Я бы не называл это прям дыркой, ведь попали многие, не только Тинькофф. При определенных действиях мошенников, странице для переводов трудно отличить человека от робота, который чужие данные вставляет.
Мое мнение — дырка начинается с того, что Яндекс.Директ аппрувит такие вот рекламные кампании всяких несуществующих ООО'шек. Но и их понять по идее можно, всю жизнь сегмент продажи авиабилетов считался наименее рисковым, МПС'ы даже пониженные ставки на эквайринг дают таким мерчантам, т.к. фрода нет почти. Нужна более глубокая модерация рекламодателей.
Я хочу сказать, что они не используют API. Они расковыряли готовый P2P сервис банка и встроили на свою страницу, при этом скрывают вторую карту, в пользу которой списываются деньги.
Я просто предположил, что Вы в теме, поэтому написал, что для использования API данной услуги с банком нужен будет договор.
Вы забываете, что для доступа к API нужно будет договор от юр.лица заключить, а это намного геморройней, чем просто кастомизировать напильником P2P форму.
Главной дыркой, как всегда, является невнимательность людей, когда они (не)видят на 3DSecure форме название не мерчанта, а какой-нибудь Tinkoff P2P.
Мое мнение — дырка начинается с того, что Яндекс.Директ аппрувит такие вот рекламные кампании всяких несуществующих ООО'шек. Но и их понять по идее можно, всю жизнь сегмент продажи авиабилетов считался наименее рисковым, МПС'ы даже пониженные ставки на эквайринг дают таким мерчантам, т.к. фрода нет почти. Нужна более глубокая модерация рекламодателей.
Я просто предположил, что Вы в теме, поэтому написал, что для использования API данной услуги с банком нужен будет договор.
Главной дыркой, как всегда, является невнимательность людей, когда они (не)видят на 3DSecure форме название не мерчанта, а какой-нибудь Tinkoff P2P.