Андрей Шипилов "Сравнение российских платежных интернет-систем"

Пересылка через WebMoney  http://www.webmoney.ru/wmintrans2.shtml



---------------------------------------------------------------
Автор текста неизвестен, оригинал расположен в dz-online
dz-online.paranoia.ru/online/on-04-03-98.htm
---------------------------------------------------------------

 From: /dev/null
 Subject: О кредитках...

Hi, добрый человек Дмитрий!

Увидел тут в DZ-online ремарку о кредитках и, поскольку сам
занимаюсь (в смысле профессионально) этим делом -
программист я, хочу несколько дополнить вышеупомянутую
информацию, т.к. в последнее время этот вопрос часто
поминается в прессе и нет-нет да и муссируется в
конференциях (эхах), причем и там, и там крайне
некомпетентно. Восторга надо бы чу-уть поменьше...

Итак, постараюсь без специальной терминологии и крутых
технических подробностей:

I. Технические подробности.

Для авторизации в Интернете пригодны все карточки, которые
выпускаются с "кредитным" лэйблом, т.е. для VISA это не
VISA electron/PLUS (отличается от "нормальной" визы тем, что
цифры на ней делаются не выдавливанием, а термопечатью), а
для Eurocard/Mastercad - карты, несущие логотип EC/MC (т.е.
не Cirrus/Maestro/Eurocheck).

Кредитные карты отличаются от дебетовых в частности тем,
что по ним можно проводить транзакции без физического
считывания второй дорожки карты, а также транзакции типа
Mail Order/ Phone Order (не требующие подписи клиента на
чеке), на чем, собственно, и основано применение их в
электронной торговле (в т.ч. и в Интернете).

Транзакции по дебетовым картам должны проводиться
обязательно а) в онлайне и б) в авторизационном запросе
должна присутствовать вторая (иногда первая) дорожка карты.
В случае невыполнения этих условий процессинговый центр,
выпустивший карту, имеет полное право отклонить (или
оспорить, если вдруг она пришла в оффлайне) такую
транзакцию, т.е. контора, оказавшая услугу по такой карте,
понесет в итоге финансовые потери.

Нормальные Acquirer'ы (точки приема) либо проводят
авторизацию в реальном времени, имея интерфейс к
обслуживающему их процессинговому центру, который, в свою
очередь, в онлайне подключен к сетям VISA/Europay, либо
имеют таблицу префиксов карт (распространяются платежными
системами Europay/VISA соответственно), которая позволяет
отличить кредитку от дебетовки.

Если точка приема карты не проводит такой проверки и
принимает все без разбору, то либо она рискует разориться (т.к.
"халявщикам" несть числа), либо ничего ценного там не купить
(порнушные сайты, например ;-) ), либо цель этого сайта -
получить номер вашей кредитки.

II. Бизнес-подробности

"Кредитки" в Москве эмитируются практически любым
уважающим себя банком.

Сумма страхового депозита - от 250$ (см. регулярно
печатаемую сравнительную таблицу в журнале "Деньги").
Заводить карту КАТЕГОРИЧЕСКИ имеет смысл в банке,
имеющем свой процессинговый центр, выполняющий процессинг
по международным картам - это МОСТ, СБС-АГРО,
РосКредит (вероятно также Инком, ОНЭКСИМ, Сбербанк -
хотя через кого у них процессинг сейчас, точно не знаю). Это
позволит более оперативно отслеживать состояние вашего счета,
прикрепеленного к карте, и более оперативно производить
разборки в случае проблем. Ряд крупных банков процессируется
через центры других банков, а некоторые еще и обновляют
лимиты только раз в месяц - все это может породить массу
проблем, но об этом ниже...

Кстати, сумма страхового депозита у большинства
банков-эмитентов поддается снятию через ближайший
банкомат.

