Банковские карты имеют несколько степеней защиты, одна из которых — код проверки подлинности карты. Его также называют кодом CVV или CVC. Что это за код, зачем он нужен и как его узнать , сообщает banki.ru .
Что такое CVC и CVV-коды и чем они отличаются от CVC-2 и CVV-2
За безопасное использование карты в банкоматах и офлайн-магазинах отвечает ПИН-код — цифровой пароль, который нужно вручную вводить на клавиатуре банкомата или на терминале в магазине. В интернете безопасность платежей обеспечивает security code — трехзначный код проверки подлинности карты, нанесенный на ее внутренней стороне.
У разных платежных систем этот код называется по-разному:
- CVV2 (card verification value 2, англ.) — трехзначный код проверки подлинности карты платежной системы Visa.
- CVC2 (card validation code 2, англ.) — защитный код для карт Mastercard.
- CVP2 (card verification parameter 2, англ.) — код подлинности карт платежной системы «Мир».
Цифра 2 в названии кода означает, что есть и первый защитный код — CVV/CVC-код. Он записывается непосредственно на магнитную полосу карты и служит для проверки подлинности пластиковой карты при оплате через терминалы. Этот код считывается терминалами автоматически и на карте не указывается, поэтому в обиходе CVV2/CVC2-коды для простоты называют CVV/CVC-кодами.
Зачем нужен код безопасности
Этот код нужен для защиты от мошенничества. Как и ПИН-код, CVV2/CVC2-коды являются конфиденциальной информацией, которая доступна только владельцу карты.
ПИН-код используется в электронных устройствах (банкоматах, платежных терминалах) и служит для идентификации клиента. В целях безопасности ПИН-код не указывается на карте и известен только держателю карты. Операция, подтвержденная ПИН-кодом, считается проведенной именно владельцем карточки.
Код подлинности карты является обязательным реквизитом карты (как номер и срок действия) и используется для проверки подлинности карты при покупках в интернете. Код указывается на самой карте, поэтому обеспечить его конфиденциальность сложнее. Операцию с вводом CVV2/CVC2-кода может совершить любой человек, получивший доступ к карточке.
Как код безопасности защищает от мошенничества
Чтобы оплатить покупку в интернете, обычно требуется заполнить на сайте интернет-магазина форму с реквизитами и указать номер карты, срок действия, имя и фамилию держателя и трехзначный код безопасности. Именно этот код подтверждает, что покупку совершает законный владелец карточки. Если код не указан или указан неверно, банк отклонит платеж и деньги не спишутся. Таким образом, код безопасности — это еще один барьер для защиты от мошенников.
Чтобы повысить безопасность онлайн-платежей, многие компании применяют двухфакторную идентификацию покупателей (технология 3D-Secure). Помимо данных самой карты, включая код безопасности, для подтверждения операции требуется вводить одноразовый пароль из СМС, который направляется на привязанный к карте номер телефона. На сайтах, поддерживающих 3D-Secure, есть специальные значки Mastercard SecureCode и Visa Secure.
У платежной системы «Мир» есть собственная технология — MirAccept (на основе 3D-Secure). Сейчас банки (среди них Сбер, ВТБ, «Тинькофф» и другие) — участники платежной системы «Мир», активно переходят на новую версию этой технологии, MirAccept 2.0. Ее принципиальной особенностью является то, что в дополнение к традиционному механизму аутентификации пользователей с помощью кодов из СМС-сообщений и push-уведомлений добавляется принцип анализа совокупности факторов, помогающих идентифицировать пользователя (платежное поведение, параметры устройств, геолокация и пр.). В отличие от двухфакторной аутентификации с использованием СМС-кода, такой способ проверки подлинности плательщика является более надежным, позволяет ускорить процесс оплаты и увеличить количество успешных платежей.
Как без кода безопасности мошенники могут получить доступ к карте
К сожалению, даже если хранить код безопасности в тайне, это не гарантирует, что мошенники не смогут использовать карту для покупок.
Получить данные карты злоумышленники могут в слитых базах из интернет-магазинов, банков и так далее либо с помощью фишинговых сайтов. Такие сайты создаются мошенниками для получения данных карт и часто маскируются под сайты банков, госорганов и других организаций. Если не заметить подмены и ввести на таком сайте реквизиты карты, они станут известны мошенникам.
Недавно Банк России выявил еще одну мошенническую практику с применением QR-кода. Некоторые банки внедрили сервис снятия наличных с карты с помощью QR-кода. В мобильном приложении клиент может самостоятельно сгенерировать такой код на нужную сумму, передать его родственнику или коллеге, а тот поднесет изображение к сканеру в банкомате и снимет деньги. Этим стали пользоваться злоумышленники. Они звонят клиентам банков под видом сотрудников кредитной организации, сообщают, что в банк поступил несанкционированный запрос на снятие денег со счета, и просят прислать QR-код, чтобы отменить операцию. Расчет на то, что потенциальная жертва не в курсе особенностей QR-кода и легкомысленно относится к изображению с черно-белыми квадратиками, поэтому легко может им поделиться. Заполучив код, мошенники просто снимают деньги со счета обманутого человека.
