Искусство цифровой самозащиты - Артимович Дмитрий
В США изначально кредитные (именно кредитные) карты распространяли по обычной почте – рассылали в конвертах. В погоне за раздачей как можно большего количества карт банки рассылали карты по телефонным книгам. Иногда доходило до абсурда – кредитную карту мог получить малолетний ребенок или домашний питомец. Естественно, карты крали из почтовых ящиков, иногда даже сами сотрудники почты. Банки несли убытки.
Продолжалось это до 1970 года, пока Конгресс США не издал закон, запрещающий рассылать карты по почте без разрешения держателя. При этом большинство случаев мошенничества включало в себя кражи карт из кошельков и карманов.
В 1970 году был издан закон Title 15 U.S. Code § 1644 – Fraudulent use of credit cards. Закон использовался для обвинения подсудимых в использовании поддельных, переделанных, утерянных, украденных или полученных обманным путем кредитных карт. Но это не уменьшило число случаев мошенничества с картами.
Наконец, в 1974 году Конгресс принимает Fair Credit Billing Act, который впервые узаконил следующее:
• 60-дневный срок, в течение которого держатель карты может оспорить ошибку в платежной выписке;
• если держатель карты обнаружил ошибку, он должен отправить запрос на оспаривание в письменной форме своему эмитенту;
• держатель карты не несет ответственности при использовании потерянной, украденной карты или использовании карты без его разрешения, достаточно просто позвонить в банк. Хотя закон и устанавливает минимальный размер транзакции 50$ при использовании карты (Face-to-Face), Visa и MasterCard это ограничение не используют. А при использовании карты мошенником в онлайне или по телефону держатель карты полностью освобождается от ответственности.
Fair Credit Billing Act считается прародителем chargeback’а [45]. Дальше закон трансформировался в правила Международных платежных систем (МПС), а правила обросли поправками. Сам же законодатель поступил достаточно мудро: раз банки создали МПС и зарабатывают на каждой транзакции и на кредитовании, то и за несовершенства в их системе должны отвечать они сами.
На сайте американской Visa вы можете увидеть Visa Zero Liability, которая гласит, что «вы не будете нести ответственность за неавторизованное использование вашей карты. Вы защищены, если ваша карта потеряна, украдена или используется мошеннически».
В Россию карты (эмиссия) пришли только в 90-е годы, у банков хватало других забот: торговля ценными бумагами, банковский кризис и т. д. Так что продвижением карт как «безопасного способа оплаты» никто не занимался.
27 июня 2011 г. вышел Закон № 161-ФЗ «О национальной платежной системе», который в пункте 11 статьи 9 «Порядок использования электронных средств платежа» дал аж целый 1 день (!) на уведомление банка-эмитента о мошеннической операции.
По правилам МПС вы можете заявить о мошеннической операции в течении 120 дней. По факту pоссийские банки впаривают вам «страховку от мошенничества». Это, по сути, деньги из воздуха, то, что и так заложено в правилах платежных систем. В случае возврата украденных средств деньги возвращаются за счет интернет-магазина – а нам преподносят это как некую платную услугу.
Нередки случаи, когда банки отказываются вернуть украденные деньги. Например, если у вас скопировали карту и сняли деньги в банкомате вашего банка-эмитента. Тут риск и компенсация полностью ложaтся на банк-эмитент. А если сумму украли приличную, эмитент может и не захотеть ее возвращать. И пожаловаться-то вам некому – вы не участник платежной системы (участники – только банки), жалобу от вас не примут. ЦБ также защищает интересы банков.
В своей книге One from Many: VISA and the Rise of Chaordic Organization создатель Visa Ди Хок сожалеет, что так и не смог сделать держателей карт участниками организации Visa наравне с банками.
То, что в США десятилетиями формировалось с помощью законов и правил, развивая карточную отрасль, у нас аккуратно замалчивается и не афишируется.