III. О предосторожности

Не верьте некомпетентным сотрудникам банков, которые
утверждают, что "...больше чем остаток по счету на вашей
карте - вы не снимете. Наши кредитки - дебетовые (!) (с)
МостБанк"

Так называемые "дебетовые" кредитки (т.е. карты с кредитным
лэйблом, по которым, как уверяют банки-эмитенты, можно
проводить операции только в пределах остатка на счете) на
самом деле являются дебетовыми только в случае онлайновой
авторизации. Большинство же авторизаций на Западе (особенно
на небольшие суммы) проводится в оффлайне, так что если
реквизиты вашей карты попали в руки хакерам или
нечистоплотным дельцам, за пару дней у вас может вырасти
овердрафт в пару тысяч американских рублей (поверьте, это
не голословное утверждение). Кстати, поскольку транзакции
через интернет проводятся без бумажных документов, оспорить
их чрезвычайно трудно, т.е. бремя разборок ложится на клиента.

Технических деталей этого безобразия раскрывать не буду,
дабы не вводить народные массы в искушение.

IV. Резюме

Итак - если вы все-таки хотите пользоваться кредиткой в
Интернете, то:

1. Открывайте карточку в крупном банке, имеющем свой
процессинговый центр, и позволяющем оперативно
контролировать остаток на счете (например, через банкомат -
как в СБС или в Мосте - через банкомат для выписок).

2. Не храните все ваши деньги на этой кредитке (не
пользуйтесь зарплатной кредиткой!!!), вы рискуете потерять все,
что имеете ;-). Наилучший вариант - держать там долларов
100 - 200 (в зависимости от ваших фин. возможностей,
интернетовской активности и желания часто посещать банк).

3. Не заводите карту с "револьверным" кредитом - когда вы
один раз в месяц оплачиваете все, что накопилось за месяц -
о том, что вас "обули", вы имеете шанс узнать слишком
поздно...

4. По возможности контролируйте остаток по счету. В случае
электронной авторизации сумма остатка уменьшается в
реальном времени, в случае оффлайновой - должна быть
списана в течении примерно двух недель с момента
совершения операции.

5. Если вы чувствуете, что с вашей картой происходит что-то
неладное, сразу же возьмите банковскую выписку - в
комментарии к проводкам должны быть указаны реквизиты
торговой точки, позволяющие ее идентифицировать (хотя бы
примерно). Если вы не можете опознать "свои" транзакции, а)
попросите ваш банк их оспорить и б) поставьте карточку в
стоп-лист (затраты, которые вы при этом понесете, несравненно
меньше того, что вы можете потерять). Впрочем, решайте сами
- вполне может быть, что вы просто не помните, где вы были
две недели назад.

Кстати, обычно "атаки" на счет в виде потока транзакций на
небольшую сумму продолжаются несколько дней и наносят
ущерб владельцу от нескольких сотен, до нескольких тысяч
долларов.

6. Избегайте сомнительных сайтов. Часто сайт - это ловушка
для номеров карточек. "Выстрелить" это может и через месяц,
и через пол-года.

7. Я бы все-таки предпочел пользоваться "электронной
наличностью". Более контролируемо, да и риска меньше.




 From: Aleksey Galkin Для авторизации в Интернете пригодны все карточки, которые
     >выпускаются с "кредитным" лэйблом, т.е. для VISA это не
     >VISA electron/PLUS (отличается от "нормальной" визы тем, что
     >цифры на ней делаются не выдавливанием, а термопечатью), а
     >для Eurocard/Mastercad - карты, несущие логотип EC/MC (т.е.
     >не Cirrus/Maestro/Eurocheck).

     >Кредитные карты отличаются от дебетовых в частности тем,
     >что по ним можно проводить транзакции без физического
     >считывания второй дорожки карты, а также транзакции типа
     >Mail Order/ Phone Order (не требующие подписи клиента на
     >чеке), на чем, собственно, и основано применение их в
     >электронной торговле (в т.ч. и в Интернете).


