Comments 81
Хотелось бы заметить, что банального подмена страницы ввода тоже никто не отменял. В этом случае будет виноват как раз магазин, так как не уделил должного внимания безопасности системы.
Страницы ввода данных карты управляются интернет-эквайером (Ассист, ХроноПэй, Киберплат) и нормальный магазин не требует на своих страницах ввода данных карточки. Во всяком случае эквайеры при подключении магазинов за этим следят.
Можно подделать страницу эквайера.
То есть так — взломать инет магазин, изменить там ссылку оплаты на свой «процессинг центр»
То есть так — взломать инет магазин, изменить там ссылку оплаты на свой «процессинг центр»
я как раз это и имел ввиду (редирект не на эквайера, а на сторонний сайт). Если утечка происходит со стороны эквайера, то ответственности магазина здесь нет, да и возможность этого крайне мала.
надо еще ключ валидный взять, от которого секьюрити-варнингов не будет
Ага, только для этого надо сделать самую малость — создать сам интернет магазин, наполнить его товарами, продвинуть в поисковиках. А еще перед покупкой люди любят пообщаться, значит еще сапорт надо посадить. А потом быстро-быстро перевести украденные 20 долларов к себе на счет.
UFO just landed and posted this here
А если пользователя переправят на поддельный сайт якобы процессинговой компании? Да и кто из простых смертных вообще знает как это всё происходит, какие сайты процессинговые, какие нет, как в этом удостоверится и т.д. Так что мошенничество при нынешнем уровне компьютерной грамотности очень даже возможно!
Ну, собственно частично про то и речь, что и так уровень понимания элементарной безопастности невелик, а тут вдобавок еще пугают страшилками.
По сабжу, ну да может быть и такое. Вопрос опять-таки элементарной грамотности и осторожности — если человек собирается платить пластиком- необходимо минимальными знаниями обладать, дабы уж совсем левые ИМы не использовать.
Либо отдельная карточка только для расчетов через Сеть с минимально возможной для потери суммой.
По сабжу, ну да может быть и такое. Вопрос опять-таки элементарной грамотности и осторожности — если человек собирается платить пластиком- необходимо минимальными знаниями обладать, дабы уж совсем левые ИМы не использовать.
Либо отдельная карточка только для расчетов через Сеть с минимально возможной для потери суммой.
Дело здесь возможно не в слабой компьютерной грамотности, а в банальной человеческой лени. Я как человек достаточно разбирающийся в компьютерах, очень редко провожу оплату по кредитным карта. Мне просто лень следить за всеми нюансами безопасности этого платежа, такие, как защищенность соединения, адрес процессинговой компании, валидность этой конторы и тд. Мне значительно проще и комфортней приехать в ближайшей оффлайн магазин этой конторы и купить за туже карту или наличные интересующие меня вещи.
Это будет работать до первого пользователя, который не поленится проверить URL и сертификат и накапать куда следует.
Меня, впрочем, вряд ли хватит на последнюю часть, но мне мошеники пока не попадались.
Меня, впрочем, вряд ли хватит на последнюю часть, но мне мошеники пока не попадались.
UFO just landed and posted this here
Всё же претензии по страшилкам надо высказывать не изданию «Деньги», а эксперту по рынку киберкриминала.
Adscore.ru
Adscore система управления рекламными кампаниями
у доброй половины из них есть минимальные уязвимости
Типа неубранной информации о том что сайт сделан на распространенной CMS у которой постоянно находят дыры каждый месяц?
Adscore система управления рекламными кампаниями
у доброй половины из них есть минимальные уязвимости
Типа неубранной информации о том что сайт сделан на распространенной CMS у которой постоянно находят дыры каждый месяц?
