Можно ли совершить покупку зная только номер карты

Короткий ответ на вопрос, можно ли украсть деньги с карточного счёта, зная лишь номер карты Сбербанка или любого другого банка – НЕТ, этого сделать нельзя. Было бы слишком наивно полагать, что вся огромная индустрия карточных платежей для авторизации операции по банковской карточке будет основываться только на её номере. Этого нельзя сделать и зная номер счёта карты (напомним, что номер счёта и самой карты – разные понятия), если вы, конечно, не инсайдер (работник банка), имеющий доступ к счетам своих клиентов.

Какие реквизиты карты необходимы при оплате/переводе?

Любая онлайн-оплата (или перевод между картами) в интернете при помощи карты потребует указать такие её реквизиты, как номер, имя и фамилия, срок действия карточки и код проверки подлинности CVV2/CVC2 (как платить по карточке в интернете?). Более того, практически все банки поддерживают протокол 3-D Secure – дополнительный шаг в аутентификации карты, когда вам высылается смс-сообщение с одноразовым кодом, и только после этого оплата (или перевод) пройдёт.

А если узнали номер карты и другие её реквизиты?

Таким образом, чтобы вас «обчистить», мошенникам потребовались бы сразу все реквизиты карты, плюс ваш телефон. Хотя некоторые сайты (интернет-магазины) принимают карты к оплате без подтверждающей смс-ки, и этим пользуются мошенники, получившие все вышеозвученные данные карты.

Как они их получают? Подсматривают за вами в обычном магазине при оплате за товар (могут установить миниатюрные видеокамеры и получить изображение лицевой и обратной стороны карточки), или выуживают данные обманным путём в интернете или по электронной почте (так называемый фишинг), когда мошенники, представляясь сотрудником банка, просит ему сообщить реквизиты. В конце концов, те же нечистые на руку продавцы (или официанты) могут без проблем заполучить все нужные данные.

К счастью, всего этого можно избежать, выполняя простые правила безопасного использования банковской карточки. Правда, в последнее время процветают мошенничества с сим-картами, когда преступники делают дубликат симки по липовой доверенности и взламывают вашу почту, электронные кошельки, или переводят деньги с привязанных к номеру карт. По приведённой выше ссылке мы давали рекомендации, как предотвратить такое мошенничество.

Итак, если подвести краткий итог нашего ответа на вопрос о возможности украсть деньги, зная номер карты, необходимо немного расширить ответ. Зная номер – невозможно, но зная номер карты, срок действия, ФИО, трёхзначный код CVV2/CVC2 и номер телефона, очень даже возможно! Если узнают каким-то образом ваш ПИН-код, тоже ничего хорошего, но, по крайней мере, он в онлайн-оплате никак не участвует, а может пригодиться злоумышленнику для снятия средств с ворованной карточки.

А в отзывах говорят, что и по одному номеру карты Сбербанка воруют

Но вот незадача, в отзывах люди часто пишут о том, что при продаже своей вещи, например, на Авито, они сообщают именно номер своей карты Сбербанка человеку (мошеннику), который предлагает внести предоплату на карточный счёт продавца. Все денежки со счёта исчезают. Правда, при этом выясняется, что аферист попросил продиктовать пришедший в смс-сообщении на телефон продавца код (который является кодом подтверждения к регистрации в интернет-банке Сбербанк Онлайн). Или, к примеру, вместе с номером у вас «под шумок» попросят озвучить и остальные реквизиты карточки.

Если у вас не сбербанковская карточка, то алгоритм выманивания денег будет тот же. Преступник воспользуется формой перевода с карты на карту, узнав предварительно все её реквизиты у незадачливого продавца, а потом попросит продиктовать ему код подтверждения. Хотя бы перед тем как диктовать – прочитайте, что написано в этом смс-сообщении. У вас волосы дыбом встанут, и всё сразу станет понятно.

Это методы так называемой «социальной инженерии», иными словами – метод получения необходимого доступа к информации, основанный на особенностях психологии жертвы. Так что будьте аккуратнее, и не «светите» карточный номер с другими реквизитами и номер своего телефона на просторах интернета. Кстати, на форумах советуют заклеить код CVV2/CVC2, предварительно его запомнив – так надежнее будет.

