Комментарии 392
Сурово, однако. Думал все эти card2card не дают себя в фрейме открывать…
Вы хоть читали? Там фреймов нету, есть клиент-серверная прокладка.
«Я так и не понял, зачем вообще что-то куда-то встраивать, если можно тупо украсть код и «на той стороне» всё отправить?»
Это мне вопрос? Думаю, чтобы не замарачиваться с подменой IP при множественных переводах с разных карт на одну.
Это мне вопрос? Думаю, чтобы не замарачиваться с подменой IP при множественных переводах с разных карт на одну.
На карту, видимо, без подтверждения 3D Secure проблематично отправить, если вообще возможно. Покупатель сам вводит код подтверждения. Иногда по несколько раз. И после человек может в течение нескольких дней даже не подозревать, что его обманули. Если дополнительная активность по карте не проявится, то покупатель авиабилетов может узнать о мошеннических действиях со своей картой даже в аэропорту. Чем быстрее жертва мошенников заявит в свой банк, тем больше шансов аннулировать транзакцию и, возможно, даже найти следы мошенников. А через неделю шансы что-то найти и вернуть снижаются очень сильно.
И еще, если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп. При массовых переводах скорее всего останутся следы. А если покупатель сам перевод осуществляет, то в логах платежных систем ничего нет, — IP мошенников нигде не записываются. Единственная зацепка — это веб сайт мошенников.
Один раз автоматизировал все — и пошел отдыхать.
Возможно в этом причина.
И еще, если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп. При массовых переводах скорее всего останутся следы. А если покупатель сам перевод осуществляет, то в логах платежных систем ничего нет, — IP мошенников нигде не записываются. Единственная зацепка — это веб сайт мошенников.
Один раз автоматизировал все — и пошел отдыхать.
Возможно в этом причина.
«если кто-то перехватил данные карты, чтобы перевести деньги на другую карту, ему нужно с какого-то компьютера выходить в сеть, набивать намера итп.»
Лично я понял из того, что вы написали в статье что именно так они и делали. Автоматизированная часть воровства заключалась только в первой транзакции, которая финансировала рекламную кампанию. Все остальное — вручную.
Лично я понял из того, что вы написали в статье что именно так они и делали. Автоматизированная часть воровства заключалась только в первой транзакции, которая финансировала рекламную кампанию. Все остальное — вручную.
Судя по сумме — активировали какой-то автоплатёж. Возможно — сразу при транзакции.
Возможно, это и так. Только наоборот. Первая часть перевод на карту (т.е. себе в карман), а уже вторая и последующие часть на рекламную компанию. На рекламную компанию средств тратится больше, чем на вывод на карты. Причем ручная это работа во второй части или автоматизированная, тоже не известно. По крайней мере на частично автоматизированную похожа.
Пока остатка хватало, списания были с интервалом ровно в 10 минут. А как точно заметил Stryker86 в одном из комментариев, суммы списания кратны изначальной сумме 5900 р (11800, 17700, 23600). Совпадение? Не думаю.
Пока остатка хватало, списания были с интервалом ровно в 10 минут. А как точно заметил Stryker86 в одном из комментариев, суммы списания кратны изначальной сумме 5900 р (11800, 17700, 23600). Совпадение? Не думаю.
> тупо украсть код
Если вы про код из смс, то он одноразовый и высылается по смс только после заполнения всех форм и нажатия кнопки «ок».
Его нельзя украсть, его можно только обманом узнать у пользователя.
Если вы про код из смс, то он одноразовый и высылается по смс только после заполнения всех форм и нажатия кнопки «ок».
Его нельзя украсть, его можно только обманом узнать у пользователя.
«Но в итоге браузер шлёт запрос серверу Тинькова?»
Думаю, да. Там ведь куча скриптов от оригинальной страницы p2p перевода. Зачем еще тебе нужны чужие работающие скрипты?
«И у запроса можно проверить referrer.»
Вас хоть сколько-нибудь удивит если в этой истории окажется, что они НЕ проверяют referrer?
Думаю, да. Там ведь куча скриптов от оригинальной страницы p2p перевода. Зачем еще тебе нужны чужие работающие скрипты?
«И у запроса можно проверить referrer.»
Вас хоть сколько-нибудь удивит если в этой истории окажется, что они НЕ проверяют referrer?
В итоге сервер злоумышленника шлет запрос серверу Тинькова.
Вы невнимательно читали статью.
Причем здесь используется не окно iframe.
Да и ни один современный браузер не даст джаваскрипту изменять код в iframe стороннего сайта (напр. вписать номер карты получателя), даже при отсутствии заголовка X-Frame-Options, только ввод самого пользователя. SOP однако…
Они и не дают. Эти халтурщики даже поленились распарсить страницу с сайта Тинькова и отдавать клиенту только необходимые данные, а, видимо, просто регулярным выражением добавляют
display: none в необходимые блоки.
Я думаю это скорее реклама AdBlock. Или еще один повод вырезать Яндекс.Директ…
Сори, веткой ошибся…
Сори, веткой ошибся…
Мне тоже не понятно как без подтверждения смс они смогли списывать суммы. Да и почему бы лишние деньги на карте не скидывать в какой-нибудь вклад, накопительный счет или сделать карту у которой свой счет, не привязанный к основному.
Recurring payments. Во многих сервисах так (где предусмотрена абонентская плата): достаточно один раз заплатить, а дальше та же сумма будет регулярно сниматься без вашего участия.
В данном случае, правда, суммы были разные, но технически это возможно.
В данном случае, правда, суммы были разные, но технически это возможно.
но был же платеж на карту просто? У сбера вроде такие вещи можно только через кабинет делать, или нет?
Аналогично у PlayStation®Store. Люди, оплатившие с зарплатной карты, часто там страдают от автоматического списания, покупок игр с консоли.
Там только продление подписки ПСН автоматическое (которое можно отключить), все остальное проходит через ваш пароль и тысячу вопросов…
а WoW когда-то вообще не парясь карту высасывал.
Если карта привязана к аккаунту, то покупка совершалась (два года назад) тихо без вопросов. Было очень актуально, когда крали аккаунты — успевали купить на этом аккаунте на солидные суммы, пока пользователь успевал понять и заблокировать зарплатную карту.
У меня при покупке игр, как в Стиме, так и в ПСН ничего не требует. Убер, тот же, списывает не спрашивая.
Алиэкспресс ничего не требует, списывает просто по кнопке «Купить». Правда, для этого нужно предварительно привязать карту к своему аккаунту :)
у меня Стим всегда требует CVC2-код карты.
а вот Amazon ( магазин), Apple (и AppStore и iTunes Store), Google Play — спокойно с привязанных карт списывают вообще без всяких вопросов относительно карты.
а вот Amazon ( магазин), Apple (и AppStore и iTunes Store), Google Play — спокойно с привязанных карт списывают вообще без всяких вопросов относительно карты.
Нет. У меня пару раз было, что они автоматически какие-то игры покупали за меня. Не знаю, баг это или что.
Хорошо хоть, по запросу в таких случаях они деньги возвращали всегда.
Хорошо хоть, по запросу в таких случаях они деньги возвращали всегда.
Заметил, что суммы списания в статье кратны изначальной сумме 5900 р (11800, 17700, 23600)…
В результате обманных действий покупатель подтвердил отправку денег на чью-то карту, а скорее всего на две разных. Если бы регулярная отправка была на эти же карты, то это может быть похоже на то, о чем Вы пишите. Но регулярная отправка включилась как раз совсем на другого получателя, на которого покупатель согласия не давал даже по ошибке.
На карте всего было 40 тысяч рублей. Что же нужно держать на карте по пять тысяч рублей и постоянно гонять деньги туда-сюда? Мороки слишком много.
Алиэкспресс списывает деньги тоже без всяких смс.
Алиэкспресс списывает деньги тоже без всяких смс.
> Что же нужно держать на карте по пять тысяч рублей
Если нет желания когда-нибудь писать десятки заявлений-жалоб-требований вернуть деньги, подобные посты на хабре и в итоге все-равно остаться без денег, то да — на активной карте, которую вы светите в интернете, в кафе и магазинах в любой момент времени должна быть только сумма, потерю которой вы переживете не сильно расстроившись.
Если нет желания когда-нибудь писать десятки заявлений-жалоб-требований вернуть деньги, подобные посты на хабре и в итоге все-равно остаться без денег, то да — на активной карте, которую вы светите в интернете, в кафе и магазинах в любой момент времени должна быть только сумма, потерю которой вы переживете не сильно расстроившись.
И всё равно нужно писать заявление, а то «не сильно расстраиваться» придётся постоянно.
Собственно у Тинькова можно выпустить 5 доп карт установить там лимиты и пользоваться ими, а основную хранить под замком.
Как быть с кредиткой? Первести с неё на другую — вылет из грейса. Платить по дебетовке — туда надо ещё деньги сначала где-то взять, чтобы положить.
С кредиткой вообще плохо — с неё такими методами могут наснимать денег до выборки лимита по кредиту.
Если так неймется платить кредиткой в интернетах, возможны 2 варианта навскидку:
1. Выпустить вторую карту к счету и установить по ней лимиты жесткие.
2. Если банк хреновый и не позволяет такого сделать, установить лимит на операции в интернете 0р, перед покупкой ставить нужный лимит, после покупки опять устанавливать в 0р.
1. Выпустить вторую карту к счету и установить по ней лимиты жесткие.
2. Если банк хреновый и не позволяет такого сделать, установить лимит на операции в интернете 0р, перед покупкой ставить нужный лимит, после покупки опять устанавливать в 0р.
Не то, чтобы неймётся, но там кешбек 3%, да и не надо делать лишние движения по поводу её пополнения.
Лимиты не совсем удобно: всякие автоплатежи на сотовые, интернет будут блокированы.
У меня для расходов на машинку дебетовка с 5% каши — а свободных денег не так уж много, приходиться безконца бабки тусовать с одной карты на другую, по мере их появления, очень неудобно: заезжаешь на АЗС и хлопаешь себя по лбу, что на карте рублей 300, а надо на 50 литров. Запускаешь браузер в телефоне и давай туда-сюда по c2c деньги гонять, благо что бесплатно.
Лимиты не совсем удобно: всякие автоплатежи на сотовые, интернет будут блокированы.
У меня для расходов на машинку дебетовка с 5% каши — а свободных денег не так уж много, приходиться безконца бабки тусовать с одной карты на другую, по мере их появления, очень неудобно: заезжаешь на АЗС и хлопаешь себя по лбу, что на карте рублей 300, а надо на 50 литров. Запускаешь браузер в телефоне и давай туда-сюда по c2c деньги гонять, благо что бесплатно.
А в чем беда установить лимит на платежи через инет в 1000р в месяц? Или во сколько там вам автоплатежи за интернет с сотовым обходятся? Даже если хулиганы упрут данные карты, много вы не потеряете.
Немного оффтопика — а можно подробнее про 3% и 5% кэшбека? Это где такое?
Бинбанк, там в выбранной категории — 5%, у меня категория авто: АЗС, запчасти, сервисы, мойки.
Можно активировать категорию покупки в интернете. Но все квазикеш операции типа пополнения яндекс-денег и киви кошелька — мимо.
Кукуруза — 3% фантиками, можно потратить в перекрёстке на 30% чека, в Евросети 99%. Раньше было ТНК — я в 15-м году в отпуск на машине ездил, слил на 8000Р бензина бонусами(больше просто не успел), ещё там же купил огнетушитель, трос и промывку инжектора(как я и предполагал — хрень оказалась, но за бонусы не жалко).
Можно активировать категорию покупки в интернете. Но все квазикеш операции типа пополнения яндекс-денег и киви кошелька — мимо.
Кукуруза — 3% фантиками, можно потратить в перекрёстке на 30% чека, в Евросети 99%. Раньше было ТНК — я в 15-м году в отпуск на машине ездил, слил на 8000Р бензина бонусами(больше просто не успел), ещё там же купил огнетушитель, трос и промывку инжектора(как я и предполагал — хрень оказалась, но за бонусы не жалко).
Разные банки разные проценты кэшбэка предлагают. Во многих банках есть кэшбэк с высокой ставкой на какую-то отдельную категорию. Многие из этих банков придумывают разные хитрости, чтобы клиентам было как можно сложнее воспользоваться повышенной ставкой. Эти хитрости могут заключаться в том, что категория товаров каждый месяц или каждый квартал меняется. Поэтому клиенту банка трудно просчитать заранее, как получить максимальный кэшбэк. А читать новости, рассылки итп с сообщениями, какая сейчас категория товаров у банка в почете, это очень утомительно. Есть еще банки, которые не сразу начисляют кэшбек, а просят в личном кабинете по каждой операции делать отметку, что она попадает под условия акции итп.
Я знаю один банк, который не морочит клиентам голову со сложными условиями — Бинбанк. Возможно есть и другие такие же. Но из тех, что на виду, таких простых условий не встречал. Кэшбек 1% на обычные покупки, 5% на одну из пяти категорий, которую сам клиент выбирает. При этом категория со временем без участия клиента не меняется. Самая интересная категория — интернет-покупки. Если ее выбрать, то при покупке в интернет-магазинах будет кэшбэк 5%.
Единственное, стоит иметь в виду, интернет-магазины принимают платежи по-разному и возможна ситуация при которой ни 1%, ни 5% ни зачислят при покупке. Для примера, один из самых крупных компьютерных интернет-магазинов принимает платежи по картам через сервис Яндекс.Деньги. При покупке в этом магазине кэшбек не зачисляют. Вероятно для банка такая покупка выглядит, как пополнение кошелька Яндекс.Денег или что-то похожее. А за пополнение кошельков итп кэшбек не начисляют. Клиент при оплате картой разницу не замечает, а для банка разница есть. Поэтому перед оплатой нужно смотреть, как интернет-магазин принимает платежи по картам. Если прием платежей организован через банки эквайеры, кэшбек 5% точно начистят, в остальных случаях, как повезет.
Я знаю один банк, который не морочит клиентам голову со сложными условиями — Бинбанк. Возможно есть и другие такие же. Но из тех, что на виду, таких простых условий не встречал. Кэшбек 1% на обычные покупки, 5% на одну из пяти категорий, которую сам клиент выбирает. При этом категория со временем без участия клиента не меняется. Самая интересная категория — интернет-покупки. Если ее выбрать, то при покупке в интернет-магазинах будет кэшбэк 5%.
Единственное, стоит иметь в виду, интернет-магазины принимают платежи по-разному и возможна ситуация при которой ни 1%, ни 5% ни зачислят при покупке. Для примера, один из самых крупных компьютерных интернет-магазинов принимает платежи по картам через сервис Яндекс.Деньги. При покупке в этом магазине кэшбек не зачисляют. Вероятно для банка такая покупка выглядит, как пополнение кошелька Яндекс.Денег или что-то похожее. А за пополнение кошельков итп кэшбек не начисляют. Клиент при оплате картой разницу не замечает, а для банка разница есть. Поэтому перед оплатой нужно смотреть, как интернет-магазин принимает платежи по картам. Если прием платежей организован через банки эквайеры, кэшбек 5% точно начистят, в остальных случаях, как повезет.
А можно управлять суточными лимитами.
Лайфхак «от бывалого»
Заводится несколько допкарт для разных целей. Для постоянного ношения с собой: лимит на операции в месяц + лимит на снятие наличных в сутки. В интернете не светится. Для трат в интернете: минимальный лимит на операции в месяц, минимальный лимит на снятие. Перед оплатой лимит на операции поднимается на размер операции. Через мобильный банк это делается за 2 минуты.
При этом не важно — карта кредитная или дебетовая.
Лайфхак «от бывалого»
Заводится несколько допкарт для разных целей. Для постоянного ношения с собой: лимит на операции в месяц + лимит на снятие наличных в сутки. В интернете не светится. Для трат в интернете: минимальный лимит на операции в месяц, минимальный лимит на снятие. Перед оплатой лимит на операции поднимается на размер операции. Через мобильный банк это делается за 2 минуты.
При этом не важно — карта кредитная или дебетовая.
> Что же нужно держать на карте по пять тысяч рублей
> и постоянно гонять деньги туда-сюда? Мороки слишком много.
* Держать на карте нужно ноль и непосредственно перед покупкой
переводить на карту нужную сумму. Дело пары минут.
* Выделенная карта для интернет покупок.
* Ну и покупать билеты не у посредников, а на сайте авиакомпании.
> и постоянно гонять деньги туда-сюда? Мороки слишком много.
* Держать на карте нужно ноль и непосредственно перед покупкой
переводить на карту нужную сумму. Дело пары минут.
* Выделенная карта для интернет покупок.
* Ну и покупать билеты не у посредников, а на сайте авиакомпании.
Именно так. Причем многие банки позволяют выпустить виртуальные карты, без «пластика» как раз для оплаты в разного рода онлайн-сервисах. А закинуть денег с карты на карту дело пары минут.
Это предотвратит дальнейшее списание, но за мошеннические «билеты» деньги все равно уведут. Тут только разбираться с банком об отмене перевода.
Это предотвратит дальнейшее списание, но за мошеннические «билеты» деньги все равно уведут. Тут только разбираться с банком об отмене перевода.
Не совсем так. Есть у Альфы Мастеркард виртуал в пластике со сроком 2 года.
Если он в пластике, то что же в нём виртуального?
У него нет чипа, магнитной полосы и эмбоссирования.
А зачем тогда нужна непонятная пластмассовая хрень?
на ней номер написан :)
не знаю, может у банков есть какие-то внутренние требования по этому поводу, но в интернет-банке этот номер не виден, и передать сотрудники банка мне его могут исключительно в виде пластмассовой хрени
не знаю, может у банков есть какие-то внутренние требования по этому поводу, но в интернет-банке этот номер не виден, и передать сотрудники банка мне его могут исключительно в виде пластмассовой хрени
В России нет таких требований. У меня часть номера виртуальной карты видно в интернет-банкинге, а другая часть пришла в виде СМС, вместе с датой с CVV.
QIWI, Яндекс.Деньги позволяют выпустить виртуальную карту за секунды. Закрыть ее и/или перевыпустить можно в любой момент. QIWI, кроме того, позволяет выпустить непополняемую «одноразовую» виртуальную карту. Т.е. если просто уделить некоторое внимание вопросу и посмотреть чуть шире, то окажется, что фраза «проще и дешевле выпустить для таких целей реальный пластик» не имеет под собой оснований.
