Хакеры воруют и отмывают деньги через сервисы доставки еды и бронирования отелей

    картинка с xakep.ru

    По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и другим интересным вещам. Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения, случаются ситуации, когда “новинками” делятся силовики. Думаю многие разделят мою точку зрения касательно того, что если “схема” или “уязвимость” попала на форум, то, как правило, все “сливки” с нее уже давно кто то снял. Да и форумы вне зоны .onion супер серьезно воспринимать не стоит. Но в этот раз была найдена схема которая удивила своей относительной простотой и новизной. Собственно о том, как хакеры воруют и отмывают деньги через сервисы доставки еды и будет сегодняшний рассказ.

    Как убили значительную часть кардинга, предыстория


    Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону (через смс, звонок или приложение). У VISA такая система называется 3-D Secure сокращенно 3DS, работает в рамках системы Verified by Visa (VbV) у Mastercard есть аналог под названием Mastercard SecureCode (MCC). Суть проста, если Вы ввели где то данные со своей кредитной карты, для успешного платежа, вам потребуется еще и ввести код полученный из смс, звонка или приложения, чтоб подтвердить что это именно Вы совершаете покупку, а не хакеры грабят Вас.

    С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие.

    Гигантам важнее объем выручки и оборота средств, чем безопасность


    Однако крупные, высоко нагруженные сервисы вроде Booking.com, Airbnb, Amazon.com, Facebook.com отключили или ограничено используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсии. Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, однако это не сильно помогло. Проблема не нова и широко обговаривается (пруф). Так же Федеральная торговая комиссия США заявила что за период с 2012 до 2016 года поступило 13 миллионов жалоб, 3 миллиона только за 2016 год, 13% из которых это хищение личности и кредитной карты. И это данные только по США. Реальность такова, что лучше содержать штат юристов занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие появились целые форумы с предложением забронировать отель за 25%-50% от стоимости (пруф). Бизнес риски не более.

    Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:

    1. Берут квартиру в аренду с правом субаренды.
    2. Регистрируют квартиру на booking.com и/или Airbnb
    3. Покупают данные ворованных кредитных карт
    4. Якобы бронируют квартиру у самих себя, на данные ворованных карт
    5. Получают уже чистые деньги от Booking или Airbnb

    Естественно вариантов вышеописанной схемы может быть миллион, от регистрации на Booking, Airbnb не существующих квартир (это реально), до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут/скупают недобросовестных владельцев отелей (пруф) или же предлагают свои услуги (пруф).

    Почему деньги отмывают именно через сервисы аренды квартир? Как я писал Выше там нет (или используется ограниченно) VBV и 3DS и карты туда легче “вбиваются”. Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение в POS терминалах с поддержкой ручного ввода карт (пруф), но это уже совсем другая история о которой я расскажу в следующий раз.Вернемся к нашим доставщикам еды.

    Сервисам доставки еды тоже не важно чья карта


    GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует совпадает ли имя владельца аккаунта, с именем на кредитной карте. Им не Важно куда доставлять и откуда брать товар. Им так же как гигантам бронирования отелей не так важны VBV и 3DS, куда важнее оборот и выручка.

    Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на “новинку”. Кардеры и мошенники и придумали схему, которая в первом приближении выглядит так.

    1. Регистрируют магазин/хотдожную/ресторан/лавку в системе доставки еды, или просто указывают доставщику где именно он должен купить заказ.
    2. Покупают ворованную кредитную карту и привязываем к аккаунту.
    3. Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером скупаются в собственном магазине и ждут доставку.
    4. Отвозят продукты обратно и так по кругу.

    Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется.

    Дисклеймер и выводы


    Данная публикация не несет в себе цели показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует на роль исчерпывающего руководства по защите и предотвращению мошеннических действий. Не может быть трактовано как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды — абсолютно незаконны и являются уголовным преступлением.

    Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам отвечающих за риски и архитекторам нужно иногда спускаться в “подземелье”, чтоб посмотреть как еще можно использовать разработанные ими сервисы. Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на мошенничество с бизнес логикой. На сегодняшний день даже тестирование на проникновение без проверки бизнес логики уже становится не полным. Бизнес не покупает шаблонные услуги, продажи идут скорее через бизнес аналитиков помогающих улучшить тот или иной процесс и предотвратить риски. При создании сервиса доставки нужно продумывать не только основные риски, вроде “а не будут ли через нас доставлять наркотики”, но и другие риски незаконного использования сервиса в противоправной деятельности.

