Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 59
Просто отправьте жалобу в банк (правда, есть риск, что вашу карту на всякий случай заблокируют, как скомпрометированную). Есть PCI DSS и тому подобное, очень сомневаюсь, что мобильник курьера может быть по этим стандартам сертифицирован.
Я думаю, всё очень просто. Курьеру сказали, что неработающий без интернета терминал - это его проблема, и он должен её решить, если хочет продолжать получать зарплату. Вот он и решил, как смог: переводит деньги себе, а потом сам платит на терминале, когда тот заработает. В таком случае, если бы вы заплатили, то товар в статус "доставлено" на сайте перешёл бы через несколько часов только.
Для мошенничества всё слишком белое, и речь не про корпус: курьер корпус же принёс, значит курьер настоящий. Конечно, бывают преступники, забывающие на месте преступления свой настоящий паспорт, но – редко.
У меня карта кредитная и перевод с нее денег по номеру телефона - это конский процент с каждой операции как за снятие наличных.
Для перевода с вас бы спрашивало не PIN, а код подтверждения. А более вероятно – вы бы делали это на своём телефоне, просто отсканировав QR-код со смартфона курьера.
Возможно и было бы подтверждение (QR код или СМС), но это было бы уже после ввода пин-кода, который нужен для начала транзакции. Вот только оплата по карте может быть и без подтверждения, поэтому решил не рисковать.
Переводы не по пину делаются. И любой девайс продавца, в который вы вводите свой пин, обязательно должен сертифицироваться (а вот ленты в нём может и не быть, насколько я знаю, есть другие варианты фискального регистратора).
Переводы не по пину делаются.
Это я понимаю. И как оказалось, некоторые банки действительно предлагают прием оплаты с помощью обычного мобильного приложения.
Побуду адвокатом дьявола.
Есть терминалы типа Dspread D50 или Kozen K10F. Выглядят как смартфоны, крутят обычный эквайринг, и требуют сеть для работы (а она сейчас работает не везде).
Так же есть решения типа Pay to phone в тбанке, или Tap2Go у совкомбанка. Они позволяют превратить обычный телефон в кассу для приема платежей.
Как мне объяснил курьер, это не терминал, а действительно обычный смартфон с мобильным приложением, и не банковским, а их собственным.
Ну так да, ток телефон должен уметь читать карты - NFC ну и интернет на нем был. Это в разы "дешевле" обходится курьерам и нет возни с реальным терминалом и его "регистрацией"
А для гостей чтобы раздать интернет, можно сделать изолированную гостевую сеть, благо подобное давно есть во всех более менее современных роутерах. Или вовсе одноразовый вход
Да даже не в этом дело, у банков есть мобильный экварийнг для обычных Android телефонов: Точка.Банк, Сбер, Т-Банк итд
И удивляться тому, что интересуются доступом к wi-fi при текущих блокировках мобильного интернета тем более не стоит.
Я понимаю, когда покупатель скачивает на свой телефон официальное приложение магазина и платит через него, но разве в оплате банковской картой через неизвестное мобильное приложение, установленное на чужом мобильном телефоне нет ничего подозрительного?
И удивляться тому, что интересуются доступом к wi-fi при текущих блокировках мобильного интернета тем более не стоит.
И каждый раз менять пароль сети после подобной оплаты?
Я привёл три примера, когда банк официально заявляет что подобные платежи являются нормальными.
Что именно у вашего курьера с ваших слов непонятно, но, по моему опыту, никаких проблем в аналогичных ситуациях не было (порядка 4-5 за последние шесть месяцев). Естественно, вам принимать решение готовы ли принять эти правила игры или нет. К слову, карты Мир на телефоне есть?
Разговор про доступ к wi-fi это отдельная тема, но, вкратце, разумеется, делиться паролями не надо (правда, немного озадачивает зачем вам делиться паролями от основной сети, но, допустим, у вас такая архитектура заложена), при этом, мысли человека в данной ситуации с учётом блокировок, с лёгкостью понять могу.
Ну так когда звонят по телефону, там тоже официально заявляют, что все безопасно и проводится операция в интересах правоохранительных органов, которым сейчас потребовалась именно ваша помощь.
Да, могу представить ваше возмущение и негодование, но, тем не менее, это реально работающая технология, хотя первоначально действительно может ввести в ступор. За исключением пароля от wi-fi всё звучит обыденно. Просьба с паролем от wi-fi в целом ненормальна, но на фоне постоянных жалоб на блокировки мобильного интернета - легко объяснима.
В приложении магазина на своем телефоне Вы не можете сами себе сделать “полный расчет". Только внести аванс/предоплату.
Полный расчет может сделать только продавец/курьер в своём приложении.
Особенности кассового законодательства РФ.
...
По теме топика. Ваши опасения разумеется понятны и очевидны в текущей непростой жизни
Но в данном кокретном случае переживать не стоит. Это реально существующая технология. Просто крайне редкая и не популярная, я в реальности видел эту встройку всего пару раз и сам не интегрировал. А мобильный интернет реально глушат, так что без Вашего вайфая у курьера вероятно не было возможности закрыть продажу.
