Как выглядит номер транзакции

В силу того что сегодня банковский сервис практически повсеместен и обеспечивает комфортное использование многих благ цивилизации, важно разбираться в его терминах. В данной статье разберём вопрос: номер транзакции – что это?

Что такое транзакция?

Прежде чем разбираться с определением номера транзакции, нужно понять, что представляет собой сама транзакция. Данный термин употребляется отнюдь не только в сфере банковской деятельности, но и, например, в информатике. Разумеется, в этой области знания речь ведётся не о действиях с денежными средствами, а об объединении группы логических операций.

Определение

Если же говорить о том, с чем сталкиваются клиенты банков на регулярной основе, то тут транзакции – абсолютно обыденное явление. Другое дело, что не все задумываются над тем, что они постоянно проделывают со своими деньгами, и как это называется.

Для более полного понимания сути явления необходимо рассмотреть сам процесс.

Как выглядит на практике?

В магазинах есть, как правило, так называемый POS-терминал – считывающее устройство, которое принадлежит банку-эквайеру. Он принимает заявку на реализацию перевода и переадресует её на первом этапе платёжной системе, а затем эмитенту используемой карты. При этом прекратить действие могут и платёжная система, и банковское учреждение.

Примечание 1. Эквайринг – приём к проведению оплаты банковских карт как средства осуществления платежей за товары, услуги и какие-либо работы. Занимается эквайрингом банк-эквайер – через установку и предоставление в пользование POS- и mPOS-терминалов, а также импринтеров.

Примечание 2. Банк-эмитент – организация, выпустившая и обслуживающая платёжную карту.

Если пластик, с которого его хозяин намеревается списать деньги, находится в стоп-листе, операция будет отклонена. При одобрении информация уходит к эмитенту платёжного инструмента, который или завершит транзакцию, или продолжит. Разумеется, при недостатке средств подразумеваемый клиентом результат также не возможен.

Итого. Транзакция успешно проходит, если платёжная система и банк-эмитент её одобрили. Когда операция завершена, она получает от кредитно-финансовой организации номер.

Виды и типы

Основное разделение на типы связано с технологией процесса. Итак, транзакции есть:

1. Онлайн. Они проводятся в реальном времени и обязательно сопровождаются подтверждением платёжной операции.
2. Оффлайн. Такие выполняются отложенным образом (рассмотрим ниже).

Есть ещё классификация по типу действия – это снятие денег, оплата и т.п.

Участники

Из тех сведений, что мы уже подали, можно выявить следующих участников любой транзакции:

1. Банк-эквайер – принимающий платёж. Например, это та организация, что занимается обслуживанием магазинного POS-терминала, к которому покупатель прикладывает свою карточку.
2. Банк-эмитент – выпустивший карту для своего клиента. Все платёжные инструменты принадлежат тем или иным кредитно-финансовым учреждениям.
3. Платёжная система пластика. Она играет посредническую роль между двумя указанными выше участвующими сторонами.Это могут быть Visa, MasterCard или их российский аналог – МИР.

Конечно, условно можно также упомянуть самого картодержателя. Но он не является участником технического процесса, а лишь запускает его, когда обращается к сервисам продажи товаров и услуг, а также работ.

Порядок проведения

В более структурированнов виде алгоритм, по которому осуществляется транзакция, выглядит так:

1. Клиент передаёт карту кассиру в магазине, вставляет её в приёмное устройство банкомата, прикладывает к POS-терминалу (или даже авторизуется в онлайн-банкинге).
2. Устройство/система считывает доступные карточные данные. Если речь о взаимодействии с аппаратом, считывание происходит благодаря магнитной ленте или чипу банковского пластика.
3. Информация зашифровывается и отправляется в банк-эквайер.
4. Далее сведения уходят в центр обработки данных Visa или MasterCard, или другой платёжной системы. Они и отвечают за списание и перечисление денежных средств, а также за проверку карты на предмет мошеннических действий и отмену операции (при необходимости).
5. Из ЦОД информация направляется учреждению-эмитенту. Он проводит последние проверочные мероприятия – по части баланса, корректного введения PIN-кода, суточных лимитов и т.д. Затем производит списание денег.
6. Когда средства списаны, данные распространяются в обратном порядке – от эмитента в центр обработки, далее в банк-эквайер. Последняя инстанция передаёт клиенту информацию об успешном завершении операции на чеке.

Примечание 3. На конечном этапе транзакции (пункт №5 списка) может добавиться валютная конвертация, если перевод трансграничный. Часто при этом пользователи сталкиваются с проблемами недополучения всех денег и больших комиссионных сборов. Изначально клиент выплачивает полную сумму, а до пункта назначения она доходит не полностью. Обращать особенное внимание на это нужно при эксплуатации сервисов крупных международных торговых площадок. К примеру, в случае с AliExpress подобное заметно на этапе предварительного списания денег во время покупки и последующего изменения точного баланса, который после проверочных мероприятий сходится.

Теперь Вы знаете все перипетии одной платёжной операции. Это и есть транзакция.

Есть нюанс. Бывает, что банковские деньги ушли на счёт магазина, но на карте они были заблокированы – до того момента, когда эмитент получит документы от эквайера. В этом случае задержка может составить месяц.

