• Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование
    +3
    Вернуть все платежи, кроме первого – достаточно реально. Эти операции не подтверждались с помощью 3-D Secure, и не являются повторными платежами для какой-то предыдущей покупки, подтвержденной по 3-D Secure.

    Вопрос мошенников, которые делают переводы с карты на карту под видом оплаты за авиабилеты, гораздо сложнее. Выше тут уже детально всё обсудили, но в сухом остатке – доказать что-то банку-эмитенту будет очень сложно. Для него вы сами совершенно сознательно перевели деньги на чью-то карту (на которой уже нет денег, и которая зарегистрирована на подставное лицо), и подтвердили эту операцию одноразовым кодом. Теоретически, тут что-то могут сделать правоохранительные органы.

    Мы являемся платёжным шлюзом (и даже сами сталкивались с такой проблемой), поэтому в основном тут будет описано происходящее с нашей стороны.

    Бороться с мошенниками на стороне платёжных шлюзов, по сути, очень сложно; лучшая тактика тут пытаться сделать использование нашей формы сложнее, чем у других (известный анекдот – для того, чтобы выжить при встрече со львом, не надо уметь бежать быстрее льва; достаточно бежать быстрее соседа).

    С учётом того, что каждый платёж достаточно большой – мошенник может позволить потратить себе достаточно много денег на организацию этого платежа. Можно действовать как-то так:
    1) На каждого посетителя сайта (точнее, платёжной формы с кнопкой «оплатить») автоматически поднимаем новую виртуалку в облаке или в ботнете, в ней браузером заходим на страницу перевода с карты на карту платёжного шлюза. Для платёжного шлюза это выглядит как обычный запрос обычного пользователя;

    2) Спрашиваем у посетителя номер карты, срок действия, CVV;

    3) Вводим в виртуальном браузере эти данные; вводим данные карты получателя (мошенника);

    4) Если, например, страница перевода с карты на карту требует разгадать капчу – показываем её посетителю и заставляем разгадать.

    5) Отправляем в виртуальном браузере форму, получаем в ответ переадресацию на сайт банка-эмитента для прохождения 3-D Secure. Перехватываем эту переадресацию, и переадресуем туда реального посетителя в реальном браузере (передавая при этом TermUrl своего сайта с авиабилетами).

    6) У посетителя отображается настоящая страница банка-эмитента (с соответствующим адресом и сертификатами), он вводит на ней одноразовый пароль из SMS, отправляет; банк-эмитент возвращает его на сайт с авиабилетами.

    7) Информацию о подтверждении 3DS, пришедшую на сайт с авиабилетами – опять же, отправляем в виртуальный браузер. Всё, операция проведена.

    По сути, для платёжного шлюза в этой ситуации всё выглядит так, что к нему пришёл реальный человек (на самом деле мошенник), который ввёл в форму переводов с карты на карту данные карты отправителя, данные карты получателя, и подтвердил операцию одноразовым паролем в банке-эмитенте. Отличить мошенника от честного человека тут не получится – нет никаких данных, которые выделяли бы мошенника.

    Именно по этой причине мы приняли решение отключить форму перевода платежей с карты на карты в нашей системе.

    Какая-то системная борьба (а не просто закрытие сайтов после того, как они уже успели набрать много денег) может идти только со стороны банков-эмитентов – как карт отправителей, так и карт получателей.

    От эмитентов карт отправителей хотелось бы видеть на странице подтверждения платежа заметное указание на то, что осуществляется именно перевод с карты на карту. Кроме того, так как со страницей подтверждения платежа мошенник может поступить так же, как со страницей перевода – «проксировать» её для пользователя в виртуальном браузере; это потребует большей невнимательности со стороны пользователя, но хотелось бы ещё чтобы банки, отправляющие одноразовые коды в SMS-сообщениях, предупреждали о переводе и в тексте сообщения. На вашем примере – в SMS-сообщении написано «P2P», среднему пользователю это ни о чём не говорит.

