Секреты вашей банковской карты. Что означает её номер?
Наличка – это неудобно и опасно, поэтому уходит в прошлое.
Благо, терминалы для приема карт и оплаты смартфонами уже можно найти даже в киосках в глубокой провинции.
Рассказываем, что внутри у банковской карты, чем чип отличается от магнитной полосы и как происходит оплата смартфоном.

В тему: Visa или Mastercard. В чём разница Секреты вашей банковской карты. Что означает её номер?
Стандартный номер карты состоит из 16 цифр.
Он уникален для конкретного банка и определенной платежной системы.
Номера либо выдавливают (эмбоссируют), или наносят краской.
Первое дороже, но надежнее: выдавленные цифры не стираются от частого использования.
Первые 6 цифр в номере – банковский идентификационный номер (БИН) эмитента (банка, который выпустил карту).
Расшифровать цифры можно, к примеру, здесь.

Первая цифра определяет платежную систему:
► 2: Мир
► 3: American Express, JCB International
► 4: VISA
► 5: MasterCard – 5
► 3, 5 или 6: Maestro
► 6: China UnionPay
► 7: УЭК
Банки используют определенные комбинации первых цифр для разных карт.
Например, номера «Пенсионной карты МИР» и «МИР Сбербанка России» начинаются с 22, дебетовая карта «Аэрофлот» (Visa Gold и Visa Classic) Сбербанка или Visa Classic – с 4276.
Цифры с 7 по 15-ю – непосредственно номер карты.
В нем указан тип карты (дебетовая или кредитная), валюта, регион выпуска и др.
Последняя цифра является проверочным числом.
Она вычисляется по алгоритму Луна, чтобы избежать ошибок при вводе номера.

Проверить номер можно на этом сайте.
Но будьте внимательны!
Алгоритм хорошо ловит ошибки в одной цифре, но он не заметит перестановки цифр 0-9 и 9-0, может пропустить и другие ошибки.
Секреты вашей банковской карты. Что означает её номер?
Выпускаются карты и с более длинными номерами.
Дополнительные цифры используют, чтобы обозначить субнаправления или подпрограммы.
Так, у карт Maestro и карты мгновенной выдачи «Momentum» Visa Сбербанка часто 18-значные номера.
Есть и варианты с 19 знаками.

Бывает и наоборот.
У многих карт American Express, а также виртуальных карт Visa и MasterCard Сбербанка всего 15 цифр в номере.
Минимальное количество цифр – 13.
Выпускают карты и без нанесенного номера и других данных.
Так безопаснее.
Реквизиты можно узнать в мобильном приложении.

Как работает магнитная полоса

Секреты вашей банковской карты. Что означает её номер?
Первая в мире карта с магнитной полосой
Магнитная полоса на карте состоит из частиц железосодержащего сплава, которые намагничивают для записи информации.
Считывает данные специальная магнитная головка. Почти как в кассетном магнитофоне или проигрывателе для винила.
Изначально магнитную полосу пытались приклеить на карту клейкой лентой.
Но сделать это ровно было очень сложно = полоса деформировалась и переставала читаться.

Расстроенный инженер, который целый день пытался наклеить полосу на карту, рассказал о проблеме жене.
Та предложила прогладить полосу на пластиковой карте утюгом и вплавить её.
Получилось!
Стандартная ширина магнитной полосы – 9,52 мм.
В ней три дорожки шириной 2,79 мм.

Формат записи на дорожки разный.
Так, на первой хранится до 76 заглавных букв латинского алфавита, цифр, спецсимволов.
Запись на второй дорожке начинается с «;», дальше – до 37 символов: цифры, знак «=», «+» вместо пробела, «?» – символ завершения записи.
Строка на третьей дорожке начинается с «_», заканчивается «?».
Между ними – до 104 символов: цифр и «+» вместо пробела.
Плотность записи на первой и третьей дорожках – 210 бит/дюйм, на второй – 75 бит/дюйм.
Буквы и спецсимволы занимают 7 бит, цифры – 5 бит.
Секреты вашей банковской карты. Что означает её номер?
Данные на полосе определяют карту в банковской системе.
Они позволяют отправить запрос на оплату и получить либо подтверждение, либо отказ.
Но кассир не видит остаток на вашем счету или ваши личные данные.

Полосы в основном черного или коричневого цвета, но бывают и других оттенков.
Черные – это карты HiCo (High Coercitive – высококоэрцитивные), которые работают с магнитными полями напряженностью 2750-4000 эрстед.
Они более долговечные.

Коричневые – LoCo (Low Coercitive – низкокоэрцетивные).
Рассчитаны на напряженность магнитного поля всего в 300 эрстед.
1 эрстед – около 80 А/м.
Банковские карты обычно HiCo, дисконтные или топливные – LoCo.
HiCo-карта не повредится от контакта с не слишком сильным магнитом, LoCo такой встречи может и не пережить.
Вывод: носите LoCo-карты в кошельках без металла и магнитных застежек.
Но все карты с магнитной полосой со временем выходят из строя.
Магнитный слой просто стирается от частого считывания.