Хочу поделиться с вами историей, которая произошла со мной буквально пару дней назад. Скажу сразу: не знаю, актуальна ли описанная мной проблема для карт других банков. Возможно, проблема глобальная, но лично я столкнулся с этим будучи владельцем карты «Сбера».

В субботу, 17 октября в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.

Думаю, вы уже догадались, что покупок этих я не совершал. Поэтому максимально быстро блокирую карту через приложение Сбербанк. Параллельно пытаюсь понять каким образом мошенники завладели данными моей карты. Перебираю в голове все возможные варианты и понимаю, что сам я данных, достаточных для покупки, никому не сообщал, на подозрительных сайтах покупок не делал, карту сохранял только в Apple Pay.

Тут же звоню в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек.

Звоню по телефону горячей линии. Общаюсь с роботом… жду пока соединят со специалистом…потом со следующим т.к первый оказался не в состоянии мне помочь… примерно через 20 минут удается поговорить.

Небольшое отступление. Насколько же хамоватая поддержка у Сбербанка… Ощущение, что общаешься не с со «специалистом» банка, а просто с каким то быдлом из подворотни. Ребят, вам звонит клиент и у него проблема. Но вместо того, чтобы попытаться как-то помочь, тебе сходу начинают хамить и убеждать, что ты сам дурак и сам во всем виноват.

Оператор №2. Выдержки из диалога ниже, но тон и пренебрежение с которым все это произносилось невозможно передать.

— Вы передавали данные о карте третьим лицам?

— Нет, не передавал

— Тогда, как кто то мог совершить покупку с помощью вашей карты?

— Откуда я знаю как, видимо украли где-то. Вы можете отменить транзакцию?

— Нет, не можем. Потому, что вы сами передали данные или совершили эту покупку.

— Я же говорю, что не передавал никому данные и точно сам ничего не покупал. Почему мне не пришло смс с кодом подтверждения?

— Мы ничего не можем сделать, пишите заявление в полицию

— У вас же на сайте написано про чарджбек

— Нет, у нас ничего такого не написано. Мы не отменяем такие транзакции, потому что вы сами ее сделали, либо передали кому-то данные

— Я же уже 10 раз сказал, что данные никому не передавал и транзакции эти не подтверждаю, даже не знаю, на каком сайте они совершены

— Ничего не можем сделать, пишите заявление в органы

— Т. е вам не показалось подозрительным, 2 покупки сделаные ночью, в США от клиента, находящегося в Москве с неправильно введенным сроком действия карты, настолько что вы даже смс не запросили?

— Нет, не показались. Да срок был введен не верно, но потом верно и был введен CVC код(тут он нагло врет, позже выяснится, что срок и CVC были введены не верные, однако транзакции банк пропустил). Ничем не можем помочь, пишите заявление в органы.

— Тогда почему у вас на сайте написано, что транзакцию можно отменить по заявлению?

— На нашем сайте? Нет, на нашем сайте ничего такого не написано, вы придумываете. и так по кругу

В какой то момент я уже почти смирился и тут вдруг у меня вырвалось: «Соедините с руководством».

— Крайне недовольным голосом: «Вы будете ждать 10 минут?»

— Да, буду

Вот, кстати, что написано на сайте Сбера по этому поводу

А, вот, что пишут на сайте МВД с отсылкой на 161-ФЗ «О национальной платежной системе»

Т. е. сотрудник Сбербанка мне нагло врал, утверждая, что никаких подобных процедур у них не существует. И пытался всячески обвинить меня самого в случившемся и убедить, что это я сам передал кому то данные.

Разговор с руководителем. Тут мне повезло, руководитель оказался сильно адекватнее и вежливее предыдущих товарищей. Я кратко объяснил ситуацию, после чего он стал оформлять заявление на чарджбек, но предупредил что ответ мне дадут по нему только 3 ноября, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

На вопрос, почему нельзя просто отменить транзакцию, пока она в обработке. Ответил: «если я сейчас отменю транзакцию, то магазин пришлет запрос и нам все равно придется ее провести. Но тогда мы не просто спишем с вас эту сумму, но еще и начислим вам на нее проценты.