Оффлайн-операция

Теперь опишем суть оффлайновой версии транзакции.

Тут осуществляется непосредственная проверка карточного баланса. Денежные средства блокируются сразу же. Обмен сведениями с банковским учреждением отсутствует, однако сама транзакция фиксируется считывающим аппаратом.

По прошествии дня или в иные установленные сроки данные с устройства отправляются в процессинг-центр банка, где завершается их обработка.

Суть в том, что изначально все действия происходят без коммуникации. Применяется такой способ, если нет возможности использовать прямую связь.

Что такое номер транзакции и где его посмотреть?

Итак, теперь, когда мы разобрались с явлением транзакции, достаточно подробно его рассмотрев в теории и на практических примерах, можно ответить на главный вопрос статьи, касающийся номера операции.

Ранее мы уже писали о том, что номер присваивается банком, и происходит это по завершении самой процедуры.

Примечание 4. В Сбербанке Онлайн в чеке можно увидеть надпись “идентификатор операции” – это одно из названий нужного нам явления. Также встречаются термины “идентификатор платежа” и “уникальный номер платежа”.

Как проверить идентификатор банковской операции? Где можно посмотреть данные? Варианты:

• в квитанции – выдаётся на кассе в магазине после оплаты товаров и/или услуг;
• в чеке – выдаётся банкоматом после завершения всех нужных картодержателю действий;
• через личный кабинет онлайн-банкинга – также по завершении операции (на экран выводится электронная версия квитанции).

Номерное значение присваивается как эмитентом, так и эквайером. Таким образом обеспечивается двусторонность процесса и исключаются какие-либо ошибки

Как проверяют статус операции по номеру?

Процесс проверки транзакции проводится на основании присвоенного ей номера.

Когда это актуально? Если клиент оплатил товар/услугу, но деньги не дошли до получателя. Тогда нужно прийти в отделение банка-эмитента эксплуатируемой карты и обратиться к сотруднику организации. Порядок действий прост:

• посетитель называет номер транзакции;
• специалист использует данные и определяет, по какой причине денежные средства не достигли конечного пункта.

Как видим, от самого клиента требуется совершить минимум действий. Времени это не занимает много. Единственное неудобство – то, что приходится идти/ехать в офис. Однако всё то же самое можно проделать, позвонив в клиентскую техподдержку.

Причины отклонения операции

В первой половине статьи упоминались обстоятельства отклонения операции. Может быть наложен запрет на исполнение платёжных действий. Делает это или банковская организация, являющаяся эмитентом использованной при оплате карты, или платёжная система.

Какие есть причины для запрета на проведение платежа? Рассмотрим наиболее распространённые.

Недостаток денег

Отсутствие достаточной денежной суммы на счёте покупателя – довольно очевидная ситуация. Клиент может:

• неправильно рассчитать стоимость приобретаемых товара/услуги и неверно соотнести цену с остатком по карте;
• не уследить за своими тратами и предполагать наличие большей суммы в своём распоряжении, чем та, что есть на самом деле;
• не учесть размер комиссионного сбора.

Конечно, этот вопрос – сугубо в поле ответственности обывателя. Нужно своевременно мониторить баланс и контролировать передвижение своих финансов.

Попадание карты в стоп-лист

Это может произойти по инициативе платёжной системы. Основаниями для такой санкции обычно служат подозрение в нелегальной деятельности картодержателя, а также предполагаемое мошенничество, жертвой которого стал хозяин пластика.

Неправильный PIN-код

Некорректное введение PIN-кода – тоже типичная ситуация, которая ещё и может усугубиться повторным ошибочным действием. Как правило, после трёх подряд неудачных попыток уже не просто транзакция отменяется, а блокируется сама карточка.

Истекший срок работы карты

Завершившийся период действия платёжного инструмента встречается не реже, чем другие обстоятельства, в контексте проблем с проведением оплаты.

Часто обыватель забывает о дате завершения работоспособности своего пластика. Обычно карта активна на протяжении трёх лет, и прозевать момент заблаговременной замены продукта очень просто.

Напоминаем, что посмотреть месяц и год рабочего периода можно на лицевой стороне пластика.

Лимиты

Здесь речь идёт об ограничениях для международных операций. Не все банковские продукты могут быть использованы и на территории родного государства, и за рубежом. Многие карты предназначены только для внутреннего применения.

Ошибки в реквизитах

Люди регулярно допускают неточности при указании разных реквизитных данных – будь то счёт или карта получателя, свои данные и т.д.

Техническая проблема

Сбой не является такой уж редкостью в сфере банковских операций. Обычно он связан с нарушением связи или с ошибкой в работе системы.

Итог

Шесть причины из семи так или иначе связаны с ответственностью хозяина карточки. Невнимательность, забывчивость, неправомерные действия или пренебрежение правилами безопасной эксплуатации платёжного инструмента в большинстве случаев и приводят к блокированию транзакции.

Теперь Вы знаете, как используется уникальный платёжный идентификатор, кто и что имеет отношение к процессу, и через какие этапы проходит транзакция.

Заключение

Идентификатор платежа относится к разряду важных, хотя и не слишком часто нужных данных. Он нужен в ситуации, когда получателю вовремя не пришли отправленные ранее денежные средства.

