Комментарии 65
Компании-разработчики ПО тоже подвергаются тестированию карт. Я как-то неделями защищался от банды преступников, выполнявших покупки моего ПО на $29,95 для вытягивания денег со счетов людей, о существовании которых я не дорозревал.
кто-то знает - о чём тут речь?
Маккензи (автор), как я понимаю, работает в Stripe, и описывает реальный кейс, как ещё до работы в этой компании не сразу сообразил, как справиться с организованной преступностью кардинга
Речь о русском английском, когда нормально перевести не судьба, дать кому-то прочитать не судьба и перефразировать/перестроить предложение тоже не судьба.
Человек продавал свое ПО через сайт и не замечал, как через него кардеры тестировали карты.
Человек продавал свое ПО через сайт и не замечал, как через него кардеры тестировали карты.
Маловерятно. Во-первых, карты сейчас лучше не тестировать. Во-вторых, не заметить массовую покупку твоего софта — это ж как надо вести свой бизнес...
Так он как раз заметил, но не понимал, что ему делать.
Да нет же. Речь - о том, что продавец замечал эти "левые" транзакции, которые проводились массово от имени незнакомых ему людей, которые, вероятнее всего, даже не знали, что такое ПО существует.
А "защищался от банды преступников" означает "пытался найти способ отделить мошеннические транзакции и вернуть деньги", пока штраф не прилетел от финансовой системы.
"карты сейчас лучше не тестировать" - так речь идёт о далёких временах, когда автор ещё что-то сам писал и сам же продавал.
Надо смотреть оригинал, но, скорее всего, описано то, что по-русски называется «кардинг шаровары».
Есть некий человек, который пишет и продает «шаровару». Шаровара (от англ. shareware) — это программа, которую можно свободно скачать и поставить себе на компьютер, но она будет работать в режиме оценки, т. е. будут доступны не все функции либо у нее будет ограничен срок работы (7 – 30 дней с момента установки). Хочешь работать дальше и иметь доступ ко всем функциям? Заплати автору немного денег (больше 50 долларов у классической шаровары — редко), он пришлет ключ. Ключ надо ввести в программу, чтобы она знала, что ей теперь надо работать без ограничений.
Вместе с шароварой появились крякеры — люди, которые начали взламывать системы защиты шароварных программ. Их результат — либо патченный *.exe, который делал все, либо генератор ключей, аналогичный тому, что есть у автора программы. Но авторы не сидели на месте, и придумывали всякие разные способы противостояния взлому. Вершина мысли — специальные упаковщики для *.exe типа ASProtect, которые — при соблюдении определенных правил — не взломать (оригинальный ASProtect вроде все-таки взломали).
Раз нельзя взломать «в лоб», надо искать обходные пути, тем более, что у некоторые крякеры руководствуются не экономическими соображениями, а исключительно желанием славы. И вот тогда появились кардеры — люди, которые покупают шароварный программы по ворованным кредитным картам, получают легальный ключ, а потом выкладывают программу и ключ на специальных варезных сайтах. Практически в 100% случаев пишут, что они взломали программу, хотя это не так, да и вообще кардинг в чистом виде противоречит этике крякерства и хакерства («за деньги и дурак купит»).
У разработчиков программ в рукаве был еще один туз: он-лайн активация. После ввода ключа программа лезла на сервер, проверяла ключ и привязывала его к некоему идентификатору железа. Траффик минимальный — по десятку байт в каждую сторону, потом все работает и без интернета. Ну а у каждого ключа в базе данных ключей на сервере был счетчик; обычно в лицензии говорили, что один ключ — один компьютер, но по факту лимит активации выставляли не «1», а, например, «10» — мало ли что у клиента с железом случится, просто переставил программу на новый, ввел ключ и пользуется дальше, а выносит мозги техподдержке.
