Секреты вашей банковской карты. Что означает её номер?
Наличка — это неудобно и опасно, поэтому уходит в прошлое. Благо, терминалы для приема карт и оплаты смартфонами уже можно найти даже в киосках в глубокой провинции.
Рассказываем, что внутри у банковской карты, чем чип отличается от магнитной полосы и как происходит оплата смартфоном.
В тему: Visa или Mastercard. В чём разница
Из чего состоит номер карты
Стандартный номер карты состоит из 16 цифр. Он уникален для конкретного банка и определенной платежной системы.
Номера либо выдавливают (эмбоссируют), или наносят краской. Первое дороже, но надежнее: выдавленные цифры не стираются от частого использования.
Первые 6 цифр в номере — банковский идентификационный номер (БИН) эмитента (банка, который выпустил карту). Расшифровать цифры можно, к примеру, здесь.
Первая цифра определяет платежную систему:
► 2: Мир
► 3: American Express, JCB International
► 4: VISA
► 5: MasterCard — 5
► 3, 5 или 6: Maestro
► 6: China UnionPay
► 7: УЭК
Банки используют определенные комбинации первых цифр для разных карт. Например, номера «Пенсионной карты МИР» и «МИР Сбербанка России» начинаются с 22, дебетовая карта «Аэрофлот» (Visa Gold и Visa Classic) Сбербанка или Visa Classic — с 4276.
Цифры с 7 по 15-ю — непосредственно номер карты. В нем указан тип карты (дебетовая или кредитная), валюта, регион выпуска и др.
Последняя цифра является проверочным числом. Она вычисляется по алгоритму Луна, чтобы избежать ошибок при вводе номера.
Проверить номер можно на этом сайте. Но будьте внимательны! Алгоритм хорошо ловит ошибки в одной цифре, но он не заметит перестановки цифр 0–9 и 9–0, может пропустить и другие ошибки.
Выпускаются карты и с более длинными номерами. Дополнительные цифры используют, чтобы обозначить субнаправления или подпрограммы.
Так, у карт Maestro и карты мгновенной выдачи «Momentum» Visa Сбербанка часто 18-значные номера. Есть и варианты с 19 знаками.
Бывает и наоборот. У многих карт American Express, а также виртуальных карт Visa и MasterCard Сбербанка всего 15 цифр в номере. Минимальное количество цифр — 13.
Выпускают карты и без нанесенного номера и других данных. Так безопаснее. Реквизиты можно узнать в мобильном приложении.
Как работает магнитная полоса
Первая в мире карта с магнитной полосой
Магнитная полоса на карте состоит из частиц железосодержащего сплава, которые намагничивают для записи информации. Считывает данные специальная магнитная головка. Почти как в кассетном магнитофоне или проигрывателе для винила.
Изначально магнитную полосу пытались приклеить на карту клейкой лентой. Но сделать это ровно было очень сложно = полоса деформировалась и переставала читаться.
Расстроенный инженер, который целый день пытался наклеить полосу на карту, рассказал о проблеме жене. Та предложила прогладить полосу на пластиковой карте утюгом и вплавить её. Получилось!
Стандартная ширина магнитной полосы — 9,52 мм. В ней три дорожки шириной 2,79 мм.
Формат записи на дорожки разный. Так, на первой хранится до 76 заглавных букв латинского алфавита, цифр, спецсимволов. Запись на второй дорожке начинается с »;», дальше — до 37 символов: цифры, знак »=»,»+» вместо пробела,»?» — символ завершения записи.
Строка на третьей дорожке начинается с »_», заканчивается »?». Между ними — до 104 символов: цифр и »+» вместо пробела. Плотность записи на первой и третьей дорожках — 210 бит/дюйм, на второй — 75 бит/дюйм. Буквы и спецсимволы занимают 7 бит, цифры — 5 бит.
Данные на полосе определяют карту в банковской системе. Они позволяют отправить запрос на оплату и получить либо подтверждение, либо отказ. Но кассир не видит остаток на вашем счету или ваши личные данные.
Полосы в основном черного или коричневого цвета, но бывают и других оттенков. Черные — это карты HiCo (High Coercitive — высококоэрцитивные), которые работают с магнитными полями напряженностью 2750–4000 эрстед. Они более долговечные.
Коричневые — LoCo (Low Coercitive — низкокоэрцетивные). Рассчитаны на напряженность магнитного поля всего в 300 эрстед. 1 эрстед — около 80 А/м. Банковские карты обычно HiCo, дисконтные или топливные — LoCo.
HiCo-карта не повредится от контакта с не слишком сильным магнитом, LoCo такой встречи может и не пережить. Вывод: носите LoCo-карты в кошельках без металла и магнитных застежек.