Ну так соберитесь. ;)
QIWI славна тем, что сама любит списывать деньги со счета, если их сервисом долго не пользоваться.
Ну как бы мы говорим об использовании сервиса исключительно в качестве «прокладки» — для кратковременного хранения средств, предназначенных для оплаты в интернете. Т.е. это инструмент такой, в сценарии использования которого для нашей цели ситуаций «если долго не пользоваться» быть не может по определению.
Кроме того, МегаФон, например, тоже славен тем, что через полгода (или другой срок, не помню) неиспользования номера включается ежемесячное списание определенной суммы. И что? Вы не используете МегаФон? Без проблем. ;) Но я — использую уже лет 12 где-то и не планирую пока отказываться. Просто если номер мне не нужен — я убираю с него деньги и закрываю.
Мне как бы не с руки агитировать и рекламировать сервис, особенно вне рамок обсуждаемого сценария использования, но коль вы уж привели аргумент, то и я тоже приведу — я использую QIWI в качестве основного платежного средства, с виртуальными картами, с реальным пластиком (который уже перевыпускал дважды), т.е. достаточно долго, лет 5-6. И я искренне не понимаю смысла вашего аргумента, поскольку QIWI — не депозит, денег там хранить не нужно, а тем более, долгое время и не используя. Могу «сыграть на вашей стороне» и подкинуть еще аргументов — например, если вы перестали пользоваться номером, то через какое-то время, после отлеживания, оператор его продаст другому абоненту, который, таким образом, получит доступ к вашему QIWI-кошельку. Это так? Абсолютно. Это имеет какое-то значение для меня, как пользователя? Нет, если я не идиот, извините.
Понимаете, если, например, не пользоваться долго автомобилем, то у него рано или поздно спускают шины, садится аккумулятор, рассыхаются резинки в подвеске, «протухает» масло в двигателе и ржавеет кузов. Через 3-5 лет — это уже не автомобиль, а труп. Следует ли отсюда, что нам теперь не стОит покупать автомобили? ;) Да, следует — в том случае, если вы не собираетесь на них ездить, а собираетесь сгноить на стоянке.
Кроме того, МегаФон, например, тоже славен тем, что через полгода (или другой срок, не помню) неиспользования номера включается ежемесячное списание определенной суммы. И что? Вы не используете МегаФон? Без проблем. ;) Но я — использую уже лет 12 где-то и не планирую пока отказываться. Просто если номер мне не нужен — я убираю с него деньги и закрываю.
Мне как бы не с руки агитировать и рекламировать сервис, особенно вне рамок обсуждаемого сценария использования, но коль вы уж привели аргумент, то и я тоже приведу — я использую QIWI в качестве основного платежного средства, с виртуальными картами, с реальным пластиком (который уже перевыпускал дважды), т.е. достаточно долго, лет 5-6. И я искренне не понимаю смысла вашего аргумента, поскольку QIWI — не депозит, денег там хранить не нужно, а тем более, долгое время и не используя. Могу «сыграть на вашей стороне» и подкинуть еще аргументов — например, если вы перестали пользоваться номером, то через какое-то время, после отлеживания, оператор его продаст другому абоненту, который, таким образом, получит доступ к вашему QIWI-кошельку. Это так? Абсолютно. Это имеет какое-то значение для меня, как пользователя? Нет, если я не идиот, извините.
Понимаете, если, например, не пользоваться долго автомобилем, то у него рано или поздно спускают шины, садится аккумулятор, рассыхаются резинки в подвеске, «протухает» масло в двигателе и ржавеет кузов. Через 3-5 лет — это уже не автомобиль, а труп. Следует ли отсюда, что нам теперь не стОит покупать автомобили? ;) Да, следует — в том случае, если вы не собираетесь на них ездить, а собираетесь сгноить на стоянке.
Проблему дальнейших списаний это решит, а вот с кем разбираться в случае мошеннической покупки, как в случае с товарищем автора. Как мне кажется — QIWI и ЯДеньги достаточно мутные конторы в плане ответственности перед законодательством. Хотя я интересовался данными системами достаточно давно и уже долгое время не слежу за развитием ситуации. Может быть что-то и изменилось.
Не более мутные, чем банки за пределами первой десятки.
Мутные-то мутные, но в качестве промежуточной прокладки вполне годятся.
Нельзя списать со счёта больше чем на нём есть
Нельзя списать со счёта больше чем на нём есть
Вообще то в некоторых случаях можно. Технический овердрафт. Сама возможность связана с тем что списание с карты идет как бы в два этапа — авторизация (сразу) и непосредственно списание (через несколько дней но может быть до месяцев) и при этом:
— могут отличаться курсы на эти моменты.
— существуют (не касается обычно Интернета) операции когда просто приходит списание и банк обязан списать, да — загоняя карту в минус если надо
— существуют операции (обычно не в России) когда и авторизация и списание приходят с задержкой. если денег нет — будет теховердрафт.
А еще существует такой банк как Сбербанк, за которым замечалось устройство теховедрафта (именно теховердрафта а не блокировки) по просьбе приставов
— могут отличаться курсы на эти моменты.
— существуют (не касается обычно Интернета) операции когда просто приходит списание и банк обязан списать, да — загоняя карту в минус если надо
— существуют операции (обычно не в России) когда и авторизация и списание приходят с задержкой. если денег нет — будет теховердрафт.
А еще существует такой банк как Сбербанк, за которым замечалось устройство теховедрафта (именно теховердрафта а не блокировки) по просьбе приставов
Можно оплачивать через яндекс деньги с привязанной картой, которую можно легко отвязать и не засвечивать банковскую. Я к тому же привязал специальную карту для расчетов со своим счетом.
Билеты у посредников иногда дешевле, чем на сайте авиакомпании. Редко, но бывает.
Перед сезонами заметно — авиакомпании поднимают цены, а посредники уже выкупили кучу мест и торгуют ими по ценам ниже авиакомпаний, но значительно дороже чем покупали. Плюс скидки за опт. Вывод — покупать билеты надо либо сильно заранее, либо в день вылета (на горящие билеты часто скидки). Хотя в последнее время цены на сезонные билеты авиакомпании держат весь год.
я например для этой цели пользуюсь виртуальной картой Яндекс Денег. Именно дня онлайн покупок. А на нее кладу нужную сумму со сберовской карты через СБ-онлайн. дело 1 минуты.
Так же можно было купить тикеты в онлайнБанкинге у Сбербанка. но увы, кто-то погнался за дешевизною. Итог, очень печален.
1. Использую физические карты для держания валюты (карты с собой не таскаю), еще есть именная карта в гривне (конвертирую в 5-10К гривен в месяц для растрат). Для оплаты в интернет есть электронные (виртуальные) карты на которые, при необходимости перевожу с реальных карт деньги.
2. Меняйте банк.
2. Меняйте банк.
Похоже так же как списывает Amazon, Microsoft и кстати Aliexpress(но в последнем карта по дефолту к счёту не привязывается).
Достаточно один раз оплатить и за продление услуг будут списывать постоянно и без подтверждения через 3D Secure/Verified by Visa.
Для себя нашел выход из подобных ситуаций при работе с подобными сервисами:
Указывать дебетовую карту с отключенными кредитными/овердрафтовыми «фишками» и пополнять карту непосредственно перед оплатой(т.е. по получению уведомления об отключении сервиса) на требующуюся для оплаты сервиса сумму и не монетой больше.
Достаточно один раз оплатить и за продление услуг будут списывать постоянно и без подтверждения через 3D Secure/Verified by Visa.
Для себя нашел выход из подобных ситуаций при работе с подобными сервисами:
Указывать дебетовую карту с отключенными кредитными/овердрафтовыми «фишками» и пополнять карту непосредственно перед оплатой(т.е. по получению уведомления об отключении сервиса) на требующуюся для оплаты сервиса сумму и не монетой больше.
Amazon у меня списал деньги без CVV кода и без 3D Secure, просто по номеру карты
да вы что? и без экспайра и cvv?
C «экспайром» и без cvv.
Я тоже удивился, даже уточнял в поддержке, и это при том, что заказывал я на адрес посредника.
На Aliexpress оплата идет через AliPay — там то и хранится информация о Вас и Вашей карте. Не знаю как сейчас, но AliPay спрашивает иногда месяц, год и CVV/CVC карты. А если оплачивать через мобильное приложение Aliexress, то, если не ошибаюсь, вообще ничего не спрашивает.
Так речь не о данных карты. А об одноразовых смс паролях.
Сегодня платил на Али — не пришла смс с кодом из банка, а 3dsec включен.
а спросите в банке как они отреагируют если в ответ на запрос 3D Secure от экваера придет ответ что не поддерживается, давайте в обычном режиме? судя по описанию — согласятся провести в обычном режиме. Но имеют право и отказать. Могут другие лимиты применить.
Как пример:
— Укрсиббанк https://my.ukrsibbank.com/ru/personal/questions/card_limits/
— Казахстанского Альфа-Банка http://www.alfabank.kz/ru/retail/cards/restrictions
лимиты на операции без 3D Secure — 0
вот Российских банков где есть такое — я не знаю.
Как пример:
— Укрсиббанк https://my.ukrsibbank.com/ru/personal/questions/card_limits/
— Казахстанского Альфа-Банка http://www.alfabank.kz/ru/retail/cards/restrictions
лимиты на операции без 3D Secure — 0
вот Российских банков где есть такое — я не знаю.
Именно.
Сам сегодня платил на Али, дважды. Первый раз с PC, перед этим «привязав» карту к AliPay (+месяц, год, CVV/CVC-код тоже указал).
Второй раз платил через мобильное приложение. Там ничего указывать вообще не пришлось. Даже никакого секретного кода. Тут вижу два варианта решения: либо лочить смартфон настолько, насколько веришь во все эти экраны защиты, либо через АлиПей (да и вообще любые интернет-платежи проводить) через спец-карту, перекидывая туда средства за 1-2 минуты. У Тинькова в этом плане очень удобно.
Сам сегодня платил на Али, дважды. Первый раз с PC, перед этим «привязав» карту к AliPay (+месяц, год, CVV/CVC-код тоже указал).
Второй раз платил через мобильное приложение. Там ничего указывать вообще не пришлось. Даже никакого секретного кода. Тут вижу два варианта решения: либо лочить смартфон настолько, насколько веришь во все эти экраны защиты, либо через АлиПей (да и вообще любые интернет-платежи проводить) через спец-карту, перекидывая туда средства за 1-2 минуты. У Тинькова в этом плане очень удобно.
+ разные регистраторы доменов, для продления могут списать автоматом, не спрашивая ничего дополнительно
Так вроде же на 3D-S настаивает не банк, который выпустил карту, а платёжная система, через которую происходит оплата. Есть сайты где смс попросят ввести, есть сайты где этого не требуется.
Допускаю, что это так и есть. В смс от Сбербанка, в списаниях было указано «YM*Yandex.Direct» Если предположить, что платежный посредник решает, требовать ли код подтверждения, то, как я писал в статье, возникают вопросы либо к Yandex.Money, либо к Yandex.Direct.
Подтверждаю. Имел дело с гейтом от Payeezy, там настройка 3D secure опциональна. Тоже был удивлен и техподдержка моего банка сказала что да, оплата возможна и без смс.
Мне в банке подтвердили, что 3D-secure не на их стороне, и деньги можно и без него списать, как захочет тот, что снимает деньги. ИМХО это вообще бред и смысла я тогда не вижу в такой технологии.
Более того, я пару раз в магазине вводил неверный пинкод, о чём мне сообщал терминал, но там была возможность продолжить. Нажимая Да, я завершал покупку не вводя повторно пинкод. Деньги снимались.
Один раз вообще дал сыну карту и попросил его так оплатить покупку и он это сделал. После чего я позвонил в Росевробанк и попросил объяснить эту ситуацию. Сказали, что до 4000 может не требоваться ввод пинкода.
Ужасно всё это.
Более того, я пару раз в магазине вводил неверный пинкод, о чём мне сообщал терминал, но там была возможность продолжить. Нажимая Да, я завершал покупку не вводя повторно пинкод. Деньги снимались.
Один раз вообще дал сыну карту и попросил его так оплатить покупку и он это сделал. После чего я позвонил в Росевробанк и попросил объяснить эту ситуацию. Сказали, что до 4000 может не требоваться ввод пинкода.
Ужасно всё это.
нажимая отмену, выполняется оплата по подписи. Допустимо при не очень больших суммах и при не-запрете оплаты по подписи банком. Чеки при этом обычно различаются, «введен пин-код» и «подпись клиента».
Не обязательно ошибаться при вводе даже. Обычно достаточно нажать «отмена» на первое предложение терминала ввести пин-код и оплата пройдет и без него.
Правда не всегда(но чаще всего ОК), обычно на небольшие суммы (большая не пройдет) и по-идее в этом случае кассир должен потребовать поставить подпись на чеке.
Но я последнее время при покупках до 1-2 тыс. руб оплачиваю и без пинкода и без подписи — все проходит и так, кассиры на подпись или забивают или вообще не соображают что нужно ее запрашивать…
А на случай подобной жести как в статье просто не держу существенных сумм на расчетной карте — только на текущие мелкие расходы. Или закидываю через ИБ непосредственно перед более крупной покупкой нужную сумму.
Правда не всегда(но чаще всего ОК), обычно на небольшие суммы (большая не пройдет) и по-идее в этом случае кассир должен потребовать поставить подпись на чеке.
Но я последнее время при покупках до 1-2 тыс. руб оплачиваю и без пинкода и без подписи — все проходит и так, кассиры на подпись или забивают или вообще не соображают что нужно ее запрашивать…
А на случай подобной жести как в статье просто не держу существенных сумм на расчетной карте — только на текущие мелкие расходы. Или закидываю через ИБ непосредственно перед более крупной покупкой нужную сумму.
Да сколько бы на счету денег не было. Это другая история. Не все банки имеют настройки безопасности, где можно ограничивать сумму списания через интернет банкинг или на снятие налички. Тут как и всегда действует правило «предупрежден значит вооружен».
Проверка CVV и 3Dsecure — добрая воля мерчанта (магазина). С другой стороны, если владелец карты опротестовывает платёж, деньги ему тоже возвращает магазин, через который прошел платёж. В данном случае, это, очевидно, должен быть P2P-сервис, позволивший перевод.
Мне тоже не понятно как без подтверждения смс они смогли списывать суммы.
- Злоумышленник регистрируется в любом сервисе, например, Яндекс.Деньгах, Amazon, Paypal, вводит свой номер мобильного телефона, если нужно.
- Привязывает карту человека, который ввел ее данные на фишинговом сайте, сделанным злоумышленником.
- СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.
В крупных сервисах, которые привязывают карту к себе, обычно нет 3D Secure. Amazon вообще даже CVV/CVC2 не требует, только номер карты и срок действия. Большинство сервисов не проверяют введенное имя, я всегда ввожу DICK BUTT, получал только один раз отказ.
Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке. По возможности, платите только электронными деньгами. По моему мнению, Webmoney на голову выше конкурентов по безопасности и удобству использования: для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. Входные данные прилетают либо через Push, либо их можно считать камерой с QR-кода на экране оплаты, либо вообще вручную ввести. И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.
СМС от сервиса приходит злоумышленнику, а СМС от банка о снятии и возврате средств для проверки работоспособности карты — владельцу карты.
Не знаю на счет всего, но чтобы подтвердить PayPal нужно ввести код из описания транзакции. Я этот код мог видеть только в клиент-банке, например.
Электронные деньги мне кажутся весьма мутной темой, но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.
Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег. Плюс банки научились неплохо так определять подозрительные транзакции. Да, это костыль, но всё же не стоит параноить сильно.
но оболочка над платежами вроде PayPal — отличная вещь. Проблема только в том, что далеко не все сайты его поддерживают.Он хорош для клиентов, но головная боль магазинов. По мнению Paypal, прав в большинстве случаев клиент, даже если клиент неправ. А еще Paypal берет процент с магазина за свои услуги.
Ну и вообще небезопасность кредиток компенсируется относительной простотой возврата денег.Мне не нравится, что вообще существует возможность воспользоваться моей картой, если ее данные кому-то попали в руки. В случае с электронными деньгами, я всегда заранее знаю, кому и сколько я плачу, и нет возможности снять мои деньги без подтверждения с моей стороны.
К тому же, у большинства банков уведомления об операциях с картой приходят только по СМС. Я телефоном пользуюсь редко, для меня это неважная вещь, и СМС я могу просто не увидеть, поэтому мне приходится писать скрипты для каждого банка отдельно, которые раз в 15 минут входят в интернет-банкинг, парсят страницу и отправляют уведомление по почте, если баланс изменился.
Раньше у ВТБ24 были замечательные карты одноразовых кодов — безопасные, маленькие, не требующие канал связи и электричества — но их заменили на СМС-коды, которые ни разу не безопасны и требуют наличие телефона.
Абсолютной безопасности не существует. Мне вот тоже не понравилось бы, что кто-то пользуется наличностью из моего кошелька, но я не могу гарантировать 100-процентную сохранность этой наличности (ну, кроме варианта не использования её вообще). Так что мне кажется, что всё упирается в уровень вашей параноии по отношению к юзабилити.
> А еще Paypal берет процент с магазина за свои услуги.
Это все берут. На этом и зарабатывают.
Это все берут. На этом и зарабатывают.
за 500 руб у них есть генераторы кодов, это отдельные устройства
Это устройство, увы, практически невозможно использовать в упомянутых автором предыдущего ответа скриптах. Сам мучаюсь :(
У меня были эти устройства. Два из трех сдохли (на экране просто целые строчки пропали так, что было невозможно понять, какая где цифра). Идея норм, физическое воплощение на три с минусом.
У Авангарда есть карты одноразовых кодов до сих пор.
Очень удобно. Особенно когда ты в роуминге где-нибудь в Анадыре.
Очень удобно. Особенно когда ты в роуминге где-нибудь в Анадыре.
У Авангарда вообще все круто организовано. У них целых 3 уровня управляемых динамически: СМС, карточки (физические) одноразовых кодов, ЭЦП.
В зависимости от суммы и ситуации (вид операции, ее «подозрительности/рискованности» по внутреннему анализу банка) применяются разные методы. В простых случаях и небольшие сумму можно подтвердить СМС (или одноразовым кодом с карточки — на выбор что удобнее/больше нравится).