Когда ворованый ключ утекает, особенно через популярный сайт с варезом, начинаются массовые активации этого ключа — вместо 10 их будет 10 тысяч или 10 миллионов. Сервер,естественно, первым 10 дает активацию, остальных обламывает. На вазерном сайте горе-хакеру пишут «ты [вырезано самоцензурой]», он идет и покупает второй ключ, выкладывает, потом третий и так далее. Видимо, с этим автор статьи и столкнулся.
Есть еще подвариант: реальный (не мамкин) крякер хочет реально взломать программу. «В лоб» по каким-то причинам не получается, поэтому он покупает несколько ключей, чтобы вводить их в программу и при этом смотреть отладчиком, что происходит. Ключи при этом покупаются на разных людей из разных регионов, чтобы было определенное их разнообразие.
Видимо, речь в статье об этом.
мошенничество с кредитными картами - "кардинг".
Когда это кардинг ограничился только кредитками?
Люди на западе часто не видят разницы между кредитными и дебитовыми картами. Потому что зачастую карта именно кредитная. Есть даже сайты, которые принимают только кредитные карты (привет оракл).
Даже в русском языке это отражается: часто просто говорят "кредитка"
А как они определяют, что карта именно кредитная?
Эта информация содержится в номере карты.
Действительно, эта информация выясняется по BIN (первые 6 цифр номера) в специализированных DB: https://www.bindb.com/bin-database
кредитные карты работают "в долг", а с дебетовых - больше денег чем на них есть банк не спишет (ну, если овердрафт есть - то чуть больше) - поэтому-то облачные провадеры и любят кредитки :)
Большинство транзакций — это так называемые «транзакции без наличия карты»
А очевидного решения, сделав эти транзакции "с наличием карты", снабдив компьютеры ридерами карт, почему-то не упоминается(вот только не надо говорить, что это дорого. Соседние индустрии в свое время уговорили всех купить карт-ридеры для разных карт памяти и глазом не моргнули).
И, кстати, слова 'чип' в статье тоже не упоминается. У меня есть смутное ощущение, что статья из тех времен, когда в Америке чипованные карты были большой редкость, хоть та статья, что по ссылке на оригинал 2022 годом датирован.
Chip and pin карты действительно появились в Америке относительно недавно. Вообще их финтех поразительно консервативен, я это мягко говорю.
Да, и tap to pay для них новая концепция. С месяц назад пришло время замены дебетовки от bank of America, весь конверт был забит промо материалами этой "революционной фичи". на предыдущей карте не было RFID. Про онлайн банк их с сильнейшими вайбами ui/ux сайтов конца девяностых я вообще молчу. Кроме apple card я пожалуй ни одного продукта в штатах не могу вспомнить, который бы как то мог быть на уровне с Тинькофф или, прости Господи, сбером.
Чипованные уже давно(как минимум 7 лет, что было раньше не знаю), а вот бесконтактные пошли в массы только с приходом КОВИДа.
Только что нашел свою студенческую карту Корона с чипом, мне туда стипендию универ скидывал. Выпущена в 1998.
а вот бесконтактные пошли в массы только с приходом КОВИДа.
Да ладна, в 2015 их Альфа вовсю раздавал уже и в Ашанах всяких терминалы поддерживали бесконтакт и это совсем не в дефолт-сити.
ФинТех везде консервативен. На какой технологии зародился - на такой и сидит. В Америке магнитные полосы появились, только когда совсем припёрло - и все долго за них держались. В Корею платежи безналом пришли, когда мобильники с камерой и Интернетом уже были, а NFC не было - поэтому там всё на QR кодах и надолго. В Россию карты пришли сразу с чипами. Когда карты уже с чипами, внедрить безконтактную оплату можно с полной обратной совместимостью, только поэтому она тут есть.
Ви будете смеяться, но тут финтех до сих пор прочно сидит на бумажных чеках (Фрэнк передаёт горячий привет).
Оно очевидное ровно до тех пор, пока через месяц не появится программной эмуляции этого ридера.
