Я много читал о краже финансовой информации, особенно данных кредитной карты, потому что они хранятся или, по крайней мере, вводятся в Интернете или в точках продаж. Мне кажется, что метод можно было бы сделать безопасным, если бы он был обратным.
Недавно мой финансовый консультант посоветовал мне перейти с метода автоматической оплаты, когда, например, электроэнергетическая компания имеет информацию о моем банковском счете и каждый месяц снимает деньги с моего счета, на метод оплаты по счету, когда я даю инструкции своему банку. для автоматической отправки денег. Таким образом, получатель платежа не хранит информацию о моей учетной записи, поэтому ее нельзя украсть у него. В худшем — это поддельный одноразовый набор номеров, который нельзя использовать повторно.
Итак, почему кредитные карты не работают таким образом? Вы производите оплату, ваш банк получает запрос и отправляет текстовое сообщение на ваш телефон, чтобы спросить: «Вы разрешили это?» А вы отвечаете да или нет. Если вы скажете «нет», вы не сможете выйти из магазина с вещами, а в файле магазина нет ничего, кроме одноразового номера запроса. То же самое для онлайн. В худшем случае они каждый месяц пристают к вам, чтобы одобрить членство в спортзале или что-то в этом роде, и никто больше не сможет украсть вашу информацию.
Я супергений или что-то явно не так с этой схемой (помимо, очевидно, необходимости в телефоне)?
Вы производите оплату, ваш банк получает запрос и отправляет текстовое сообщение на ваш телефон, чтобы спросить: «Вы разрешили это?» А вы отвечаете да или нет. Если вы скажете «нет», вы не сможете выйти из магазина с вещами, а в файле магазина нет ничего, кроме одноразового номера запроса.
Есть платежные системы , которые работают именно так. Я считаю, что крупнейшим является Alipay (в основном в Китае), но, вероятно, есть и другие. С помощью этой системы ваш телефон генерирует одноразовый штрих-код или QR-код, который сканирует продавец. С вашего счета снимаются средства, и этот код больше никогда не используется.
Я полагаю, что у него также есть альтернативный режим, в котором покупатель сканирует QR-код продавца, что затем заставляет их отправлять деньги продавцу, но я не уверен в этом. Самая большая проблема здесь, и действительно самая большая проблема в платежах в целом, это «Что, если связь не удастся?»
Если продавец считывает данные вашей карты (или QR-код) и не может отправить их в ваш банк (или Alipay) для подтверждения, у них есть два варианта: они могут позволить вам уйти с товаром в любом случае или они могут сказать: «Извините». , мы не можем продать вам это прямо сейчас. Приходите завтра». В подавляющем большинстве случаев им лучше позволить вам уйти с товаром, исходя из того, что позже они смогут успешно снять деньги с вашей карты. В конце концов, карты большинства людей хороши, и если сделать это достаточно гладко, мошенники не будут знать, что магазин не в сети, чтобы воспользоваться этим. И если вы не можете купить то, что хотели прямо сейчас , вы можете просто уйти к конкуренту или вообще отказаться, и они проиграют.
С другой стороны, если им приходится полагаться на ваш телефон для отправки денег, а не запрашивать их, им приходится иметь дело с плохой сотовой связью, клиентами, чьи телефоны не работают, или по любой другой причине, по которой вы не можете отправить деньги. прямо тогда. И пока вы сидите и ждете, пока нужное приложение загрузится на ваш телефон с одной полосой, за вами скапливаются другие клиенты.
Кроме того, у них должен быть способ сгенерировать достаточно уникальный номер, чтобы ваше платежное приложение точно знало, сколько денег отправить какому продавцу и для какого заказа, иначе у них не будет никакого способа узнать, что вы сделали, на самом деле. , успешно оплатить. И если они не в сети, у них не будет возможности получить это уведомление, поэтому теперь есть две точки сбоя связи, которые приведут к сбою продажи. (Вот почему большинство продаж не вызывают текстовые сообщения для подтверждения предварительного одобрения — что, если вы не получите текст?)
Наконец, в интересах бренда карты принимать платежные запросы только из проверенных источников (например, торговых процессоров) и не иметь общедоступных конечных точек, которые любой, у кого есть подключение к Интернету, может DDOS или иным образом нарушить. И им выгоднее съесть затраты на мошенничество (или, что лучше, заставить торговца платить) во имя того, чтобы платежи проходили как можно быстрее.
Примечание. Этот ответ ориентирован на розничную торговлю и предприятия быстрого обслуживания/фаст-фуда . Гостиницы, сидячие рестораны и бары, заправочные станции, крупные торговцы (например, ювелиры) и т. д. предъявляют различные требования, влияющие на то, на какой риск они готовы пойти.
Ты ставишь телегу впереди лошади. Я рискну и предположу, что вы прочитали «много о краже финансовой информации», но никто никогда не указывал, что мошенничество составляет часть одного процента от объема транзакций.
Все ЛЮБЯТ кредитные карты, и я имею в виду всех. Продавцы иногда будут в новостях жаловаться на комиссию за обработку кредитных карт. Вы даже можете подумать, YA! это несправедливо.