Если сумма крупная или операция подозрительная — по СМС подтверждения приниматься не будут, можно подтвердить только более безопасным одноразовым кодом с карточки.
А в особо тяжелых случаях (например ОЧЕНЬ крупную сумму через интернет перевести если до этого таких операций не проводил, т.е. для клиента они не характерны) затребуют связку СМС с телефона + одноразовый код с карточки + подписать ЭЦП(хранящейся на выдаваемом брелке-флешке). Могут еще и из СБ перезвонить на контактный номер и переспросить — действительно ли это клиент сам переводит, по собственному желанию и нет ли ошибок.
В зависимости от суммы и ситуации (вид операции, ее «подозрительности/рискованности» по внутреннему анализу банка) применяются разные методы. В простых случаях и небольшие сумму можно подтвердить СМС (или одноразовым кодом с карточки — на выбор что удобнее/больше нравится).
Если сумма крупная или операция подозрительная — по СМС подтверждения приниматься не будут, можно подтвердить только более безопасным одноразовым кодом с карточки.
А в особо тяжелых случаях (например ОЧЕНЬ крупную сумму через интернет перевести если до этого таких операций не проводил, т.е. для клиента они не характерны) затребуют связку СМС с телефона + одноразовый код с карточки + подписать ЭЦП(хранящейся на выдаваемом брелке-флешке). Могут еще и из СБ перезвонить на контактный номер и переспросить — действительно ли это клиент сам переводит, по собственному желанию и нет ли ошибок.
Сейчас у них есть какой-то приложение для смартов/планшетов для генерации кодов после установки работающее в офлайн режиме (т.е. без интернета или СМС). Правда не знаю можно ли покупки по карте ими подтверждать (их карточной для покупок никогда не пользовался), точно можно любые операции в ИБ ими подтверждать вместо СМС.
Ну и за 500р есть полностью аппаратные генераторы одноразовых паролей. Хотя в данном случае генератор — это чип банковской карты, а устройство лишь внешний экран, клавиатура и источник энергии для работы чипа карточки.
Ну и за 500р есть полностью аппаратные генераторы одноразовых паролей. Хотя в данном случае генератор — это чип банковской карты, а устройство лишь внешний экран, клавиатура и источник энергии для работы чипа карточки.
Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.
Неа. На данный момент это компромис между безопасностью и удобством пользования.
Хочется и чтобы не нужно было лишних манипуляций (пароли, смс-ки), и чтобы безопасно.
> Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.
Каменный век был до внедрения 3D Secure. Тогда для списания денег с карточки нужно было только знать данные этой карточки. Можно сказать, что творились анархия, беспредел, и разгул кардеров. Никто никому не доверял. Карточки предпочитали никому не показывать. Банки могли спокойно отклонить любую транзакцию, как подозрительную. Клиентам было желательно постоянно проверять свои выписки. Сбербанк какое-то время вообще рубал все карточные транзакции из за рубежа. Мне кажется, такая ситуация здорово помогла в популяризации paypal — он предлагал безопасность там, где её не было.
Сейчас есть 3D secure, подтверждение по СМС, одноразовые коды и даже электронные брелки. Сейчас бронзовый век:)
Каменный век был до внедрения 3D Secure. Тогда для списания денег с карточки нужно было только знать данные этой карточки. Можно сказать, что творились анархия, беспредел, и разгул кардеров. Никто никому не доверял. Карточки предпочитали никому не показывать. Банки могли спокойно отклонить любую транзакцию, как подозрительную. Клиентам было желательно постоянно проверять свои выписки. Сбербанк какое-то время вообще рубал все карточные транзакции из за рубежа. Мне кажется, такая ситуация здорово помогла в популяризации paypal — он предлагал безопасность там, где её не было.
Сейчас есть 3D secure, подтверждение по СМС, одноразовые коды и даже электронные брелки. Сейчас бронзовый век:)
для подтверждения платежей не требуется принимать СМС или иметь мобильный телефон под рукой вообще — есть приложение E-Num, которое генерирует одноразовые коды, принимая на вход кошелек, которому переводятся средства, сумму, challenge-код. <...> И приложение есть под все платформы, даже под Symbian и Java оно до сих пор работоспособное, не говоря уже о Blackberry и Bada.
Вы это приложение, наверное, на микроволновке запускаете? Раз оно у вас работает даже тогда, когда мобильного телефона нет под рукой вообще?
Вообще, безопасности оплаты картами в интернете застряла где-то в каменном веке.
ИМХО, это проблема слишком многогранна, и дело тут не всегда в отсутствии прогресса.
Боюсь, что озвучу чрезвычайно крамольную вещь, но на самом деле никому эта безопасность нафиг не упала, особенно клиентам (по крайней мере, их 99% из тех, кто не сидит регулярно на Хабре, банках.ру и прочих тематических сайтах).
Что нужно клиенту? Клиенту нужно, чтобы всё сработало здесь и сейчас, причём как можно более простым способом. Начнёшь вводить назойливые проверки, блокировки операций по геолокации, вторые-третьи факторы и прочие разумные с точки зрения безопасности фишки — налетишь на аааагроменное недовольство клиентов, плохие отзывы («совершенно несправедливые!» с точки зрения безопасников) и отток клиентов.
Банку тоже чрезмерные замуты с безопасностью не нужны — люди привыкли к концепции «всё в 1 клик» (точнее, их к этому долго и активно приучали), поэтому любые многоэтажные конструкции проверки им нафиг не сдались. Будет слишком сложная «безопасность» — будет все больше людей, которые будут оказываться от услуг банка / мерчанта в пользу «более сговорчивых» коллег, а то и попросту возвращаться в кэш / WM / другие способы платежей.
Платежная система? Щаззз, этим наоборот надо, чтобы всё было проще, клиенты были довольны, а обороты росли. Поэтому в правилах той же Visa в Штатах написано, что мерчант НЕ ВПРАВЕ отказать клиенту в проведении операции по карте, если клиент отказывается предъявить документ, удостоверяющий личность :-) Почему? Опять же, не хотят негативной волны, которая может ударить по их бизнесу много сильнее, чем редкие мошенничества.
Единственный, кто более-менее должен быть заинтересован в безопасности — это мерчант, то бишь торговая точка, но и он понимает, что введение слишком сложных мер приведет к тому, что клиенты уйдут к конкурентам. Поверьте, никто (даже я, несмотря на понимание того, почему это делается) не оценит отмены заказа через 2 дня после его размещения с причиной "слишком высокий фрод-скор", а оставит злобнейший отзыв на Yelp'e и закажет то же самое в другом магазине.
Вот и получается такой вечный поиск тонкого баланса…
никто не оценит отмены заказа через 2 дня после его размещения с причиной «слишком высокий фрод-скор»
При этом они постоянно так делают при трансграничных заказах. Пожалуй половина американских магазинов при оплате русской картой или с русского IP морозят заказы (вплоть до месяца), отменяют их и всячески трахают мозги. Особенно когда твой заказ с черной пятницы отменили «весело» становится. А пойти и купить в другом не получится, ибо накрутки и все такое.
Поверьте, не только при трансграничных :-(
Я, например, больше никогда и ни за какие коврижки не буду связываться с Travelocity после того, как они мне в 3 часа утра отменили билет с вылетом на следующий день, а индусы на линии поддержки *категорически* отказались вообще что-то объяснять и комментировать — плюнул, купил тот же самый билет в Expedia и спокойно улетел…
А как насчет магазина, который повесил холд на 5 дней, а потом просто тупо отменил заказ без звонка или даже e-mail'a, а потом по телефону объяснил, что, дескать, по геолокации я в момент оформления находился слишком далеко от адреса доставки, поэтому их система решила, что, возможно, это мошенничество.
И в том, и в другом случае это были «нормальные» кредитки, выпущенные американскими банками, с американскими же billing-адресами.
Думаю, лишним будет говорить, что более в этих точках никогда не отоваривался.
Т.е. проблема налицо — вроде бы точки хотели сделать как лучше, типа как обезопасить себя и деньги клиента, но вот реализация сего хорошего намерения привела к тому, что клиент теперь потерян и, скорее всего, навсегда…
Я, например, больше никогда и ни за какие коврижки не буду связываться с Travelocity после того, как они мне в 3 часа утра отменили билет с вылетом на следующий день, а индусы на линии поддержки *категорически* отказались вообще что-то объяснять и комментировать — плюнул, купил тот же самый билет в Expedia и спокойно улетел…
А как насчет магазина, который повесил холд на 5 дней, а потом просто тупо отменил заказ без звонка или даже e-mail'a, а потом по телефону объяснил, что, дескать, по геолокации я в момент оформления находился слишком далеко от адреса доставки, поэтому их система решила, что, возможно, это мошенничество.
И в том, и в другом случае это были «нормальные» кредитки, выпущенные американскими банками, с американскими же billing-адресами.
Думаю, лишним будет говорить, что более в этих точках никогда не отоваривался.
Т.е. проблема налицо — вроде бы точки хотели сделать как лучше, типа как обезопасить себя и деньги клиента, но вот реализация сего хорошего намерения привела к тому, что клиент теперь потерян и, скорее всего, навсегда…
У веб мани есть фундаментальная проблема — он толком не работает на Linux и в Chrome
Вы про Light? Не знаю, пользуюсь Mini.
Для того, что бы 3D secure сработал, надо что бы он поддерживался как банком, так и мерчантом. Если мерчант не поддерживает 3D secure, то платеж пройдет и так. Видимо у Директа поддержки 3D secure нету.
Amazon например даже CVV не спрашивает. Технически списывать без подтверждений возможно имея не более, чем номер карты и срок действия. Остальное — просто дополнительные уровни защиты.
В некоторые сервисы дает заплатить без 3DS. В данном случае это Яндекс Директ. Рекуррентные платежи или платежи по шаблону в Сбербанке тут не причем.
прочел на одном дыхании.
Вот это детектив! Похоже, что мошенники пользуются каким-то неизвестным эксплоитом
Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS)
3D Secure должен поддерживаться двумя сторонами, как банком выпустившим карту, так и тем банком чей платёжный шлюз используется для приёма платежа.
Только вчера платил за коммуналку (если точнее — электричество на сайте мосэнергосбыт) с карты сбера без ввода кода 3D Secure. Платёжный шлюз от Альфа-Банка
И в магазинах разных, даже в одной сети. В одном спрашивает код, в другом нет.
Да, 3D Secure это просто опциональный перенос ответственности на клиента. Если магазин хочет, то может сам нести риски.
В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте, при условии, что он не поддерживает эту технологию.
В случае использования 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту или на самого клиента.
Да, верно. Ещё и от настроек мерчанта зависит
Можно вопрос вот по этому утверждению:
Что-то не так с EU, или подозрительно, что не RU?
1. Домен в зоне EU должен был по крайней мере насторожить.
Что-то не так с EU, или подозрительно, что не RU?
ну обычно уважающие себя российские коммерческие сайты имеют зану RU и https
так просто принято в узких коммерческих кругах
так просто принято в узких коммерческих кругах
Скоро, благодаря letsencrypt, с хттпс проблем ни у кого не будет. :)
Нужно смотреть не на https, а на тип сертификата. У LetsEncrypt DV-сертификат, который означает лишь то, что соединение защищено и никто не «подсматривает».
У серьёзных организаций EV-сертификат, при выдаче которого удостоверяющий центр проводит, как минимум, проверку, существует ли организация в реальности.
У серьёзных организаций EV-сертификат, при выдаче которого удостоверяющий центр проводит, как минимум, проверку, существует ли организация в реальности.
Это мы с вами знаем. А обычный пользователь, который только-только приучился смотреть на замочек рядом с урлом?
EV-сертификат — не панацея. Я однажды получал его на компанию, зарегистрированную неделей ранее в юрисдикции BVI.
В качестве подтверждения существования компании CA попросил предоставить счёт за телефонные переговоры за пару прошлых месяцев и счёт за услуги клининга. Эти документы оффшорный регистратор даёт нахаляву.
Этапы «убедиться, что компания зарегистрирована по адресу массовой регистрации» и «посмотреть на гугле адрес по которому предоставлялись услуги клининга и убедиться, что там во всём здании нет стольки квадратных метров, за сколько выставлен счёт», CA опускает.
EV-сертификат — не панацея. Я однажды получал его на компанию, зарегистрированную неделей ранее в юрисдикции BVI.
В качестве подтверждения существования компании CA попросил предоставить счёт за телефонные переговоры за пару прошлых месяцев и счёт за услуги клининга. Эти документы оффшорный регистратор даёт нахаляву.
Этапы «убедиться, что компания зарегистрирована по адресу массовой регистрации» и «посмотреть на гугле адрес по которому предоставлялись услуги клининга и убедиться, что там во всём здании нет стольки квадратных метров, за сколько выставлен счёт», CA опускает.
давно, простые сертификаты помечны просто замочком, а сертификаты с расширенной проверкой будут помечены названием организации зеленым цветом рядом.
Странно, что я ни разу не слышал/не читал рекомендацию типа «никогда не вводите данные карты на не подписанных сайтах». Кучу всякой херни пишут в этих своих брошурках «how to stay safe online», а вот такого простого и очевидного совета не видел ни разу, хотя карт этих сменил штук 10 за последние 5 лет
Судя по скриншотам FF, соединение http (расчёт делается на то, что 90% пользователей шапку не смотрят). Не мешало бы настройку включить: user_pref(«browser.urlbar.trimURLs», false);
xbox, на 75% YМ принадлежат СБ.
xbox, на 75% YМ принадлежат СБ.
Первый сайт _aviapromo.eu_ использовал HTTPS и на заглавной странице (видно на одном из самых верхних скриншотов, сделанном на телефон) и на странице оплаты. HTML код страницы оплаты у него значительно отличался от _avia-scanners.ru_. Там я вообще не нашел никаких ссылок на банки. Подозрительные моменты там были, но так очевидно, как с Тиньковым там не получилось разобраться. Вот такой, например, подозрительный код там был в HTML,
Второй сайт _avia-scanners.ru_ использовал http. В этот раз я уже более наглядно делал скриншоты. На картинках видно.
<a href="view-source:https://aviapromo.eu/merch/payp2p.php" class="attribute-value">payp2p.php</a>
Второй сайт _avia-scanners.ru_ использовал http. В этот раз я уже более наглядно делал скриншоты. На картинках видно.
Я покупаю билеты так: ищу билеты по расписаниям, смотрю какие авиакомпании выполняют подходящие мне рейсы, покупаю билеты на сайте авиакомпании.
Нередко на сайтах перекупщиков цены бывают ниже, чем на сайте самой авиакомпании. Приходится выбирать между риском и дороговизной.
Мне так S7 не продавала дешёвый билет. При поиске есть, а как заказывать начинаешь — в четыре раза дороже. Ищем через некоторое время опять — есть, начинаем заказывать — нет. При этом все агрегаторы показывали только дорогие билеты. Так что вопрос большой и разносторонний.
Мне авиаяндекс показывает дешёвые билеты, лучшее предложение на мой маршрут. Переходишь на сайт S7 — дешёвый выбран, но не заказывается. Если радиобаттон с дешёвого варианта убрать, то вернуть потом нельзя — вариант из списка исчезает. Думал, повезло на баг, как обычно. Но если не только у меня, то, видимо, планомерно этим промышляют.
А самый дешёвый из настоящих доступных вариантов S7 примерно на 5% дороже самого дешёвого у перекупов.
А самый дешёвый из настоящих доступных вариантов S7 примерно на 5% дороже самого дешёвого у перекупов.
Вам не доводилось слышать про OZON travel? Когда покупаешь билет, а через несколько дней оказывается, что нет у тебя никакого билета, потому что продавец не смог выкупить его по обещанной цене.
Пройдемся по шагам.
> 1. Домен в зоне EU должен был по крайней мере насторожить.
Упс. Чем?
По этой логике должны настораживать aviasales.su, rossiya-airlines.com, pobeda.aero, vim-avia.com… да?
> 2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.
Все сайты, на которых можно что-то купить, устроены именно так. Пыль может быть разного калибра и в разном количестве, но суть одна и та же.
> 3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году.
Здесь и далее — просто без комментариев. Да, это все информация открыта, но никто не мешает мошенникам указать настоящую информацию любой фирмы.
4. Рейтинги сайта ТиЦ и PR нулевые
Это к сожалению, ни о чем не говорит. СЕОшники могут меряться этими циферками, а для обычных людей это птичий язык.
5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK»
А начиная с этого момента — уже поздно. Данные карты введены, вуаля.
Итого — обычный человек в подобном случае ничего сделать не может к сожалению.
Остается незакрытым вопрос успешной оплаты без MCSC/VbV — как любит напоминать Сбербанк, это «невозможно»…
> 1. Домен в зоне EU должен был по крайней мере насторожить.
Упс. Чем?
По этой логике должны настораживать aviasales.su, rossiya-airlines.com, pobeda.aero, vim-avia.com… да?
> 2. Кроме поиска авиабилетов на сайте было всего несколько страниц, цель которых пустить пыль в глаза.
Все сайты, на которых можно что-то купить, устроены именно так. Пыль может быть разного калибра и в разном количестве, но суть одна и та же.
> 3. Если копнуть глубже, то указанный на странице ОГРН компании принадлежал компании, которая была закрыта в 2011 году.
Здесь и далее — просто без комментариев. Да, это все информация открыта, но никто не мешает мошенникам указать настоящую информацию любой фирмы.
4. Рейтинги сайта ТиЦ и PR нулевые
Это к сожалению, ни о чем не говорит. СЕОшники могут меряться этими циферками, а для обычных людей это птичий язык.
5. Основное, что должно было насторожить. Должна была быть оплата без комиссии, как указано на сайте, 5900 за каждый авиабилет, а в смс от банка пришло назначение «Списание 5900.00 P2P PSBANK»
А начиная с этого момента — уже поздно. Данные карты введены, вуаля.
Итого — обычный человек в подобном случае ничего сделать не может к сожалению.
Остается незакрытым вопрос успешной оплаты без MCSC/VbV — как любит напоминать Сбербанк, это «невозможно»…
Справедливости ради.
Не совсем так. Насколько я знаю — если вы не ввели код из смс от банка — то операцию опротестовать более чем реально. Если же ввели код из смс — то реально только если деньги с той стороны куда перевели получится «заморозить» (т.е. если они там ещё есть).