Важно! QR-код в этом случае фактически является поручением банку на выдачу денег без ввода ПИН-кода. Никогда не делитесь QR-кодом с незнакомыми людьми, не храните его изображение в мобильных устройствах или в распечатанном виде. Помните, что настоящие сотрудники банков никогда не запрашивают у клиентов QR-код.
Меры безопасности
Защитный код — информация, доступная только владельцу карты. Чтобы он не попал в руки мошенников, нужно соблюдать правила безопасности:
- не передавать карту другим людям, в том числе кассирам, официантам и даже сотрудникам банка;
- не сообщать код безопасности карты по телефону, даже если звонящий представляется работником банка или правоохранительных органов;
- не расплачиваться картой в сомнительных интернет-магазинах, на игровых или лотерейных сайтах — такие сервисы часто являются мошенническими;
- сразу блокировать карту при ее утере или краже;
- не выкладывать фотографию карты в интернете;
- расплачиваться картой только с проверенного устройства, на котором установлен антивирус;
- не пользоваться бесплатным Wi-Fi для денежных операций в интернете.
Чтобы защитить личные данные от кражи, для онлайн-платежей стоит завести отдельную карту без физического носителя и пополнять ее только на сумму, необходимую для покупки. Также в личном кабинете можно установить лимит на сумму одной операции по карте или лимит трат на определенный период времени (неделю, месяц и т. д.).
Где находятся CVC и CVV на карте
На картах любых платежных систем (Visa, Mastercard, «Мир») код подлинности указан на оборотной стороне. Обычно код размещается под магнитной лентой на поле для подписи справа. Если там больше трех цифр, код безопасности — последние три цифры, отделенные пробелом.
Что делать, если CVC2, CVV2 нет на карте
Если на карте нет кода безопасности, значит она не предназначена для покупок в интернете (карты начального уровня Visa Electron, Mastercard Electronic и др.). При этом сам код все равно формируется при выпуске карты, но не указывается на «пластике».
Виртуальные и цифровые карты, ориентированные именно на онлайн-платежи, не имеют физического носителя, но коды подлинности у них есть. Реквизиты карты, в том числе код подлинности, можно посмотреть в личном кабинете в разделе «Информация о карте».
Что делать, если код безопасности был скомпрометирован
Если вы потеряли карту или подозреваете, что ее данные попали в чужие руки, заблокируйте ее как можно скорее. Это можно сделать через личный кабинет на компьютере или в телефоне, с помощью СМС или по звонку в контактный центр банка. После блокировки карты мошенники не смогут ей воспользоваться.
Как не стать жертвой мошенников: общие рекомендации
- Никому не сообщайте паспортные данные и финансовые сведения. Сотрудники банков и государственных структур никогда не запрашивают такую информацию.
Не публикуйте изображение карты в социальных сетях и на других сайтах в интернете, а также не храните ПИН-коды рядом с картами и данные карт на компьютере или в смартфоне.
- Если с неизвестного номера звонит человек, представившийся сотрудником банка, правоохранительных органов или государственной организации, и сообщает о чьей-то попытке оформления кредита или подозрительной операции от вашего имени, запугивает и требует быстрых действий с финансами, положите трубку. Самостоятельно позвоните в банк по номеру телефона, указанному на обратной стороне карты или на его сайте, или в контакт-центр ведомства, сотрудником которого представлялся звонящий.
- Не совершайте каких-либо действий по счету, если вам звонят с просьбой или требованием о переводе денег, в том числе на «защищенный» или «специальный» счет Центробанка, или с предложением об оформлении кредита. Банк России не открывает счета и не работает с гражданами.
- Никогда не вводите личные и финансовые данные на сомнительных сайтах и не переходите по ссылкам из подозрительных писем, которые предлагают, например, пройти опрос, получить какую-либо выплату и тому подобное. Официальные сайты финансовых организаций в поисковых системах («Яндекс», Mail) помечены цветным кружком с галочкой.
- Не устанавливайте на свой смартфон приложение удаленного доступа. Мошенники часто предлагают установить такие приложения якобы для защиты устройства и в результате получают контроль над вашими банковскими или финансовыми приложениями.
Если вы стали жертвой мошенников, как можно скорее заблокируйте карту и напишите в банк заявление о несогласии с операцией. Также обратитесь с заявлением о хищении денег в отделение полиции.
Автор Марина Скворцова
Источник banki.ru