Но все карты с магнитной полосой со временем выходят из строя. Магнитный слой просто стирается от частого считывания.
Как устроены бесконтактные карты
Карты EMV (стандарт был разработан Europay, MasterCard и VISA) можно приложить к терминалу для оплаты. В пластик таких карт встроены электронные компоненты:
чип для хранения и обработки данных — микрокомпьютер с загруженной в память Java-платформой JavaCard и апплетами-приложениями контактный чип для взаимодействия с терминалами конденсатор и катушка индуктивности — колебательный контур, который накапливает энергию для первичного импульса. Катушка работает и как антенна для приема и передачи сигналаКарта обменивается данными с терминалом по протоколу ISO/IEC 14443 на частоте 13,56 МГц. Процесс похож на работу с RFID-метками.
Когда вы совершаете покупку, кассир создает предварительный чек и сообщает вам сумму для оплаты. Вы прикладываете карту к терминалу. Можно не касаться — достаточно расстояния до 10–15 см.
Колебательный контур попадает в переменное магнитное поле, образуется переменный ток. Катушка индуктивности распрямляется, конденсатор заряжается, основной чип получает питание.
Карта и терминал аутентифицируют друг друга, проверяя подлинность криптограмм. Терминал должен убедиться, что карта подлинная, а карта — что всё в порядке с терминалом. Сигнал от считывателя в терминале передается за счет модуляции сигнала. Чип карты распознает такие изменения.
На карте можно подключить нагрузочное сопротивление и или изменить емкость конденсатора, чтобы повысить силу тока в контуре карты и, соответственно, передать данные с неё.
Если карта и терминал узнали друг друга, основной чип карты запускает платежное приложение. Оно генерирует ключ для оплаты, и на терминал отправляется сигнал с зашифрованными данными карты, в том числе CVV-код.
Кассовая программа получает информацию от терминала и связывается с банком. Если банк подтверждает подлинность данных и видит достаточный остаток на вашем счету, он разрешает транзакцию. Если она больше допустимого значения, запрашивается подтверждение платежа (PIN-код).
Транзакция проходит через банк-эквайер (который обслуживает терминал) в платежную систему и до банка-эмитента (который выпустил карту). Деньги списываются с вашего счета. Терминал выдает чек об успешной оплате.
Также можно установить приложение, которое позволит платить по NFC со смартфона на смартфон. Такая функция есть и в некоторых приложениях крупных банков.
Карты с чипом гораздо сложнее подделать, чем карты с магнитной полосой. Они долговечнее и принимаются практически во всех за границей.
На одной карте с чипом может работать несколько апплетов. В результате вы, к примеру, можете использовать её непосредственно как банковскую карту и как проездной билет.
Почему CVC/CVV никому нельзя сообщать
Множество платежей (как правило, мелких) не нужно подтверждать PIN-кодом, паролем из SMS или другими способами. Вас как клиента банка идентифицируют по номеру карты, сроку её действия и CVC/CVV-коду.
Такие схемы упрощенной идентификации обычно используют интернет-магазины. Но даже если нужно подтверждение из SMS, push-сообщения или кода в приложении, всё это можно перехватить с помощью вредоносного ПО.
Результат — подозрительные покупки с вашей карты совершаются, пока на неё вообще есть деньги. Но чаще мошенники, зная реквизиты и CVC/CVV, просто переводят деньги с одной карты на другую, а затем обналичивают их в банкомате.
Как обезопасить карту от мошенников
Технически официант или кассир, которому вы передаете карту, может сфотографировать её или запомнить номер, срок действия и CVC/CVV. А затем расплатиться вашей картой в интернет-магазине или в своем же заведении.
Даже если вы напишете заявление о краже денег в банк, средства вам не вернут. По закону, если вы показали карту, то раскрыли её данные третьим лицам. А значит, сами виноваты.
Чтобы этого не произошло, достаточно отрезать часть пластика с номером — например, последние четыре цифры. Карта по-прежнему будет работать. Магнитную полосу вы не повредите, катушку индуктивности вокруг чипа не заденете.
Лайт-вариант — закрасить или стереть CVC/CVV.
Как работает 3D Secure
3D Secure (Three-Domain Secure) — это защищенный протокол, который добавляет ещё один уровень безопасности вашим платежам с карты. Он помогает убедиться, что операцию проводит владелец карты, а не мошенники.
3D Secure создавали для CNP-операций (card not present) — оплат в интернете. Вы можете проводить их без самой карты, достаточно её фото или реквизитов.
Прототип решения разработали в Visa для работы сервиса Verified by Visa (VbV). Позднее протокол приняли и другие платежные гиганты: Mastercard (Mastercard SecureCode, MCC), JCB International (J/Secure), Мир (Мир Accept) и др.
