В вашем кошельке, скорее всего, лежит несколько пластиковых карт, которыми мы часто пользуемся. Однако мы редко задумываемся о значении цифр, выбитых на лицевой стороне. Эти цифры — это своего рода «паспорт» вашей карты, который содержит важную информацию.
Каждая группа цифр в номере рассказывает о своей части истории. Первые цифры показывают банк-эмитент и платежную систему, последующие цифры показывают ваш уникальный идентификатор в системе банка, а последняя цифра представляет собой контрольную сумму, которая помогает проверить подлинность номера при оплате, чтобы предотвратить случайные ошибки или подделки.
Зная, как «читается» номер карты, вы сможете защитить себя от мошенников, которые иногда пытаются получить лишь небольшую часть информации. Еще более интересно знать, какой код он носит в кармане и какую информацию он хранит.
Из чего состоит номер карты
У каждого банка и платежной системы свой стандартный номер карты из 16 цифр.
Либо цифры выдавливают (эмбоссируют), либо красят их. Выдавливать цифры дороже, но надежнее, потому что они не стираются от частого использования.
Первые шесть цифр в номере представляют собой банковский идентификационный номер (БИН) эмитента, или банка, выдавшего карту. Вы можете расшифровать эти цифры, используя этот пример.
Платежная система определяется первой цифрой:
• 2 • Мир • 3 • American Express, JCB International • 4 • VISA • 5 • MasterCard • 3 • 5 • Maestro • 6 • China UnionPay • 7 • UEK
Банки используют определенные последовательности первых цифр для различных карт. Например, номера «Пенсионной карты МИР» и «МИР Сбербанка России» начинаются с 22, а дебетовые карты «Аэрофлот» (Visa Gold и Visa Classic) Сбербанка или Visa Classic начинаются с 4276.
Цифровые номера карты, расположенные с 7 по 15, включают тип карты, валюту, регион выпуска и другие данные.
Алгоритм Луна использовался для вычисления последней цифры, которая служит проверочным числом, чтобы избежать ошибок при вводе номеров.
Вы можете проверить номер на этом сайте. Тем не менее, будьте внимательны! Ошибки в одной цифре легко обнаруживаются алгоритмом, но он не видит перестановки цифр 0-9 и 9-0, поэтому он может пропустить и другие ошибки.
Выпускаются карты с более длинными номерами, а дополнительные цифры указывают на подпрограммы или субнаправления.
Таким образом, карты мгновенной выдачи Visa «Momentum» и Maestro часто имеют 18-значные номера. Дополнительно доступны варианты с 19 знаками.
Это не всегда хорошо. У номера карт American Express и виртуальных карт Visa и MasterCard Сбербанка всего пятнадцать цифр. Максимальное количество цифр — тринадцать.
Выпускают карты без нанесенного номера и других данных, что делает их более безопасными. Реквизиты доступны в мобильном приложении.
Как работает магнитная полоса
Первая карта с магнитной полосой в мире
Почти как в кассетном магнитофоне или проигрывателе для винила, магнитная полоса на карте состоит из частиц железосодержащего сплава, которые намагничиваются для записи информации. Специальная магнитная головка считывает данные.
Изначально пытались приклеить магнитную полосу к карте с помощью клейкой ленты. Но выровнять его было очень сложно, потому что полоса деформировалась и переставала быть читаемой.
После того, как целый день пытался наклеить полосу на карту, расстроенный инженер сообщил о своей проблеме своей жене. Жена предложила прогладить полосу на пластиковой карте утюгом и вплавить ее.
Магнитная полоса имеет стандартную ширину 9,52 мм и три дорожки шириной 2,79 мм.
На каждой дорожке можно хранить до 76 заглавных букв латинского алфавита, цифр и спецсимволов. На второй дорожке начинается с «;» и содержит до 37 символов, включая цифры, знак «=», «+» вместо пробела и символ «?» для завершения записи.
Третья дорожка начинается с «_» и заканчивается «?», а между ними — до 104 символов, включая цифры и «+» вместо пробела. Плотность записи на первой и третьей дорожках составляет 210 бит/дюйм, а на второй — 75 бит/дюйм. Буквы и спецсимволы занимают 7 бит, а цифры — 5 бит. Разработчики используют эту нестандартную кодировку для экономии памяти, потому что они знают, что значение
Они позволяют отправить запрос на оплату и получить либо подтверждение, либо отказ. Однако кассир не видит остаток на вашем счете или ваши личные данные.
Полосы в основном черного или коричневого цвета, но бывают и других оттенков. Черные – это карты HiCo (High Coercitive – высококоэрцитивные), которые работают с магнитными полями напряженностью 2750-4000 эрстед. Они более долговечные.
