Comments 37
Это вообще не секюрно!
Выписку по счету клиента может распечатать такое кол-во сотрудников банка что наличие это так называемого секретного кода + номер карты + срок действия делает из клиента просто несчастную жертву.
Выписку по счету клиента может распечатать такое кол-во сотрудников банка что наличие это так называемого секретного кода + номер карты + срок действия делает из клиента просто несчастную жертву.
Такое же количество сотрудников банка может иметь доступ к 3-D Secure кодам или паролю (если он статический) и также пустить на нет безопасность. Действительно, если принимать в счет инсайд, то хоть что придумывай — не поможет, т.к. всего и надо то — подсмотреть номер карты и срок действия плюс иногда CVV2/CVC2, как вы и сказали. Упомянутый динамический код «живет» очень мало, за небольшой промежуток времени его может узнать только инсайдер или профессиональный мошенник, который купил все сразу: доступ в интернет банк, пароль к 3-D Secure, данные карты. От остальных мошенников это защищает и есть статистика, которую мы наработали за 4 года. Фрод снижается и это помогает.
Ну а в целом — Вы правы. Сейчас держатель карты — это потенциальная несчастная жертва.
Ну а в целом — Вы правы. Сейчас держатель карты — это потенциальная несчастная жертва.
Вы уверены, что знаете, как 3D Secure работает? В правильной реализации код генерируется сторонней компанией, так что у банка нет доступа к этим кодам. Да и если он генерируется самим банком, то наверняка Visa/MasterCard заставляют банки использовать для этого какой-нибудь black box/HSM, т.е. для банков опять-таки эти коды никогда и ни за что не будут доступны (как не доступны PINы).
Вряд ли ваш подход повлияет на конверсию в лучшую сторону. Получить выписку в разы сложнее, чем ввести код на стороннем сайте.
Тут очень много тонкостей, чтобы так просто об этом говорить. Например, что если банк, выпустивший карту (эмитент), не поддерживает 3DS, а банк, осуществляющий операцию (эквайер) поддерживает? А если наоборот? Ну и т.п.
Самое главное — расскажите о способе атаки на 3DS (помимо воровства телефона)?
Ну, и не полностью это ваше изобретение. Так давным-давно уже карты авторизуют (PayPal, например).
Использование таких технологий вынуждает покупателя переходить со страницы на страницу разных сайтов и плохо влияет на конверсию онлайн-платежей.
Вряд ли ваш подход повлияет на конверсию в лучшую сторону. Получить выписку в разы сложнее, чем ввести код на стороннем сайте.
Если покупка была проведена мошенником с использованием 3DS, держателю карты деньги не вернут.
Тут очень много тонкостей, чтобы так просто об этом говорить. Например, что если банк, выпустивший карту (эмитент), не поддерживает 3DS, а банк, осуществляющий операцию (эквайер) поддерживает? А если наоборот? Ну и т.п.
Самое главное — расскажите о способе атаки на 3DS (помимо воровства телефона)?
Ну, и не полностью это ваше изобретение. Так давным-давно уже карты авторизуют (PayPal, например).
3ds лежит на совсети банка эмитента, как он реализует по сути всё равно, просто в его же интересах сделать это правильно т.к. стороной которая теряет деньги в случае отказа пользователя от платежа в таких транзакциях выступает именно банк, а не магазин в случае без 3ds
Уже точно не помню, но очень сомневаюсь, что банк может сделать всё как захочет, и в правилах МПС об этом ничего не сказано.
А вы в нашей стране живете?
В моей собственной практике была такая ситуация, что пин-код от карты сообщили по телефону, кто-то из call-центра)
Я уж не говорю об остальных, «нерушимых и незыблемых», правилах.
В моей собственной практике была такая ситуация, что пин-код от карты сообщили по телефону, кто-то из call-центра)
Я уж не говорю об остальных, «нерушимых и незыблемых», правилах.
В нашей ;) Но я говорю про нормальные банки.
Не лгите ПИН-код не может быть сообщен по телефону.
