Pull to refresh

Comments 399

Сурово, однако. Думал все эти card2card не дают себя в фрейме открывать…
Вы хоть читали? Там фреймов нету, есть клиент-серверная прокладка.
UFO landed and left these words here
«Я так и не понял, зачем вообще что-то куда-то встраивать, если можно тупо украсть код и «на той стороне» всё отправить?»

Это мне вопрос? Думаю, чтобы не замарачиваться с подменой IP при множественных переводах с разных карт на одну.
На карту, видимо, без подтверждения 3D Secure проблематично отправить, если вообще возможно. Покупатель сам вводит код подтверждения. Иногда по несколько раз. И после человек может в течение нескольких дней даже не подозревать, что его обманули. Если дополнительная активность по карте не проявится, то покупатель авиабилетов может узнать о мошеннических действиях со своей картой даже в аэропорту. Чем быстрее жертва мошенников заявит в свой банк, тем больше шансов аннулировать транзакцию и, возможно, даже найти следы мошенников. А через неделю шансы что-то найти и вернуть снижаются очень сильно.
И еще, если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп. При массовых переводах скорее всего останутся следы. А если покупатель сам перевод осуществляет, то в логах платежных систем ничего нет, — IP мошенников нигде не записываются. Единственная зацепка — это веб сайт мошенников.
Один раз автоматизировал все — и пошел отдыхать.
Возможно в этом причина.
«если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп.»

Лично я понял из того, что вы написали в статье что именно так они и делали. Автоматизированная часть воровства заключалась только в первой транзакции, которая финансировала рекламную кампанию. Все остальное — вручную.
Судя по сумме — активировали какой-то автоплатёж. Возможно — сразу при транзакции.
Возможно, это и так. Только наоборот. Первая часть перевод на карту (т.е. себе в карман), а уже вторая и последующие часть на рекламную компанию. На рекламную компанию средств тратится больше, чем на вывод на карты. Причем ручная это работа во второй части или автоматизированная, тоже не известно. По крайней мере на частично автоматизированную похожа.

Пока остатка хватало, списания были с интервалом ровно в 10 минут. А как точно заметил Stryker86 в одном из комментариев, суммы списания кратны изначальной сумме 5900 р (11800, 17700, 23600). Совпадение? Не думаю.
> тупо украсть код

Если вы про код из смс, то он одноразовый и высылается по смс только после заполнения всех форм и нажатия кнопки «ок».
Его нельзя украсть, его можно только обманом узнать у пользователя.
UFO landed and left these words here
«Но в итоге браузер шлёт запрос серверу Тинькова?»

Думаю, да. Там ведь куча скриптов от оригинальной страницы p2p перевода. Зачем еще тебе нужны чужие работающие скрипты?

«И у запроса можно проверить referrer.»

Вас хоть сколько-нибудь удивит если в этой истории окажется, что они НЕ проверяют referrer?
referrer заполняется отсылающей стороной, сервер его получает в готовом виде от клиента. Подделывается легко.
В итоге сервер злоумышленника шлет запрос серверу Тинькова.
Вы невнимательно читали статью.
Причем здесь используется не окно iframe.
Да и ни один современный браузер не даст джаваскрипту изменять код в iframe стороннего сайта (напр. вписать номер карты получателя), даже при отсутствии заголовка X-Frame-Options, только ввод самого пользователя. SOP однако…
Они и не дают. Эти халтурщики даже поленились распарсить страницу с сайта Тинькова и отдавать клиенту только необходимые данные, а, видимо, просто регулярным выражением добавляют display: none в необходимые блоки.
Они даже поленились поставить препроцессор на стороне сервера. Всё на стороне клиента происходит.
Я думаю это скорее реклама AdBlock. Или еще один повод вырезать Яндекс.Директ…
Сори, веткой ошибся…
Мне тоже не понятно как без подтверждения смс они смогли списывать суммы. Да и почему бы лишние деньги на карте не скидывать в какой-нибудь вклад, накопительный счет или сделать карту у которой свой счет, не привязанный к основному.
Recurring payments. Во многих сервисах так (где предусмотрена абонентская плата): достаточно один раз заплатить, а дальше та же сумма будет регулярно сниматься без вашего участия.

В данном случае, правда, суммы были разные, но технически это возможно.
но был же платеж на карту просто? У сбера вроде такие вещи можно только через кабинет делать, или нет?
Про сбер не знаю, пользуюсь другой картой.

Но своему провайдеру и компании Blizzard я именно так и плачу — единожды ввёл на их сайте данные карты (и код из СМС), а они дальше ежемесячно сами списывают с неё абонентскую плату.
Гугл так же сам ежемесячно списывает оплату своих сервисов.
У Близзов уровень доверия у визы/мастеркарда овер 9000, так что им можно. У амазона и годэдди тоже самое — им достаточно только номер кредитки, всё остальное не проверяется, даже дата и CVC.
Аналогично у PlayStation®Store. Люди, оплатившие с зарплатной карты, часто там страдают от автоматического списания, покупок игр с консоли.
Там только продление подписки ПСН автоматическое (которое можно отключить), все остальное проходит через ваш пароль и тысячу вопросов…
а WoW когда-то вообще не парясь карту высасывал.
Если карта привязана к аккаунту, то покупка совершалась (два года назад) тихо без вопросов. Было очень актуально, когда крали аккаунты — успевали купить на этом аккаунте на солидные суммы, пока пользователь успевал понять и заблокировать зарплатную карту.
У меня при покупке игр, как в Стиме, так и в ПСН ничего не требует. Убер, тот же, списывает не спрашивая.
Алиэкспресс ничего не требует, списывает просто по кнопке «Купить». Правда, для этого нужно предварительно привязать карту к своему аккаунту :)
Gearbest — оплачиваю через PayPal с привязанной картой от сбера, тоже ничего не спрашивает.
Так тут жирбест не при чем, все данные есть у пэяпэла, им на любом сайте оплачивайте и ничего спрашивать не будут
у меня Стим всегда требует CVC2-код карты.
а вот Amazon ( магазин), Apple (и AppStore и iTunes Store), Google Play — спокойно с привязанных карт списывают вообще без всяких вопросов относительно карты.
Нет. У меня пару раз было, что они автоматически какие-то игры покупали за меня. Не знаю, баг это или что.

Хорошо хоть, по запросу в таких случаях они деньги возвращали всегда.
Заметил, что суммы списания в статье кратны изначальной сумме 5900 р (11800, 17700, 23600)…
А вам случайно не кажется скучным, и непримечательным число 1729?
Рамануджан, перелогиньтесь.
НДС 18% :)
5 000 + 18% = 5 900
10 000 + 18 % = 11 800
15 000 + 18% = 17 700
20 000 + 18% = 23 600
В результате обманных действий покупатель подтвердил отправку денег на чью-то карту, а скорее всего на две разных. Если бы регулярная отправка была на эти же карты, то это может быть похоже на то, о чем Вы пишите. Но регулярная отправка включилась как раз совсем на другого получателя, на которого покупатель согласия не давал даже по ошибке.
На карте всего было 40 тысяч рублей. Что же нужно держать на карте по пять тысяч рублей и постоянно гонять деньги туда-сюда? Мороки слишком много.

Алиэкспресс списывает деньги тоже без всяких смс.
> Что же нужно держать на карте по пять тысяч рублей
Если нет желания когда-нибудь писать десятки заявлений-жалоб-требований вернуть деньги, подобные посты на хабре и в итоге все-равно остаться без денег, то да — на активной карте, которую вы светите в интернете, в кафе и магазинах в любой момент времени должна быть только сумма, потерю которой вы переживете не сильно расстроившись.
И всё равно нужно писать заявление, а то «не сильно расстраиваться» придётся постоянно.
Собственно у Тинькова можно выпустить 5 доп карт установить там лимиты и пользоваться ими, а основную хранить под замком.
Как быть с кредиткой? Первести с неё на другую — вылет из грейса. Платить по дебетовке — туда надо ещё деньги сначала где-то взять, чтобы положить.
С кредиткой вообще плохо — с неё такими методами могут наснимать денег до выборки лимита по кредиту.
Успокаивает то, что там грейс и вообще деньги не мои. Пусть докажут, что я их взял.
Всё равно неприятно. И возможна блокировка счёта на период выяснений.
Если так неймется платить кредиткой в интернетах, возможны 2 варианта навскидку:

1. Выпустить вторую карту к счету и установить по ней лимиты жесткие.
2. Если банк хреновый и не позволяет такого сделать, установить лимит на операции в интернете 0р, перед покупкой ставить нужный лимит, после покупки опять устанавливать в 0р.
Не то, чтобы неймётся, но там кешбек 3%, да и не надо делать лишние движения по поводу её пополнения.
Лимиты не совсем удобно: всякие автоплатежи на сотовые, интернет будут блокированы.
У меня для расходов на машинку дебетовка с 5% каши — а свободных денег не так уж много, приходиться безконца бабки тусовать с одной карты на другую, по мере их появления, очень неудобно: заезжаешь на АЗС и хлопаешь себя по лбу, что на карте рублей 300, а надо на 50 литров. Запускаешь браузер в телефоне и давай туда-сюда по c2c деньги гонять, благо что бесплатно.
А в чем беда установить лимит на платежи через инет в 1000р в месяц? Или во сколько там вам автоплатежи за интернет с сотовым обходятся? Даже если хулиганы упрут данные карты, много вы не потеряете.
Немного оффтопика — а можно подробнее про 3% и 5% кэшбека? Это где такое?
Бинбанк, там в выбранной категории — 5%, у меня категория авто: АЗС, запчасти, сервисы, мойки.
Можно активировать категорию покупки в интернете. Но все квазикеш операции типа пополнения яндекс-денег и киви кошелька — мимо.
Кукуруза — 3% фантиками, можно потратить в перекрёстке на 30% чека, в Евросети 99%. Раньше было ТНК — я в 15-м году в отпуск на машине ездил, слил на 8000Р бензина бонусами(больше просто не успел), ещё там же купил огнетушитель, трос и промывку инжектора(как я и предполагал — хрень оказалась, но за бонусы не жалко).
Разные банки разные проценты кэшбэка предлагают. Во многих банках есть кэшбэк с высокой ставкой на какую-то отдельную категорию. Многие из этих банков придумывают разные хитрости, чтобы клиентам было как можно сложнее воспользоваться повышенной ставкой. Эти хитрости могут заключаться в том, что категория товаров каждый месяц или каждый квартал меняется. Поэтому клиенту банка трудно просчитать заранее, как получить максимальный кэшбэк. А читать новости, рассылки итп с сообщениями, какая сейчас категория товаров у банка в почете, это очень утомительно. Есть еще банки, которые не сразу начисляют кэшбек, а просят в личном кабинете по каждой операции делать отметку, что она попадает под условия акции итп.