    От эмитентов карт получателей – запрет на получение денег для карт с не подтверждённой личностью владельца (для виртуальных карт типа яндекс.денег и киви).

    А пользователям стоит внимательнее следить за тем, где они вводят данные карты. Как уже было сказано, если на странице для ввода номера карты есть сертификат EV – то, по крайней мере, это не аноним и не однодневка; в случае чего хотя бы будет понятно, на какую организацию писать заявление. Да и мошенникам постоянно регистрировать новые компании и получать сертификаты EV будет затруднительно; это может сделать такое мошенничество невыгодным.

    Советы же вида «если левый ОГРН – то это мошенники», «если нет номера телефона – то это мошенники» и т.п. действуют как советы «если письмо написано с грамматическими ошибками – то это фишинг». Т.е. действует только до тех пор, пока мошенники могут себе позволить не напрягаться и писать неграмотные письма. Как только все узнают об этих советах – мошенники сразу начнут писать фишинговые письма грамотно, а на сайтах начнут указывать реальные правдоподобные ОГРН и телефоны.
  • Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование
    +3
    FYI: Памятка "Как вернуть незаконно списанные денежные средства" со ссылками на законы. Может пригодиться.
  • Языковая проблема искусственного интеллекта
    +1
    Пожалуйста! Именно в этой статье платежи не при чём :)
    Для большего интереса со стороны читателей мы стараемся писать не только на тему платежей, но и про технологии вообще.
    Но большинство постов в наших блогах именно про финтех:
    https://habrahabr.ru/company/payonline/
    https://geektimes.ru/company/payonline/
  • Как Apple Pay влияет на платежную индустрию?
    0
    Безусловно, мы всегда стараемся поддерживать не только карты, но и все самые удобные и популярные способы оплаты, такие как MasterPass и электронные кошельки(Яндекс.Деньги, QIWI, WebMoney)
  • 9 секретов онлайн-платежей. Часть 8: возвраты — и как их избежать
    0
    Если по истечении срока рассмотрения заявления вы получаете отказ в возврате или не получаете решения банка вовсе, в таком случае можете попробовать требовать возврата средств в судебном порядке.
  • 9 секретов онлайн-платежей. Часть 8: возвраты — и как их избежать
    0
    Если вы об операции chargeback, то да, но это не стандартная «функция» банка, а вопрос диспутов — нужно аргументировать возврат средств. Если причина — неправомерное списание, т.е. мошенническая операция, то алгоритм подачи заявления следующий: http://payonline.ru/news/ecommerce/19718/.
  • 9 секретов онлайн-платежей. Часть 8: возвраты — и как их избежать
    0
    Вы правы — клиринг в банках производится в лучшем случае раз в сутки, а в праздничные и выходные дни может занимать до недели.
    Операция возврата и отмена операции — всё-таки не совсем правильные термины, в них действительно можно запутаться. Вообще, терминология у всех разная, мы используем понятия «холдирование» или «предавторизация» (они немного отличаются, но суть одна — заморозка средств на карте для последующего списания с возможностью мгновенного возврата) и «чарджбэк» — возврат средств, когда платеж уже совершен. Для совершения чарджбека нужны веские основания, сам процесс может занимать месяцы.
  • 9 секретов онлайн-платежей. Часть 8: возвраты — и как их избежать
    0
    Если вопрос идет об УСН «доходы минус расходы», то да, нашу комиссию можно принять к учету.
    Мы предоставляем акт выполненных работ.
  • 9 секретов онлайн-платежей. Часть 8: возвраты — и как их избежать
    0
    Да, и такое возможно.
    Срок холдирования («заморозки») средств на карте устанавливается банком-эмитентом (максимально-30 дней).
    Но в некоторых случаях этот срок (реальный) может быть гораздо меньше.