Если не хотите прослыть лжецом назовите, год когда это было и наименование банка.
Если не хотите прослыть лжецом назовите, год когда это было и наименование банка.
Ну вот зачем так грубо? В жизни, уж поверьте, всякое бывает. И блажен тот человек, который может с уверенностью сказать «не может быть» о том, что зависит не только от него.
Я не хочу говорить конкретику, банк, ситуацию. Но по рассказам — это не одиночный случай.
Я не хочу говорить конкретику, банк, ситуацию. Но по рассказам — это не одиночный случай.
Эмм, поддержу Вас. И именно поэтому мы стараемся продвигать сервис CheckCode. Здесь остается надеяться только на себя и это полезно.
Про ПИН. Я сам уже в этом году услышал ПИН-код по своим картам по телефону. Очень это любит Сити-банк, есть еще и в РФ представители. Имею ввиду с корнями из нашей страны. А то, что это автоинформатор, то это уловка, чтобы не попасть под PCI.
Про ПИН. Я сам уже в этом году услышал ПИН-код по своим картам по телефону. Очень это любит Сити-банк, есть еще и в РФ представители. Имею ввиду с корнями из нашей страны. А то, что это автоинформатор, то это уловка, чтобы не попасть под PCI.
Если память меня не подводит, то в прошлом году Ренессанс Кредит Банк в прошлом году выдавал мне PIN к карте через телефонный автоинформатор.
UPD: Хотя автоинформатор наверное слабо подходит под Call Center с оператором
UPD: Хотя автоинформатор наверное слабо подходит под Call Center с оператором
Буду груб, но автор написал «пин-код от карты сообщили по телефону, кто-то из call-центра» и я утверждаю что он солгал. И не указание источника только подтверждает данный факт.
Генерация кода из IVR или вам «женский голос» продиктовал? Генерация ПИН через IVR во многих банках не проходит PCI DSS сертификацию. И это не просто потенциальная проблема, а фактическая дыра.
Надо оперировать фактами. Если ПИН может быть раскрыт в форме как сочиняет DenLih подобные банки должны быть жестоко наказаны. И это не пустые слова, банк можно реально подтянуть вы конечно с этого не чего не получите в денежном эквиваленте. Но поверьте «не профессионалам» от безопасности в это банке не дадут дальше работать. Да и может не получится больше работать им в банковской сфере.
P.S. В это стране все больше и больше игнорируются мнение профессионалов и это плохо кончится.
Генерация кода из IVR или вам «женский голос» продиктовал? Генерация ПИН через IVR во многих банках не проходит PCI DSS сертификацию. И это не просто потенциальная проблема, а фактическая дыра.
Надо оперировать фактами. Если ПИН может быть раскрыт в форме как сочиняет DenLih подобные банки должны быть жестоко наказаны. И это не пустые слова, банк можно реально подтянуть вы конечно с этого не чего не получите в денежном эквиваленте. Но поверьте «не профессионалам» от безопасности в это банке не дадут дальше работать. Да и может не получится больше работать им в банковской сфере.
P.S. В это стране все больше и больше игнорируются мнение профессионалов и это плохо кончится.
вот вырезка из справки:
единственным «ограничением» на получение PIN-кода тут является знание кодового слова, которое… знает сотрудник банка, получавший от меня анкету
Можно ли при этом через оператора Call-центра запросить смену/повторное получение PIN не проверял
Как начать пользоваться картой?
Перед началом использования карту следует активировать. Для этого после получения карты Вам необходимо позвонить по телефону специально выделенной линии 8-800-100-08-86 и ответить на вопросы сотрудников службы поддержки клиентов банка. Звонок из любого региона России бесплатный. PIN-код (персональный идентификационный номер), предназначенный для получения наличных денежных средств по карте, сообщается Вам по телефону в автоматическом режиме при активации карты.