Я знаю один банк, который не морочит клиентам голову со сложными условиями — Бинбанк. Возможно есть и другие такие же. Но из тех, что на виду, таких простых условий не встречал. Кэшбек 1% на обычные покупки, 5% на одну из пяти категорий, которую сам клиент выбирает. При этом категория со временем без участия клиента не меняется. Самая интересная категория — интернет-покупки. Если ее выбрать, то при покупке в интернет-магазинах будет кэшбэк 5%.

Единственное, стоит иметь в виду, интернет-магазины принимают платежи по-разному и возможна ситуация при которой ни 1%, ни 5% ни зачислят при покупке. Для примера, один из самых крупных компьютерных интернет-магазинов принимает платежи по картам через сервис Яндекс.Деньги. При покупке в этом магазине кэшбек не зачисляют. Вероятно для банка такая покупка выглядит, как пополнение кошелька Яндекс.Денег или что-то похожее. А за пополнение кошельков итп кэшбек не начисляют. Клиент при оплате картой разницу не замечает, а для банка разница есть. Поэтому перед оплатой нужно смотреть, как интернет-магазин принимает платежи по картам. Если прием платежей организован через банки эквайеры, кэшбек 5% точно начистят, в остальных случаях, как повезет.
Что за загадки «один из самых крупных компьютерных интернет-магазинов»? Почему нельзя сразу прямо написать название, к чему эта недосказанность?
При написании комментария я прямо написал название этого магазина. Но при предпросмотре обратил внимание, что движок этого сайта название вырезал. Поэтому пришлось переписать фразу.
Публика всё ещё с нетерпением ждёт.
А можно управлять суточными лимитами.
Лайфхак «от бывалого»
Заводится несколько допкарт для разных целей. Для постоянного ношения с собой: лимит на операции в месяц + лимит на снятие наличных в сутки. В интернете не светится. Для трат в интернете: минимальный лимит на операции в месяц, минимальный лимит на снятие. Перед оплатой лимит на операции поднимается на размер операции. Через мобильный банк это делается за 2 минуты.
При этом не важно — карта кредитная или дебетовая.
> Что же нужно держать на карте по пять тысяч рублей
> и постоянно гонять деньги туда-сюда? Мороки слишком много.

* Держать на карте нужно ноль и непосредственно перед покупкой
переводить на карту нужную сумму. Дело пары минут.

* Выделенная карта для интернет покупок.

* Ну и покупать билеты не у посредников, а на сайте авиакомпании.
Именно так. Причем многие банки позволяют выпустить виртуальные карты, без «пластика» как раз для оплаты в разного рода онлайн-сервисах. А закинуть денег с карты на карту дело пары минут.

Это предотвратит дальнейшее списание, но за мошеннические «билеты» деньги все равно уведут. Тут только разбираться с банком об отмене перевода.
UFO landed and left these words here
Не совсем так. Есть у Альфы Мастеркард виртуал в пластике со сроком 2 года.
Если он в пластике, то что же в нём виртуального?
У него нет чипа, магнитной полосы и эмбоссирования.

А зачем тогда нужна непонятная пластмассовая хрень?

на ней номер написан :)
не знаю, может у банков есть какие-то внутренние требования по этому поводу, но в интернет-банке этот номер не виден, и передать сотрудники банка мне его могут исключительно в виде пластмассовой хрени
В России нет таких требований. У меня часть номера виртуальной карты видно в интернет-банкинге, а другая часть пришла в виде СМС, вместе с датой с CVV.
У нас КазКоммерцБанк позволяет через интернет-банкинг открыть сколько угодно мультивалютных виртуальных карт сроком на 10 лет за символические 1 тенге, но с комиссией в 1% за любой платеж.
Имея такую возможность каждый раз удивляюсь тем кто привязывает к разным интернет аккаунтам зарплатную карту.
Вот только у других банков за оплату в интернете идёт кэшбэк от 1 до 3%, а не снятие комиссии в 1%.
QIWI, Яндекс.Деньги позволяют выпустить виртуальную карту за секунды. Закрыть ее и/или перевыпустить можно в любой момент. QIWI, кроме того, позволяет выпустить непополняемую «одноразовую» виртуальную карту. Т.е. если просто уделить некоторое внимание вопросу и посмотреть чуть шире, то окажется, что фраза «проще и дешевле выпустить для таких целей реальный пластик» не имеет под собой оснований.
UFO landed and left these words here
Ну так соберитесь. ;)
QIWI славна тем, что сама любит списывать деньги со счета, если их сервисом долго не пользоваться.
UFO landed and left these words here
Факапы могут случиться у каждого. Про Wells Fargo слышали? Не чета QIWI, с какой стороны ни посмотри. А вот ведь: http://finview.ru/2016/09/09/zerohedge-com-3-65/
Ну как бы мы говорим об использовании сервиса исключительно в качестве «прокладки» — для кратковременного хранения средств, предназначенных для оплаты в интернете. Т.е. это инструмент такой, в сценарии использования которого для нашей цели ситуаций «если долго не пользоваться» быть не может по определению.

Кроме того, МегаФон, например, тоже славен тем, что через полгода (или другой срок, не помню) неиспользования номера включается ежемесячное списание определенной суммы. И что? Вы не используете МегаФон? Без проблем. ;) Но я — использую уже лет 12 где-то и не планирую пока отказываться. Просто если номер мне не нужен — я убираю с него деньги и закрываю.

Мне как бы не с руки агитировать и рекламировать сервис, особенно вне рамок обсуждаемого сценария использования, но коль вы уж привели аргумент, то и я тоже приведу — я использую QIWI в качестве основного платежного средства, с виртуальными картами, с реальным пластиком (который уже перевыпускал дважды), т.е. достаточно долго, лет 5-6. И я искренне не понимаю смысла вашего аргумента, поскольку QIWI — не депозит, денег там хранить не нужно, а тем более, долгое время и не используя. Могу «сыграть на вашей стороне» и подкинуть еще аргументов — например, если вы перестали пользоваться номером, то через какое-то время, после отлеживания, оператор его продаст другому абоненту, который, таким образом, получит доступ к вашему QIWI-кошельку. Это так? Абсолютно. Это имеет какое-то значение для меня, как пользователя? Нет, если я не идиот, извините.

Понимаете, если, например, не пользоваться долго автомобилем, то у него рано или поздно спускают шины, садится аккумулятор, рассыхаются резинки в подвеске, «протухает» масло в двигателе и ржавеет кузов. Через 3-5 лет — это уже не автомобиль, а труп. Следует ли отсюда, что нам теперь не стОит покупать автомобили? ;) Да, следует — в том случае, если вы не собираетесь на них ездить, а собираетесь сгноить на стоянке.
Проблему дальнейших списаний это решит, а вот с кем разбираться в случае мошеннической покупки, как в случае с товарищем автора. Как мне кажется — QIWI и ЯДеньги достаточно мутные конторы в плане ответственности перед законодательством. Хотя я интересовался данными системами достаточно давно и уже долгое время не слежу за развитием ситуации. Может быть что-то и изменилось.
Не более мутные, чем банки за пределами первой десятки.
Возможно. Привык к Сберу и Возрождению. С остальными банками почти не пересекаюсь.
Мутные-то мутные, но в качестве промежуточной прокладки вполне годятся.
Нельзя списать со счёта больше чем на нём есть
Вообще то в некоторых случаях можно. Технический овердрафт. Сама возможность связана с тем что списание с карты идет как бы в два этапа — авторизация (сразу) и непосредственно списание (через несколько дней но может быть до месяцев) и при этом:
— могут отличаться курсы на эти моменты.
— существуют (не касается обычно Интернета) операции когда просто приходит списание и банк обязан списать, да — загоняя карту в минус если надо
— существуют операции (обычно не в России) когда и авторизация и списание приходят с задержкой. если денег нет — будет теховердрафт.

А еще существует такой банк как Сбербанк, за которым замечалось устройство теховедрафта (именно теховердрафта а не блокировки) по просьбе приставов
Можно оплачивать через яндекс деньги с привязанной картой, которую можно легко отвязать и не засвечивать банковскую. Я к тому же привязал специальную карту для расчетов со своим счетом.
Я вообще не привязывал, просто ручками перекидываю нужную сумму
Билеты у посредников иногда дешевле, чем на сайте авиакомпании. Редко, но бывает.
Перед сезонами заметно — авиакомпании поднимают цены, а посредники уже выкупили кучу мест и торгуют ими по ценам ниже авиакомпаний, но значительно дороже чем покупали. Плюс скидки за опт. Вывод — покупать билеты надо либо сильно заранее, либо в день вылета (на горящие билеты часто скидки). Хотя в последнее время цены на сезонные билеты авиакомпании держат весь год.
В день вылета покупать не вариант, если направление популярное.
Тут от многих факторов зависит. В любом случае перед покупкой вопрос надо обстоятельно изучать.
я например для этой цели пользуюсь виртуальной картой Яндекс Денег. Именно дня онлайн покупок. А на нее кладу нужную сумму со сберовской карты через СБ-онлайн. дело 1 минуты.
Так же можно было купить тикеты в онлайнБанкинге у Сбербанка. но увы, кто-то погнался за дешевизною. Итог, очень печален.
1. Использую физические карты для держания валюты (карты с собой не таскаю), еще есть именная карта в гривне (конвертирую в 5-10К гривен в месяц для растрат). Для оплаты в интернет есть электронные (виртуальные) карты на которые, при необходимости перевожу с реальных карт деньги.