Adscore.ru
«generator» content=«Joomla! 1.5 — Open Source Content Management»
Парсер лох(
«generator» content=«Joomla! 1.5 — Open Source Content Management»
Парсер лох(
И еще на сайте уважаемого эксперта ссылки неSEF, а джумловские (http://adscore.ru/index.php?option=com_content&view=article&id=3&Itemid=3), так что сайт потенциальный кандидат взлом, когда обнаружат дырку в ядре Joomla и сотни турецких кулцхацкеров пойдут гуглить ?option=com_content
Имея совсем крошечный магазинчик не долгое время сделал следующие выводы.
Люди реально боятся оплачивать что то карточками, хотя это самый быстрый и удобный способ оплаты. Видимо журналисты сделали свое дело. Пока оплат карточкой еще не было (процессинг LiqPay).
А самый популярный это электронные деньги, в основном яндекс деньги. Хотя переплата получается около 10% по сравнению с картой.
Люди реально боятся оплачивать что то карточками, хотя это самый быстрый и удобный способ оплаты. Видимо журналисты сделали свое дело. Пока оплат карточкой еще не было (процессинг LiqPay).
А самый популярный это электронные деньги, в основном яндекс деньги. Хотя переплата получается около 10% по сравнению с картой.
UFO just landed and posted this here
UFO just landed and posted this here
Зато много много проблем прибавляется продавцу. % возврата очень большой, многие отказываются от такой схемы.
Может мне везло, но я и моя жена очень много покупаем в интернет магазинах, и в России и заграницей, оплачиваем всеми возможными способами и проблемы возникали только раз с обменом некачественного товара, но там я скорее сам тупанул. С доставкой проблем никогда не возникало.
Может мне везло, но я и моя жена очень много покупаем в интернет магазинах, и в России и заграницей, оплачиваем всеми возможными способами и проблемы возникали только раз с обменом некачественного товара, но там я скорее сам тупанул. С доставкой проблем никогда не возникало.
Во-вторых: и, пожалуй, в главных. Никакой интернет-магазин, пусть он написан на коленке обкурившимся студентом, и действительно имеет кучу дыр для внедрения вредоносных программ НЕ ПОЛУЧАЕТ от клиента никаких! данных по банковской карте. При выборе клиентом такового способа оплаты ИМ отправляет, говоря простыми словами, его на сайт процессинговой компании
Процессинги также предоставляют некоторым мерчантам API (веб-сервисы), позволяющий магазину не перенаправлять пользователя на сайт процессинга, а собирать данные его карты прямо на странице магазина. Мне приходилось видеть такие страницы, доступные по незащищенному протоколу, хотя по идее процессинг должен бы отслеживать такие совсем уж очевидные дыры.
UFO just landed and posted this here
В реальной жизни все гораздо проще. Безопасность такого магазина проверяется обычно только процессингом. А если в проекте магазина участвует сам процессинг — на проверки вообще могут забить))
А вот каким образом попадают на платежные страницы всякие там бэджи типа «Verfied by VISA» — это уж я не знаю.
А вот каким образом попадают на платежные страницы всякие там бэджи типа «Verfied by VISA» — это уж я не знаю.
В реальной жизни все гораздо проще.
Уже нет. Есть требования PCI-DSS/PA-DSS, если магазин их не выполняет, то его ждут большие беды, если вдруг его взломают и кредитки «утекут».
А вот каким образом попадают на платежные страницы всякие там бэджи типа «Verfied by VISA»
Этот бейдж не имеет отношения к безопасности самого магазина. Visa конечно не проверяет сама магазин. Это всего лишь говорит о том, что поддерживается защитная технология «Verfied by Visa», когда каждую транзакцию надо подтверждать паролем.
Уже нет. Есть требования PCI-DSS/PA-DSS, если магазин их не выполняет, то его ждут большие беды, если вдруг его взломают и кредитки «утекут».
А вот каким образом попадают на платежные страницы всякие там бэджи типа «Verfied by VISA»
Этот бейдж не имеет отношения к безопасности самого магазина. Visa конечно не проверяет сама магазин. Это всего лишь говорит о том, что поддерживается защитная технология «Verfied by Visa», когда каждую транзакцию надо подтверждать паролем.
