Платежные системы *

Многие из вас пользуются терминалами моментальной оплаты QIWI, но никто не знает, какая опасность их подстерегает.

13 июня 2010 года в 19:25 попытался положить 5000 рублей одной купюрой через терминал № 8525662 (г. Москва, проспект Мира, д. 118) на QIWI-кошелек.

Терминал купюру принял, пожужжал и попытался «выплюнуть» обратно.
Так как терминал стоит на улице, он оборудован металлическим защитным кожухом, внутрь которого купюра успешно и провалилась из купюроприемника.

в 19:27 набираю номер поддержки QIWI (на терминале его нигде нет, пришлось смотреть в интернете через телефон). Девушка говорит что ничего страшного, чтобы я не волновался, записал номер терминала и написал обо всем происходящем им по электронной почте.

Нашел номер терминала, заодно увидел номер владельца терминала. Дай думаю позвоню. Недоступен. Думаю ну ладно, все бывает, во вторник все решат, девушка ведь пообещала.

Доброго здравия, %username%!

В первой части я рассказал как можно минимальными усилиями защитить БД нашей платежной системы. Но, как заметил один из комментирующих, при компрометации web сервера появляется возможность подсмотреть все логины и пароли пользователей. Тут нам на помощь приходят One time passwords (OTP).
Под катом моя вольная интерпритация данного термина с использованием криптографии эллиптических кривых (ECC). Кстати говоря, платежные системы далеко не единственная сфера применения этой технологии.
Upd:
Ахтунг! При взломе веб сервера все таки есть вероятность подмены платежных реквизитов, так что все таки подписывать лучше не случайную строку (хоть это и защитит от полной компрометации системы, но не защитит от случаев, когда подменяются реквизиты прямо во время платежа), а хэш платежного документа, показывая юзеру при этом все реквизиты платежа в программе.
З.Ы. Генерировать ключ лучше тоже на стороне клиента

Мир тебе, %username%!

В этой серии постов я хочу рассказать о некоторых аспектах реализации платежной системы(а если повезет и двух), реально имевшей честь работать с середины 2000х в одном из городов нашей необъятной родины.
Что вообще такое ПС, и по каким принципам она должна работать? Я, как и заказчик, имел об этом представление лишь как пользователь WebMoney и платежных терминалов. Тем не менее, желание+деньги сделали своё дело и разработка началась.

Для начала, что вообще понималось под платежной системой и с чего началась разработка.
UPD:
Вторая часть!

Неоднозначная реакция хабросообщества к опубликованной на Хабре моей прошлой статье WebMoney Keeper Mini Extension подтолкнула меня к написанию следующей…

Оказывается, что многие пользователи WebMoney, имея кошельки в киперах Classic или Light, просто опасаются подключать себе WM Keeper Mini, что играет на руку только мошенникам, а не самим пользователям. Почему? Об этом под катом…

Почему карточные платежные технологии в России – это говно, а QIWI – гениальная система настоящего и будущего

Среди моих знакомых банкиров и среди моих знакомых АйТишников нет никого, кто бы даже сейчас, в 2010 году серьезно и с уважением относился к платежной системе QIWI. Самое сильное чувство, которое вызывает у них это дурацкое слово – это чувство ненависти, сарказма. Хотя на самом деле обычно относятся к этим “лохотронским приборам” с презрительностью и тупо обходят их стороной.

Учитывая большую любовь Хабра к электронным платежным системам, думаю, будет не лишним ознакомиться с некоторыми нововведениями WebMoney по операциям обмена электронных валют в разрешенных направлениях обмена — PayPal, Moneybookers и QIWI…

Преамбула.

В связи с бурным развитием мобильных устройств и ОС Google Android в частности, интерес к разработке программного обеспечения под данную платформу весьма закономерное явление. Как оказалось, он мало чем отличается от обычной разработки на Яве под десктоп/веб, а с учетом возможности использования «стандартного» IDE (Eclipse) путем скачки и встраивания SDK Андроида, а также наличия исчерпывающей документации многие технические вопросы снимаются сами собой. Концептуальный аспект (т.е. идея для реализации в виде ПО) также не заставила себя ждать, благо платформа сравнительно новая, не смотря на недавно вышедшую уже версию 2.1, и конкурентная среда соответственно не такая насыщенная, если взять, к примеру, разработку под тот же iPhone. (Тут могла бы быть развернутая часть о самом ПО, но ввиду некоторых нюансов, таких как незаконченность проекта и отсутствие конкретных результатов, пока ее пропустим).
Оставался последний, и, естественно, самый интересный (логично, не правда ли?) вопрос – денежный, а конкретно – как правильно вывести честно заработанные дензнаки, полученные от продажи ПО на Android Market.