2. Меняйте банк.
Похоже так же как списывает Amazon, Microsoft и кстати Aliexpress(но в последнем карта по дефолту к счёту не привязывается).
Достаточно один раз оплатить и за продление услуг будут списывать постоянно и без подтверждения через 3D Secure/Verified by Visa.
Для себя нашел выход из подобных ситуаций при работе с подобными сервисами:
Указывать дебетовую карту с отключенными кредитными/овердрафтовыми «фишками» и пополнять карту непосредственно перед оплатой(т.е. по получению уведомления об отключении сервиса) на требующуюся для оплаты сервиса сумму и не монетой больше.
UFO landed and left these words here
Amazon у меня списал деньги без CVV кода и без 3D Secure, просто по номеру карты
да вы что? и без экспайра и cvv?
UFO landed and left these words here
Я тоже удивился, даже уточнял в поддержке, и это при том, что заказывал я на адрес посредника.
UFO landed and left these words here
Даже не обязательно её кому-то давать. Современные камеры вполне могут помочь рассмотреть все надписи на карте, а карточка, обмотанная изолентой, боюсь, не сможет работать в картоприёмниках.
UFO landed and left these words here
Вы можете стереть cvv код, а хранить его где то в другом месте а не прямо на карте. Или запомнить — пин код же помните, а тут всего три цифры. Остальное стереть сложней, но хоть cvv надо то удалить
Так суть то в том, что cvv не везде нужен.
Ну без cvv Вы все таки ощутимо усложняете злоумышленнику задачу снятия денег с кредитки.
На Aliexpress оплата идет через AliPay — там то и хранится информация о Вас и Вашей карте. Не знаю как сейчас, но AliPay спрашивает иногда месяц, год и CVV/CVC карты. А если оплачивать через мобильное приложение Aliexress, то, если не ошибаюсь, вообще ничего не спрашивает.
Так речь не о данных карты. А об одноразовых смс паролях.
Сегодня платил на Али — не пришла смс с кодом из банка, а 3dsec включен.
а спросите в банке как они отреагируют если в ответ на запрос 3D Secure от экваера придет ответ что не поддерживается, давайте в обычном режиме? судя по описанию — согласятся провести в обычном режиме. Но имеют право и отказать. Могут другие лимиты применить.
Как пример:
— Укрсиббанк https://my.ukrsibbank.com/ru/personal/questions/card_limits/
— Казахстанского Альфа-Банка http://www.alfabank.kz/ru/retail/cards/restrictions
лимиты на операции без 3D Secure — 0

вот Российских банков где есть такое — я не знаю.
Именно.
Сам сегодня платил на Али, дважды. Первый раз с PC, перед этим «привязав» карту к AliPay (+месяц, год, CVV/CVC-код тоже указал).
Второй раз платил через мобильное приложение. Там ничего указывать вообще не пришлось. Даже никакого секретного кода. Тут вижу два варианта решения: либо лочить смартфон настолько, насколько веришь во все эти экраны защиты, либо через АлиПей (да и вообще любые интернет-платежи проводить) через спец-карту, перекидывая туда средства за 1-2 минуты. У Тинькова в этом плане очень удобно.
UFO landed and left these words here
+ разные регистраторы доменов, для продления могут списать автоматом, не спрашивая ничего дополнительно
Так вроде же на 3D-S настаивает не банк, который выпустил карту, а платёжная система, через которую происходит оплата. Есть сайты где смс попросят ввести, есть сайты где этого не требуется.
Допускаю, что это так и есть. В смс от Сбербанка, в списаниях было указано «YM*Yandex.Direct» Если предположить, что платежный посредник решает, требовать ли код подтверждения, то, как я писал в статье, возникают вопросы либо к Yandex.Money, либо к Yandex.Direct.
Подтверждаю. Имел дело с гейтом от Payeezy, там настройка 3D secure опциональна. Тоже был удивлен и техподдержка моего банка сказала что да, оплата возможна и без смс.
Мне в банке подтвердили, что 3D-secure не на их стороне, и деньги можно и без него списать, как захочет тот, что снимает деньги. ИМХО это вообще бред и смысла я тогда не вижу в такой технологии.

Более того, я пару раз в магазине вводил неверный пинкод, о чём мне сообщал терминал, но там была возможность продолжить. Нажимая Да, я завершал покупку не вводя повторно пинкод. Деньги снимались.
Один раз вообще дал сыну карту и попросил его так оплатить покупку и он это сделал. После чего я позвонил в Росевробанк и попросил объяснить эту ситуацию. Сказали, что до 4000 может не требоваться ввод пинкода.
Ужасно всё это.
нажимая отмену, выполняется оплата по подписи. Допустимо при не очень больших суммах и при не-запрете оплаты по подписи банком. Чеки при этом обычно различаются, «введен пин-код» и «подпись клиента».
Не обязательно ошибаться при вводе даже. Обычно достаточно нажать «отмена» на первое предложение терминала ввести пин-код и оплата пройдет и без него.
Правда не всегда(но чаще всего ОК), обычно на небольшие суммы (большая не пройдет) и по-идее в этом случае кассир должен потребовать поставить подпись на чеке.
Но я последнее время при покупках до 1-2 тыс. руб оплачиваю и без пинкода и без подписи — все проходит и так, кассиры на подпись или забивают или вообще не соображают что нужно ее запрашивать…

А на случай подобной жести как в статье просто не держу существенных сумм на расчетной карте — только на текущие мелкие расходы. Или закидываю через ИБ непосредственно перед более крупной покупкой нужную сумму.
Да сколько бы на счету денег не было. Это другая история. Не все банки имеют настройки безопасности, где можно ограничивать сумму списания через интернет банкинг или на снятие налички. Тут как и всегда действует правило «предупрежден значит вооружен».
Проверка CVV и 3Dsecure — добрая воля мерчанта (магазина). С другой стороны, если владелец карты опротестовывает платёж, деньги ему тоже возвращает магазин, через который прошел платёж. В данном случае, это, очевидно, должен быть P2P-сервис, позволивший перевод.
При использовании 3dSecure в случае претензий пользователя мерчанту ничего не грозит, риски берет на себя банк или эквайринг (точно не знаю).
Мне тоже не понятно как без подтверждения смс они смогли списывать суммы.
  1. Злоумышленник регистрируется в любом сервисе, например, Яндекс.Деньгах, Amazon, Paypal, вводит свой номер мобильного телефона, если нужно.
  2. Привязывает карту человека, который ввел ее данные на фишинговом сайте, сделанным злоумышленником.
  3. СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.


В крупных сервисах, которые привязывают карту к себе, обычно нет 3D Secure. Amazon вообще даже CVV/CVC2 не требует, только номер карты и срок действия. Большинство сервисов не проверяют введенное имя, я всегда ввожу DICK BUTT, получал только один раз отказ.

Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке. По возможности, платите только электронными деньгами. По моему мнению, Webmoney на голову выше конкурентов по безопасности и удобству использования: для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. Входные данные прилетают либо через Push, либо их можно считать камерой с QR-кода на экране оплаты, либо вообще вручную ввести. И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.
СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.

Не знаю на счет всего, но чтобы подтвердить PayPal нужно ввести код из описания транзакции. Я этот код мог видеть только в клиент-банке, например.
Электронные деньги мне кажутся весьма мутной темой, но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег. Плюс банки научились неплохо так определять подозрительные транзакции. Да, это костыль, но всё же не стоит параноить сильно.
но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
Он хорош для клиентов, но головная боль магазинов. По мнению Paypal, прав в большинстве случаев клиент, даже если клиент неправ. А еще Paypal берет процент с магазина за свои услуги.

Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег.
Мне не нравится, что вообще существует возможность воспользоваться моей картой, если ее данные кому-то попали в руки. В случае с электронными деньгами, я всегда заранее знаю, кому и сколько я плачу, и нет возможности снять мои деньги без подтверждения с моей стороны.

К тому же, у большинства банков уведомления об операциях с картой приходят только по СМС. Я телефоном пользуюсь редко, для меня это неважная вещь, и СМС я могу просто не увидеть, поэтому мне приходится писать скрипты для каждого банка отдельно, которые раз в 15 минут входят в интернет-банкинг, парсят страницу и отправляют уведомление по почте, если баланс изменился.
Раньше у ВТБ24 были замечательные карты одноразовых кодов — безопасные, маленькие, не требующие канал связи и электричества — но их заменили на СМС-коды, которые ни разу не безопасны и требуют наличие телефона.
Абсолютной безопасности не существует. Мне вот тоже не понравилось бы, что кто-то пользуется наличностью из моего кошелька, но я не могу гарантировать 100-процентную сохранность этой наличности (ну, кроме варианта не использования её вообще). Так что мне кажется, что всё упирается в уровень вашей параноии по отношению к юзабилити.
> А еще Paypal берет процент с магазина за свои услуги.

Это все берут. На этом и зарабатывают.
Webmoney берет 0.8% с отправителя, например. PayPal берет около 4%. Причем не только с магазина, попробуйте отправить деньги из страны в страну. А еще у них просто ужасный курс (для покупок это можно отключить, а для вывода уже нет).
При переводе денег палка спрашивает с кого списывать комиссию — с отправителя или получателя.
за 500 руб у них есть генераторы кодов, это отдельные устройства
Это устройство, увы, практически невозможно использовать в упомянутых автором предыдущего ответа скриптах. Сам мучаюсь :(
У меня были эти устройства. Два из трех сдохли (на экране просто целые строчки пропали так, что было невозможно понять, какая где цифра). Идея норм, физическое воплощение на три с минусом.
Аналогично. Первое уже сдохло хотя пользовался мало — может пару десятков максимум. Причем сдохло в последний месяц «гарантии» (в течении года обещают обменять бесплатно) — еле успел заменить.
У Авангарда есть карты одноразовых кодов до сих пор.
Очень удобно. Особенно когда ты в роуминге где-нибудь в Анадыре.
У Авангарда вообще все круто организовано. У них целых 3 уровня управляемых динамически: СМС, карточки (физические) одноразовых кодов, ЭЦП.

В зависимости от суммы и ситуации (вид операции, ее «подозрительности/рискованности» по внутреннему анализу банка) применяются разные методы. В простых случаях и небольшие сумму можно подтвердить СМС (или одноразовым кодом с карточки — на выбор что удобнее/больше нравится).

Если сумма крупная или операция подозрительная — по СМС подтверждения приниматься не будут, можно подтвердить только более безопасным одноразовым кодом с карточки.

А в особо тяжелых случаях (например ОЧЕНЬ крупную сумму через интернет перевести если до этого таких операций не проводил, т.е. для клиента они не характерны) затребуют связку СМС с телефона + одноразовый код с карточки + подписать ЭЦП(хранящейся на выдаваемом брелке-флешке). Могут еще и из СБ перезвонить на контактный номер и переспросить — действительно ли это клиент сам переводит, по собственному желанию и нет ли ошибок.
Сейчас у них есть какой-то приложение для смартов/планшетов для генерации кодов после установки работающее в офлайн режиме (т.е. без интернета или СМС). Правда не знаю можно ли покупки по карте ими подтверждать (их карточной для покупок никогда не пользовался), точно можно любые операции в ИБ ими подтверждать вместо СМС.

Ну и за 500р есть полностью аппаратные генераторы одноразовых паролей. Хотя в данном случае генератор — это чип банковской карты, а устройство лишь внешний экран, клавиатура и источник энергии для работы чипа карточки.
Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.

Неа. На данный момент это компромис между безопасностью и удобством пользования.
Хочется и чтобы не нужно было лишних манипуляций (пароли, смс-ки), и чтобы безопасно.
> Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.

