CSC – kas tai? Apie technologiją, jos funkcijas ir savybes

2024 Autorius: Howard Calhoun | [email protected]. Paskutinį kartą keistas: 2023-12-17 10:34

Mokėjimas už prekes ar paslaugas internetu gali sukelti sunkumų nepatyrusiems vartotojams. Pavyzdžiui, norint užbaigti pirkimą, svetainėje atsiskaitant negrynaisiais pinigais dažniausiai raginama įvesti mokėjimo kortelės duomenis: kortelės numerį, galiojimo datą, turėtojo vardą ir pavardę bei CVV/CVC kodą. Jei pirmieji punktai yra daugiau ar mažiau aiškūs, paskutinis reikalavimas gali suklaidinti daugelį ir užtrukti daug laiko, kol jį išsiaiškinsime. Šis straipsnis padės suprasti ir atsakyti į tokius klausimus kaip CSC – kas tai yra kodas, kur jį rasti ir kam jis skirtas.

Apie technologiją

CSC (Card Security Code – „kortelės apsaugos kodas“) – apsauginis mechanizmas, skirtas apsisaugoti nuo sukčiavimo banko kortelėmis. Taip pat yra ir kitų susijusių šio termino pavadinimų: CVD, CVV, CVC, SPC ir V kodas. CSC skirtas naudoti tais atvejais, kai kortelės negalima pateikti fiziškai – atsiskaitymui internetu. Technologija turi savo išvaizdąšviesą „Equifax“darbuotojui britui Michaelui Stone'ui. Iš pradžių kodas buvo 11 raidžių ir skaičių derinys. Vėliau privačios agentūros ir bankai suprato, kad CSC yra naujos informacijos saugumo eros pranašas. Kodas buvo baigtas ir gavo savo modernią formą, susidedančią iš 3 skaitmenų. Po XX amžiaus pabaigos klestinčios el. prekybos, pirmaujančios mokėjimo sistemos, tokios kaip MasterCard, Visa ir American Express, greitai pasinaudojo šia technologija.

Yra kelių tipų slaptasis kodas:

• CVC1 arba CVV1 – šifruotas simbolių derinys, kurio fizinė vieta yra magnetinė juostelė kortelės gale. Naudojamas atsiskaitant kortele neprisijungus. Kodą mokėjimo įrenginys atpažįsta pirkimo proceso metu ir siunčia jį patikrinti į jį išdavusio banko autentifikavimo serverį. Tokia apsauga apeinama padarius mokėjimo kortelės dublikatą ir nukopijavus magnetinę juostelę.
• CVV2 arba CVC2. Sukurta apsaugoti pirkėją atliekant sandorius internetu. Tai pažangiausias patvirtinimo būdas. Kai kuriose Europos šalyse mokėjimo sistemos reikalauja, kad prekybininkai ir įmonės patvirtintų šį kodą, kai atlieka operacijas internetu.
• iCVV arba dinaminis CVV. Naudojamas bekontakčiui mokėjimui.

CSC – kas tai? Mastercard ir Visa

Kalbant apie naudojimą ir vietą, kortelės apsaugos kodas yra visiškai vienodas abiejose mokėjimo sistemose, išskyrus pavadinimą. CSC Visa kortelevadinamas CVV2, Mastercard kortelėms - CVC2. Skaitmeninis kodo derinys yra kitoje kortelės pusėje, turėtojo parašo juostelės zonoje arba šalia jos. Dėl šios vietos užpuolikams sunku šnipinėti numerius, kad pavogtų pinigus viešose vietose arba iš vaizdo įrašo. CSC kodo ir kortelės numerio pritaikymo būdai skiriasi: saugumo deriniui naudojamas identifikacinis antspaudas arba įspaudas. Šio saugos elemento fiziškai kortelėje gali nebūti, tačiau jį galima sugeneruoti išduodant. Ši parinktis būdinga pradinės klasės virtualioms kortelėms arba plastikinėms kortelėms: Visa Electron, Mastercard Maestro ir kt.

Apsaugos kodas kitose mokėjimo sistemose

Yra ir kitų CVC variantų:

• CID (kortelės identifikavimo numeris – „kortelės identifikavimo numeris“) – „American Express“mokėjimo priemonėse. Jis turi esminį skiriamąjį bruožą: 4 skaitmenų apsaugos kodas yra virš kortelės numerio, dešinėje priekinės pusės pusėje.
• CVD (kortelės patvirtinimo duomenys – „kortelės patvirtinimo duomenys“) – „American Discover“kredito kortelių saugos elementas.
• CVE („Elo“patvirtinimo kodas). Saugos skaičių derinys Brazilijos debeto ir kredito kortelėse.
• CVN2 (kortelės patvirtinimo numeris – „kortelės patvirtinimo numeris“) – Kinijos mokėjimo sistemos Union Pay kortelių apsaugos kodas.

Ar šis mechanizmas patikimas?

Išduodantys bankai draudžia prekiauti ir teikti paslaugasįmonėms saugoti duomenų bazėje operacijos metu gautus CSC slaptažodžius. Tai padidina mokėjimo kortelių turėtojų saugumą: įsilaužimo ir duomenų vagystės atveju iš įmonės serverių, sukompromituoti kliento kortelės duomenys be apsaugos kodo yra praktiškai nenaudingi. Nepaisant to, tai, kad CSC toli gražu nėra pats saugiausias mechanizmas, yra šie įrodymai:

• Negalima naudoti sukčiavimo nuorodų. Apsaugos kodas negali apsisaugoti nuo duomenų vagystės, kai vartotojas apgaule patenka į sukčių sukurtą netikrą mokėjimo puslapį. Paprastai tokio resurso sąsaja yra niekuo neišsiskirianti arba kuo artimesnė įprasto puslapio turiniui, o tai suklaidina pirkėją ir ragina įvesti mokėjimo kortelės duomenis, įskaitant CSC. Taigi, užpuolikai turi visišką prieigą prie kortelės informacijos, leidžiančią atlikti neteisėtas operacijas.
• Pasirenkama įvestis. Kai kurios internetinės prekyvietės nereikalauja, kad pirkėjai pateiktų CSC. Tai atsitinka užpuolikams, kurie žino tik pažeistus duomenis iš kortelės priekinės pusės: numerį ir galiojimo datą.
• Įsilaužimas. Pasitaiko atvejų, kai sukčiai atspėjo trumpą trijų skaitmenų CSC per įsilaužėlių gudrybes ir organizuotas DDoS atakas.

Kokios dar yra kortelių apsaugos technologijos?

Kaip matyti iš ankstesnės pastraipos, CVC mechanizmas turi trūkumų, keliančių grėsmę kortelių turėtojų saugumui. Mokėjimo sistemos atsižvelgė į tai, kad CSC yra technologija, kuri turirimtų trūkumų, ir įdiegė papildomos mokėjimo kortelių apsaugos sistemą, vadinamą 3D-Secure. Šis mechanizmas papildo internetinių operacijų procesą – vartotojo autentifikavimą išduodančio banko serveryje. Tai gali apimti nuolatinio kodo įvedimą, dinamiškai generuojamą skaičių kombinaciją iš SMS žinutės arba slaptažodžio iš klavišų sąrašo naudojimą.