Так ведь транзакция подписывается чипом карты (естественно, кроме варианта с магнитной полосой), сам ридер только передаёт данные карте и принимает подписанный пакет. Так что эмулировать придётся саму карту, с её приватным ключом.
Магнитная полоса до сих пор есть на всех картах, насколько я знаю. Запрещаете её принимать - лишаетесь клиентов со старыми картами.
Более того: начинаете требовать ридер - лишаетесь примерно всех клиентов: они пойдут в онлайн-магазины, где у них примут оплату традиционным способом. Внедрить новое пользовательское устройство сотням миллионов людей - очень нетривиальная задача, особенно когда всё работает и так. У пользователя-то как раз всё хорошо и удобно, ему ридер не нужен.
Более того: начинаете требовать ридер - лишаетесь примерно всех клиентов: они пойдут в онлайн-магазины, где у них примут оплату традиционным способом.
Вот только одновременно будет Liability shift по отоношению к магазинам. 'Не хотите через ридер работать - весь фрод на вас'. Точно так же, как чипованные карты внедряли 'Не хотите терминал иметь, что чип читает - весь фрод на вас'.
И количество магазинов, желающих работать по старинке резко уменьшится.
И количество магазинов, желающих работать по старинке резко уменьшится.
И заметьте — добровольно и с песней!
Речь шла по гипотетический сценарий, когда платежные системы захотели бы внедрить ридеры. В этом случае при применении обычных вариантов 3D Secure все тоже было бы на продавце. Ибо недостаточно авторизованная т.к. Card Not Present.
А единственный способ избавиться от этой ответственности - было бы начать просить транзакцию Card Present при помощи ридера.
Видимо, не так много этих клиентов: у меня у одной карты чип перестал работать, так в магазине провести этой магнитной полосой можно, но устройство требует использовать чип.
(Пока собираюсь совсем от этой карты отказаться: банк совсем плохой стал.)
А очевидного решения, сделав эти транзакции "с наличием карты", снабдив компьютеры ридерами карт
Гораздо проще и дешевле добавить второй фактор в виде OTP-приложения на смартфоне, чем оснащать все компьютеры, приставки и смартфоны кард-ридерами. Не стоит забывать, что сейчас далеко не у всех есть дома компьютеры, многим достаточно смартфона/консоли/SmartTV который может подключаться к сервисам стримминга.
Переводная статья ни о чем
Ну просто жесть. Я б даже сказал нагромождение каких-то сказок из тридевятого царства
По хорошему, такое удалять надо
Это потому что она вводная. Потом было продолжение. Гораздо более рекламное. И со страшилками 'у человека очередной платеж по страхованию чего-то полезного где-то завернули и страховка кончилась'. И предлагающая в качестве лечения всякие светлые идеи в духе 'а давайте позволим получателю платежа побольше данных банку передавать-тогда они смогут лучше риски оценивать и поменьше платежей тормозить'.
Благотворительный взнос для мошенника не важен; ему просто нужно увидеть экран «Спасибо за помощь», который подтвердит, что всё прошло удачно.
Кто мешает благотворительной организации показывать экран «Спасибо за помощь» даже если всё не прошло удачно? Что она теряет?
Она теряет деньги от человека, который действительно хочет внести пожертвование, но ошибся в номере своей карты.
Кто мешает благотворительной организации показывать экран «Спасибо за помощь» даже если всё не прошло удачно?
По правилам платежных систем держателю карты надо предоставить однозначный ответ — была транзакция успешной или нет.
Что она теряет?
Отключат от платежных систем — и все. Будут ходить с кружкой на вокзале.
просьба кода из СМС
(перевешивается через перила балкона) Ну нету у меня телефона, НЕ-ТУ!!!
Нонче в личный кабинет банка без телефона с СМС не зайти. А еще не все телефоны сейчас СМС поддерживают.