     Кредитные карточки  отличаются от дебитных тем,  что дебитная  карточка
представляет  ваш банковский  счет,  т.е.  попросту ваши деньги, которые  вы
заработали  неважно,  честным или  нечестным  трудом.  А  кредитная карточка
представляет вашу кредитную линию. Т.е. попросту говоря, это деньги, которые
вам  дает банк под проценты по вашему запросу и которые  вы  потом  согласно
договору обязуетесь ему вернуть.
     С  дебитными карточками понятно,  смысл в них, только как в электронных
деньгах,  т.е.  это ваши  деньги, которые удобнее носить  в кошельке в  виде
карточки, чем в виде пачки наличных.
     А вот кредитки. Кредитки бывают двух типов.  Secured  и unsecured.  Что
это значит?
     Первая карточка. Это когда банк не  очень уверен в вас, как в  надежном
клиенте,  предлагает вам  заморозить некую сумму на  вашем счету, на случай,
если вы вдруг станете неплатежеспособным,  он  заберет  деньги,  которые  он
заморозил на вашем счету.  Эти  деньги  называются  secured  deposit. Подчас
бывает, что банк может  дать  вам  кредит только  на  сумму  депозита. Такая
карточка  полностью бессмысленна  в России, поскольку, если у  вас  есть эти
деньги, зачем вам замораживать их и брать  под них другие деньги? И при этом
потом надо будет  отдавать  их с процентами.  Но вы  спросите,  зачем вообще
такая глупость нужна?  А  я не зря оговорился  о России, поскольку во  всех,
скажем развитых странах есть такое понятие, как кредитная история.
     Специальное  бюро  хранит  информацию  обо  всех  ваших кредитах  и  их
выплатах.  Насколько  гладко проходили  у  вас выплаты,  настолько гладко вы
потом получите второй тип карточек.
     Второй тип. Unsecured Credit Card. Чем она отличается от первого  типа?
Тем,  что банк,  на основании  вашей кредитной истории делает  вывод, что вы
надежный клиент, и дает вам  деньги просто так,  под честное  слово, доверяя
вам. Вот  мы  и подошли к тому,  для  чего нам нужна  первая карточка. Чтобы
получить хорошие записи в кредитную историю  и тем  самым  вызвать доверие у
банка, который,  в  свою  очередь даст вам настоящую  кредитную карточку.  В
России  такое невозможно, покольку, там  нет кредитных  бюро и следовательно
никто не ведет кредитных записей.
     Настоящие же кредитные карточки  отличаются не  только  названиями но и
банковским интересом. Чем короче ваша кредитная истори, тем большие проценты
вам придется выплачивать за  кредит. Получается, вы как  бы платите банку за
его риск. Это логично. Чем длинее и  благополучнее  ваша  кредитная история,
тем  охотнее банки дают вам кредиты и тем меньше  на них  проценты  и больше
суммы, которые вы можете получить.
     Кто вообще выдает карточки?
     Ну во-первых, конечно это банки. Поскольку это их бизнес.  Вы держите в
банке  счет, банк  дает  вам  карточку,  что  бы  вы могли  своими  деньгами
распоряжаться  где угодно. И они делают деньги на  процентах, которые  вы им
выплачиваете за пользование их деньгами.
     Во-вторых  магазины.  Они  дают  вам  кредит,  чтобы  вы на него  могли
что-нибудь купить у них,  а потом  еще и  заплатить им  проценты. Скажем вам
нужен холодильник,  но  денег  на него собрать  у вас как-то  не получается.
Слишком большая сумма, да и потом жить два года без холодильника противно. А
так  вы идете в магазин, забираете  у него холодильник  и платите ему каждый
месяц  сто  рублей два  года  подряд.  А через  два  года  холодильник  ваш.
Получается  за два года вы скопили 2400 руб., но  при этом,  все это время у
вас был холодильник. Конечно, он скорее всего стоит не  2400, а скажем 1500,
но за удовольствие надо платить.
     И конечно, это хорошая запись в вашу кредитную историю. Через два года,
вы сможете купить  в кредит машину и при это платить не так много процентов,
как с холодильником.
     В-третьих карточки дают инвестиционные фонды,  у которых денег много, и
нельзя, чтобы они лежали просто так, они опять же на них делают деньги. Есть
еще  так   называемый  предоплаченные   карточки.  Это  когда  вы  приходите
куда-нибудь, скажем в телефонную компанию, даете  им 10  долларов, а они вам
за это дают карточку, которую вы можете использовать в телефонных автоматах,
и за то, что вы им заплатили деньги вперед, телефонный разговор будет стоить
дешевле, чем  обычно.  Но  это  все  равно разновидность дебетных.  Т.е.  вы
пользуетесь деньгами, которые вы уже положили на эту карточку.