Каменный век был до внедрения 3D Secure. Тогда для списания денег с карточки нужно было только знать данные этой карточки. Можно сказать, что творились анархия, беспредел, и разгул кардеров. Никто никому не доверял. Карточки предпочитали никому не показывать. Банки могли спокойно отклонить любую транзакцию, как подозрительную. Клиентам было желательно постоянно проверять свои выписки. Сбербанк какое-то время вообще рубал все карточные транзакции из за рубежа. Мне кажется, такая ситуация здорово помогла в популяризации paypal — он предлагал безопасность там, где её не было.
Сейчас есть 3D secure, подтверждение по СМС, одноразовые коды и даже электронные брелки. Сейчас бронзовый век:)
для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. <...> И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.

Вы это приложение, наверное, на микроволновке запускаете? Раз оно у вас работает даже тогда, когда мобильного телефона нет под рукой вообще?
На компьютере, с которого оплачиваю, внезапно.
После перечня мобильных платформ — действительно внезапно.
Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.

ИМХО, это проблема слишком многогранна, и дело тут не всегда в отсутствии прогресса.

Боюсь, что озвучу чрезвычайно крамольную вещь, но на самом деле никому эта безопасность нафиг не упала, особенно клиентам (по крайней мере, их 99% из тех, кто не сидит регулярно на Хабре, банках.ру и прочих тематических сайтах).

Что нужно клиенту? Клиенту нужно, чтобы всё сработало здесь и сейчас, причём как можно более простым способом. Начнёшь вводить назойливые проверки, блокировки операций по геолокации, вторые-третьи факторы и прочие разумные с точки зрения безопасности фишки — налетишь на аааагроменное недовольство клиентов, плохие отзывы («совершенно несправедливые!» с точки зрения безопасников) и отток клиентов.

Банку тоже чрезмерные замуты с безопасностью не нужны — люди привыкли к концепции «всё в 1 клик» (точнее, их к этому долго и активно приучали), поэтому любые многоэтажные конструкции проверки им нафиг не сдались. Будет слишком сложная «безопасность» — будет все больше людей, которые будут оказываться от услуг банка / мерчанта в пользу «более сговорчивых» коллег, а то и попросту возвращаться в кэш / WM / другие способы платежей.

Платежная система? Щаззз, этим наоборот надо, чтобы всё было проще, клиенты были довольны, а обороты росли. Поэтому в правилах той же Visa в Штатах написано, что мерчант НЕ ВПРАВЕ отказать клиенту в проведении операции по карте, если клиент отказывается предъявить документ, удостоверяющий личность :-) Почему? Опять же, не хотят негативной волны, которая может ударить по их бизнесу много сильнее, чем редкие мошенничества.

Единственный, кто более-менее должен быть заинтересован в безопасности — это мерчант, то бишь торговая точка, но и он понимает, что введение слишком сложных мер приведет к тому, что клиенты уйдут к конкурентам. Поверьте, никто (даже я, несмотря на понимание того, почему это делается) не оценит отмены заказа через 2 дня после его размещения с причиной "слишком высокий фрод-скор", а оставит злобнейший отзыв на Yelp'e и закажет то же самое в другом магазине.

Вот и получается такой вечный поиск тонкого баланса…
никто не оценит отмены заказа через 2 дня после его размещения с причиной «слишком высокий фрод-скор»

При этом они постоянно так делают при трансграничных заказах. Пожалуй половина американских магазинов при оплате русской картой или с русского IP морозят заказы (вплоть до месяца), отменяют их и всячески трахают мозги. Особенно когда твой заказ с черной пятницы отменили «весело» становится. А пойти и купить в другом не получится, ибо накрутки и все такое.
Поверьте, не только при трансграничных :-(

Я, например, больше никогда и ни за какие коврижки не буду связываться с Travelocity после того, как они мне в 3 часа утра отменили билет с вылетом на следующий день, а индусы на линии поддержки *категорически* отказались вообще что-то объяснять и комментировать — плюнул, купил тот же самый билет в Expedia и спокойно улетел…

А как насчет магазина, который повесил холд на 5 дней, а потом просто тупо отменил заказ без звонка или даже e-mail'a, а потом по телефону объяснил, что, дескать, по геолокации я в момент оформления находился слишком далеко от адреса доставки, поэтому их система решила, что, возможно, это мошенничество.
И в том, и в другом случае это были «нормальные» кредитки, выпущенные американскими банками, с американскими же billing-адресами.

Думаю, лишним будет говорить, что более в этих точках никогда не отоваривался.

Т.е. проблема налицо — вроде бы точки хотели сделать как лучше, типа как обезопасить себя и деньги клиента, но вот реализация сего хорошего намерения привела к тому, что клиент теперь потерян и, скорее всего, навсегда…
У веб мани есть фундаментальная проблема — он толком не работает на Linux и в Chrome
Вы про Light? Не знаю, пользуюсь Mini.
Да, я про лайт и в частности авторизацию по сертификатам. Забавно то что до какого-то времени она отлично работала и я пользовался wm keeper lite регулярно. А когда этот функционал поломали — возможности пользоваться webmoney я лишился, т.к. остальные варианты мне не удобны.
А что там конкретно случилось? Как сломали аутентификацию? Она же всеми браузерами одинаково поддерживается.
В хром сертификат не ставится от слова совсем. В файрфокс выше какой-то версии ставится, но не авторизует по нему.
UFO landed and left these words here
Для того, что бы 3D secure сработал, надо что бы он поддерживался как банком, так и мерчантом. Если мерчант не поддерживает 3D secure, то платеж пройдет и так. Видимо у Директа поддержки 3D secure нету.
Amazon например даже CVV не спрашивает. Технически списывать без подтверждений возможно имея не более, чем номер карты и срок действия. Остальное — просто дополнительные уровни защиты.
В некоторые сервисы дает заплатить без 3DS. В данном случае это Яндекс Директ. Рекуррентные платежи или платежи по шаблону в Сбербанке тут не причем.
Вот это детектив! Похоже, что мошенники пользуются каким-то неизвестным эксплоитом
Все-все, я прочитал комментарии и примерно понял механизм мошенничества :)
Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS)

3D Secure должен поддерживаться двумя сторонами, как банком выпустившим карту, так и тем банком чей платёжный шлюз используется для приёма платежа.
Только вчера платил за коммуналку (если точнее — электричество на сайте мосэнергосбыт) с карты сбера без ввода кода 3D Secure. Платёжный шлюз от Альфа-Банка
И в магазинах разных, даже в одной сети. В одном спрашивает код, в другом нет.
Да, 3D Secure это просто опциональный перенос ответственности на клиента. Если магазин хочет, то может сам нести риски.

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте, при условии, что он не поддерживает эту технологию.

В случае использования 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту или на самого клиента.
Да, верно. Ещё и от настроек мерчанта зависит
Можно вопрос вот по этому утверждению:

1. Домен в зоне EU должен был по крайней мере насторожить.

Что-то не так с EU, или подозрительно, что не RU?
ну обычно уважающие себя российские коммерческие сайты имеют зану RU и https
так просто принято в узких коммерческих кругах
Скоро, благодаря letsencrypt, с хттпс проблем ни у кого не будет. :)
Нужно смотреть не на https, а на тип сертификата. У LetsEncrypt DV-сертификат, который означает лишь то, что соединение защищено и никто не «подсматривает».

У серьёзных организаций EV-сертификат, при выдаче которого удостоверяющий центр проводит, как минимум, проверку, существует ли организация в реальности.
Это мы с вами знаем. А обычный пользователь, который только-только приучился смотреть на замочек рядом с урлом?

EV-сертификат — не панацея. Я однажды получал его на компанию, зарегистрированную неделей ранее в юрисдикции BVI.

В качестве подтверждения существования компании CA попросил предоставить счёт за телефонные переговоры за пару прошлых месяцев и счёт за услуги клининга. Эти документы оффшорный регистратор даёт нахаляву.

Этапы «убедиться, что компания зарегистрирована по адресу массовой регистрации» и «посмотреть на гугле адрес по которому предоставлялись услуги клининга и убедиться, что там во всём здании нет стольки квадратных метров, за сколько выставлен счёт», CA опускает.
> А обычный пользователь, который только-только приучился смотреть на замочек рядом с урлом?
Такими темпами браузеры перестанут помечать замочком (или сделают его серым) для сайтов с простым сертификатом. Если уже не сделали.
давно, простые сертификаты помечны просто замочком, а сертификаты с расширенной проверкой будут помечены названием организации зеленым цветом рядом.
Странно, что я ни разу не слышал/не читал рекомендацию типа «никогда не вводите данные карты на не подписанных сайтах». Кучу всякой херни пишут в этих своих брошурках «how to stay safe online», а вот такого простого и очевидного совета не видел ни разу, хотя карт этих сменил штук 10 за последние 5 лет
Судя по скриншотам FF, соединение http (расчёт делается на то, что 90% пользователей шапку не смотрят). Не мешало бы настройку включить: user_pref(«browser.urlbar.trimURLs», false);

xbox, на 75% YМ принадлежат СБ.
Первый сайт _aviapromo.eu_ использовал HTTPS и на заглавной странице (видно на одном из самых верхних скриншотов, сделанном на телефон) и на странице оплаты. HTML код страницы оплаты у него значительно отличался от _avia-scanners.ru_. Там я вообще не нашел никаких ссылок на банки. Подозрительные моменты там были, но так очевидно, как с Тиньковым там не получилось разобраться. Вот такой, например, подозрительный код там был в HTML,
<a href="view-source:https://aviapromo.eu/merch/payp2p.php" class="attribute-value">payp2p.php</a>
С первым сайтом я сильно не успел поэксперементировать, поскольку хостинг-провайдер его по заявлению отключил. Но у меня остался HTML код страницы оплаты. Также как остался HTML код страницы оплаты со второго сайта. Я бы мог их выложить, но не знаю, нужно ли и куда выкладывать. Сохранял код через браузер. Скрипты при этом не сохранились. Поэтому по HTML коду полностью картину не восстановишь. Можно строить только предположения.

Второй сайт _avia-scanners.ru_ использовал http. В этот раз я уже более наглядно делал скриншоты. На картинках видно.
Я покупаю билеты так: ищу билеты по расписаниям, смотрю какие авиакомпании выполняют подходящие мне рейсы, покупаю билеты на сайте авиакомпании.
UFO landed and left these words here
Нередко на сайтах перекупщиков цены бывают ниже, чем на сайте самой авиакомпании. Приходится выбирать между риском и дороговизной.
UFO landed and left these words here
Мне так S7 не продавала дешёвый билет. При поиске есть, а как заказывать начинаешь — в четыре раза дороже. Ищем через некоторое время опять — есть, начинаем заказывать — нет. При этом все агрегаторы показывали только дорогие билеты. Так что вопрос большой и разносторонний.
Мне авиаяндекс показывает дешёвые билеты, лучшее предложение на мой маршрут. Переходишь на сайт S7 — дешёвый выбран, но не заказывается. Если радиобаттон с дешёвого варианта убрать, то вернуть потом нельзя — вариант из списка исчезает. Думал, повезло на баг, как обычно. Но если не только у меня, то, видимо, планомерно этим промышляют.
А самый дешёвый из настоящих доступных вариантов S7 примерно на 5% дороже самого дешёвого у перекупов.
Вам не доводилось слышать про OZON travel? Когда покупаешь билет, а через несколько дней оказывается, что нет у тебя никакого билета, потому что продавец не смог выкупить его по обещанной цене.
Пройдемся по шагам.

