Оплата товарів чи послуг через Інтернет може викликати у недосвідчених користувачів труднощі. Наприклад, для завершення покупки сайт зазвичай пропонує ввести дані платіжної карти у цілях безготівкового розрахунку: номер картки, дату її закінчення, прізвище та ім’я власника, а також код CVV/CVC. Якщо з першими пунктами більш або менш зрозуміло, то остання вимога здатне багатьох заплутати і відняти багато часу на з’ясування. Ця стаття допоможе розібратися і відповісти на такі питання, як CSC — що це за код, де його знайти, і для чого він потрібен.
Про технології
CSC (Card Security Code — код безпеки карти”) — захисний механізм, розроблений з метою запобігання шахрайства з банківськими картами. Зустрічаються також інші споріднені позначення цього терміна: CVD, CVV, CVC, SPC і V-code. CSC призначений для використання в тих випадках, коли карту неможливо фізично пред’явити — при онлайн-платежі. Технологія завдячує своїй появі на світ британському співробітникові компанії “Еквіфакс” Майклу Стоуну. Спочатку код представляв собою комбінацію з 11 букв і цифр. Згодом приватні агентства і банки прийшли до розуміння, що CSC — це провісник нової ери інформаційної безпеки. Код був доопрацьований і отримав свій сучасний вигляд, складається з 3 цифр. На хвилі бурхливого розвитку електронної комерції в кінці XX століття цю технологію швидко підхопили провідні платіжні системи — MasterCard, Visa і American Express.
Існує кілька видів секретного коду:
- CVC1 або CVV1 — зашифрована комбінація символів, фізичне розташування яких — магнітна смуга на зворотній стороні картки. Використовується при оффлайн-платежі картою. Код розпізнається платіжним пристроєм в процесі здійснення покупки і відправляється для перевірки на аутентифікаційні сервер банку-емітента. Такий захист обходиться шляхом виготовлення дубліката платіжної картки і копіювання магнітної стрічки.
- CVV2 або CVC2. Призначений для захисту покупця при транзакції через Інтернет. Є найбільш прогресивним методом верифікації. У деяких європейських країнах платіжні системи вимагають від торгових компаній і підприємств обов’язкової перевірки такого коду при онлайн-операціях.
- iCVV або динамічний CVV. Використовуються при безконтактної оплати.
CSC — що це? Mastercard і Visa
За своїм використання і місця розташування код безпеки карти повністю однаковий для обох платіжних систем, за винятком назви. CSC на карті Visa носить назву CVV2, для карток Mastercard — CVC2. Цифрова комбінація коду знаходиться на зворотній стороні картки в зоні смуги підпису держателя або біля неї. Таке розташування ускладнює завдання зловмисників підглянути цифри для крадіжки грошових коштів в громадських місцях або з відеозйомки. Розрізняються методи нанесення коду CSC та номера картки: для захисної комбінації використовують ідент-друкування або тиснення. Даний елемент безпеки може і зовсім фізично відсутнім на карті, але генеруватися при її емісії. Такий варіант притаманний віртуальних картах або пластику початкового класу: Visa Electron, Mastercard Maestro і іншим.
Код безпеки в інших платіжних системах
Існують і інші варіації CVC:
- CID (Card Identification Number — “ідентифікаційний номер картки”) — на платіжних інструментах American Express. Має ключову відмітну особливість: код безпеки, який складається з 4 цифр, розташований над номером картки в її правій частині лицьового боку.
- CVD (Card Verification Data — дані верифікації карти”) — захисний елемент американських кредитних карт Discover.
- CVE (Elo Verification Code — код верифікації Ело”). Захисна комбінація цифр на дебетових і кредитних картах Бразилії.
- CVN2 (Card Validation Number — номер підтвердження карти”) — код безпеки на картах китайської платіжної системи Union Pay.
Наскільки надійний цей механізм?
Банки-емітенти забороняють торговим і сервісним компаніям зберігати в базі даних CSC-паролі, отримані в ході проведення транзакції. Це підвищує безпеку держателів платіжних карток: у разі злому і крадіжки даних з серверів компанії скомпрометовані дані клієнтських карток практично не несуть в собі користі без коду безпеки. Незважаючи на це, на користь того, що CSC — це далеко не самий безпечний механізм, є наступні докази:
- Безсилий перед фишинговыми посиланнями. Код безпеки не здатний запобігти крадіжці даних, коли користувач шляхом обману переходить на фальшиву сторінку для оплати, створену шахраями. Зазвичай інтерфейс такого ресурсу не відрізняється або максимально наближений до змісту звичайної сторінки, що вводить в оману споживача і спонукає до введення даних платіжної картки, включаючи CSC. Таким чином, зловмисники мають повний доступ до інформації про карту, що дозволяє здійснювати незаконні операції.
- Необов’язковість введення. Деякі торгові онлайн-майданчики не вимагають від покупців надання CSC. Це грає на руку зловмисникам, яким відомі лише скомпрометовані дані з лицьової частини карти: номер і термін дії.
- Злом. Відомі випадки, коли шахраї вгадували короткий тризначний CSC шляхом хакерських хитрощів і організованих DDoS-атак.
Які ще є технології захисту карт?
Як видно з попереднього пункту, механізм CVC володіє недоліками, загрозливими для безпеки власників банківських карт. Платіжні системи врахували, що CSC — це технологія, що має серйозні недоліки, і ввели систему додаткового захисту платіжних карт під назвою 3D-Secure. Цей механізм додає крок у процесі онлайн-транзакції — аутентифікацію користувача на сервері банку-емітента. Вона може включати в себе введення постійного коду, динамічно формується комбінації цифр з СМС-повідомлення або використання пароля зі списку ключів.