С помощью кредитной карты я могу купить что-нибудь, не имея при себе наличных. Были даже исследования, которые слегка доказывают, что в целом люди тратят больше, чем они могли бы потратить наличными. На самом деле, я мог бы даже потратить деньги, которых у меня вообще нет. Я могу потратить больше, чем заработал. Без денег в банке я могу купить телевизор с помощью кредитной карты. Продавец никогда не замечает, потому что продавцу заплатили. Виза не замечает, потому что Виза оплачена. Ваш банк замечает и начинает взимать с вас проценты. Когда вы не платите, ваш аккаунт продается коллекторам. Когда вы подаете заявление о банкротстве, ваш негатив списывается как коммерческие расходы, которые могут быть вычтены из дохода банка (или коллекторского агентства).
Чтобы эта система работала, клиент также не может нести риск мошенничества. В США я не несу никакого риска мошенничества. За последние 12 месяцев с двух моих карт были совершены мошеннические платежи. Звоню в банк, уведомляю их, они аннулируют карту и в одночасье новую мне. Если бы я был ответственен за какие-либо мошеннические обвинения, как минимум, я бы не принял лимит в размере 20 000 долларов от своего банка, я бы снизил его до суммы, которой я был бы готов рискнуть ради мошенничества. Теперь моя покупательная способность ограничена моей толерантностью к микрорискам мошенничества.
Все во всей цепочке сделки хотят, чтобы я мог зайти в магазин с большей покупательной способностью, чем у меня есть ликвидность, и меня это устраивает. Если кто-то из них захочет отправить мне текст для двухфакторной аутентификации платежа, я обрежу эту карту и аннулирую учетную запись. Они все зарабатывают деньги, когда я трачу деньги. Банки-эмитенты так хотят, чтобы я потратил деньги на их карту, что борются за меня с сумасшедшими программами вознаграждений, и они оставят мне карту на замену из-за страха, что я могу начать использовать конкурента.
Имея это в виду, я выступаю за то, чтобы никогда не использовать привязанную к текущему счету дебетовую карту. У меня есть банковская система с моделью ступицы и спицы. Большинство моих учетных записей не видят мою основную расчетную учетную запись. У меня есть отдельный расчетный счет, который привязан к моему PayPal и тому подобному. Несколько лет назад на моем, в то время единственном расчетном счете, произошло мошенничество с чеками. Это включало подделку моей дебетовой карты и мошеннический чек, депонированный на мой счет с помощью поддельной дебетовой карты, а затем использованный для расходования всех средств моего счета, включая мошеннический чек. Банку потребовалось около 6 месяцев, чтобы разобраться с этим, и это очень сильно повлияло на мою жизнь. С тех пор у меня как минимум два расчетных счета в двух разных банках, и я НИКОГДА не пользуюсь своей дебетовой картой. С этой точки зрения, да, ваш финансовый консультант прав.
Когда в моем American Express происходит мошенничество, деньги American Express исчезают. Когда с вашим текущим счетом происходит мошенничество, исчезают ваши деньги, поэтому не относитесь легкомысленно к тому, кто получает доступ к вашему текущему счету.
Ну, во-первых, одним из главных приоритетов для компаний, выпускающих кредитные карты, является максимально беспроблемная транзакция. Это один из основных аргументов в пользу держателей карт и продавцов: держателям карт нравятся кредитные карты, потому что с ними проще покупать товары, а продавцам нравятся кредитные карты, потому что они заставляют людей покупать больше товаров, потому что это проще.
И если вы спрашиваете, почему держателям карт не нужно авторизовывать каждую транзакцию, это уже работает. Когда вы проводите картой, вы авторизуете эту конкретную транзакцию, а не передаете продавцу пустой чек. Если вы говорите, что у торговца есть все, что им нужно, чтобы притворятьсявы авторизовали другую транзакцию, ну нет, они этого не делают. В этом суть чиповых карт. Если у вас есть транзакция с чипом (очевидно, это не относится к онлайн-покупкам), чип принимает все детали транзакции, а также номер транзакции и подписывает все это цифровой подписью. Если кто-то украдет информацию о вашей кредитной карте и создаст с ее помощью поддельную транзакцию, он не сможет подписать поддельную транзакцию цифровой подписью. Если они используют цифровую подпись для исходной транзакции, они отправят транзакцию с уже использованным номером транзакции, поэтому она будет отклонена.
Итак, почему кредитные карты не работают таким образом? Вы производите оплату, ваш банк получает запрос и отправляет текстовое сообщение на ваш телефон, чтобы спросить: «Вы разрешили это?» А вы отвечаете да или нет.
Как это может быть более безопасным, чем терминал, спрашивающий вас: «Вы разрешаете это?» когда ты проводишь картой?
Предположим, вы установили систему, в которой продавцы связываются с телефонами людей, чтобы узнать, авторизована ли транзакция. Зачем делать это через тексты? Почему бы не иметь приложение, которое получает запросы на авторизацию? В этот момент вы только что заново изобрели цифровой кошелек.
Бен Фойгт