...
Нет, я не из DNS
Можете. Уже несколько лет для ИП и юрлиц на УСН и ПСН при дистанционной торговле допускается одностадийные расчеты с признаком "Полный расчет" на сайте. Например Озон Pay так работает.
https://kontur.ru/qa/20037
Или та же Маркировка Честный знак требует выдачу чека "Полный расчет" ДО доставки товара, то есть продавец обязан выбить второй чек до момента поступления товара потребителю. То есть перед тем, как отправить курьером-логистической компанией товар я обязан как продавец при дистанционной торговле пробить чек Полного расчета с кодом маркировки.
Благодарю :))
По первой части – не могу ничего сказать. Даже если и видел Письма на эту тему, просто пропустил их потому, что не занимаюсь автоматизацией ИП.
Уверен, что Вы правы, но речь в статье о юрике.
По второй же части – ссылку дайте пожалуйста. Заинтриговали.
ЧЗ этого точно не требует. Писем ФНС и Минфина на эту тему точно не видел. И сдаётся мне, что под “требует“ Вы имеете в виду свою кастомную реализацию.
Тут сразу вопрос – а что Вы делаете при отказе клиента? Ввод в оборот возвратом? Он не во всех товарных группах допускается
ЧЗ это требует, потому что сейчас обязателен разрешительный режим для кучи категорий (для моих игрушек с 1 сентября) и товар нельзя такой продавать пока он не прошел проверку на кассе. А тот же СДЭК или Яндекс Доставка они не могут выдать второй чек. Поэтому сейчас требуют чек полной оплаты выбивать ДО передачи товара курьеру или в ТК, иначе товар может банально не пробиться, а его отправили. Увы только такой вариант и техподдержка ЧЗ так и говорит - чек Аванса, потом чек полной оплаты и во второй чек полной оплаты уже вносить коды. И только после этого отправлять товар, когда все проходит, иначе штрафы за нарушение цепочки прослеживания.
Понятно что налицо перекрестный бред и нарушение ФЗ, где явно написано, что второй чек (он же чек "доставки") выдается только в момент физического получения товара покупателем, но там думали что это будут делать ТК, но они послали просто всех нафиг.
ТСПИоТ чуток отложен.
Ну допустим. Согласен, КМ нужно проверить, не сегодня, так в июле.
Но есть менее болезненный с точки зрения закона вариант – скинуть полный расчёт на свою же облачную кассу по статусу “выдан“. Да, там место расчёта не то и сентябрьские правки ФФД нужно пересмотреть. Но не завершать же расчёт без передачи
... Я то грешным делом подумал, что пропустил очередное Письмо. Нет, мнение ТП ЧЗ тут не устроит, оно с точки зрения НПД не стоит ничего.
Пойду поковыряю тему. У меня сейчас ЧЗ нет, на запуске товарная группа
Благодарю ещё раз за подсказку
Мнение не стоит, а вот штрафы эта "частная конторка" на автомате с 1 марта начисляет :( Своя хотя бы облачная касса в любом случае нужна будет при дистанционных продажах, ТСПИоТ уже все уши прожужжали что надо ставить в кассы, а те же Робочеки и другие дешевые способы продаж через агентов уже не прокатывают с разрешительным режимом ЧЗ, там нет проверки товаров по базе :( Сам готовлю денежки для аренды, ФН и т.п.
Можно на роутере просто создать гостевую точку доступа
А как они этот мобильный эквайринг сертифицировали?
Смотрите SoftPOS - он есть у банков и агрегаторов. В том же приложении Мой Налог можно теперь самозанятым оплату картами принимать и чек электронный выдавать.
Я даже не знаю, что на это сказать. Посмотрел, офигел дальше, чем видно.
По моим представляениям сертифицировать это можно только в виде программно-аппаратного комплекса (потому что иначе на тот же смартфон свободно ставится кейлоггер), и любое обновление андроида это рушит. Но если банковская индустрия деградировала до такого уровня, что сертифицируется просто софтина...
Т.е., на сайте ввести номер карты и пин - секурно, а на таком терминале ввести номер карты без пина (или там просто токен по NFC передаётся, даже?) - не секурно? В каком месте тут дедгадация?
Если вы вводите пин от карты на сайте – у меня для вас плохие новости...
На сайте вводится CVV2 и одноразовые коды 3D Secure, пин – только в банкомате/терминале при физическом использовании карты. Это разные пути с разными требованиями.
Ну и да, сайт хотя бы можно проверить (https) на то, что это сайт продавца или (лучше для ввода данных карты) банка. И делаете вы это на своём компьютере. Что вам протягивает курьер на своём смартфоне – вы проверить не можете никак.
В текущих реалиях тоже не стал бы оплачивать через левое приложение, тогда кешем безопаснее.
А ДНС тут есть ,может тут напишут своё мнение))
Более 6 тысяч символов написано вместо того, чтобы просто погуглить. Но заголовок громкий, безусловно.