С 3D Secure не все так просто. Если эта штука включена, то всю ответственность за покупки несет покупатель. Реализуется она не только через SMS, а довольно большим количеством способов, часть из которых можно взломать. Ну и платить за нее обычно надо. Если 3Ds не включена, то у держателя карты есть возможность опротестовать транзакцию, и тогда деньги ему вернут. Вопрос: кто добровольно будет себе за свои деньги покупать отказ от защиты себя в случае кражи денег? А банки не настаивают, потому что клиент может уйти к конкуренту, который не требует обязательного включения 3Ds. Это Вам не РФ, где ЦБ всем «порекомендовал» — и все банки дружно выполнили.
Если эта штука включена, то всю ответственность за покупки несет покупатель.
Да. Только следует учесть, что существующие защиты покупателя - это, фактически, признание того, что система кривая и позволяет транзакцию совершить без этого самого покупателя.
Вопрос: кто добровольно будет себе за свои деньги покупать отказ от защиты себя в случае кражи денег?
Все, кто в магазине набирает PIN карточки. Или платит наличными. Там тоже деньги уходят 'с концами'. Потому что сценарий 'а вдруг это не я PIN набрал, а злодей - это так себе сценарий. Вроде 'а вдруг злодей мой кошелек нашел и моими купюрами расплатился'.
позволяет транзакцию совершить без этого самого покупателя.
Это не баг, это фича!
Ну то есть прибыль от увеличения количества этих самых покупателей перевешивает убытки от фрода.
Это не баг, это фича!
Вот только в оффлайновом мире этой 'фичи' как-то вроде бы не наблюдаются. И с эквивалентами активно борются, если я ничего не путаю.
Хотя казалось бы именно в оффлайне подобного рода фрод использовать сложнее. Ибо свидетели, камеры и вообще больше следов оставляешь.
Вот только в оффлайновом мире этой 'фичи' как-то вроде бы не наблюдаются.
Скажите, пожалуйста — как на духу — у Вас подпись, которую Вы делаете на кассовом чеке, кассир когда последний раз с подписью на карточке сличал? У меня — лет эдак 15 назад. Хотя это тоже фича безопасности. А моя жена вообще по магазинам с карточкой, на которой не её имя-фамилиё (мои, на самом деле), пятый год по магазинам аки козочка бегает — и хоть бы кто хоть полсловечка вякнул.
А. Мы в понимании разошлись. Каюсь в корявости формулировок. Когда писал 'позволяет транзакцию совершить без этого самого покупателя' - я под покупателем имел в виду человека с карточкой в руках, а не того самого человека, чья карточка.
И в оффлайне фича 'продать что-то человеку, который физическую карточку не продемонстрировал' вроде бы почти не наблюдается. И очень не хотят, чтобы наблюдалось. Даже возможность создания копии (т.е. демонстрацию не той самой карточки) попытались ограничить настолько, насколько возможно. Традиция диктовать номер карты по телефону, говорят, еще где-то сохранилась, но не думаю, что таких платежей много среди всего количества.
А вот онлайне - почему-то это желание проверить наличие у платящего карточки почему-то какое-то очень слабое.
онлайне - почему-то это желание проверить наличие у платящего карточки почему-то какое-то очень слабое.
Потому что в онлайне проверить наличие у платящего карточки нереально — можно только проверить наличие у платящего информации с карточки — а информацию можно достать дюжиной способов — например, стащив базу данных покупок у другого торговца (кстати, именно для предотвращения такого варианта все комплаенсы открыто запрещают сохранять CVV в базы).
Потому что в онлайне проверить наличие у платящего карточки нереально — можно только проверить наличие у платящего информации с карточки — а информацию можно достать дюжиной способов
И? Почему бы не проверить, для надежности, что у платящего есть та информация, что ключи, что внутри чипа карты лежат.
В оффлане - проверяем, а почему в онлайне - нет?
Почему бы не проверить, для надежности, что у платящего есть та информация, что ключи, что внутри чипа карты лежат.
