Украли деньги с платёжной карточки

[Alexgl]

меня смущает конкретный адрес торговой точки

Вы думаете это адрес? Мне показалось, что название. А ECOMMER - сокращение от электронная коммерция.

[TatianaIv]

Тогда у меня Вопрос, если конечно не секрет: какой банк так выборочно проводит платёж и без наличия живого пластика, что не всякий раз требует вводить код

[Alexgl]

какой банк так выборочно проводит платёж и без наличия живого пластика, что не всякий раз требует вводить код

На самом деле абсолютно любой банк. Зависит не от банка, а от места покупки. Т.е., например, я два дня назад покупал билеты на сайте эйрфранс - ничего не вводил. Да и Коста с МСЧ списывают у Вас финальные платежи без всякого подтверждения с Вашей стороны. Т.е. им достаточно, что Вы когда-то давно при покупке ввели CVV. (В сообщениях выше SVS - исправить надо бы).

Вот чем это определяется, я не знаю. Опять же когда они попробовали сделать еще одну покупку, то нарвались на защиту.
Может кто-то подскажет, мне самому интересно.

[Komlev Alexandr]

При покупке билетов на сайте аэрофлота, не обязательно вводить защитный код (три цифры на на обороте карты), достаточно ввести номер карты, срок действия... деньги мгновенно списываются. Я думаю (почти уверен) что это из-за использования "аэрофлотом" 128-битного шифрования (высокая степень защиты передаваемой информации). Поэтому некоторые сайты не требуют ввода защитного кода а также кода-подтверждения из СМС...

[TatianaIv]

вот странно. мне Тинькофф и Росбанк ни разу еще не провели платежи даже на 200 рублей, не спросив секретный код.
АФЛ не покупала, но РЖД, букинг, S7,АзАл

[LaSer61]

Все зависит от банка. Проверку CVV кода банк может отключить. Они там сами как-то проверяют, можно доверять этой транзакции или нет.
А вот пресловутое 3Dsecure, то есть подтверждение транзакции по СМС, вообще ни от чего не защищает. Если интернет-магазин не поддерживает эту технологию, деньги спокойно списываются без всяких дополнительных запросов.

[morilla]

А еще злоумышленник может украденную карту привязать для оплаты через Apple Pay или Samsung Pay. И не будет при оплате спрашиваться ничего. И даже ID в оффлайне уже на кассе не спросят.

C 3D-secure не так все просто. Почему он не всегда используется при покупках написано, например, тут:
https://habr.com/company/payonline/blog/275101/

А как его обойти в злых целях я уже как-то рассказывал тут. Несложно там все.

[TatianaIv]

Просто открытие для меня. Всегда считала что это именно банк ставит защиту в виде подтверждения, чтобы потом проще доказывать, что клиент акцептовал платеж.

[queen_V]

А еще злоумышленник может украденную карту привязать для оплаты через Apple Pay или Samsung Pay.

При привязке приходит запрос подтверждения по смс. Как они привяжут без телефона?

[TatianaIv]

А еще злоумышленник может украденную карту

неужели кто-то не заблокирует украденную карту?
речь-то идет о случаях, когла карта вообще в твоем бумажнике, а кто-то при этом ее "срисовал" и пытается что-то оплатить

[morilla]

Если коротенько, то сюжет обхода такой:
Есть сервисы VoIP, которые предоставляют любой виртуальный номер телефона. Есть и такие сервисы, через которые можно получать SMS.
Причем уже есть и бесплатные такие сервисы.
Увы, не все банковские системы проверяют куда они отправляют SMS с кодом, на железный или виртуальный телефонный номер. Точнее в РФ еще никто не проверяет. В нынешнем стандарте для российских банков PCI DSS такого требования еще нет.

Но это если очень кратко. Если подробнее, то много чего писать надо.

