Какие данные нельзя давать продавцу онлайн
CVV, коды из SMS и сканы документов - что в норме никогда не спрашивают и почему.
Содержание
Защита персональных данных при онлайн-покупках начинается с простого правила: честному продавцу почти никогда не нужны ваши CVV-коды, пароли или сканы паспорта, чтобы выполнить заказ. Если кто-то настойчиво просит такие данные «для подтверждения оплаты» или «чтобы ускорить доставку» - это почти всегда признак мошенничества. В этом материале мы разберём, какие именно сведения опасно передавать, почему легальные площадки их не запрашивают и как себя вести, когда на вас давят в переписке.
Я, Елена Кравченко, редактор потребительских гайдов, каждый день вижу одну и ту же схему: человек вроде бы всё знает о безопасности, но в момент покупки теряется. Продавец пишет вежливо, присылает «официальную» ссылку, и кажется, что ничего страшного не произойдёт. На деле большинство утечек данных случается не из-за хакерских атак, а потому что человек сам добровольно вводит лишнее. Поэтому главный навык - научиться отличать нормальный запрос от токсичного.
Какие данные в норме никогда не спрашивают
Есть короткий список сведений, которые при обычной покупке не нужны вообще. Ни один легальный маркетплейс, банк или служба доставки не потребует их в личном чате или по телефону. Если такой запрос поступает - остановитесь, ведь именно на этом этапе чаще всего крадут деньги.
- CVV/CVC - три цифры на обороте карты. Они нужны только для самой оплаты на защищённой платёжной странице, а не для «подтверждения» в чате.
- Коды из SMS и push от банка. Это одноразовые пароли (OTP) для авторизации операции. Тот, кто их просит, хочет провести платёж от вашего имени.
- Полный номер карты вместе со сроком действия - для получения денег продавцу достаточно номера карты ИЛИ реквизитов, но не CVV и не SMS-кодов.
- Пароли от банкинга, почты, кабинета маркетплейса или госприложений.
- Сканы или фото паспорта, ИНН, водительского удостоверения «для оформления заказа».
- Доступ к экрану через AnyDesk, TeamViewer и подобные программы «чтобы помочь с оплатой».
CVV-код и коды из SMS не передают НИКОМУ и НИКОГДА - даже «службе безопасности банка». Банк никогда не звонит, чтобы попросить этот код. Если просят - это мошенник.
Отдельно стоит сказать о сканах документов. Некоторые покупатели думают, что паспорт нужен «для таможни» или «для гарантии». На самом деле для получения международной посылки таможенные данные вводите вы лично в кабинете службы доставки, а не пересылаете незнакомому продавцу. Напомню, что в Украине в 2026 году беспошлинный порог составляет €150 на одну международную посылку на человека, а сверх этой суммы начисляют 10% пошлины и 20% НДС на сумму превышения - и ни для одного из этих расчётов чужие сканы вашего паспорта не нужны. Если вам интересны реальные правила, почитайте отдельно про расчёт пошлины на посылку - там видно, что никаких сканов посторонним передавать не нужно.
Почему же тогда мошенники так настойчиво просят документы? Потому что фото паспорта вместе с селфи - это готовый набор для оформления микрокредита на ваше имя, регистрации фейковых аккаунтов или открытия дропшоп-карт для отмывания денег. Один безобидный скан способен обернуться долгами, о которых вы узнаете лишь через несколько месяцев. Поэтому документ - это тоже секрет доступа, а не «формальность для доставки», как пытаются убедить аферисты.
Почему передавать эти данные опасно
Чтобы правило не выглядело как суеверие, полезно понимать механику. Каждый тип данных даёт мошеннику конкретную возможность - и именно комбинация номера карты, срока действия и кода из SMS позволяет списать деньги полностью.
| Данные | Что дают мошеннику | Нужны ли честному продавцу |
|---|---|---|
| CVV/CVC | Завершить онлайн-оплату вашей картой | Нет, только платёжная страница банка |
| Код из SMS (OTP) | Подтвердить списание или вход в банкинг | Никогда |
| Полные реквизиты карты | Привязать карту к чужому сервису | Достаточно номера для перевода |
| Скан паспорта/ИНН | Оформить кредит или фейковую сделку | Нет |
| Пароль от кабинета | Захватить аккаунт, историю, бонусы | Нет |
Обратите внимание на третью строку: чтобы ПЕРЕВЕСТИ вам деньги (например, вернуть средства за товар), достаточно только номера карты - 16 цифр на лицевой стороне. Больше ничего. Поэтому когда продавец под предлогом «возврата средств» вдруг просит ещё и срок действия, CVV и код из SMS - он не возвращает деньги, а пытается их списать. Подробнее о легитимных механизмах описано в материале как вернуть деньги за товар.