     >Транзакции по дебетовым картам должны проводиться
     >обязательно а) в онлайне и б) в авторизационном запросе
     >должна присутствовать вторая (иногда первая) дорожка карты.
     >В случае невыполнения этих условий процессинговый центр,
     >выпустивший карту, имеет полное право отклонить (или
     >оспорить, если вдруг она пришла в оффлайне) такую
     >транзакцию, т.е. контора, оказавшая услугу по такой карте,
     >понесет в итоге финансовые потери.

     >Нормальные Acquirer'ы (точки приема) либо проводят
     >авторизацию в реальном времени, имея интерфейс к
     >обслуживающему их процессинговому центру, который, в свою
     >очередь, в онлайне подключен к сетям VISA/Europay, либо
     >имеют таблицу префиксов карт (распространяются платежными
     >системами Europay/VISA соответственно), которая позволяет
     >отличить кредитку от дебетовки.

     >Если точка приема карты не проводит такой проверки и
     >принимает все без разбору, то либо она рискует разориться (т.к.
     >"халявщикам" несть числа), либо ничего ценного там не купить
     >(порнушные сайты, например ;-) ), либо цель этого сайта -
     >получить номер вашей кредитки.

     Поскольку на  западе за эти  пару лет произошла тотальная телефонизация
всех стран, то 99.9%  всех  торговых  карточек проводятся  в  он-лайне.  Это
практически полностью исключает возможность перерасхода денег на счету. Если
там денег нет, автомат не произведет авторизацию.


     >Ш. О предосторожности

     >Не верьте некомпетентным сотрудникам банков, которые
     >утверждают, что "...больше чем остаток по счету на вашей
     >карте - вы не снимете. Наши кредитки - дебетовые (!) (с)
     >МостБанк"

     >Так называемые "дебетовые" кредитки (т.е. карты с кредитным
     >лэйблом, по которым, как уверяют банки-эмитенты, можно
     >проводить операции только в пределах остатка на счете) на
     >самом деле являются дебетовыми только в случае онлайновой
     >авторизации. Большинство же авторизаций на Западе (особенно
     >на небольшие суммы) проводится в оффлайне, так что если
     >реквизиты вашей карты попали в руки хакерам или
     >нечистоплотным дельцам, за пару дней у вас может вырасти
     >овердрафт в пару тысяч американских рублей (поверьте, это
     >не голословное утверждение). Кстати, поскольку транзакции
     >через интернет проводятся без бумажных документов, оспорить
     >их чрезвычайно трудно, т.е. бремя разборок ложится на клиента.

     Как  я уже говорил, это было пару  лет назад.  Вы могли пойти, скажем в
магазин, где  нет  онлайнового автомата, при покупке, они  делают пресскопию
вашей  карточки,  затем, вечером  отправляют это в банк, который  производит
транзакцию. При этом  вы можете купить на 1000 долларов, хотя денег у вас на
счету 10 долларов.
     Сейчас же на Западе,  все  делается  только  в онлайне и  никак больше.
Оффлайн  заменили чеки, но  и то,  уже есть  приборы онлайновой  авторизации
персональных чеков.
     По  поводу  хакеров.  Уже  вот  как год  все  западные банки используют
128-битное криптирование, которое раскодировать в принципе возможно,  но что
для  этого  надо?  Не  много  не  мало,  как  сеть  одновременно  работающих
пары-тройки сотни компьютеров не меньше  года.  Что это значит? Это  значит,
что  вы теперь  можете не беспокоится  даже о  паре сотен  тысяч долларов на
вашем счету, у хакеров теперь затраты побольше будут и  им теперь на  меньше
миллиона   смотреть   даже   не   стоит,   чтобы   окупить  затраты   такого
раскодирования.


     >IV. Резюме

     >Итак - если вы все-таки хотите пользоваться кредиткой в
     >Интернете, то:

     >1. Открывайте карточку в крупном банке, имеющем свой
     >процессинговый центр, и позволяющем оперативно
     >контролировать остаток на счете (например, через банкомат -
     >как в СБС или в Мосте - через банкомат для выписок).

     Т.е. на западе, это все банки, без исключения.

     >2. Не храните все ваши деньги на этой кредитке (не
     >пользуйтесь зарплатной кредиткой!!!), вы рискуете потерять все,
     >что имеете ;-). Наилучший вариант - держать там долларов
     >100 - 200 (в зависимости от ваших фин. возможностей,
     >интернетовской активности и желания часто посещать банк).

     Опять же на западе теперь это не имеет смысла.

