Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 17
Очередной опус как сделать бытовые переводы более сложными?
Единственная проблема при переводах по номеру телефона - ошибка в самом номере. Но она нивелируется обычно проверкой ФИО при отправке денег.
Единственная проблема при переводах по номеру телефона
Да нет. Как показала практика проблема с ними (да и вообще со всеми переводами) - это когда перевод делается, и даже без ошибок в наборе атрибутов и даже с проверкой ФИО, но не тем и не по тому поводу.
Как автор пытается это решить (включая фишинг) - я не понял.
Потому что никаких разумных способов проверить, что корм для кошек, что покупается, продает Иван Иванович, а не Петр Петрович - нет. Особенно если тот из них, что жулик, усиленно делает вид, что он таковым не является.
В смысле "нету"? Я вот плачу некоторым контрагентам через сбп, и я проверяю их фио. Вы можете сколько угодно прикидываться, но я петру не переведу, я знаю что получатель иван.
но я петру не переведу, я знаю что получатель иван.
Это работает, когда вы откуда-то узнали, что получатель должен быть иван.
А если еще не знаете и петр будет достаточно убедителен, занимаясь фишингом - переведете ему.
Конечно нет. До перевода я узнаю кому я перевожу ивану или петру. Обычно это можно проверить по независимым каналам.
Какой у вас кейс, что вы не знаете кому переводите ? Что кому и за что вы платите ?
Какой у вас кейс, что вы не знаете кому переводите
Некий продающий (которого я не знаю) пытается меня убедить (по удаленным каналам) оплатить что-нибудь ну очень (по его мнению) мне нужное переводом. Проверить, что он действительно это продает, а не пытается меня заболтать - нельзя. Потому перевода и не будет.
В сценарии, что пытается предложить автор статьи - будет то же самое. Там с этой точки зрения ничего не исправляется.
И вообще это справедливо для приблизительно любой формы платежных атрибутов 'переводи сюда'. Если занудствовать - оно осуществимо даже в розничном магазине. Это сценарий, когда продавец себе наличность как-то прикарманивает, обворовывая хозяина. Но с последним другими способами борются, а не тем, что покупатели проверяют, что 'на этом месте чек должен быть от ИП ФИО/ИНН такой-то'.
Некий продающий по каким каналам что ? В поставленной вами схеме вопрос не в количестве реквизитов, а в количестве идиотизма у оплачивающего, если он непонятно кому деньги переводит.
В жизни обычно этот некто известен. К примеру не так давно я оплачивал услуги подобного некты, получил реквизиты в телеграм, сходил на его сайт и там нашел их и проверил, что они одинаковые. Еще вейбек машиной проверил что давно не менялись.
И если бы я их на сайте не нашел яб платить без дополнительных пруфов не стал.
Обычно у всех кто что-то продает онлайн реквизиты есть. Ну т.е. со мной ещё не было случаев, чтобы их не было, правда иногда это только фио. В любом случае всегда можно по второму каналу получить подтверждение.
В магазине чеки не проверяю, и трудовые договора с продавцов не требую. Но там я получаю свой товар в обмен на деньги прям сразу.
К примеру не так давно я оплачивал услуги подобного некты, получил реквизиты в телеграм, сходил на его сайт и там нашел их и проверил, что они одинаковые.
Угу. Проверку прошло только то, что тот что в телеграм и то, чей сайт - это одно лицо.
А то что он действительно продает заявленное, а не вся конструкция служит для привлечения доверчивых - проверить можно только после того, как товар действительно приедет и именно тот, что просил.
Более того, эта ситуация (когда просят оплатить переводом) - вообще красный флаг. Ладно разовый случайный платеж. Но тут явно бизнесом занимаются (сайт вон сделали). Но при этом не потрудились оформить получение денег именно как оплату? Сервисов же полно, включая эту самую СБП. А чего это так? Уж не потому ли, что для переводов механизма возврата 'оплаты' не предусмотрено?
А больше никто ничего и не проверял. Вася утверждает что он продает самокаты, есть изрядно людей которые утверждают что покупали у него самокаты, все это доится не один год, самокат недорогой.
Возврат возможен всегда. Необоснованное обогащение и вот это вот всё. Если вы покупаете что-то популярное, то вам не будут подсовывать переводы. Мне приходится покупать десятки и сотни единиц разного товара обычно напрямую от разных производителей. Очень маленьких производителей, микроскопических. С оборотом до 2млн в год. У них кроме самозанятости и сбп ничего и нету.
Имея сотни контрагентов я имею ноль проблем за наверное десятки тысяч сделок в последние 20-30 лет... Да с маркетплейсами больше проблем...
Возврат возможен всегда. Необоснованное обогащение и вот это вот всё.
Это какой-то другой квест, отдельный от того, что в процедуру платежа при покупке встроен. Чеки, опять же.
А насколько 'Необоснованное обогащение' работает - смотри все закручивание гаек с мошенниками. Деньги уходят с концами.
Нет, при оформлении покупки - тоже возможно, но явно меньше, тк. все телодвижения большей частью про переводы.
У них кроме самозанятости и сбп ничего и нету.
Да сколько угодно. Но покупкой. Через то же сбп. А не переводом.
Вы живете в другом мире. В моём сила на стороне продавца. Мне нужны уникальные штуки которые они делают, услуги итп, а не я им. Пальцы гнуть можно, но в 90% случаев ответят "не хотите как хотите, всегда можете лично забрать и оплатить кешем".
Вы живете в другом мире.
Я живу в мере где даже транзакция покупки(карточная) была на днях отклонена, потому что продавец (уже несколько лет на точке торгует) был в каком-то списке Финмониторинга. И вообще банки (и не только) неприятно дергаются и меры принимают, когда шевельнёшься не так. Так что ну их, переводы эти.
PS. Вы когда-нибудь фото своего пластика с двух сторон посылали продавцу :)? А мне приходилось.
Автор аккуратно обошёл вопрос компрометации самого сервиса. Его сравнение "по реальным угрозам, а не теории" можно принимать во внимание только при теоретической добросовестности и паталогической честности Васи Пупкина написавшего этот сервис.
Предложения все страньше и страньше.
Атаки вида "отредактировали сообщение прямо в мессенджере" - это серьёзно? Если это включать в угрозы то быстро выяснится, что это самое обсуждение было про "не выиграл, а проиграл... <и дальше по известном тексту>" и поэтому вообще все, что там написано, можно не учитывать, т.е. сделки и не будет.
«Боже как же хочется пропихнуть свою бесполезную инновационную идею»
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как защитить переводы по номеру телефона от подмены: реальные угрозы, атаки и то, что действительно работает