> 1. Домен в зоне EU должен был по крайней мере насторожить.

Упс. Чем?
По этой логике должны настораживать aviasales.su, rossiya-airlines.com, pobeda.aero, vim-avia.com… да?

> 2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.

Все сайты, на которых можно что-то купить, устроены именно так. Пыль может быть разного калибра и в разном количестве, но суть одна и та же.

> 3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году.

Здесь и далее — просто без комментариев. Да, это все информация открыта, но никто не мешает мошенникам указать настоящую информацию любой фирмы.

4. Рейтинги сайта ТиЦ и PR нулевые

Это к сожалению, ни о чем не говорит. СЕОшники могут меряться этими циферками, а для обычных людей это птичий язык.

5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK»

А начиная с этого момента — уже поздно. Данные карты введены, вуаля.

Итого — обычный человек в подобном случае ничего сделать не может к сожалению.

Остается незакрытым вопрос успешной оплаты без MCSC/VbV — как любит напоминать Сбербанк, это «невозможно»…
Справедливости ради.
А начиная с этого момента — уже поздно. Данные карты введены, вуаля.

Не совсем так. Насколько я знаю — если вы не ввели код из смс от банка — то операцию опротестовать более чем реально. Если же ввели код из смс — то реально только если деньги с той стороны куда перевели получится «заморозить» (т.е. если они там ещё есть).
Сорри, но это уже выяснили — если магазин не поддерживает MCSC/VbV, то никаких смс не будет.
А зачем мошенникам ставить препятствия самим себе?
Насколько я знаю, если магазин не поддерживает MCSC/VbV то он берёт на себя риски того, что операция будет опротестована.
Увы, в данном случае это не сработает потому что на мошенническом сайте вы ничего не покупаете в магазине, а совершаете частный перевод на карту подставного физлица.
Не слышал о переводах на частную карту без смс — но всё равно — на сколько я знаю, правила мастеркарда и визы довольно просты: если нет введения смс — то при опротестовывании операции — все деньги вернут владельцу (видимо за счёт банка — если он допускает операции перевода денег на карту без смс).
С доменом .aero все, как-раз, нормально — он выдается только организациям связанным с авиаперевозками и для того, что б его получить — нужны соответствующие документы.
Неочевидный факт — иногда покупка билета у посредника обходится дешевле, чем напрямую. Но риски повышаются, да.
UFO landed and left these words here
За это и платите больше, да.
Ну это только до первого мошенничества.
но ведь так получается дороже?
UFO landed and left these words here
По-разному. Я видел у посредников цены и на $50 дороже, и на $50 дешевле, чем на такой же рейс на оффсайте авиакомпании.
Вы ещё скажите что покупка билета туда-обратно всегда дешевле.
UFO landed and left these words here
Seattle-Vienna. Round trip с 1 пересадкой от $1300. One way с одной пересадкой от $2400(!).
Я только этим летом билеты на Пхукет покупал. Себе туда-обратно, другу, который уже там был и попросил купить ему обратный билет на тот же рейс купил почти за 80% стоимости своего (который в обе стороны). Аэрофлот. (билеты абсолютно одного класса).
Ну, а я себе покупал билеты СПб-Нск. Покупал два отдельных билета. Не фиг-то и экономия, но 200 рублей разницы по сравнению с туда-обратно на те же рейсы.
Вопрос — на той странице, где надо было вводить данные карты для оплаты, был ли https? Ничего подозрительного в его сертификате не было?
Судя по отсутствию иконки замка у в адресной строке, там голый http.
Да уж. Это должно было насторожить сразу. А то получается что тогда кроме этих мошенников данные карты могли уплыть любому, прослушивающему данный траффик.
Вас беспокоит, что данные могли достаться другим мошенникам, перехватывающим трафик?
Ну в каком-то смысле, меня беспокоят не-https страницы, где я должен вводить свою платёжную информацию
Это был бы довольно интригующий поворот, как раз в духе статьи (согласитесь, написано увлекательно). Но не, как и товарища ниже, меня в основном смущает необходимость вводить какие-либо личные (не говоря уж о платёжных) данные на сайте без https.
форма может отправлять данные на урл с https а сам сайт крутится на http. Зачем? Может для снижения нагрузки на процессор, вероятно. Видел пару раз на госсайтах.
Нет, не может, это проблема курицы и яйца. Введите в гугл и получите миллион ссылок, почему так делать нельзя. Вот первая.
У vim-avia весной тоже не было замка. Я тогда на это посмотрел и передумал у них покупать.
Выше в комментариях написал только что.
На первом сайте был https.
На втором сайте был http.
Сертификат я не проверял, но каких либо сообщений браузера или антивируса, как это иногда бывает, не выдавалось.
>>Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS).

А я сталкивался, например в Steam (и не только там).

На соответствующий вопрос сбер мне ответил что-то в духе «На усмотрение магазина».
Собственно ответ:

Ответ Клиенту:
Уважаемый <ФИО>
ОАО «Сбербанк России», рассмотрев Ваше обращение, сообщает следующее.
Согласно Условиям использования банковских карт ОАО «Сбербанк России»:
п. 11.7. — Держатель соглашается с получением услуг через сеть Интернет,
осознавая, что сеть Интернет не является безопасным каналом связи, и
соглашается нести все риски, связанные с возможным нарушением
конфиденциальности и целостности информации при её передаче через сеть
Интернет
Дополнительно сообщаем, что способ подтверждения операции в сети интернет
определяется непосредственно разработчиком сайта.
Обращаем Ваше внимание на то, что с Условиями использования банковских карт
ОАО
«Сбербанк России» Вы можете ознакомиться в подразделениях Банка либо на
сайте
Сбербанка России по адресу (http://www.sbrf.ru/moscow/).
Благодарим Вас за Ваше обращение и надеемся, что наши разъяснения помогли
Вам
разобраться в сложившейся ситуации.

Вопрос Клиента:
При покупке к некоторых онлайн-магазинах не требуется подтверждение в виде
одноразового СМС-пароля (оплата проходит без запроса такового).
Любая технология защиты должна поддерживаться обеими сторонами платежа. Если одна из сторон поддерживает какую-либо технологию защиты, а другая нет, то в случае диспута (спора, кто мошенник, и кто должен вернуть деньги) платежная система встает на более «защищенную» сторону.
Такой подход стимулирует участников подключать как можно больше разных степеней защиты (чип на карте, вместо магнитной ленты, временные коды, 3D-secure и прочее). Поэтому если ваш банк поддерживает 3D-Secure (а судя по написанному, так и есть), а получатель платежа не поддерживает (иначе деньги не ушли бы), то на основе вашего заявления в банк начинается диспут между вашим банком и банком получателем. Платежная система присуждает вашему банку пальму победы, как более «защищенному» банку. Банк-получатель_платежа вынужден вернуть эти деньги. И получается, что потерпевшим от действий мошенников становится именно он. Это стимулирует его тщательнее проверять своих клиентов и писать на них заявления в милицию в случае необходимости.
Другое дело, что карты эти могут быть ворованными. Но это уже другая история.
Для тех, кого интересует оплата без смс подтверждения — тот же алиэкспресс проводит транзакции без 3D-Secure подтверждения
Никогда не понимал тех, кто на первом найденном «поисковике билетов» что-то заказывает… Есть пара проверенных и весьма известных искалок, и есть прямые сайты авиакомпаний… Надеяться, что сторонний сайт магическим образом даст лучшую цену? Ну-ну… Кстати, не отсюда ли ноги растут у мифов о том, что на сайтах авиакомпаний цена динамически меняется, например, после долгого поиска? :)

Ничего себе миф. Вчера покупал билеты на delta.com. И что бы вы думали? Первая попытка закончилась "какая-то проблема при покупке, попробуйте ещё раз" — с начала поиска. Вторая — "кажется, этот рейс пользуется спросом, платите на $50 больше или попробуйте ещё раз". Стоимость билетов сначала — $208, то есть подняли на 25% внаглую. Билеты были нужны, чувствую себя последним лохом, но купить пришлось.

Есть и другие сайты — не только этот. Зачем продолжать пользоваться тем кто использует полумошеннические схемы?

Так получилось, что я рассчитывал именно на эти билеты и особого выбора больше не было.

У вас на скрине, где вводятся данные карты, указан протокол http. Хотя бы одно это должно было насторожить от всяческих дальнейших действий.
И конечно же, сервисы перевода денег с карты на карту должны заняться проблемой, описанной у вас. Знаю, что представители того же ТКСБ есть на Хабре и ГТ.
Да это тоже должно настораживать при оплате в интернете.
Но я думаю, что если провести опрос авиапасажиров, у всех, кто покупал билеты через интернет, то процент тех, кто знает, чем отличается http от https, будет сопоставим с процентом проголосовавших на прошедших выборах за непарламентские партии.
Я думаю, что если среднестатистический человек не хочет рисковать, то он покупает билеты на нескольких самых известных сайтах. К примеру, если билет покупается на рейс аэрофолота, то и искать его логично на сайте аэрофлота. А уж если человек находится на сайте аэрофлота, то смотрит ли он на значок http/https в адресной строке, — это вопрос.
А заявление об инциденте в ТКС Банк было отправлено?
Я хоть и не являюсь участником инцидента, но отправил им заявку с предложением фильтровать http-referrer на странице cardtocard с ссылкой на эту публикацию
Это бессмысленно в случае такого мошенничества, которое описано в статье. Данные все равно проксируются, иначе злоумышленники бы не узнали номер карты.
Да, в ТКС я сообщил об этом фишинговом сайте.
По телефону у меня всю информацию под диктовку приняли и оформили в своей системе.
Из контактных данных взяли только адрес почты.
Номер обращения или что-то подобное не сообщали.
С Тиньковым собственно у моего знакомого не было инцидента). Инцидент был с другим банком. А Банк Тинькова уже позже на втором сайте засветился. Поэтому я их предупредил о мошенническом сайте, а формального повода что-то от них просить у меня нет.
1. Заявление в банк о мошенническом платеже надо писать не позже, чем в течении суток с момента списания. В этом случае банк должен вернуть вам деньги.
2. Не все сайты спрашивают 3D-Secure. Более того, для списания денег не надо знать ни CVV (CVC), на фамилию-имя. И это никакой не эксплойт, это принцип работы платежной системы.
3. При переводе денег следует проверять, что страница работает через HTTPS.
4. Платежные системы отслеживают количество мошеннических платежей в отчетный период (и общую сумму таких платежей). Как только у банка сумма мошеннических платежей превышает определенный порог, банк попадает на обалдеть какой крупный штраф. После этого, я вас уверяю, собственная служба безопасности банка сама найдет и «накажет» владельца этих сайтов. Так что пишите заявления о мошенническом платеже «чардж бэк» в банк по каждому факту списания. Пишите их сразу, как обнаружите. Не на следующий день, не в выходные, не после отпуска, а сразу (если конечно хотите вернуть свои деньги).
5. И на последок: да, для оплаты в интернете лучше держать отдельную карту, деньги на которую переводить непосредственно перед покупкой. Сейчас многие банки предлагают выпустить виртуальную карту, дополнительную к основной или что-то похожее.
1. Не списания, а уведомления Вас банком о транзакции.
Если Банк лопухнулся и договоренным способом предупредил вас не своевременно, а только через год — то у вас есть сутки с момента оповещения.

