Поиск

Закон о Национальной Платежной Системе

05.02.2012 от Andrew

У меня дошли руки внимательно прочитать ФЗ 161 «О национальной платежной системе», который был подписан 27 июня 2011 года, а опубликован в РГ 30 июня 2011 года (от этой даты и считаются отсрочки по введению в силу отдельных положений закона). Некоторые особенно важные для банков (и процессоров), а также клиентов моменты я выделю:

Пункт 5 статьи 8 обязывает оператора не позднее следующего дня отправить клиенту уведомление об отказе в совершении операции, если причиной отклонения стала некорректная идентификация клиента (например неверный PIN) или неверные реквизиты платежа.

Пункт 3 статьи 9 обязывает до заключения договора уведомить клиента о всех особенностях использования электронного средства платежа, включая любые ограничения (места и способы) на его использование и факторы повышенного риска.

Пункт 4 статьи 9 (вступает в действие в 2013 году) обязывает уведомлять клиента о каждой операции «в порядке, установленном договором с клиентом», т.е. в принципе это может быть и регулярная выписка, не обязательно SMS уведомление. Но с учетом пункта 15 статьи 9 банк заинтересован оперативно выявлять фрод и не использовать ресурс клиентского антифрода глупо.

Пункт 8 статьи 9 (вступает в действие в 2013 году) обязывает рассматривать заявления клиента в 30 дневный срок (60 дней для трансграничных операций).

Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

Фишинг, теперь и в 3D

15.01.2012 от Andrew

Вот такое красиво оформленное письмо с не менее красивого почтового ящика Verified by Visa (за которым, кстати, скрывается красивейший адрес все ж таки с доменом Visa activations@verfiedbyvisa-usa.visa.com) получил сегодня утром:

Verified by Visa protects your existing Visa card , giving you assurance that only you can use your Visa card online.

Simply activate your card and make it protected. You’ll get the added confidence that your Visa card is safe when you shop at participating online stores.

You may activate now by entering your card number over our secure server. If your card issuer is participating in Verified by Visa (most issuers are) you’ll complete a brief activation process. You’ll verify your identity, create your Verified by Visa new protection and you’re done..

Читать полностью »

Рубрики: Банковские карты | 1 уже не сдержался »»»

EMV придет в Штаты?

16.10.2011 от Andrew

Товарищ из регионального банка на днях вернулся из США и помимо восторгов, связанных с хайвеями, поделился тем, что все банкоматы там очень старые. «Они не гонятся за понтами, как наши банки» сказал он.

А тут попалась информация о том, что VISA наконец-то начала понуждать Штаты к чипизации, ведь до сих пор  самая развитая экономика мира экономила денег на техническом прогрессе и даже в lability shift для нее было сделано исключение. Вот какие меры вводит VISA в рамках реализации программы  Technology Innovation Program, которая призвана обеспечить переход на чип и бесконтактные карты:

  • с 1 октября 2012 года торговцы, у которых 75% транзакций по картам VISA приходятся на терминалы, поддерживающие EMV освобождаются от ежегодного аудита по PCI DSS. Обязательным условием освобождение является поддержка не только чипов, но и бесконтактных операций. В этом случае торговцу достаточно просто заявлять, что оне хранит критичные данные и его системы соответствуют требованиям стандарта.
  • с 1 апреля 2013 года все процессоры обязываются обеспечить прием чипов контактным и бесконтактным образом.
  • с 1 октября 2015 года на территории США начинает действовать lability shift, правда владельцам АЗС с автоматизированной оплатой топлива дается отсрочка еще на два года до 1 октября 2017 года.

Про MasterCard удалось найти только то, что lability shift в США вводится по банкоматным операциям с картами Maestro с 19 апреля 2013 года.

Рубрики: Банковские карты | 1 уже не сдержался »»»

Фродовый возврат покупки

29.06.2011 от Andrew

Один из банков столкнулся со следующей схемой мошенничества. На 2 их дебетовые карты приходят возвраты покупок из двух десятков различных американских магазинов. Как только деньги зачисляются на счет они выводятся через Интернет-банк и банкоматы, а на следующий день по этим операциям приходят покупки на те же самые суммы. Владельцами карт оказались люмпенизированные элементы, которых пока найти не удалось. После обращения в VISA выяснилось, что по этой схеме обули не только этот  банк.