    Комментарии 117

      +1
      У меня при покупках в я-еде и в деливери-клабе, альфа и тиньков просят код из смс.
        +4
        В пост советских странах карты проверяют «с пристрастием». А booking в Украине не принимает деньги «на себя», только за бронь может заморозить, остальное списывает отель на месте. Доверия к пост советским странам мало, доставка с Amazon к примеру то еще развлечение с дополнительной верификацией.
          +2
          Да, а вот алиэкспресс, амазон, ржд и аэрофлот последние разы игнорили все проверки.
          Доставка с Амазона почти нормально отрабатывает, если местные боксберри не тупят с извещениями…
            0
            Я думаю причина в том, что есть вот такие мошенники предлагающие возврат средств за покупку за 15-30% от стоимости покупки. Они (магазины) несут колоссальные потери.
              0
              Причина чего, того что Амазон забивает на 3ds? Я не очень понял, что делают мошенники.
                0
                Делают «refund» или же «money back» за якобы не пришедший или «битый» товар.
                  0
                  Вероятность успеха рефанда вообще от антифрода не зависит, это чистая соц. инженерия. Решение — более строгая проверка заявок на возврат, но на западе «так не принято» (причины мне неизвестны). И этот вид мошенничества не только в СНГ процветает, а и в Европе, и в США.
                    –1
                    Амазон из-за этого уже не доставляет многие вещи в РУ
                    Правда за границей это гораздо популярнее, чем у нас, а туда не отправлять нельзя, так что реф, к сожалению, с нами надолго
                    0
                    Из того, что читал я — мошенники платят левыми карточками за товар, который на месте можно продать. Скажем, купить пару айфонов на Амазоне и толкнуть их на локальной барахолке. Конечно так теряется часть денег, но что-то все равно попадает на руки.
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    Ну может свободное купе захочет кто-то…
                      0
                      У меня РЖД с 2015 до 2019 каждый раз просит код на любую российскую карту.
                      0
                      РЖД и другие российские сервисы, типа авиакомпаний, на страницу авторизации банка выбрасывают. А вот заграничные сервисы — aliexpress или paypal забивают на это
                        0
                        Там, вроде, сначала привязка требуется. Не?
                          0
                          aliexpress или paypal забивают на это

                          У PayPal это «фича». На Aliexpress работает 3Dsecure, в частности если платить Maestro.

                        0
                        Вроде нет.
                        дважды в этом году букинг списывал деньги с карты. причем в первом случае это был аванс (как и положено), с доплатой на месте. А во втором случае запросили (и подтвердили) оплату в момент поселения, но недели за 2 букинг снял с карты полную сумму за проживание 8-)
                        Но доверия действительно мало, один из отелей отказался давать бронь без аванса именно из-за несовпадения имени в аккаунте и на карте.
                          +1

                          Списывает не букинг, а отель. Максимум, что букинг делает — это запрос Verification прислать, да и то не всегда.

                            0
                            Ох нет, не всегда, я это прочувствовал на себе. Арендую домик на Бали на 2 недели, сумма бронирования указана в индонезийских рупиях, 4 200 000 рупий (примерно 19 тыс рублей). Как указано в объявлении — оплата при заселении, но для подтверждения брони введите номер карты. Ок, ввожу карту на которой лежит около 1000 рублей, дом бронируется, все вроде бы хорошо. На следующий день захожу в приложение банка (да, Сбер), и вижу, что баланс на карте составляет примерно минус 4 199 000 рублей. Платеж ушел именно в букинг, в Нидерланды. Через пару недель переписки и разговоров между мной, букингом и банком деньги все же вернули, но объяснить как так вышло затруднились. Букинг не парился и перевел рупии в рубли как 1/1 (хотя курс 1/0,0046 на самом деле), а сбер ничуть не смутился и загнал баланс в минус 4 с лишним миллиона.
                              0

                              Интересно, как сбер позволил карте в минус уйти?


                              Вообще, похоже букинг с недавних пор научился работать с картами сам.


                              По крайней мере, я бронировал 2-3 недели назад в США на ночь жильё, так букинг сразу прислал письмо, что карта неправильная (по старой привычке всегда там ввожу сгенерённый номер). Когда ввел реальный номер карты, то вскоре по SMS пришёл запрос «Verification». Первый раз на букинге такое вижу.


                              Например, такой запрос шлёт также AirBnb. Насколько я понимаю, это проверка, есть ли требуемая сумма на карте, но не авторизация.


                              Если кто хорошо знаком с карточной кухней, было бы интересно послушать, что за запрос такой.

                          0
                          А booking в Украине не принимает деньги «на себя», только за бронь может заморозить, остальное списывает отель на месте.

                          А потом в отеле тебе предлагают за определенную скидку «не появится», чтобы букингу процент не башлять. Особенно этим страдают мелкие отели.

                          Так же само сервис записи в клинику — ищешь клинику, врача, читаешь отзывы, букаешь, сервис берет на себя все остальное. Приходишь, и первое что делает клиника это дает тебе визиточку и просит в следующий раз самому позвонить и забронировать напрямую, типа для «вашего же удобства». Кто сказал что это удобнее? Мне на сайте пару кнопочек кликнуть гораздо проще предварительно отфильтровав десятки клиник и врачей, чем звонить куда-то.

                          Вывод, все пытаются наебать всех.
                        0
                        А вот Steam почему-то не просит ни 3DS ни VBV :(
                          +2
                          Там тоже много схем по продаже цифровых товаров по «скидкам». Подарочные карты — кладязь для желающих отмыть средства. К примеру: покупают подарочные карты за ворованные кредитки и потом перепродают «со скидкой».
                            +2
                            подарочные карты можно блокировать, что и произойдет, как только вскроется факт кражи с кредитки
                              0
                                +2
                                История веселая, но к fraud-у по кредиткам не имеет прямого отношения. В данном случае гражданин смог нагнуть проверку Майкрософт, но кредитки не были ворованными, а значит никто не знал (до поры до времени) чем он занимается.
                                Правда гражданин из-за собственной жадности не смог вовремя остановиться, за это и присядет на 20 лет.