Для зачисления средств на вашу карту отправителю нужен только её номер. CVV, срок действия и коды из SMS для входящего перевода не используются вообще.
Ещё одна тонкость касается паролей. Многие люди используют один и тот же пароль для почты, банкинга и кабинета маркетплейса. Если такой единый пароль попадает к мошеннику, он получает доступ сразу ко всей цепочке: зайдёт в почту, сбросит через неё пароли от других сервисов, прочитает коды подтверждения - и вы даже не поймёте, как потеряли контроль над аккаунтами. Именно поэтому пароль от кабинета стоит не меньше, чем данные карты, и его тоже не передают никому, даже «технической поддержке».
Отдельная категория - доступ к экрану вашего смартфона или компьютера. Когда вас просят установить AnyDesk, TeamViewer или «программу банка для разблокировки», на самом деле вы даёте постороннему человеку полный контроль над устройством. Он видит всё, что видите вы: открывает банкинг, инициирует переводы, читает SMS прямо на экране. Ни одна реальная служба поддержки не нуждается в удалённом доступе к вашему телефону для оформления покупки или возврата средств.
Как выглядит давление и социальная инженерия
Мошенники редко действуют грубо. Их сила - в психологии: они создают ощущение срочности, авторитета или выгоды, чтобы вы не успели подумать. Распознав эти приёмы, вы автоматически станете осторожнее.
Типичные фразы-маркеры
- «Чтобы закрепить скидку, нужно ввести данные карты прямо сейчас» - спешка.
- «Я из службы безопасности маркетплейса, продиктуйте код из SMS» - фальшивый авторитет.
- «Оплата не прошла, пришлите фото карты с двух сторон» - якобы техническая проблема.
- «Для разблокировки перевода установите программу и дайте доступ к экрану» - захват устройства.
- «Вы выиграли приз, оплатите только доставку реквизитами карты» - фейковая выгода.
Часто мошенничество начинается ещё до оплаты - с подозрительного объявления. Если вы покупаете с рук, стоит заранее проверить продавца: об этом есть отдельный разбор как проверить продавца на OLX, а также общие советы по безопасным покупкам с рук. Чем раньше вы отсеете сомнительного собеседника, тем меньше шансов, что дойдёт до запроса персональных данных.
Почему даже умные люди попадают в ловушку
Распространённый миф: на мошенничество ведутся только доверчивые или пожилые люди. На самом деле социальная инженерия бьёт по универсальным психологическим реакциям. Когда вам говорят «ваш счёт взломан, действуйте немедленно», включается страх, и рациональное мышление отступает. Когда обещают крупный приз за мелкую «комиссию», срабатывает жадность. А когда собеседник представляется «официальной службой», мы по привычке доверяем авторитету. Мошенники годами шлифуют эти сценарии, поэтому стыд за собственную ошибку здесь неуместен - важно вовремя распознать триггер и взять паузу.
Универсальный приём самозащиты прост: любой запрос, сопровождаемый давлением времени, стоит воспринимать как красный флаг. Честная сделка никогда не «сгорит» за пять минут. Если вас торопят - это почти всегда манипуляция. Положите трубку, закройте чат и самостоятельно свяжитесь с банком или площадкой через официальный канал, который вы нашли сами, а не по номеру из подозрительного сообщения.
Настоящая служба поддержки маркетплейса общается только через официальный чат в приложении или на сайте - не через личный Telegram, Viber или звонок с неизвестного номера.
Безопасные способы оплаты и где вводить данные
Это не значит, что данные карты вообще никогда никуда не вводят. Вводят - но только на защищённой платёжной странице, где адрес начинается с https, виден замок в браузере, а сам платёж проходит через систему банка с подтверждением 3-D Secure. Разница в том, КОМУ и ГДЕ вы доверяете эти данные.