[Mycraft]

Зависит ещё не только от банка но и конторы которая для магазинов/онлайншопов/ларьков/ресторанов, ну и в общем всех мест покупки/продажи обрабатывает трансакции с карточками.

Мы вот например работаем с двумя разными.

У одной не надо практически вообще ничего, достаточно номера и срок карточки. Никого не интерессует CVC или ФИО владельца карточки. Но деньги появляются на счёте за 7-14 дней.

У второго оператора нужно ФИО, Номер, Cрок, CVC. И здесь тогда деньги на счёте за 3-5 дней.

[morilla]

А еще злоумышленник может украденную карту

неужели кто-то не заблокирует украденную карту?
речь-то идет о случаях, когла карта вообще в твоем бумажнике, а кто-то при этом ее "срисовал" и пытается что-то оплатить

я и говорю об использовании срисованной карты. А срисовать есть масса способов. Например, через камеру кэш-контроля.
Наверняка обращали внимание на висящие видео-камеры над кассирами в магазинах, на АЗС и т.п. Они используются для борьбы с махинациями кассиров. Как правило, такие камеры имеют отличное разрешение и вполне им по силам снять видео, на котором будут видны кроме номера карты и ее CCV/CVC. А если еще узнать как популярно использование скиммеров для всяких нехороших подобных целей, то вообще страшно жить становится.

[queen_V]

Увы, не все банковские системы проверяют куда они отправляют SMS с кодом, на железный или виртуальный телефонный номер

Странно. В банке прописан конкретный номер и ни на какой другой смс не приходят. Более того, в Сбере (не знаю как у других) этот номер должен быть российским. Специально узнавала, потому что в роуминге у меня другой номер. Как-то не верится, что система может отправит смс на любой номер, с которого пришел запрос, а не на тот, который привязан к карте. Вы знаете случаи, чтобы такое происходило?

[morilla]

это я криво изложил. Виртуальный номер злоумышленник может создать любой, в т.ч. тот, который привязан к карте.
Также есть способы как получать SMS от банка на такой виртуальный номер раньше. А в некоторых стандартах сотовых сетей есть способы как можно "выпилить" железный оригинальный номер из сотовой сети. В т.ч. из GSM.

Также скажу, что генераторы одноразовых паролей, в т.ч. на основе СМС не генерят эти пароли в чистом виде "случайно". Это псевдослучайные алгоритмы генерации. Раньше такая генерация была действительно случайной. А теперь, для совместимости с различными системами одноразовых паролей, алгоритмы псевдослучайны. Потому что, как правило, движок такой генерации один, в т.ч.для корпоративного использования всяких токенов, приложений двухфакторной аутентификации с помощью мобильных устройств и т.п. А там генериться число должно одинаковое, и у пользователя и на сервере.

а все псевдослучайные генераторы можно поломать, точнее "подломить" как говорят в тех кругах

[TatianaIv]

охотно верю, что все это возможно. пока космические корабли бороздят просторы...
пойду заклею для начала оборотную сторону карты

[LaSer61]

Виртуальный номер злоумышленник может создать любой, в т.ч. тот, который привязан к карте.

Для этого надо как минимум знать номер, привязанный к карте.

[queen_V]

Для этого надо как минимум знать номер, привязанный к карте.

Вот и я о том же. Мне кажется, что из всех мошенничеств это наиболее маловероятный. Что совсем невероятный не скажу, не спец. Но слишком уж много должно совпасть.

[morilla]

Для того чтобы узнать нужный номер телефона в простейшем случае можно воспользоваться периодически утекающими базами данных процессинга, сайтов бронирования, магазинов и т.п.
Ну утекли у фейсбука 50 млн. записей о пользователях. Надо ж их кому-то использовать

А так это целая индустрия. Погуглите как устроен мир кардеров. Из классики можно почитать книжку KingPIN

Еще вспомнилась наша книжка "Как я украл миллион. Исповедь раскаявшегося кардера"

[travelgirls]

Как страшно жить! (с)