Сейчас этот банк пытается оспорить эти операции и начал анализировать все операции возврата покупок по своим картам, чего и всем советует.

Рубрики: Банковские карты | 12 комментариев »»»

Скимминг

20.06.2011 от Andrew

На днях коллега ни свет ни заря разбудил просьбой срочно помочь подключить большого банковского босса к оперативному решению проблемы: его чиповую карту отскиммили и пока он летел в самолете через московский банкомат Альфы вычистили под 0 за 6 операций. Быстро выяснилось, что банкомат был нечиповым и деньги без особых трений вернут (хвала lability shift), поскольку случай 100% выигрышный. Эмитент пообещал вернуть даже не дожидаясь результатов диспута, но вот проценты за возникший овердрафт банк намерен удержать. Удивительно, что российскую карту обналичили в России же, причем отскиммили карту, как выяснилось, пару месяцев назад в а/п «Борисполь» в банкомате и все это время клон карты искал своего нового владельца.

Коллега у меня везучий: по другой его карте в декабре прошлого года прошла операция покупки в обувном магазине в Штатах, где он ни разу не был и региональный банк до сих пор не вернул ему денег — якобы все в диспутном процессе находится (на Штаты не распространяется lability shift).

Какие выводы я сделал из этой истории (написано в1ую очередь для рядовых картхолдеров):

  • выбирайте чиповые карты — шанс вернуть деньги выше;
  • подписывайтесь на SMS-оповещения — раньше узнаете о мошенничестве и успеете часть денег спасти;
  • выбирайте банк с продвинутым Интернет- и мобильным банком, который позволяет гибко настраивать лимиты активности. Я сразу же в Интернет-банке добавил на все свои карты суточный лимит на количество операций снятия наличных: ситуация когда мне нужно несколько раз снять наличные бывает крайне редко и в случае нужды я могу изменить этот лимит, а мошенники через банкомат много  денег вытащить не смогут. Также я попросил банк добавить два новых типа лимитов: операции в Интернет и операции в других странах (жду пока настроят). В обычное время я буду держать эти лимиты равными 0 и повышать их только собираясь в поездку или при необходимости совершить покупку в сети соответственно;
  • оспаривая транзакцию не идите на поводу у банка. Не надо заполнять их форму заявления о несогласии с операцией, в котором обычно написано, что Вы не возражаете смиренно ждать окончания диспута. Пишите свое заявление в свободной форме и там приведите все данные, которые просит банк в своем бланке, а главное, ссылаясь на нормы законодательства, требуйте немедленно вернуть деньги или предоставить доказательства того, что это именно Вы совершали операцию и угрожайте судом. Российское законодательство, к счастью, на стороне клиента, а не банка!

PS для картхолдеров: lability shift (перенос ответственности) — правило международных платежных систем, стимулирующее банки переходить на EMV-карты, суть которого заключается в том, что если транзакция оспаривается и один из банков-участников спорной операции не поддерживал EMV, а второй поддерживал, то по без долгих споров (диспута) признается, что прав EMVшный банк. Таким образом, в данном случае, поскольку карта была EMV, а банкомат в котором получили деньги был не EMV и транзакции делал по магнитной полосе — убыток будет однозначно отнесен плаежной системой на счет владельца банкомата. В случае если бы карта была не EMV, а банкомат был бы EMV случилось бы ровно наоборот. Перенос ответственности не распространяется на передовые американские банки, поэтому мошенническую транзакцию из Штатов отбить гораздо сожнее

Рубрики: Банковские карты | 3 комментария »»»

Безопасность SMS-токенов

24.01.2011 от Andrew

В новостной рассылке на прошлой неделе пришло:

RSA: БАНКОВСКИЕ SMS ТОКЕНЫ УЯЗВИМЫ
Количество атак мобильных телефонов увеличится в этом году из-за того, что преступники пытаются перехватывать SMS токены аутентификации. Такое мнение
высказали представители компании RSA, сообщает xakep.ru.
Токены были созданы для того, чтобы дополнить собой ввод имени пользователя и пароля, требуя от пользователя подтвердить платеж уникальным цифровым кодом, в данном случае высылаемым посредством SMS-сообщения. Услуга становится все более популярной, и Commonwealth Bank of Australia отмечает, что 80 проц их клиентов используют токены для того, чтобы подтвердить платежи третьим лицам с помощью SMS или с помощью более надежных портативных генераторов ключей. Банк не заставляет клиентов использовать данную услугу, но те, кто не захочет пользоваться ей, не смогут производить операции с высокой степенью риска через Интернет-банк.
В прогнозе на 2011 г RSA отметила, что рассылка токенов посредством SMS сделает телефоны мишенью. Использование аутентификации с помощью SMS … как дополнительного средства
обеспечения безопасности, добавляет уязвимое место в мобильный канал, — сообщила компания в докладе.  Преступник может … провести телефонную атаку типа отказа в обслуживании, и мобильный телефон потребителя не будет работать. Сервис перенаправления SMS сообщений также становится привычным объектом для мошенников и дает им возможность перехватить /токен/, высланный банком на мобильный телефон пользователя, и перенаправить его на телефон киберпреступника.
Компания предсказала, что количество смишинг-атак и фишинга на мобильных телефонах, проводимого с помощью SMS, также увеличится в этом году. Количество успешных смишинг-атак больше, чем стандартных фишинг-атак, потому что потребители не ожидают получить спам на мобильный телефон и, скорее всего, поверят, что сообщение — законное.
Также сказано, что не существует эффективных технологий по предотвращению смишинга.

В России SMS-аутентификация это один из самых популярных способов аутентификации клиентов и подтверждения платежей, поэтому меня это сообщение очень заинтересовало и я обсудил его с коллегами, погруженными в предметную область. Резюмируя их мнение: на все смартфоны (за исключением невзломанного iPhone) можно незаметно для пользователя поставить программу, которая может перехватывать, перенаправлять, подменять или имтировать входящие и исходящие SMS-сообщения, но это не возможно на обычном мобильном телефоне.

Таким образом, SMS-аутентификация относительно безопасна на обычных мобильных телефонах, но не безопасна на смартфонах и должна применяться с ограничениями по сумме (чтобы не было экономической целесообразности заморачиваться с подкидыванием троянов на смартфон) и назначениями платежей (например, только платежи по пользовательским шаблонам)

Рубрики: Банковская розница | 9 комментариев »»»

Наступление ОПСоСов на банки

23.07.2010 от Andrew

Уже не раз писал, что операторы сотовой связи все больше и больше топчут банковскую поляну. Только этот год порадовал нас следующими новостями:

А вот сегодняшнее:

Абоненты сотовых операторов смогут оплачивать со своего счета налоги и штрафы за нарушение правил дорожного движения (ПДД). Как стало известно «Ъ», такой проект уже обсуждается правительством с «Вымпелкомом», готовы аналогичные предложения для МТС и «МегаФона». В распоряжении операторов может оказаться многомиллионный рынок новых платежей.

http://www.kommersant.ru/doc.aspx?DocsID=1473657&NodesID=4

Все бы хорошо, если бы делалось ради удобства клиента, но… За последние пару месяцев мне стали известны уже два случая мошенничества с банковскими счетами и выводом денег через оператора сотовой связи. В одном случае украв пару логин/пароль у нескольких клиентов регионального банка, пожмотившегося на предоставление сервиса разовых паролей, все деньги с их счетов были отправлены на сотовый номер Билайна, через который тут же обналичены. В другом случае мошенничество было организовано еще сложнее: человеку приходило SMS «обслуживание Вашего счета временно приостановлено, позвоните по телефону в департамент чего-то там», человек звонил и ему отвечал «главный специалист Вася» и предлагал «для идентификации» последовать до ближайшего банкомата банка, откуда ему и перезвонить, когда человек звонил от банкомата его чутко вели по меню банкомата до раздела платежи на сотовый номер и предлагали оплатить сумму, равную остатку на счете и «если вы владелец счета и следовательно знаете сумму и она совпадет с реальным остатком, то ваш счет разблокируется» — дальше все ясно…

