Платежные системы *

Стало известно о целом ряде случаев (август—сентябрь 2010), когда мошенники обманывали валидаторы (купюроприемники), внося в терминал 5-тысячную купюру (по крайней мере, применялся способ, заставляющий купюрник посчитать, что купюра принята и валидна), которой не оказывалось в кассете. Платеж формировался на терминале и средства зачислялись на кошельки в системе Яндекс.Деньги.

Все известные случаи имеют схожие черты:

• Обман осуществлялся на валидаторах CashCode;
• Всякие раз платежи были на сумму 5000 руб.;
• Мошенничество было зафиксировано на уличных терминалах;
• Платеж поступал на разные кошельки в системе Яндекс.Деньги;
• Все случаи были ночью;
• Обман купюрников ведется на разных платежных системах, что исключает ошибку в ПО терминала или биллинга какой-то определенной ПС.

В настоящее время мне достоверно не известно о конкретном способе обмана купюроприемников. Не могу также утверждать, что обман возможен только на валидаторах данного производителя, лишь констатирую факт, что зафиксированные случаи имели место быть именно с этими устройствами.

Данные случаи были на территории Дагестана, Краснодара, Ставрополя.

Хочется уберечь владельцев терминалов от ситуации, когда платеж на 5000 руб. в пользу Яндекс.Денег осуществлен, а купюры в кассете не оказывается. Известно, что валидаторы CashCode можно настроить таким образом, что они не будут принимать купюры того или иного достоинства. На своих терминалах мы отключаем прием 5-тысячных купюр.

Если такие случаи в последнее время зафиксированы на территории других регионов России, хотелось бы знать о них.

Робокасса выбрала своим девизом «Без перерыва и прочих неожиданностей», неожиданности иногда всё таки случаются, но это проблемы пользователей…

На сайте робокассы кэшируются реквизиты банковских карт, которые введены пользователем при совершении платежа, в результате после совершения единственного платежа можно получить банковские реквизиты или воспользоваться ими для совершения другого платежа.

Прошу прощения за сопли, но хочу предостеречь других от подобных опытов. Давно пользуюсь терминалами для пополнения баланса мобильного, оплаты доступа к сети Интернет, оплаты хостинга и т.п. Один из частых платежей — Яндекс.Деньги. Пост касается собственно посредников в оплате, нежели оплачиваемых услуг.

Срочно, как обычно и водится, понадобилось пополнить счёт в Якошельке. Карточки в моём районе либо ломовые по цене, либо их нет вообще… выбора нет, иду к терминалу, чтобы оплатить счёт. Случилось сие недоразумение в 20 часов вечера, позавчера, 6 сентября. Обещанная комиссия должна была составить 3% от суммы платежа, а срок поступления платежа — до 24 часов… как бы не так! Но всё по порядку.

Многоголосый стон вебмастеров сегодня утром разнесся по планете.
Владельцы карт Visa от популярной среди тех, кого обходит вниманием PayPal, платежной системы ePassporte не могут ни оплачивать покупки, ни снимать деньги в банкоматах. Т.е. их деньги по сути заморожены.
Так как эта платежная система активно используется многими партнерками для выплаты партнерских комиссий, у многих там зависли достаточно большие суммы (бьюсь головой о стенку).
Вот такое сообщение все владельцы карт от ePassporte получили сегодня при попытке войти в систему:

Топик наверняка сочтут за рекламу, но новости на самом-то деле интересные.

Не так давно Деньгам@Mail.Ru исполнился год. За последние месяцы платежная система Мэйла добавила несколько вкусных плюшек, например, возможность купить Visa Virtual. А сегодня порадовала очередной приятностью.

Буквально пару часов назад на сайте платежной системы вывесили новость, что с вечера пятницы целых 2⁶+1 часов можно пополнять счет за 0% с любой банковской карты. Так и хочется написать: «Счастливые часы в McDonald's для любителей электронных платежей!»

А еще на днях на сайте выложили документацию для программистов сторонних проектов по работе с программным интерфейсом системы. И вот последнее гораздо интереснее с моей точки зрения, поскольку хорошо перекликается с последними веяниями от больших порталов — в предоставлении разного рода API к своим проектам. Впрочем, судя по заявленным возможностям, документ — не просто дань моде.

Если существует такое понятие как BL, значит кто-то имеет необходимость в повышении оного. Примеров много, но хотябы кредитная биржа с ее жесткими условиями к заемщикам крупных сумм.