А начиная с этого момента — уже поздно. Данные карты введены, вуаля.
Не совсем так. Насколько я знаю — если вы не ввели код из смс от банка — то операцию опротестовать более чем реально. Если же ввели код из смс — то реально только если деньги с той стороны куда перевели получится «заморозить» (т.е. если они там ещё есть).
Сорри, но это уже выяснили — если магазин не поддерживает MCSC/VbV, то никаких смс не будет.
А зачем мошенникам ставить препятствия самим себе?
А зачем мошенникам ставить препятствия самим себе?
С доменом .aero все, как-раз, нормально — он выдается только организациям связанным с авиаперевозками и для того, что б его получить — нужны соответствующие документы.
Неочевидный факт — иногда покупка билета у посредника обходится дешевле, чем напрямую. Но риски повышаются, да.
но ведь так получается дороже?
По-разному. Я видел у посредников цены и на $50 дороже, и на $50 дешевле, чем на такой же рейс на оффсайте авиакомпании.
Вы ещё скажите что покупка билета туда-обратно всегда дешевле.
Не всегда лучше и почти всегда дороже агрегаторов.
Вопрос — на той странице, где надо было вводить данные карты для оплаты, был ли https? Ничего подозрительного в его сертификате не было?
Судя по отсутствию иконки замка у в адресной строке, там голый http.
Да уж. Это должно было насторожить сразу. А то получается что тогда кроме этих мошенников данные карты могли уплыть любому, прослушивающему данный траффик.
Вас беспокоит, что данные могли достаться другим мошенникам, перехватывающим трафик?
Ну в каком-то смысле, меня беспокоят не-https страницы, где я должен вводить свою платёжную информацию
Это был бы довольно интригующий поворот, как раз в духе статьи (согласитесь, написано увлекательно). Но не, как и товарища ниже, меня в основном смущает необходимость вводить какие-либо личные (не говоря уж о платёжных) данные на сайте без https.
форма может отправлять данные на урл с https а сам сайт крутится на http. Зачем? Может для снижения нагрузки на процессор, вероятно. Видел пару раз на госсайтах.
Нет, не может, это проблема курицы и яйца. Введите в гугл и получите миллион ссылок, почему так делать нельзя. Вот первая.
У vim-avia весной тоже не было замка. Я тогда на это посмотрел и передумал у них покупать.
Выше в комментариях написал только что.
На первом сайте был https.
На втором сайте был http.
Сертификат я не проверял, но каких либо сообщений браузера или антивируса, как это иногда бывает, не выдавалось.
На первом сайте был https.
На втором сайте был http.
Сертификат я не проверял, но каких либо сообщений браузера или антивируса, как это иногда бывает, не выдавалось.
>>Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS).
А я сталкивался, например в Steam (и не только там).
На соответствующий вопрос сбер мне ответил что-то в духе «На усмотрение магазина».
Собственно ответ:
Ответ Клиенту:
Уважаемый <ФИО>
ОАО «Сбербанк России», рассмотрев Ваше обращение, сообщает следующее.
Согласно Условиям использования банковских карт ОАО «Сбербанк России»:
п. 11.7. — Держатель соглашается с получением услуг через сеть Интернет,
осознавая, что сеть Интернет не является безопасным каналом связи, и
соглашается нести все риски, связанные с возможным нарушением
конфиденциальности и целостности информации при её передаче через сеть
Интернет
Дополнительно сообщаем, что способ подтверждения операции в сети интернет
определяется непосредственно разработчиком сайта.
Обращаем Ваше внимание на то, что с Условиями использования банковских карт
ОАО
«Сбербанк России» Вы можете ознакомиться в подразделениях Банка либо на
сайте
Сбербанка России по адресу (http://www.sbrf.ru/moscow/).
Благодарим Вас за Ваше обращение и надеемся, что наши разъяснения помогли
Вам
разобраться в сложившейся ситуации.
Вопрос Клиента:
При покупке к некоторых онлайн-магазинах не требуется подтверждение в виде
одноразового СМС-пароля (оплата проходит без запроса такового).
А я сталкивался, например в Steam (и не только там).
На соответствующий вопрос сбер мне ответил что-то в духе «На усмотрение магазина».
Собственно ответ:
Ответ Клиенту:
Уважаемый <ФИО>
ОАО «Сбербанк России», рассмотрев Ваше обращение, сообщает следующее.
Согласно Условиям использования банковских карт ОАО «Сбербанк России»:
п. 11.7. — Держатель соглашается с получением услуг через сеть Интернет,
осознавая, что сеть Интернет не является безопасным каналом связи, и
соглашается нести все риски, связанные с возможным нарушением
конфиденциальности и целостности информации при её передаче через сеть
Интернет
Дополнительно сообщаем, что способ подтверждения операции в сети интернет
определяется непосредственно разработчиком сайта.
Обращаем Ваше внимание на то, что с Условиями использования банковских карт
ОАО
«Сбербанк России» Вы можете ознакомиться в подразделениях Банка либо на
сайте
Сбербанка России по адресу (http://www.sbrf.ru/moscow/).
Благодарим Вас за Ваше обращение и надеемся, что наши разъяснения помогли
Вам
разобраться в сложившейся ситуации.
Вопрос Клиента:
При покупке к некоторых онлайн-магазинах не требуется подтверждение в виде
одноразового СМС-пароля (оплата проходит без запроса такового).
Любая технология защиты должна поддерживаться обеими сторонами платежа. Если одна из сторон поддерживает какую-либо технологию защиты, а другая нет, то в случае диспута (спора, кто мошенник, и кто должен вернуть деньги) платежная система встает на более «защищенную» сторону.
Такой подход стимулирует участников подключать как можно больше разных степеней защиты (чип на карте, вместо магнитной ленты, временные коды, 3D-secure и прочее). Поэтому если ваш банк поддерживает 3D-Secure (а судя по написанному, так и есть), а получатель платежа не поддерживает (иначе деньги не ушли бы), то на основе вашего заявления в банк начинается диспут между вашим банком и банком получателем. Платежная система присуждает вашему банку пальму победы, как более «защищенному» банку. Банк-получатель_платежа вынужден вернуть эти деньги. И получается, что потерпевшим от действий мошенников становится именно он. Это стимулирует его тщательнее проверять своих клиентов и писать на них заявления в милицию в случае необходимости.
Другое дело, что карты эти могут быть ворованными. Но это уже другая история.
Такой подход стимулирует участников подключать как можно больше разных степеней защиты (чип на карте, вместо магнитной ленты, временные коды, 3D-secure и прочее). Поэтому если ваш банк поддерживает 3D-Secure (а судя по написанному, так и есть), а получатель платежа не поддерживает (иначе деньги не ушли бы), то на основе вашего заявления в банк начинается диспут между вашим банком и банком получателем. Платежная система присуждает вашему банку пальму победы, как более «защищенному» банку. Банк-получатель_платежа вынужден вернуть эти деньги. И получается, что потерпевшим от действий мошенников становится именно он. Это стимулирует его тщательнее проверять своих клиентов и писать на них заявления в милицию в случае необходимости.
Другое дело, что карты эти могут быть ворованными. Но это уже другая история.
Для тех, кого интересует оплата без смс подтверждения — тот же алиэкспресс проводит транзакции без 3D-Secure подтверждения
Никогда не понимал тех, кто на первом найденном «поисковике билетов» что-то заказывает… Есть пара проверенных и весьма известных искалок, и есть прямые сайты авиакомпаний… Надеяться, что сторонний сайт магическим образом даст лучшую цену? Ну-ну… Кстати, не отсюда ли ноги растут у мифов о том, что на сайтах авиакомпаний цена динамически меняется, например, после долгого поиска? :)
Ничего себе миф. Вчера покупал билеты на delta.com. И что бы вы думали? Первая попытка закончилась "какая-то проблема при покупке, попробуйте ещё раз" — с начала поиска. Вторая — "кажется, этот рейс пользуется спросом, платите на $50 больше или попробуйте ещё раз". Стоимость билетов сначала — $208, то есть подняли на 25% внаглую. Билеты были нужны, чувствую себя последним лохом, но купить пришлось.
У вас на скрине, где вводятся данные карты, указан протокол http. Хотя бы одно это должно было насторожить от всяческих дальнейших действий.
И конечно же, сервисы перевода денег с карты на карту должны заняться проблемой, описанной у вас. Знаю, что представители того же ТКСБ есть на Хабре и ГТ.
И конечно же, сервисы перевода денег с карты на карту должны заняться проблемой, описанной у вас. Знаю, что представители того же ТКСБ есть на Хабре и ГТ.
Да это тоже должно настораживать при оплате в интернете.
Но я думаю, что если провести опрос авиапасажиров, у всех, кто покупал билеты через интернет, то процент тех, кто знает, чем отличается http от https, будет сопоставим с процентом проголосовавших на прошедших выборах за непарламентские партии.
Я думаю, что если среднестатистический человек не хочет рисковать, то он покупает билеты на нескольких самых известных сайтах. К примеру, если билет покупается на рейс аэрофолота, то и искать его логично на сайте аэрофлота. А уж если человек находится на сайте аэрофлота, то смотрит ли он на значок http/https в адресной строке, — это вопрос.
Но я думаю, что если провести опрос авиапасажиров, у всех, кто покупал билеты через интернет, то процент тех, кто знает, чем отличается http от https, будет сопоставим с процентом проголосовавших на прошедших выборах за непарламентские партии.
Я думаю, что если среднестатистический человек не хочет рисковать, то он покупает билеты на нескольких самых известных сайтах. К примеру, если билет покупается на рейс аэрофолота, то и искать его логично на сайте аэрофлота. А уж если человек находится на сайте аэрофлота, то смотрит ли он на значок http/https в адресной строке, — это вопрос.
А заявление об инциденте в ТКС Банк было отправлено?
Я хоть и не являюсь участником инцидента, но отправил им заявку с предложением фильтровать http-referrer на странице cardtocard с ссылкой на эту публикацию
Да, в ТКС я сообщил об этом фишинговом сайте.
По телефону у меня всю информацию под диктовку приняли и оформили в своей системе.
Из контактных данных взяли только адрес почты.
Номер обращения или что-то подобное не сообщали.
С Тиньковым собственно у моего знакомого не было инцидента). Инцидент был с другим банком. А Банк Тинькова уже позже на втором сайте засветился. Поэтому я их предупредил о мошенническом сайте, а формального повода что-то от них просить у меня нет.
По телефону у меня всю информацию под диктовку приняли и оформили в своей системе.
Из контактных данных взяли только адрес почты.
Номер обращения или что-то подобное не сообщали.
С Тиньковым собственно у моего знакомого не было инцидента). Инцидент был с другим банком. А Банк Тинькова уже позже на втором сайте засветился. Поэтому я их предупредил о мошенническом сайте, а формального повода что-то от них просить у меня нет.
1. Заявление в банк о мошенническом платеже надо писать не позже, чем в течении суток с момента списания. В этом случае банк должен вернуть вам деньги.
2. Не все сайты спрашивают 3D-Secure. Более того, для списания денег не надо знать ни CVV (CVC), на фамилию-имя. И это никакой не эксплойт, это принцип работы платежной системы.
3. При переводе денег следует проверять, что страница работает через HTTPS.
4. Платежные системы отслеживают количество мошеннических платежей в отчетный период (и общую сумму таких платежей). Как только у банка сумма мошеннических платежей превышает определенный порог, банк попадает на обалдеть какой крупный штраф. После этого, я вас уверяю, собственная служба безопасности банка сама найдет и «накажет» владельца этих сайтов. Так что пишите заявления о мошенническом платеже «чардж бэк» в банк по каждому факту списания. Пишите их сразу, как обнаружите. Не на следующий день, не в выходные, не после отпуска, а сразу (если конечно хотите вернуть свои деньги).
5. И на последок: да, для оплаты в интернете лучше держать отдельную карту, деньги на которую переводить непосредственно перед покупкой. Сейчас многие банки предлагают выпустить виртуальную карту, дополнительную к основной или что-то похожее.
2. Не все сайты спрашивают 3D-Secure. Более того, для списания денег не надо знать ни CVV (CVC), на фамилию-имя. И это никакой не эксплойт, это принцип работы платежной системы.
3. При переводе денег следует проверять, что страница работает через HTTPS.
4. Платежные системы отслеживают количество мошеннических платежей в отчетный период (и общую сумму таких платежей). Как только у банка сумма мошеннических платежей превышает определенный порог, банк попадает на обалдеть какой крупный штраф. После этого, я вас уверяю, собственная служба безопасности банка сама найдет и «накажет» владельца этих сайтов. Так что пишите заявления о мошенническом платеже «чардж бэк» в банк по каждому факту списания. Пишите их сразу, как обнаружите. Не на следующий день, не в выходные, не после отпуска, а сразу (если конечно хотите вернуть свои деньги).
5. И на последок: да, для оплаты в интернете лучше держать отдельную карту, деньги на которую переводить непосредственно перед покупкой. Сейчас многие банки предлагают выпустить виртуальную карту, дополнительную к основной или что-то похожее.
1. Не списания, а уведомления Вас банком о транзакции.
Если Банк лопухнулся и договоренным способом предупредил вас не своевременно, а только через год — то у вас есть сутки с момента оповещения.
Минус — банки эту дыру знают, и в стандартный договор прописывают, что клиент обязан ежесуточно запрашивать выписку через интернет-банк и все такое.
Если Банк лопухнулся и договоренным способом предупредил вас не своевременно, а только через год — то у вас есть сутки с момента оповещения.
Минус — банки эту дыру знают, и в стандартный договор прописывают, что клиент обязан ежесуточно запрашивать выписку через интернет-банк и все такое.
Да вы охуеть какой эксперт :)))
По пунктам даже лень идти.
Владелец мерчант аккаунта.
По пунктам даже лень идти.
Владелец мерчант аккаунта.
И всё-таки сделайте усилие над собой — если есть что сказать.
Ну окей.
1) Это полная чушь.
2) Это зависит от мерчанта. Например американские мерчанты в зависимости от настроек, могут взбрыкнуть на неправильный зип код или даже адрес (да, адрес тоже в авторизации учавствует).
3) По барабану.
4) На штрафы попадает не банк, а мерчант аккаунт. В его же интересах и противодействовать фроду. С меня, например за любой чаржбек лупили сверху $40, что никак не подпадает под «обалдеть какой крупный штраф», как сказал автор выше.
Заявлять о чаржбеках, вовсе не обязательно в тот же день итп. Там срок чуть ли не полгода.
5) Ну может быть и лучше, но я предпочитаю устанавливать лимит по текущей карте и не ломать голову. Перед большим снятием или покупкой прямо с телефона увеличиваю лимит и все окей.
1) Это полная чушь.
2) Это зависит от мерчанта. Например американские мерчанты в зависимости от настроек, могут взбрыкнуть на неправильный зип код или даже адрес (да, адрес тоже в авторизации учавствует).
3) По барабану.
4) На штрафы попадает не банк, а мерчант аккаунт. В его же интересах и противодействовать фроду. С меня, например за любой чаржбек лупили сверху $40, что никак не подпадает под «обалдеть какой крупный штраф», как сказал автор выше.
Заявлять о чаржбеках, вовсе не обязательно в тот же день итп. Там срок чуть ли не полгода.
5) Ну может быть и лучше, но я предпочитаю устанавливать лимит по текущей карте и не ломать голову. Перед большим снятием или покупкой прямо с телефона увеличиваю лимит и все окей.
Насколько я понимаю ситуацию — когда деньги уходят продавцу — там да — есть куча времени для того чтобы опротестовать операцию. Но если перевод был с карты на карту — я бы рекомендовал поторопится ибо вернуть деньги будет можно если они ещё есть на карте мошенника.
Ну и насчёт https — я бы рекомендовал бы всё же обращать на это внимание — иначе перехватят данные карты и оплатят яндекс-директ мошеннику. Деньги то вы в итоги вернёте — но зачем решать проблемы если можно их просто не создавать.
Ну и насчёт https — я бы рекомендовал бы всё же обращать на это внимание — иначе перехватят данные карты и оплатят яндекс-директ мошеннику. Деньги то вы в итоги вернёте — но зачем решать проблемы если можно их просто не создавать.
Скрипт на сайте сам лезет на страничку cardtocard, скачивает оттуда страничку оплаты, чуть рихтует, ставит свои адреса и показывает клиенту. После этого обрабатывает ввод клиента и сам генерирует новый запрос в cardtocard. Для cardtocard сервиса все выглядит так, что клиентом является виртуалка на FirstVDS. Клиент-жертва никак не засвечивается.
Это как посылать взрослого дядьку в магазин за сигаретами/пивом, когда вам ещё по возрасту не дают. Если дядька сам не скажет, продавец никогда не узнает, что заказчиком были вы.
Посредничество — это логическая дыра, которую не закрыть никак, кроме как СМС и одноразовыми паролями.
Это как посылать взрослого дядьку в магазин за сигаретами/пивом, когда вам ещё по возрасту не дают. Если дядька сам не скажет, продавец никогда не узнает, что заказчиком были вы.
Посредничество — это логическая дыра, которую не закрыть никак, кроме как СМС и одноразовыми паролями.
Какие бурные обсуждения тонкой рекламы безопасного браузера яндыкса, аж слеза выступает.
насчет браузера яндекса не знаю, а вот строка одного от одного антивируса в скриншоте имеется. сайт avia-scanners.ru сейчас открывается спокойно
а aviapromo.eu?
_avia-scanners.ru_ заблокировал хостинг провейдер firstVDS по моему заявлению. Ночью я им написал. В середине дня «Отдел по борьбе с нелегальной активностью пользователей FirstVDS» отключил соответствующий аккаунт на хостинге. Еще в FirstVDS писал про _aviasalle.com_. Но его не заблокировали. А сам сайт оперативно отключил функционал для мошеннических действий.
Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг другой). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.
Про _avia-scanners.ru_ я заявления провайдеру не писал (хостинг другой). Этот сайт оставил для того, чтобы читатели публикации смогли его препарировать и разобрать. Сейчас этот сайт уже не работает.