вна Украине такого нет, основной процессинг (Приватбанк) работает только через свою форму
у меня кстати после покупки в таком магазине (причем магазин вроде вполне нормальный, и заказ выслали) утекли данные по карте…
карте 2 недели всего было, привязана к paypal, и 2 покупки всего было кроме paypal, в оффлайне и вот в этом магазине…
карте 2 недели всего было, привязана к paypal, и 2 покупки всего было кроме paypal, в оффлайне и вот в этом магазине…
UFO just landed and posted this here
У самого в первый раз возникло такое ощущение, но немного вникнув понял что это очень удобная и надежная система.
Что то вроде PayPal но с более грамотной системой регистрации и авторизации.
Эта контора принадлежит одному из крупнейших банков Украины (Приват банку), поэтому думаю не стоит сомневаться в ее надежности. Тут хотя бы понятно что это за фирма в отличение от тех же Вебмани зарегистрированных в Панаме.
Что то вроде PayPal но с более грамотной системой регистрации и авторизации.
Эта контора принадлежит одному из крупнейших банков Украины (Приват банку), поэтому думаю не стоит сомневаться в ее надежности. Тут хотя бы понятно что это за фирма в отличение от тех же Вебмани зарегистрированных в Панаме.
черезчур «надежная» и оттого неудобная.
2 мои транзакции заблокировали, сказали сделают запрос в бакн-эмитент карты и после подтверждения проведут. потом сказали что банк не подтвердил им что то там и деньги вернутся обратно %) Звоню в банк — говорят все нормально, прошла транзакция %) В итоге через месяц деньги разблокировались только.
Также как продавец подключил их — ни одной успешно завершенной транзакции.
2 мои транзакции заблокировали, сказали сделают запрос в бакн-эмитент карты и после подтверждения проведут. потом сказали что банк не подтвердил им что то там и деньги вернутся обратно %) Звоню в банк — говорят все нормально, прошла транзакция %) В итоге через месяц деньги разблокировались только.
Также как продавец подключил их — ни одной успешно завершенной транзакции.
Имхо, Ассист выглядит не лучше.
>>Никакой интернет-магазин… НЕ ПОЛУЧАЕТ от клиента никаких! данных по банковской карте.… ВСЕ данные с карты пользователь вводит на защищенных сайтах процессинга, верифицированных банками, которые в свою очередь получили одобрения международных платежных систем.
Всегда вводил данные карты на сайтах интернет-магазинов, с процессинговыми компаниями сталкивался только при оплате хостинга и покупке доменов.
Всегда вводил данные карты на сайтах интернет-магазинов, с процессинговыми компаниями сталкивался только при оплате хостинга и покупке доменов.
В нашем магазине основные покупатели москвичи 18-25 лет, т.е. самая продвинутая часть населения. Оплата картой – это просто нонсенс, никто не платит.
Предположу, что москвичи 18-25 лет учатся в ВУЗах и сидят у родителей на шее, а для получения кредитки банки требуют иметь работу и стабильный доход :)
Оплачивать можно и дебетовой картой.
Все просто путают и называют банковские картами кредитными. Так уж повелось.
я думал, отличия кредитной от дебетовой карты только в отношениях банка с клиентом — пред- или постоплата, а извне, для магазина, эти карты выглядят одинаково — имя, 16-значный номер, срок действия и код.
банковская карта — это же немного другое, по ней не происходит моментальной оплаты, как в случае кредитки, и номер на ней выглядит иначе.
банковская карта — это же немного другое, по ней не происходит моментальной оплаты, как в случае кредитки, и номер на ней выглядит иначе.
Это не так. Банковские карты — это и есть кредитные (или правильнее — кредитовые) или дебетовые карты. Ну еще можно выделить нечто среднее — дебетовые карты с разрешенным овердрафтом.
да, это сложная для меня терминология.
то, что я назвал банковской картой — это привязанная к банковскому счёту карта. с напечатанным номером банковского счёта и номером банка. номер этой карты и есть номер моего счёта. ей тоже можно платить в некоторых интернет-магазинах.