    В настоящий момент, согласно правилам Международных Платежных Систем, сроки подтверждения (завершения) транзакций следующие:

    Visa
    — 5 календарных дней для транзакций по картам Visa Electron;
    — 8 календарных дней для транзакций по другим картам Visa.

    MasterCard
    — 7 календарных дней для транзакций по картам MasterCard, Maestro.

    Поэтому мы рекомендуем подтверждать транзакцию при работе с PreAuth в срок не более 5 дней, дабы потом не возникало спорных моментов.
  • Рейтинг красивейших денег мира
    0
    Спасибо за идею!
  • 9 секретов онлайн-платежей. Часть 8: возвраты — и как их избежать
    0
    Спасибо за вопрос, как-то упустили в тексте. Нет, не оплачиваются. Комиссия не снимается до прохождения платежа. Нет платежа — нет комиссии.
  • 9 секретов онлайн-платежей. Часть 7: система Fraud-мониторинга
    +1
    Система fraud-мониторинга, которая позволяют оценить ряд факторов, среди которых основными являются:
    • Страна, из которой совершается платеж.
    • Страна банка, выпустившего карту.
    • Размер платежа.
    • Количество платежей с карты.
    • Платежная история банковской карты.
    • Профиль среднестатистического плательщика магазина.

    Всего используется более 140 фильтров.
  • Что такое PCI DSS и как происходит проверка на соответствие стандарту?
    0
    Да, спасибо, убрали их
  • Ethereum-блокчейн и его использование на практике
    0
    удалено
  • 9 секретов онлайн-платежей. Часть 5: мобильные платежи
    0
    Для Xamarin пока не планируется.
  • 9 секретов онлайн-платежей. Часть 6: оплата в один клик
    0
    Уверяю вас причин для опасения нету, у нас система соответствующая всем мировым стандартам безопасности, ежегодно проходим сертификацию PCI DSS
  • 9 секретов онлайн-платежей. Часть 6: оплата в один клик
    0
    Для того чтобы работать напрямую с данными банковских карт нужно каждый год проходить дорогую процедуру сертификации PCI DSS. Это могут себе позволить или платежные системы, такие как мы, или очень крупные магазины. На мелких магазинах оплата в один клик реализуется с сохранением токена, который передается на сервер PayOnline, а мы уже совершаем платеж.
  • 9 секретов онлайн-платежей. Часть 6: оплата в один клик
    0
    Смотрите выше ответ, магазин данные не получает и не сохраняет, все происходит на стороне платежной системы, которой вы можете полностью доверять, т.к. чтоб работать с данными карты нужно каждый год проходить дорогостоящую процедуру сертификации и аудита.
  • 9 секретов онлайн-платежей. Часть 6: оплата в один клик
    0
    Ваши опасения за не санкционированные платежи понятны, именно поэтому чаще всего такая оплата все-таки подразумевает прохождение 3D-secure авторизации, т.е. подтверждения по смс.

    По поводу того, что ваши данные утекут от магазина, на котором платите, это исключено, т.к. данные карты на стороне магазина не вводятся и не сохраняются, это происходит на серверах PayOnline, а у магазина храниться только ваш токен и чтоб совершить быстрый платеж мерчант передает этот токен к нам.
  • Главные метрики, которые надо отслеживать e-commerce проекту
    0
    Спасибо за замечание, перепроверим инструкции, хотя до этого жалоб не возникало. У нас на сайте представлен наиболее полный обзор по возможностям интеграции. Жаль, что эта статья не оказалась для вас полезной, посмотрите, пожалуйста, наши другие статьи здесь, на ММ и ХХ.
  • 9 секретов онлайн-платежей. Часть 4: правильная платежная форма – залог успешной оплаты
    0
    Действительно запрос МПС или наименования банка это минус к конверсии, но эти данные используются как дополнительная проверка фрод-мониторинга. При подборе примеров мы хотели рассказывать не об идеальной ситуации в вакууме, а на примере реальных кейсов. Как тут многие заметили, лучшая форма не содержит вообще никаких дополнительных полей, а номер карты вводится в один инпут с автоматической разбивкой по 4 цифры, такая форма реализована нами на Avito:

    image

    Для некоторых же мерчантов критична каждая дополнительная возможность антифрауд-мониторинга. По правилам МПС на карте должны быть указаны контакты банка-эмитента и название банка-эмитента.
  • Visa Checkout расширяет географию, а MasterPass «обживается» в России
    0
    Мы предлагаем клиентам возможность настроить фильтры по географии в системе мониторинга мошеннических операций. Есть пример — кейс сети пиццерий "Папа Джонс". Так как сеть известна в мире, велика вероятность того, что приезжающие в Россию иностранцы (туристы, экспаты, студенты) захотят заказать пиццу знакомого бренда. Аналогично описанному вами случаю возникает несоответствие страны местонахождения плательщика и страны выпуска его карты. В данном конкретном случае по просьбе клиента в фильтрах системы Antifraud мы поставили разрешение на пропуск подобных транзакций (потому что вряд ли кто-либо будет незаконно наживаться за счёт заказа пиццы — здесь риск мошенничества достаточно низок). Естественно, такие изменения вносятся в систему только после анализа возможных рисков, под контролем специалистов и после согласования изменений с представителем интернет-магазина. По нашему опыту, наиболее актуальны такие настройки в сфере eTravel, но в любом случае, это всё индивидуально и зависит от множества нюансов.

    Есть и другой путь: если система мониторинга показывает "красный" (высший) уровень опасности транзакции, то её отправляют на ручную модерацию. Для аутентификации владельца банковской карты потребуется документальное подтверждение — отсканированное изображение банковской карты и документа, удостоверяющего личность владельца. После предоставления корректных сканов документов операция переводится из «красного» в «зеленый» цвет и направляется на авторизацию в процессинговый центр банка. Сомнительные операции, не прошедшие ручную модерацию, отклоняются во избежание риска возникновения мошеннических операций.

  • M-commerce растет на 300% быстрее, чем E-commerce
    +2
    2014 год:
    M-Commerce = 200 млрд $
    E-Commerce = 1.47 трлн $

    2018 год:
    M-Commerce = 600 млрд $
    E-Commerce = 1.9 трлн $

    Подробней про E-commerce можно прочесть тут и во многих других постах опубликованных в рамках этого блога.
  • 10 трендов в мире финтеха, которые полезно знать стартапам
    +1
    Мы готовы к различного рода партнерствам, напишите в личку о вашем проекте и оставьте свой email, как минимум пообщаемся и дадим свою обратную связь. Также мы можем помочь в знакомстве с профессиональными профильными инвесторами.
  • Как Stripe превратился в PayPal мобильной эпохи
    +3
    Добрый день! Благодарим вас за обратную связь, мы всегда открыты для диалога, так что предлагаем попробовать разобраться в ситуации.

    По поводу «черной пятницы» и других периодов с пиковыми объемами платежей. Мы работаем в Рунете с 2009 года и знаем все пиковые периоды — и заранее к ним готовим наших клиентов. В частности, к черной пятнице 2015 года мы начали готовиться еще в октябре, за месяц до пиковых нагрузок. С 25 октября по 20 ноября менеджеры проводили рассылку клиентам на предмет готовности к распродаже, предлагали настроить лимиты и другие фильтры системы фрод-мониторинга, чтобы избежать ситуации, которую вы описали. По средним и крупным клиентам проводился дополнительный обзвон.

    В частности, KAM уточняли, какие изменения настроек необходимы на этот период, а именно:
    — Максимальный размер платежа.
    — Максимальное количество платежей в сутки.
    — Максимальный объем платежей в сутки.
    — География приема платежей (из каких стран вам могут платить клиенты).
    — Максимальное количество платежей с одной карты в сутки.