                                Я не знаю как работает современная служба по предотвращению воровства, но они работают весьма эффективно. У меня воровали кредитки трижды и каждый раз я это узнавал не из-за непонятных транзакий (их не было в отчете), а из-за звонка СБ, которая сообщала мне что они предотвратили кражу.
                          –6
                          «Однако крупные, высоко нагруженные сервисы вроде Booking.com, AirBNB, Amazon.com, Facebook.com отключили или ограничено используют эту функцию дополнительной проверки»

                          Списка по нормеру кредиткаи работает в большинстве случаев. Афтар начиталься фантастики.
                            +4
                            «Афтар» привел пруфы и кейсы отмывания денег, обьявлений на эту тему и кейс с пострадавшей. Вы считаете, что это фантастика? ок.
                              0
                              Вообще-то человек как раз говорит о том, что в большинстве случаев доппроверки нет, т.е. мошенничество возможно в большинстве случаев… Фантастика — это повсеместное использование 3дс и т.п.
                            +1
                            Не видел НИ ОДНОГО американского сайта, который делал бы проверку по СМС. Учитывая количество денег, проходящее через эти сайты, вот это
                            Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону

                            является не совсем верным заявлением.
                            Проверка по СМС, выглядит больше европейскими изобретением, что
                            1. неудобно
                            2. перекладывает все проблемы, включая возможную кражу средств на конечного пользователя
                            В США как-то работают без этого
                              +2
                              Там не «как-то», там просто все застраховано и Вы верно подметили, что они не перекладывают риски на клиента, а берут их на себя. У нас в договорах банков, как то так прописано: «не прикрыл рукой клавиатуру во время ввода ПИН-кода» — сам виноват, что деньги украли.
                                +3
                                да, страховка это все. В итоге платит за это все равно клиент, так как стоимость страховки так или иначе размазывается на стоимость товаров и услуг.
                                Но например в США есть страховка от краж с кредиток до $2000 от Visa и MasterCard(бесплатная), а в России за аналогичную страховку банк желает получить бабло с юзера.
                                  0

                                  Zero Fraud Liability есть на всех моих картах и действует на весь лимит. Я, честно говоря, не мало удивлён, но действительно, он по-видимому не требуется по закону. Правда живых карт без него я так и не нашёл.


                                  Где конкретно тут платит клиент, мне тоже не совсем понятно — Комиссия системы Visa (для продавца принимающего оплату по карте) будет вне зависимости от наличия этой фичи на карте. Обслуживание карт для клиента — бесплатное.


                                  Не могли бы Вы рассказать подробнее куда может быть заложена стоимость страховки?

                                    0
                                    Где конкретно тут платит клиент, мне тоже не совсем понятно — Комиссия системы Visa (для продавца принимающего оплату по карте) будет вне зависимости от наличия этой фичи на карте. Обслуживание карт для клиента — бесплатное.

                                    Комиссия разная, для разных стран, если вы вдруг не знали.
                                    Условия работы карт тоже
                                    Например Visa Signature в США бесплатно, а в России за деньги
                                    В США на этой карте есть такие плюшки как расширенная гарантия на товары, упомянутый Zero Fraud Liability, вторичная страховка на рентованную машину, бесплатная эвакуация машины и прочее
                                    А в России таких плюшек нет, включая Zero Fraud Liability
                                    Не могли бы Вы рассказать подробнее куда может быть заложена стоимость страховки?

                                    в товары которые покупает человек, ведь как-то надо отбивать стоимость транзакции. Я лично например видел маленькие бизнесы, которые не берут кредитки на транзакции до 5-10 долларов. И это в США.
                                    Можно конечно пройти мимо, но факт, что такие места есть
                                      +1
                                      Ну вот я конкретно про США сейчас.

                                      Если я возьму кредитную карту в банке (например chase freedom), то для меня она будет бесплатной. И на ней будет защита от фрода.

                                      Если я прокатаю эту карту в условном волмарте, то система платежей Visa возьмёт с этой транзакции точно такую же комиссию, как если бы я прокатал российкую карту Тинькофф, в которой такой защиты от фрода нет. Ещё раз — комиссия установлена системой Visa, а не банком, и эта комиссия за приём платежа, вне зависимости от банка эмитировавшего карту и страны где он находится. В случае же фрода по карте, разбираться будет непосредственно банк.

                                      Таким образом, я не вижу, каким образом для меня, не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховку
                                        +1
                                        Таким образом, я не вижу, каким образом для меня, не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховку

                                        ну раз вы живете в США, то наверное знаете как работает страховка, странно что мне нужно это разжевывать, но я попробую
                                        Первое допущение что вы сделали
                                        В случае же фрода по карте, разбираться будет непосредственно банк.

