Оплата товаров или услуг через Интернет может вызвать у неопытных пользователей затруднения. Например, для завершения покупки сайт обычно предлагает ввести данные платежной карты в целях безналичного расчета: номер карты, дату ее окончания, фамилию и имя держателя, а также код CVV/CVC. Если с первыми пунктами более или менее понятно, то последнее требование способно многих запутать и отнять уйму времени на выяснение. Эта статья поможет разобраться и ответить на такие вопросы, как CSC — что это за код, где его найти, и для чего он нужен.
О технологии
CSC (Card Security Code — "код безопасности карты") — защитный механизм, разработанный с целью предотвращения мошенничества с банковскими картами. Встречаются также другие родственные обозначения этого термина: CVD, CVV, CVC, SPC и V-code. CSC предназначен для использования в тех случаях, когда карту невозможно физически предъявить — при онлайн-платежах. Технология обязана своему появлению на свет британскому сотруднику компании "Эквифакс" Майклу Стоуну. Изначально код представлял собой комбинацию из 11 букв и цифр. Впоследствии частные агентства и банки пришли к пониманию, что CSC — это предвестник новой эры информационной безопасности. Код был доработан и получил свой современный вид, состоящий из 3 цифр. На волне бурно развивающейся электронной коммерции в конце XX века эту технологию быстро подхватили ведущие платежные системы — MasterCard, Visa и American Express.
Существует несколько видов секретного кода:
- CVC1 или CVV1 — зашифрованная комбинация символов, физическое расположение которых — магнитная полоса на обратной стороне карты. Используется при оффлайн-платежах картой. Код распознается платежным устройством в процессе совершения покупки и отправляется для проверки на аутентификационный сервер банка-эмитента. Такая защита обходится путем изготовления дубликата платежной карты и копирования магнитной ленты.
- CVV2 или CVC2. Предназначен для защиты покупателя при транзакциях через Интернет. Является наиболее продвинутым методом верификации. В некоторых европейских странах платежные системы требуют от торговых компаний и предприятий обязательной проверки такого кода при онлайн-операциях.
- iCVV или динамический CVV. Используются при бесконтактной оплате.
CSC — что это? Mastercard и Visa
По своему использованию и местоположению код безопасности карты полностью одинаков для обоих платежных систем, за исключением названия. CSC на карте Visa носит название CVV2, для карт Mastercard — CVC2. Цифровая комбинация кода находится на обратной стороне карты, в зоне полосы подписи держателя или возле нее. Такое расположение затрудняет задачу злоумышленников подсмотреть цифры для кражи денежных средств в общественных местах либо с видеосъемки. Различаются методы нанесения кода CSC и номера карты: для защитной комбинации используют идент-печать либо тиснение. Данный элемент безопасности может и вовсе физически отсутствовать на карте, но генерироваться при ее эмиссии. Такой вариант присущ виртуальным картам или пластику начального класса: Visa Electron, Mastercard Maestro и другим.
Код безопасности в других платежных системах
Существуют и иные вариации CVC:
- CID (Card Identification Number — "идентификационный номер карты") — на платежных инструментах American Express. Имеет ключевую отличительную особенность: код безопасности, состоящий из 4 цифр, расположен над номером карты в ее правой части лицевой стороны.
- CVD (Card Verification Data — "данные верификации карты") — защитный элемент американских кредитных карт Discover.
- CVE (Elo Verification Code — "код верификации Эло"). Защитная комбинация цифр на дебетовых и кредитных картах Бразилии.
- CVN2 (Card Validation Number — "номер подтверждения карты") — код безопасности на картах китайской платежной системы Union Pay.
Насколько надежен этот механизм?
Банки-эмитенты запрещают торговым и сервисным компаниям хранить в базе данных CSC-пароли, полученные в ходе проведения транзакции. Это повышает безопасность держателей платежных карт: в случае взлома и кражи данных с серверов компании скомпрометированные данные клиентских карт практически не несут в себе пользы без кода безопасности. Несмотря на это, в пользу того, что CSC — это далеко не самый безопасный механизм, есть следующие доказательства:
- Бессилен перед фишинговыми ссылками. Код безопасности не способен предотвратить кражу данных, когда пользователь путем обмана переходит на фальшивую страницу для оплаты, созданную мошенниками. Обычно интерфейс такого ресурса неотличим или максимально приближен к содержанию обычной страницы, что вводит покупателя в заблуждение и побуждает к вводу данных платежной карты, включая CSC. Таким образом, злоумышленники имеют полный доступ к информации о карте, позволяющей совершать незаконные транзакции.
- Необязательность ввода. Некоторые торговые онлайн-площадки не требуют от покупателей предоставление CSC. Это играет на руку злоумышленникам, которым известны лишь скомпрометированные данные с лицевой части карты: номер и срок действия.
- Взлом. Известны случаи, когда мошенники угадывали короткий трехзначный CSC путем хакерских ухищрений и организованных DDoS-атак.
Какие еще есть технологии защиты карт?
Как видно из предыдущего пункта, механизм CVC обладает недостатками, угрожающими безопасности владельцев банковских карт. Платежные системы учли, что CSC — это технология, имеющая серьезные недостатки, и ввели систему дополнительной защиты платежных карт под названием 3D-Secure. Этот механизм добавляет шаг в процессе онлайн-транзакции — аутентификацию пользователя на сервере банка-эмитента. Она может включать в себя ввод постоянного кода, динамически формируемой комбинации цифр из СМС-сообщения или использование пароля из списка ключей.