Круизный форум

TatianaIv писал(а):меня смущает конкретный адрес торговой точки

Вы думаете это адрес? Мне показалось, что название. А ECOMMER - сокращение от электронная коммерция.

Тогда у меня Вопрос, если конечно не секрет: какой банк так выборочно проводит платёж и без наличия живого пластика, что не всякий раз требует вводить код

TatianaIv писал(а):какой банк так выборочно проводит платёж и без наличия живого пластика, что не всякий раз требует вводить код

На самом деле абсолютно любой банк. Зависит не от банка, а от места покупки. Т.е., например, я два дня назад покупал билеты на сайте эйрфранс - ничего не вводил. Да и Коста с МСЧ списывают у Вас финальные платежи без всякого подтверждения с Вашей стороны. Т.е. им достаточно, что Вы когда-то давно при покупке ввели CVV. (В сообщениях выше SVS - исправить надо бы).

Вот чем это определяется, я не знаю. Опять же когда они попробовали сделать еще одну покупку, то нарвались на защиту.
Может кто-то подскажет, мне самому интересно.

При покупке билетов на сайте аэрофлота, не обязательно вводить защитный код (три цифры на на обороте карты), достаточно ввести номер карты, срок действия... деньги мгновенно списываются. Я думаю (почти уверен) что это из-за использования "аэрофлотом" 128-битного шифрования (высокая степень защиты передаваемой информации). Поэтому некоторые сайты не требуют ввода защитного кода а также кода-подтверждения из СМС...

вот странно. мне Тинькофф и Росбанк ни разу еще не провели платежи даже на 200 рублей, не спросив секретный код.
АФЛ не покупала, но РЖД, букинг, S7,АзАл

Все зависит от банка. Проверку CVV кода банк может отключить. Они там сами как-то проверяют, можно доверять этой транзакции или нет.
А вот пресловутое 3Dsecure, то есть подтверждение транзакции по СМС, вообще ни от чего не защищает. Если интернет-магазин не поддерживает эту технологию, деньги спокойно списываются без всяких дополнительных запросов.

А еще злоумышленник может украденную карту привязать для оплаты через Apple Pay или Samsung Pay. И не будет при оплате спрашиваться ничего. И даже ID в оффлайне уже на кассе не спросят.

C 3D-secure не так все просто. Почему он не всегда используется при покупках написано, например, тут:
https://habr.com/company/payonline/blog/275101/

А как его обойти в злых целях я уже как-то рассказывал тут. Несложно там все.

Просто открытие для меня. Всегда считала что это именно банк ставит защиту в виде подтверждения, чтобы потом проще доказывать, что клиент акцептовал платеж.

morilla писал(а):А еще злоумышленник может украденную карту привязать для оплаты через Apple Pay или Samsung Pay.

При привязке приходит запрос подтверждения по смс. Как они привяжут без телефона?

morilla писал(а):А еще злоумышленник может украденную карту

неужели кто-то не заблокирует украденную карту?
речь-то идет о случаях, когла карта вообще в твоем бумажнике, а кто-то при этом ее "срисовал" и пытается что-то оплатить

Если коротенько, то сюжет обхода такой:
Есть сервисы VoIP, которые предоставляют любой виртуальный номер телефона. Есть и такие сервисы, через которые можно получать SMS.
Причем уже есть и бесплатные такие сервисы.
Увы, не все банковские системы проверяют куда они отправляют SMS с кодом, на железный или виртуальный телефонный номер. Точнее в РФ еще никто не проверяет. В нынешнем стандарте для российских банков PCI DSS такого требования еще нет.

Но это если очень кратко. Если подробнее, то много чего писать надо.

Зависит ещё не только от банка но и конторы которая для магазинов/онлайншопов/ларьков/ресторанов, ну и в общем всех мест покупки/продажи обрабатывает трансакции с карточками.

Мы вот например работаем с двумя разными.

У одной не надо практически вообще ничего, достаточно номера и срок карточки. Никого не интерессует CVC или ФИО владельца карточки. Но деньги появляются на счёте за 7-14 дней.

У второго оператора нужно ФИО, Номер, Cрок, CVC. И здесь тогда деньги на счёте за 3-5 дней.

TatianaIv писал(а):

morilla писал(а):А еще злоумышленник может украденную карту

неужели кто-то не заблокирует украденную карту?
речь-то идет о случаях, когла карта вообще в твоем бумажнике, а кто-то при этом ее "срисовал" и пытается что-то оплатить

я и говорю об использовании срисованной карты. А срисовать есть масса способов. Например, через камеру кэш-контроля.
Наверняка обращали внимание на висящие видео-камеры над кассирами в магазинах, на АЗС и т.п. Они используются для борьбы с махинациями кассиров. Как правило, такие камеры имеют отличное разрешение и вполне им по силам снять видео, на котором будут видны кроме номера карты и ее CCV/CVC. А если еще узнать как популярно использование скиммеров для всяких нехороших подобных целей, то вообще страшно жить становится.

morilla писал(а):Увы, не все банковские системы проверяют куда они отправляют SMS с кодом, на железный или виртуальный телефонный номер

Странно. В банке прописан конкретный номер и ни на какой другой смс не приходят. Более того, в Сбере (не знаю как у других) этот номер должен быть российским. Специально узнавала, потому что в роуминге у меня другой номер. Как-то не верится, что система может отправит смс на любой номер, с которого пришел запрос, а не на тот, который привязан к карте. Вы знаете случаи, чтобы такое происходило?

это я криво изложил. Виртуальный номер злоумышленник может создать любой, в т.ч. тот, который привязан к карте.
Также есть способы как получать SMS от банка на такой виртуальный номер раньше. А в некоторых стандартах сотовых сетей есть способы как можно "выпилить" железный оригинальный номер из сотовой сети. В т.ч. из GSM.

Также скажу, что генераторы одноразовых паролей, в т.ч. на основе СМС не генерят эти пароли в чистом виде "случайно". Это псевдослучайные алгоритмы генерации. Раньше такая генерация была действительно случайной. А теперь, для совместимости с различными системами одноразовых паролей, алгоритмы псевдослучайны. Потому что, как правило, движок такой генерации один, в т.ч.для корпоративного использования всяких токенов, приложений двухфакторной аутентификации с помощью мобильных устройств и т.п. А там генериться число должно одинаковое, и у пользователя и на сервере.

а все псевдослучайные генераторы можно поломать, точнее "подломить" как говорят в тех кругах

охотно верю, что все это возможно. пока космические корабли бороздят просторы...
пойду заклею для начала оборотную сторону карты

morilla писал(а):Виртуальный номер злоумышленник может создать любой, в т.ч. тот, который привязан к карте.

Для этого надо как минимум знать номер, привязанный к карте.

LaSer61 писал(а):Для этого надо как минимум знать номер, привязанный к карте.

Вот и я о том же. Мне кажется, что из всех мошенничеств это наиболее маловероятный. Что совсем невероятный не скажу, не спец. Но слишком уж много должно совпасть.

Для того чтобы узнать нужный номер телефона в простейшем случае можно воспользоваться периодически утекающими базами данных процессинга, сайтов бронирования, магазинов и т.п.
Ну утекли у фейсбука 50 млн. записей о пользователях. Надо ж их кому-то использовать

А так это целая индустрия. Погуглите как устроен мир кардеров. Из классики можно почитать книжку KingPIN

Еще вспомнилась наша книжка "Как я украл миллион. Исповедь раскаявшегося кардера"

Как страшно жить! (с)