                                        не совсем верно, Zero Fraud Liability делает не банк, а страховая компания. И дается оно не на ваш банковский счет, а на кредитку. Иногда банки сами кредитками не занимаются, если вы внимательно посмотрите на тот же Chase, то заметите, что по вопросам о кредитке будет выделен отдельный телефон, более того, если вы позвоните скажем в Chase по каким-то другим вопросам, то попадете на других людей, я пробовал. Если же брать банк поменьше, то иногда они пишут кто их обеспечивает кредитками и это может быть другая контора.
                                        Далее за кредитки Visa отвечает непосредственно кредитное агентство Visa, которые не является банком и Visa Chase Freedom фактически не является собственностью Chase. Комиссию опять же взымает Visa, а не Chase и страховку обеспечивает Visa, а не Chase. Причем вполне вероятно непосредственным ответчиком по страховке будет какая-нибудь AIG Inc. или другая ВасяПупкинInsurance Co.
                                        Компания Visa покупает у условного ВасяПупкинInsurance Co. страховку на свои карты и платит X долларов в год. X долларов берутся не с потолка, а из расчета на сколько примерно попадет страховая компания в год на fraud-е и другим проблемам. Все расчитывается статистически и X может менятся.
                                        Компания Visa, заплатив X денег, желает получить их назад, поэтому закладывает этот X в транзакции, причем размазывает их равномерно на все транзакции, независимо от карт, потому что делать зависимость это страшный гемор и куча денег на разработку ПО и инфраструктуру. Стоимость транзакции назовем Y, это обычно процент от суммы. Процент этот тоже может менятся и зависит от типа бизнеса, различных скидок большим пользователям и прочее и прочее, но для нас это условный Y
                                        Далее продавец, заплативший этот Y, желает получить его назад, поэтому закладывает его в накрутку на стоимость товара. Но так как делить на кредит и не кредит транзакции неудобно, то считается некая накрутка Z от всех транзакций (и во всех товарах) которая примерно отбивается. Z будет зависить от в том числе и от процента кеш/не кеш транзакций в бизнесе, от скорости оборота конкретного товара и прочих вещей.
                                        Поэтому в данном случае
                                        не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховку

                                        вы правы что вы не платите БОЛЬШЕ, но не правы что вы НЕ ПЛАТИТЕ. Вы просто платите всегда, таким образом, что все не в накладе.
                                          +1

                                          Золотые слова! Вы в принципе с этими X, Y, Z объяснили всю суть капитализма и, например, почему НДС де-факто платит не продавец (у него есть схемы его возмещения), а фактический конечный покупатель (потребительно) услуги (читай — физик).
                                          Или, например, почему в компаниях с ДМС — это по сути деньги, которые недоплачены работникам (но зачастую это win-win ситуация, т.к. работник эти деньги ВСЕ РАВНО не получил бы и в этом случае лучше хотя бы синица в руках в виде нематериального поощрения, т.е. ДМС).

                                            0
                                            Покажите пример хотя бы одной стабильной формации, где бы потребитель что-то не платил.
                                              +1
                                              это win-win ситуация

                                              Это это win-win ситуация, потому что с затрат на страховую налоги не платятся. Всякие плюшки в офисе за счет вычета из налогов и оптовой закупки для компании дешевле чем для Вас раза в два.
                                              +4
                                              tldr

                                              image

                                                +2
                                                Одна из причин, по которой вторая ситуация лучше первой, это что при возврате товара возвращается стоимость товара, но не стоимость пересылки.
                                                Поэтому покупателю выгодно платить $30+free shipping и в случае проблем получить свои $30 назад.
                                                Также существует развод в обратную сторону(им грешат китайские товарищи на ebay) когда вещь стоит $1, а пересылка $20, это верный признак что с вещью что-то не так.
                                              0

                                              Какие-то дополнительные условия для получения такой карты есть? Тратить сколько-то или получить сначала какой-то статус?
                                              Какой interest rate?
                                              Возможно в США мало фрода по кредиткам и поэтому они могут давать такие удобные условия

                                                +1
                                                Какие-то дополнительные условия для получения такой карты есть?

                                                я не могу утверждать на 100%, но подозреваю что для таких карт нужен весьма неплохой credit score (эта такая циферка кредитоспособности конкретного человека, которая уже давно превратилась в индекс благонадежности)
                                                Какой interest rate?
                                                эта часть меня никогда не интересовала, так как я не живу в кредит по кредиткам
                                                  0

                                                  Для открытия любого кредитного аккаунта нужно иметь SSN и хоть какой-то легальный доход. Без SSN можно открыть только дебетовый счёт, и то не везде.


                                                  Ещё для этой конкретной кредитки нужен кредит скор наверное где-то 720+ и возраст истории хотя бы в год. Если скора или истории пока что нет, то открывайте amex или дискавер, они не хуже и гораздо более лояльные

                                                  0
                                                  Если я прокатаю эту карту в условном волмарте, то система платежей Visa возьмёт с этой транзакции точно такую же комиссию, как если бы я прокатал российкую карту Тинькофф, в которой такой защиты от фрода нет.

