В описанном случае номер банковской карты «потерпевшего» был украден, точнее получен обманным путем на мошенническом сайте. Перевод средств за фейк-авиабилеты потерпевший подтверждал с помощью кодов 3D Secure, которые приходили в СМС от банка. Однако средства на опалату Yandex.Direct уходили в разное время без каких-либо дополнительных запросов владельцу карты, без проверок 3D Secure итп.
Хотя на теневых форумах мошенники писали, что Яндекс действительно не использует 3D Secure при оплате Яндекс.Директа, подтвердить это не получалось. При собственном тестировании пополнения баланса Яндекс.Директа через сайт, всегда проводилась дополнительная проверка с помощью смс-кодов от банка. Я даже думал, что Яндекс по результатам первой публикации быстро исправил свои сервисы. Для меня и, думаю, для многих долгое время оставалось непонятно, каким же образом мошенники обходили эту проверку. И вот я случайно нашел этот несложный способ, который лежал на поверхности, и который работает до сих пор. Всем, кто в комментариях к первой статье хвалился «суперзащищенностью» своих карт и хвалил свои банки, предлагаю проверить их на прочность при оплате Яндекс. Директа.
Прежде чем мы продолжим, под спойлером можно посмотреть, как выглядит форма оплаты, если пополнять баланс через личный кабинет Яндекс.Директа, используя браузер и полную версию сайта. К полной версией сайта вопросов не возникает.
Я даже не могу сказать, что я что-то открыл. Способ предельно простой и для его использования нужно всего лишь установить приложение Яндекс.Директ для мобильных телефонов и осуществлять оплату банковскими картами через это приложение. Вероятно, что большое количество добропорядочных пользователей Директа использовали этот способ пополнения баланса, но не обращали внимания на отсутствие проверок, либо оставляли этот момент на совести разработчиков. Ниже описана несложная последовательность оплаты на примере мобильного приложения для IOS.
Нажимаем на надпись «пополнить общий счет».
Вводим сумму и выбираем оплату по карте.
Вводим данные карты.
Данные карты сохранены. При первом сохранении для проверки с карты автоматически списывается 2рубля, а потом возвращается обратно та же сумма. Всё это происходит без использования 3D Secure! Не приходит никаких СМС итп. Для оплаты достаточно знать номер карты, ее срок и CVV. При тестировании использовалась карта Сбербанка, по которой при любых других покупках через Интернет, всегда приходят СМС с проверочными кодами.
Скриншот с СМС проверки карты и первой оплаты.
Данные карты по-умолчанию сохраняются в телефоне. При этом мобильное приложение даже не спрашивает пользователя, действительно ли он хочет хранить данные карты в телефоне. При последующих оплатах с использованием ранее проверенной карты, процесс пополнения баланса в Яндекс.Директе еще больше ускоряется. Достаточно выбрать ранее сохраненную карту и нажать внизу экрана кнопку «Оплатить». Сумма по-умолчанию уже вписана такая же, как была при предыдущем платеже. Деньги улетают моментально. Пользователю даже не выводится дополнительный вопрос, действительно ли он хочет перевести сумму.
Для того, чтобы существовал любой мошеннический сайт, он должен любым способом заманивать к себе посетителей, часть из которых может стать жертвами обмана. Мошеннические сайты живут недолго из-за того, что их со временем вычисляют и закрывают. Новым сайтам мошенников практически нереально без рекламы честным способом получить большую посещаемость из поисковых систем. Даже если такие сайты раскручивать целый год, на первые страницы выдачи они обычно не попадают. Остается единственный способ привлечь посетителей, — размещать платную рекламу. Реклама по полярным запросам (например, «дешевые авиабилеты в анапу») стоит дорого и свои средства мошенники тратить не будут. Для этого у них есть данные ворованных карт, с которых можно легко переводить десятки и сотни тысяч рублей в рекламную сеть Яндекса. Чужие деньги не жалко и ради того, чтобы попасть на первое место в выдаче, мошенники могут оплачивать Яндексу любую стоимость клика: 100руб., 200руб итп. Думаю, что ни одна рекламная сеть не будет возражать, что кто-то хочет с ней поделиться деньгами.