Сегодня первый раз в жизни производил оплату услуги через SMS, и чтобы не нажимать на неудобные, маленькие кнопочки смартфона я просто открыл qrcode.kaywa.com и заполнил необходимые поля на компьютере, затем скормил картинку сканеру штрих-кодов на телефоне — и получил готовую SMS (с заполненным номером и текстом) — оставалось только нажать «отправить».
Так вот, почему бы вам, господам принимающим оплату через SMS не упростить жизнь пользователю и не добавить небольшую картинку рядом с информацией о платеже? Благо делается это предельно просто — например код по ссылке chart.apis.google.com/.../ сгенерирует сообщение на номер 01 с текстом abcdef123. Да и существуют готовые решения для генерации QR-кодов для популярных языков программирования, если у вас нет желания зависеть от гугла.
Реализовать не сложно (разве что в дизайн вписать), а пользователю — приятно.

11 июня 2010 г. Госдума приняла в первом чтении законопроект № 342098-5 «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „Об общих принципах организации предоставления государственных (муниципальных) услуг и исполнения государственных (муниципальных) функций“». Среди всего прочего, этот документ содержит одну маленькую деталь, очень приятную для всех жителей Рунета.

В пункт 3 статьи 45 Налогового кодекса РФ предлагают внести подпункт 7:

[обязанность по уплате налога считается исполненной налогоплательщиком] «с момента передачи денежных средств платежному агенту, в том числе в электронной форме».

Другими словами, заплатить налоги можно будет через любую платёжную систему, в том числе WebMoney и «Яндекс.Деньги», а также через платёжные терминалы, точно так же, как сейчас оплачиваются коммунальные платежи и сотовая связь.

Многие из вас пользуются терминалами моментальной оплаты QIWI, но никто не знает, какая опасность их подстерегает.

13 июня 2010 года в 19:25 попытался положить 5000 рублей одной купюрой через терминал № 8525662 (г. Москва, проспект Мира, д. 118) на QIWI-кошелек.

Терминал купюру принял, пожужжал и попытался «выплюнуть» обратно.
Так как терминал стоит на улице, он оборудован металлическим защитным кожухом, внутрь которого купюра успешно и провалилась из купюроприемника.

в 19:27 набираю номер поддержки QIWI (на терминале его нигде нет, пришлось смотреть в интернете через телефон). Девушка говорит что ничего страшного, чтобы я не волновался, записал номер терминала и написал обо всем происходящем им по электронной почте.

Нашел номер терминала, заодно увидел номер владельца терминала. Дай думаю позвоню. Недоступен. Думаю ну ладно, все бывает, во вторник все решат, девушка ведь пообещала.

Доброго здравия, %username%!

В первой части я рассказал как можно минимальными усилиями защитить БД нашей платежной системы. Но, как заметил один из комментирующих, при компрометации web сервера появляется возможность подсмотреть все логины и пароли пользователей. Тут нам на помощь приходят One time passwords (OTP).
Под катом моя вольная интерпритация данного термина с использованием криптографии эллиптических кривых (ECC). Кстати говоря, платежные системы далеко не единственная сфера применения этой технологии.
Upd:
Ахтунг! При взломе веб сервера все таки есть вероятность подмены платежных реквизитов, так что все таки подписывать лучше не случайную строку (хоть это и защитит от полной компрометации системы, но не защитит от случаев, когда подменяются реквизиты прямо во время платежа), а хэш платежного документа, показывая юзеру при этом все реквизиты платежа в программе.
З.Ы. Генерировать ключ лучше тоже на стороне клиента

Мир тебе, %username%!

В этой серии постов я хочу рассказать о некоторых аспектах реализации платежной системы(а если повезет и двух), реально имевшей честь работать с середины 2000х в одном из городов нашей необъятной родины.
Что вообще такое ПС, и по каким принципам она должна работать? Я, как и заказчик, имел об этом представление лишь как пользователь WebMoney и платежных терминалов. Тем не менее, желание+деньги сделали своё дело и разработка началась.

Для начала, что вообще понималось под платежной системой и с чего началась разработка.
UPD:
Вторая часть!