Для оплаты в интернете вы вводите на сайте номер карты, срок её действия, имя держателя карты и код проверки ее подлинности (например, CVC2). Если сайт и банк поддерживают 3D Secure, вас перенаправят на сайт банка, который выпустил вашу карту.
Банк пришлет код подтверждения вам в SMS, в мессенджере или в банковском приложении. Реже используются разовые коды с листочка или постоянный код, который вы установили.
После того, как вы введете проверочный код на странице, банк проверит его. Если введенный код совпадет с отправленным, транзакция будет выполнена.
Как видите, в схеме Three-Domain Secure три домена: сайта или эквайера, который принимает за него оплату, платежной системы, в которой выпущена ваша карта, и банка, который её выпустил.
Данные для подтверждения платежа не сохраняются в интернет-магазине. Он может получить только часть реквизитов. Согласитесь, к банку, который выпустил вашу карту, или платежной системе вроде Visa или MasterCard, доверия больше.
Если на сайте есть логотипы Masterсard SecureCode и/или Verified by Visa, он поддерживает 3D-Secure. Подключена ли ваша карта к 3D-Secure, лучше уточнить в банке.
Важно: если ваш банк и ваша карта поддерживают 3D-Secure, а интернет-магазин нет, то если с вашей карты совершат несанкционированную транзакцию, отвечать будет интернет-магазин. Если сайт, наоборот, поддерживает технологию, а ваша карта нет, то ответственность будете нести вы.
Минус в том, что 3D-Secure — необязательная технология. Никто не может заставить её использовать. Но если есть выбор, лучше заказывать в магазинах с 3D-Secure.
Как смартфон заменяет карту
Смартфоны с NFC-чипами могут заменить карты для бесконтактной оплаты. Apple Pay, Samsung Pay, Android Pay и другие «пеи» работают с картами определенных платежных систем и конкретных банков.
В приложении карта оцифровывается, и её номер нигде не сохраняется — ни на смартфоне, ни на серверах приложения. Продавцы тоже не видят номер карты.
Вместо номера генерируется токен. Только банк или платежная система могут сопоставить этот токен с номером карты.
При оплате NFC-устройством в терминале касса так же, как и при обычной оплате, генерирует предварительный чек. Вы запускаете приложение и подносите смартфон к терминалу. Он устанавливает связь с терминалом, эмулируя карту.
Для эмуляции карты используется технология HCE (Host-based Card Emulation). NFC-контроллер обеспечивает передачу данных из платежного приложения в смартфоне на терминал и обратно.
Когда сеанс связи установлен, смартфон получает данные от терминала и формирует транзакцию. Затем вам нужно подтвердить транзакцию отпечатком пальца, сканированием лица или другим надежным способом.
В транзакции участвуют банк-эквайер, который обслуживает терминал, банк-эмитент, который выпустил карту, и платежная система, к которой относится карта. Получается как в 3D Secure, только ещё безопаснее. Сымитировать подтверждение транзакции гораздо сложнее, да и шагов проверки больше.
Смартфоны Samsung также могут имитировать карты с магнитной полосой в Samsung Pay. Для этого используется собственная технология MST (Magnetic Secure Transmission — магнитная безопасная передача).
В этом случае создается магнитное поле, похожее на сигнал от магнитной полосы банковской карты. Проводить смартфоном по считывателю не придется: MST работает на расстоянии до 7–8 см.
Таким образом, MST в Samsung Pay позволяет платить смартфоном даже в древних терминалах, рассчитанных только на карты с магнитной полосой. С iPhone так не получится.
С другой стороны, не все смартфоны Samsung поддерживают Samsung Pay, особенно в бюджетных сериях.
Всё сложно и с умными часами. Так, Gear S2, Gear Sport, Galaxy Watch и Galaxy Watch Active2 поддерживают только оплату по NFC, а Gear S3 — и MST тоже.
Бонус: как троллить очередь бесконтактной оплатой
Идею подала пользовательница Twitter @MyHopeIsRock (мы не пытаемся задеть чувства верующих):
снилось что я приклеила скотчем кредитку под обложку библии пришла в магаз на кассе спрашивают как платить будете я отвечаю С БОЖЬЕЙ ПОМОЩЬЮ прикладываю библию к терминалу платеж проходит, а я эпично собираю покупки и валю
звучит как то что я обязана буду сделать во взрослой жизни— Алевтина Карловна ❄️ дожила до 2020 (@MyHopeIsRock) November 4, 2019
Действительно, карту можно вклеить или вложить куда угодно, от комсомольского билета до книг Сапковского о Ведьмаке. Весь вопрос в удобстве и безопасности использования.