Искусство цифровой самозащиты
Шрифт:
Пользуйтесь только теми банками, которые уделяют достаточно внимания безопасности: каждый вход или каждый перевод требует дополнительного подтверждения СМС-кодом или кодом со специального устройства, называемого цифровым ключoм (digipass). В таком случае, даже получив ваши логин и пароль, злоумышленник всё равно ничего не сможет сделать.
Банковскиe карты
Я хочу немного рассказать об истории появления банковских карт, чтобы вы поняли, какая разница в защите прав держателя карт между США и Россией. Эту историю я описывал в своей первой книге – «Электронные платежи в интернете».
В США изначально кредитные (именно кредитные) карты распространяли по обычной почте – рассылали в конвертах. В погоне за раздачей как
Продолжалось это до 1970 года, пока Конгресс США не издал закон, запрещающий рассылать карты по почте без разрешения держателя. При этом большинство случаев мошенничества включало в себя кражи карт из кошельков и карманов.
В 1970 году был издан закон Title 15 U.S. Code § 1644 – Fraudulent use of credit cards. Закон использовался для обвинения подсудимых в использовании поддельных, переделанных, утерянных, украденных или полученных обманным путем кредитных карт. Но это не уменьшило число случаев мошенничества с картами.
Наконец, в 1974 году Конгресс принимает Fair Credit Billing Act, который впервые узаконил следующее:
• 60-дневный срок, в течение которого держатель карты может оспорить ошибку в платежной выписке;
• если держатель карты обнаружил ошибку, он должен отправить запрос на оспаривание в письменной форме своему эмитенту;
• держатель карты не несет ответственности при использовании потерянной, украденной карты или использовании карты без его разрешения, достаточно просто позвонить в банк. Хотя закон и устанавливает минимальный размер транзакции 50$ при использовании карты (Face-to-Face), Visa и MasterCard это ограничение не используют. А при использовании карты мошенником в онлайне или по телефону держатель карты полностью освобождается от ответственности.
Fair Credit Billing Act считается прародителем chargeback’а [45] . Дальше закон трансформировался в правила Международных платежных систем (МПС), а правила обросли поправками. Сам же законодатель поступил достаточно мудро: раз банки создали МПС и зарабатывают на каждой транзакции и на кредитовании, то и за несовершенства в их системе должны отвечать они сами.
На сайте американской Visa вы можете увидеть Visa Zero Liability, которая гласит, что «вы не будете нести ответственность за неавторизованное использование вашей карты. Вы защищены, если ваша карта потеряна, украдена или используется мошеннически».
45
Chargeback (возвращённый платеж) – процедура опротестования транзакции банком-эмитентом (в целях защиты прав плательщика), при которой сумма платежа безакцептно списывается с получателя (банка-эквайера) и возвращается плательщику, после чего обязанность доказательства истинности транзакции возлагается на получателя.
В Россию карты (эмиссия) пришли только в 90-е годы, у банков хватало других забот: торговля ценными бумагами, банковский кризис и т. д. Так что продвижением карт как «безопасного способа оплаты» никто не занимался.
27 июня 2011 г. вышел Закон № 161-ФЗ «О национальной платежной системе», который в пункте 11 статьи 9 «Порядок использования электронных средств платежа» дал аж целый 1 день (!) на уведомление банка-эмитента о мошеннической операции.
По правилам МПС вы можете заявить о мошеннической операции в течении 120 дней. По факту pоссийские банки впаривают вам «страховку от мошенничества». Это, по сути, деньги из воздуха, то, что и так заложено в правилах платежных систем. В случае возврата украденных средств деньги возвращаются за счет интернет-магазина – а нам преподносят это как некую платную услугу.
Нередки случаи, когда банки отказываются вернуть украденные деньги. Например, если у вас скопировали карту и сняли деньги в банкомате вашего банка-эмитента. Тут риск и компенсация полностью ложaтся на банк-эмитент. А если сумму украли приличную, эмитент может и не захотеть ее возвращать. И пожаловаться-то вам некому – вы не участник платежной системы (участники – только банки), жалобу от вас не примут. ЦБ также защищает интересы банков.
В своей книге One from Many: VISA and the Rise of Chaordic Organization создатель Visa Ди Хок сожалеет, что так и не смог сделать держателей карт участниками организации Visa наравне с банками.
То, что в США десятилетиями формировалось с помощью законов и правил, развивая карточную отрасль, у нас аккуратно замалчивается и не афишируется.
Наряду с нежеланием заниматься лишней работой банки также практикуют подмену понятий. Например, практически все банки рекламируют держателям карт технологию 3D-Secure, которая, вообще-то, защищает в первую очередь сами банки, а не кардхолдеров. Исторически ведь риски за мошенничество лежат на банке-эквайере, и уже потом банк-эквайер [46] перекладывает chargeback на торговые точки. При оспаривании таких платежей МПС в большинстве случае становятся на сторону держателя карты. Отсюда родился новый тип мошенничества – Friendly Fraud, когда держатель карты сначала покупает, а потом сам же и оспаривает платеж. И именно 3D-Secure защищает эквайера/торговую точку от chargeback’ов: «держатель карты не авторизовал транзакцию». Прошел подтверждение эcэмэcкой – значит, сам и платил. А дело всё в том, что CMC по закону приравнивается к собственноручной подписи: подписал – значит, тебе никто не должен. Рядовому держателю карты от 3D-Secure ни тепло, ни холодно, а кардер уж точно не станет покупать iPhone там, где нужно вводить код из СМС.
46
Банк-эквайер (обслуживающий банк) – кредитная организация, организующая точки приема банковских карт (терминалы, банкоматы) и осуществляющая весь комплекс финансовых операций, связанных с выполнением расчетов и платежей по банковским картам в этих точках.
Еще очень важный момент: в платежных системах предусмотрены возвраты (чарджбеки, от англ. chargeback) не только за мошенническую транзакцию, но еще и в случае неоказанной услуги или недоставленного товара. Вы об этом знали? Если вы купили товар, но он вам не пришел, а магазин отказывается вернуть деньги, вы можете смело писать заявление в свой банк-эмитент на возврат денег.
При этом механизм чарджбеков не распространяется на перевод с карты на карту (p2p [47] ), так как этот механизм был сделан для перевода от физического лица физическому лицу, а не для оплаты товаров и услуг. В случае, если вы платили за товары переводом на карту, правила МПС по возвратам работать не будут.
47
p2p – Person To Person
Здесь тот же случай, что и с телефонными мошенниками, которые стараются получить данные вашей карты и сделать перевод с карты на карту. Если им получается выудить cмc-подтверждениe, т. е. если вы его назвали (по факту вы подписали перевод) – тем самым вы снимаете любую ответственность за такую операцию с банков и платежной системы.
Что же все-таки делать, если никаких СМС-кодов вы никому не сообщали, деньги с карты все-таки украли, а банк отказывается их вам вернуть? В pоссийском Гражданском кодексе есть одна лазейка: каждая банковская карта у нас привязана к счету, а оплата любого товара или услуги – это, по сути, списание денег с вашего счета. Так вот, ст. 854 ГК РФ «Основания списания денежных средств со счета» гласит: «Списание денежных средств со счета осуществляется банком на основании распоряжения клиента». Т. е. если вы не давали распоряжения и не подтверждали операцию, такое списание можно оспорить в гражданском суде.