Чтобы не столкнуться неожиданно с непонятным термином, хорошо время от времени пополнять свой словарный запас по теме банкинга – это не критичное знание, но оно может помочь разобраться с рядом затруднений.

A transaction authentication number (TAN) is used by some online banking services as a form of single use one-time passwords (OTPs) to authorize financial transactions. TANs are a second layer of security above and beyond the traditional single-password authentication.

TANs provide additional security because they act as a form of two-factor authentication (2FA). If the physical document or token containing the TANs is stolen, it will be useless without the password. Conversely, if the login data are obtained, no transactions can be performed without a valid TAN.

Classic TAN[edit]

TANs often function as follows:

1. The bank creates a set of unique TANs for the user. Typically, there are 50 TANs printed on a list, enough to last half a year for a normal user; each TAN being six or eight characters long.
2. The user picks up the list from the nearest bank branch (presenting a passport, an ID card or similar document) or is sent the TAN list through mail.
3. The password (PIN) is mailed separately.
4. To log on to their account, the user must enter user name (often the account number) and password (PIN). This may give access to account information but the ability to process transactions is disabled.
5. To perform a transaction, the user enters the request and authorizes the transaction by entering an unused TAN. The bank verifies the TAN submitted against the list of TANs they issued to the user. If it is a match, the transaction is processed. If it is not a match, the transaction is rejected.
6. The TAN has now been used and will not be recognized for any further transactions.
7. If the TAN list is compromised, the user may cancel it by notifying the bank.

However, as any TAN can be used for any transaction, TANs are still prone to phishing attacks where the victim is tricked into providing both password/PIN and one or several TANs. Further, they provide no protection against man-in-the-middle attacks (where an attacker intercepts the transmission of the TAN, and uses it for a forged transaction).
Especially when the client system becomes compromised by some form of malware that enables a malicious user, the possibility of an unauthorized transaction is high. Although the remaining TANs are uncompromised and can be used safely, users are generally advised to take an appropriate action, as soon as possible.

Indexed TAN (iTAN)[edit]

Indexed TANs reduce the risk of phishing. To authorize a transaction, the user is not asked to use an arbitrary TAN from the list but to enter a specific TAN as identified by a sequence number (index). As the index is randomly chosen by the bank, an arbitrary TAN acquired by an attacker is usually worthless.

However, iTANs are still susceptible to man-in-the-middle attacks, including phishing attacks where the attacker tricks the user into logging into a forged copy of the bank’s website and man-in-the-browser attacks^[1] which allow the attacker to secretly swap the transaction details in the background of the PC as well as to conceal the actual transactions carried out by the attacker in the online account overview.^[2]

Therefore, in 2012 the European Union Agency for Network and Information Security advised all banks to consider the PC systems of their users being infected by malware by default and use security processes where the user can cross-check the transaction data against manipulations like for example (provided the security of the mobile phone holds up) mTAN or smartcard readers with their own screen including the transaction data into the TAN generation process while displaying it beforehand to the user (chipTAN).^[3]

Indexed TAN with CAPTCHA (iTANplus)[edit]

Prior to entering the iTAN, the user is presented a CAPTCHA, which in the background also shows the transaction data and data deemed unknown to a potential attacker, such as the user’s birthdate. This is intended to make it hard (but not impossible) for an attacker to forge the CAPTCHA.

This variant of the iTAN is method used by some German banks adds a CAPTCHA to reduce the risk of man-in-the-middle attacks.^[4] Some Chinese banks have also deployed a TAN method similar to iTANplus. A recent study shows that these CAPTCHA-based TAN schemes are not secure against more advanced automated attacks.^[5]

Mobile TAN (mTAN)[edit]

mTANs are used by banks in Austria, Bulgaria, Czech Republic, Germany, Hungary, the Netherlands, Poland, Russia, Singapore, South Africa, Spain, Switzerland and some in New Zealand, Australia and Ukraine. When the user initiates a transaction, a TAN is generated by the bank and sent to the user’s mobile phone by SMS. The SMS may also include transaction data, allowing the user to verify that the transaction has not been modified in transmission to the bank.

However, the security of this scheme depends on the security of the mobile phone system. In South Africa, where SMS-delivered TAN codes are common, a new attack has appeared: SIM Swap Fraud. A common attack vector is for the attacker to impersonate the victim, and obtain a replacement SIM card for the victim’s phone from the mobile network operator. The victim’s user name and password are obtained by other means (such as keylogging or phishing). In-between obtaining the cloned/replacement SIM and the victim noticing their phone no longer works, the attacker can transfer/extract the victim’s funds from their accounts.^[6] In 2016 a study was conducted on SIM Swap Fraud by a social engineer, revealing weaknesses in issuing porting numbers.