Как устроены бесконтактные карты

Секреты вашей банковской карты. Что означает её номер?
Карты EMV (стандарт был разработан Europay, MasterCard и VISA) можно приложить к терминалу для оплаты.
В пластик таких карт встроены электронные компоненты:

  • чип для хранения и обработки данных – микрокомпьютер с загруженной в память Java-платформой JavaCard и апплетами-приложениями
  • контактный чип для взаимодействия с терминалами
  • конденсатор и катушка индуктивности – колебательный контур, который накапливает энергию для первичного импульса.
    Катушка работает и как антенна для приема и передачи сигнала

Карта обменивается данными с терминалом по протоколу ISO/IEC 14443 на частоте 13,56 МГц.
Процесс похож на работу с RFID-метками.

Когда вы совершаете покупку, кассир создает предварительный чек и сообщает вам сумму для оплаты.
Вы прикладываете карту к терминалу.
Можно не касаться – достаточно расстояния до 10-15 см.
Колебательный контур попадает в переменное магнитное поле, образуется переменный ток.
Катушка индуктивности распрямляется, конденсатор заряжается, основной чип получает питание.
Секреты вашей банковской карты. Что означает её номер?
Карта и терминал аутентифицируют друг друга, проверяя подлинность криптограмм.
Терминал должен убедиться, что карта подлинная, а карта – что всё в порядке с терминалом.
Сигнал от считывателя в терминале передается за счет модуляции сигнала.
Чип карты распознает такие изменения.

На карте можно подключить нагрузочное сопротивление и или изменить емкость конденсатора, чтобы повысить силу тока в контуре карты и, соответственно, передать данные с неё.

Если карта и терминал узнали друг друга, основной чип карты запускает платежное приложение.
Оно генерирует ключ для оплаты, и на терминал отправляется сигнал с зашифрованными данными карты, в том числе CVV-код.

Кассовая программа получает информацию от терминала и связывается с банком.
Если банк подтверждает подлинность данных и видит достаточный остаток на вашем счету, он разрешает транзакцию.
Если она больше допустимого значения, запрашивается подтверждение платежа (PIN-код).
Транзакция проходит через банк-эквайер (который обслуживает терминал) в платежную систему и до банка-эмитента (который выпустил карту).
Деньги списываются с вашего счета.
Терминал выдает чек об успешной оплате.

Также можно установить приложение, которое позволит платить по NFC со смартфона на смартфон.
Такая функция есть и в некоторых приложениях крупных банков.

Карты с чипом гораздо сложнее подделать, чем карты с магнитной полосой.
Они долговечнее и принимаются практически во всех за границей.
На одной карте с чипом может работать несколько апплетов.
В результате вы, к примеру, можете использовать её непосредственно как банковскую карту и как проездной билет.

Почему CVC/CVV никому нельзя сообщать

Множество платежей (как правило, мелких) не нужно подтверждать PIN-кодом, паролем из SMS или другими способами.
Вас как клиента банка идентифицируют по номеру карты, сроку её действия и CVC/CVV-коду.

Такие схемы упрощенной идентификации обычно используют интернет-магазины.
Но даже если нужно подтверждение из SMS, push-сообщения или кода в приложении, всё это можно перехватить с помощью вредоносного ПО.
Результат – подозрительные покупки с вашей карты совершаются, пока на неё вообще есть деньги.
Но чаще мошенники, зная реквизиты и CVC/CVV, просто переводят деньги с одной карты на другую, а затем обналичивают их в банкомате.

Как обезопасить карту от мошенников

Секреты вашей банковской карты. Что означает её номер?
Технически официант или кассир, которому вы передаете карту, может сфотографировать её или запомнить номер, срок действия и CVC/CVV.
А затем расплатиться вашей картой в интернет-магазине или в своем же заведении.

Даже если вы напишете заявление о краже денег в банк, средства вам не вернут.
По закону, если вы показали карту, то раскрыли её данные третьим лицам.
А значит, сами виноваты.

Чтобы этого не произошло, достаточно отрезать часть пластика с номером – например, последние четыре цифры.
Карта по-прежнему будет работать.
Магнитную полосу вы не повредите, катушку индуктивности вокруг чипа не заденете.

Лайт-вариант – закрасить или стереть CVC/CVV.