Коричневые – LoCo (Low Coercitive – низкокоэрцетивные). Рассчитаны на напряженность магнитного поля всего в 300 эрстед. 1 эрстед – около 80 А/м. Банковские карты обычно HiCo, дисконтные или топливные – LoCo.
Контакт с недостаточно сильным магнитом не повредит HiCo-карте, а LoCo может и не выжить. Вывод: не используйте металлические или магнитные застежки для хранения LoCo-карт.
Но со временем каждый карт с магнитной полосой изнашивается. Магнитный слой просто стирается от частого считывания.
Как устроены бесконтактные карты
Для оплаты можно использовать карты EMV, стандартные для Europay, MasterCard и VISA. Такие карты имеют пластик, который содержит электронные компоненты:
- чип для хранения и обработки данных – микрокомпьютер с загруженной в память Java-платформой JavaCard и апплетами-приложениями
- контактный чип для взаимодействия с терминалами
- конденсатор и катушка индуктивности – колебательный контур, который накапливает энергию для первичного импульса. Катушка работает и как антенна для приема и передачи сигнала
-
Карта передает данные терминалу на частоте 13,56 МГц в соответствии с протоколом ISO/IEC 14443. Работа с RFID-метками похожа на эту процедуру.
После совершения покупки кассир выдает предварительный чек и сообщает вам сумму для оплаты. Вы можете не касаться карты — достаточно расстояния от десяти до пятнадцати сантиметров.
Образуется переменный ток, когда колебательный контур попадает в переменное магнитное поле. Катушка индуктивности запасает энергию в своем магнитном поле, что заряжает конденсатор и обеспечивает питание основному чипу.
Карта и терминал аутентифицируют друг друга, проверяя подлинность криптограмм. Терминал должен убедиться, что карта подлинная, а карта — что все в порядке с терминалом. Сигнал от считывателя в терминале передается за счет модуляции сигнала, а чип карты распознает эти изменения.
Чтобы увеличить силу тока в контуре карты и передать данные с неё, на карту можно подключить нагрузочное сопротивление и изменить емкость конденсатора.
Основной чип карты запускает платежное приложение, создает ключ для оплаты и отправляет сигнал на терминал с зашифрованными данными карты, включая CVV-код, если карта и терминал узнают друг друга.
Кассовая программа получает информацию от терминала и связывается с банком. Если банк подтвердит, что данные достоверны, транзакция разрешается. Если остаток на счету превышает допустимое количество, банк требует PIN-код для подтверждения платежа.
Весь процесс транзакции начинается с банка-эквайера, который обслуживает терминал, через платежную систему и до банка-эмитента, который выдает карту. После этого деньги списываются с вашего счета и терминал выдает чек, подтверждающий успешную оплату.
Кроме того, можно установить приложение, которое позволяет платить по NFC со смартфона на смартфон, как это делают некоторые крупные банковские приложения.
Карты с чипом более надежны, чем карты с магнитной полосой, и их можно использовать практически во всех банкоматах и терминалах во всем мире.
Карта с чипом может иметь несколько апплетов, что позволяет вам использовать ее как банковскую карту или проездной билет.
Почему CVC/CVV никому нельзя сообщать
Многие мелкие платежи не требуют подтверждения PIN-кодом, паролем из SMS или другими способами. Вы будете идентифицировать себя как клиента банка по номеру карты, сроку ее действия и CVC/CVV-коду.
Интернет-магазины часто используют такие схемы упрощенной идентификации. Но с помощью вредоносного ПO можно получить любое подтверждение из SMS, push-сообщения или кода в приложении.
Результат: вы можете совершать подозрительные покупки с вашей картой, пока на ней вообще есть деньги. Но чаще всего мошенники просто переводят деньги с одной карты на другую, а затем обналичивают их в банкомате, зная реквизиты и CVC/CVV.
Как обезопасить карту от мошенников
Персонал, которому вы отдаете карту, может сфотографировать ее или запомнить номер, срок действия и CVC/CVV. После этого вы можете использовать вашу карту для оплаты в онлайн-магазине или в обычном магазине.
Даже если вы подадите заявление в банк о краже денег, вам не вернут деньги. Это связано с тем, что, если вы показали карту, вы раскрыли ее данные третьим лицам, поэтому вы сами виноваты.
Чтобы избежать этого, можно отрезать часть пластика с номером, например, последние четыре цифры. Это не повредит магнитную полосу или катушку индуктивности вокруг чипа.
Закрасить или стереть CVC/CVV — это легкий вариант.
Как работает 3D Secure
3D Secure (Three-Domain Secure) – это защищенный протокол, который добавляет ещё один уровень безопасности вашим платежам с карты. Он помогает убедиться, что операцию проводит владелец карты, а не мошенники.
3D Secure создавали для CNP-операций (card not present) – оплат в интернете. Вы можете проводить их без самой карты, достаточно её фото или реквизитов.