в «последнем» сайте в разделе контакты, домен сайта, не совпадает с «mailto» http://aviasalle.com/%22mailto:krukov@pilotavia.com/%22
> Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure (без подтверждения через SMS)
Есть протокол токенизированных платежей. Сначала при первой оплате создается токен (с 3ds-запросом и кодом из смс), далее все последующие оплаты делаются через токен. При последующих списаниях окно 3ds-а не показывается.
Есть протокол токенизированных платежей. Сначала при первой оплате создается токен (с 3ds-запросом и кодом из смс), далее все последующие оплаты делаются через токен. При последующих списаниях окно 3ds-а не показывается.
Всем привет! Появился вопрос — а сайты-генераторы (вроде скайсканера) могут показывать сайты мошенников? Или все же они их не захватывают
Если оставить в стороне чисто технические вопросы реализации, в сухом остатке остаётся главный вывод — паранойя в денежных вопросах никогда не повредит. Нужно принять за аксиому потенциальную небезопасность любых денежных операций. Особенно через интернет. Независимо от уверений банков, что это абсолютно безопасно. Учитывая потенциальный риск, этот риск необходимо ограничить. Для оплаты через интернет использовать карту, на которой нет суммы больше, чем необходимо для оплаты суммы заказа в данный конкретный момент. В идеале вообще лучше иметь отдельную карту для таких операций, потому как если вы думаете, что за вами не следят, далеко не факт, что это так.
Да это поможет, но только частично.
Если Вам нужно оплатить за билеты 5900р+5900р, то ровно столько Вы положите на карту и столько оплатите. А, в случаях с мошенническими действиями, куда пошла оплата, сразу можно даже не понять. Потерпевший, к примеру, в первом заявлении в Сбербанк указал, что у него украли 17700р+17700р и пытались еще украсть 10800р. При этом человек был уверен, что хоть билеты у него в кармане. Когда выяснилось, что и билетов нет, пришлось писать идти в Сбербанк и писать еще одно заявление.
Если Вам нужно оплатить за билеты 5900р+5900р, то ровно столько Вы положите на карту и столько оплатите. А, в случаях с мошенническими действиями, куда пошла оплата, сразу можно даже не понять. Потерпевший, к примеру, в первом заявлении в Сбербанк указал, что у него украли 17700р+17700р и пытались еще украсть 10800р. При этом человек был уверен, что хоть билеты у него в кармане. Когда выяснилось, что и билетов нет, пришлось писать идти в Сбербанк и писать еще одно заявление.
Приходите в банк и пишете заявление. Это называется чарджбэк. Если транзакция была проведена без 3дсекур, то вроде как все уважаемые банки перекладывают ответственность в этом случае на мерчанта (т.е. мерчант должен доказать факт предоставления услуги) иначе деньги возвращаются клиенту.
P.S. Где же спецы с payonline (которы заспамили рекламными постами тут) когда они так нужны.
P.S. Где же спецы с payonline (которы заспамили рекламными постами тут) когда они так нужны.
В статье речь идёт про перевод с карты на карту, который замаскирован под оплату в магазине. Вопрос на засыпку. Относятся ли правила относительно мерчантов и 3d secure к переводу с карты на карту?
Не поможет, особенно со Сбербанком. Где можно оплатить без 3d secure? Да на одноклассниках.ру! Платежный сервис там от mail.ru. Кроме того карта запоминается сразу же! и может кроме всего прочего участвовать как в регулярных платежах так и в последующем без какого либо ввода карты, привязанной к аккаунту ОК. Так вот. У жены взломали акк ОК, и увели деньги, благо не много. майл.ру послал лесом, ОК сказали читайте соглашение, послали туда же, Сбербанк слушать особо не стал, через угрозы что зарегить заявление они обязаны в любом случае, даже если не могут выполнить — зарегили, но отправили в полицию. Итог — денег не вернул никто и возвращать никто не собирается. Так что наивно верить в банк что он там если нет 3дсекур — банк обязан… никому он ничего не обязан!
Ввиду данной проблемы давно завел себе «помойную» карту, и перевожу на неё требуемую сумму перед оплатой.
А насчет 3D бесит еще другая «мулька», это когда ты первый раз оплатил подписку чего-то, а через время с тебя автоматом сдергивают продление, причем у некоторых сервисов нет толком кнопки Отписаться, надо её где-то искать очень глубоко в меню или через поддержку, но денежка уже ушла и вы увидели СМСку.
Опсосы тоже этим пользуются, хотя у них хоть пишут «Автоплатеж», хотя многие не смотрят остаток. У меня была абонентка 300 руб, а на счете уже 350 лежало, но нефига, пришло сообщение что с карты переведено 300 руб и на счете уже 650… отрубил потом, лучше сам в ручную переведу.
А насчет 3D бесит еще другая «мулька», это когда ты первый раз оплатил подписку чего-то, а через время с тебя автоматом сдергивают продление, причем у некоторых сервисов нет толком кнопки Отписаться, надо её где-то искать очень глубоко в меню или через поддержку, но денежка уже ушла и вы увидели СМСку.
Опсосы тоже этим пользуются, хотя у них хоть пишут «Автоплатеж», хотя многие не смотрят остаток. У меня была абонентка 300 руб, а на счете уже 350 лежало, но нефига, пришло сообщение что с карты переведено 300 руб и на счете уже 650… отрубил потом, лучше сам в ручную переведу.
>>После всей этой истории было написано заявление в полицию (на рассмотрении), в сбербанк (на рассмотрении), в Яндекс, хостинг-провайдеру и др.
А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
Так там банк получателя — НКО Яндекс Денег. Такие карты оформленные на всяких алкоголиков и не очень умных граждан жаждущих работы продаются по пару тысяч рублей за штуку. Впрочем, продают все, даже ТКС, просто он дороже, а из дешевых Яндекс Деньги и Сбер.
у ЯД вроде же там лимиты по средствам, и при таких суммах мошенечества = идентификация, т.е. реальный владелец должен быть известен.
Реальный владелец ≠ мошенник. Вот, что бы понятнее было.
понял, спасибо
>А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.
В Яндекс я писал разные письма. Но письма про то, что получатель украденных средств выводил их на карты, выпущенные банком Яндекса, я не писал. На момент переписки я Яндексом у меня не было такой информации. Её я обнаружил позже. Сейчас уже не знаю, нужно ли в Яндекс писать, или они уже прочитали статью и в курсе.
В выписке Сбербанка номеров карт получателей нет. Когда отправляешь через их личный кабинет, то они присылают подробные смс со всей информацией, включая реквизиты получателя. А когда через посредников шлешь, то информации в смс минимальное количество. В подтверждающих смс может быть даже больше информации, чем доступно на сайте. В сбербанке в личном кабинете есть просто выписка с минимальным количеством информации. В этой выписке есть короткое обозначение расходной или приходной операции. А есть еще полная банковская выписка, в которой нет даже названий контрагентов и назначений платежа. Есть только номера счетов (по большей части внутренние номера счетов сбербанка).
В Яндекс я писал разные письма. Но письма про то, что получатель украденных средств выводил их на карты, выпущенные банком Яндекса, я не писал. На момент переписки я Яндексом у меня не было такой информации. Её я обнаружил позже. Сейчас уже не знаю, нужно ли в Яндекс писать, или они уже прочитали статью и в курсе.
В выписке Сбербанка номеров карт получателей нет. Когда отправляешь через их личный кабинет, то они присылают подробные смс со всей информацией, включая реквизиты получателя. А когда через посредников шлешь, то информации в смс минимальное количество. В подтверждающих смс может быть даже больше информации, чем доступно на сайте. В сбербанке в личном кабинете есть просто выписка с минимальным количеством информации. В этой выписке есть короткое обозначение расходной или приходной операции. А есть еще полная банковская выписка, в которой нет даже названий контрагентов и назначений платежа. Есть только номера счетов (по большей части внутренние номера счетов сбербанка).
А банк получателя средств ставили в известность? В выписке наверное и частично реквизиты карты получателя указаны.27.09.16 я дополнительно написал в Яндекс с указанием пяти обнаруженных номеров банковских карт, на которые выводились украденные средства. Сослался на предыдущую переписку и эту статью.
Вот ответ Яндекса:
Спасибо за Ваше письмо. Необходимые меры по данным картам были приняты.
Мы также будем благодарны Вам за информацию о любых подобных письмах и случаях мошенничества.
Спасибо за запрос.
EU домен требует чтобы владелец домена был резидентом Евросоюза и некоторые регистраторы требуют предоставить скан документов. Так что есть шанс найти владельца домена через интерпол.
1 данные раельной карты ввожу только в форму на сайте банка, предварительно глянув в ssl сертификат. Либо на сайте известной платежной системы, тоже рповерив сертификат.
2 Если очень надо ввести данные карты непонятно в какую форму, то открваю виртуальную карту на нужную сумму — хотябы больше не спишут.
3 Ну и выберу лучше сайт авиакомпании или проверенного перепродавца, пусть на 10-20% дороже чем непонятный сервис.
2 Если очень надо ввести данные карты непонятно в какую форму, то открваю виртуальную карту на нужную сумму — хотябы больше не спишут.
3 Ну и выберу лучше сайт авиакомпании или проверенного перепродавца, пусть на 10-20% дороже чем непонятный сервис.
Сбербанк тоже всегда перекидывает на страницу, требующую подтверждения кодом СМС при оплате через интернет. Но как оказалось, что это подтверждение требуется не всегда.
Ваш банк, по Вашим словам, всегда требует сразу два кода. Но Вы точно это знаете? Может быть в аналогичной ситуации банк не запросил бы ни одного кода. Пока не попробуете, не узнаете.
Два кода тоже могут не помочь, если Вас обманут. Вас также перекинут на страницу оплаты, где Вы введете столько кодов, сколько нужно, если не заметите подвох.
Ваш банк, по Вашим словам, всегда требует сразу два кода. Но Вы точно это знаете? Может быть в аналогичной ситуации банк не запросил бы ни одного кода. Пока не попробуете, не узнаете.
Два кода тоже могут не помочь, если Вас обманут. Вас также перекинут на страницу оплаты, где Вы введете столько кодов, сколько нужно, если не заметите подвох.
Это называется 3d-secure и внимание, инициируется магазином, т.е. принимающим деньги.
И самое главное, повторно магазин может не запрашивать эти данные у вашего банка. Пример ozon (и куча других) если вы сохраняете карту в интерфейсе (бывает она сохраняется автоматически, как у ozon но ее можно удалить, правда только при новом заказе, это решение мне сказали в саппорте), первая оплата проходит с sms-подтверждением, все остальные — нет.
Мое имхо, это не защита а видимость, банк сам должен мне прислать sms о запросе средств (кто, сколько и другие подробности) и пока я не пришлю подтверждения… но это неосуществимые мечты, как я понимаю, идеологически, в алгоритме снятия с карты (в тех же ATM на кассах) нет паузы, в течении которой можно реализовать такое подтверждение.
И самое главное, повторно магазин может не запрашивать эти данные у вашего банка. Пример ozon (и куча других) если вы сохраняете карту в интерфейсе (бывает она сохраняется автоматически, как у ozon но ее можно удалить, правда только при новом заказе, это решение мне сказали в саппорте), первая оплата проходит с sms-подтверждением, все остальные — нет.
Мое имхо, это не защита а видимость, банк сам должен мне прислать sms о запросе средств (кто, сколько и другие подробности) и пока я не пришлю подтверждения… но это неосуществимые мечты, как я понимаю, идеологически, в алгоритме снятия с карты (в тех же ATM на кассах) нет паузы, в течении которой можно реализовать такое подтверждение.
У украинского привата, например, помимо 3d-secure еще и своя проверка на все непериодические платежи. Выглядит это так — при любой оплате меня перекидывает на страницу привата где я должен подтвердить оплату. Причем от настроек мерчанта не зависит совершенно(проверял, имеется биллинг для которого настраивал оплату через различные системы, в том числе и напрямую через банк. На время тестов 3d-secure был отключен, но проверка привата все равно была.)
На AliExpress тоже требует код ввести? Что за банк такой?
Ну так деньги назад вернули или нет? Если нет, прошу отписаться потом по результатам — очень интересно насколько реально оспорить транзакцию.
Пока неизвестно. Сбербанк написал, что рассмотрение заявления производится в срок до 15 дней (видно на заглавном скриншоте с смс). Срок пока не прошел. Ждем. Результат отпишу.
«Написали, что срок рассмотрения продлили дополнительно на 30 дней. Деньги на данный момент не вернулись.»
Ну жду тогда результата через 30 дней. Хотя и так его предвижу…
Ну жду тогда результата через 30 дней. Хотя и так его предвижу…
Ну жду тогда результата через 30 дней. Хотя и так его предвижу…Результат оказался неожиданным.
Деньги, которые были списаны за Яндекс.Директ, вернулись 12.10.2016 (17700р+17700р). Возврат произошел через 22 дня с момента подачи заявления в банк.
Деньги, которые ушли на чью-то карту ~5900р+5900р+комиссия на данный момент не вернулись.
Дописал это в публикации. Там же есть скриншот с подтверждением.
Готовится продолжение этой статьи. Скорее всего будет опубликовано на следующей неделе. Будет интересно.
xbox сделайте в этой статье апдейт со ссылкой на новую потом
не хотелось бы пропустить
не хотелось бы пропустить
Все транзакции без 3Dsecure и карты — cnp-платежи, которые оспариваются в пол-пинка. Если банк козлит — писать в визу. Как в визу писать не знаю, в мастеркард:
https://www.mastercard.ru/ru-ru/consumer/support/emergency-services.html
https://www.mastercard.ru/ru-ru/consumer/support/emergency-services.html
Это вроде консьерж-сервис, а всё общение с МПС у нас идёт через банк. Зато прямо в законе о НПС прописана обязанность банков возвращать деньги при сообщении в течении суток.
Тут конечно все зависит от того, кто это будет расследовать. Если обычные следователи, то их уровень знаний в компьютерной тематике, вероятно, недостаточный, чтобы кого-то найти. Если расследованием подобных дел занимаются высококвалифицированные специалисты, обладающие определенными полномочиями, то конечно все это можно распутать или по крайней мере сделать так, чтобы ситуация не повторялась. Если на помощь правоохранителям придут специалисты крупных банков, специалисты Яндекса, представители хостинг-провайдеров итп, то я думаю есть все шансы вычислить всех мошенников. Службы безопасности крупных банков иногда сами вскрывают мошеннические схемы. Другое дело, что нужно, чтобы все из списка выше, захотели заняться поиском мошенников.
Вот ответ службы поддержки Яндекса на заявление о мошеннических операциях с использованием их сервисов. Ответ был получен пять дней назад. 21/09/2016
Яндекс пишет, что деньги потрачены. Но, я надеюсь, что итоговое слово, вернут сумму или нет, за Сбербанком.
И совет Яндекс правильный дает по поводу выбора подразделения. Какое подразделение полиции в конечном итоге будет вести расследование, я не знаю. Заявитель готов содействовать расследованию, но если всякая бумажная переписка и поездки по различным подразделениям затянется на месяцы, то неизвестно до какого момента он будет готов этим заниматься.
Вот ответ службы поддержки Яндекса на заявление о мошеннических операциях с использованием их сервисов. Ответ был получен пять дней назад. 21/09/2016
Здравствуйте.
По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось.
При обращении в полицию не забудьте, пожалуйста, рекомендовать лицу, принимавшему у Вас заявление, обратиться для разрешения вопросов, связанных с Вашим заявлением, в подразделения, расследующие преступления в сфере высоких информационных технологий (в России — подразделения Специальных Технических Мероприятий).
В заявлении необходимо максимально точно указать всю имеющуюся у Вас информацию: обстоятельства обмана, номера телефонов и так далее. Также обязательно приложите к заявлению копии квитанций на зачисление денежных средств. Оригиналы этих квитанций могут понадобиться нам, если нам удастся найти Ваши деньги.
Всю имеющуюся у нас информацию, касающуюся данного инцидента, мы предоставим правоохранительным органам по их запросу.
Спасибо за запрос
Яндекс пишет, что деньги потрачены. Но, я надеюсь, что итоговое слово, вернут сумму или нет, за Сбербанком.
И совет Яндекс правильный дает по поводу выбора подразделения. Какое подразделение полиции в конечном итоге будет вести расследование, я не знаю. Заявитель готов содействовать расследованию, но если всякая бумажная переписка и поездки по различным подразделениям затянется на месяцы, то неизвестно до какого момента он будет готов этим заниматься.
Смотрите: мошенник покупает карту оформленную на левого бомжа и принимает на нее платежи. Допустим мы получили данные бомжа и приняли его. Возможно он знает человека, который занимается продажей таких карт (хотя это далеко не факт). Можно даже принять продавца карт, но далеко не факт, что мошенник покупал у него эти карты со своего реального кошелька, а не через биткойн\кошелек, оформленный на левый скан.
Судя по размаху схемы там все должно быть организовано на приличном уровне, поэтому шансы поймать мошенника по данным карт\whois и другой подобной информации минимальны. Но, возможно, мошенник мог расслабиться и спалиться на чем-то другом: например, оплатить хостинг со своей карты или зайти со своего реального IP на сервер. Если и копать, то в эту сторону.
Судя по размаху схемы там все должно быть организовано на приличном уровне, поэтому шансы поймать мошенника по данным карт\whois и другой подобной информации минимальны. Но, возможно, мошенник мог расслабиться и спалиться на чем-то другом: например, оплатить хостинг со своей карты или зайти со своего реального IP на сервер. Если и копать, то в эту сторону.
Это работает только в случае если мошенники совсем упоротые и долго пользуются одной и той же картой к тому же оформленной НА СВОЁ реальное имя. Такое, наверно, бывает только в фильмах.
В реальности же — они меняют карты так часто что когда выходят на их след — их уже не поймать. Или карта оформлена на бомжа. А те и рады отсидеть на казённых харчах за мошенничество, даже если их найдут. Или даже не на бомжа а на реального человека, только по поддельному паспорту.
Поймать, наверно, можно будет только если в полиции мгновенно получат информацию о совершенной операции снятия денег с банкомата и совершенно случайно рядом проезжал патруль, который мгновенно получил бы эту информацию.
В реальности же — они меняют карты так часто что когда выходят на их след — их уже не поймать. Или карта оформлена на бомжа. А те и рады отсидеть на казённых харчах за мошенничество, даже если их найдут. Или даже не на бомжа а на реального человека, только по поддельному паспорту.
