Как же так? А вот так вот просто: в России, как и во всей Европе, проверка кода CVV2 является обязательной при проведении транзакции без физического присутствия клиента (онлайн-платеж — основная ситуация подобного рода). Терминал Zen Cart, установленный в GoingGear, умеет запрашивать CVV2, а вот терминал «Амазон» не умеет. Код безопасности просто некуда вводить в формуляре, который мы заполняем при покупке.
Не буду утомлять читателя одинаковыми примерами: код CVV2 не запрашивается в 99% американских онлайн-магазинов. Почему так? Потому что внутри Соединенных Штатов проверка CVV2 по-прежнему не является обязательной. Год назад платежи, сделанные картами, эмитированными за пределами США, прекрасно срабатывали, а после введения в Европе и России обязательной проверки CVV2 срабатывать перестали.
Что делать? Отправляюсь на поиски альтернативных форм платежа. На eBay замечательные цены на Olympus LS-10 (как и на тысячи тысяч других товаров), однако с оплатой тоже ничего не получается: PayPal’ом я не пользуюсь принципиально (после прочтения моих историй об этом монстре поймете, почему), а карточки на eBay принимаются только те, что эмитированы американскими банками.
Во всех остальных американских магазинах повторяется история eBay и «Амазона»: либо не принимаются неамериканские карты, либо оплата только чеком или только банковским переводом. Последние два варианта меня просто потрясли. Отказ от приема банковских карт вообще, а также PayPal для американского бизнеса выглядит чистейшим самоубийством: 100% транзакций онлайн выполняются именно через эти платежные каналы. Американцы, конечно, любят чеки, но только в «риал лайфе», а банковский перевод (wire) — нонсенс из арсенала российского бизнеса.
В одном из очередных магазинов натыкаюсь на ранее не известную опцию — новейший сервис от Google под названием Checkout. После того как предложение расплатиться за товар через Google Checkout попадается во второй и третий раз, проникаюсь верой и открываю аккаунт в системе поискового гиганта. При регистрации банковской карточки появляется запрос CVV2 — ну, слава богу! Регистрация проходит очень быстро и демократично — без всяких проверок банковского адреса и копий паспортов: имя, фамилия, адрес, электронная почта, телефон, банковская карта, эмитированная кем угодно, CVV2 — всё!
Тут же в интерфейсе Google Checkout приводится обширнейший список продавцов, поддерживающих новую революционную систему оплаты. Захожу на рекомендованные сайты и нахожу десятки предложений с моим вожделенным диктофоном. Размещаю заказ — транзакция проходит как по маслу! Google сообщает об успешном платеже и выдает при этом странное заявление: «Снятие денег с вашего счета и доставка будет производиться магазином, в котором вы приобрели товар».
Но какое отношение продавец имеет к процедуре снятия денег? Для чего тогда нужен сам Google Checkout? Ну да ладно: поживем — увидим. Жить пришлось недолго: через 30 минут пришло сообщение — банк отклонил платеж! Повторяю в другом магазине — то же самое, в третьем — дежавю!
Звоню в банк — причина стара, как мир: нет кода CVV2. Но ведь Google Checkout знает мой код — я его указывал при регистрации карты! Пишу письмо продавцу: «Почему не указываете код?» Ответ: «Мы даже номера вашей карточки не знаем! Все делает Google!» Ну разумеется: на то он и Checkout.
Запускаю расследование, которое длится пять дней. В конце концов выясняется, что Google Checkout запрашивает у клиентов код CVV2 только в момент регистрации карты в системе для того, чтобы удостовериться: карта не украдена. Затем CVV2 удаляется из системы и все платежные транзакции проводятся по американской старинке — без всяких кодов безопасности!
Самое грустное, что и Google Checkout винить не приходится: хранение CVV2 на сетевом сервере — форменное преступление против безопасности клиента! Представляете, если эту информацию получат хакеры? Не только номер карты, срок годности и имя на пластике, но и последнюю защиту — код проверки безопасности! Наступит полный финансовый апокалипсис.
Получается замкнутый круг? Еще какой! Особенно с учетом того, что американцы не только не ввели обязательную проверку CVV2, но и вряд ли введут ее в обозримом будущем. Почему? Потому что американские банки заинтересованы в упрощении онлайн-транзакций с картами, а не в их усложнении! Я понимаю, что это звучит парадоксально, но у парадокса есть целый ряд объяснений.
Причина № 1: местные (американские) торговые отношения основаны на традиции максимально упрощенных форм платежа. Чего стоит одна только оплата чеком, при которой поле для воровства по обширности не идет ни в какое сравнение со всеми электронными транзакциями вместе взятыми! Ну не будут американцы крутить карточки в поиске CVV2, а если и будут, то начнут ошибаться в каждом втором случае. Платежи будут блокироваться, покупатели — выходить из себя и жаловаться. Ладно бы только жаловаться — начнут гадить банкам по-черному, судиться.
Банкам это нужно? Да себе же дороже, тем более что существует еще и Причина № 2: все электронные транзакции застрахованы! Да хоть бы все хакеры на свете украли все имеющиеся в наличии номера кредиток и расплатились бы ими в онлайн-магазинах! Пусть крадут себе на здоровье — банки все равно за это не платят, потому что платят страховые компании.
Для последних тоже есть утешение. Оно же — Причина № 3: вычисление хакера, проживающего в США и оплатившего товар в интернет-магазине краденой банковской картой, занимает минуты три-четыре, никак не более. Еще столько же — отправка патрульной машины прямо к дому сорванца.
Посему гораздо проще и экономически целесообразнее запретить к приему карты, эмитированные иностранными банками (ищи потом жуликов по трущобам Мумбая или Мухосранска!), а не вводить проверку CVV2. А значит — в ближайшее время покупать в американских магазинах смогут лишь немногие счастливчики, обладающие американскими банковскими картами, да дотошные неутомимые романтики, готовые потратить выходные на поиск вменяемых продавцов вроде моего GoingGear!
Примечания
1 Card Code Verification 2 (CVV2) — дополнительная мера безопасности сделок с кредитными и дебетовыми банковскими картами, представляющая собой три (MasterCard, Visa, Diners Club, Discover и JCB) или четыре (American Express) цифры, напечатанные на обратной (у American Express — на лицевой) стороне пластика и не закодированные в магнитную ленту.
2 Больше всего подробностей на эту тему читатель найдет в моей книге «WebMoney — ваш электронный кошелек». Москва, изд-во «НТ Пресс», 2004 г.
Чистильщик