Вдаваться подробности не буду, все-таки статья ориентирована на тех, кто примерно ориентируется в данной теме, скажу коротко — в данном случае под прицелом оказывается сервис обработки онлайновых платежей Google Checkout, который с нерезидентами США изначально не работает. Насколько мне известно, прямых путей решения данной проблемы нет, поэтому пришлось искать обходные дорожки.

Здравствуйте, уважаемые Хабровчане!

Последнее время на Хабре можно было наблюдать топики с примерами нехороших писем от одной хостинговой компании, а я хочу вам рассказать о нехороших письмах от одной платежной системы.

Знаю, что многие Хабровчане имеют свой WMID в платежной системе WebMoney, поэтому пример и анализ моего письма, думаю, будет вам интересен…

В пресс-релизе, распространенном сегодня утром, международная платежная система MasterCard объявила, что разработчики настольных и мобильных приложений совершенно бесплатно получат полный доступ к API от платежного гиганта немного позднее в этом году.

Компания надеется, что открывая свои технологии для разработчиков, она получит в свое распоряжение новые и инновационные приложения для электронной коммерции, использующие сеть MasterCard, которые потенциально позволят ей конкурировать с Visa, PayPal и Square (которые на данный момент куда больше преуспели в данных начинаниях — прим. перевод.).

Судя по расследованию, результаты которого опубликованы в газете The Washington Post, генеральный директор российской компании ChronoPay, он же председатель комитета по электронной коммерции НАУЭТ, он же член рабочей группы при Минкомсвязи по направлению «Спам», известный российский бизнесмен Павел Врублевский (pavel_v) ведёт некую тайную жизнь под сетевым псевдонимом Redeye (Redeye?).

Павла уже давно обвиняют, что он создал и более десяти лет развивает форум для порно-вебмастеров crutop.nu, а также контролирует связанные с этим дела (отмывание доходов через fethard.biz, спамерские рассылки через rx-promotion.com, spampromo.com и т.д.).

Не так давно на хабре освещался интересный проект от одного из создателей The Pirate Bay для осуществления микроплатежей. Как только этот проект был анонсирован, мне он показался интернесным и я сразу же запросил инвайт, и вот наконец спустя несколько месяцев ожидания он таки наконец пришёл :)

Напомню что Flattr это система микроплатежей которая позволяет поддержать автора контента деньгами.

Я хотел бы сделать небольшой обзор этого безусловно интересного сервиса.

ВНИМАНИЕ: Под катом много картинок!

Всем платежным системам система: и в iPhone, и в iPad, и куда бы еще ее добавить… смотрим.

Должно быть все знают о платёжной системе «Qiwi» — милая птичка на платёжных терминалах по всей стране помогает нам оплачивать телефон, услуги ЖКХ, заказы в интернет-магазинах и массу других вещей, которые в других странах оплачивают простой кредиткой.

Эта система появилась на волне популярности платёжных терминалов, где ОСМП (Объединённая Система Моментальных Платежей) были одними из пионеров. В момент, когда количество терминалов и их поставщиков стало зашкаливать, а сама по себе система ОСМП принципиально не отличалась ни от одной из них, компания сделала «ход конём» — создала новый бренд «Qiwi». Говорят, на ребрендинг компания потратила несколько сотен тысяч долларов, из которых около ста ушло на новый стиль, а остальные деньги были потрачены на технические расходы — изменение интерфейсов, замена терминалов и прочие приятные мелочи.

До сегодняшнего дня я сталкивался только с положительной стороной службы, но недавно попал в патовую ситуацию, о которой и хотел бы рассказать, а заодно предупредить остальных пользователей.