Одно из популярнейший решений, которое выдается почти сразу при поиске https://www.tbank.ru/business/payments/pay-to-phone/
P.S. Обычно помимо оплаты картой еще предлагают через СБП, когда нужно с экрана считать qr-код своим телефоном, неужели такого варианта не было?
Это банальная истерия на фоне вновь и вновь появляющихся способов мошенничества, аля служба безопасности, приправленная слабой подкованностью в области различного эквайринга и тролля в лице тс, курьер правильно сделал умыв руки чем пробивать шапочку из фольги объясняя автору "как это работает"
По куркодам тоже есть подобные "разодняки", обычно у таксистов. В данном случае если и было предложено, то автор как же отмел и этот способ
СБП в качестве вида оплаты в рознице очень неприятен. Его крайне сложно сторнировать. Вернее даже так. Нельзя сторнировать нигде кроме Сбера на данный момент.
Не любим мы его
Нет никаких проблем в отмене операции по СБП на стороне эквайринга. Более того, возврат денег происходит мгновенно, а у оплат по карте это занимает какое-то время, если карта и банк-эквайер отличаются.
У Вас есть способ отката СБП транзакции не в Сбере после подтверждения перевода?
Поделитесь пожалуйста ссылкой, докой, чем угодно.
Реально интересно
Там даже можно выбрать банк, на который делать возврат. По умолчанию стоит тот, с которого была первоначальная оплата, но если есть с ним какие то проблемы, то доступны другие именно по данному клиенту.
Для бизнеса в эквайринге есть возврат по СБП (вообще откат любой операции). Одна кнопка в интерфейсе, главное чтобы деньги были на счете агрегатора или банка. Для частников как я понимаю только Сбер пока такое внедрил.
Регулярно плачу таким способом в Болгарии. Такое используют курьеры, какие-то мобильные точки фаст-фуда, контролеры в общественном транспорте и т.п. Да, при оплате телефоном довольно забавно нужно прикладывать их спинами друг к другу :)
Вот описание технологии от одной популярной у нас платежной системы, предлагающей в том числе эквайринг: https://www-mypos-com.translate.goog/bg-bg/blog/tehnologii/kakvo-e-softpos?_x_tr_sl=auto&_x_tr_tl=ru (да, там много маркетинговой шелухи, но общая суть показана)
пин вводите на телефоне курьера или всё же на своём?
Пока ни разу не было вопроса про пин-код при таком способе оплаты. Но по логике пин-код в таком случае должен спрашивать телефон курьера. На моем телефоне лишь обычный Google Pay (Google Wallet). Тем более оплата может быть и картой.
Ну вот я бы не рискнул вводить пин на телефоне курьера.
Правда, обычно Google Wallet, Apple Pay и иже с ними без этого обходятся – заставляет вас подтвердить на вашем телефоне пином/пальцем/faceid, а для терминала виден как карта, не требующая pin. А вот если у вас физическая карта – даже не знаю, как быть.
В том то и дело, что на телефоне курьера
В самих оффлайн магазинах днс стоят терминалы с обычными смартфонами.
Бумажные чеки не являются обязательными с 2017 года и выдаются только при наличии технической возможности. Электронный чек полноценная замена бумажному. SoftPOS терминалы на базе смартфонов доступны, а для самозанятых даже встроеы в приложение Мой Налог, DNS в крупных городах возит сторонними курьерами - агентами. Ну и проблемы с мобильным интернетом увы заставляют выкручиваться.
А почему не оплатить сразу при заказе?
Кстати, такого пункта в опросе не хватает:
«Не создаю себе лишних проблем, оплачиваю сразу при заказе»
Ну вот лично мне, например, проще приложить карту к терминалу, чем вводить на сайте номер карты. Потому что физическая карта всегда с собой, никаких проблем с оплатой возникнуть не может (ну вы поняли, насколько это устаревшая модель поведения), а если я оплачу на сайте, то ещё неизвестно, запомнит ли сайт её к следующему разу, или предложит залогиниться через какой-нибудь сбер-id (а я не хочу использовать сбер ни для чего после тех древних историй об утечках и штабелях карт в подвалах), а может, и вообще, на работе завтра поменяют зарплатный банк (было 1 раз за 15 лет), или зарплатный банк продастся другому банку (было 1 раз за 15 лет), и сохраненная карта станет неактуальна, и её придётся заново вводить во всех магазинах...
Вопрос в следующем. Как сейчас в таком огромном спектре вариантов оплаты простому технически не подкованному человеку определить, что предлагаемый ему способ оплаты безопасен?
Ну вот лично мне, например, проще приложить карту к терминалу, чем вводить на сайте номер карты
Олпата по СБП отсканировав QR при оплате онлайн сняла кучу внутренних комплексов, которые мешали онлайн-оплатам опасаясь засветить карту не там где надо.
Ну конкретно в части указания данных карты на сайте - у сбера для этих целей есть второй фактор в виде одноразового кода, например.
Это обычный так называемый soft-pos. Решений на рынке полно, у курьеров довольно часто встречается. Но ели автор не в теме и появились сомнения, то лучше конечно перебдеть, чем недобдеть в таких случаях.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Скам в службе доставки магазина DNS (но это не точно)