Неоднозначная реакция хабросообщества к опубликованной на Хабре моей прошлой статье WebMoney Keeper Mini Extension подтолкнула меня к написанию следующей…

Оказывается, что многие пользователи WebMoney, имея кошельки в киперах Classic или Light, просто опасаются подключать себе WM Keeper Mini, что играет на руку только мошенникам, а не самим пользователям. Почему? Об этом под катом…

Почему карточные платежные технологии в России – это говно, а QIWI – гениальная система настоящего и будущего

Среди моих знакомых банкиров и среди моих знакомых АйТишников нет никого, кто бы даже сейчас, в 2010 году серьезно и с уважением относился к платежной системе QIWI. Самое сильное чувство, которое вызывает у них это дурацкое слово – это чувство ненависти, сарказма. Хотя на самом деле обычно относятся к этим “лохотронским приборам” с презрительностью и тупо обходят их стороной.

Учитывая большую любовь Хабра к электронным платежным системам, думаю, будет не лишним ознакомиться с некоторыми нововведениями WebMoney по операциям обмена электронных валют в разрешенных направлениях обмена — PayPal, Moneybookers и QIWI…

Преамбула.

В связи с бурным развитием мобильных устройств и ОС Google Android в частности, интерес к разработке программного обеспечения под данную платформу весьма закономерное явление. Как оказалось, он мало чем отличается от обычной разработки на Яве под десктоп/веб, а с учетом возможности использования «стандартного» IDE (Eclipse) путем скачки и встраивания SDK Андроида, а также наличия исчерпывающей документации многие технические вопросы снимаются сами собой. Концептуальный аспект (т.е. идея для реализации в виде ПО) также не заставила себя ждать, благо платформа сравнительно новая, не смотря на недавно вышедшую уже версию 2.1, и конкурентная среда соответственно не такая насыщенная, если взять, к примеру, разработку под тот же iPhone. (Тут могла бы быть развернутая часть о самом ПО, но ввиду некоторых нюансов, таких как незаконченность проекта и отсутствие конкретных результатов, пока ее пропустим).
Оставался последний, и, естественно, самый интересный (логично, не правда ли?) вопрос – денежный, а конкретно – как правильно вывести честно заработанные дензнаки, полученные от продажи ПО на Android Market.

Вдаваться подробности не буду, все-таки статья ориентирована на тех, кто примерно ориентируется в данной теме, скажу коротко — в данном случае под прицелом оказывается сервис обработки онлайновых платежей Google Checkout, который с нерезидентами США изначально не работает. Насколько мне известно, прямых путей решения данной проблемы нет, поэтому пришлось искать обходные дорожки.

Здравствуйте, уважаемые Хабровчане!

Последнее время на Хабре можно было наблюдать топики с примерами нехороших писем от одной хостинговой компании, а я хочу вам рассказать о нехороших письмах от одной платежной системы.

Знаю, что многие Хабровчане имеют свой WMID в платежной системе WebMoney, поэтому пример и анализ моего письма, думаю, будет вам интересен…

В пресс-релизе, распространенном сегодня утром, международная платежная система MasterCard объявила, что разработчики настольных и мобильных приложений совершенно бесплатно получат полный доступ к API от платежного гиганта немного позднее в этом году.

Компания надеется, что открывая свои технологии для разработчиков, она получит в свое распоряжение новые и инновационные приложения для электронной коммерции, использующие сеть MasterCard, которые потенциально позволят ей конкурировать с Visa, PayPal и Square (которые на данный момент куда больше преуспели в данных начинаниях — прим. перевод.).

Судя по расследованию, результаты которого опубликованы в газете The Washington Post, генеральный директор российской компании ChronoPay, он же председатель комитета по электронной коммерции НАУЭТ, он же член рабочей группы при Минкомсвязи по направлению «Спам», известный российский бизнесмен Павел Врублевский (pavel_v) ведёт некую тайную жизнь под сетевым псевдонимом Redeye (Redeye?).

Павла уже давно обвиняют, что он создал и более десяти лет развивает форум для порно-вебмастеров crutop.nu, а также контролирует связанные с этим дела (отмывание доходов через fethard.biz, спамерские рассылки через rx-promotion.com, spampromo.com и т.д.).

Не так давно на хабре освещался интересный проект от одного из создателей The Pirate Bay для осуществления микроплатежей. Как только этот проект был анонсирован, мне он показался интернесным и я сразу же запросил инвайт, и вот наконец спустя несколько месяцев ожидания он таки наконец пришёл :)

Напомню что Flattr это система микроплатежей которая позволяет поддержать автора контента деньгами.

Я хотел бы сделать небольшой обзор этого безусловно интересного сервиса.

ВНИМАНИЕ: Под катом много картинок!

Всем платежным системам система: и в iPhone, и в iPad, и куда бы еще ее добавить… смотрим.