Минус — банки эту дыру знают, и в стандартный договор прописывают, что клиент обязан ежесуточно запрашивать выписку через интернет-банк и все такое.
Да вы охуеть какой эксперт :)))
По пунктам даже лень идти.

Владелец мерчант аккаунта.
И всё-таки сделайте усилие над собой — если есть что сказать.
Ну окей.
1) Это полная чушь.
2) Это зависит от мерчанта. Например американские мерчанты в зависимости от настроек, могут взбрыкнуть на неправильный зип код или даже адрес (да, адрес тоже в авторизации учавствует).
3) По барабану.
4) На штрафы попадает не банк, а мерчант аккаунт. В его же интересах и противодействовать фроду. С меня, например за любой чаржбек лупили сверху $40, что никак не подпадает под «обалдеть какой крупный штраф», как сказал автор выше.
Заявлять о чаржбеках, вовсе не обязательно в тот же день итп. Там срок чуть ли не полгода.
5) Ну может быть и лучше, но я предпочитаю устанавливать лимит по текущей карте и не ломать голову. Перед большим снятием или покупкой прямо с телефона увеличиваю лимит и все окей.
Насколько я понимаю ситуацию — когда деньги уходят продавцу — там да — есть куча времени для того чтобы опротестовать операцию. Но если перевод был с карты на карту — я бы рекомендовал поторопится ибо вернуть деньги будет можно если они ещё есть на карте мошенника.

Ну и насчёт https — я бы рекомендовал бы всё же обращать на это внимание — иначе перехватят данные карты и оплатят яндекс-директ мошеннику. Деньги то вы в итоги вернёте — но зачем решать проблемы если можно их просто не создавать.
UFO landed and left these words here
Скрипт на сайте сам лезет на страничку cardtocard, скачивает оттуда страничку оплаты, чуть рихтует, ставит свои адреса и показывает клиенту. После этого обрабатывает ввод клиента и сам генерирует новый запрос в cardtocard. Для cardtocard сервиса все выглядит так, что клиентом является виртуалка на FirstVDS. Клиент-жертва никак не засвечивается.
Это как посылать взрослого дядьку в магазин за сигаретами/пивом, когда вам ещё по возрасту не дают. Если дядька сам не скажет, продавец никогда не узнает, что заказчиком были вы.
Посредничество — это логическая дыра, которую не закрыть никак, кроме как СМС и одноразовыми паролями.
Какие бурные обсуждения тонкой рекламы безопасного браузера яндыкса, аж слеза выступает.
насчет браузера яндекса не знаю, а вот строка одного от одного антивируса в скриншоте имеется. сайт avia-scanners.ru сейчас открывается спокойно
_avia-scanners.ru_ заблокировал хостинг провейдер firstVDS по моему заявлению. Ночью я им написал. В середине дня «Отдел по борьбе с нелегальной активностью пользователей FirstVDS» отключил соответствующий аккаунт на хостинге. Еще в FirstVDS писал про _aviasalle.com_. Но его не заблокировали. А сам сайт оперативно отключил функционал для мошеннических действий.

Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг другой). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.
в «последнем» сайте в разделе контакты, домен сайта, не совпадает с «mailto» http://aviasalle.com/%22mailto:krukov@pilotavia.com/%22
> Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS)

Есть протокол токенизированных платежей. Сначала при первой оплате создается токен (с 3ds-запросом и кодом из смс), далее все последующие оплаты делаются через токен. При последующих списаниях окно 3ds-а не показывается.
Всем привет! Появился вопрос — а сайты-генераторы (вроде скайсканера) могут показывать сайты мошенников? Или все же они их не захватывают
В выдачу метапоисковиков (вроде скайсканера) попадают только партнеры этих метапоисковиков.
Только партнеры, да, по крайней мере раньше так было.

Имел отношение к прошлой версии сайта.
Позвольте, причем здесь «раньше так было»? Оно по-другому быть вообще в принципе не может, поскольку метапоисковик отдал некоему сайту из своей выдачи клиента и должен получить в обратку свою комиссию с этой продажи. Тут бизнес, а не благотворительность.
Если оставить в стороне чисто технические вопросы реализации, в сухом остатке остаётся главный вывод — паранойя в денежных вопросах никогда не повредит. Нужно принять за аксиому потенциальную небезопасность любых денежных операций. Особенно через интернет. Независимо от уверений банков, что это абсолютно безопасно. Учитывая потенциальный риск, этот риск необходимо ограничить. Для оплаты через интернет использовать карту, на которой нет суммы больше, чем необходимо для оплаты суммы заказа в данный конкретный момент. В идеале вообще лучше иметь отдельную карту для таких операций, потому как если вы думаете, что за вами не следят, далеко не факт, что это так.
Да это поможет, но только частично.

Если Вам нужно оплатить за билеты 5900р+5900р, то ровно столько Вы положите на карту и столько оплатите. А, в случаях с мошенническими действиями, куда пошла оплата, сразу можно даже не понять. Потерпевший, к примеру, в первом заявлении в Сбербанк указал, что у него украли 17700р+17700р и пытались еще украсть 10800р. При этом человек был уверен, что хоть билеты у него в кармане. Когда выяснилось, что и билетов нет, пришлось писать идти в Сбербанк и писать еще одно заявление.
Приходите в банк и пишете заявление. Это называется чарджбэк. Если транзакция была проведена без 3дсекур, то вроде как все уважаемые банки перекладывают ответственность в этом случае на мерчанта (т.е. мерчант должен доказать факт предоставления услуги) иначе деньги возвращаются клиенту.

P.S. Где же спецы с payonline (которы заспамили рекламными постами тут) когда они так нужны.
В статье речь идёт про перевод с карты на карту, который замаскирован под оплату в магазине. Вопрос на засыпку. Относятся ли правила относительно мерчантов и 3d secure к переводу с карты на карту?
Скоре всего да, так как вы «You didn't receive an item ordered». Я думаю это дело можно выиграть. Вы НЕ ДОБРОВОЛЬНО делали п2п платеж
Первый платеж с карты на карту и он подтвержден через 3dsecure. Остальные уже скорее всего обычные покупки
Не поможет, особенно со Сбербанком. Где можно оплатить без 3d secure? Да на одноклассниках.ру! Платежный сервис там от mail.ru. Кроме того карта запоминается сразу же! и может кроме всего прочего участвовать как в регулярных платежах так и в последующем без какого либо ввода карты, привязанной к аккаунту ОК. Так вот. У жены взломали акк ОК, и увели деньги, благо не много. майл.ру послал лесом, ОК сказали читайте соглашение, послали туда же, Сбербанк слушать особо не стал, через угрозы что зарегить заявление они обязаны в любом случае, даже если не могут выполнить — зарегили, но отправили в полицию. Итог — денег не вернул никто и возвращать никто не собирается. Так что наивно верить в банк что он там если нет 3дсекур — банк обязан… никому он ничего не обязан!
Ввиду данной проблемы давно завел себе «помойную» карту, и перевожу на неё требуемую сумму перед оплатой.
А насчет 3D бесит еще другая «мулька», это когда ты первый раз оплатил подписку чего-то, а через время с тебя автоматом сдергивают продление, причем у некоторых сервисов нет толком кнопки Отписаться, надо её где-то искать очень глубоко в меню или через поддержку, но денежка уже ушла и вы увидели СМСку.
Опсосы тоже этим пользуются, хотя у них хоть пишут «Автоплатеж», хотя многие не смотрят остаток. У меня была абонентка 300 руб, а на счете уже 350 лежало, но нефига, пришло сообщение что с карты переведено 300 руб и на счете уже 650… отрубил потом, лучше сам в ручную переведу.
>>После всей этой истории было написано заявление в полицию (на рассмотрении), в сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.

А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
Так там банк получателя — НКО Яндекс Денег. Такие карты оформленные на всяких алкоголиков и не очень умных граждан жаждущих работы продаются по пару тысяч рублей за штуку. Впрочем, продают все, даже ТКС, просто он дороже, а из дешевых Яндекс Деньги и Сбер.
у ЯД вроде же там лимиты по средствам, и при таких суммах мошенечества = идентификация, т.е. реальный владелец должен быть известен.
Реальный владелец ≠ мошенник. Вот, что бы понятнее было.
>А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.

В Яндекс я писал разные письма. Но письма про то, что получатель украденных средств выводил их на карты, выпущенные банком Яндекса, я не писал. На момент переписки я Яндексом у меня не было такой информации. Её я обнаружил позже. Сейчас уже не знаю, нужно ли в Яндекс писать, или они уже прочитали статью и в курсе.