Потому что для платящего онлайн доступно только то, что он глазиками прочитать может, а ключи — он в чипе. Кардрирдеры пытались запилить много лет назад — но не взлетело.
Вопрос и состоит в том, почему не захотели, чтобы взлетело. Возможности настоятельно рекомендовать - у платежных систем вполне были. Как сделали с внедрением самих чипов.
И я не знаю, по какому принципу цена этих кардридеров на амазоне строится. Потому что на самом деле - они (прошу прощения за русский алиэкспресс) дешевые.
Это они сейчас дешёвые — а в начале 2000-х они стоили под $30; банки тупо задавила жаба. Кроме того, это USB есть не у всех (да-да, ещё есть старые компьютеры без USB!), Windows 98 требует свои драйвера на каждый девайс, а флоповоды не у всех, CD-ROM не у всех... В общем, чисто технических проблем много, плюс юзера разбираются в комптютерах ещё хуже, чем сейчас. Вот по совокупности этого всего и не взлетело.
Я сам пытался по приколу запилить себе кардридер. Уж на что я не средний юзер — но и у меня тоже не получилось.
И в оффлайне фича 'продать что-то человеку, который физическую карточку не продемонстрировал' вроде бы почти не наблюдается.
Google Pay и его друзья передают вам привет.
В таком случае было бы правильно включение/не включение 3D Secure переложить на продавца - кто готов рисковать ради удобства пользователей, тот не требует, кто он готов - требует.
Насколько я понял, это и есть на продавце (или его платежном шлюзе) потому что, с одной и той же картой на разных сайтах он может требоваться и не требоваться.
Статья просто великлепна!
Нооо-о-о-о-ооо, простите:
Украденные карты достаточно быстро блокируются банками из-за жалоб держателей карт или выявления мошенничества самими банками.
Мошенничество самими банками? Вот я всегда подозревал эти финансовые... кхм, институты!
(«Как отрасль кредитных карт вычисляет в таком случае штрафы?» При помощи ещё одного легаси-решения.
Потеряли, закрывающую круглую скобку, потеряли!
скиммеры не занимаются скаммингом
Хочется определённости: скиммеры или скаммеры?
Это приносит бизнесам довольно много ден.
Чего-чего приносит?
что ложна сахара не просто подсластит горькое лекарство
Эммм, без комментариев.
Я понимаю желание поёрничать, но в словосочетании "выявления мошенничества самими банками" трудно углядеть иное чем "банки самостоятельно выявили мошенничество", т. е. без обращения клиентов или без участия полиции.
Для чистоты эксперимента, возьмите подойдите к первому встречному и спросите, как он понимает "выявления мошенничества самими банками", и сравните с вашим вариантом "банки самостоятельно выявили мошенничество". Вот именно об этой разнице речь и идёт. Или вы не видите разницы?
Очепятки случаются. Вы в курсе?
Именно потому, что очепятки именно случаются - про них подсказывают/указывают (в комментариях, а где-ж ещё?), следом их исправляют, и зарубают себе на носу делать вычитку, желательно другим индивидуумом со склонностями к занудству, угу.
Вот много пишут про то, что там, на западе и в США, все банки работают чуть ли не на счётных машинках, карты без чипов, онлайн оплаты и т.п. В то же время стандарты, на сколько знаю, разработали не тут. Кто и как их разработал? Где их проверяли?
Разработали их в США и Западной Европе. Просто для их выполнения в новом варианте нужны деньги. А еще есть риск, что все это в новом варианте не заработает. Поэтому никто не спешит внедрять. Когда из стандарта вычеркнут старые версии и протоколы, тогда зашевелятся. Только вычеркивать никто ничего не будет, потому что у старых версий есть один большой жирный плюс: оно умеет работать при отключенных этих ваших интернетах, на бумажках, счетах и через физическую почту.
Кредитные карты как легаси-система