Поймать, наверно, можно будет только если в полиции мгновенно получат информацию о совершенной операции снятия денег с банкомата и совершенно случайно рядом проезжал патруль, который мгновенно получил бы эту информацию.
Лишний повод всегда проверять содержание SMS'ки с паролем. И банкам типа сбера пора уже стать ближе к людям и писать не P2P, а «Перевод на карту N банка 5232 2222....». Попробуйте выписку по карте в сбере посмотреть — одни аббревиатуры. Самое лучшее, увидишь что-то типа AVG34BH-PEREKRESTOK-324356552354.
Может они от МПС такую куцую информацию получают?
Меня вот выводит, что в некоторых банках даже обычные транзакции со счета на счет в выписке идут без деталей (ни назначения, ни отправителя, ни номера счета, ни БИК).
Меня вот выводит, что в некоторых банках даже обычные транзакции со счета на счет в выписке идут без деталей (ни назначения, ни отправителя, ни номера счета, ни БИК).
В чём-то лучше, в чём-то хуже. Выписки всё же понятные в Сбере, хоть и не всю информацию показывают.
Позабавили смски от Росбанка: Пароль 123456 для подтверждения операции на сумму 100 рублей. И потом смска: Изменение -100 рублей Остаток 200 рублей Доступно 1200 рублей. И гадай потом что это было.
Позабавили смски от Росбанка: Пароль 123456 для подтверждения операции на сумму 100 рублей. И потом смска: Изменение -100 рублей Остаток 200 рублей Доступно 1200 рублей. И гадай потом что это было.
Вот еще похожие сайты (и еще не заблокированные):
_flying-avia.ru_
_scanner-ticket.ru_
_scanner-aero.ru_
_flying-avia.ru_
_scanner-ticket.ru_
_scanner-aero.ru_
Спасибо за сайты, я их проверил по ОГРН и оценил в Web Of Trust (WOT) как мошеннические. Пожалуй, мы все можем их заминусить на WOT, чтобы хоть как-то обезопасить людей.
Вот еще похожие сайты (и еще не заблокированные):
_flying-avia.ru_
_scanner-ticket.ru_
_scanner-aero.ru_
Спасибо за добавление. Включил упоминание и разбор этих сайтов в публикацию после подписи UDP2.
Сайты уже заблокированы хостером.
3d secure не обязательно, более того даже CVV2 не обязателен (не вводил когда платил на Амазон или оплачивал в apple сертификат разработчика.
Первое, что должно было насторожить (точнее, стать стоп-сигналом), — это расположение страницы оплаты на сайте самого получателя. Вводить данные платёжной карты, пусть даже бросовой, можно только на сайте сторонней организации — эквайера. Никакие фреймы и подгрузки страниц [якобы] со сторонних сайтов не допустимы.
На днях платил за LinguaLeo — они именно показывают форму на своем сайте.
Не меньше насторожил аттрибут формы «data-cloudpayment-fake-form»
Для безопасности перевел деньги на неиспользуемую карту и заплатил ей.
Не меньше насторожил аттрибут формы «data-cloudpayment-fake-form»
Для безопасности перевел деньги на неиспользуемую карту и заплатил ей.
Скриншот
Достаточно большое число компаний размещает платёжные формы на своём сайте. Например, на сайте Аэрофлота платёж проводится по адресу https://pay.aeroflot.ru/
Достаточно большое число компаний размещает платёжные формы на своём сайте.
И это не правильно. Максимум, что должен брать на себя сайт продавца — это первичное перенаправление клиента на сайт той или иной платёжной системы, если их у продавца поддерживается несколько. Ещё куда ни шло, если на сайте продавца расположены только поля для ввода, а обработчиком формы указан сайт эквайера, — но это всё равно вариант на грани фола, потому что, даже если вы доверяете этому сайту (например, это сайт вашего интернет-провайдера), защищён от взлома он наверняка хуже, чем сайт платёжной системы, и вы не можете быть уверены, что где-то там не подгрузился скрипт, отправляющий введённые данные заодно и на сервер мошенников.
Рубрика «Их нравы»
Надо мне было купить текст стандарта в одной международной организации (не ISO). Так у них не то что стороннего эквайринга нет — данные банковской карты покупателя, прямо вместе с CVV2, пересылаются по электронной почте и/или по факсу, и сотрудник той организации в ручном режиме снимает деньги, параллельно консультируясь с покупателем при возникновении каких-либо проблем, например если установлен лимит на сумму транзакции. Край непуганых буржуев, ей богу.
Несколько лет назад для покупки/продления программы разработчика под устройства Apple надо было им либо факс посылать либо заполненную (в PDF) форму (вроде с подписью). Они ее обработают а потом уже включат. Поддержка Альфа-банка при таких транзакциях сразу звонила с вопросом вида «Это вы сейчас пробуете купить» и одобряли транзакцию только после подтверждения что да, все нормально.
Сейчас все конечно сделано через сайт. Их собственный разумеется, без всяких перенаправлений.
Сейчас все конечно сделано через сайт. Их собственный разумеется, без всяких перенаправлений.
Букинг.ком вот тоже пересылает данные карточек в отели :(
Мвахаха.
А бывают — что по https не пашут — и форма — только их собственная…
А бывают — что по https не пашут — и форма — только их собственная…
Технология 3D Secure существует, но никто не спешит ее внедрять. Вот если бы банки обязали пользоваться технологией, было б намного безопасней для держателей карт, но тогда не будут возможны автоматические списывания на многих сервисах.
У меня была история со взломом моего PSN аккаунта и покупкой игр, с помощью привязанной к ней карты. Я доставал звонками и письмами службу поддержки более полугода, будучи уверенным, что не возможно совершить платеж, не зная ccv2/cvc2 карты, который по Соглашению не хранится на серварах PS. Именно на это я и опирался в своих рассуждениях, пока очередной разговор с оператором-юристом Сбербанка не открыл мне глаза — сервису достаточно знать номер карты, остальное дело порядочности и заинтересованности получателя средств. Возврат средств одобрил головной офис PS в Лондоне, но скорее в качестве исключения
У меня была история со взломом моего PSN аккаунта и покупкой игр, с помощью привязанной к ней карты. Я доставал звонками и письмами службу поддержки более полугода, будучи уверенным, что не возможно совершить платеж, не зная ccv2/cvc2 карты, который по Соглашению не хранится на серварах PS. Именно на это я и опирался в своих рассуждениях, пока очередной разговор с оператором-юристом Сбербанка не открыл мне глаза — сервису достаточно знать номер карты, остальное дело порядочности и заинтересованности получателя средств. Возврат средств одобрил головной офис PS в Лондоне, но скорее в качестве исключения
Вам очень повезло на самом деле. Выбить что-то у Сони в плане финансов — это очень сложная и нетривиальная задача. Могут пойди на уступки и дать скидку. Могут пойти на уступки и дать какую-то игру, если сильно провинились. А вот вернуть денег — только через главный офис. И очень-очень-очень редко, когда они возращают средства.
Виза, как написано в её правилах возвращает все деньги, если о мошенничестве заявлено сразу (в течении 24 ч), и со сниманием штрафа, если позже. Совсем деньги пропадают, если заявить более чем через месяц.
Не в тему мошенничества, но к вопросу о переводах на карту — меня озадачивает такой факт, что p2p перевод вообще как услуга есть у многих (если не у большинства) у всех банков, при этом бесплатный.
Как я понимаю — осуществляя такой перевод в качестве оплаты за что-либо, на самом деле я просто добровольно делаю подарок, и получатель, несмотря на то, что он деньги по факту получил, мне ничем не обязан. Для правильного платежа (с указанием назначения платежа) необходимо оформление платежного поручения (причем за комиссию, я согласен), но вот этого для физ.лиц (в электронном виде через личный кабинет) в 98% банков нет.
Как я понимаю — осуществляя такой перевод в качестве оплаты за что-либо, на самом деле я просто добровольно делаю подарок, и получатель, несмотря на то, что он деньги по факту получил, мне ничем не обязан. Для правильного платежа (с указанием назначения платежа) необходимо оформление платежного поручения (причем за комиссию, я согласен), но вот этого для физ.лиц (в электронном виде через личный кабинет) в 98% банков нет.
может, меня поправят, но, насколько я знаю, в России физлица вообще не могут принимать коммерческие платежи (платежи за какие-то услуги) от других физлиц. Для этого получатель должен быть оформлен как ИП.
P2P переводы нужны больше для кейсов типа «ты вчера за меня в кафе заплатил, а я тебе сегодня возвращаю на карту». Понятное дело, что у нас эту технологию приспособили, чтобы получать платежи и не платить налоги, но это незаконно.
P2P переводы нужны больше для кейсов типа «ты вчера за меня в кафе заплатил, а я тебе сегодня возвращаю на карту». Понятное дело, что у нас эту технологию приспособили, чтобы получать платежи и не платить налоги, но это незаконно.
Ну почему, вы же можете мне продать например фотоаппарат, велосипед или а/м. ИП или юрлицо нужно, если осуществляется постояннная (регулярная) деятельность
ИМХО, главной дыркой здесь является тот факт, что Тинькофф предоставляет такое апи для платежей. Т.е. покупаешь SSL-сертификат (хотя мошенники даже не заморачиваются этим вопросом на ряде сайтов), делаешь форму, похожую на чей-то платежный гейт, настраиваешься на работу с API тинькофф. И вуаля — греби деньжата. По идее все платежи должны делаться исключительно в рамках сайта платежного гейта. Если требуется стилизация под нужды клиента (чтобы, например, выглядело консистентно с основным сайтом), то она производится на стороне поставщика услуги гейта.
Да, я кстати очень удивился, что запрос на _https://www.tinkoff.ru/api/v1/payment_commission/ возвращается с заголовками
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, HEAD
Access-Control-Allow-Origin: *
Вы забываете, что для доступа к API нужно будет договор от юр.лица заключить, а это намного геморройней, чем просто кастомизировать напильником P2P форму.
Главной дыркой, как всегда, является невнимательность людей, когда они (не)видят на 3DSecure форме название не мерчанта, а какой-нибудь Tinkoff P2P.
Главной дыркой, как всегда, является невнимательность людей, когда они (не)видят на 3DSecure форме название не мерчанта, а какой-нибудь Tinkoff P2P.
Мошенники используют API для P2P. Вы хотите сказать, что они таки заключили договор от юр.лица?
P.S. А уж различать, что там будет за название, это нужно прям разбираться. Я вот, например, до сегодняшнего дня даже и не знал, что P2P в данном случае означает передачу денег с одной карты на другую. Когда уезжал из России, такой сервис еще не был распространён. А там, где я сейчас живу, он по-моему отсутствует как класс.
P.S. А уж различать, что там будет за название, это нужно прям разбираться. Я вот, например, до сегодняшнего дня даже и не знал, что P2P в данном случае означает передачу денег с одной карты на другую. Когда уезжал из России, такой сервис еще не был распространён. А там, где я сейчас живу, он по-моему отсутствует как класс.
Я хочу сказать, что они не используют API. Они расковыряли готовый P2P сервис банка и встроили на свою страницу, при этом скрывают вторую карту, в пользу которой списываются деньги.
Я просто предположил, что Вы в теме, поэтому написал, что для использования API данной услуги с банком нужен будет договор.
Я просто предположил, что Вы в теме, поэтому написал, что для использования API данной услуги с банком нужен будет договор.
Я ж изначально и написал, что дырка начинается с банка Тинькофф, который такое позволяет. А уж какое это API (публичное или внутреннее) — дело вторичное. Как выше написал Yngvie «Access-Control-Allow-Origin: *» — вот дырка.
Я бы не называл это прям дыркой, ведь попали многие, не только Тинькофф. При определенных действиях мошенников, странице для переводов трудно отличить человека от робота, который чужие данные вставляет.
Мое мнение — дырка начинается с того, что Яндекс.Директ аппрувит такие вот рекламные кампании всяких несуществующих ООО'шек. Но и их понять по идее можно, всю жизнь сегмент продажи авиабилетов считался наименее рисковым, МПС'ы даже пониженные ставки на эквайринг дают таким мерчантам, т.к. фрода нет почти. Нужна более глубокая модерация рекламодателей.
Мое мнение — дырка начинается с того, что Яндекс.Директ аппрувит такие вот рекламные кампании всяких несуществующих ООО'шек. Но и их понять по идее можно, всю жизнь сегмент продажи авиабилетов считался наименее рисковым, МПС'ы даже пониженные ставки на эквайринг дают таким мерчантам, т.к. фрода нет почти. Нужна более глубокая модерация рекламодателей.
Был заинтригован тем, что: 84 минуты на прочтение
скрин
Вот так можете ещё сайты подобные найти: google: "© 2008-2016 ООО" «моя бронь»
Ещё один нашёлся утром, на момент написания работал: _scaner-avia.ru_
http://scaner-avia.ru/ хе пояндексил и нашел сайт с таким же функционалом и дизайном, ни ИНН ни ОГРН не пробивается
«Я ни разу не сталкивался с ситуацией, чтобы Сбербанк в интернете позволял что-то оплатить без проверки 3D Secure» — это не значит, что такого не бывает. есть куча законных примеров.
Самый главный признак таких «левых» сайтов — отсутствие номера телефона! Он нужен всегда, вы должны быть уверены, что при любой ситуации Вам есть куда обращаться.
А что мешает разместить левый номер? Вы ведь не будете звонить при оформлении заказа. А потом уже будет поздно.
Да, но на выше указанных сайтах нет даже «левого» номера. Из опыта работы знаю, что нам звонят многие перед покупкой, именно для проверки реальности компании, все же не 2 копейки отдаете.
Учитывая обороты и подход, можно посадить пару девушек-удаленщиц на телефон… За относительно небольшие деньги.
Если в цепочке на том конце появляется живой человек, то это уже зацепка для следователей.
После первого случая кражи денег и заявления потерпевшего, следователи могут позвонить, записать разговор, постараться вычислить, где находится абонент на том конце провода. И если даже он будет на каком-то далеком острове, это все равно зацепка. Если взять телефониста, то он уже будет соучастником преступления. Такой телефонист за те 100р, которые он получил, не захочет получить срок, и сдаст всю информацию, которой владеет. У телефониста тоже может не быть выходов на главного организатора схемы, но все равно это зацепка.
После первого случая кражи денег и заявления потерпевшего, следователи могут позвонить, записать разговор, постараться вычислить, где находится абонент на том конце провода. И если даже он будет на каком-то далеком острове, это все равно зацепка. Если взять телефониста, то он уже будет соучастником преступления. Такой телефонист за те 100р, которые он получил, не захочет получить срок, и сдаст всю информацию, которой владеет. У телефониста тоже может не быть выходов на главного организатора схемы, но все равно это зацепка.
Меня особенно восхищает, что при массе подобных случаев, банки кичатся своим преимуществом перед криптовалютами, мол для биткойна невозможно отменить транзакцию, если деньги ушли мошенникам. А я ещё ни разу не слышал, чтобы деньги списанные с карт мошенниками, возвращались отправителю. Возможно это какая-то дичайшая редкость, когда пользователь начинает судиться с банком. Сбербанк сейчас и вовсе начал воспринимать кражу средств как данность, и предлагает страховать вклады. Прав Герман Оскарович, биткойн со временем прикончит банки, раз они такие беспомощные и при этом опасные для пользователя.
Вот ещё _pilotavia.ru_
А по каким признакам определили, что мошенники? Я дошёл до страницы оплаты, там https с сертификатом от Let's Encrypt, в коде html не нашёл подозрительных всяких tinkoff card to card.
Возможно, этот сайт действительно продаёт билеты. А мошенники использовали его html и реквизиты юрлица для своих целей.
У них почта на _dexavia.ru_, который недоступен. Это подозрительно. Может они временно отключили «специальную» функциональность.
let's encrypt'овский сертификат, как и любой другой DV, не гарантирует ничего. Он подтверждает только владение доменом. Даже платный DV стоит 5-10 баксов в год, что для мошенников копейки.
Как минимум, для платёжных должен быть OV, от нормального вендора, который гарантирует проверку документов организации. А в идеале — EV, который требует куда большего количества проверок и даёт зелёную плашку в браузере. Жаль, что сейчас часть банков уходит от использования EV.
semb Спасибо за _pilotavia.ru_. Этот сайт один в один, как тот в результате пользования, которым были украдены деньги. В публикацию добавил со скриншотами некоторыми комментариями.
И еще _travelbileti.ru_
FYI: Памятка "Как вернуть незаконно списанные денежные средства" со ссылками на законы. Может пригодиться.
Все сайты, размещенные на нашем хостинге, о которых идет речь в статье, заблокированы.
Мы всегда готовы к сотрудничеству с правоохранительными органами. Надеемся, что справедливость будет восстановлена, а мошенники наказаны.
Мы всегда готовы к сотрудничеству с правоохранительными органами. Надеемся, что справедливость будет восстановлена, а мошенники наказаны.
Все сайты, размещенные на нашем хостинге, о которых идет речь в статье, заблокированы.
Мы всегда готовы к сотрудничеству с правоохранительными органами. Надеемся, что справедливость будет восстановлена, а мошенники наказаны.
Спасибо!
Это реакция провайдера Sprinthost на прочтение этой статьи. Еще четыре сайта заблокировано. Отдельного обращения к этому провайдеру не было. Это их инициатива. Предлагаю проголосовать положительно за предыдущее соотношение.
Скриншот блокировки одного из сайтов
ошибься доменом ссылки, модераторы пожалуйста исправьте
Еще немного сайтов:
_avia.netprosolution.co_
_letofly.biz_
в коде указаны контакты, верстальщика
/* Aleksey Skubaev
askubaev@gmail.com
icq — 322253350
а так же уже закрытые, но не упомянутые ранее сайты
_kyda-letim.com_
_vsembilet.com_
_avia.netprosolution.co_
_letofly.biz_
в коде указаны контакты, верстальщика
/* Aleksey Skubaev
askubaev@gmail.com
icq — 322253350
а так же уже закрытые, но не упомянутые ранее сайты
_kyda-letim.com_
_vsembilet.com_
Что примечательно сайты сделаны на разных движках =)
Я думаю что тут есть специалисты которые могут открыть админку и посмотреть количество операций сайта.
Используемы движки сайтов: InstantCMS и DataLife Engine
Я думаю что тут есть специалисты которые могут открыть админку и посмотреть количество операций сайта.
