Имея номер карты, мошенники могут перебрать все комбинации с CVV и сроком действия. ЦБ говорит, что деньги клиентов в безопасности

Для проведения платежа с карты через интернет нужно знать три комбинации – номер карты (16 цифр), срок ее окончания (месяц и год) и код безопасности (3 цифры). При этом никакими правилами не запрещено передавать кому-то номер своей карты – это делают, чтобы получить оплату от кого-то или чтобы собирать на эту карту пожертвования.

Однако, как выяснили банки, иногда разглашение номера карты может принести клиенту проблемы – даже при том, что срок ее действия и код безопасности клиент никому не раскрывал. Все дело в механизме подбора – злоумышленники пытаются провести покупку на незначительную сумму через разные интернет-магазины, используя разные комбинации. Учитывая, что срок действия карты – обычно 3 года (36 месяцев или менее), а код безопасности – 3 цифры, чисто математически вероятность угадать правильную комбинацию равна 1 к 36 тысячам.

Поскольку мошенники могут автоматизировать процесс перебора, вероятность кражи денег со счета становится достаточно ощутимой.

При этом злоумышленники используют новую схему:

• при переборе номеров карт они используют обычные (легальные) интернет-магазины, но покупку делают на небольшую сумму. Так жертва может и не заметить, что с ее карты что-то списалось;
• когда комбинация совпала, они используют собственные (мошеннические) интернет-магазины, где осуществляют фиктивные покупки с карты жертвы, а затем выводят деньги со счета. Чтобы не попасть под ограничительные меры, покупки тоже проводятся на небольшие суммы, но уже массово.

Банки пытаются отслеживать такие действия – если видят большое количество однотипных транзакций, и блокируют мошеннические интернет-магазины, но открыть новый магазин – не проблема.

Особенно популярной стала схема после того, как клиенты банков начали пользоваться виртуальными картами. Обычно такие карты открываются и закрываются прямо в приложении банка, и срок действия у них составляет до года. А это значит, что вместо 36 тысяч комбинаций нужно перебрать всего лишь 12 тысяч. При этом виртуальные карты банки позиционируют как более безопасный вариант для расчетов.

Виноваты в распространении мошенничества и интернет-магазины – когда в период пандемии на них пришелся большой поток заказов, для ускорения работы они иногда отключали функцию проверки CVV-кода и систему 3D-Secure (она требует ввести код из смс для подтверждения операции).

Правда, в Банке России, хоть и подтвердили существование схемы, не считают ее опасной для россиян. Дело в том, что если незаконная операция прошла без использования двухфакторной аутентификации по системе 3D-Secure, ответственность за списание средств лежит либо на банке, либо на интернет-магазине.