единственным «ограничением» на получение PIN-кода тут является знание кодового слова, которое… знает сотрудник банка, получавший от меня анкету
Можно ли при этом через оператора Call-центра запросить смену/повторное получение PIN не проверял
Я уже писал что генерация ПИН-а через IVR не может пройти сертификацию PCI DSS. Но банки либо ее выводят за пределы зоны аудита PCI DSS, либо «договариваются» с аудиторами. Поэтому очень просто выявить аудиторов в кавычках, и достаточно как Вы правильно указали пойти на сайт банка и посмотреть функционал. И посмотреть на авторство «сертификата» PCI DSS.
И если вернутся к правилам.
В процессинге хранится PVV это значение односторонней функции от ПИН-а. Когда приходит транзакция вычисляется PVV из транзакции и сравнивается со значением хранимым в базе.
А вот по PVV вычислить ПИН можно только перебором. И кстати нет гарантии что этот ПИН будет один.
А вот хранить ПИН даже в зашифрованном виде это не просто нарушение, а это расстрелянная статья. И это должны проверить аудиторы PCI DSS, но смотри первую часть сообщения.
И если вернутся к правилам.
В процессинге хранится PVV это значение односторонней функции от ПИН-а. Когда приходит транзакция вычисляется PVV из транзакции и сравнивается со значением хранимым в базе.
А вот по PVV вычислить ПИН можно только перебором. И кстати нет гарантии что этот ПИН будет один.
А вот хранить ПИН даже в зашифрованном виде это не просто нарушение, а это расстрелянная статья. И это должны проверить аудиторы PCI DSS, но смотри первую часть сообщения.
в Сбербанке в этом году переполучал картку — установка PIN делается через банкомат. При этом, практически все действия делает сотрудница банка (это у них называется типа «помощи в быстрой навигации по меню банкомата»), кроме непосредственно ввода PIN — не помню, чтобы она отвернулась в момент ввода PIN, видать в инструкции этого не прописано.
А чем это мне, покупателю, упрощает жизнь? Если у меня нет смс на списание, мне нужно зайти в интернет-банк? А если банк присылает такие смс с большой задержкой? А если в эти смс попадает далеко не вся нужная информация, у меня это сумма и адрес точки? Что туда можно запихать динамического?
А как это теперь снимает ответственность со всей цепочки процессинга, теперь ответственность перекладываются на магазин, так как это он провел транзакцию без 3D Secure?
А как это теперь снимает ответственность со всей цепочки процессинга, теперь ответственность перекладываются на магазин, так как это он провел транзакцию без 3D Secure?
СМС с задержкой также зачастую лишает возможности ввода 3-D Secure пароля (он часто динамический и часто доставляется в СМС, реже в скретч картах, еще реже он статический). В СМС также не всегда попадает вся информация, мы стараемся такие банки вылавливать и менять место вставки кода. Если Вы поможете нам, то буду признателен!
Ответственность — вот здесь Вы правы. Предложенная технология не упрощает споры по чарджбэкам, не перекладывает ответственность на эмитента или держателя карты. Это проблема, но давайте обсудим процедуру арбитража между банками по поводу «отбивки» чарджбэка. Не проще ли попросту пытаться отсеять мошеннические платежи еще на стадии попытки оплаты? Мы стараемся убрать тупиковую бюрократию и пытаемся сделать что-то полезное. Заметьте, мы не продаем технологию, она бесплатна. Помогите нам, если знаете минусы.
Ответственность — вот здесь Вы правы. Предложенная технология не упрощает споры по чарджбэкам, не перекладывает ответственность на эмитента или держателя карты. Это проблема, но давайте обсудим процедуру арбитража между банками по поводу «отбивки» чарджбэка. Не проще ли попросту пытаться отсеять мошеннические платежи еще на стадии попытки оплаты? Мы стараемся убрать тупиковую бюрократию и пытаемся сделать что-то полезное. Заметьте, мы не продаем технологию, она бесплатна. Помогите нам, если знаете минусы.