Что лично для меня удивительно:

  1. в 2010 году есть банки, которые предоставляют доступ в Интернет-банк, к активным операциям, идентифицируя клиента только парой логин/пароль
  2. есть настолько глупые клиенты, что клюют на все эти дурацкие разводки с блокировкой счетов или участием в лоторее

 

Рубрики: Банковская розница | 1 уже не сдержался »»»

Шимминг

16.07.2010 от Andrew

Позавчера звонил коллега с вопросом не слышал ли я про новое ужасное мошенничество — шимминг. Я не слышал, а сегодня прочитал.

Что-то есть подозрение, что это из разряда птичьего гриппа…

Рубрики: Банковские карты | Вставить свои 5 копеек »»»

Наглый фишинг

17.06.2010 от Andrew

Скриншот фишингового сайтаНа официальный е-мейл компании пришло письмо следующего содержания:

From: «Акция Russian card» [mailto:info@russian-card.ru]
Sent: Thursday, June 17, 2010 11:01 AM
To: enquiries@compassplus.com
Subject: Отдохни на Средиземном море этим летом

Добрый день, уважаемый держатель пластиковой карты VISA и Master Card!

Федеральное управление по банковским операциям при поддержке Центробанка РФ объявляет акцию, посвященную Чемпионату Мира по футболу. Вы можете выиграть автомобиль Ford Focus 3, путевку на средиземное море и более 10 000 ценных призов. По данным whois домен зарегистрирован на частное лицо 9 июня этого года — пару недель назад.

Правила участия.
К участию допускаеюся держатели пластиковых карт VISA и Master Card банков Российской Федерации.

Чтобы принять участие в акции, вам достаточно зарегистрироваться на сайте russian-card.ru и заполнить небольшую анкету.

Акция проводится с 1 июня по 1 сентбяря 2010 года.

Торжественное награждение победителей акции состоиться в Москве 15 сенятбря 2010 года во Дворце культуры им. М. Горького.

Желаем удачи и побед в акции.

С уважением, Федеральное управление по банковским операциям ЦБ РФ.

Условия
Безопасность
Правила и соглашения

На сайте естественно предлагается ввести не только свои данные, но и полные данные карты, включая expiration day и cvv2. Интересно сколько лохов уже купилось на это? Господа-банкиры, может имеет смысл инициативно уведомить клиентов по SMS и e-mail об этом и возможных будущих мошенничествах?

Написал через сайт МВД заявление.

PS привет товарищу Малову — песателю и криейтеру.

Рубрики: Банковские карты | 4 комментария »»»

Политический фрод

07.06.2010 от Andrew

Варшавская прокуратура продолжает настаивать на том, что на месте крушения лайнера Ту-154 с президентом Польши Лехом Качиньским, имели место случаи мародерства, сообщает агентство Reuters.

По словам официального представителя прокуратуры Моники Левандовска, с кредитной карты погибшего историка Анджея Пшевозника в течение трех дней после катастрофы снимались деньги. Всего с кредитки исчезли 1700 долларов.

Польские власти утверждают, что все транзакции проводились через банкоматы города Смоленск. Причем первое снятие денег произошло всего через 2 часа после крушения самолета.

РБК

Неужели покойный пин на карте нацарапал в последние секунды жизни и положил на видное мест? Посмотрите фото обломков самолета, где в них можно было найти не поврежденную карту, да еще и с пин-кодом? Не говоря уж о том, чтобы моментально бросить спасательную работу («ребята, у меня голова заболела») и броситься ее обналичивать в банкоматы

Рубрики: Банковские карты, Про жизнь | 2 комментария »»»

« Раньше Позже »