                                                  А cross-border fee не возьмет разве?
                                                  С теми же Payoneer'овскими картами она бралась (и перекладывалась на клиента) при покупках во всяких Австралиях.
                                                    +1

                                                    Не всё так просто. Кроме комиссии от МПС в цену транзакции заложены еще две комиссии: от банка, выпустившего карту, и от банка, поставившего терминал в торговую точку. Иначе бы терялся смысл выпуска карт и установки оборудования в торговые точки. На каждой транзакции по своей карте банк зарабатывает вместе с МПС. И в эти доходы вполне себе можно включать страховку

                                              0
                                              del
                                              0

                                              Для совершения покупки нужно два банка: банк, выпустивший карту, и банк, обслуживающий транзакцию. В случае проверки по смс фрод возмещается за счет средств первого банка, а без проверки по смс фрод возмещается за счет второго банка (торговой точки, которая принимает небезопасные платежи).
                                              Следит за всем этим МПС типа визы или мастеркарда.
                                              Получается, что торговым точкам типа амазона дешевле оплатить фрод, чем закрывать прием небезопасных платежей

                                              0
                                              Существуют схемы как в Pay Pal, где средства перечисляются не сразу на счет продавца, а резервируются на специальном счету. Покупатель также не может отозвать средства. Везде бы работали подобные схемы
                                                +1
                                                Главные проблемы начинаются когда что-то идет не так
                                                Например вам прислали товар не соответствующий описанию

                                                У меня был как-то трах с dx.com
                                                Купил я там регистратор для машины, в описании было написано — английский язык в регистраторе и инструкции. В итоге пришла совершенно китайская железяка, на чистом китайском языке, с китайской же инструкцией

                                                Открыл я тикет на dx.com, после пары недель, трех фоток и десятка писем они признали, что товар не соответствует описанию и сказали «шли, вернем деньги за товар». На что я вполне резонно ответил, что послать я могу, если они оплатят пересылку. Так как послать В КИТАЙ стоит денег и немалых.
                                                Они меня послали, после чего я пошел в paypal и открыл тикет там. После недели препирательств ситуация повторилась и paypal автоматически закрыл мой тикет, утверждая что я не сделал каких-то действий (а именно, не приложил трекинг-номер с почты, что я конечно не собирался делать, потому как стоимость пересылки с трекингом была больше стоимости регистратора)
                                                В итоге я пошел в банк и открыл тикет по транзакции на кредитке (платеж в Paypal), они мне сразу вернули деньги и через три месяца автоматически закрыли его, написав что продавец не предоставил надлежащую информацию.
                                                Это как работает в США.
                                                  +2
                                                  Встречал отзывы, что в России за такое (чарджбек через банк) прилетает бан в PayPal.
                                                    +1
                                                    вполне вероятно. На сколько я знаю в России Paypal-ом можно платить только до $5000 суммарно за ВСЕ ВРЕМЯ существования аккаунта. Т.е. его польза в России очень быстро стремится к нулю.
                                                    Наверное Paypal-у совсем неинтересен российский рынок.
                                                      0
                                                      только до $5000 суммарно за ВСЕ ВРЕМЯ существования аккаунта
                                                      Это откуда такие сказки? У меня акк. 10+ лет, там наверняка сумма уже раза 2-3 превышена.

                                                      польза в России
                                                      У PP польза — не светить номер карты где попало, это уже само по себе ценно.
                                                        0
                                                        Это откуда такие сказки? У меня акк. 10+ лет, там наверняка сумма уже раза 2-3 превышена.

                                                        из договора Paypal-а. Я лет 10 назад пытался делать аккаунт в России.
                                                        У PP польза — не светить номер карты где попало, это уже само по себе ценно.

                                                        Наверное для России это ценно, согласен.
                                                          0
                                                          Польза РР в том, что не нужен межбанк при международных сделках.
                                                            0
                                                            из договора Paypal-а.

                                                            Пруф?


                                                            С моей стороны — только что посмотрел у себя лимиты: порядка 8000 USD на одну транзакцию и такой же на сумму баланса. Раздел с лимитами в новом интерфейсе пропал, но тут можно на старый (он местами ещё работает) попасть: https://www.paypal.com/cgi-bin/webscr?cmd=_show-limits&req_from=view_limits


                                                            Я лет 10 назад пытался делать аккаунт в России

                                                            Они примерно с 2006 года официально предоставляют сервис для РФ, так что пытаться не надо было. Достаточно было просто зарегаться.


                                                            Наверное для России это ценно, согласен

                                                            При чём тут Россия? Интернет-то одинаковый везде.

                                                              0
                                                              Пруф?

                                                              вы мне предлагаете пойти поискать документы 10 летней давности для вашего удовлетворения?
                                                              Они примерно с 2006 года официально предоставляют сервис для РФ, так что пытаться не надо было. Достаточно было просто зарегаться.

                                                              Я и зарегился, только не пользовался, так как ограничение меня сразу не устроило. Вполне вероятно что сейчас не так. Как я писал
                                                              На сколько я знаю


                                                              При чём тут Россия? Интернет-то одинаковый везде.