In 2014, a weakness in the Signalling System No. 7 used for SMS transmission was published, which allows interception of messages. It was demonstrated by Tobias Engel during the 31st Chaos Communication Congress.^[7] At the beginning of 2017, this weakness was used successfully in Germany to intercept SMS and fraudulently redirect fund transfers.^[8]

Also the rise of smartphones led to malware attacks trying to simultaneously infect the PC and the mobile phone as well to break the mTAN scheme.^[9]

pushTAN[edit]

pushTAN is an app-based TAN scheme by German Sparkassen banking group reducing some of the shortcomings of the mTAN scheme. It eliminates the cost of SMS messages and is not susceptible to SIM card fraud, since the messages are sent via a special text-messaging application to the user’s smartphone using an encrypted Internet connection. Just like mTAN, the scheme allows the user to cross-check the transaction details against hidden manipulations carried out by Trojans on the user’s PC by including the actual transaction details the bank received in the pushTAN message. Although analogous to using mTAN with a smartphone, there is the risk of a parallel malware infection of PC and smartphone. To reduce this risk the pushTAN app ceases to function if the mobile device is rooted or jailbroken.^[10] In late 2014 the Deutsche Kreditbank (DKB) also adopted the pushTAN scheme.^[11]

TAN generators[edit]

Simple TAN generators[edit]

The risk of compromising the whole TAN list can be reduced by using security tokens that generate TANs on-the-fly, based on a secret known by the bank and stored in the token or a smartcard inserted into the token.

However, the TAN generated is not tied to the details of a specific transaction. Because the TAN is valid for any transaction submitted with it, it does not protect against phishing attacks where the TAN is directly used by the attacker, or against man-in-the-middle attacks.

ChipTAN / Sm@rt-TAN / CardTAN[edit]

ChipTAN is a TAN scheme used by many German and Austrian banks.^[12][13][14] It is known as ChipTAN or Sm@rt-TAN^[15] in Germany and as CardTAN in Austria, whereas cardTAN is a technically independent standard.^[16]

A ChipTAN generator is not tied to a particular account; instead, the user must insert their bank card during use. The TAN generated is specific to the bank card as well as to the current transaction details. There are two variants: In the older variant, the transaction details (at least amount and account number) must be entered manually. In the modern variant, the user enters the transaction online, then the TAN generator reads the transaction details via a flickering barcode on the computer screen (using photodetectors). It then shows the transaction details on its own screen to the user for confirmation before generating the TAN.

As it is independent hardware, coupled only by a simple communication channel, the TAN generator is not susceptible to attack from the user’s computer. Even if the computer is subverted by a Trojan, or if a man-in-the-middle attack occurs, the TAN generated is only valid for the transaction confirmed by the user on the screen of the TAN generator, therefore modifying a transaction retroactively would cause the TAN to be invalid.

An additional advantage of this scheme is that because the TAN generator is generic, requiring a card to be inserted, it can be used with multiple accounts across different banks, and losing the generator is not a security risk because the security-critical data is stored on the bank card.

While it offers protection from technical manipulation, the ChipTAN scheme is still vulnerable to social engineering. Attackers have tried to persuade the users themselves to authorize a transfer under a pretext, for example by claiming that the bank required a «test transfer» or that a company had falsely transferred money to the user’s account and they should «send it back».^[1][17] Users should therefore never confirm bank transfers they have not initiated themselves.

ChipTAN is also used to secure batch transfers (Sammelüberweisungen). However, this method offers significantly less security than the one for individual transfers. In case of a batch transfer the TAN generator will only show the number and total amount of all transfers combined – thus for batch transfers there is little protection from manipulation by a Trojan.^[18] This vulnerability was reported by RedTeam Pentesting in November 2009.^[19] In response, as a mitigation, some banks changed their batch transfer handling so that batch transfers containing only a single record are treated as individual transfers.

See also[edit]

• One-time password
• Security token

References[edit]

A transaction authentication number (TAN) is used by some online banking services as a form of single use one-time passwords (OTPs) to authorize financial transactions. TANs are a second layer of security above and beyond the traditional single-password authentication.

TANs provide additional security because they act as a form of two-factor authentication (2FA). If the physical document or token containing the TANs is stolen, it will be useless without the password. Conversely, if the login data are obtained, no transactions can be performed without a valid TAN.

Classic TAN[edit]

TANs often function as follows:

1. The bank creates a set of unique TANs for the user. Typically, there are 50 TANs printed on a list, enough to last half a year for a normal user; each TAN being six or eight characters long.
2. The user picks up the list from the nearest bank branch (presenting a passport, an ID card or similar document) or is sent the TAN list through mail.
3. The password (PIN) is mailed separately.
4. To log on to their account, the user must enter user name (often the account number) and password (PIN). This may give access to account information but the ability to process transactions is disabled.
5. To perform a transaction, the user enters the request and authorizes the transaction by entering an unused TAN. The bank verifies the TAN submitted against the list of TANs they issued to the user. If it is a match, the transaction is processed. If it is not a match, the transaction is rejected.
6. The TAN has now been used and will not be recognized for any further transactions.
7. If the TAN list is compromised, the user may cancel it by notifying the bank.

However, as any TAN can be used for any transaction, TANs are still prone to phishing attacks where the victim is tricked into providing both password/PIN and one or several TANs. Further, they provide no protection against man-in-the-middle attacks (where an attacker intercepts the transmission of the TAN, and uses it for a forged transaction).
Especially when the client system becomes compromised by some form of malware that enables a malicious user, the possibility of an unauthorized transaction is high. Although the remaining TANs are uncompromised and can be used safely, users are generally advised to take an appropriate action, as soon as possible.