_letofly.biz/admin.php
_travelbileti.ru/admin/login.php
_pilotavia.ru/admin.php
Используемы движки сайтов: InstantCMS и DataLife Engine
Волею служебных обязанностей занесло с неделю назад на онлайн-семинар от фирмы Group-IB, и вот надо же, ровно про ваши случаи зашла речь.
Если коротко, то ребята наваяли (и продают) целый модульный кит по поиску таких фишинговых сайтов, работают на разных этапах, начиная от регистрации домена, получения сертификата SSL, до раскрутки в баннерных сетях.
Конкретно по авиа-билетам совместно с проектом aviasales.ru они создали сайт http://настоящийбилет.рф/ на котором как раз можно пробить подозрительный ресурс.
Чтобы не быть тем рабиновичем, который изображал Карузо, я на этом остановлюсь, подробности можете узнать в указанных фирмах.
Если коротко, то ребята наваяли (и продают) целый модульный кит по поиску таких фишинговых сайтов, работают на разных этапах, начиная от регистрации домена, получения сертификата SSL, до раскрутки в баннерных сетях.
Конкретно по авиа-билетам совместно с проектом aviasales.ru они создали сайт http://настоящийбилет.рф/ на котором как раз можно пробить подозрительный ресурс.
Чтобы не быть тем рабиновичем, который изображал Карузо, я на этом остановлюсь, подробности можете узнать в указанных фирмах.
Список из более 400 заблокированных сайтов по продаже авиабилетов впечатляет. Но требование вводить свой email, чтобы проверить сайт в черном списке, на мой взгляд контр продуктивно. Зачем это делать? Это замедляет работу. Нормальный подход — ввел адрес, сразу на экране получил ответ. Ждать хотя бы 30 секунд пока придет письмо — это непозволительная роскошь в текущей ситуации. А ведь нужно еще получить доступ к проверке своей почты, — это не всегда возможно.
А главное, подкованные пользователи, стараются не оставлять свои адреса без необходимости. Тем более сайт малоизвестный и потенциальный пользователь может подумать, что это кто0то таким образом собирает базу данных для специализированного спама.
Таким образом бОльшая часть потенциальных пользователей настоящийбилет.рф просто не будет им пользоваться. На мой взгляд, поле email в форме нужно убрать для простых проверок. Можно его оставить, сделав не обязательным, если кто-то из пользователей сам захочет получить обратную связь через почту, при заявлении о новом сайте.
А вообще можно еще проще сделать. Форму для проверки убрать. Список заблокированных сайтов вывести на отдельную страницу, на которой сделать удобный фильтр/поиск по названию. А форму оставить только для заявления о новых сайтах.
А главное, подкованные пользователи, стараются не оставлять свои адреса без необходимости. Тем более сайт малоизвестный и потенциальный пользователь может подумать, что это кто0то таким образом собирает базу данных для специализированного спама.
Таким образом бОльшая часть потенциальных пользователей настоящийбилет.рф просто не будет им пользоваться. На мой взгляд, поле email в форме нужно убрать для простых проверок. Можно его оставить, сделав не обязательным, если кто-то из пользователей сам захочет получить обратную связь через почту, при заявлении о новом сайте.
А вообще можно еще проще сделать. Форму для проверки убрать. Список заблокированных сайтов вывести на отдельную страницу, на которой сделать удобный фильтр/поиск по названию. А форму оставить только для заявления о новых сайтах.
Есть некая статья на очень «хорошем» ресурсе, на котором очень подробно расписаны ОРД (оперативно-розыскные действия) и ОРМ (оперативно-розыскные мероприятия) по случаям мошенничества. Полезно для ознакомления многим здесь. Америки конечно не открываю, но так на всякий случай.
https://www.dublikat.in/threads/kak-zhe-lovjat-moshennikov-v-realnom-mire.41169/
Автору статьи — писать заявление в полицию надо сразу же, причем настаивая, что был нанесён СУЩЕСТВЕННЫЙ имущественный, материальный ущерб, для того что бы завели УД (уголовное дело).
В противном случае будут отписки, типа, при проведении спецмероприятий, лицо или лица свершившие правонарушение НЕ выявлены )))
В данном случае, ещё не факт, что машина правосудия заработает, всё зависит от того кого кинули.
https://www.dublikat.in/threads/kak-zhe-lovjat-moshennikov-v-realnom-mire.41169/
Автору статьи — писать заявление в полицию надо сразу же, причем настаивая, что был нанесён СУЩЕСТВЕННЫЙ имущественный, материальный ущерб, для того что бы завели УД (уголовное дело).
В противном случае будут отписки, типа, при проведении спецмероприятий, лицо или лица свершившие правонарушение НЕ выявлены )))
В данном случае, ещё не факт, что машина правосудия заработает, всё зависит от того кого кинули.
Сайт использует защищенное соединение и сертификат от Let's Encrypt. Интересная особенность, — сертификат выпущен сроком на три месяца. Это, наверное, для экономии? Реально оценивают срок жизни такого сайта.
@xbox, lets encrypt — сервис автоматизированного получения бесплатных DV-сертификатов от Internet Security Research Group, в которую входят представители Mozilla Foundation, EFF, Akamai, Cisco, CoreOS и др.
У них стандартный срок действия ограничен 3 месяцами (и планировалось дальнейшее уменьшение срока), чтобы подтолкнуть пользователей к автоматизации обновления сертификатов ибо "ban humans" — очень важная вещь для стабильной работы чего угодно.
главное что они ничего не проверяют для выдачи сертификата, кроме того, что сайт реально отвечает по заявленному имени. Получить такой — дело минуты.
Очередной вопрос о безопасности сертификатов, выдаваемых большими дядями кому попало…
Очередной вопрос о безопасности сертификатов, выдаваемых большими дядями кому попало…
Это не проблема сертификатов и PKI как системы. До этого тоже не составляло никакого труда получить DV-сертификат за $5.
Если вы вводите данные карты не на сайте доверенного payment gate или банка — вы, извините за выражение, идиот. И те, и другие используют, как правило, EV.
Исключениями являются всякие странные атласы типа Билайна, которые при оплате через их payment gate используют OV и в договоре-оферте заявляют, что "не гарантирует обеспечение конфиденциальности информации и данных об Держателе Банковской карты и/или Абоненте и не несет за это никакой ответственности" (цитата из пункта 6.4 договора-оферты).
эта ситуация высвечивает проблему системы из браузеров, SSL и PKI. Она позиционируется как система, в которой можно доверять каким-то образом проверенному владельцу сертификата. При этом на самом деле проверенным он не является.
Почему не является? Является проверенным именно в той мере, которая указана в сертификате при условии доверия CA.
Если в сертификате указаны только CN и SAN (обычное явление для DV), то это означает только то, что ваш трафик не перехватывает/подменяет третья сторона (при соблюдении владельцем сертификата соотв. правил безопасности).
Если в сертификате указаны ещё другие поля (например, O), то вы можете быть уверены, что организацию проверили в той мере, которая указана в политике выдачи сертификатов соответствующего CA, ссылка на которую, как правило, имеется в самом сертификате.
Естественно, читаете эти 20 страниц текста убеждаетесь, что вас устраивает необходимая степень проверки и действуете в соответствии с этим.
Или опираетесь на то, что EV выдают гарантируя довольно высокий минимальный порог проверки.
Не является тем, что позиционируется производителями браузеров, я ведь это написал. Система включает в себя все CA, установленные в браузерах или ОС (для браузеров, использующих хранилище в ОС) по умолчанию, и только их.
Пользователь ожидает от https сайтов с зеленым замочком определенных вещей.
Пользователь ожидает от https сайтов с зеленым замочком определенных вещей.
в итоге самым надежным является старый добры платежный толстый клиент! Да еще и ключем на дискетке! Думаю скоро увидим супер-стартапы на эту тему :)))
Если вернут деньги, то к надежности системы карт вопросов, в общем, нет.
Вопрос вот в чем — человек нагуглил в яндексе какой-то сайт. Выглядит нормально, оплата по карточке, как обычно. Как понять что он левый? Яндекс и гугл рекламщики взяли с преступников копеечку и умыли руки. HTTPS не значит ничего. Списание с карточки -стандартное. В интернете теперь опасно что-то покупать?
Вопрос вот в чем — человек нагуглил в яндексе какой-то сайт. Выглядит нормально, оплата по карточке, как обычно. Как понять что он левый? Яндекс и гугл рекламщики взяли с преступников копеечку и умыли руки. HTTPS не значит ничего. Списание с карточки -стандартное. В интернете теперь опасно что-то покупать?
А что, разве карты можно открыть на анонима?
Или как обычно — преступники могут, а добропорядочные — нет?
Или как обычно — преступники могут, а добропорядочные — нет?
Неименные дебетовые карты, некоторые, даже, сюрприз-сюрприз, с возможностью пополнения баланса. Другие с фиксированным предоплаченным балансом.
Могут-не могут — вопрос законов в отдельно взятой юрисдикции.
Регулярно такими пользуюсь.
Могут-не могут — вопрос законов в отдельно взятой юрисдикции.
Регулярно такими пользуюсь.
Например? У меня (неименная дебетовая) мало того, что спрашивали документы при выдаче карты, так и при каждом пополнении.
Например, у меня в штатах есть карты, которыми я оплачиваю некоторые покупки, где не-Американские карты (а также оплата ими через Пэйпол и т.п.) не принимаются в принципе. Я захожу на сайт, покупаю дебетовые предоплаченные карты небольшим номиналом в 10...20 долларов даже не заполняя Фамилия-Имя.
С большим номиналом нужно вводить Фамилию-Имя, но документы не просят (что мешает ввести John Smith?)… При пополняемых картах местами требуются документы, но там зависит от лимитов, а проверка… как вы проверите документы, которые вам пришлют по электронной почте? При определенных лимитах нужно нотариальное заверение присланных бумажно документов, но я такими суммами еще не оперировал.
С большим номиналом нужно вводить Фамилию-Имя, но документы не просят (что мешает ввести John Smith?)… При пополняемых картах местами требуются документы, но там зависит от лимитов, а проверка… как вы проверите документы, которые вам пришлют по электронной почте? При определенных лимитах нужно нотариальное заверение присланных бумажно документов, но я такими суммами еще не оперировал.
С трудом верится, что в Штатах, где есть SAR/CTR можно завести карту и снимать с неё деньги в неограниченных количествах при том, что большинство транзакций будут из-за границы.
Насчет снимать — не знаю (в АТМ не снимал), но тратить — запросто.
Про неограниченные количества я написал чуточку выше ровно обратное.
В моем случае, я так предполагаю, для штатовских банков все выглядит органично — карточку пополняет штатовское юрлицо. В свою очередь, юр.лицо получает за эту услугу деньги — уже не штатовские.
Про неограниченные количества я написал чуточку выше ровно обратное.
В моем случае, я так предполагаю, для штатовских банков все выглядит органично — карточку пополняет штатовское юрлицо. В свою очередь, юр.лицо получает за эту услугу деньги — уже не штатовские.
Типа анонима — можно.
Есть подарочные карты.
Я, Васисуалий Лоханкин, оформляю такую карту, получаю ее с предъявлением своих документов — после чего передаю ее неизвестому для банка лицу, которое ее использует как хочет. После чего теряюсь в мире.
Есть карты с возможностью пополнения — то есть на нее вполне можно выводить какие-то средства.
Ессно, там есть некие ограничения по поступающим и расходуемым средствам, но в целом вопрос решаемый. Опять же — мне как Васисуалию Лоханкину никто не запрещал приобресть произвольное количество таких карт, а тому, кому я эти карты отдал — использовать целый пул таких карт (в том числе — от Никифора Ляпис-Трубецкого).
Есть подарочные карты.
Я, Васисуалий Лоханкин, оформляю такую карту, получаю ее с предъявлением своих документов — после чего передаю ее неизвестому для банка лицу, которое ее использует как хочет. После чего теряюсь в мире.
Есть карты с возможностью пополнения — то есть на нее вполне можно выводить какие-то средства.
Ессно, там есть некие ограничения по поступающим и расходуемым средствам, но в целом вопрос решаемый. Опять же — мне как Васисуалию Лоханкину никто не запрещал приобресть произвольное количество таких карт, а тому, кому я эти карты отдал — использовать целый пул таких карт (в том числе — от Никифора Ляпис-Трубецкого).
можно. если рассматривать преступный вариант — ссылка на dublikat.in тут уже была. заходим и смотрим на рекламные баннеры.
если хотя бы серые варианты рассматривать — на plati.ru можно купить предоплаченные гифт-карты (скажут номер и все что полагается), используется например в некоторых случаях для создания аккаунта в американском AppStore (если нормальной американской карты нет а хочется почему то)
если хотя бы серые варианты рассматривать — на plati.ru можно купить предоплаченные гифт-карты (скажут номер и все что полагается), используется например в некоторых случаях для создания аккаунта в американском AppStore (если нормальной американской карты нет а хочется почему то)
Самый интересный ответ на вопрос — куда уходят деньги — на дропов. Сейчас куча объявлений в вк, где предлагают использовать твою карточку для получения переводов за 30% от суммы. Сливают до ляма, при встрече отдаешь им 70%, остальное себе.
Однако такого дропа ловят через некоторое время и сажают. А «вон тот Вася попросил принять платеж, я ему 70% отдал» к делу не пришьешь и в итоге их так же не могут поймать…
Однако такого дропа ловят через некоторое время и сажают. А «вон тот Вася попросил принять платеж, я ему 70% отдал» к делу не пришьешь и в итоге их так же не могут поймать…
UDP4: Информация, для тех, кто спрашивал.
На данный момент деньги не вернули ни по платежам, которые ушли на чужие карты, ни по платежам, которые ушли в Яндекс.Директ. (Про платежи в Яндекс.Директ в банк было подано заявление менее через за 24 часа после списаний). Официального ответа от Сбербанка нет (15 дней еще не прошло). Сегодня для следователя делали бумажную выписку в отделении Сбербанка. Суммы списаны. Про получателей платежей в выписке никакой дополнительной информации нет.
Поскольку из поста не совсем ясно, куда обращался автор или знакомый автора («письма в Яндекс») — прокомментирую ситуацию со стороны Яндекс.Денег. Мы знаем об этом инциденте, служба безопасности Яндекс.Денег на основании запроса от владельца карты сразу приняла все возможные с нашей стороны меры к кошелькам и картам, которые могли быть использованы в мошеннической схеме с билетами. Поскольку в описанной истории есть все признаки преступления, обращение в полицию — правильно и совершенно необходимо. И конечно же Яндекс.Деньги отдадут имеющуюся у нас информацию представителям правоохранительных органов в рамках уголовного дела.
На основании заявления клиента банк-эмитент карты обычно начинает инцидентный цикл (проще говоря, оспаривает операции) по правилам международных платежных систем (MasterCard, Visa), и результатом этого цикла (занимает подчас несколько месяцев) может быть возврат денег, списанных без 3-Ds.
Поскольку из поста не совсем ясно, куда обращался автор или знакомый автора («письма в Яндекс») — прокомментирую ситуацию со стороны Яндекс.Денег. Мы знаем об этом инциденте, служба безопасности Яндекс.Денег на основании запроса от владельца карты сразу приняла все возможные с нашей стороны меры к кошелькам и картам, которые могли быть использованы в мошеннической схеме с билетами. Поскольку в описанной истории есть все признаки преступления, обращение в полицию — правильно и совершенно необходимо. И конечно же Яндекс.Деньги отдадут имеющуюся у нас информацию представителям правоохранительных органов в рамках уголовного дела.Спасибо за комментарий.
Обращение от потерпевшего было в службу поддержки Яндекс.Денег через сайт, в разделе сообщить о мошенничестве. Номер обращения 4410613, отправлено ночью 21.07.16. По этому обращению позже в разные дни через электронную почту было направлено четыре дополнительных письма. Вся имеющаяся информация о мошеннических операциях была передана Яндексу. На все письма были получены корректные ответы от Яндекса. Как я уже писал здесь, на все запросы ответ от Яндекса приходил очень быстро, даже в ночное время.
К Яндексу, как к компании, а также к сотрудникам Яндекса никаких претензий нет и не было. При отправке запросов была только попытка попробовать по горячим следам найти похищенные средства и, когда из ответов Яндекса выяснилось, что деньги уже были потрачены и вернуть их не удалось, последующие обращения потерпевшего были направлены на то, чтобы на основании имеющейся информации сделать всё для осложнения мошенникам возможности продолжать свою деятельность (блокировка аккаунтов Яндекс.Директа, исключение из выдачи, блокировка кошельков, блокировка указанных в статья карт, выпущенных Яндекс.Банком итп).
Также было обращение в банк потерпевшего, — в Сбербанк 20.09.16 и дополнительное 21.09.16.
21.09.16 было подано заявление в полицию. Сейчас назначен следователь и ведется расследование.
21.09.16 было подано заявление хостинг-провайдеру firstVDS, по результатам которого мошеннический сайт заблокирован.
Дополнительно было обращение в банк ТКС с целью их предупредить о том, что их сервис P2P используется на мошенническом сайте. (Деньги в описываемом в статье случае похитили через сервис P2P другого банка, а ТКС был просто поставлен в известность, чтобы предупредить похожие мошеннические операции при продаже авиабилетов).
Были еще несколько менее значимых обращений в различные интернет-сервисы с целью внести указанные в статье сайты в базы фишинговых сайтов и исключить их из поисковой выдачи и из рекламных блоков.
Вроде надеешься на 3-D Secure, а оказывается все это ерунда, на Aliexpress так же все платежи без 3-D Secure проходят. Хочется все же предъявить претензии банку(ам), мы им доверяем свои деньги а они вот так вот их защищают.
Вот еще похожий сайт, на этот раз по оплате штрафов, выскакивает в топе Яндекса, ссылку на сайт не даю, чтобы не повышать его рейтинг, здесь в статье про него написано http://photo-drive.ru/wordpress/chestnyj-otem-deneg-u-naseleniya-v-vide-shtrafov-gibdd/
Предлагаю завести сайт для проверки подобных сайтов. Кто за? Заодно пополнять там список мошенников или подозрительных сайтов.
Есть же WOT www.mywot.com
Ставится расширение в браузер и проверка происходит автоматически.