                                                              При то что при Zero Fraud Liability в США, мне совершенно пофигу украдут номер моей кредитки, или нет. Меня защищает эта вещь и решение всех проблем мне обеспечивает СБ банка/кредитного агенства.
                                                              В отличии от скажем России, где нужно в течении 24 часов заявить о проблемах(а о них еще надо знать), так по крайней мере написано в договоре Сбербанка, иначе потом придется долго разбираться с банком и доказывать что не верблюд.
                                                                0
                                                                10 лет назад они не работали официально в России, и с приемом платежей вообще плохо было, емнип. Нормальная верификация и счета в баксах так вообще появились недавно сравнительно.
                                                                  0
                                                                  10 лет назад они не работали официально в России

                                                                  не может такого быть, 10 лет назад это минимум, я думаю что более вероятно 12-13 лет назад.
                                                                  Новости пишут что Paypal работает с 2006-го, но с ограничениями.
                                                                  Нормальная верификация и счета в баксах так вообще появились недавно сравнительно.

                                                                  За российским сегментом Paypal-а я перестал следить очень давно, приятно видеть что оно как-то развивается
                                                                    0
                                                                    Википедия говорит, что прием платежей появился в 2011 для россии. Я начал пользоваться в 2012, и сложностей было, скажем так, много.
                                                                      0

                                                                      В 2006 можно было при регистрации указать страну РФ, привязать карту с российским BIN'ом и платить ей в интернете. Остальной функционал появлялся позже.

                                                                        0
                                                                        Ну утверждать, что можно за всю жизнь акка купить не больше, чем на N, еще более странно. Я потому и думал, что мы про прием денег.
                                                                0
                                                                О, вот за ссылку спасибо.
                                                                По лимитам подтверждаю — у меня аналогичные. Есть основания полагать, что у всех подтвержденных аккаунтов такие.
                                                              0
                                                              У PP польза — не светить номер карты где попало, это уже само по себе ценно.

                                                              В век виртуальных карт уже не очень.
                                                            0

                                                            Чарджбек делает не банк, а платёжная система. Механизм одинаковый, что в России, что в США. С чего бы бану прилетать?

                                                              0
                                                              Чарджбек стоит денег(боюсь соврать, но что-то вроде $25 в США), платит за это продавец (в данном случае Paypal). Наверное они считают что такие пользователи им не нужны.
                                                                0

                                                                Возможно, в США что-то где-то застраховано и за счёт этого мелкие суммы компенсируются.

                                                                  0
                                                                  Уверен что застраховано :)
                                                                  В США каждый мало-мальский бизнес имеет страховку на разные случаи жизни.
                                                            0
                                                            Если регистратор оплачивался через PayPal, то у них есть программа возмещения возврата товара из-за существенных недостатков (а не «цвет не нравится» или «размер не подошёл»)!
                                                            Я в апреле Nexus 5 купил на иБее, якобы «европеец». Реально приехал «американец», да ещё и микрофон оказался нерабочий. Обратился к продавцу за частичной компенсацией — тот встал в позу: только возврат. Ок, в конце мая отправил тел обратно со всеми страховками, заслал чек в ПейПал, получил компенсацию в долларах на свой счет ПейПал. Телефон где-то застрял по-пути и приехал к продавцу только в конце июля. Он его почему-то получать не стал. На иБее в возврате средств отказали, т.к. трекинг есть, но факта получения нет и срок уже вышел. Обратился в ПейПал, обрисовал ситуацию, запросили продавца и по итогу вернули полную сумму (несоответствие описанию плюс неупомянутый дефект), телефон то-же уже приехал обратно…
                                                            По итогу: защита покупателя реально работает, но всё очень долго происходит (в чем виновата Почта России, которая два месяца телефон из Москвы в Нью-Йорк переправляла — он, походу, самостоятельно добирался, на попутках :) ).
                                                              +1
                                                              2 месяца нормальный срок для пересылки морем.
                                                                0
                                                                Спорить не буду, но я, вроде-бы, заказывал самую быструю доставку, в том числе. Кроме того есть письмо-извещение Почты России (МР ЛЦ Внуково) от 26 июня, где нашли «потерянную» посылку и отправили в «ПЖДП при Казанском вокзале на дальнейшую обработку».
                                                                Да и обратно явно не морем пересылали — дошло за две недели.
                                                                  0
                                                                  Ну я тоже не буду отрицать, что почта иногда косячит. Просто хотел пояснить, что срок, в целом (безотносительно подробностей вашего случая), не является каким-то нереальным.
                                                                    0
                                                                    Но в регламент иБея по возвратам он явно не вписывается. Там то-ли месяц, то-ли полтора и если факта вручения нет — досвидос…
                                                                    Поэтому из России это мой первый возврат — раньше удавалось на частичную компенсацию договориться или на полный возврат, если был повод.
                                                                      0
                                                                      Срок возрата определяет продавец.
                                                              0
                                                              Я хз сколько в США стоит пересылка в Китай, но у нас, в РФ — в районе тысячи рублей, что около $15. Отсылал несколько раз на этот самый DX неисправную технику(которую покупал для продажи на Авито) — мне стоимость пересылки они же возмещали.
                                                              0
                                                              пэйпал хорош, когда все хорошо. А когда что-то не хорошо, тут-то он и проявляется во всей своей подлой красе. Ни за что не отвечает, ни к чему не относится и вообще просто рядом стоял, а ты сам виноват.
                                                              Если есть возможность платить НЕ пэйпалом, то нужно этой возможностью пользоваться. Если такой возможности нет, то не нужно иметь дел с таким продавцом.
                                                                0
                                                                Да уж, палка хуже биткоина. Защита покупателя как у битка (т.е., никакая — заплатил и все), зато есть два минуса:
                                                                1. Можно получить бан за просто так и средства заморозят пока не пришлёшь им кучу челобитных (выписки с банка, документы и т.д).
                                                                2. ПП могут банально сбрутить и «вбить» хакеры. Заходить по логину и паролю в платёжное средство в наше время выглядит дикостью для всех, кроме «палки».
                                                                  +1

                                                                  а чего — 2FA у них не фурыкает.
                                                                  Но могу сказать одно — у палки сломано смс уведомление в Россию. От слова совсем.