Прототип решения разработали в Visa для работы сервиса Verified by Visa (VbV). Позднее протокол приняли и другие платежные гиганты: Mastercard (Mastercard SecureCode, MCC), JCB International (J/Secure), Мир (Мир Accept) и др.
На веб-сайте для онлайн-оплаты вы должны ввести номер карты, срок ее действия, имя держателя карты и код проверки подлинности, например, CVC2. Вас перенаправят на веб-сайт банка, который выдал вам карту, если сайт и банк поддерживают 3D Secure.
Вы получите код подтверждения от банка через SMS, мессенджер или банковское приложение. Реже используются разовые коды с листочка или постоянные коды, которые вы установили.
После того, как вы введете проверочный код на странице, банк проверит его; если введенный код совпадет с отправленным, транзакция будет завершена.
Схема Three-Domain Secure состоит из трех доменов: веб-сайта или эквайера, который принимает платежи за него, платежной системы, которая выдает вашу карту, и банка, который выдала карту.
В интернет-магазине не хранятся данные для подтверждения платежа. Он может получить только ограниченное количество реквизитов. Согласитесь, что банк, выдавший вам карту или платежную систему, такую как Visa или MasterCard, заслуживает большего доверия.
Если на сайте есть логотипы Masterсard SecureCode и/или Verified by Visa, он поддерживает 3D-Secure. Подключена ли ваша карта к 3D-Secure, лучше уточнить в банке.
Важно: если ваш банк и карта не поддерживают 3D-Secure, то интернет-магазин будет отвечать за любую несанкционированную транзакцию с вашей карты. Напротив, вы несете ответственность, если сайт не использует вашу карту.
3D-Secure не требуется. Никто не может принудить ее к использованию. Но предпочтительнее делать покупки в магазинах с 3D-Secure, если это возможно.
Ваш номер банковской карты содержит закодированную информацию, а не простой набор цифр. Первые цифры указывают на банк-эмитент и платежную систему, например, Visa или Mastercard, следующие цифры указывают на ваш счет, а последние цифры проверяют правильность ввода. Зная это, вы сможете лучше понять структуру карты и почему важно не светить ее полностью.
Как смартфон заменяет карту
Для бесконтактной оплаты смартфоны с NFC-чипами могут использовать карты. Мобильные платежные системы, такие как Apple Pay, Samsung Pay и Android Pay, могут работать с картами определенных банков и платежных систем.
Карта оцифровывается во время ложения, и ее номер не сохраняется ни на смартфоне, ни на серверах приложения. Продавцы также не могут видеть номер карты.
Вместо номера карты создается токен, который только банк или платежная система могут сравнить с картой.
При оплате с помощью устройства NFC в терминале касса выдает предварительный чек. После поднесения смартфона к терминалу приложение устанавливает связь с терминалом, эмулируя карту.
Для эмуляции карты используется технология HCE (Host-based Card Emulation). NFC-контроллер обеспечивает передачу данных из платежного приложения в смартфоне на терминал и обратно.
Смартфон получает информацию от терминала и создает транзакцию, когда сеанс связи установлен. Затем вам нужно подтвердить транзакцию отпечатком пальца, сканированием лица или другим надежным методом.
В транзакции участвуют три стороны: банк-эмитент, выдающий карту, банк-эквайер, который обслуживает терминал, и платежная система, к которой относится карта. Это еще более безопасно, чем 3D Secure. Симитировать подтверждение транзакции гораздо сложнее, и требуется больше шагов проверки.
Смартфоны Samsung также могут имитировать карты с магнитной полосой в Samsung Pay. Для этого используется собственная технология MST (Magnetic Secure Transmission — магнитная безопасная передача).
Не нужно проводить смартфон по считывателю, потому что MST работает на расстоянии до 7–8 см. Это создает магнитное поле, похожее на сигнал от магнитной полосы банковской карты.
Таким образом, MST в Samsung Pay позволяет платить смартфоном даже в древних терминалах, рассчитанных только на карты с магнитной полосой. С iPhone так не получится.
Однако некоторые смартфоны Samsung, особенно бюджетные модели, не поддерживают Samsung Pay.
Всё сложно и с умными часами. Так, Gear S2, Gear Sport, Galaxy Watch и Galaxy Watch Active2 поддерживают только оплату по NFC, а Gear S3 – и MST тоже.
Каждая цифра на вашей банковской карте — это как встроенный паспорт для безопасных платежей.
Вы можете быть более осведомлены о том, как работает платёжная система, зная, как расшифровывается эта комбинация. Это помогает вам быть более внимательным при совершении транзакций и быстрее замечать подозрительные детали, такие как карты с нестандартным количеством цифр.
Вы превращаетесь из простого пользователя в более осознанного участника финансового мира, который знает, как устроены повседневные инструменты, и эти знания не делают номер карты менее секретным, но добавляют уверенности.