Как работает 3D Secure

Секреты вашей банковской карты. Что означает её номер?
3D Secure (Three-Domain Secure) – это защищенный протокол, который добавляет ещё один уровень безопасности вашим платежам с карты.
Он помогает убедиться, что операцию проводит владелец карты, а не мошенники.
3D Secure создавали для CNP-операций (card not present) – оплат в интернете.
Вы можете проводить их без самой карты, достаточно её фото или реквизитов.
Прототип решения разработали в Visa для работы сервиса Verified by Visa (VbV).
Позднее протокол приняли и другие платежные гиганты: Mastercard (Mastercard SecureCode, MCC), JCB International (J/Secure), Мир (Мир Accept) и др.

Для оплаты в интернете вы вводите на сайте номер карты, срок её действия, имя держателя карты и код проверки ее подлинности (например, CVC2).
Если сайт и банк поддерживают 3D Secure, вас перенаправят на сайт банка, который выпустил вашу карту.
Банк пришлет код подтверждения вам в SMS, в мессенджере или в банковском приложении.
Реже используются разовые коды с листочка или постоянный код, который вы установили.
После того, как вы введете проверочный код на странице, банк проверит его.
Если введенный код совпадет с отправленным, транзакция будет выполнена.

Как видите, в схеме Three-Domain Secure три домена: сайта или эквайера, который принимает за него оплату, платежной системы, в которой выпущена ваша карта, и банка, который её выпустил.

Данные для подтверждения платежа не сохраняются в интернет-магазине.
Он может получить только часть реквизитов.
Согласитесь, к банку, который выпустил вашу карту, или платежной системе вроде Visa или MasterCard, доверия больше.
Секреты вашей банковской карты. Что означает её номер?
Если на сайте есть логотипы Masterсard SecureCode и/или Verified by Visa, он поддерживает 3D-Secure.
Подключена ли ваша карта к 3D-Secure, лучше уточнить в банке.

Важно: если ваш банк и ваша карта поддерживают 3D-Secure, а интернет-магазин нет, то если с вашей карты совершат несанкционированную транзакцию, отвечать будет интернет-магазин.
Если сайт, наоборот, поддерживает технологию, а ваша карта нет, то ответственность будете нести вы.
Минус в том, что 3D-Secure – необязательная технология.
Никто не может заставить её использовать.
Но если есть выбор, лучше заказывать в магазинах с 3D-Secure.

Как смартфон заменяет карту

Секреты вашей банковской карты. Что означает её номер?
Смартфоны с NFC-чипами могут заменить карты для бесконтактной оплаты.
Apple Pay, Samsung Pay, Android Pay и другие «пеи» работают с картами определенных платежных систем и конкретных банков.

В приложении карта оцифровывается, и её номер нигде не сохраняется – ни на смартфоне, ни на серверах приложения.
Продавцы тоже не видят номер карты.

Вместо номера генерируется токен.
Только банк или платежная система могут сопоставить этот токен с номером карты.

При оплате NFC-устройством в терминале касса так же, как и при обычной оплате, генерирует предварительный чек.
Вы запускаете приложение и подносите смартфон к терминалу.
Он устанавливает связь с терминалом, эмулируя карту.

Для эмуляции карты используется технология HCE (Host-based Card Emulation).
NFC-контроллер обеспечивает передачу данных из платежного приложения в смартфоне на терминал и обратно.
Когда сеанс связи установлен, смартфон получает данные от терминала и формирует транзакцию.
Затем вам нужно подтвердить транзакцию отпечатком пальца, сканированием лица или другим надежным способом.

В транзакции участвуют банк-эквайер, который обслуживает терминал, банк-эмитент, который выпустил карту, и платежная система, к которой относится карта.
Получается как в 3D Secure, только ещё безопаснее.
Сымитировать подтверждение транзакции гораздо сложнее, да и шагов проверки больше.
Секреты вашей банковской карты. Что означает её номер?
Смартфоны Samsung также могут имитировать карты с магнитной полосой в Samsung Pay.
Для этого используется собственная технология MST (Magnetic Secure Transmission — магнитная безопасная передача).
В этом случае создается магнитное поле, похожее на сигнал от магнитной полосы банковской карты.
Проводить смартфоном по считывателю не придется: MST работает на расстоянии до 7-8 см.

Таким образом, MST в Samsung Pay позволяет платить смартфоном даже в древних терминалах, рассчитанных только на карты с магнитной полосой.
С iPhone так не получится.
С другой стороны, не все смартфоны Samsung поддерживают Samsung Pay, особенно в бюджетных сериях.

Всё сложно и с умными часами.
Так, Gear S2, Gear Sport, Galaxy Watch и Galaxy Watch Active2 поддерживают только оплату по NFC, а Gear S3 – и MST тоже.

Бонус: как троллить очередь бесконтактной оплатой

Идею подала пользовательница Twitter @MyHopeIsRock (мы не пытаемся задеть чувства верующих):

Действительно, карту можно вклеить или вложить куда угодно, от комсомольского билета до книг Сапковского о Ведьмаке.
Весь вопрос в удобстве и безопасности использования.

iphones.ru/