В выписке Сбербанка номеров карт получателей нет. Когда отправляешь через их личный кабинет, то они присылают подробные смс со всей информацией, включая реквизиты получателя. А когда через посредников шлешь, то информации в смс минимальное количество. В подтверждающих смс может быть даже больше информации, чем доступно на сайте. В сбербанке в личном кабинете есть просто выписка с минимальным количеством информации. В этой выписке есть короткое обозначение расходной или приходной операции. А есть еще полная банковская выписка, в которой нет даже названий контрагентов и назначений платежа. Есть только номера счетов (по большей части внутренние номера счетов сбербанка).
А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
27.09.16 я дополнительно написал в Яндекс с указанием пяти обнаруженных номеров банковских карт, на которые выводились украденные средства. Сослался на предыдущую переписку и эту статью.
Вот ответ Яндекса:
Спасибо за Ваше письмо. Необходимые меры по данным картам были приняты.
Мы также будем благодарны Вам за информацию о любых подобных письмах и случаях мошенничества.
Спасибо за запрос.
EU домен требует чтобы владелец домена был резидентом Евросоюза и некоторые регистраторы требуют предоставить скан документов. Так что есть шанс найти владельца домена через интерпол.
1 данные раельной карты ввожу только в форму на сайте банка, предварительно глянув в ssl сертификат. Либо на сайте известной платежной системы, тоже рповерив сертификат.
2 Если очень надо ввести данные карты непонятно в какую форму, то открваю виртуальную карту на нужную сумму — хотябы больше не спишут.
3 Ну и выберу лучше сайт авиакомпании или проверенного перепродавца, пусть на 10-20% дороже чем непонятный сервис.
Да уж… неслабое расследование…

У меня онлайн платежи по кредитной карте всегда требуют авторизации моего банка. Выглядит жто примерно так: после заполнения всез данных и нажатия кнопки «оплатить» или ее аналога, меня перебрасывает на страницу интернет банка, где я и должен пройти авторизацию (с использованием одноразового кода и кода подтверждения) — геморно конечно, но довольно надежно (хотя конечно не на 100%)
Сбербанк тоже всегда перекидывает на страницу, требующую подтверждения кодом СМС при оплате через интернет. Но как оказалось, что это подтверждение требуется не всегда.

Ваш банк, по Вашим словам, всегда требует сразу два кода. Но Вы точно это знаете? Может быть в аналогичной ситуации банк не запросил бы ни одного кода. Пока не попробуете, не узнаете.

Два кода тоже могут не помочь, если Вас обманут. Вас также перекинут на страницу оплаты, где Вы введете столько кодов, сколько нужно, если не заметите подвох.
Да я ТОЧНО знаю, что мой банк действует так как я описал… И второй тоже — я клиент двух банков (схемы авторизации в них немного отличаются, но смысл один). Есть только один вариант, когда коды не запращиваются — если я регистрирую свою карту в каком-то сервисе, нде оплата периодическая — в жтом случае я авторизую всю схему в самый первый раз (т… е. когда регистрирую карту на сервисе) — примеры таких сервисов — Microsoft (Office, Skype), DropBox, AWS… кажется в моем случае это все…

А точно я это знаю потому, что я самолично выставлял соответствующие галочки. Схема с кодами кстати не единственный вариант — можно выбрать и другие — с использованием мобильного придожения например… можно даже с паролем (но там все равно двухфакторная аутентификация)… кажется с СМС еще можно… С кодами доступа оно как-то привычнее — оно по умолчанию… Система достаточно надежная — у нас банки удостоверяют личность (по той-же схеме) для всяких онлайновых сервисов, включая и государственные услуги. А уж онлайновые платежи — я больше за дебетовые карты беспокюсь, чем за кредитную… Там если что гекмор практически обеспечен, хотя деньги скорее всего вернут (был прецедент уже)
Это называется 3d-secure и внимание, инициируется магазином, т.е. принимающим деньги.
И самое главное, повторно магазин может не запрашивать эти данные у вашего банка. Пример ozon (и куча других) если вы сохраняете карту в интерфейсе (бывает она сохраняется автоматически, как у ozon но ее можно удалить, правда только при новом заказе, это решение мне сказали в саппорте), первая оплата проходит с sms-подтверждением, все остальные — нет.

Мое имхо, это не защита а видимость, банк сам должен мне прислать sms о запросе средств (кто, сколько и другие подробности) и пока я не пришлю подтверждения… но это неосуществимые мечты, как я понимаю, идеологически, в алгоритме снятия с карты (в тех же ATM на кассах) нет паузы, в течении которой можно реализовать такое подтверждение.
У украинского привата, например, помимо 3d-secure еще и своя проверка на все непериодические платежи. Выглядит это так — при любой оплате меня перекидывает на страницу привата где я должен подтвердить оплату. Причем от настроек мерчанта не зависит совершенно(проверял, имеется биллинг для которого настраивал оплату через различные системы, в том числе и напрямую через банк. На время тестов 3d-secure был отключен, но проверка привата все равно была.)
А тут как раз периодический платёж — сначала заплатил 5900 а на следующий день ещё пачка на ту же сумму с периодом несколько минут.
Я дам очень краткий ответ — мой банк не перечислит ни копейки, пока я не авторизую платеж описанным способом — вде зависимости от того, что там магазин сохраняет. Исключения я написал — я авторизую периодические платежи от конкретного поставщика услуг (и могу в любой момент это остановить)
На AliExpress тоже требует код ввести? Что за банк такой?
и на AliExpress тоже — любая попытка провести платеж по кредитной карте, возвращает требование авторизации у банка-эмитента карты. Магазин может в принципе забить на это и не получить моих денег (например если он не подключился к такому платежному провайдеру, который поддерживает этот протокол), либо перенаправить меня на сайт авторизации моего банка и завершить платеж согласно протоколу. В принципе (именно так — В ПРИНЦИПЕ) я могу разрешить совершать платежи с моей картой без этого протокола, но я этого делать не стану (хотя было бы неплохо ограничить какой-то максимальной суммой в течение дня — скажем 20 евро. Но такой настройки нет… ну… не было года три назад, когда я там ковырялся)

Ну так деньги назад вернули или нет? Если нет, прошу отписаться потом по результатам — очень интересно насколько реально оспорить транзакцию.
Пока неизвестно. Сбербанк написал, что рассмотрение заявления производится в срок до 15 дней (видно на заглавном скриншоте с смс). Срок пока не прошел. Ждем. Результат отпишу.
«Написали, что срок рассмотрения продлили дополнительно на 30 дней. Деньги на данный момент не вернулись.»

Ну жду тогда результата через 30 дней. Хотя и так его предвижу…
Ну жду тогда результата через 30 дней. Хотя и так его предвижу…
Результат оказался неожиданным.

Деньги, которые были списаны за Яндекс.Директ, вернулись 12.10.2016 (17700р+17700р). Возврат произошел через 22 дня с момента подачи заявления в банк.
Деньги, которые ушли на чью-то карту ~5900р+5900р+комиссия на данный момент не вернулись.

Дописал это в публикации. Там же есть скриншот с подтверждением.

Готовится продолжение этой статьи. Скорее всего будет опубликовано на следующей неделе. Будет интересно.
xbox сделайте в этой статье апдейт со ссылкой на новую потом
не хотелось бы пропустить
Все транзакции без 3Dsecure и карты — cnp-платежи, которые оспариваются в пол-пинка. Если банк козлит — писать в визу. Как в визу писать не знаю, в мастеркард:
https://www.mastercard.ru/ru-ru/consumer/support/emergency-services.html
Это вроде консьерж-сервис, а всё общение с МПС у нас идёт через банк. Зато прямо в законе о НПС прописана обязанность банков возвращать деньги при сообщении в течении суток.
Если банк козлит, то тут можно на них пожаловаться.
UFO landed and left these words here
Тут конечно все зависит от того, кто это будет расследовать. Если обычные следователи, то их уровень знаний в компьютерной тематике, вероятно, недостаточный, чтобы кого-то найти. Если расследованием подобных дел занимаются высококвалифицированные специалисты, обладающие определенными полномочиями, то конечно все это можно распутать или по крайней мере сделать так, чтобы ситуация не повторялась. Если на помощь правоохранителям придут специалисты крупных банков, специалисты Яндекса, представители хостинг-провайдеров итп, то я думаю есть все шансы вычислить всех мошенников. Службы безопасности крупных банков иногда сами вскрывают мошеннические схемы. Другое дело, что нужно, чтобы все из списка выше, захотели заняться поиском мошенников.

Вот ответ службы поддержки Яндекса на заявление о мошеннических операциях с использованием их сервисов. Ответ был получен пять дней назад. 21/09/2016

Здравствуйте.

По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось.

При обращении в полицию не забудьте, пожалуйста, рекомендовать лицу, принимавшему у Вас заявление, обратиться для разрешения вопросов, связанных с Вашим заявлением, в подразделения, расследующие преступления в сфере высоких информационных технологий (в России — подразделения Специальных Технических Мероприятий).

В заявлении необходимо максимально точно указать всю имеющуюся у Вас информацию: обстоятельства обмана, номера телефонов и так далее. Также обязательно приложите к заявлению копии квитанций на зачисление денежных средств. Оригиналы этих квитанций могут понадобиться нам, если нам удастся найти Ваши деньги.

Всю имеющуюся у нас информацию, касающуюся данного инцидента, мы предоставим правоохранительным органам по их запросу.

Спасибо за запрос

Яндекс пишет, что деньги потрачены. Но, я надеюсь, что итоговое слово, вернут сумму или нет, за Сбербанком.
И совет Яндекс правильный дает по поводу выбора подразделения. Какое подразделение полиции в конечном итоге будет вести расследование, я не знаю. Заявитель готов содействовать расследованию, но если всякая бумажная переписка и поездки по различным подразделениям затянется на месяцы, то неизвестно до какого момента он будет готов этим заниматься.
UFO landed and left these words here
Возможно, вы имели в виду: машалла

(иншалла значит «если Аллах пожелает», и тут по смыслу не подходит.)
UFO landed and left these words here
Первоначальное скорей было правильно
В арабских странах считается невежливым отказывать прямо, говоря «Нет». В таких случаях Иншаллах примерно может означать, «То, о чём вы меня просите, к сожалению, неосуществимо, если только не вмешается Бог» (ц)
Там тоже так посоветовали полтора десятка лет назад в СПб.
Смотрите: мошенник покупает карту оформленную на левого бомжа и принимает на нее платежи. Допустим мы получили данные бомжа и приняли его. Возможно он знает человека, который занимается продажей таких карт (хотя это далеко не факт). Можно даже принять продавца карт, но далеко не факт, что мошенник покупал у него эти карты со своего реального кошелька, а не через биткойн\кошелек, оформленный на левый скан.
Судя по размаху схемы там все должно быть организовано на приличном уровне, поэтому шансы поймать мошенника по данным карт\whois и другой подобной информации минимальны. Но, возможно, мошенник мог расслабиться и спалиться на чем-то другом: например, оплатить хостинг со своей карты или зайти со своего реального IP на сервер. Если и копать, то в эту сторону.
Поймать продавца таких карт — уже большое дело, ради которого стоит постараться.
Это работает только в случае если мошенники совсем упоротые и долго пользуются одной и той же картой к тому же оформленной НА СВОЁ реальное имя. Такое, наверно, бывает только в фильмах.
В реальности же — они меняют карты так часто что когда выходят на их след — их уже не поймать. Или карта оформлена на бомжа. А те и рады отсидеть на казённых харчах за мошенничество, даже если их найдут. Или даже не на бомжа а на реального человека, только по поддельному паспорту.
Поймать, наверно, можно будет только если в полиции мгновенно получат информацию о совершенной операции снятия денег с банкомата и совершенно случайно рядом проезжал патруль, который мгновенно получил бы эту информацию.
UFO landed and left these words here
Ульбрихта 2 года ловили, и поймали по большому счету благодаря его наивным просчетам, а не глубинным анализом, как вы предлагаете. И лоивили его ФБР за гораздо большие дела чем описанное в статье.
Лишний повод всегда проверять содержание SMS'ки с паролем. И банкам типа сбера пора уже стать ближе к людям и писать не P2P, а «Перевод на карту N банка 5232 2222....». Попробуйте выписку по карте в сбере посмотреть — одни аббревиатуры. Самое лучшее, увидишь что-то типа AVG34BH-PEREKRESTOK-324356552354.
Может они от МПС такую куцую информацию получают?