     >3. Не заводите карту с "револьверным" кредитом - когда вы
     >один раз в месяц оплачиваете все, что накопилось за месяц -
     >о том, что вас "обули", вы имеете шанс узнать слишком
     >поздно...

     То же самое

     >4. По возможности контролируйте остаток по счету. В случае
     >электронной авторизации сумма остатка уменьшается в
     >реальном времени, в случае оффлайновой - должна быть
     >списана в течении примерно двух недель с момента
     >совершения операции.

     Ну это никогда не помешает, всегда полезно.

     >5. Если вы чувствуете, что с вашей картой происходит что-то
     >неладное, сразу же возьмите банковскую выписку - в
     >комментарии к проводкам должны быть указаны реквизиты
     >торговой точки, позволяющие ее идентифицировать (хотя бы
     >примерно). Если вы не можете опознать "свои" транзакции, а)
     >попросите ваш банк их оспорить и б) поставьте карточку в
     >стоп-лист (затраты, которые вы при этом понесете, несравненно
     >меньше того, что вы можете потерять). Впрочем, решайте сами
     >- вполне может быть, что вы просто не помните, где вы были
     >две недели назад.

     Тоже логично

     >Кстати, обычно "атаки" на счет в виде потока транзакций на
     >небольшую сумму продолжаются несколько дней и наносят
     >ущерб владельцу от нескольких сотен, до нескольких тысяч
     >долларов.

     Как  я  сказал, хакерам теперь  не до мелких атак.  Если конечно они не
украли  у вас карточку  и не подсмотрели секретный код, в  противном  случае
бояться нечего.

     >6. Избегайте сомнительных сайтов. Часто сайт - это ловушка
     >для номеров карточек. "Выстрелить" это может и через месяц,
     >и через пол-года.

     Верно.

     >7. Я бы все-таки предпочел пользоваться "электронной
     >наличностью". Более контролируемо, да и риска меньше.

     Я не  знаю, что тут подразумевается... Но карточками пользуюсь давно  и
успешно, чего и вам желаю.


    Что будет с украденой карточкой

Без шифр кода можно что-либо купить только в очень ораниченных местах. Скажем только на некоторых заправках остались аппараты, которые не спрашивают код, но такие еще надо поискать, да и сколько бензины вы там купите? В некоторых магазинах, тоже только если сумма у вас не больше 20 баксов. Вообще в некоторых магазинах не спрашивают штрихкод вообще, но при этом они заставляют вас расписаться в копии чека и если сумма большая, то заставят показать документ-удостоверение личности. В США, везде введена он-лайновая авторизация. Не важно интернет это или магазин. Офф-лайновые операции по карточке сейчас сделать невозможно, банки этого попросту не поддерживают. Так называемый оффлайн можно сделать только при помощи чеков. Т.е. при открытии счета в банке вам выдают персональную чековую книжку с почти такой же защитой, как у денег. При выписывании чека, вы ставите свою подпись и показываете свой документ, иначе его у вас не примут. И еще, во многих магазинах сейчвс появляются аппараты онлайновой верификации чеков. Т.е. по-просту это сканер с модемом, который сканирует ваш чек и отправляет данные в банк, а тот отвечает, что все ОК, такая сумма на счету есть. По кредитной карточке еще хуже, там без шифр кода и документа вы вообще ничего не купите, такой закон. Поэтому если у вас украли кредитку, вероятность того, что они смогут на нее что-то купить очень маленькая. Поэтому, тут если вы потеряли кошелек с кредитками, вероятность того, что вам его в этот же день вернут целым и невредимым просто огромная.

    Карточка и интернет

На интернете вводите не секретный шифр, а ваш Social Security Number, который тоже как-бы секретный (никому его говорить нельзя) и на интернете он является кодом доступа. Ведь вы говорите номер не тому сайту, на котором вы что-то покупаете, а банку, через который этот сайт работает. Т.е. покупая чтото где-то, вас попросту пересылают на защищенный сайт какого-нибудь банка, где вы и вводите свои серетные данные. Конечно, я покупаю только на известных сайтах, навроде www.amazon.com, на которых обман полностью исключен, а не на http://www.hack.xxx.com

Last-modified: Fri, 21 Mar 2003 21:38:48 GMT