Дело было 28 февраля, я только вернулся из длительной поездки, необходимо было оплатить домашний интернет. Так получилось, что пришлось воспользоваться терминалом QIWI. В общем-то ничего такого, что я делал бы впервые и мог где-то ошибиться. Выбрал провайдера, ввёл номер договора, сунул деньги, взял квитанцию. Ничто не предвещало беды

В процессе разработки довольно интересного проекта для туристической компании возникла необходимость интеграции на сайт одной из платежных систем, дабы пользователи сайта могли без каких-либо проблем и ограничений оплачивать собственные заказы.

Итак, задача довольно тривиальная, и к её решению приступил с изучения предметной области.

Конечно этот сервис вызывает только восхищение.

Мы зарегистрированы в Qiwi в качестве интернет магазина. Для доступа в личный кабинет существует адрес ishop.qiwi.ru. Для проведения всех оплат на нашем сайте используется API qiwi, которое расположено по этому адресу ishop.qiwi.ru/xml.

Сегодня все это перестало работать (ничего не открывается, хоть и пингуется).
В службе поддержки сказали, что по ishop.qiwi.ru они не консультируют, куда позвонить они не знают и что мы может написать письмо на support@mobw.ru и в течении 5 рабочих дней нам должны дать ответ.

Чиновники наконец-то проговорились, зачем на самом деле создаётся Национальная платёжная система. На эту тему вчера выступил замминистра финансов РФ Алексей Саватюгин и он конкретно дал понять, что Webmoney и «Яндекс.Деньги» выросли до слишком больших оборотов (9 и 8 млрд руб. в год, соответственно), и государство не может оставить такой рынок без надзора.

Webmoney и «Яндекс.Деньги» контролируют 90% всего российского рынка интернет-платежей. А если добавить к ним терминалы Qiwi и SMS-платежи, то весь рынок электронных платежей в 2010 году может удвоиться до 80 млрд руб.

Российские госорганы интересуют, в первую очередь, уникальные небанковские образования вроде WM и ЯД. Общее число активных аккаунтов у них уже сейчас превысило 2,3 млн. Центробанк сейчас обсуждает возможность ввести для небанковских организаций специального вида лицензии, «чтобы WebMoney и «Яндекс.Деньги» были под нормальным надзором», — пояснил замминистра.

Вероятно, практически все хабраюзеры некоторое время назад столкнулись с неожиданным запретом Webmoney на осуществление обменных операций с большим кол-вом обменников, в том числе и ЯД.

Обменным WM-пунктам запрещается… системы учета которых не обеспечивают должной идентификации личности владельца для целей борьбы с незаконной торговлей, финансовыми махинациями, отмыванием и легализацией денежных средств, полученных незаконным путем.

Эта, удивительным образом сложившаяся ситуация, добавила очередных неудобств, в итак чрезмерно извращенную секьюрность вебманей.

Немного погуглив, можно найти много способов, все-таки обменять вебмани на яд и наоборот, некоторые из которых и публикую в этом посте. Считаю, что данная информация может пригодится :)

Буквально сегодня читал топик о том, что ЯД блокирует аккаунты пользователей, получающих переводы от других участников системы.
Автор топика упоминал о сумме в 30к в месяц, однако сегодня у меня произошла совершенно непонятная вещь — мой аккаунт был заблокирован.
При этом стоит отметить, что за время существования аккаунта в ЯД (около полугода) была всего лишь одна (!) операция — мне перечислили небольшую сумму денег (чуть менее 2000р).
Написал в поддержку ЯД, буду ждать ответа, однако понимаю, что деньги уже потеряны (живу не в Москве и не в Питере, поэтому не могу отнести им заявление, а нотариальное заверение заявления и прочие необходимые телодвижения будут стоить как раз в районе той суммы, что покоится на моем счете).

Живу как говорится, никого не трогаю, работаю в интернетах, в том числе фрилансю помаленьку.

И как довелось, что для удобства расчетов с заказчиками использую webmoney и очень иногда, яндекс.деньги. Счёт в яндекс.деньгах разумеется идентифицирован. Оборот транзакций в я.деньгах не более 30к в месяц. И вот, обнаруживаю сегодня, что счёт в money.yandex.ru заблокирован на вывод.

Пишу в саппорт и получаю ответ…