк защищает CVV код. Свои обещания он выполняет.

Код не треба захищати. Кошти на картці —потрібно. Про що й говорить єдина фраза на сайті монобанку на тему динамічного CVV.

Хочете ще сильніше захистити свої фінанси?
Налаштуйте динамічний CVV-код у вас в додатку

Та ніби й не рекламує, ви відкирили якийсь лівий сайт, і назвали його «партнером», але це ваша вигадка що він партнер. Там звичайна реферальна програма через admitad, вони в свою чергу самостйно описали переваги карти на власний розсуд, щоб люди через них робили оформлення карт.

Та ніби рекламує. Із сайту моно: Хочете ще сильніше захистити свої фінанси?
Налаштуйте динамічний CVV-код у вас в додатку і це весь опис динамічного коду, який можна знайти на сайті моно чи у умовах монобанку www.monobank.com.ua/umovy

І що не так? Вище вам відповіли, він захищає CVV, з цим все гаразд.

Мені не треба CVV захищати )), мені б кошти захистити...

А також отримати чіткий опис, як працює ця функція, де і коли.

Вам выше четко отписали, что динамический CVV и токенизация — две отдельных функции, которые не имеют друг с другом ничего общего. динамический CVV защищает вас от первой оплаты, но не защищает от создания токена для повторных платежей.

Что не понятно?

А чому ви вирішили, що пояснення вище вірні/чи не вірні і що вони взагалі потрібні? Я ж не просив вашого коментаря на цю тему. Коментар, на який ви відповідаєте, був про чітке явне посилання на документацію монобанку із описом їх імплементації, чого наразі знайти не можна. А пересічний користувач не повинен читати документацію на сайті МС, чи заводити топіки на DOU, та й взагалі знати щось про токени і т.д. Людина має користуватись послугою, яка описано чітко і прозоро і не має підводних каменів.

Проблема явно не в монобанку, тим більше що тобі одразу відповіли ще це правила Візи і Мастеркард.
Просто facepalm, наче «Director of Operations», а таку дурницю пише, ще й цілу статтю накатав, чим і показав свою недалекість...

Ну а я от подивися на профіль Void — взагалі 0 інфи, і купа дуже «розумних» коментів. Почнемо із того, що це не правила, а опція яку можна використовувати а можна й не використовувати. Крім того нема жодного слова у дев документації на рахунок імплементації токенів із використанням динамічного коду. Коню понятно, що можна токенізувати статику, а от про динаміку...щось МС і Віза не подумали. Крім того, все залежить і від банку. Я довго спілкувався із супортом Моно, і наразі остання відповідь (вчорашня):

Вітаю, Віталій! Мене звати Олександр, служба підтримки monobank.💪
Пишу щодо вашого звернення раніше. Наразі ваше пропозицію щодо відв’зки картки при ввімкені димамічного CVV, передали фахівцям технічного відділу. Якщо це буде реалізовано, то ви це помітите при роботі з нашим продуктом
Гарного вечора!

Тож як мінімум це можна реалізувати на стороні банку, якщо буде бажання.

@Void із радістю почитаю якусь статтю у Вашому виконанні, бо наразі коментарі які залишені показують ЧСВ вище небес і «експертизу» у всіх можливих напрямках.

«Краще мовчати і здаватись ідіотом, ніж заговорити і розвіяти всі сумніви» — вислів саме про цю статтю.

Ідіоти ховаються за розумними фразами відомих людей, оскільки самим бракує клепки, сказати щось розумне.

Підписатись на коментарі