                                                                0

                                                                ну, это escrow и аналогичные варианты… ес-но они берут конский процент (относительно, конечно) за свои "посреднические" услуги.

                                                                  0

                                                                  Только вчера смотрел видео у Луи Россмана, как он это обходил, когда клиенты делали предоплату, палка её удерживала, а деньги на выполнение работ нужны были вот прям сейчас — просто отправлял свою брошюру первым классом на адрес клиента, чтобы трек отбивался как доставленный, и палка отдавала деньги.

                                                                    0
                                                                    Немного продаю на ebay, палка игнорит треккинг почты России наглухо. Пока срок заморозки не выйдет (или не пнёшь) — деньги не разблокируют, даже если явно видно, что доставлено.
                                                                      0
                                                                      Это еще ладно. Пару лет назад eBay вообще не считал почту россии за способ доставки.
                                                                  +3
                                                                  Я что-нибудь упустил? Если интернет-операция не проходит через 3DS/VbV, то происходит т.н. liability shift, т.е. в случае, если пользователь запросил chargeback, ответственность за платеж лежит на продавце/мерчанте продавца…
                                                                    0
                                                                    Тоже слышал. Типо если по смс подтвердил, то деньги не вернешь, а если не было смс, то вернут.
                                                                    0
                                                                    Я бы посмотрел на эту ситуацию несколько с иной стороны.
                                                                    Вот помните, как было с ДБО? (Я про РФ)
                                                                    Сначала банки говорили «проблема ИБ рабочих мест пользователей — это проблема пользователей»
                                                                    Это оказало влияние на преступную среду — киберпреступность стала восприниматься у нас как такой вид спорта, национальный. Количество киберпреступников возросло до такого количества, что стало негативно влиять на рынок ДБО вообще. Ну и на перспективы НПС в частности.
                                                                    В этот момент регулятор сказал банкам: «Баста, карапузики. теперь если деньги из ДБО украли, то их украли у вас. Вы их верните сначала, а потом разбирайтесь.»
                                                                    Кирпичей, подготовленных в тот момент участниками рынка хватило бы на мост в крым, но тогда он еще не случился. В результате доторговались до того, что банки деньги возвращают, но как бы почти и не сразу. Но зато резко повысилось внимание банков к защите рабочих мест клиентов, например Сбер даже в свое мобильное приложение бесплатно для клиента касперского внедрил.

                                                                    Полагаю, тут мы наблюдаем такой же цикл, движущей силой которого является желание участников рынка полностью уйти от социальной ответственности, считая киберпреступность чисто финансовым риском. Такая ситуация порождает рост преступности, которая скоро участникам же рынка и аукнется…
                                                                      0
                                                                      например Сбер даже в свое мобильное приложение бесплатно для клиента касперского внедрил.

                                                                      Ещё бы дополнительное шпионское ПО на телефон стоило бы денег. Касперский мог бы приплачивать за это.
                                                                      0

                                                                      В прошлом году украденные данные моей карты использовали в убере и групоне на сумму в 200 евро. Ни банк ни убер с групоном не ответили ничего внятного на мою просьбу форсить 3DS.

                                                                        +2
                                                                        Деньги хоть вернули?
                                                                          0
                                                                          Да, банк вернул. Потом убер и групон, хотя я их не просил, но через время они лишнее забрали.
                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                          0
                                                                          У меня однажды угнали аккаунт на курсере с привязаной картой, с него купили курсов на $1500 подарком. Курсера вернула конечно деньги, но после этого случая я прошел и везде отвязал карту.
                                                                            +8
                                                                            Ну это не так жалко. Вы сами свои деньги может быть и пропьете, а воры — в образование вложили!
                                                                              +1
                                                                              но после этого случая я прошел и везде отвязал карту.

                                                                              Чувствую себя гением, когда осознаю, что никогда нигде не привязывал карту, и усиленно снимал галочки на «Запомнить карту».
                                                                                0
                                                                                Я на немецком миндмастере отвязал карту, снял все галочки и прочее, ан нет, немцы «вспомнили» карту и попытались списать деньги за подписку. Когда не получилось, ещё и прислали гневное письмо о том что я плохой человек и не имею на счету для них эти двадцать евро
                                                                                0
                                                                                Казалось бы, при чем тут хакеры…
                                                                                  0
                                                                                  Вот кстати когда у меня угнали данные карты, списания были в штатах, бронь жилья и заказ пиццы. Оплаты были без 3ds, так что деньги вернули спустя 2,5 месяца. Срисовали скорее всего при оплате платной дороги на М4 Дон, больше эту карту вроде нигде не светил.
                                                                                    0

                                                                                    Никогда такого не было, и вот опять.
                                                                                    Кажется, этой схеме столько же лет, сколько существуют кредитные карты.