Меня вот выводит, что в некоторых банках даже обычные транзакции со счета на счет в выписке идут без деталей (ни назначения, ни отправителя, ни номера счета, ни БИК).
Я вообще не в курсе технического нутра протоколов МПС, но скорее всего, там основные протоколы остаются неизменными со времён 1980x, когда CNP-транзакции передавались телетайпом и экономить приходилось каждый байт.
В чём-то лучше, в чём-то хуже. Выписки всё же понятные в Сбере, хоть и не всю информацию показывают.
Позабавили смски от Росбанка: Пароль 123456 для подтверждения операции на сумму 100 рублей. И потом смска: Изменение -100 рублей Остаток 200 рублей Доступно 1200 рублей. И гадай потом что это было.
Вот еще похожие сайты (и еще не заблокированные):
_flying-avia.ru_
_scanner-ticket.ru_
_scanner-aero.ru_
Спасибо за сайты, я их проверил по ОГРН и оценил в Web Of Trust (WOT) как мошеннические. Пожалуй, мы все можем их заминусить на WOT, чтобы хоть как-то обезопасить людей.
Вот еще похожие сайты (и еще не заблокированные):
_flying-avia.ru_
_scanner-ticket.ru_
_scanner-aero.ru_

Спасибо за добавление. Включил упоминание и разбор этих сайтов в публикацию после подписи UDP2.
Сайты уже заблокированы хостером.
3d secure не обязательно, более того даже CVV2 не обязателен (не вводил когда платил на Амазон или оплачивал в apple сертификат разработчика.
Первое, что должно было насторожить (точнее, стать стоп-сигналом), — это расположение страницы оплаты на сайте самого получателя. Вводить данные платёжной карты, пусть даже бросовой, можно только на сайте сторонней организации — эквайера. Никакие фреймы и подгрузки страниц [якобы] со сторонних сайтов не допустимы.
На днях платил за LinguaLeo — они именно показывают форму на своем сайте.
Не меньше насторожил аттрибут формы «data-cloudpayment-fake-form»
Для безопасности перевел деньги на неиспользуемую карту и заплатил ей.

Скриншот

Достаточно большое число компаний размещает платёжные формы на своём сайте. Например, на сайте Аэрофлота платёж проводится по адресу https://pay.aeroflot.ru/
Достаточно большое число компаний размещает платёжные формы на своём сайте.

И это не правильно. Максимум, что должен брать на себя сайт продавца — это первичное перенаправление клиента на сайт той или иной платёжной системы, если их у продавца поддерживается несколько. Ещё куда ни шло, если на сайте продавца расположены только поля для ввода, а обработчиком формы указан сайт эквайера, — но это всё равно вариант на грани фола, потому что, даже если вы доверяете этому сайту (например, это сайт вашего интернет-провайдера), защищён от взлома он наверняка хуже, чем сайт платёжной системы, и вы не можете быть уверены, что где-то там не подгрузился скрипт, отправляющий введённые данные заодно и на сервер мошенников.

Рубрика «Их нравы»
Надо мне было купить текст стандарта в одной международной организации (не ISO). Так у них не то что стороннего эквайринга нет — данные банковской карты покупателя, прямо вместе с CVV2, пересылаются по электронной почте и/или по факсу, и сотрудник той организации в ручном режиме снимает деньги, параллельно консультируясь с покупателем при возникновении каких-либо проблем, например если установлен лимит на сумму транзакции. Край непуганых буржуев, ей богу.
Несколько лет назад для покупки/продления программы разработчика под устройства Apple надо было им либо факс посылать либо заполненную (в PDF) форму (вроде с подписью). Они ее обработают а потом уже включат. Поддержка Альфа-банка при таких транзакциях сразу звонила с вопросом вида «Это вы сейчас пробуете купить» и одобряли транзакцию только после подтверждения что да, все нормально.
Сейчас все конечно сделано через сайт. Их собственный разумеется, без всяких перенаправлений.
Букинг.ком вот тоже пересылает данные карточек в отели :(
Мвахаха.
А бывают — что по https не пашут — и форма — только их собственная…
Технология 3D Secure существует, но никто не спешит ее внедрять. Вот если бы банки обязали пользоваться технологией, было б намного безопасней для держателей карт, но тогда не будут возможны автоматические списывания на многих сервисах.
У меня была история со взломом моего PSN аккаунта и покупкой игр, с помощью привязанной к ней карты. Я доставал звонками и письмами службу поддержки более полугода, будучи уверенным, что не возможно совершить платеж, не зная ccv2/cvc2 карты, который по Соглашению не хранится на серварах PS. Именно на это я и опирался в своих рассуждениях, пока очередной разговор с оператором-юристом Сбербанка не открыл мне глаза — сервису достаточно знать номер карты, остальное дело порядочности и заинтересованности получателя средств. Возврат средств одобрил головной офис PS в Лондоне, но скорее в качестве исключения
Вам очень повезло на самом деле. Выбить что-то у Сони в плане финансов — это очень сложная и нетривиальная задача. Могут пойди на уступки и дать скидку. Могут пойти на уступки и дать какую-то игру, если сильно провинились. А вот вернуть денег — только через главный офис. И очень-очень-очень редко, когда они возращают средства.
Деньги-то я вернул в течении недели через Сбербанк. В ответ Сони заблокировало аккаунт мой, где были игры, которые я покупал сам. В итоге аккаунт разблокировали и отменили покупки совершенные мошенником
Виза, как написано в её правилах возвращает все деньги, если о мошенничестве заявлено сразу (в течении 24 ч), и со сниманием штрафа, если позже. Совсем деньги пропадают, если заявить более чем через месяц.
Не в тему мошенничества, но к вопросу о переводах на карту — меня озадачивает такой факт, что p2p перевод вообще как услуга есть у многих (если не у большинства) у всех банков, при этом бесплатный.
Как я понимаю — осуществляя такой перевод в качестве оплаты за что-либо, на самом деле я просто добровольно делаю подарок, и получатель, несмотря на то, что он деньги по факту получил, мне ничем не обязан. Для правильного платежа (с указанием назначения платежа) необходимо оформление платежного поручения (причем за комиссию, я согласен), но вот этого для физ.лиц (в электронном виде через личный кабинет) в 98% банков нет.
может, меня поправят, но, насколько я знаю, в России физлица вообще не могут принимать коммерческие платежи (платежи за какие-то услуги) от других физлиц. Для этого получатель должен быть оформлен как ИП.
P2P переводы нужны больше для кейсов типа «ты вчера за меня в кафе заплатил, а я тебе сегодня возвращаю на карту». Понятное дело, что у нас эту технологию приспособили, чтобы получать платежи и не платить налоги, но это незаконно.
Ну почему, вы же можете мне продать например фотоаппарат, велосипед или а/м. ИП или юрлицо нужно, если осуществляется постояннная (регулярная) деятельность
ИМХО, главной дыркой здесь является тот факт, что Тинькофф предоставляет такое апи для платежей. Т.е. покупаешь SSL-сертификат (хотя мошенники даже не заморачиваются этим вопросом на ряде сайтов), делаешь форму, похожую на чей-то платежный гейт, настраиваешься на работу с API тинькофф. И вуаля — греби деньжата. По идее все платежи должны делаться исключительно в рамках сайта платежного гейта. Если требуется стилизация под нужды клиента (чтобы, например, выглядело консистентно с основным сайтом), то она производится на стороне поставщика услуги гейта.
Вы забываете, что для доступа к API нужно будет договор от юр.лица заключить, а это намного геморройней, чем просто кастомизировать напильником P2P форму.
Главной дыркой, как всегда, является невнимательность людей, когда они (не)видят на 3DSecure форме название не мерчанта, а какой-нибудь Tinkoff P2P.
Мошенники используют API для P2P. Вы хотите сказать, что они таки заключили договор от юр.лица?

P.S. А уж различать, что там будет за название, это нужно прям разбираться. Я вот, например, до сегодняшнего дня даже и не знал, что P2P в данном случае означает передачу денег с одной карты на другую. Когда уезжал из России, такой сервис еще не был распространён. А там, где я сейчас живу, он по-моему отсутствует как класс.
Я хочу сказать, что они не используют API. Они расковыряли готовый P2P сервис банка и встроили на свою страницу, при этом скрывают вторую карту, в пользу которой списываются деньги.
Я просто предположил, что Вы в теме, поэтому написал, что для использования API данной услуги с банком нужен будет договор.
Я ж изначально и написал, что дырка начинается с банка Тинькофф, который такое позволяет. А уж какое это API (публичное или внутреннее) — дело вторичное. Как выше написал Yngvie «Access-Control-Allow-Origin: *» — вот дырка.
Я бы не называл это прям дыркой, ведь попали многие, не только Тинькофф. При определенных действиях мошенников, странице для переводов трудно отличить человека от робота, который чужие данные вставляет.

Мое мнение — дырка начинается с того, что Яндекс.Директ аппрувит такие вот рекламные кампании всяких несуществующих ООО'шек. Но и их понять по идее можно, всю жизнь сегмент продажи авиабилетов считался наименее рисковым, МПС'ы даже пониженные ставки на эквайринг дают таким мерчантам, т.к. фрода нет почти. Нужна более глубокая модерация рекламодателей.

Был заинтригован тем, что: 84 минуты на прочтение


скрин
Уже 3 часа читаю комменты
Ещё один нашёлся утром, на момент написания работал: _scaner-avia.ru_
Спасибо. Добавил в таблицу в статье.
http://scaner-avia.ru/ хе пояндексил и нашел сайт с таким же функционалом и дизайном, ни ИНН ни ОГРН не пробивается
«Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure» — это не значит, что такого не бывает. есть куча законных примеров.
Самый главный признак таких «левых» сайтов — отсутствие номера телефона! Он нужен всегда, вы должны быть уверены, что при любой ситуации Вам есть куда обращаться.