Как стать автором
Обновить

Комментарии 23

На данный момент уже достаточно небольшая. 95% крупных интернет магазинов не имеют права хранить полную инфу о картах по psi dss. Раньше все на это плевали, сейчас стараются или не хранить у себя вообще (использовать сторонние процессинги) или хранить частично (например последние 4 цисла карты).
Опечатка, PCI DSS конечно же.
Современные интернет-магазины в явном виде не хранят реквизиты кредитных карт. Обычная практика — подключение мерчант аккаунта процессингового центра.

Но судя по «околохакерским» форумам магазины с кредитными картами все еще встречаются.
Я не особо активно пользуюсь интернет магазинами, но ведь не обязательно чтоб магазин хранил информацию о карточках, достаточно чтоб просто принимал к оплате? Если движок магазина взломан — информация о карточках может в онлайне отсылаться по почте или заботливо сохраняться в /var/log/cards.log
Или движок оплаты карточкой не у магазина хостится?
Сколько раз оплачивал, в 90% случаев происходит редирект на сайт оператора принимающего оплату, а после оплаты обратно. Тут мне кажется злоумышленник может перенаправить куда то налево, но вот это вскроется моментально, с первым внимательным покупателем.
В США я пока не видел такого, чтобы для оплаты чего-то картой на одном сайте тебя перенаправляли на другой.
Западные магазины и дополнительную авторизацию не просят, оплачиваю одной и той же картой в нашем магазине, нужна смс от сбера, для подтверждения, пайпал, абонентка у музсервиса, диджиталокеан, wow таких вещей не просят, они просто списывают деньги и все, замечал да. Наши в этом случае как я понял перестраховываются.
Движок оплаты на стороннем сервисе (процессора) часто можно наблюдать на постсоветском торговом интернет-пространстве. Потому как продавать хотя все подряд, быстренько слабав магазин «на джумле» На буржуйских сайтах информация чаще передается от магазина процессору в «бэкраунде», например, через socket или curl, соответственно, покупатель этого не ощущает. Но для этого нужен мерчант аккаунт, для получения которого, в свою очерередь, нужно пройти бюрократические формальности (и с банком тоже) и идентификацию. Второй вариант ИМХО выгдядит более серьезно с точки зрения покупателя
По личному опыту — таких магазинов еще достаточно много, особенно в Штатах. Владельцы просто забивают на это дело. Работает, доход капает, ну и ладно. Тратить бабло на переделку для соотв. требованиям не особо рвутся, только если совсем прижимает, или достаточно крупный магазин.
А это потому что в штатах гораздо проще пройти PCI DSS-сертификацию продавца с небольшими оборотами. Фактически все сводится к заполнению формы самопроверки («мамой клянусь, не храню cvv!»). :-)
Сколько раз оплачивал, в 90% случаев происходит редирект на сайт оператора принимающего оплату, а после оплаты обратно.
Для меня всегда это был самый «стрёмный» момент! Судите сами: я покупаю товар на сайте. В момент оплаты меня переадресовывает на сайт мерчанта, домен которого мне ни разу не знаком (liqpay.com к примеру), а оттуда — еще и на 3D-secure гейт банка, которым пользуется мерчант (verification.privatbank.ua). Итого меня «перекидывает» через несколько доменов, которые не то, чтобы были всем знакомы и известны. Я, допустим, знаю, что liqpay — очень распространенный мерчант, «дочка» Приватбанка. А как быть покупателю, которого переадресовали на незнакомый домен и просят данные карты? ИМХО хорошо было бы еще в магазине перед отправкой на мерчанта предупреждать покупателя о том, какие домены могут появиться в строке его браузера в процессе оплаты.
домены могут появиться в строке его браузера в процессе оплаты

появление в адресной строке даже необязательно, некоторые процессоры «выскакивают» в dive через javascript- там впечатление что все на одном сервере происходит (пример — stripe)
появление в адресной строке даже необязательно, некоторые процессоры «выскакивают» в dive через javascript- там впечатление что все на одном сервере происходит
А по-моему это гораздо хуже, т.к. получается что часть движка оплаты принадлежит магазину и его компрометация приведет к утечке информации о карточке. Лучше все же перейти на сайт доверенного мерчанта и в рамках его домена проводить платёжные операции. Информацию о мерчанте и его SSL сертификате можно нагуглить.
Точно так же можно, имея доступ к исходному коду магазина, просто поменять адрес сайта мерчанта на фишинговый клон. Простой пользователь ни в том, ни в другом случае не заметит разницы, а непростой способен проверить оба случая.
Фишинговый клон долго не проживёт, а вот вредоносный код расположенный на сайте магазина могут и вовсе не обнаружить, а он тем временем будет обогащать кардера
Да примерно одинаково не проживет. Обнаружить отсутствие транзакций в отчете того же страйпа и при этом видеть покупки на сайте, и ничего не делать дольше пары дней — это надо быть совсем злобным буратиной. :)

Но в чем-то вы правы, да, когда вижу подобную страйпу фигню, каждый раз тщательно проверяю, откуда что там грузится. Хотя это (лично для меня) даже хорошо: на, скажем, грамотно оформленный фишинг с EV-сертификатом и очень похожим доменом я спокойно мог бы повестись. ;)
Обнаружить отсутствие транзакций
Вы не поняли. Я говорю о том, что кардер попросту собирает информацию о карточках, раз она проходит через движок взломанного магазина. Если информация о карточке не проходит через магазин (отдаётся только мерчанту на его сайте) — то и перехватить её вредоносный код не может.
Не перехватите, через движок там ничего не проходит. Просто по https подгружается javascript с сайта мерчанта. Примерно как с oAuth на фейсбуках-твиттерах. Если знаете способ перехватить — у Страйпа есть Vulnerability Reward Program :)
Цитата: перед отправкой на мерчанта предупреждать покупателя о том, какие домены могут появиться в строке его браузера

Таким образом 50% пользователей просто откажутся дальше от оплаты, так как уже будут напуганы, такого рода «предупреждениями».
Будет ли возможность ознакомиться с материалами семинара не посещая его лично? В будний день съездить в Москву проблематично, а тема очень интересна, с удовольствием ознакомился бы.
Я скажу так (осторожно): я слежу за некоторыми ресурсами не публичными. Это не xakep.ru и тд)))))))

Вобщем:
— карты продают. много, говорят, что с шопов. (тем более ощущения, что скрипт-кидди очередной сайт взял, а не процессинговый центр/или мерчант какой).
— тупые SQl-injection пруд-пруди по их словам — орудуют тем же sqlmap-ом
— выводят судя по всему прокси-хренокси-торы биткоины (мои догадки субъективные, но клянутся, что все белое и отстиранное)
— кроме карт DOB-ы продают, SSN, прозвоны и тд — за милую душу. Такого и в начале 2000х было полно, но сейчас этого больше.
— ну «по мелочи» шеллы, vpn-ы, абузостойкие хостинги, прокси и шушара остальная — но их очень много, реально
Да понятное дело. :-) Очень печалит, что квалификации этих киддисов хватает на такое (в свое время немного общался, 95% вообще ниалё, но грязные деньги гребут… пока).
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.