Яндекс создал программу, которая идеально подходит для включения в арсенал мошенников. Достаточно купить старенький подержанный смартфон и «левую» симкарту. На смартфон устанавливается приложение. Вводится в него номер ворованной карты. И из любого уголка земного шара, где есть мобильная сеть или wifi, одним кликом можно воровать деньги. Для особо подозрительных через неделю или через месяц смартфон и симкарту можно поменять. Отследить таких мошенников практически нереально.
Все довольны, кроме владельцев карт, с которых уводят деньги. На основании реального случая, описанного в первой статье, даже если по горячим следам обратиться в Яндекс менее чем через 12 часов после перевода средств в Директ, Яндекс оперативно отвечает: «По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось...». Если быстро обратиться в свой банк, то попытаться вернуть средства можно, особенно учитывая то, что их списали без проверки 3D Secure. Как показала первая статья, деньги в отдельно взятом случае после заявления в банк отправителя даже вернули. Но прежде чем деньги вернутся, жертвы мошенников вынуждены писать в Яндекс, в свой банк, в полицию итп, и ждать возврат месяц, надеясь на чудо. Тем временем мошенники за пару кликов вводят в приложение ворованные данные очередной карты и запускают новую серию бесконечного сериала.
А может быть все-таки добавить проверку 3D Secure при пополнении баланса в Яндекс.Директе?
Комментарии (101)
Barsuk
02.03.2017 10:54-3Ну будет яндекс проверять и что? Да полно мест которые непроверяют.
А нельзя ли опротестовать такую операцию в банке? В том случае что в статье указан?
xbox
02.03.2017 11:13+9Если Яндекс будет проверять 3D Secure, то нельзя будет легко пополнить счет в рекламной системе. Ворованных данных карты уже будет недостаточно. Если нет рекламы, то мошеннические сайты не выходят в топ выдачи. Если они не выходят в топ выдачи, то у них близкая к нулю посещаемость и заниматься ими нет смысла. Таким образом резко падает количество мошеннических сайтов.
Вы знаете много способов пополнить баланс Яндекс.Директа без 3D Secure? На данный момент я знаю только этот.
Да, есть какие-то магазины, отели итп, которые не используют 3D Secure. Но они не могут быть использованы для оплаты рекламы мошеннических сайтов.
Если Вы оплатите что-то в магазине, то Вам нужно указать адрес доставки. Если Вы оплатите отель, то кто-то в него приедет. Гораздо сложнее использовать чужие деньги, а главное, покупка в магазине или бронирование отеля не способствуют открытию новых мошеннических сайтов.
Опротестовать платеж можно. Об этом подробно написано в первой статье и немного в этой. Деньги могут вернуться, а могут и не вернуться. Зависит от многих факторов. Но в любом случае, жертва мошенников гарантированно попадает на несколько дней заявлений и переписок и еще на месяц ожидания.Barsuk
02.03.2017 11:41Так чем та история закончилась? Вернул банк деньги?
xbox
02.03.2017 14:08+1Так чем та история закончилась? Вернул банк деньги?
Чем закончилась та история, написано в первой публикации.
Пролистайте ее до конца. В самой нижней части статьи все описано.
Мне не сложно сюда все скопировать, но тогда эта публикация станет намного длинее и тем, кто первую часть прочитал, будет неинтересно читать текст по второму разу.
Wiiseacre
02.03.2017 22:31И поэтому из-за мошенников яндекс должен усложнять жизнь всем остальным?
Почему-то подумал, что если рядом стоят магазин, в котором продаются плюшевые мишки, и магазин по продаже молотков, то зарабатывать должен только первый. А второй должен вызывать ЧОП всякий раз, как только на порог явится человек без справки от психиатра, нарколога и проктолога, ведь он может проломить кому-нибудь голову этим молотком.