Indexed TAN (iTAN)[edit]

Indexed TANs reduce the risk of phishing. To authorize a transaction, the user is not asked to use an arbitrary TAN from the list but to enter a specific TAN as identified by a sequence number (index). As the index is randomly chosen by the bank, an arbitrary TAN acquired by an attacker is usually worthless.

However, iTANs are still susceptible to man-in-the-middle attacks, including phishing attacks where the attacker tricks the user into logging into a forged copy of the bank’s website and man-in-the-browser attacks^[1] which allow the attacker to secretly swap the transaction details in the background of the PC as well as to conceal the actual transactions carried out by the attacker in the online account overview.^[2]

Therefore, in 2012 the European Union Agency for Network and Information Security advised all banks to consider the PC systems of their users being infected by malware by default and use security processes where the user can cross-check the transaction data against manipulations like for example (provided the security of the mobile phone holds up) mTAN or smartcard readers with their own screen including the transaction data into the TAN generation process while displaying it beforehand to the user (chipTAN).^[3]

Indexed TAN with CAPTCHA (iTANplus)[edit]

Prior to entering the iTAN, the user is presented a CAPTCHA, which in the background also shows the transaction data and data deemed unknown to a potential attacker, such as the user’s birthdate. This is intended to make it hard (but not impossible) for an attacker to forge the CAPTCHA.

This variant of the iTAN is method used by some German banks adds a CAPTCHA to reduce the risk of man-in-the-middle attacks.^[4] Some Chinese banks have also deployed a TAN method similar to iTANplus. A recent study shows that these CAPTCHA-based TAN schemes are not secure against more advanced automated attacks.^[5]

Mobile TAN (mTAN)[edit]

mTANs are used by banks in Austria, Bulgaria, Czech Republic, Germany, Hungary, the Netherlands, Poland, Russia, Singapore, South Africa, Spain, Switzerland and some in New Zealand, Australia and Ukraine. When the user initiates a transaction, a TAN is generated by the bank and sent to the user’s mobile phone by SMS. The SMS may also include transaction data, allowing the user to verify that the transaction has not been modified in transmission to the bank.

However, the security of this scheme depends on the security of the mobile phone system. In South Africa, where SMS-delivered TAN codes are common, a new attack has appeared: SIM Swap Fraud. A common attack vector is for the attacker to impersonate the victim, and obtain a replacement SIM card for the victim’s phone from the mobile network operator. The victim’s user name and password are obtained by other means (such as keylogging or phishing). In-between obtaining the cloned/replacement SIM and the victim noticing their phone no longer works, the attacker can transfer/extract the victim’s funds from their accounts.^[6] In 2016 a study was conducted on SIM Swap Fraud by a social engineer, revealing weaknesses in issuing porting numbers.

In 2014, a weakness in the Signalling System No. 7 used for SMS transmission was published, which allows interception of messages. It was demonstrated by Tobias Engel during the 31st Chaos Communication Congress.^[7] At the beginning of 2017, this weakness was used successfully in Germany to intercept SMS and fraudulently redirect fund transfers.^[8]

Also the rise of smartphones led to malware attacks trying to simultaneously infect the PC and the mobile phone as well to break the mTAN scheme.^[9]

pushTAN[edit]

pushTAN is an app-based TAN scheme by German Sparkassen banking group reducing some of the shortcomings of the mTAN scheme. It eliminates the cost of SMS messages and is not susceptible to SIM card fraud, since the messages are sent via a special text-messaging application to the user’s smartphone using an encrypted Internet connection. Just like mTAN, the scheme allows the user to cross-check the transaction details against hidden manipulations carried out by Trojans on the user’s PC by including the actual transaction details the bank received in the pushTAN message. Although analogous to using mTAN with a smartphone, there is the risk of a parallel malware infection of PC and smartphone. To reduce this risk the pushTAN app ceases to function if the mobile device is rooted or jailbroken.^[10] In late 2014 the Deutsche Kreditbank (DKB) also adopted the pushTAN scheme.^[11]

TAN generators[edit]

Simple TAN generators[edit]

The risk of compromising the whole TAN list can be reduced by using security tokens that generate TANs on-the-fly, based on a secret known by the bank and stored in the token or a smartcard inserted into the token.

However, the TAN generated is not tied to the details of a specific transaction. Because the TAN is valid for any transaction submitted with it, it does not protect against phishing attacks where the TAN is directly used by the attacker, or against man-in-the-middle attacks.

ChipTAN / Sm@rt-TAN / CardTAN[edit]

ChipTAN is a TAN scheme used by many German and Austrian banks.^[12][13][14] It is known as ChipTAN or Sm@rt-TAN^[15] in Germany and as CardTAN in Austria, whereas cardTAN is a technically independent standard.^[16]

A ChipTAN generator is not tied to a particular account; instead, the user must insert their bank card during use. The TAN generated is specific to the bank card as well as to the current transaction details. There are two variants: In the older variant, the transaction details (at least amount and account number) must be entered manually. In the modern variant, the user enters the transaction online, then the TAN generator reads the transaction details via a flickering barcode on the computer screen (using photodetectors). It then shows the transaction details on its own screen to the user for confirmation before generating the TAN.

