Пожалуйста, скажите, откуда Вы взяли, что я обвиняю Сбербанк и называю конкретно показ имени владельца карты в телебанке «дырой» в безопасности?
Перечитайте, пожалуйста. habrahabr.ru/blogs/eCommerce/109361/#comment_3472110 nут как раз Сбер не виноват, подобным способом обходится любая защита, если есть номер карты — и не спасут никакие 3D Secure, SecureCode и прочие SMS-подтверждения
Более того, считаю, что показ имени при переводах с карты на карту облегчает процесс проверки введённых данных, повышая удобство работы пользователя.
О чём тоже было сказано: habrahabr.ru/blogs/eCommerce/109361/#comment_3472485 А так — удобство — ввёл цифирь (не только в интернете! Может быть пользователь стоит на морозе перед банкоматом с бумажкой в руках и пытается отправить деньги своему далёкому родственнику на карту) — убедился что «тому» — по имени, а не долго и нудно сверяя поразрядно номер карты — подтвердил.
Целью статьи было показать уязвимость перед такими транзакциями, где не проверяется CVV2/CVC2 и не участвуют дополнительные защитные механизмы.
И лишний раз привлечь внимание к проблеме конфиденциальности таких данных. Сбербанк просто наиболее популярен среди тех, кто публикует номера карт для приёма платежей подобным образом. Все эти данные в руках мошенников, даже если и не приведут к списанию средств, дают простор для социальной инженерии и прочего мошенничества.
Полностью солидарен в части, что многим неизвестно о механизмах проводки платежей по карте.
и отказывают, если что-то не совпадает.
Впечатает кто-нибудь Геннадьевич, а записано Геннадиевич. И всё. Не пройдёт.
А так — удобство — ввёл цифирь (не только в интернете! Может быть пользователь стоит на морозе перед банкоматом с бумажкой в руках и пытается отправить деньги своему далёкому родственнику на карту) — убедился что «тому» — по имени, а не долго и нудно сверяя поразрядно номер карты — подтвердил.
что часто и делают всякие мошенники, требующие «в целях проверки» выслать им скан обоих (!) сторон карты.
от этого и пошла идея замазать/заклеить CVV2/CVC2
ничего подобного. без единого вопроса отправили книжку в Америку (на адрес конторы по передоставке). Продавец отправлял только по Америке. Я платил российской картой.
просто как бы встречались две формы проверки — как в пэйпале — контрольный код — и сумма платежа (рбк money, assist, ещё где-то). принцип действия всё равно сходный, смотрим либо в SMS, либо в телебанк, либо в выписку по карте, и узнаём…
как бы для приёма платежей завести Cirrus/Maestro и опубликовать — вполне можно. Тем более что у Сбера развитая филиальная сеть и это зачастую может быть вполне удобно в плане практического использования.
никакой привязки в амазоне нет. указываете карту — и сразу платите. т.е. карта отображается в списке «ваши карты», но никакой контрольный код из выписки или сумму авторизационного платежа как в пэйпале указывать не нужно. и не снимают ничего для авторизации. ни бакса.
нет.
заводил карту в авангарде, т.к. слышал, что их гарантированно принимает и PayPal, и Amazon, и не надо дополнительно «открывать карту для онлайн-платежей» и писать никаких заявлений.
Работало «на ура», с тех пор рекомендую как раз именно Авангард для платежей онлайн.
habrahabr.ru/blogs/eCommerce/109361/
которую здесь поминает топикстартер.
проблема в первую очередь людей, а не банка. если уж и банка — то всей этой карточной системы.
Перечитайте, пожалуйста.
habrahabr.ru/blogs/eCommerce/109361/#comment_3472110
nут как раз Сбер не виноват, подобным способом обходится любая защита, если есть номер карты — и не спасут никакие 3D Secure, SecureCode и прочие SMS-подтверждения
habrahabr.ru/blogs/eCommerce/109361/#comment_3472141
а чем сбер виноват? люди сами пишут номер карты вместе с именем. а амазон принимает
Более того, считаю, что показ имени при переводах с карты на карту облегчает процесс проверки введённых данных, повышая удобство работы пользователя.
О чём тоже было сказано:
habrahabr.ru/blogs/eCommerce/109361/#comment_3472485
А так — удобство — ввёл цифирь (не только в интернете! Может быть пользователь стоит на морозе перед банкоматом с бумажкой в руках и пытается отправить деньги своему далёкому родственнику на карту) — убедился что «тому» — по имени, а не долго и нудно сверяя поразрядно номер карты — подтвердил.
Целью статьи было показать уязвимость перед такими транзакциями, где не проверяется CVV2/CVC2 и не участвуют дополнительные защитные механизмы.
И лишний раз привлечь внимание к проблеме конфиденциальности таких данных. Сбербанк просто наиболее популярен среди тех, кто публикует номера карт для приёма платежей подобным образом. Все эти данные в руках мошенников, даже если и не приведут к списанию средств, дают простор для социальной инженерии и прочего мошенничества.
Полностью солидарен в части, что многим неизвестно о механизмах проводки платежей по карте.
habrahabr.ru/blogs/finance/98112/
Впечатает кто-нибудь Геннадьевич, а записано Геннадиевич. И всё. Не пройдёт.
А так — удобство — ввёл цифирь (не только в интернете! Может быть пользователь стоит на морозе перед банкоматом с бумажкой в руках и пытается отправить деньги своему далёкому родственнику на карту) — убедился что «тому» — по имени, а не долго и нудно сверяя поразрядно номер карты — подтвердил.
habrahabr.ru/blogs/eCommerce/109361/#comment_3472170
«Альфа таким образом не уязвима. У них через интернет можно оплачивать только виртуальными картами (могут иметь физический носитель). „
Да, на РЖД CVV/CVC спрашивается. И такой платёж Альфой проводится. Не только виртуальными картами, что и было сказано в ответ на комментарий Lisio.
Сторонний банк — ТрансКредитБанк.
от этого и пошла идея замазать/заклеить CVV2/CVC2
Именно поэтому авторизация часто проходит — а всё остальное нет :(
заводил карту в авангарде, т.к. слышал, что их гарантированно принимает и PayPal, и Amazon, и не надо дополнительно «открывать карту для онлайн-платежей» и писать никаких заявлений.
Работало «на ура», с тех пор рекомендую как раз именно Авангард для платежей онлайн.
habreffect.ru/files/42c/9f3d45b22/22.png