    Все это происходило заранее, так как:
    1) наши Key Account Manager работают по будням с 10:00 до 19:00,
    2) изменения настроек системы фрод-мониторинга не производится моментально, так как сопряжено с управлением финансовыми рисками.

    Чтобы отследить историю взаимодействия с вашим аккаунт-менеджером, пожалуйста, сообщите свой MID, название юрлица или адрес вашего сайта (в комментарии или личном сообщении, как вам будет удобно).
  • 9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure
    +1
    Сделать, конечно, можно.
    При возникновении подобных ситуаций мы связываемся с банком-эквайером и уточняем корректность присвоенного для терминала ТСП МСС-кода. В большинстве случаев выясняется, что MCC соответствует виду деятельности, которым занимается ТСП. В этой ситуации мы рекомендуем покупателю обратиться в банк-эмитент для уточнения причин некорректного определения MCC. Практика показывает, что подобные обращения нередко решаются в пользу плательщика — банк возвращает ошибочно списанную комиссию или не выплаченный кэшбэк.
    Если при обращении банк-эквайер признает, что MCC-код присвоен ошибочно, мы уточняем у банка сроки решения проблемы и уведомляем мерчанта. И если указанные банком сроки не устраивают мерчанта, мы всегда можем предложить ему переключиться на другой банк-эквайер из числа партнеров PayOnline.
  • 9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure
    0
    MCC-код присваивается банком-эквайером автоматически при регистрации эквайрингового терминала согласно виду деятельности ТСП, на сайте которого совершается покупка.
    Ошибка в определении MCC-кода действительно имеет место, однако, в большинстве случаев это происходит по вине банка-эмитента карты, которой производится оплата на сайте ТСП, либо (что случается крайне редко) — из-за присвоения неверного MCC-кода в момент регистрации терминала банком-эквайером.
    Таким образом, PayOnline обеспечивает процесс проведения платежа, но не участвует в присвоении MCC-кода банковскому терминалу ТСП.
  • Новости из мира платежных систем: Visa и Visa Eu – вновь единое целое
    +1
    Касательно мерчантов, какой-то конкретной информации мы не встречали. Скорее всего, принципиальных изменений и для мерчантов, и для кардхолдеров не будет. Visa проведет все прозрачно и мы с вами ничего не почувствуем. Ну, а в долгосрочной перспективе, по заявлению руководства компании, все выиграют от этого слияния, благодаря распространению системы, новым технологиям и прочим возможностям.
  • Брошенные покупательские корзины
    0
    Добрый день! Рунет в картинках — серия инфографик, посвященных интернет-коммерции. Она существует уже не первый год, и от Рунета мы перешли к более глобальным данным, не только по российскому рынку, а название уже устоялось, так что было решено его сохранить.
    Все выпуски вы можете найти в специальном разделе на нашем сайте. Какие-то из них — полностью полностью авторские, начиная от сбора информации и заканчивая отрисовкой, где-то данные берутся из открытых источников и исследований и оформляются нашими дизайнерами. А иногда (если нам кажется, что информация будет интересна и полезна для читателей) мы делаем адаптированный перевод уже готовых инфографик по теме e-Commerce, при этом указывая ссылки на первоисточник. Мы бы с радостью делились оригиналом материалов, но не все обладают достаточным уровнем знания иностранного языка, поэтому мы стараемся упростить им восприятие информации по теме и делаем перевод на русский язык.
  • Брошенные покупательские корзины
    –3
    Добрый день! С каждым выпуском инфографик мы стараемся сделать их нагляднее и проще для восприятия. Возможно, этот выпуск некоторым читателям покажется не слишком удачным, но мы экспериментируем со стилями и подачей информации. Надеемся, что следующие инфографики покажутся вам более информативными и удобными для чтения. Спасибо за отзыв!
  • Брошенные покупательские корзины
    –2
    Да, стоит признать, что пути покупателя неисповедимы. Поведенческая экономика — отдельная тема, в которую можно (и нужно) долго углубляться. Данная инфографика (как и любые другие статистические данные) — лишь общая картина происходящего, сухие факты, представленные с различных точек зрения, а что скрывается за этими цифрами, какие мотивы движут покупателей — здесь причинно-следственные связи могут быть самыми разными, и предсказать их достаточно сложно.
  • Брошенные покупательские корзины
    0
    Здравствуйте! Нельзя не согласиться с вашим комментарием. Можно указать множество нюансов и исключений, которые повлияют на показатели, как в сторону роста, так и в сторону уменьшения. Однако сбор такой информации — процесс трудоемкий и не всегда возможный, так что приходится обходиться лишь усредненными статистическими данными, общим взглядом на проблему.
  • Брошенные покупательские корзины
    –7
    Добрый день! Согласно источнику статистики, данные потери — это недополученных доход интернет-магазина, так называемые «неявные издержки», или как их ещё называют «издержки упущенных возможностей». То есть это денежные платежи, которые мог бы получить интернет-магазин при более выгодном использовании имеющихся ресурсов.
  • Последние тенденции мира платежей
    +4
    Спасибо за комментарий! Да, вынуждены согласиться, подобные исследования дают только общую картину, и в каждой стране свои нюансы оплаты в Интернете. По поводу России — действительно, в плане онлайн платежей рынок можно назвать достаточно продвинутым. Кстати, именно об этом мы недавно писали на портале Roem — возможно, если вас интересует данная тема, статья покажется вам интересной. В любом случае, будем рады независимому мнению!
  • Обзор платежных агрегаторов для приема платежей
    0
    Только увидела у нас в минусах «Отсутствие услуги массовых выплат».
    Прошу поправить, так как данный сервис у PayOnline реализован в рамках платежного решения Pay-Loan.
    Заранее спасибо!
  • Обзор платежных агрегаторов для приема платежей
    0
    У нас (PayOnline) реализован механизм холдирования, пишите, если потребуется :)
  • Обзор платежных агрегаторов для приема платежей
    +1
    Если вы имеете в виду зарубежные банки, то рады дополнить материал.
    В числе банков-партнеров PayOnline: КАЗКОМ (Центральная Азия), Latvijas Pasta Banka, Rietumu, Wirecard (Евросоюз), Unified Payments (США, Канада).
    Все проекты, связанные с зарубежным и международным интернет-эквайрингом реализуются в рамках нашего платежного решения Pay-Foreign.
  • Обзор платежных агрегаторов для приема платежей
    +1
    С PayOnline — можно выходить на Запад: в Евросоюз, США, Канаду.