As it is independent hardware, coupled only by a simple communication channel, the TAN generator is not susceptible to attack from the user’s computer. Even if the computer is subverted by a Trojan, or if a man-in-the-middle attack occurs, the TAN generated is only valid for the transaction confirmed by the user on the screen of the TAN generator, therefore modifying a transaction retroactively would cause the TAN to be invalid.

An additional advantage of this scheme is that because the TAN generator is generic, requiring a card to be inserted, it can be used with multiple accounts across different banks, and losing the generator is not a security risk because the security-critical data is stored on the bank card.

While it offers protection from technical manipulation, the ChipTAN scheme is still vulnerable to social engineering. Attackers have tried to persuade the users themselves to authorize a transfer under a pretext, for example by claiming that the bank required a «test transfer» or that a company had falsely transferred money to the user’s account and they should «send it back».^[1][17] Users should therefore never confirm bank transfers they have not initiated themselves.

ChipTAN is also used to secure batch transfers (Sammelüberweisungen). However, this method offers significantly less security than the one for individual transfers. In case of a batch transfer the TAN generator will only show the number and total amount of all transfers combined – thus for batch transfers there is little protection from manipulation by a Trojan.^[18] This vulnerability was reported by RedTeam Pentesting in November 2009.^[19] In response, as a mitigation, some banks changed their batch transfer handling so that batch transfers containing only a single record are treated as individual transfers.

See also[edit]

• One-time password
• Security token

References[edit]

В этой статье мы простыми словами объясняем, что такое транзакция. Для нетерпеливых скажем уже здесь, что так называется операция, в результате которой остаток на счете изменился в большую или меньшую сторону. Иногда техника дает сбой или же сам пользователь бывает невнимателен, из-за чего терминал показывает ошибку. В настоящей статье мы подробно разбираем само понятие «транзакция», виды операций, технические нюансы и способы решения возможных проблем.

Что означает слово «транзакция»?

Когда речь заходит об определении тех или иных слов, всегда наилучшим решением является проверка этимологии слова. В нашем случае слово было взято из английского «transaction» (приблизительный перевод на русский — операция, сделка, договор), в англоязычных странах издавна этим словом обозначалась любая сделка или договор, но если брать более широко, то таким же словом называлась сделка купли-продажи.

Справка: употребимы сразу два варианта произношения этого слова — транзакция и трансакция. В банковской и финансовой документации можно встретить оба варианта. Правда, «трансакция» встречается все реже, так как для русского языка звонкая согласная в середине слова более легко воспринимается, чем глухая согласная.

Примерно такое же значение сохранилось и в русском варианте этого слова. «Транзакция» обозначает изменение состояния счета в банке. То есть любое действие или операция, уменьшающее или увеличивающее количество денег на карточке или на счете, будет являться транзакцией. Так, например, в перечень таких операций входят:

• Платеж в пользу чего угодно — за коммунальные платежи, за билеты на самолет и т.д.;
• Оплата товаров и услуг где-либо — в магазине, ресторане, парке аттракционов и т.д.;
• Перевод на банковскую карту другому человеку, перевод на электронные кошельки;
• Снятие денежных средств в банкомате;
• Получение денег от заказчиков, друзей или из других источников и т.д.

Это далеко не полный список. Сюда можно отнести и самое обычное пополнение мобильного телефона с банковской карты, и оплату «Мобильного банка» или других услуг банка, и все остальное — важен лишь сам факт изменения остатка на счете. Операция, влияющая на этот параметр, является по определению «транзакцией».

Что такое код и номер транзакции?

Уже более или менее понятно, что такое транзакция по банковской карте Сбербанка или карте любого другого банка. Но вот код и номер вызывают вопросы: что это, на что влияет эта информация и как ее использовать? А, самое главное, нужно ли?

И код, и номер нужны исключительно сотрудникам банка для разрешения спорных или технически проблемных ситуаций. Еще до проведения самой транзакции ей присваивается код и номер. В случае, если деньги не поступили получателю, если транзакция была отклонена или произошла иная внештатная ситуация, именно номер и код операции помогут сотрудникам банка за пару минут найти одну единственную операцию среди миллиона ей подобных.

Ее отображают в онлайн-банке, на чеках и в прочих местах потому, что клиент должен располагать этой информацией. Благодаря этому повышается качество обслуживания.

Например, клиент отправил кому-либо деньги, но они поступили, клиент звонит в колл-центр банка, чтобы ему помогли операторы. Но как они найдут среди множества операций именно его? Здесь и помогут номер и код — их необходимо озвучить, после чего за пару минут операторы найдут всю нужную информацию.

Виды транзакций

Видов всего два, и делятся они в основном условно. Разница между ними проходит в платформе, через которую клиент делает запрос на осуществление транзакции:

• Онлайн-транзакции. Подразумевается, что клиент делает запрос на транзакцию «прямо здесь и сейчас», в режиме реального времени. Таким образом, сразу после подачи запроса банк получает сигнал о необходимости провести операцию. Сюда относятся переводы с карты на карту, снятие денег через банкомат, оплата покупок через мини-терминал, получение денежных средств онлайн и т.д.;
• Оффлайн-транзакции. Ровно наоборот, присутствие контрагентов (участников обмена) и их онлайн-статус не имеет значения — послать запрос можно в любое время, при этом исполнен он будет лишь тогда, когда этого захочет сам отправляющий. Так, например, производится выплата сотрудникам заработной платы, оплата безналичным способом какой-либо поставки предприятию и т.д.

Если говорить просто, то онлайн-транзакция обслуживается эмитентом мгновенно, а оффлайн — только в определенные числа либо по желанию клиента.

Как происходит транзакция?

Этот процесс достаточно непрост. Студентам-экономистам приходится почти полгода вникать в тонкости банковской деятельности, где солидная часть материала посвящена как раз проведению транзакций. Тем не менее, мы постараемся объяснить цепочку действий простыми словами:

1. Существует банк-эквайр (обслуживающий терминал) и банк-эмитент (выпустивший вашу банковскую карту). Суть любой операции — это «общение» этих двух банков. Начинается все с того, что пользователь вставляет карту в банкомат — в этот момент эквайр запрашивает данные у банка-эмитента. Только так банк-эквайр узнает правильный пин-код пользователя;
2. Запрос проходит через процессинговый центр, где проверяется легитимность и параметры запроса клиента;
3. Если все в порядке, запрос попадает в банк-эмитент. Он в ответ посылает в процессинговый центр данные о владельце карты;
4. Центр либо пропускает эти данные к эквайру, либо останавливает их;
5. Если эквайр все же получил данные от эмитента, запрос завершен. Теперь банкомат «знает», какой пин-код у карточки клиента, сколько денег на его счету и т.д.

Так обрабатывается любая операция, только в разы более сложным и многоступенчатым образом.

Статусы транзакций

Вообще, с точки зрения операционного ведения счета, статус у операции может быть лишь одним из двух: успешно завершенная или же незавершенная. Но так только у операторов банка. У клиентов, для упрощения и большей комфортабельности сервиса, отображаются несколько видов статусов. Так банк дает понять клиенту, что не так и сколько осталось ждать разрешения ситуации.

Что значит «транзакции по вашей карте приостановлены»?

Это значит, что запросы посылать вы можете, но вот завершать их банк отказывается. В большинстве случаев так происходит потому, что срок действия карты незаметно для вас подошел к концу. В таком случае все операции блокируются до получения новой карточки.

Однако, иногда могут быть другие причины. Часто это сообщение означает, что была произведена блокировка счета или карточки. Блокируется карточка или из-за несколько раз неправильно введенного пин-кода, или из-за подозрительных операций (мошеннических или преступных, как показалось банку). В любом случае при таком статусе операции нужно незамедлительно обращаться в банк для решения вопроса.

Что значит «транзакция отклонена»?

Сообщение часто встречается даже у самых добросовестных пользователей, так что пугаться не нужно — это абсолютная норма. Такой статус означает отказ банка проводить дальше ваш запрос. Так происходит практически всегда по одной из нижеперечисленных причин:

• Карточка заблокирована;
• У нее кончился срок действия;
• Заблокирована сама операция в связи с его подозрительными характеристиками (слишком крупный перевод незнакомому лицу, например);
• Недостаточный баланс на счете;
• Если у вас карточка «МИР», такие сообщения появляются при попытке перевести или оплатить что-либо зарубежное;
• После неправильно введенного пин-кода появляется такое сообщение;
• Могут быть банальные ошибки в реквизитах перевода, из-за чего банк не может найти получателя средств;
• Наконец, вполне возможны обычные технические неполадки с сервером, программным обеспечением банка или в других узлах.

В любом случае, лучшее решение — попробовать отправить деньги снова, но на этот раз с внимательным вводом пин-кода и вводом реквизитов. Если это не помогло, следует обратиться в банк, чтобы оператор сообщил о причине проблемы.

Краткое резюме статьи

Итак, мы уже разобрались, что значит транзакция и каких видов она бывает. Этим словом называется любая операция, изменившая состояние счета: получение денег или их перевод, оплата чего-либо считаются транзакциями. При этом они делятся на «оффлайн» и «онлайн».

Разница между ними проходят во времени обработки запроса: первые обрабатываются в заранее определенные числа или по указанию клиента, а вторые — мгновенно. Ошибки при проведении платежа вполне возможны, и это не страшно. Чаще всего проблема решается внимательным вводом реквизитов и пин-кода, но, в случае чего, обращение в банк способно решить более серьезную проблему.

Что такое транзакция

Термин «транзакция» предусматривает не одно значение. Основное определение – операция, предполагающая минимальный размер, совершение которой допустимо только полностью. Еще одно понятие, предусмотренное в информатике, – совокупность связанных логических операций, обрабатываемых или отменяемых только целиком.

Часто рассматриваемое понятие встречается в банковской деятельности и предусматривает два типа операций:

• банковская транзакция – перевод денежных средств с одного счета на другой, в том числе при оплате товаров,
• банкоматная транзакция – денежные операции по выдаче или переводу средств через терминалы.

Иными словами, транзакция – каждая операция, предполагающая использование банковского счета.

Как снимают деньги с карты мошенники через мобильный банк?

