Pull to refresh

Comments 105

А Амазон вообще не спрашивает cvc код. Чем выше уровень продавца, тем меньше уровень защиты. Всё это (кроме номера) — фикция, предназначенная для успокоения покупателей.
https://ru.wikipedia.org/wiki/CVV2 — «Наличие CVV2-кода на карте не является ни необходимым, ни достаточным условием для совершения платежей в Интернете.»
https://ru.wikipedia.org/wiki/3-D_Secure — «3-D Secure не является абсолютной защитой денег на карте при CNP (card not present) операциях, например одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3-D Secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения.[2]»
https://geektimes.ru/post/109473/ — «схема [3d SECURE] работает только в том случае, если и банк-эквайер, и банк-эмитент сертифицированы по этим технологиям»
UFO just landed and posted this here
Да вообще местячковая статья под заголовком «скандалы интриги расследования». Ну PayPal, насколько я помню, тоже не проверяет. Skype точно не проверял у меня. Все это на усмотрение банка и, иногда, можно запретить банку проводить операции без 3D secure. Опять же, это не панацея, т.к. повторные платежи будут все равно уходить без подтверждений. Еще можно запретить пользоваться картой по географическому признаку, установить лимиты и вот всё это (конечно, зависит от банка). Иногда мой банк сам не проводит определенные операции, которые считает подозрительными (не мог купить билет в метро).

У дебетовых карт все строже но, опять же, зависит от банка.

Самое главное, что концепт кредитной карты предпологает, что каждый месяц вы получаете выписку и, если что, говорите банку, что я не покупал ящик айфонов в китае. Хороший, годный банк дальше разбирается сам.
Хороший, годный банк дальше разбирается сам.

Не подскажете банк в России, который действительно будет разбираться сам, а не по принципу «ну вы погасите пока долг, а может быть через годик мы вам что-нибудь вернём»?

Пока, к счастью, попадать на успешное мошенническое списание не приходилось, только на отклонённые попытки, поэтому карту удавалось заблокировать. Но хотелось бы всё же знать, кто из банков у нас нормально отрабатывает такие случаи.
Не подскажете банк в России, который действительно будет разбираться сам, а не по принципу «ну вы погасите пока долг, а может быть через годик мы вам что-нибудь вернём»?
Да я вообще не подскажу: ни в России, ни вне России. Я единственный раз сталкивался с ситуацией, когда мне очень хотелось вернуть 200 долларов потому что авиакомпания обанкротилась аккурат между тем, как я купил билеты по интернету и должен был вылететь. Банк меня послал что, вероятно, соответствует правилам Visa debit. Сейчас у меня кредитная карта и погашать по ней задолженность или нет — это моё личное дело. Я могу опротестовать выписку и, конечно, пока её рассматривают, мне ничего платить не надо. Банк зарубежом.
УБРиР вернул мне на карту деньги через месяц.
В общем-то любой банк в РФ, согласно законодательству.
С недавних пор банки несут полную ответственность за хищения средств клиентов, за исключением тех случаев, когда клиент сам виноват (например, диктовал в трубку неизвестному одноразовые пароли). именно поэтому в последние пару лет многие банки пытаются усилить защиту своих карт.
Я не пользовался амазоном, но заявление про отсутствие необходимости cvv что-то ввело в ступор. Можете поподробней рассказать где и как у амазона проходит оплата без использования cvv?

Они его даже не спрашивают. Деньги списываются.

Попробую потом на aws'е протестить, но вообще впервые о таком слышу. Очень это грустно так то. Они хоть дату «годности» карты проверяют?
UFO just landed and posted this here
Ровно такое же наблюдал при оплате кредитной картой райфа при покупке в амазоновском магазине несколько лет назад.

Предположил что амазон — такой большой и жирный, что банки верят ему на слово.

Не совсем так. Они его не спрашивают после того, как вы привязываете свою карту к аккаунту. А во время привязки вы забиваете все данные туда, включая CVV.
А в дальнейшем — да, уже не нужно ничего подтверждать. Добавили товар в корзину, выбрали карту, которой оплачиваете и списание состоялось.

Но даже при привязке карты они не могут хранить CVV:
"Поскольку код CVV2 не может храниться продавцом в течение даже короткого времени (после того как авторизация с использованием CVV2 завершена — таковы требования стандарта PCI DSS), то продавцы, которые должны регулярно списывать деньги с карты за какую-либо услугу, не могут использовать CVV2 для последующих транзакций."
Источник: https://ru.wikipedia.org/wiki/CVV2

Здесь не буду спорить, поскольку в амазоне не работаю и не могу утверждать, как у них обстоят дела на самом деле. по факту вижу на собственном примере, что CVV был запрошен всего однажды, при привязке карты к аккаунту, после чего все списания происходят без каких либо подтверждений с моей стороны.
Есть ИМХО, что между «как должны делать» и «как делаем» в Америке такая же ситуация, как и у нас :-)

Продавец может сгенерировать токен для карты, и хранить только его.
Все списания будут производиться с использованием токена, и не будут требовать повторного ввода данных карты.
Такой вариант вполне нормален при соблюдении PCI DSS.

покупал на амазоне вентилятор для компьютера. Карта не привязана. CVV не спрашивали. Только номер и срок действия.
Минимальная информация, которая требуется для списания — номер карты и дата. Где-то CVV просят, где-то нет, где-то 3D Secure требуют, и это все одна и та же карта. Аналогично в терминалах, дебитка с чипом и пином, но где-то просто подпись, а некоторым вообще ничего не надо — списали и все. Тут была статья о терминалах и их настройках.
Есть какая-то связь с уровнем продавца, но не такая однозначная. У нас мелкий районный провайдер интернета принимает платежи без запроса 3D Secure, в отличие от например РЖД или Аэрофлота.

Там скорее связь с уровнем ответственности продавца. Если нет дополнительных проверок вроде 3D Secure, то ответственность за фрод будет нести продавец, и все вопросы о возврате средств должны ложиться на его плечи.

Разница не только в уровне продавца, но и в том, готовы ли они к штрафам от Visa / Mastercard в случае превышения порога чарджбеков.
У гигантов типа Amazon есть свои системы выявления фрода, есть ThreatMetrix, есть куча систем, через которые они пропускают ваш платёж и убеждаются, что шансы на чарджбек с этой карточки — минимальные.
Но как только количество чарджбеков подскакивает до какого-то процента (в зависимости от уровня продавца и бизнеса, в котором они крутятся), Visa и MC могут выставить штрафы вплодь до сотен тысяч долларов.
Если платёж проходит через 3DS, то большинство систем считает, что вероятность чарджбека стремится к единице.


PS
Чарджбек != возврат средств (рефанд). Это возврат средств, которые были списаны вопреки воли владельца и владелец оформил официальную жалобу.

Наверное, все же при использовании 3DS вероятность чарджбека стремится к нулю
Недавно интегрировал FirstData (Шлюз да проведения платежей на сайте)
Дак вот при первых пробных переводах на своем сайте я вводил только Номер Имя и Дату карты, и все платежи успешно проходили, при базовых настройках он даже не предлагает запрашивать cvc, а про то что там нет 3ds пользователей узнает уже когда у него спишутся деньги.
Ну так это же славно. 3Ds это защита продавца, а не покупателя. Без него говоришь, что платил не ты и деньги взад.

Ну будет яндекс проверять и что? Да полно мест которые непроверяют.


А нельзя ли опротестовать такую операцию в банке? В том случае что в статье указан?

Если Яндекс будет проверять 3D Secure, то нельзя будет легко пополнить счет в рекламной системе. Ворованных данных карты уже будет недостаточно. Если нет рекламы, то мошеннические сайты не выходят в топ выдачи. Если они не выходят в топ выдачи, то у них близкая к нулю посещаемость и заниматься ими нет смысла. Таким образом резко падает количество мошеннических сайтов.

Вы знаете много способов пополнить баланс Яндекс.Директа без 3D Secure? На данный момент я знаю только этот.

Да, есть какие-то магазины, отели итп, которые не используют 3D Secure. Но они не могут быть использованы для оплаты рекламы мошеннических сайтов.
Если Вы оплатите что-то в магазине, то Вам нужно указать адрес доставки. Если Вы оплатите отель, то кто-то в него приедет. Гораздо сложнее использовать чужие деньги, а главное, покупка в магазине или бронирование отеля не способствуют открытию новых мошеннических сайтов.

Опротестовать платеж можно. Об этом подробно написано в первой статье и немного в этой. Деньги могут вернуться, а могут и не вернуться. Зависит от многих факторов. Но в любом случае, жертва мошенников гарантированно попадает на несколько дней заявлений и переписок и еще на месяц ожидания.

Так чем та история закончилась? Вернул банк деньги?

Так чем та история закончилась? Вернул банк деньги?

Чем закончилась та история, написано в первой публикации.
Пролистайте ее до конца. В самой нижней части статьи все описано.

Мне не сложно сюда все скопировать, но тогда эта публикация станет намного длинее и тем, кто первую часть прочитал, будет неинтересно читать текст по второму разу.
И поэтому из-за мошенников яндекс должен усложнять жизнь всем остальным?

Почему-то подумал, что если рядом стоят магазин, в котором продаются плюшевые мишки, и магазин по продаже молотков, то зарабатывать должен только первый. А второй должен вызывать ЧОП всякий раз, как только на порог явится человек без справки от психиатра, нарколога и проктолога, ведь он может проломить кому-нибудь голову этим молотком.

Есть уйма способов использовать самые разнообразные вещи и услуги недобросовестно. И усложнять жизнь тем, кто ими пользуется добросовестно, в надежде, что плохие дяди испугаются трудностей и пойдут вкалывать на шахте, — это путь вникуда.

Хм, приравнять рекламу к торговле оружием? Пока гротеск, но что-то в этом есть. Иммунитет от втюхивания конечно должен быть у каждого разумного индивидуума, но он вырабатывается только путём жёстких обломов оного. Как бы так и рекламу сохранить, и в майнкампф не улететь?

А никак. Абсолютно такой же абсурд и маразм начнётся, как и с продажей оружия.

В Англии будет запрещена вся реклама, кроме прибитых к нижней границе сайта 25 символов, точно также, как запрещены ужасные ножи-бабочки.

В России человек, который по долгу службы не только умеет обращаться с любыми видами оружия, но и учит этому других, будет обязан не только просидеть в обнимку с дедовской двустволкой 5 лет перед покупкой испорченного нарезного оружия. Он ещё перед тем, как начнёт рекламировать молотки, пять лет будет обязан рассказывать людям о пользе плюшевых мишек. А если у него найдут баннер с молотками, на рекламу которых он не получал разрешения, то его посадят.

Зато в интернете останутся только проверенные рекламодатели от глобальных корпораций, а все мошенники от невозможности заработать на людской легковерности переквалифицируются в управдомы.
И поэтому из-за мошенников Яндекс должен усложнять жизнь всем остальным?
Именно так.

Если бы не было мошенников и все были бы законопослушные и имели только добрые намерения, то можно было бы много чего отменить, чтобы не усложнять жизнь всем остальным. Например, можно было бы вообще отменить пинкод при любых оплатах картой, можно отменить CVV, можно не запрашивать паспорт при обращении в банк, можно отменить двухфакторную авторизацию при входе в банк-клиент, можно выдавать кредиты всем желающим без лишних проверок и формальностей. И в других сферах можно было бы много чего убрать. Например, турникеты и заборы на выход из электричек, турникеты в автобусах, проверку документов и рюкзаков в метро, отменить кассовые аппараты в точках продаж, отменить техосмотр машин итп. Практически в любой сфере из-за кучки каких-то жуликов и хулиганов страдают все остальные. Огромное количество неудобных вещей можно было бы отменить, если бы не они…

С другой стороны можно сказать, что Яндекс должен «усложнять жизнь всем остальным» не из-за десятков мошенников, а, например из-за сотни жертв этих мошенников.

Даже, если Вы уверены, что используете свою карту только в проверенных местах, нет гарантии, что в один из дней, например, не взломают базу Аэрофлота, и выяснится, что Аэрофлот в нарушение всех требований хранил данные карт. Или сломают сайт госуслуг, через который Вы один раз оплатили штраф. Или случайный бармен, взглянув на карту, запомнит наизусть ее номер. Вы не можете гарантировать, что номер Вашей карты в один из дней не попадет к мошенникам.

И когда, катаясь на лыжах в Альпах, Вам вдруг начнут приходить СМС о том, что Ваши средства списываются за оплату рекламы в Директе и баланс карты за несколько минут обнулился, Вы, конечно, подумаете, что это не повод для волнения, что это не Ваши проблемы, а проблемы Яндекса и Вашего банка. Вы будете уверены, что одно обращение и деньги Вам вернут. А если попробуют не вернуть, то МПС кому-то что-то сделает по самые помидоры. Требуется всего один звонок, нужно только подзарядить новейший смартфон, разрядившийся на морозе. Но Вы точно помните, что в баре на высоте 3200, на второй очереди подъемников у бармена был точно такой же аппарат. Наверняка, у него должна быть зарядка. Зарядив телефон, и найдя в интернете номер Вашего банка, Вы уверенно позвоните в свой банк в Москву. Автоинформатор ответит, что Ваш звонок очень важен, Вы второй в очереди и время ожидания 20 минут. Это нормальное время ожидания, подумаете Вы, ведь на календаре 2 января и не должны сотрудники банков мучиться из-за нескольких клиентов, которые всегда найдут повод для недовольства, даже в праздники. Вы не будете волноваться в ожидании ответа оператора, ведь перед выездом в горы, Вы с запасом пополнили счет мобильного оператора, для оплаты международной связи. Дождавшись ответа оператора банка, Вы назовете свои паспортные данные, чтобы Вам поверили, что Вы это Вы, и оставите заявку, подробно описав, что произошло, и продиктовав дату, время и суммы всех подозрительных транзакций. Карту с нулевым балансом сотрудник банка Вам вежливо заблокирует и назовет номер зарегистрированного обращения. Через 15 дней Вам придет смс, что банк увеличил срок рассмотрения Вашего обращения еще на 15 дней…

И вот, когда Вы будете поднимать бокал шампанского при встрече следующего нового года, Вы подумаете, что все-таки предыдущий год был полон приключений, что Вам есть что вспомнить, что в тот раз, при личном посещении банка 23 февраля, Вы круто разъяснили всем тупым сотрудникам банка, правила платежных систем и, что даже начальник отделения банка через час не смог парировать Ваши доводы. И одновременно Вы подумаете, что ничего не может сломать Ваш внутренний стержень, что Вы остались верны своим убеждениям, и что все-таки, хоть Вам и пришлось немножко потратить своего времени и сил, Вы счастливы за пользователей Яндекс.Директа, которым не нужно вводить лишние шесть цифр из смс при пополнении баланса рекламной компании.
Прям зачитался. Вам бы книги писать :)
UFO just landed and posted this here
Как вас вообще занесло на мошеннический сайт при том, что давным давно большинство пользуется всевозможными авиасэйлс не ясно совсем.

Меня на мошеннический сайт не заносило. Но я помогал человеку, которого на такой сайт занесло и который из-за этого попал в неприятную ситуацию. Одновременно с решением проблем одного человека, я надеялся помочь еще некоторому количеству людей не попасть в аналогичную ситуацию. Для этого я постарался написать на GT несколько статей, в которых обратил внимание на проблемные моменты. И, насколько я вижу, эти публикации действительно принесли пользу.

Касательно «авиасэйлс», — Вы уверены, что сможете без ошибок написать название домена? Если Вы пролистаете список из белее 400 закрытых доменов, которые продавали «фейк-авиабилеты», то там найдется, как минимум десяток схожих по написанию авиасэйлсов. Опечатка в одной букве, ошибка в зоне (com/net/ru/eu) итп может привести Вас на поддельный сайт. А если Вы не уверены в написании, то есть вариант ввести в адресной строке браузера ту часть, которую помните, а дальше довериться поисковой системе. А поисковая система в самой верхней строчке, ярко выделит рекламируемый фейк-сайт, который будет очень похож на то, что Вы ищите. Это все не теория, — так это работало еще полгода назад.

Может ли любой человек, который на 200% уверен в своих силах, который с закрытыми глазами по запаху от экрана распознает мошеннические сайты, быть точно так же уверенным в том, что его знакомые, родственники и близкие не попадутся на крючок к мошенникам? Может ли, например, руководитель отдела по борьбе с киберпреступлениями, быть уверен в том, что при покупке авиабилетов случайно не допустит роковую ошибку его жена, старенькая мама, недавно получившие паспорт дети или сестра, которая никак не может запомнить, как попасть на сайт «вконтакте»?
А нельзя ли опротестовать такую операцию в банке? В том случае что в статье указан?

Можно, но в случае если вы напишите заявление, что операцию делали не вы (немного гемморно, но работает).

А у Яндекса есть требования к сайтам для Yandex.Direct и найти владельца сайта труда не составит (при подключении Direct проверяется владеете ли вы сайтом). И получается что владелец будет мошенником, на него заведут дело.
при подключении Direct проверяется владеете ли вы сайтом

Нет, не проверяется. Рекламировать можно любой сайт и по любым запросам с любого аккаунта яндекс директ, ну естественно исключая всякие запрещенные тематики и т.д. и т.п.
При тестировании использовалась карта Сбербанка, по которой при любых других покупках через Интернет, всегда приходят СМС с проверочными кодами.
Не может быть никаких «при любых других покупках ». Эти все проверки делает/инициирует конкретный магазин, а не банк. Ну это если вы не знали.
На али, например, с картой сбера тоже никаких смс не нужно. Да и много где.
Вроде бы где-то уже писали, что 3DSecure предназначен не для защиты покупателя, а для защиты продавца? Да и на вики явно написано, что в случае использования 3DSecure ответственность переносится с продавца на банк-эмитент или покупателя. В данном случае это всё будет проблемой Яндекса, что довольно логично, в целом.

Только не в Soviet Russia. Вы придёте в Сбер, вас выслушают… спросят, купили ли вы платную страховку для подобных случаев (у них это отдельная услуга, именно так), вы ответите отрицательно. Больше вы своих денег не увидите.

Вот только не надо сбер и незнание прав конкретным индивидом обобщать на весь Soviet Russia.
А вы не только говорите, а напишите заявление в МПС, они могут как угодно называть свои услуги, правила возврата определяются правилами МПС, а не банком
Но вы же буквально в соседнем треде написали, что МПС не имеют дел с физлицами. Или я вас неправильно понял?
заявление в МПС можно написать через банк, игнорируя уверения операционистов что «это платная услуга»
Как это сделать, угрозой заставить операциониста? Для него это платная услуга.
Он обязан принять от вас заявление, какая разница, платная услуга или нет (в мечтах банка)… например когда банкомат сожрал карточку и деньги не отдал пишется точно такжеже заявление точно такойже формы. и есть строго регламентированные сроки его рассмотрения
Учитывая упёртость банков и игнор физиков МПСами другого пути нет. можно привлечь и начальника операциониста

Берешь двух друзей, приходишь в банк, даешь заявление. Если не берет: фотографируешь заявление, составляешь акт, что ты к банку обращался. Потом отсылаешь заявление по почте (письмом с описью и т.д.), плюс информацию о том, что заявление приносили вовремя, ибо акт есть. Если в оговоренный срок не пришёл ответ — можно идти в суд.
Что мы получили:


  1. Ты отдавал заявление вовремя, пруфы есть
  2. Банк в итоге точно получил бумагу, он не сможет ну ни как отвертеться, что "я бы рад помочь, но..."

Ну и самое главное: все компании не обязаны тебе ничем, кроме того, что их обяжет суд. Просто большинство оказывают услуги в досудебном порядке (ну например возврат товара в магазине), так как понятно изначально, что покупатель выиграет в суде. А отсюда наиважнейшее следствие: будь готов судиться, если компания упирается до последнего.

Простите, не могу удержаться, МПС — это Министерство путей сообщения?
Международная платежная система. Одно заявление — деньги вернут. Несколько — нагнут банк в независимости от его величины.
Во-первых, Вас никто не заставляет пользоваться услугами Сбера.
Во-вторых, статистика по Сберу не такая уж и печальная: http://www.banki.ru/blog/KiraSoft/3115.php
В-третьих, если клиент своевременно (1 день) уведомил банк, что операцию совершил не он, то закон на его стороне. Даже если Сбер отказывается платить добровольно, его может принудить суд.
причем и страховка мягко говоря имеет много «звездочек» и мало будет полезна

Такая же ситуация и с пополнением карты "Тройка" с помощью приложения для Android "Яндекс.Метро". Регулярно пользовался данной функцией. Ни разу ничего не запрашивало. Карта Сбербанка

По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось...

А нельзя ли по этому поводу жаловаться непосредственно в саму платежную систему, чей логотип на карте был — у них может быть другое мнение по поводу того, что должны делать в подобных случаях те, кто через их систему без надлежащей авторизации деньги провел.
МПС не общаются с физлицами, жаловаться туда можно только через свой банк
Нужно при подключении карты в приложении 1 раз спрашивать код 3DSecure или код из «комментария транзакции».
Это не ухудшит удобства для пользователей приложения Директ, но закроет дыру.
А можно ли в своём банке заблокировать переводы, осуществляемые без подтверждения с помощью секретного кода?

В Сбере точно нет (покрайней мере их ТП мне так ответила)

На banki.ru сотрудник банка писал, что за такую самодеятельность МПС может банк оштрафовать, если количество валидных, но отклонённых авторизаций превысит какой-то пороговый процент.
Никак не могу вспомнить, проверяет ли Google Adwords что-то при первой оплате, но после неё он сохраняет данные карты и для оплаты нужно просто ввести в окно сумму.
Как отвлечённое от темы решение. Можно привязать вируальную карту Яндекс к Янедкс директу, ровно как ко всем не силько вызывающим доверие сервисам. Саму карту Яндекс пополнять переводом со счёта банка. В случае себра перевод на счёт кошелька ЯД мгновенный и без процентов.
А, предыдщуя тоже здесь. Прошу прощения.
xbox, что ответила поддержка Яндекса по этому поводу? Вы же сообщили сперва им, правильно?
Если Вы спрашиваете, писал ли я в Яндекс про то, что Яндекс не запрашивает коды 3D Secure при использовании мобильного приложения, — нет не писал. Я думаю, для Яндекса это не секрет. Это не баг, а «фича». Обсуждать с отдельным сотрудником поддержки общую политику Яндекса занятие, на мой взгляд, малоперспективное. Если Вы спрашиваете, писал ли я вообще в Яндекс, про то, что деньги на Директ уходят без проверки 3D Secure без указания конкретного способа, то да, писал и много раз. Я писал в поддержку Яндекса о факте хищения средств с подробным описанием. Также это все описано в первой публикации на GT, которую в том числе комментировали и представители Яндекса. Сотрудники Яндекса точно в курсе этой особенности.

Я много раз писал в Яндекс, обращая внимания на разные ошибки и проблемные моменты в их сервисах.
Например, полгода назад, 09/09/2016, я написал им в поддержку об очевидной, легко проверяемой, а главное легко исправляемой ошибке в поисковой выдаче. Мое сообщение об ошибке приняли (есть номер тикета), мне точно ответил живой человек, а не робот, поблагодарили и обещали исправить. Ошибка, на исправление которой требуется 5 минут, не исправлена до сих пор.

Вы можете сами проверить. Введите, например, в поиске Яндекса любой запрос типа «инструкция к телефону panasonic». На первой странице выдачи Выдачи увидите несколько ссылок на PDF файлы с инструкциями. Рядом с каждым файлом будет указан его размер. Прямо сейчас указываются такие размеры файлов, размещенных на разных доменах: 15КБ, 10КБ, 12КБ, 22КБ и тп. Разве не подозрительные размеры у PDF файлов? Если Вы скачаете любой из этих файлов, то файл, которые Яндекс взвесил на 6КБ, в действительности будет весить 2,1МБ итп. Сейчас зависимость определенного и реального размера файла не линейная, а полгода назад у меня выходило, что килобайты с мегабайтами были перепутаны. Т.е. очевидная ошибка в определении размера файла. Но за полгода её не исправили.

Поэтому, основываясь на своем опыте, я понимаю, по каким вопросам особенности работа Яндекса имеет смысл писать в поддержку, а по каким вопросам может помочь только широкое обсуждение проблем.

Хочу обратить внимание, что в целом я положительно оцениваю работу Яндекса. Когда я обращаю внимание на каких-либо проблемы в Яндексе, у меня нет цели очернить репутацию компании. Все, что я хочу, обращаясь в Яндекс или поднимая фантик на обочине, — это сделать мир немножечко лучше.
Я понимаю, что Вы хотели как лучше, но если уязвимость есть — о ней сначала всё-таки уведомляют вендора.
Затем уже, если нет никакой реакции или с реакций Вы не согласны, вопрос можно выносить на всеобщий суд.
Иначе может случиться так, что некоторые люди пострадают, если не все мошенники знали про эту особенность, а сейчас, после Вашей статьи, начнут её эксплуатировать.
Первых два Ваших поста вышли зачётными, но здесь в комментариях уже говорилось о том, что 3DS не панацея, и есть множество крупных сайтов, которые успешно работают не только без 3DS, но и без CVV2/CVC2.
У меня ощущение, что автор неправильно понимает, что такое 3DSecure.

3DSecure, это защита банков от фрода.

Логика такая:

Если банк умеет 3DSecure, мерчант согласился использовать 3DSecure, клиент ввёл пароль, то транзакцию не оспорить как фрод (только как not provided через чарджбэк).

Если банк умеет 3DSecure, мерчант принимает платёж без 3DSecure, то клиент может оспорить списание как CNP.

Если банк не умеет 3DSecure, мерчант хочет 3DSecure, то клиент идёт лесом (или фоллбэк на простую CNP? Не знаю).

Если банк умеет 3Dsecure, мерчат умеет 3dsecure, а клиент не хочет, то мерчант может либо согласиться рискнуть на CNP, либо послать клиента лесом. Иногда банки, которые умеют 3Dsecure, говорят, что если клиент явно отказался от 3DSecure, то весь фрод — его (в смысле, виноват клиент).

То есть если у банка включен 3Dsecure, на карте включен 3Dsecure, а мерчант деньги берёт без 3DSecure, то это под его собственную ответственность. Тот же амазон вообще карты берёт просто по номеру, даже без срока действия и имени-фамилии, не говоря уже про 3dsecure.

То есть в этой ситуации это проблема Яндекса, а не владельца карты. Если есть списания со стороны яндекса, они оспариваются как любые CNP, в пол-пинка. «Не платил я такого» — и всё, виноват мерчант.
Если есть списания со стороны яндекса, они оспариваются как любые CNP, в пол-пинка.

Оспариваются кем? В топике написано, что банк такие претензии рассматривать просто не хочет.

Ну вот предположим, amarao приходит к операционисту и говорит: «оспорьте ту транзакцию, не платил я такого».
Операционист отвечает: «ничего не буду оспаривать».
Дальше что?
Оф. письмо со входящим номером руководству банка? С указанием в письме следующего шага?
Жалоба в визу/мастеркард. После этого банку вставляют по самые помидоры. Вообще, на самом деле, я не видел банка, который бы на просьбу сделать chargeback ответил бы отказом.

https://www.mastercard.us/en-us/consumers/get-support.html

+

If you are a Visa Europe customer, please contact Visa Europe Customer Support on your country specific number, or e-mail us at customersupport@visa.com.
виза/мастер вас в банк отправит. они не общаются с физиками
в РФ не общаются. С клиентами из штатов/ЕС, насколько знаю, как раз говорят.
Если комплейн касается поведения банка — более чем общаются. Вероятнее всего, для РФ надо будет с российским отделением связываться.
Если открыть русский сайт https://www.mastercard.ru/ru-ru.html, то можно увидеть в меню после 'Глобальная служба поддержки' такую фразу:
«По вопросам обслуживания карты,
пожалуйста, обратитесь в банк,
выпустивший вашу карту»
Крайне любопытно. Я предлагаю решить проблему проще, я напишу в их пресс-службу, посмотрим, как они ответят.
Спасибо, очень интересно услышать их ответ.
Внезапно, мне приходится пересмотреть свою позицию. Вот ответ из русской пресс-службы Mastercard.

Добрый день, уважаемый Георгий,
спасибо, чтоб вы обратились к нам с запросом.

Правила Mastercard единые и действуют во всех странах, где работает платежная система, при этом под “customer” в правилах понимаются наши непосредственные клиенты – участники платежной системы (банки), а не физические лица. Вы как держатель карты являетесь клиентом банка-эмитента.
Процедура chargeback является правом, а не обязанностью банков. Инициация этой процедуры всегда остается на их усмотрение, банки самостоятельно принимают это решение, взвешивая свою позицию и издержки по участию в процедуре.
Держателю карты по всем вопросам, связанным с ее обслуживанием, необходимо обращаться в банк.
Кроме того, вы вправе использовать для защиты своих прав средства защиты в соответствии с законодательством.
__________

Пожалуйста, позвоните мне, если потребуется уточнить какие-то моменты [cut]
С уважением,
Елена

Elena Prorokova
Communications

Masterсard
127051 | Tsvetnoy Boulevard
building 2, entrance D, the 4th floor | Moscow, Russia

-----Original Message-----
From: George Shuklin [mailto:obscured]
Sent: Thursday, March 09, 2017 12:06 PM
To: Prorokova, Elena
Subject: Позиция компании в отношении русскоязычных клиентов

Добрый день.

На geektimes.ru завязалась дискуссия о том, что клиентам следует делать, если банк-эмитент карты MasterCard отказывается принимать запрос на chargeback.

Есть ли механизм обжалования действий банка в MasterCard для пользователей в России? Я планирую процитировать ваш ответ в дискуссии.

Заранее спасибо.

Ссылка на ветвь дискуссии: [cut]
Цитата из первого топика:
После чего я обратился в службу поддержки банка, где мне ответили, что не могут вернуть деньги и посоветовали заблокировать карту и обратиться в полицию.
После чего надо было пожаловаться в визу, ибо сотрудник банка явно не знал про процедуру chargeback.
Может и знал, но неохота было заморачиваться: куда проще отправить просителя в кросс по инстанциям. «Вас много, а я одна.»
Всё он знал, у них негласное правило сливать нубов, ибо для банка это еще тот геморрой.
Это стандартная традиция ответов на «спросил». Как только вопрос/запрос формулируется со всем документированием (отметка на копии заявления, заказное письмо и т.п.) — ответы и реакции сразу становятся более адекватными.
Что вполне понятно — бумажка с «неответом» или неадекватный ответ — могут и в ЦБ попасть и в другие органы, внимание которых обойдется банку существенно дороже…
Как раз в процессе chargeback, но не помню какими фразами я просил его инициировать. А был ли фильтр: «сливать нубов»…
А с чего бы в друг Яндекс был обязан включать 3DS это выбор торговой площадки и полностью ее риски.
Другу Вашему надо было писать заявление в своём банке на чарджбек с пометкой «услуга не оказана» для транзакциям по авиабилетам (если они проходили 3DS аутентификацией) и «мошенничество» для транзакций по Яндекс.Директу (раз они проходили без 3DS), вот и все дела. VISA или MS на арбитраже в 99% случаев решает в пользу держателя карты, да же если услуга была оказан (но торговые площадки обычно сдаются на пре-арбитраже так как за арбитраж с нее снимут еще ~500$ ). Это конечно та еще тягомотина вернуть свои кровные, но за квартал примерно все происходит. В моей 10 летней практике не встречал случаев когда деньги не возвращали по чарджбеку, если был реальный факт обмана/не оказания услуги, главное знать, что делать в этом случае.

Статья не о чём, Яндекс ни в коем разе ни кого не ущемляет, любая транзакция без 3DS для покупателя безопасней. Только бабули думаю, что раз пришла СМС с кодом так надежней, а на деле на оборот, этой аутентификацией как раз магазин защищается, а Вы как покупатель от этого проигрываете.
Мораль этой истории очень проста: не пользуйтесь дебетками без крайней необходимости. Дебетная карта — это почти кеш. Для любых удаленных транзакций — только кредитки.
Тогда и проблем с оспариванием платежа не будет.
А с кредиткой такая история не пройдет? Кажется, что на кредитке лимит трат гораздо больше
Отменить платеж по кредитке — на порядок проще, чем платеж по дебетке. Т.к. в этом случае своровали у банка, а не у вас :)
Для appstore и сотни других сервисов не нужен 3d-secure
Достаточно купить старенький подержанный смартфон и «левую» симкарту

чем Вам мало виртуалки с андроидом, это же все таки айти портал :)
Пошел в магазин за продуктами, взял карточку жены. При оплате на кассе вдруг понял, что забыл пин-код карточки. Начал звонить жене, спрашивать код. Продавщица глядя на меня как на полного дурака, вытаскивает нашу карточку из разъема 3d-secure терминала, и просто проводит магнитной полосой карты через считыватель. Все оплата совершена. Ни спрашивая никаких пинов.
Вы чип с интернет-операциями спутали.
Ваша продавщица намеренно нарушила все мыслимые и немыслимые инструкции и предписания, приняв оплату по карте от лица, заведомо не являющимся её законным держателем.
Вообще-то продавец не имеет полномочий проверять паспортные данные покупателя и кроме того любой гражданин имеет право не носить с собой свой паспорт. И даже тревование закона об ограничении продажи сигарет и алкоголя несовершеннолетним, вступает в конфликт с перечнем лиц имеющих право проверять паспортные данные. Но кроме того по закону о торговле продавец обязан продать покупателю имеющийся у него товар. Тоже самое относится и к перевозке транспортом общего пользования, услуги связи, энергоснабжение, медицинское, гостиничное обслуживание и т.п. В свете имеющихся вводных данных, какие мыслимые и немыслимые инструкции могла нарушить продавщица, если она даже не имеет возможности проверить кто является её законным держателем карты?
1) Имя на карте явно не мужское (ну тут могут быть варианты, ладно)
2) Оплата по полосе подразумевает подпись на чеке которая не совпадает с подписью на карте
Так в любом случае подпись физически на чеке может появиться только после факта покупки. Т.е. проблема поднимаемая автором поста, вообще не является проблемой ни для платежной системы и уж тем более для Яндекса. Система изначально такой создавалась. Т.е. нашел на улице карточку, или своровал ее из кармана, или своровал ее коды с помощью вируса, и все: деньги уплыли.
Вообще-то при наличии сомнений в законности владения картой кассир вправе запросить документ, подтверждающий личность. По крайней мере раньше это было так в рекомендациях банков. А если это карта не ваша, она может задержать карту или вас. Если меня поправят, то буду признателен, т.к. мне не очень понятно как это сейчас работает, при условии, что сейчас в рекомендациях вроде бы есть требование предоставить возможность оплатить, не передавая карту в руки продавцу.
Перечень лиц, которым имеют право проверять паспортные данные крайне узок(полиция, таможня, нотариусы, работники банков, лицензированные на провеку документов охранники, кассиры РЖД, проводники и п.р.). Они должны уметь отличить настоящий паспорт от фальшивого по ряду признаков. И эти лица периодически проходят переаттестацию на эту тему в МВД. Обычные продавцы не умеют отличить фальшивый паспорт от настоящего, так как не обучались этому. И них нет соответствующего спец.оборудования. Тоже самое и с охранниками: у обычного охранника в продуктовом магазине не будет лицензии на проверку паспорта: такую лицензию имеют охранники работающие на КПП. И прежде чем проверить у вас паспорт, это лицо должно получить от вас разрешение на доступ к персональной информации в письменном виде. Так правильно.

Задерживать человека имеет право только полиция и иные государственные силовые структуры. Продавец магазина не имеет на это права. Также как и охранник магазина. А если они это делают, то это уже незаконное лишение свободы. Карается лишением свободы от 2 лет до 8 лет.

Т.е. есть некие рекомендации банков, а есть жизнь в которой владельцу продуктового магазина обучение кассиров методам проверки паспортов обойдется в копеечку. А с другой стороны есть обязаность магазина продать необходимый покупателю товар. Т.е. продавец не имеет права отказать в продаже товара.

Я конечно утирирую, но вот к примеру, покупатель забегает в аптеку и молит аптекаря: дайте срочно что-нибудь от сердца. И при этом пытается заплатить с карты, которая по неким признакам не его(а например его жены). И как надо поступить аптекарю, чтобы потом не получить срок?
Ну да, вы утрируете, описываете всякие противоречия и ставите «моральные задачи», но не говорите о текущем положении дел или как должно быть на самом деле.

Я вам говорю лишь о том, каковы инструкции банка. Ну и продавец имеет право (и даже обязан!) отказать в продаже товара в отдельных случаях, например, алкоголя или табака несовершеннолетнему или в определённое время суток (зависит от региона), аптекарь не отпускает круг лекарств без рецепта итд. Конкретно за продажу алкоголя несовершеннолетнему магазины получают очень серьёзные штрафы. Тут конфликт происходит ну типа прав покупателя (которые вы упоминаете) и прав/обязанностей магазина (а именно магазину надо как-то убедиться, что он заключает оферту по продаже алкоголя с лицом, имеющим на это право).

Как это на самом деле разруливается в правовом смысле, вот вы сами в курсе? В целом это похоже на извечные срачи в автолюбительской среде типа обязан я или нет предъявлять водительские права и прочие документы ДПС-нику в каждом случае.

Хм, странно… Недавно занимался установкой терминала на рабочем месте, в связи с чем проводил тестовые проводки. Так вот, если попытаться провести магнитной полосой чипованную карту, терминал говорит "низзя, у тебя есть чип — используй его". Или это от настроек POSa зависит?

Наверное от настроек зависит. Еще заметил, что на заправках, очень часто оплата производится именно с использованием магнитной полосы, а не чипа. Приходишь с двумя картами: одна банковская, другая для накопления скидок. Кассир сначала скидочной проводит по считывателю магнитной карты, и тут же банковской. Вероятно их так научили. А в магазине по-другому.
Яндекс Такси тоже ничего не спрашивает, сразу снимает деньги.
Я столкнулся с тем же самым в двух польских банках. Сказали что невозможно запретить платежи без 3d-secure. Сказали единственной альтернативой это оформлять страховку, далее когда вас обокрали идти в полицию и вуаля, через пол года вы получаете часть денег назад, другого способа в Польше нет.
1. Небольшое дополнение к статье:
В личном кабинете Яндекс.Директа, в журнале оплат, платежи картой с использованием 3D Secure и платежи без полноценной проверки подписываются по-разному. Платежи через форму в личном кабинете в полной версии сайта подписаны «Банковская карта», платежи через мобильное приложение подписаны «Trust, банковской картой». «Trust» здесь к названию банка отношения никакого не имеет.

Скриншот подписей платежей в личном кабинете под спойлером


2. И еще оказалось, что не все банки одинаково соглашаются на списание средств с карты в «упрощенном порядке», который использует Яндекс в мобильном приложении. Оплата через мобильное приложение картами Сбербанка и банка Юникредит проходит без проблем, как описано в публикации. Однако, когда я захотел добавить в мобильное приложение карту Бинбанка, у меня это сделать не получилось. Яндекс пытался, как обычно, списать и вернуть 2 рубля, но Бинбанк это сделать не позволил. Я безуспешно пробовал добавить эту карту несколько раз.

Какая точно причина того, что Бинбанк не дал списать 2 рубля, я не знаю. Но с картой точно проблем нет, потому что через минуту этой же картой через десктоп-версию личного кабинета я без проблем пополнил баланс, проведя платеж с использованием 3D Secure.

Вероятно, что некоторые банки имеют возможность установить дополнительные параметры безопасности и не допускать проведение платежей в «упрощенном порядке». Но это скорее исключение, чем общее правило.

Скриншоты того, как Яндекс не смог проверить и добавить карту Бинбанка



А от банка какой отлуп?
В мобильном приложении конкретная причина не указывается. Выдается общая формулировка, как на скриншоте выше. На телефон в этом случае никакие СМС от банка не приходят (смс-информирование на карте подключено). Поэтому причину отлупа на стороне пользователя определить невозможно.
Sign up to leave a comment.

Articles