Ребят, ну вы прямо занавесу тайны открыли:)
Только вот вы сядете в лужу, ибо 90% банков не поддерживают динамические дескрипторы, вы не сможете залочить точную сумму в иностранной валюте (по крайней мере из российского эквайринга), а доступ к дескриптору или коду авторизации очень часто проблематичен, особенно в США.
Только вот вы сядете в лужу, ибо 90% банков не поддерживают динамические дескрипторы, вы не сможете залочить точную сумму в иностранной валюте (по крайней мере из российского эквайринга), а доступ к дескриптору или коду авторизации очень часто проблематичен, особенно в США.
я знаю как минимум 2 банка, выписки которых были доступны через уязвимость в интернет-банкинге, и любой злоумышленник мог бы в онлайн-режиме получить ваш динамический код (если конечно банк решил добавлять этот код в выписку)
Ну и как бы это далеко не изобретение, поле для этого кода давно существует в протоколах МПС
Ну и как бы это далеко не изобретение, поле для этого кода давно существует в протоколах МПС
обычно такая проверка реализуется через динамического мерчанта, в таком случае в выписке любого банка будет виден ваш код, т.к. он является кодом мерчанта… и реализации этой уже наверное столько же, сколько и мировому эквайрингу
Не обязательно это будет динамический мерчант. Есть еще небольшое количество полей в авторизационном запросе, которое доступно в оповещениях или выписках. Если есть проблемы с получением таких данных, то сообщите нам, пожалуйста, и Вы примете участие в улучшении предложенного решения. Разве это плохо?
>проверка не требует дополнительных переходов покупателя между сайтами
>Держатель карты может узнать код через интернет-банк (мобильный банк), через смс-оповещение или позвонив в службу поддержки банка
Не сочетаемые пункты. Если у человека не подключено SMS-уведомление о списаниях (а оно почти везде платное), то ваша система еще сложнее для пользователя, чем привычный ввод кода из смс после автоматической переадресации на страницу банка. Не надо вручную запускать мобильный банк, или искать в закладах интернет-банк, или звонить (!) и ждать (!) оператора на линии пока тебе скажут код.
>Держатель карты может узнать код через интернет-банк (мобильный банк), через смс-оповещение или позвонив в службу поддержки банка
Не сочетаемые пункты. Если у человека не подключено SMS-уведомление о списаниях (а оно почти везде платное), то ваша система еще сложнее для пользователя, чем привычный ввод кода из смс после автоматической переадресации на страницу банка. Не надо вручную запускать мобильный банк, или искать в закладах интернет-банк, или звонить (!) и ждать (!) оператора на линии пока тебе скажут код.
У меня в одном из банков hold вообще не показывается нигде, кроме как в общей сумме доступных средств. Пока деньги не списываются, я не могу увидеть описание транзакции. Да, банк — унылое Г, но уж с чем пришлось работать.
Я не могу понять, почему в банках и визе не сделать one time codes? Зашёл в банк-клиент, выписал код, вставил на сайте продавца, зная, что рискуешь суммой не более платежа.
Я не могу понять, почему в банках и визе не сделать one time codes? Зашёл в банк-клиент, выписал код, вставил на сайте продавца, зная, что рискуешь суммой не более платежа.
Это ваше «изобретение» с кодом уже давно используется рядом интернет-магазинов и сервисов. Я столкнулся с этим впервые года полтора назад. Понадобилось минут 30, чтобы добиться от банка какой код я хочу.
Блокирование суммы для проверки может лишить магазин покупателя. Например у меня баланс карты в одной валюте, сумма блокируется в другой, в СМС оповещении приходит сумма блокировки сконвертированная в валюту карты. Как мне угадать, что нужно ввести?
Блокирование суммы для проверки может лишить магазин покупателя. Например у меня баланс карты в одной валюте, сумма блокируется в другой, в СМС оповещении приходит сумма блокировки сконвертированная в валюту карты. Как мне угадать, что нужно ввести?
Это ваше «изобретение» с кодом уже давно используется рядом интернет-магазинов и сервисов. Я столкнулся с этим впервые года полтора назад.
Возможно, интернет-магазины и сервисы, использующие наше «изобретение», являются нашими клиентами)
Блокирование суммы для проверки может лишить магазин покупателя. Например у меня баланс карты в одной валюте, сумма блокируется в другой, в СМС оповещении приходит сумма блокировки сконвертированная в валюту карты. Как мне угадать, что нужно ввести?
Не требуется вводить сумму, требуется ввести код — он никак не связан с конвертацией валют и т.д.
При оплате с 3DSecure нужно:
В предложенном вами варианте нужно:
Вроде небольшое изменение, но столько разных если. Если смс придёт, если там будет правильная цифра, если интернет-банк показывает такие операции…
- Заполнить реквизиты
- На сайте банка эмитента ввести код
В предложенном вами варианте нужно:
- Заполнить реквизиты
- Зайти в интернет банк или получить смс
- Вернуться что бы ввести на вашем сайте заблокированную сумму
Вроде небольшое изменение, но столько разных если. Если смс придёт, если там будет правильная цифра, если интернет-банк показывает такие операции…
При оплате с 3DSecure нужно:
1. Заполнить реквизиты
2. На сайте банка эмитента ввести код
По поводу «если»:
3-D Secure далеко не белый и пушистый:
— а если эквайер хочет, чтобы транзакция была 3DS, а карта не вовлечена и эмитент не разрешает такие оплаты — оплата не пройдёт
— а если банк-эмитент использует статический код авторизации при 3DS (например, в определенной степени это распространено в US)? — не секьюрно. 3DS фрод — совсем не редкое явление.
— а если эметинт всё-таки разрешил 3DS транзакцию по невовлеченной в 3DS карте, то мошеннику не надо иметь ни доступа к телефону кардхолдера, ни секретного кода для совершения транзакции. И в подобных случаях, 3DS хоть и защищает интернет-магазин от удержаний по мошенническим операциям, но не является барьером для мошенников, не уменьшает вероятность фрода.
— и т.д.
3DSecure не идеален. Вообще эта идеология наслоений на принципы работы системы 50-70х годов разработки неправильная, так же как и наличие магнитной полосы и оплата реквизитами с CVC кодом, но оно хоть как-то работает и позволяет купить за пять минут, а вот с дополнительной надстройкой в виде тестовых блокировок этот процесс может занимать как пять минут так и несколько суток пока человек добьётся от своего банка нужной информации (в наихудшем случае).
Это как отправка вложений в электронной почте. Всё работает. Все пользуются. Но система не была задумана такой соответственно есть издержки — больший размер письма. Так и здесь. Пользоваться в принципе можно, но странные проблемы могут вылезать и приводить в бешенство конкретных людей у которых что-то не сработало как планировалось.
Это как отправка вложений в электронной почте. Всё работает. Все пользуются. Но система не была задумана такой соответственно есть издержки — больший размер письма. Так и здесь. Пользоваться в принципе можно, но странные проблемы могут вылезать и приводить в бешенство конкретных людей у которых что-то не сработало как планировалось.
Вы правы. Но опять же, случаи трудностей с получением выписки или оповещения связаны с конкретными банками или спецификой банковской системы той или иной страны. Мы стараемся применять сервис только там, где он будет приносить пользу. Если кого-то мы привели в бешенство, то очень хочу извиниться. Будем улучшаться). Все-таки это хоть какая-то защита от воровства карт, которая не связана с платежными системами. 3-D Secure не дает абсолютного иммунитета, нет гарантии, что не «прилетит» чарджбэк, нет уверенности, что тебя защитит платежная система, выступающая «арбитром». Мы за почти 5 лет убедились, что проще бороться самим. Поэтому и поделились этим опытом с Вами и сообществом хабра. Давайте подумаем, что еще можно применить, чтобы не было мошенников. Хотя бы непрофессиональных, хотя бы не в виде детских шалостей с папиными картами. Ведь профи имеет не только ваши пароли, еще и, скорее всего, сим-карту с Вашим номером, которая выступит приоритетной при отправке динамического пароля.