Что такое номер транзакции и где его искать

Каждая транзакция предусматривает наличие номера, то есть уникального кода, включающего буквы и цифр. Например, в Сбербанке номер транзакции состоит из двенадцати цифр и четырех латинских букв. Отражается номер в чеке, выдаваемом по факту завершения операция в кассе банка или терминале.

В отдельных ситуациях такой номер может предполагать другое название, примеры следующие:

• идентификатор платежа,
• уникальный номер платежа.

Наличие такого номера необходимо для того, чтобы проверить состояние платежа и подтвердить осуществление такового. Актуальна такая информации при оплате услуг или товаров, если получатель денежных средств не получил отправление.

Проверить состояние платежа можно либо за счет обращения в банк, предъявив номер транзакции, либо через интернет-банкинг, если такой предусмотрен в конкретной кредитной организации.

Внимание! Наши квалифицированные юристы окажут вам помощь бесплатно и круглосуточно по любым вопросам. Узнайте подробности здесь.

Транзакция: виды и типы

Разделение транзакций на виды осуществляется по принципу технологии осуществления таковых:

• онлайн, то есть проводимые в режиме реального времени и обязательно предусматривающие технологии подтверждения операции,
• оффлайн, выполняемые отложенно.

Также возможно разделение по типу транзакционных операций: снятие денег, оплата услуг и так далее.

Посмотрите видео. Что такое номер транзакции, как его найти и зачем он нужен?

Кто участники

При осуществлении любого вида транзакций в операции участвуют всегда три стороны:

• Банк, принимающий платеж. Также данную сторону называют банк-эквайер, через который получателю будут переведены денежные средства,
• Банк отправителя средств. Обычно перевод осуществляется через карту банка, с помощью которой и переводятся деньги,
• Платежная система. Такой ресурс выступает посредником между банками и обеспечивает перевод средств (МИР, Visa, MasterCard).

Кто выступает фактическим отправителем и получателем денежных средств, значения не имеет.

Подоходный налог на переводы по картам.

Как происходит транзакция: порядок

Процесс транзакции в реальном времени предполагает несколько этапов, к которым относят:

• Передача банковской карты продавцу (вставить в банкомат, терминал, войти в Сбербанк Онлайн и так далее),
• Проведение карты по специальному терминалу для начала операции перевода средств. Карта может прислоняться, проводиться по терминалу или вставляться в таковой,
• Передача информации об операции в банк-эквайер, что происходит сразу после проведения карты,
• Направление сведений банком в центр обработки данных платежных систем, отвечающих за обеспечение перевода. На этом этапе также осуществляется проверка карты на мошенничество,
• Передача информации эмитету для завершающих проверок осуществляемой операции. Может потребоваться ввод пин-кода, рассматривается наличие лимитов по списанию денег со счета и так далее. Процесс проверки информации важен, поскольку при оплате товаров, например, в международных магазинах могут возникнуть трудности или задержка перевода. Однако не нужно думать, что проведение таких операций небезопасно. Достаточно внимательно подходить к процедуре транзакции. Таковая, по сути, не требует много времени,
• Обратное распределение информации. Это необходимо для подтверждения безопасности и осуществления платежа. Сведения идут со стороны платежных систем к банку-эквайеру, который выдает чек о проведении операции. Такой документ будет служить не только подтверждением успешно проведенной операции, но и невозможности таковой при наличии проблем.

Такой путь проходит платеж за один перевод денежных средств. Если не возникает трудностей, то перевод осуществляется в минимальные сроки, иногда моментально. Если предусматривается блокировка денег на карте для будущего осуществления платежа, то это может занять большие сроки, вплоть до месяца.

Вид транзакции оффлайн

Оффлайн-транзакция предусматривает проверку баланса карты перед переводом средств, что и запрещает осуществить транзакцию в момент оплаты услуг или товаров. Деньги блокируются, а обмен сведениями между банками не осуществляется. Транзакция фиксируется только на устройстве, считывающем карту.

По завершении установленного срока, который составляет один день, сведения об операции передаются в центр платежной системы и банков для дальнейшей обработки платежа. Смысл оффлайн-транзакций именно в том, что изначально перевод не предполагает коммуникаций, и участие трех сторон процесса в осуществлении платежа. Поэтому действует такой режим там, где сразу нет возможности установить связь между банками.

Как вернуть деньги, если перевел на карту мошенника?

По каким причинам операция отклоняется

Также следует помнить о том, что банк может отклонить операцию и отказать в переводе средств. Такое решение может принять платежная система или банк отправителя средств.

Причины для отказа следующие:

• на счете клиента недостаточно средств для осуществления транзакции,
• внесение платежной системой карты в стоп-лист, например, при наличии подозрений на мошенничество или иной незаконной деятельности,
• ввод клиентом неверного пин-кода карты,
• срок действия платежного средства – карты истек,
• технический сбой.

Если знать номер транзакции, можно отменить перевод, например, когда картой воспользовался чужой человек, если таковая была украдена или потеряна.

Таким образом, транзакцией признается операция по переводу денежных средств, а номером транзакции – специальный номер банковской операции. Такой номер поможет исправить ситуации при неправильном переводе средств, ошибках, мошенничестве и иных проблемах.

Посмотрите видео. Что делать, если пришло сообщение о транзакции, которую вы не совершали?