                                                                                      +1

                                                                                      Подскажите пожалуйста какое-нибудь из "подземелий" (форум), чтобы хоть иногда получать "новинки" и учитывать при разработке своих систем.

                                                                                        0

                                                                                        В конце статьи были ссылки на клирнетовые пруфы.

                                                                                        0
                                                                                        вряд ли бы я поверил, если бы 10 лет назад сказали, что кардинг вернется к 2019 году практически в таком же виде как и был.
                                                                                          +1
                                                                                          Извините, если что я не в теме. А что нельзя привязывать карту без денег, а потом на нее в случае какой то покупки перекидывать деньги. Зачем вообще иметь только одну карту, когда можно несколько. На основной, которая не светится вообще нигде основную сумму, перекидывая нужные суммы на те с которых платите.
                                                                                          Лучше перебдеть, чем недобдеть.
                                                                                            0
                                                                                            Можно конечно. Для этого некоторые банки позволяют вам выпустить (возможно, даже двмя кликами в ЛК) себе онлайн карту, не имеющую физического воплощения.
                                                                                              0
                                                                                              Яндекс деньги.
                                                                                              Можно выпускать бесплатные карты привязанные к вашем кошельку. Производить оплаты как через NFC (online/offline) так и в интернете.
                                                                                              Проблема только в том что я ее могу пополнить только на 3 тыс. за 1 раз, и комиссией 30 руб.

                                                                                              Удобство или безопасность — борьба продолжается.

                                                                                              Картинка с отмыванием денег
                                                                                              image

                                                                                                0
                                                                                                Со Сбера пополнял без комиссии на что-то в районе 500 рублей несколько раз, но уже давненько.
                                                                                                Вроде-бы тогда были и другие варианты…
                                                                                              0
                                                                                              Утром прочитал эту статью, а сейчас покупал на aliexpress всякие нужные радиодетали и до меня дошло, что на aliexpress-то тоже нет проверки 3D secure (MasterCard)
                                                                                                0
                                                                                                На Али есть QIWI-Кошелек — я через него плачу.
                                                                                                Заодно, при возвратах, доллары так и лежат без постоянных конвертаций туда-сюда.
                                                                                                  0
                                                                                                  Странно. У меня при оплате картой Сбера (мастеркард) перекидывает на страничку 3DS и просит код из смс.
                                                                                                  0
                                                                                                  У меня Booking как-то провел транзакцию по карте Тинькоф с залоченными интернет-платежами.
                                                                                                    0

                                                                                                    В Тинькове это как-то объяснили? Спрашивали у них?

                                                                                                      +1
                                                                                                      Организация, в которой вы оплатили покупки, неправильно передала информацию по операции.

                                                                                                      То есть букинг при платеже сказал, что карта предъявлена. Я так понимаю, тоже повышают конверсию, чуть (или не чуть) нарушая правила платежных систем.
                                                                                                        0

                                                                                                        Вот наглость. Интересно, если бы был поставлен лимит по сумме платежа, что бы было.


                                                                                                        А в тот момент у вас на карту Тинькова был поставлен PIN или подпись?

                                                                                                          +1
                                                                                                          ПИН.
                                                                                                          Я слышал, что платежные системы/банки крупным игрокам прощают почти что все. Лимит и отсутствие денег может быть и не помеха в таком случае.
                                                                                                    0
                                                                                                    Был очень интересный опыт с британским магазином — карта не проходила в принципе, т.к. у «них» работает система проверки billing address, коим «наши» банки вообще не имеют понятия, что это. В итоге — не могу купить. Ибо проверка не проходит. При этом вариант покупки «ты же доверяешь продавцу — дай ему номер карты + cvv2». Небезопасно, но полстраны так отоваривается. Тупо доверие к «продавцу». Мотив — «нормальный продаван тебя не кинет»
                                                                                                      0

                                                                                                      А у вашего банка-эмитента как-то отказ был виден? SMS или в интернет-банке строчки?

                                                                                                        +1
                                                                                                        Вообще никак, только где-то в дебрях логов они смоли увидеть, что «отказ», т.к. был запрос проверки адреса, на что их система вообще промолчала, что стороной-продавцом считается как отсутствие системы и непрохождение проверки
                                                                                                        +1
                                                                                                        Есть один канадский магазин, в котором я раз в год делаю покупки и у них штатно тоже оплата Российскими картами не проходит.
                                                                                                        Прошу выставить счёт на paypal и оплачиваю картой после этого.
                                                                                                          0
                                                                                                          В Британии нормально голосом по телефону продиктовать реквизиты карты продавцу для оплаты чего-либо.
                                                                                                          0
                                                                                                          3DS это «chargeback liability shift» перенос (частичной) отвественности за фрод с продавца на покупателя. Продавец хочет делает, хочет — нет. Условия чарджбека зависят от пеймент провайдера и его отношений с кредитной системой.

                                                                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                          Самое читаемое