3-D Secure действительно в указанных Вами случаях позволяет не возвращать деньги и «переносит» ответственность на эмитента, но не всегда. Есть случаи, и я о них стараюсь рассказывать в платежных системах, когда даже 3дс не помогает. Особенно в кросс-бордерных платежах с использованием карт штатов. Опротестование, как правило, строится на прямых коммуникациях с сотрудниками соответствующих служб банков эквайеров, иногда эмитентов. Реже доходим до арбитража.
Есть случаи, когда эмитенты прекращали преарбитраж после наших аргументов с использованием чек-кода. Как-то так.
Есть случаи, когда эмитенты прекращали преарбитраж после наших аргументов с использованием чек-кода. Как-то так.
Простите, не ответил сразу. Пришлось переосмыслить назначение статьи.
Мне очень странно видеть много негатива или критики на невежестве. Ну не нравится вам (комментаторам — очень вас уважаю), этот пост. Ну считаете вы, что не новье — так давайте закончим эту тему, я не горжусь патентами. Мы же хотим бороться с мошенниками, разве нет? Хабр тем и важен для нас — это классный способ обмениваться мыслями, идеями и, самое важное, их реализациями.
Вот написали мы про check-code. Это не пустая идея и не глупое шапкозакидательство, это ОПЫТ. Мы решили поделиться с вами 4-хлетним стажем, 300 миллионным транзакционнцым прошлым. Ждем помощи, советов, идей, и даже негатива, но конструктивного. Давайте говорить про то, как можно победить засранцев еще до того, как они ими станут. Да — есть у нас патент. Да — есть у нас опыт его использования. Да — это никому не надо в РФ. Наконец, давайте вспомним про штрафы и чарджбэки (не спорю про то, что первичнее). Цель этой статьи — это не PR, это попытка поговорить, попытка выйти на полемику, на дискуссию и на РЕШЕНИЕ! Поймите, уважаемые участники сообщества хабра (простите если обидел в терминах), Payture здесь не пытается сделать PR. Это и так мы (я — один из основателей Payture) делаем точетно и без билбордов. Просто поделились тем, что не оспорить — статистикой. Это не продажа стартапа. Скажите, что не так, скажите, что лучще добавить или переделать — круто же всем будет.
Жду ващих комментов как можно развить технлогию!
Мне очень странно видеть много негатива или критики на невежестве. Ну не нравится вам (комментаторам — очень вас уважаю), этот пост. Ну считаете вы, что не новье — так давайте закончим эту тему, я не горжусь патентами. Мы же хотим бороться с мошенниками, разве нет? Хабр тем и важен для нас — это классный способ обмениваться мыслями, идеями и, самое важное, их реализациями.
Вот написали мы про check-code. Это не пустая идея и не глупое шапкозакидательство, это ОПЫТ. Мы решили поделиться с вами 4-хлетним стажем, 300 миллионным транзакционнцым прошлым. Ждем помощи, советов, идей, и даже негатива, но конструктивного. Давайте говорить про то, как можно победить засранцев еще до того, как они ими станут. Да — есть у нас патент. Да — есть у нас опыт его использования. Да — это никому не надо в РФ. Наконец, давайте вспомним про штрафы и чарджбэки (не спорю про то, что первичнее). Цель этой статьи — это не PR, это попытка поговорить, попытка выйти на полемику, на дискуссию и на РЕШЕНИЕ! Поймите, уважаемые участники сообщества хабра (простите если обидел в терминах), Payture здесь не пытается сделать PR. Это и так мы (я — один из основателей Payture) делаем точетно и без билбордов. Просто поделились тем, что не оспорить — статистикой. Это не продажа стартапа. Скажите, что не так, скажите, что лучще добавить или переделать — круто же всем будет.
Жду ващих комментов как можно развить технлогию!
Sign up to leave a comment.
Как упростить проверку держателя банковской карты при онлайн-платежах?