Наряду с нежеланием заниматься лишней работой банки также практикуют подмену понятий. Например, практически все банки рекламируют держателям карт технологию 3D-Secure, которая, вообще-то, защищает в первую очередь сами банки, а не кардхолдеров. Исторически ведь риски за мошенничество лежат на банке-эквайере, и уже потом банк-эквайер [46] перекладывает chargeback на торговые точки. При оспаривании таких платежей МПС в большинстве случае становятся на сторону держателя карты. Отсюда родился новый тип мошенничества – Friendly Fraud, когда держатель карты сначала покупает, а потом сам же и оспаривает платеж. И именно 3D-Secure защищает эквайера/торговую точку от chargeback’ов: «держатель карты не авторизовал транзакцию». Прошел подтверждение эcэмэcкой – значит, сам и платил. А дело всё в том, что CMC по закону приравнивается к собственноручной подписи: подписал – значит, тебе никто не должен. Рядовому держателю карты от 3D-Secure ни тепло, ни холодно, а кардер уж точно не станет покупать iPhone там, где нужно вводить код из СМС.
Еще очень важный момент: в платежных системах предусмотрены возвраты (чарджбеки, от англ. chargeback) не только за мошенническую транзакцию, но еще и в случае неоказанной услуги или недоставленного товара. Вы об этом знали? Если вы купили товар, но он вам не пришел, а магазин отказывается вернуть деньги, вы можете смело писать заявление в свой банк-эмитент на возврат денег.
При этом механизм чарджбеков не распространяется на перевод с карты на карту (p2p [47]), так как этот механизм был сделан для перевода от физического лица физическому лицу, а не для оплаты товаров и услуг. В случае, если вы платили за товары переводом на карту, правила МПС по возвратам работать не будут.
Здесь тот же случай, что и с телефонными мошенниками, которые стараются получить данные вашей карты и сделать перевод с карты на карту. Если им получается выудить cмc-подтверждениe, т. е. если вы его назвали (по факту вы подписали перевод) – тем самым вы снимаете любую ответственность за такую операцию с банков и платежной системы.
Что же все-таки делать, если никаких СМС-кодов вы никому не сообщали, деньги с карты все-таки украли, а банк отказывается их вам вернуть? В pоссийском Гражданском кодексе есть одна лазейка: каждая банковская карта у нас привязана к счету, а оплата любого товара или услуги – это, по сути, списание денег с вашего счета. Так вот, ст. 854 ГК РФ «Основания списания денежных средств со счета» гласит: «Списание денежных средств со счета осуществляется банком на основании распоряжения клиента». Т. е. если вы не давали распоряжения и не подтверждали операцию, такое списание можно оспорить в гражданском суде.
Правила еще раз
1. Пользуйтесь банкоматами в отделениях банков. Там банкоматы находятся под круглосуточным видеонаблюдением и риск нарваться на скиммер в разы меньше, чем, например, при использовании банкомата в торговом центре.
2. Помните, что у вас есть право оспорить мошеннический платеж в течение 120 дней в своем банке-эмитенте, если вы не подтверждали такую операцию СМС-кодом.
3. Если же банк отказывается вернуть деньги, украденные с карты без вашего ведома, есть статья 854 ГК РФ, которой можно воспользоваться при подаче гражданского иска к банку-эмитенту.
Кардинг
Часть 5. Паранойя
Защита информации в современном мире становится всё более актуальной темой. Ведь, кроме «злых хакеров», которые пытаются подсадить вам очередного трояна-кейлоггера и похить ваши банковские данные, есть угроза физического доступа к вашему компьютеру, угроза перехвата вашего интернет-трафика. Если, например, вы пользуетесь криптовалютой или у вас хранится конфиденциальная информация, ее, безусловно, нужно защищать. Ваш компьютер (ноутбук тем более) могут украсть, вы можете его забыть, или же его могут изъять «оборотни в погонах», когда будут отрабатывать очередной заказ на вашего шефа.