- Оплачивайте внутри приложения маркетплейса или на его официальном сайте, а не по ссылкам из личных сообщений.
- Убедитесь, что в адресной строке настоящий домен площадки, а не похожая подделка с опечаткой.
- Проверьте наличие https и значка замка перед вводом реквизитов.
- Дождитесь окна 3-D Secure от вашего банка и вводите код только там, в банковском интерфейсе.
- Никогда не диктуйте и не пересылайте этот код в переписке - он предназначен только для ввода в форме банка.
Отдельный совет - иметь специальную карту для онлайн-покупок с небольшим остатком или лимитом. Даже если данные утекут, потери будут ограничены. Как это организовать, мы подробно расписали в гайде про безопасную карту для покупок. А если деньги всё же списали без вашего согласия, есть инструмент возврата - чарджбек шаг за шагом.
Включите push-уведомления обо всех операциях по карте. Так вы увидите попытку списания мгновенно и успеете заблокировать карту через приложение банка.
Фальшивые сайты и ссылки-ловушки
Самый распространённый канал кражи данных - фишинговые страницы, идеально копирующие интерфейс банка или маркетплейса. Вам присылают ссылку, вы вводите логин, пароль и код - и всё это улетает мошеннику. Поэтому навык читать адрес страницы спасает деньги чаще, чем любой антивирус.
- Смотрите на полный домен: olx.ua и olx-ua-secure.com - это разные сайты.
- Не переходите по сокращённым ссылкам (bit.ly и т. п.) для оплаты.
- Насторожитесь, если страница просит ввести логин банка сразу после клика из мессенджера.
- Не вводите данные на сайтах без https и без официального названия компании в реквизитах.
Целый список тревожных сигналов мы собрали в отдельном материале про признаки фишингового сайта - советую пробежаться им перед первой покупкой на незнакомом ресурсе. Если же сомневаетесь в самом предложении, параллельно полезно научиться отличать настоящую скидку от накрученной, ведь фейковые «суперакции» часто и есть приманка фишинга.
Ещё один тревожный сценарий - оплата «через посредника» или перевод на карту физического лица вместо официального платежа на площадке. Мошенники часто предлагают «оформить вне системы, чтобы дешевле». Но именно защита площадки - гарантийные удержания, возможность оспорить сделку - и есть ваша страховка. Выводя оплату в частный перевод, вы добровольно отказываетесь от всех инструментов возврата средств. Если продавец настаивает на «прямом» переводе и просит не привлекать площадку - это сильный сигнал остановиться.
Перед вводом данных скопируйте домен страницы и внимательно прочитайте его по буквам. Если видите лишний дефис, цифру вместо буквы или незнакомую зону (.site, .top) - закройте вкладку.
Какие данные давать всё-таки можно
Чтобы не впасть в другую крайность и не бояться каждой формы, полезно знать минимум, который действительно нужен для нормального заказа. Эти данные передавать безопасно, ведь без них доставку просто не оформить.
| Данные | Зачем | Кому передавать |
|---|---|---|
| Имя и фамилия | Оформление отправления | Службе доставки / магазину |
| Номер телефона | Связь по доставке | Магазину, курьеру |
| Город и отделение | Маршрут посылки | Службе доставки |
| Подтверждение, чек | Магазину | |
| Номер карты (для возврата) | Зачисление средств | Проверенному продавцу/банку |
Как видите, граница простая: контактные и адресные данные - нормально, секреты доступа (CVV, пароли, OTP) и документы - нет. Если кто-то пытается стереть эту границу, лучше прервать сделку. В спорных ситуациях всегда можно обратиться к официальной поддержке площадки и потребовать денежную компенсацию через гарантии маркетплейса, вместо того чтобы раскрывать лишнее в личном чате.
Важно также помнить о ваших правах как потребителя. По украинскому законодательству вы вправе вернуть товар надлежащего качества в течение 14 дней (за исключениями для гигиенических и персонализированных товаров), и для реализации этого права не нужно передавать продавцу CVV или сканы паспорта. Достаточно заявления, чека или иного подтверждения покупки и реквизитов карты для возврата средств. Если продавец под видом «оформления возврата» требует секретные данные - он просто воспользовался вашим желанием вернуть товар как поводом для кражи.
Полезная привычка - давать ровно столько данных, сколько требует конкретное действие, и ни точкой больше. Этот принцип в безопасности называют минимизацией данных. Заполняя форму заказа, спрашивайте себя: действительно ли это поле нужно для доставки? Если магазин вдруг требует дату рождения, девичью фамилию матери или кодовое слово банка для обычной покупки кроссовок - это аномалия, которая должна насторожить.
Что делать, если вы уже передали данные
Ошибки случаются, и паника здесь - плохой советчик. Если вы осознали, что сообщили CVV, код из SMS или пароль, действуйте быстро и последовательно - в первые минуты ещё можно ограничить ущерб.
- Немедленно заблокируйте карту через приложение банка или горячую линию.
- Смените пароли от банкинга, почты и аккаунтов маркетплейсов, где был тот же пароль.
- Обратитесь в банк и зафиксируйте инцидент - несанкционированное списание можно оспорить.
- Если списание произошло, инициируйте процедуру возврата (чарджбек) и сохраните всю переписку.
- Подайте заявление в киберполицию - это пригодится для возврата средств и статистики.
Чем быстрее вы заблокируете карту и сообщите банку, тем выше шансы вернуть деньги. В большинстве случаев критичны именно первые 24 часа.
Стоит также предупредить близких, особенно старших родственников, которые только осваивают онлайн-покупки. Достаточно одного общего разговора о том, что банк никогда не звонит за кодом из SMS, чтобы уберечь их от типичной схемы. Безопасность в семье работает как цепь: достаточно одного неосторожного скана или перевода, чтобы проблемы коснулись всех.
И главное - не вините себя слишком строго. Социальная инженерия работает даже против опытных людей. Важнее сделать выводы: завести отдельную карту для покупок, включить уведомления и запомнить главное правило этого материала - защита персональных данных означает умение сказать «нет» на лишний запрос, даже если собеседник звучит очень убедительно.
Частые вопросы
Можно ли давать CVV-код продавцу?
Нет, никогда. CVV вводится только на защищённой платёжной странице банка. Любой запрос CVV в чате, по телефону или «для подтверждения» - это мошенничество.
Какие данные нужны, чтобы вернуть мне деньги на карту?
Только номер карты - 16 цифр на лицевой стороне. Срок действия, CVV и коды из SMS для входящего перевода не используются, поэтому просить их не имеют права.
Безопасно ли отправлять фото паспорта продавцу?
Нет. Для обычной покупки сканы документов не нужны. Таможенные данные вы вводите сами в кабинете службы доставки, а не передаёте незнакомцу.
Банк позвонил и просит код из SMS - это нормально?
Нет. Настоящий банк никогда не звонит за кодом из SMS. Это классическая схема мошенничества под видом «службы безопасности». Положите трубку и перезвоните на официальный номер банка.
Что делать, если я уже продиктовал код из SMS?
Немедленно заблокируйте карту через приложение или горячую линию, смените пароли и сообщите банку. Чем быстрее действуете, тем выше шанс сохранить деньги.
Почему нельзя вводить данные карты по ссылке из сообщения?
Потому что это может быть фишинговая копия сайта. Оплачивайте только в официальном приложении или на сайте площадки, проверив домен и наличие https.
Можно ли давать номер телефона и адрес отделения?
Да, это нормальные данные для доставки. Опасны только секреты доступа: CVV, пароли, коды из SMS и сканы документов.
Как защититься от кражи данных заранее?
Заведите отдельную карту для покупок с небольшим лимитом, включите push-уведомления об операциях и никогда не передавайте OTP-коды посторонним.
Источники
- Закон Украины «О защите прав потребителей» - нормы о безопасности расчётов и праве потребителя на возврат товара в течение 14 дней.
- Закон Украины «О защите персональных данных» - принципы обработки и защиты персональных сведений.
- Официальные справочные центры маркетплейсов (Rozetka, OLX, Prom) - рекомендации по безопасной оплате и защите аккаунта.
- Киберполиция Украины - рекомендации по противодействию финансовому мошенничеству и фишингу.
