Чужие уроки — 2009
Шрифт:
Отправляю товар в виртуальную корзину, прохожу к виртуальной кассе (процедура checkout), расплачиваюсь кредитной картой, которая зарегистрирована в amazon.com уже много лет, и… ничего! Мой московский банк отказал в платеже! Странно, конечно, — последние десять лет такого ни разу не случалось. Не далее как прошлой осенью заказывал в «Амазоне» четыре книги и один диск DVD, платеж прекрасно сработал, и посылку доставили прямиком ко мне на черноморскую фазенду.
Ну что ж — бывает. Добавляю еще один номер карты к своему аккаунту в «Амазоне», платеж — снова отказ! Добавляю третью карту… четвертую… пятую… всё, больше карт нет.
Звоню в первый банк: «В чем дело?» «При проведении транзакции ваш продавец не указывает номер CVV2!». Звоню во второй, в третий — всюду одно и то же. Пишу письмо в «Амазон»: «Почему не указываете?» Ответ: «Потому что это не предусмотрено нашими платежными терминалами!»
Как же так? А вот так вот просто: в России, как и во всей Европе, проверка кода CVV2 является обязательной при проведении транзакции без физического присутствия клиента (онлайн-платеж — основная ситуация подобного рода). Терминал Zen Cart, установленный в GoingGear, умеет запрашивать CVV2, а вот терминал «Амазон» не умеет. Код безопасности просто некуда вводить в формуляре, который мы заполняем при покупке.
Не буду утомлять читателя одинаковыми примерами: код CVV2 не запрашивается в 99% американских онлайн-магазинов. Почему так? Потому что внутри Соединенных Штатов проверка CVV2 по-прежнему не является обязательной. Год назад платежи, сделанные картами, эмитированными за пределами США, прекрасно срабатывали, а после введения в Европе и России обязательной проверки CVV2 срабатывать перестали.
Что делать? Отправляюсь на поиски альтернативных форм платежа. На eBay замечательные цены на Olympus LS-10 (как и на тысячи тысяч других товаров), однако с оплатой тоже ничего не получается: PayPal’ом я не пользуюсь принципиально (после прочтения моих историй об этом монстре поймете, почему), а карточки на eBay принимаются только те, что эмитированы американскими банками.
Во всех остальных американских магазинах повторяется история eBay и «Амазона»: либо не принимаются неамериканские карты, либо оплата только чеком или только банковским переводом. Последние два варианта меня просто потрясли. Отказ от приема банковских карт вообще, а также PayPal для американского бизнеса выглядит чистейшим самоубийством: 100% транзакций онлайн выполняются именно через эти платежные каналы. Американцы, конечно, любят чеки, но только в «риал лайфе», а банковский перевод (wire) — нонсенс из арсенала российского бизнеса.
В одном из очередных магазинов натыкаюсь на ранее не известную опцию — новейший сервис от Google под названием Checkout. После того как предложение расплатиться за товар через Google Checkout попадается во второй и третий раз, проникаюсь верой и открываю аккаунт в системе поискового гиганта. При регистрации банковской карточки появляется запрос CVV2 — ну, слава богу! Регистрация проходит очень быстро и демократично — без всяких проверок банковского адреса и копий паспортов: имя, фамилия, адрес, электронная почта, телефон, банковская карта, эмитированная кем угодно, CVV2 — всё!
Тут же в интерфейсе Google Checkout приводится обширнейший список продавцов, поддерживающих новую революционную систему оплаты. Захожу
Но какое отношение продавец имеет к процедуре снятия денег? Для чего тогда нужен сам Google Checkout? Ну да ладно: поживем — увидим. Жить пришлось недолго: через 30 минут пришло сообщение — банк отклонил платеж! Повторяю в другом магазине — то же самое, в третьем — дежавю!
Звоню в банк — причина стара, как мир: нет кода CVV2. Но ведь Google Checkout знает мой код — я его указывал при регистрации карты! Пишу письмо продавцу: «Почему не указываете код?» Ответ: «Мы даже номера вашей карточки не знаем! Все делает Google!» Ну разумеется: на то он и Checkout.
Запускаю расследование, которое длится пять дней. В конце концов выясняется, что Google Checkout запрашивает у клиентов код CVV2 только в момент регистрации карты в системе для того, чтобы удостовериться: карта не украдена. Затем CVV2 удаляется из системы и все платежные транзакции проводятся по американской старинке — без всяких кодов безопасности!
Самое грустное, что и Google Checkout винить не приходится: хранение CVV2 на сетевом сервере — форменное преступление против безопасности клиента! Представляете, если эту информацию получат хакеры? Не только номер карты, срок годности и имя на пластике, но и последнюю защиту — код проверки безопасности! Наступит полный финансовый апокалипсис.
Получается замкнутый круг? Еще какой! Особенно с учетом того, что американцы не только не ввели обязательную проверку CVV2, но и вряд ли введут ее в обозримом будущем. Почему? Потому что американские банки заинтересованы в упрощении онлайн-транзакций с картами, а не в их усложнении! Я понимаю, что это звучит парадоксально, но у парадокса есть целый ряд объяснений.
Причина № 1: местные (американские) торговые отношения основаны на традиции максимально упрощенных форм платежа. Чего стоит одна только оплата чеком, при которой поле для воровства по обширности не идет ни в какое сравнение со всеми электронными транзакциями вместе взятыми! Ну не будут американцы крутить карточки в поиске CVV2, а если и будут, то начнут ошибаться в каждом втором случае. Платежи будут блокироваться, покупатели — выходить из себя и жаловаться. Ладно бы только жаловаться — начнут гадить банкам по-черному, судиться.
Банкам это нужно? Да себе же дороже, тем более что существует еще и Причина № 2: все электронные транзакции застрахованы! Да хоть бы все хакеры на свете украли все имеющиеся в наличии номера кредиток и расплатились бы ими в онлайн-магазинах! Пусть крадут себе на здоровье — банки все равно за это не платят, потому что платят страховые компании.
Для последних тоже есть утешение. Оно же — Причина № 3: вычисление хакера, проживающего в США и оплатившего товар в интернет-магазине краденой банковской картой, занимает минуты три-четыре, никак не более. Еще столько же — отправка патрульной машины прямо к дому сорванца.