всё остальное — кредитные карты. которые могут быть и дебетовыми :) это уже зависит от договора человека с кредитным институтом. у них 16-значный номер.
то, что я назвал банковской картой — это привязанная к банковскому счёту карта. с напечатанным номером банковского счёта и номером банка. номер этой карты и есть номер моего счёта. ей тоже можно платить в некоторых интернет-магазинах.
всё остальное — кредитные карты. которые могут быть и дебетовыми :) это уже зависит от договора человека с кредитным институтом. у них 16-значный номер.
Замечу, что на деле у большинства карты есть. Это хорошо видно, когда они расплачиваются налом. У всех кошельки утыканы визами или мастеркардами.
UFO just landed and posted this here
Очень многие используют карты только в режиме зарплата->банкомат либо вообще не зная о возможности оплаты с карты онлайн (да и оффлайн), либо априори преувеличивая сложность процесса (иногда не безосновательно), либо не доверяя все свои деньги третьим лицам (включая продавцов и процессинговые центры).
UFO just landed and posted this here
Редкий магазин имеет хотя бы 5 тыс. клиентов в базе. По картам платят и того меньше. Сильно меньше половины.
Недавно видел интересное ТЗ ИМ-а крупногабаритной техники: убрать опции оплаты при оформлении заказа. Оплата производится при доставке товара. Добавить экспорт в… Маркет.
Вот интересно, у них курьер Visa Virtual принять сможет?:) Предоплату подобных услуг по карточкам здесь еще не скоро сделать смогут.
Вот интересно, у них курьер Visa Virtual принять сможет?:) Предоплату подобных услуг по карточкам здесь еще не скоро сделать смогут.
количество оплат с помощью банковских карт сейчас составляет по разным источникам в среднем 11% от всей массы заказов. Т.е. получается, что магазин «средней руки» в день выполняет 700/11*100= 6 500 заказов!
Хочу расстроить уважаемого Сергея Шивалина, таких магазинов не то что средней руки, а вообще, в принципе, как класс. в России НЕТ.
www.afanasy.biz/news/detail.php?ELEMENT_ID=18865
Озон обслуживает около 10к заказов в день. Правда, не по картам, конечно, а всего в месте :)
www.oborot.ru/news/7559/21
Я ориентировался на данные самого Озона (это правда предпоследние, не нашел с ходу апрельские) но понятно, что за год в 2,5 раза там оборот не вырос)
А по вашей ссылке афтор, думаю, просто в порыве страсти чуть приврал просто)
Я ориентировался на данные самого Озона (это правда предпоследние, не нашел с ходу апрельские) но понятно, что за год в 2,5 раза там оборот не вырос)
А по вашей ссылке афтор, думаю, просто в порыве страсти чуть приврал просто)
Никакой интернет-магазин, пусть он написан на коленке обкурившимся студентом, и действительно имеет кучу дыр для внедрения вредоносных программ НЕ ПОЛУЧАЕТ от клиента никаких! данных по банковской карте.
Как раз наоборот, тем более в большинтво известных клонов е-шопов (оскомерс и тд) уже поддерживают данную возможность. Вплоть до сохранения ccv.
Как раз наоборот, тем более в большинтво известных клонов е-шопов (оскомерс и тд) уже поддерживают данную возможность. Вплоть до сохранения ccv.
При выборе клиентом такового способа оплаты ИМ отправляет, говоря простыми словами, его на сайт процессинговой компании, передавая туда сам лишь по большому счету номер заказа и сумму, которую нужно списать с клиента.
Сами пишете о том, в чём не разбираетесь. Так работают, например, Cyberplat и Chronopay: пользователя перебрасывают на сайт процессинга, где он вводит данные и, соответственно, совершает платёж. Это самый простой и ненапряжный способ подключения оплаты пластиком на сайте.
А можно напрямую подключаться к процессинговым центрам (мы например, подключены к АльфаБанку), тогда все транзакции проходят через специальный серверный API. И как раз в этом случае реквизиты карты вводятся на сайте магазина, а не процессингово центра.
В «Деньгах» нету хорошего, грамотного IT-редактора, вот и все. Если автор написал правдоподобно, и привлек консультантов с солидной должностью, то статья пойдет в публикацию.
Думаю, что Сергей Шивалин (на слова которого ссылаеться «Деньги») здесь на самом деле не причём. Претензии скорее всего к автору статьи (к журналисту).
Пару месяцев назад у меня брали интервью (комментарий) по теме банковских карт(!) один из корреспондентов данного журнала «Деньги». Интервью было дано с обязательным(!) условием, что перед публикацией они обязательно согласуют текст. Действительно, на электронную почту был прислан текст на согласование. Причём была написана полная «ерись» (многие слова, которые я никогда не говорил, но которые приписаны мне). Я всё переписал (как на самом деле должно быть) и отправил им обратно, получив в ответ сообщение что мол всё поняли, не беспокойтесь.
Через неделю вышла статья в «Деньгах». И что вы думаете? Мои правки просто банально проигнорировали и текст в журнале напечатали именно так, как был прислан мне изначально. С точки зрения коллег я в этой статье иногда несу ахинею и «наезжает на других». Я в возмущении звоню журналисту «Денег» за разъяснениями. На что он мне отвечает, что (дословно) — «ЭТО АВТОРСКАЯ ОБРАБОТКА ТЕКСТА» (её делал редактор в тональности статьи) и «ЭТО ПРАВО ЖУРНАЛИСТА ПИСАТЬ В КАКОЙ-ЛИБО ТОНАЛЬНОСТИ» (общий глобальный смысл верен, а всё остальное не важно). Я начал скандал и в результате чего мне удалось добиться только то, что они согласились в электронной версии (на сайте журнала) внести правки. И всё. Но бумажная то версия уже вышла.
Вывод — Если есть желание дать интервью журналу «Деньги», то прежде берите с журналиста «письменную расписку» о том, что он обязуется отдать на публикацию только тот текст, который он с вами согласовал, и если в результате будет напечатано что то иное, то именно данный журналист несёт перед вами материальную ответственность на определённую сумму....". Если подпишет — можете смело давать интервью. Если нет — будьте готовы, что Вы на самом деле просто нужны для того чтобы придать какой то вес статье, а написано будет что то другое (но с ссылкой на вас).
Пару месяцев назад у меня брали интервью (комментарий) по теме банковских карт(!) один из корреспондентов данного журнала «Деньги». Интервью было дано с обязательным(!) условием, что перед публикацией они обязательно согласуют текст. Действительно, на электронную почту был прислан текст на согласование. Причём была написана полная «ерись» (многие слова, которые я никогда не говорил, но которые приписаны мне). Я всё переписал (как на самом деле должно быть) и отправил им обратно, получив в ответ сообщение что мол всё поняли, не беспокойтесь.
Через неделю вышла статья в «Деньгах». И что вы думаете? Мои правки просто банально проигнорировали и текст в журнале напечатали именно так, как был прислан мне изначально. С точки зрения коллег я в этой статье иногда несу ахинею и «наезжает на других». Я в возмущении звоню журналисту «Денег» за разъяснениями. На что он мне отвечает, что (дословно) — «ЭТО АВТОРСКАЯ ОБРАБОТКА ТЕКСТА» (её делал редактор в тональности статьи) и «ЭТО ПРАВО ЖУРНАЛИСТА ПИСАТЬ В КАКОЙ-ЛИБО ТОНАЛЬНОСТИ» (общий глобальный смысл верен, а всё остальное не важно). Я начал скандал и в результате чего мне удалось добиться только то, что они согласились в электронной версии (на сайте журнала) внести правки. И всё. Но бумажная то версия уже вышла.
Вывод — Если есть желание дать интервью журналу «Деньги», то прежде берите с журналиста «письменную расписку» о том, что он обязуется отдать на публикацию только тот текст, который он с вами согласовал, и если в результате будет напечатано что то иное, то именно данный журналист несёт перед вами материальную ответственность на определённую сумму....". Если подпишет — можете смело давать интервью. Если нет — будьте готовы, что Вы на самом деле просто нужны для того чтобы придать какой то вес статье, а написано будет что то другое (но с ссылкой на вас).
Ну, кстати, да, возможно: регулярно попадаются моменты, когда видно, что эксперт явно хотел сказать иное/в другой тональности, а «автор» преподносит вывернутым все… Причем как раз в Деньгах и иже с ними
Вообще то возможны варианты, в том числе и с сохранением данных карточек в течении определенного времени (5-7 дней). Такой магазин не пройдет проверку Visa и MasterCard но для удобства персонала мы оставили такую опцию. Для чего она нужна — первый пример: transaction gateway тоже иногда бывает перегружен, система получает отбой, транзакция не проходит — оператор всегда может попробовать провести транзакцию вручную, но для этого он должен знать все параметры карточки включая CVV. Второй пример: нужно вернуть деньги клиенту по какой то причине, используемый нами gateway для refund тоже требует все данные карточки.
Что касается количества заказов в день — маленький магазин с оборотом в 150 тыс дол в месяц получает в день 100-200 заказов. 100% платежей по карточкам, покупатели в основном из Северной Америки, PayPal мы не принимаем.
Что касается количества заказов в день — маленький магазин с оборотом в 150 тыс дол в месяц получает в день 100-200 заказов. 100% платежей по карточкам, покупатели в основном из Северной Америки, PayPal мы не принимаем.
Еще как может интернет-магазин принимать на своей стороне карты.
Для этих целей существует сертификация PCI DSS Level 4,3.
Причем получить такой сертификат предприятие может… самостоятельно!
Вот пруф-линк, usa.visa.com/merchants/risk_management/cisp_merchants.html
А вообще, зарубежные банки-эквайеры с легкостью дают http gate, когда ввод данных карт осуществляется на стороне интернет-магазина, который может при необходимости и CVC2/CVV2 сохранить — кто его проверит, все на честное слово.
Если произойдет утечка/кража данных, которая приведет к компроментации данных карт, тогда и будут разбираться. А вообще, на западе сделать чарджбек гораздо проще чем в России, украли у меня карту, пока банк-эквайер и интернет-магазин не докажут, что я делал покупку, деньги мне вернут.
Для этих целей существует сертификация PCI DSS Level 4,3.
Причем получить такой сертификат предприятие может… самостоятельно!
Вот пруф-линк, usa.visa.com/merchants/risk_management/cisp_merchants.html
А вообще, зарубежные банки-эквайеры с легкостью дают http gate, когда ввод данных карт осуществляется на стороне интернет-магазина, который может при необходимости и CVC2/CVV2 сохранить — кто его проверит, все на честное слово.
Если произойдет утечка/кража данных, которая приведет к компроментации данных карт, тогда и будут разбираться. А вообще, на западе сделать чарджбек гораздо проще чем в России, украли у меня карту, пока банк-эквайер и интернет-магазин не докажут, что я делал покупку, деньги мне вернут.
При каких либо вообще сомнениях, оплачиваю виртуальной электронной картой, выпущенной на месяц и с лимитом, равным сумме покупки. Саму карточку выпускаю через интернет-банкинг буквально в два клика.
В итоге можно быть спокойным — лишнего не снимут (конечно и сумму покупки потерять обидно).
Всяческие респекты Альфабанку. Всем советую.
В итоге можно быть спокойным — лишнего не снимут (конечно и сумму покупки потерять обидно).
Всяческие респекты Альфабанку. Всем советую.
Ой да прям процессеры не дают вводить данные о карте прям на сайте. Дают, очень даже дают (:
Sign up to leave a comment.
Возможности интернет-магазина «средней руки» или Накрутили