Спустя 40 минут телефонного общения, заявление на чарджбек подать у меня все-таки получилось: Ваше обращение №201017-0211-878000 от 17.10.2020 принято в работу. Срок рассмотрения до 03.11.2020 включительно, ответ будет предоставлен по SMS. Проверить статус обращения можно на сайте в разделе «Обратная связь». Сбербанк

Как я понял, весь цирк с предыдущим быдло-товарищем, рассчитан на то, чтобы отсеять большую часть людей и только самые упорные смогут добраться до подачи заявления. Банк не заинтересован в подобных заявлениях т.к. они понижают его рейтинг надежности в глазах платежной системы, поэтому всеми способами пытается их не допустить. Ну а проблемы клиентов их мало волнуют.

Say bye accent. После разговора с банком, решил загуглить информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Меньше всего я надеялся наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал этот сайт:

Чуть проскроллив, я узнал о некой Лоле(Ольга Климентьева) из Камеди, которая уехала в Лос-Анджелес и запустила там школу по изучению английского языка. Цены на некоторые курсы совпадали с суммами списаний 177$ и 187$.
При этом сам сайт не выглядел мошенническим(ну или кто-то очень сильно постарался). А идея украсть данные с карты, чтобы оплатить себе онлайн курсы, выглядела очень тупой. Поэтому написал им в Фейсбук.
Скрины переписки ниже:

После короткого диалога, деньги мне обещали вернуть, сославшись на некое «недоразумение». Но сам диалог, мне показался немного странным. Сложилось ощущение, что мне что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому я решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий «программист», который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты. Скрины его объяснения мне и их переписки между собой ниже:

Из всех данных, что ввел этот товарищ при оплате, реальным был только номер моей банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

При этом, однажды Сбербанк заблокировал перевод приятелю на 1500 рублей, посчитав его подозрительным, а не так давно заблокировал возможность расплатиться за ужин в ресторане(позже оператор, так и не смог внятно объяснить причину блокировки этой транзакции). Но оплаты почти на 30000 рублей, ночью, с неверными данными карты, Сберу подозрительными почему то не кажутся.

Итог. Деньги, мне уже вернули обратно, но из-за конвертаций валют я потерял почти 2000 рублей. Компенсируют их или нет, пусть будет на совести Лолы. Сама она почему-то считает, что никакой ее вины в сложившейся ситуации нет и сваливает все на «программиста». Хотя на 90% это именно ее вина. Ведь она запустила сервис, через который проходят персональные и банковские данные людей, но не удосужилась обеспечить даже минимальный уровень безопасности.

Фактически любой, может зайти на ее сайт и используя только лишь номер карты человека, создать ему лишних проблем. В моем случае помимо денег это: испорченные выходные, заблокированы все карты Сбера(после моего сообщения их робот до кучи решил заблокировать и остальные мои карты), предстоящие походы в отделение Сбера и перевыпуск карт.

Самое главное. Согласно все тому же 161ФЗ, банк обязан обеспечивать безопасность платежей. Однако как мы видим в данном случае, Сбербанку глубоко положить на безопасность его клиентов. Да, ведь они теперь «больше чем банк» и у них сейчас более серьезные заботы, чем кража денег со счетов клиентов. Логотипчик там радужный нарисовать надо, Боярского пригласить.

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.

Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.

Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать. Именно так я и думал, до всей этой истории:)

Небольшое дополнение. Из Сбера позвонили примерно через час после публикации, «служба заботы о клиентах». Обещали провести расследование и даже дали личный номер специалиста который будет этим заниматься. Не особо верю, что там будет что-то путное. Но посмотрим.

Лола, съехала с темы. Потерянные мной деньги(не знаю комиссия это системы или комиссия за конвертацию валют) возмещать отказалась. Посыл, я не при делах, виноват все тот парень «программист» с ним и разбирайся. Позиция так себе, на мой взгляд. Учитывая, что из-за ее сайта пострадал посторонний человек, а сумма там в принципе копеечная. Дороже для репутации выйдет.