Ставится расширение в браузер и проверка происходит автоматически.
В моей практике был случай, когда клиент компании позвонил и пожаловался, что не может зайти на сайт компании. Когда стали разбираться, выяснилось, что у клиента в браузере установлен плагин, проверяющий сайты по базе WOT. Сайт был абсолютно чистый, без малейших признаков, которые позволяли его в чем-то нехорошем заподозрить. Обычный интернет-магазин компании, работающей около 15 лет, с сайтом работающим более 10 лет.
Оказалось, что в базе WOT был один (!) негативный отзыв о сайте. Отзыв вообще был один. И это даже был не отзыв, где можно было бы что-то прочитать по сути претензии, а это была просто негативная оценка. В результате все, кто использовали плагины WOT не могли попасть на нормальный сайт. С отзывом не помню, как, но разобрались. Пришлось на разбирательства и исправление тратить время. С тех пор я очень насторожено отношусь к базе WOT. Конкуренту любой компании достаточно щелкнуть в своем плагине один раз, а компании потом разбирайся, что это было.
Оказалось, что в базе WOT был один (!) негативный отзыв о сайте. Отзыв вообще был один. И это даже был не отзыв, где можно было бы что-то прочитать по сути претензии, а это была просто негативная оценка. В результате все, кто использовали плагины WOT не могли попасть на нормальный сайт. С отзывом не помню, как, но разобрались. Пришлось на разбирательства и исправление тратить время. С тех пор я очень насторожено отношусь к базе WOT. Конкуренту любой компании достаточно щелкнуть в своем плагине один раз, а компании потом разбирайся, что это было.
//geektimes.ru/post/282406/
Очень интересное расследование. Возник вопрос — а кроме Сбера с карт каких банков были выведены деньги? Есть такая информация?
Гугл на поисковой запрос «дешевые авиабилеты» на первой страницы выдачи отображает эту новость, а яндекс нет :(
Самое забавное, что если бы мошенники не поленились и продавали настоящие билеты, а списывали деньги с карты не на следующий день, а, скажем, через 1-2 недели, то вся схема успешно работала бы и по сей день.
Это как, простите? Мошенники-меценаты?
Где бы они брали настоящие билеты по таким ценам, да еще с отсрочкой платежа на 1-2 недели?
Где бы они брали настоящие билеты по таким ценам, да еще с отсрочкой платежа на 1-2 недели?
Я имел в виду не отсрочку по оплате билета, а отсрочку по не авторизованному списанию с карты.
Схема такая — человек заходит на сайт, выбирает билет, сразу его оплачивает и получает.
Мошенники продают реальный билет, который покупается у стороннего оператора.
Чтобы цены были реально ниже, они могут даже субсидировать разницу (1-3 тысячи рублей).
Потом по прошествии 2х недель начинают делать мошеннические списания по своей схеме- и клиент вряд ли догадается, что это они, ведь он за 2 недели может пользоваться картой где угодно еще.
Схема такая — человек заходит на сайт, выбирает билет, сразу его оплачивает и получает.
Мошенники продают реальный билет, который покупается у стороннего оператора.
Чтобы цены были реально ниже, они могут даже субсидировать разницу (1-3 тысячи рублей).
Потом по прошествии 2х недель начинают делать мошеннические списания по своей схеме- и клиент вряд ли догадается, что это они, ведь он за 2 недели может пользоваться картой где угодно еще.
Как насчет написать «охотника», который выискивает подобные сайты (и проверяет поступившие жалобой через веб форму) и если подтверждается угроза, автоматически отправляет нужные заявления в органы и провайдеру?
интересно, как они потом наличат деньги? или я.мани без верификации карты выдаёт?
Вернуть все платежи, кроме первого – достаточно реально. Эти операции не подтверждались с помощью 3-D Secure, и не являются повторными платежами для какой-то предыдущей покупки, подтвержденной по 3-D Secure.
Вопрос мошенников, которые делают переводы с карты на карту под видом оплаты за авиабилеты, гораздо сложнее. Выше тут уже детально всё обсудили, но в сухом остатке – доказать что-то банку-эмитенту будет очень сложно. Для него вы сами совершенно сознательно перевели деньги на чью-то карту (на которой уже нет денег, и которая зарегистрирована на подставное лицо), и подтвердили эту операцию одноразовым кодом. Теоретически, тут что-то могут сделать правоохранительные органы.
Мы являемся платёжным шлюзом (и даже сами сталкивались с такой проблемой), поэтому в основном тут будет описано происходящее с нашей стороны.
Бороться с мошенниками на стороне платёжных шлюзов, по сути, очень сложно; лучшая тактика тут пытаться сделать использование нашей формы сложнее, чем у других (известный анекдот – для того, чтобы выжить при встрече со львом, не надо уметь бежать быстрее льва; достаточно бежать быстрее соседа).
С учётом того, что каждый платёж достаточно большой – мошенник может позволить потратить себе достаточно много денег на организацию этого платежа. Можно действовать как-то так:
1) На каждого посетителя сайта (точнее, платёжной формы с кнопкой «оплатить») автоматически поднимаем новую виртуалку в облаке или в ботнете, в ней браузером заходим на страницу перевода с карты на карту платёжного шлюза. Для платёжного шлюза это выглядит как обычный запрос обычного пользователя;
2) Спрашиваем у посетителя номер карты, срок действия, CVV;
3) Вводим в виртуальном браузере эти данные; вводим данные карты получателя (мошенника);
4) Если, например, страница перевода с карты на карту требует разгадать капчу – показываем её посетителю и заставляем разгадать.
5) Отправляем в виртуальном браузере форму, получаем в ответ переадресацию на сайт банка-эмитента для прохождения 3-D Secure. Перехватываем эту переадресацию, и переадресуем туда реального посетителя в реальном браузере (передавая при этом TermUrl своего сайта с авиабилетами).
6) У посетителя отображается настоящая страница банка-эмитента (с соответствующим адресом и сертификатами), он вводит на ней одноразовый пароль из SMS, отправляет; банк-эмитент возвращает его на сайт с авиабилетами.
7) Информацию о подтверждении 3DS, пришедшую на сайт с авиабилетами – опять же, отправляем в виртуальный браузер. Всё, операция проведена.
По сути, для платёжного шлюза в этой ситуации всё выглядит так, что к нему пришёл реальный человек (на самом деле мошенник), который ввёл в форму переводов с карты на карту данные карты отправителя, данные карты получателя, и подтвердил операцию одноразовым паролем в банке-эмитенте. Отличить мошенника от честного человека тут не получится – нет никаких данных, которые выделяли бы мошенника.
Именно по этой причине мы приняли решение отключить форму перевода платежей с карты на карты в нашей системе.
Какая-то системная борьба (а не просто закрытие сайтов после того, как они уже успели набрать много денег) может идти только со стороны банков-эмитентов – как карт отправителей, так и карт получателей.
От эмитентов карт отправителей хотелось бы видеть на странице подтверждения платежа заметное указание на то, что осуществляется именно перевод с карты на карту. Кроме того, так как со страницей подтверждения платежа мошенник может поступить так же, как со страницей перевода – «проксировать» её для пользователя в виртуальном браузере; это потребует большей невнимательности со стороны пользователя, но хотелось бы ещё чтобы банки, отправляющие одноразовые коды в SMS-сообщениях, предупреждали о переводе и в тексте сообщения. На вашем примере – в SMS-сообщении написано «P2P», среднему пользователю это ни о чём не говорит.
От эмитентов карт получателей – запрет на получение денег для карт с не подтверждённой личностью владельца (для виртуальных карт типа яндекс.денег и киви).
А пользователям стоит внимательнее следить за тем, где они вводят данные карты. Как уже было сказано, если на странице для ввода номера карты есть сертификат EV – то, по крайней мере, это не аноним и не однодневка; в случае чего хотя бы будет понятно, на какую организацию писать заявление. Да и мошенникам постоянно регистрировать новые компании и получать сертификаты EV будет затруднительно; это может сделать такое мошенничество невыгодным.
Советы же вида «если левый ОГРН – то это мошенники», «если нет номера телефона – то это мошенники» и т.п. действуют как советы «если письмо написано с грамматическими ошибками – то это фишинг». Т.е. действует только до тех пор, пока мошенники могут себе позволить не напрягаться и писать неграмотные письма. Как только все узнают об этих советах – мошенники сразу начнут писать фишинговые письма грамотно, а на сайтах начнут указывать реальные правдоподобные ОГРН и телефоны.
Вопрос мошенников, которые делают переводы с карты на карту под видом оплаты за авиабилеты, гораздо сложнее. Выше тут уже детально всё обсудили, но в сухом остатке – доказать что-то банку-эмитенту будет очень сложно. Для него вы сами совершенно сознательно перевели деньги на чью-то карту (на которой уже нет денег, и которая зарегистрирована на подставное лицо), и подтвердили эту операцию одноразовым кодом. Теоретически, тут что-то могут сделать правоохранительные органы.
Мы являемся платёжным шлюзом (и даже сами сталкивались с такой проблемой), поэтому в основном тут будет описано происходящее с нашей стороны.
Бороться с мошенниками на стороне платёжных шлюзов, по сути, очень сложно; лучшая тактика тут пытаться сделать использование нашей формы сложнее, чем у других (известный анекдот – для того, чтобы выжить при встрече со львом, не надо уметь бежать быстрее льва; достаточно бежать быстрее соседа).
С учётом того, что каждый платёж достаточно большой – мошенник может позволить потратить себе достаточно много денег на организацию этого платежа. Можно действовать как-то так:
1) На каждого посетителя сайта (точнее, платёжной формы с кнопкой «оплатить») автоматически поднимаем новую виртуалку в облаке или в ботнете, в ней браузером заходим на страницу перевода с карты на карту платёжного шлюза. Для платёжного шлюза это выглядит как обычный запрос обычного пользователя;
2) Спрашиваем у посетителя номер карты, срок действия, CVV;
3) Вводим в виртуальном браузере эти данные; вводим данные карты получателя (мошенника);
4) Если, например, страница перевода с карты на карту требует разгадать капчу – показываем её посетителю и заставляем разгадать.
5) Отправляем в виртуальном браузере форму, получаем в ответ переадресацию на сайт банка-эмитента для прохождения 3-D Secure. Перехватываем эту переадресацию, и переадресуем туда реального посетителя в реальном браузере (передавая при этом TermUrl своего сайта с авиабилетами).
6) У посетителя отображается настоящая страница банка-эмитента (с соответствующим адресом и сертификатами), он вводит на ней одноразовый пароль из SMS, отправляет; банк-эмитент возвращает его на сайт с авиабилетами.
7) Информацию о подтверждении 3DS, пришедшую на сайт с авиабилетами – опять же, отправляем в виртуальный браузер. Всё, операция проведена.
По сути, для платёжного шлюза в этой ситуации всё выглядит так, что к нему пришёл реальный человек (на самом деле мошенник), который ввёл в форму переводов с карты на карту данные карты отправителя, данные карты получателя, и подтвердил операцию одноразовым паролем в банке-эмитенте. Отличить мошенника от честного человека тут не получится – нет никаких данных, которые выделяли бы мошенника.
Именно по этой причине мы приняли решение отключить форму перевода платежей с карты на карты в нашей системе.
Какая-то системная борьба (а не просто закрытие сайтов после того, как они уже успели набрать много денег) может идти только со стороны банков-эмитентов – как карт отправителей, так и карт получателей.
От эмитентов карт отправителей хотелось бы видеть на странице подтверждения платежа заметное указание на то, что осуществляется именно перевод с карты на карту. Кроме того, так как со страницей подтверждения платежа мошенник может поступить так же, как со страницей перевода – «проксировать» её для пользователя в виртуальном браузере; это потребует большей невнимательности со стороны пользователя, но хотелось бы ещё чтобы банки, отправляющие одноразовые коды в SMS-сообщениях, предупреждали о переводе и в тексте сообщения. На вашем примере – в SMS-сообщении написано «P2P», среднему пользователю это ни о чём не говорит.
От эмитентов карт получателей – запрет на получение денег для карт с не подтверждённой личностью владельца (для виртуальных карт типа яндекс.денег и киви).
А пользователям стоит внимательнее следить за тем, где они вводят данные карты. Как уже было сказано, если на странице для ввода номера карты есть сертификат EV – то, по крайней мере, это не аноним и не однодневка; в случае чего хотя бы будет понятно, на какую организацию писать заявление. Да и мошенникам постоянно регистрировать новые компании и получать сертификаты EV будет затруднительно; это может сделать такое мошенничество невыгодным.
Советы же вида «если левый ОГРН – то это мошенники», «если нет номера телефона – то это мошенники» и т.п. действуют как советы «если письмо написано с грамматическими ошибками – то это фишинг». Т.е. действует только до тех пор, пока мошенники могут себе позволить не напрягаться и писать неграмотные письма. Как только все узнают об этих советах – мошенники сразу начнут писать фишинговые письма грамотно, а на сайтах начнут указывать реальные правдоподобные ОГРН и телефоны.
Насчёт «не являются повторными» есть большой вопрос — сумма платежа кратная.
Никакого вопроса. Первый и последующий платежи на разные сервисы отправлен (первый в карту, последующие — продавцу).
Первый — на карту мошенника, остальные — на счёт YM мошенника.
Так как механизм повторных снятий не раскрыт (собственно пострадавший его и не знает) — то связь этих тоже неизвестна.
Но известно, что YM позволяет выпустить привязанную к счёту карту.
ЗЫ: Сегодня покупал на алиэкспрессе — списало с YM без каких-либо кодов и паролей, просто ОК на страничке нажал.
Так как механизм повторных снятий не раскрыт (собственно пострадавший его и не знает) — то связь этих тоже неизвестна.
Но известно, что YM позволяет выпустить привязанную к счёту карту.
ЗЫ: Сегодня покупал на алиэкспрессе — списало с YM без каких-либо кодов и паролей, просто ОК на страничке нажал.
Я пользовался польским банком Millenium. С карты украли небольшую сумму в 40$, тремя транзакциями без подтверждения смс конечно. Банк отказался вернуть деньги, и даже не принял заявление, сказав что сперва нужно написать заявление в полицию. И я не стал этим заниматься и сменил банк.
Другой польский банк Credit Agricole (дочка французского банка) так же не все операции в интернете проводит с подтверждением смс. В банке мне ответили что технически это изменить невозможно.
У меня 2 раза крали деньги с карт открытых в московских Сбербанке и Ситибанке. В обоих случаях деньги вернули полностью. Правда потом Сбербанк незаконно списал с моей карты 40 т.р., обращался и в полицию и в суд, и сто раз писал заявление в Сбербанк, ничего не помогло. Причина была в моей невнимательности, я подписал договор на транспортную карту в Сбербанке не читая договор, который я успешно потерял, а копию договора Сбербанк выдать мне отказался.
Вообщем не хватило юридической грамотности довести это дело до суда.
Другой польский банк Credit Agricole (дочка французского банка) так же не все операции в интернете проводит с подтверждением смс. В банке мне ответили что технически это изменить невозможно.
У меня 2 раза крали деньги с карт открытых в московских Сбербанке и Ситибанке. В обоих случаях деньги вернули полностью. Правда потом Сбербанк незаконно списал с моей карты 40 т.р., обращался и в полицию и в суд, и сто раз писал заявление в Сбербанк, ничего не помогло. Причина была в моей невнимательности, я подписал договор на транспортную карту в Сбербанке не читая договор, который я успешно потерял, а копию договора Сбербанк выдать мне отказался.
Вообщем не хватило юридической грамотности довести это дело до суда.
Вроде на поверхности лежит способ повысить информированность конечного пользователя о сути платежа. Если не допускать переадресацию на произвольный урл после 3ds, а прописывать её только в настройках взаимодействия с 3ds, пользователь в любом случае увидит, какая операция в реальности была совершена (в данном случае, c2c через сервис, который запросил переход на 3ds). У ассиста, вроде, так платёжное api, например, сделано.
Если нужны подробности, обращайтесь к пользователю Vad_R
Пользователь read-only — т.о. написать в личку ему возможности нету. Почему не обратился в прокуратуру? Можно ещё обратится в генеральную прокуратуру.
Пользователь read-only — т.о. написать в личку ему возможности нету.Этот пользователь мне как-то пишет в личку и я ему отвечаю.
Я не хотел бы быть промежуточным звеном в переписке с Vad_R. Если есть вопросы, желательно к нему напрямую обращаться. Мы с ним через хабропочту познакомились несколько дней назад, поэтому дополнительной информации по его случаю у меня нет. По основному случаю, описываемому в публикации, готов ответить, если возникнут вопросы, — с тем человеком я хорошо знаком и общаюсь лично.
Я попробовал на одном из read-only аккаунтов, — начать диалог с такими аккаунтами можно. Запрета нет. Единственное, что может быть кнопки нет удобной или ссылки для того, чтобы им написать. Но адрес страницы для начала диалога можно легко вычислить по аналогии с остальными беседами.
https://geektimes.ru/conversations/Vad_R/
(Может это не фича, а баг, но у меня так работает. Если любое имя пользователя, включая read only, подставить в таком адресе, то начинается диалог.)
Опубликована вторая часть публикации с продолжением: Дешевые авиабилеты… Сеть мошеннических сайтов, ворующих деньги с карт. Расследование-Часть2. Причем здесь Промсвязьбанк?
Приглашаю оценить и обсудить… Уверен, будет интересно.
Приглашаю оценить и обсудить… Уверен, будет интересно.
Написал новую статью, в некоторой степени имеющую отношение к этой публикации.
Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт.
Приглашаю оценить и обсудить…
Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт.
Приглашаю оценить и обсудить…
Довольно много крупных сайтов и интернет магазинов не проверяют его. Несколько раз сильно удивлялся когда покупка проходила без 3d secure.
Еще из той же оперы — у нас в России последнее время Юлмарт при оплате за товар тягает деньги с карты без пин кода и даже без подписи на чеке. Думал это только для мелких покупок (до 1000р как для PayPass), но не давно оплачивал заказ около 7000р — так же ни пина ни подписи.
Еще из той же оперы — у нас в России последнее время Юлмарт при оплате за товар тягает деньги с карты без пин кода и даже без подписи на чеке. Думал это только для мелких покупок (до 1000р как для PayPass), но не давно оплачивал заказ около 7000р — так же ни пина ни подписи.
Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование