Pull to refresh

Comments 56

Как-то приехал я в <другую> страну но роуминг не включился (хотя я включал). Беру новую симку, думаю щас зайду в ВК и сообщу новый номер. Ага, щас… Вы зашли из другой страны, код вам отправлен по СМС.
У меня, по-моему, в такой ситуации просто спросил недостающие цифры из номера телефона. Было в июне 2014 в Италии, в приложении официальном.
Мне кажется, это несколько странный способ авторизации. СМС-код может получить только тот, у кого в руках телефон или сим-карта (и пока что единственный (но увы набирающий популярность) способ для мошенников это обойти — это перевыпуск сим-карты). А просто номер телефона может знать вообще кто угодно.
Так-то да, но в моем случае ситуация такая, что я в приложении уже был залогинен и устройство было то же самое — сам аппарат телефонный, просто сменилась сим-карта.
Вообще там спрашивает не код по смс, а недостающие цифры номера.
Жаль, что автор не позвонил в службу поддержки и не привел их ответа на данную проблему.
Собственно один это факт и делает все остальные тирады бессмысленными. На обороте всех карт, которые я видел были номера телефонов поддержки, куда и нужно звонить. Причём не для того, чтобы узнать про какую-нибудь особую процедуру авторизации, а чтобы там воздействовали на эту самую систему, против которой тут понаписали столько страшного. Без этого компонента система неполна и оценивать её качество как-то просто глупо.
Согласен, я мог бы и позвонить. И это, вероятно, была бы ещё одна головная боль. Опять же, как человек, когда-то проработавший в службе поддержки без малого семь лет, могу сказать, что действительно хорошая служба поддержки — это та, которая решает большинство проблем клиентов ещё до того, как клиенту приходится им позвонить или написать. Согласитесь, вы же сами как клиент десятков разных сервисов не очень любите обращаться в поддержку? :)
В torrc (tor-browser_en-US/Browser/TorBrowser/Data/Tor/torrc или /etc/tor/torrc)
ExitNodes {ru}
Для нескольких стран
ExitNodes {ru},{by}
Не так уж и трудно.
Ремакрка про использование Tor: использовать Tor для каждого действия тоже лишний раз не надо ибо тут есть повышенные шансы получить человека по середине на выходной ноде.

P.S. по теме топика, у меня в качестве решения проблемы дома постоянно работает OpenVPN сервер, который позволяет обезопасить себя и в открытых Wi-Fi сетях, да и просто избавиться от назойливых реклам и «случайных» подписок на «полезные» услуги со стороны оператора, к примеру. У домашнего провайдера при этом почти статика, которая на практике меняется реже раза в год. Сервис поднят на 443 порту по tcp и udp, что дополнительно помогает в качестве обхода большинства слишком назойливых ограничителей на местах.
Вы правы, это не так уж сложно, но на Mac я сходу что-то не разобрался, сделал покерфейс вид простого пользователя и реально не хотелось тратить на это время. В конце концов, простые пользователи вообще не должны прибегать к такой необходимости.
Использую OpenVPN клиент с сертификатами с http://www.vpngate.net/, где можно найти почти любую страну. Количество действий для поднятия туннеля минимально, считаю что уровень знаний для этого — пользовательский.
Не спорю! Вопрос-то в другом: грамотно настроенная антифрод-система в идеальном мире вообще никогда не должна заставлять пользователя поднимать туннели, использовать Tor и искать прочие нетрадиционные способы борьбы с самой собой.
Для всех фин систем думаю должен жестокий гео фильтр включен. К примеру если вы прошли регистрацию в Омске, то только с Омских ip и должен вход быть.
Но также должен быть доступ к отключению этого фильтра самим пользователем.
Бывает, что некоторые банки для юрлиц так и режут недопустимые IP-адреса. Подавай заявку, дописывай айпишники.
Не всегда удобно резать по городу: омский филиал может рулиться из московского офиса.
Доступ к отключению фильтра пользователем для юрлиц… вот не видел такого пока ни у кого из банков, которые ставят ограничение по IP.
я из Омска
при этом вполне могу зайти (по мнению разных geoip-систем):
— из Омска — проводной провайдер №1 (Эртелеком)
— из Москвы — проводной провайдер №2 (Билайн)
— из Новосибирска — LTE от мегафона который в качестве резерва
— из Нидерландов — потому что по умолчанию весь трафик кроме специальных исключений идет через проксю в DO
А что мне делать, если я на выходные поехал в Томск? :) Привязка к географии карты и так часто усложняет жизнь, а уж к городу привязать будет совсем жестоко.
Ну поэтому и писал, что одновременно у клиента должна быть возможность отключить данный фильтр. Через пароль который в банкомате не светят, или через другую авторизацию.
Yota в Москве имеет IP Краснодара. Привязка по IP — бесполезная фигня. 1200р в год и у меня IP практически любой страны с возможностью выбора города. Вы думаете это действительно кого-то остановит?
1. Чтобы подобрать город нужно его в начале знать.
2. Все сервисы ака нужный город за 1200 рублей, также легко могут быть определенны.
3. Насчет Yota. Уверен они трафик не через Краснодар гоняют. Просто набрали ип адресов в свое время, и руки не доходят порядок навести.
1. Security through obscurity. Если учесть, что 24,24% населения (32,68% городского населения, там не учитываются агломерации вокруг городов) согласно википедии проживает в 18 городах, то даже со скоростью 1 город в день это всего 18 дней на шанс 32+%.
2. Как вы определите приватные VPN сервера? Это не прокси.
3. Конечно не гоняют, но таких примеров много.
1. За 18 дней вы 18 раз получите сообщение что какой то Вася Залупкин хочет на ваши денюжки глаз свой положить.

2. По поводу VPN, у каждого из них есть такой же IP адрес на выходе. Смотрим его внимательней.
Если город совпадает идем дальше.
Если он идет из какого то ДЦ, то отбой,
Если от какого то местного провайдера который услуги VPN предоставляет, тут смотрим внимательней на тот факт, входит ли данный IP в число тех которых обычные пользователи получают.

3. То что к примеру вы сидите на какой то сети, а она выдает другой город, это в большинстве случаев говорит о том, что админам такой сети лень информацию правильно оформить.
На самом деле меня всегда удивляет подобный, не гибкий подход: когда в Альфа банке мне звонят при одинаковых операциях в течение года, да ещё и с одних и тех же IP, это, конечно, начинает надоедать. Вроде и ответил на звонок, а вроде ещё раз пальцем тыкнули. Двоякое чувство в общем. А ещё больше меня удивило, когда я посмотрел, сколько стоит подобный антифрод: удивляет соотношение функционал — качество — ценя, мягко говоря удивляет.

Но есть и обратная сторона медали: например, недавно в Яндекс.Деньгах проводил операции со своего региона. Потом на моем кошельке пытались вывести средства (прошло всего 3 часа) — из Сочи. А это — тысячи километров и даже на самолете — больше 6 часов лету. Мол, СМСки — панацея, тогда как это далеко уже не универсальное средство безопасности, к сожалению опять же.

Так что соглашусь, что гибкие шаблоны безопасности на основе поведенческих факторов (на Яндекс.Почте они, например, реализованы и то лучше, чем на одноименных Деньгах) — куда более клиенториентированный способ мониторинга и антифрода, чем жесткие патерны для всех и каждого.
Если же карта делает одно и то же типовое действие пятый раз подряд

Есть правильное слово — «шаблоны операций». Для сохранённой операции, которая уже который раз выполняется действительно можно применить более слабые политики.
Я брал билеты Аэрофлота в Китае — их сайт( не знаю, что у них за платежка — вроде собственная) карту отклонил.
Я позвонил в альфу(звонки на городские номера через скайп почти бесплатны), прошел верификацию как держатель карты и попросил их открыть операции на Китай.
Через пять минут попробовал опять — все успешно.
Там скорее всего блокировка не на уровне платежки, а на уровне банка-эмитента карты.
Если бы это была блокировка эмитента, то код ошибки бы был примерно «Do not honor». Эмитент не будет (и кажется не может) передавать настолько детальную информацию в IPSP.
У них разве не заблокированы звонки через Skype? Сейчас специально проверил: в Связной Банк дозванивается, а Альфа-Банк сбрасывает.
Только что позвонил по московскому номеру — «здравствуйте, вы позвонили в Альфа-банк.»
Вы у себя в скайпе идентефикацию абонента включили? Попробуйте.
Они вполне могут блокировать звонки с «Номер неизвестен».
*Идентификацию
**звонил на +7 495 755-58-58
Ваш номер для юридических лиц, я звонил на +7 495 788-88-78
Включение идентификации не помогло, да и не хочется светить свой реальный номер, а включать/выключать эту штуку находясь за границей может быть проблематично.
С другими банками такой проблемы не было: в Связной можно позвонить прямо с сайта, а у Авангарда в дополнение к этому есть местные номера в десятке стран и аккаунт в Skype.
Ну и блокировать карту просто так не должны, кто они такие чтобы я сообщал им свой маршрут? И даже в пределах города оно не работает, стоило снять деньги в незнакомом отделении АБ, как прилетела SMS о блокировке карты (денег на которой уже не было).
Скорей всего это анти-фрод система не элекснета, а банка-эмитента вашей карты.
А банк может не знать, что вы там месяц назад оплачивали в элекснете. Для него элекснет — чёрная дыра, через которую террористы получают коррупционные деньги на ДП.
Не согласен. Штука в том, что до страницы банка дело так и не дошло, всё это было в пределах элекснетовского сайта. И кроме того, банк-то уже прекрасно знал, что я со своей картой нахожусь не в России, я ей до этого неделю успешно расплачивался в оффлайне. Так что смысла вдруг запрещать по карте онлайновую операцию банку тоже нет никакого, тем более что сумма копеечная.
Если Вы ввели номер карты и нажали на кнопку оплаты, то запрос ушел в банк, со всеми данными, в число которых входит и Ваш IP. Именно на этом моменте начинается проверка карты на вовлеченность в 3d-secure со стороны банка, проверяются все данные транзакции. А Элекснет вернул Вам ошибку, которую выдал банк на Ваш запрос.
То есть, в сущности, Ваши комментарии куда больше обращены в сторону банка, нежели к Элекснет.
Хотя, вероятно, Элекснету стоило бы расписать список возможных ошибок, с которыми может столкнуться клиент и варианты их устранения или не варианты. И что-то мне подсказывает, если бы банк предоставил такую информацию, то Элекснет бы её разместил.
Ваш комментарий другими словами означает следующее: «У Элекснета полностью отсутствует собственная антифрод-система и оценка рискованности транзакции целиком перекладывается на банк-эмитент используемой карты». Мягко говоря, это не так. Вы представляете, сколько бы уже пролетело ворованных карт без 3DS в принципе или карт некрупных банков без толкового антифрода?

И более того, у Альфы лимиты по суммам и ограничения по географии могут настраиваться самим клиентом через Альфа.Клик для каждой карты отдельно, и лично у меня таковые ограничения вообще отключены. Т.е. Альфа мне без проблем позволяет совершать по моим картам как оффлайновые, так и онлайновые платежи из любой точки мира. С чего бы ей вдруг тут запретить пополнение Элекснета? Да и приведённые мной тексты ошибок однозначно Альфе не принадлежат, особенно вторая ошибка про «BIN country».
Нет, мой комментарий другими словами такого не означает.
Пополнение кошелька Элекснет возможен только для вовлеченных в 3d-secure карт, только!
И, кстати, я тут обратила внимание, что вы пытались пополнить кошелек на 5 рублей, а значит использовали способ пополнения «Банковской картой любого банка» с комиссией 1.7%. Но тогда не ясно, с чего Вы взяли, что оставались на сайте Элекснет, когда вводили номер карты, когда в урле явно стоит gate.ariuspay.ru/paynet/form/payment. Далее все манипуляции происходят именно на стороне Ариуса, и он же вернул вам эти ошибки.
Я, прочитав Ваш пост, было подумала, что Вы пользовались вторым способом пополнения любой картой, где:
«Комиссия составляет 39 руб. При платеже свыше 5999.99 руб. – комиссия 0.5% от суммы платежа.»
Этот сервис идет через альфу, что подтверждает урл страницы ввода номера карты: 1.elecsnet.ru/EGatewayService/AlfaBank/Payment
И в этом случае действительно, ввод происходит на странице Элекснет. Но даже тут, после ввода данных и нажатия кнопки оплатить данные шлются в банк, где и происходит проверка параметров платежа (в том числе IP) и fraud проверка.
Вот кстати и возможное решение.
Попробуйте пополнить кошелек вторым способом, вся транзакция будет происходить на «кухне» альфы, а значит, Ваши настройки не останутся не замеченными. Удачи!
Спасибо за разъяснения, это многое объясняет.
То есть, получается, что первым способом операция пополнения процессится через Ариус, а вторым — через шлюз Альфы?
Получается так.
Пожалуйста.
Понял вас. Возможно придётся дополнить статью, чтобы восстановить справедливость по отношению к Элекснету :)
Правда, вопросов к антифроду процессинга Ариуса в таком случае это всё равно не снимает.
Ха-ха-ха! Ошибка! Когда я пытался положить деньги на flattr через skrill через VPN в Латвии, у меня на skrill была просто белая страница. Ни поддержка flattr, ни поддержка skrill не знала, в чем дело, и мне пришлось отлаживать их javascript, т.к. из-за ошибки в коде обнаружения страны мне и выдавалась белая страница.
Эм. И вас допустили поотлаживать у них ошибки?
Кто мне запретит javascript редактировать?
Подождите. Код обнаружения страны у них находится на клиенте? Удивительно.
Ну там язык определялся по стране, а ajax-запрос выполнялся с ошибкой, и страница не рендерилась.
Пока складывается впечатление, что сервис писался студентами «за отзыв». Остались ещё вопросы, но я пойду сам всё посмотрю. Не буду Вам докучать)
Skrill-то? Это бывший Moneybookers, платежная система #2 после Paypal.
Больше всего в этом плане раздражает Avito. Заполняешь форму объявления, а в ответ даже нет сообщения что фильтруют по стране, просто пустая страничка. Поддержка трясёт покерфейсом и говорит что так и надо.
Ну в принципе так и должно быть. Или Авито нужно для всяких парсеров и прочих инструкции оставлять, что им нужно еще сделать чтобы они свой спам могли опубликовать.
Другое дело что можно просто форму заполнения не показывать, если что то со страной не в порядке.
От спама помогает каптча, а фильтрация по стране IP-адреса — это метод царя Ирода, не эфективно и вызывает геморрой для кучи пользователей.
Каптча давно уже не спасает от «грамотного спама». А насчет фильтрации если кому то от нее геморно, он может ее отключить.
Как же «грамотный спам» её обходит, если каптча «грамотная»? И почему только Авито и ещё парочка безруких проектов блокируют по стране? И как вы предлагаете отключить фильтрацию? Путём покупки VPN в России? Кто мешает спамеру сделать то же самое?
Отсюда первый правильный шаг: необходимо запоминать и карту и операции по ней, и применять строгую политику только при появлении новой карты в системе (то есть той, о которой ничего не известно и она зафиксирована впервые).
Если запоминать карточные данные, то придётся выполнять определённые требования (в т. ч. хранить их в зашифрованном виде), всё это создаст лишнюю головную боль при прохождении сертификации PCI DSS. Гораздо проще их сразу отправлять в банк и не сохранять у себя.
Так ведь PCI DSS в любом случае будем иметь место там, где фигурируют карточные данные. А в антифрод-системе нам ничего не мешает хранить как раз зашифрованные номера карт, например в виде токена, который будет однозначно соответствовать карте. По своему личному опыту могу сказать, что вот это как раз не вызывает вообще никаких вопросов при сертификации.
Озвучивать пользователю причину отклонения транзакции (конкретное правило/настройка) это конечно провал). Ещё б рекомендации по обходу ограничений сразу писали) — типа: «Страна банка эмитента не совпадает со страной IP — попробуйте воспользоваться прокси» или «Вы превысили максимально допустимое количество оплат за час, попробуйте подождать час и повторите попытку»))
Only those users with full accounts are able to leave comments. Log in, please.