    И на Восток можно :)
    В Казахстан, Азербайджан, Кыргызстан и Таджикистан.
  • Инфографика «Рунет в картинках XXVII: Мобильная торговля»
    0
    Добрый день, imbeat!

    Данная инфографика скорее носит обзорный, а не рекомендательный характер. Мы постарались отобразить фактические показатели, предоставив читателям возможность самим сделать вывод о том, что ждет сферу мобильной коммерции в России, которая, к слову, ещё очень молода. Мы не беремся судить и делать прогнозы, но уже можем наблюдать за активным ростом числа пользователей (в статье нашего блога на Хабре есть немного аналитики, посвященной наблюдениям PayOnline за ростом трафика мобильных платежей, что и вдохновило нас на более глубокий анализ данной сферы).

    Что касается выборки респондентов, за основу было взято исследование Data Insight «Интернет-торговля в России 2014.
    Годовой отчёт». Подробнее о методике исследования, её этапах, источниках данных, а также дополнительную информацию, не вошедшую в инфографику, вы можете узнать по ссылке.
  • Прием платежей по банковским картам в приложениях на iOS
    0
    Я не полностью описал кейс: на сайт к мерчанту зайти только для того, чтобы получить URL плтаежной страницы.
    А про оплаты с сайта через заказ и т.д. вы правы.