Есть уйма способов использовать самые разнообразные вещи и услуги недобросовестно. И усложнять жизнь тем, кто ими пользуется добросовестно, в надежде, что плохие дяди испугаются трудностей и пойдут вкалывать на шахте, — это путь вникуда.killik
02.03.2017 22:44Хм, приравнять рекламу к торговле оружием? Пока гротеск, но что-то в этом есть. Иммунитет от втюхивания конечно должен быть у каждого разумного индивидуума, но он вырабатывается только путём жёстких обломов оного. Как бы так и рекламу сохранить, и в майнкампф не улететь?
Wiiseacre
03.03.2017 02:07А никак. Абсолютно такой же абсурд и маразм начнётся, как и с продажей оружия.
В Англии будет запрещена вся реклама, кроме прибитых к нижней границе сайта 25 символов, точно также, как запрещены ужасные ножи-бабочки.
В России человек, который по долгу службы не только умеет обращаться с любыми видами оружия, но и учит этому других, будет обязан не только просидеть в обнимку с дедовской двустволкой 5 лет перед покупкой испорченного нарезного оружия. Он ещё перед тем, как начнёт рекламировать молотки, пять лет будет обязан рассказывать людям о пользе плюшевых мишек. А если у него найдут баннер с молотками, на рекламу которых он не получал разрешения, то его посадят.
Зато в интернете останутся только проверенные рекламодатели от глобальных корпораций, а все мошенники от невозможности заработать на людской легковерности переквалифицируются в управдомы.
xbox
03.03.2017 02:14+6И поэтому из-за мошенников Яндекс должен усложнять жизнь всем остальным?
Именно так.
Если бы не было мошенников и все были бы законопослушные и имели только добрые намерения, то можно было бы много чего отменить, чтобы не усложнять жизнь всем остальным. Например, можно было бы вообще отменить пинкод при любых оплатах картой, можно отменить CVV, можно не запрашивать паспорт при обращении в банк, можно отменить двухфакторную авторизацию при входе в банк-клиент, можно выдавать кредиты всем желающим без лишних проверок и формальностей. И в других сферах можно было бы много чего убрать. Например, турникеты и заборы на выход из электричек, турникеты в автобусах, проверку документов и рюкзаков в метро, отменить кассовые аппараты в точках продаж, отменить техосмотр машин итп. Практически в любой сфере из-за кучки каких-то жуликов и хулиганов страдают все остальные. Огромное количество неудобных вещей можно было бы отменить, если бы не они…
С другой стороны можно сказать, что Яндекс должен «усложнять жизнь всем остальным» не из-за десятков мошенников, а, например из-за сотни жертв этих мошенников.
Даже, если Вы уверены, что используете свою карту только в проверенных местах, нет гарантии, что в один из дней, например, не взломают базу Аэрофлота, и выяснится, что Аэрофлот в нарушение всех требований хранил данные карт. Или сломают сайт госуслуг, через который Вы один раз оплатили штраф. Или случайный бармен, взглянув на карту, запомнит наизусть ее номер. Вы не можете гарантировать, что номер Вашей карты в один из дней не попадет к мошенникам.
И когда, катаясь на лыжах в Альпах, Вам вдруг начнут приходить СМС о том, что Ваши средства списываются за оплату рекламы в Директе и баланс карты за несколько минут обнулился, Вы, конечно, подумаете, что это не повод для волнения, что это не Ваши проблемы, а проблемы Яндекса и Вашего банка. Вы будете уверены, что одно обращение и деньги Вам вернут. А если попробуют не вернуть, то МПС кому-то что-то сделает по самые помидоры. Требуется всего один звонок, нужно только подзарядить новейший смартфон, разрядившийся на морозе. Но Вы точно помните, что в баре на высоте 3200, на второй очереди подъемников у бармена был точно такой же аппарат. Наверняка, у него должна быть зарядка. Зарядив телефон, и найдя в интернете номер Вашего банка, Вы уверенно позвоните в свой банк в Москву. Автоинформатор ответит, что Ваш звонок очень важен, Вы второй в очереди и время ожидания 20 минут. Это нормальное время ожидания, подумаете Вы, ведь на календаре 2 января и не должны сотрудники банков мучиться из-за нескольких клиентов, которые всегда найдут повод для недовольства, даже в праздники. Вы не будете волноваться в ожидании ответа оператора, ведь перед выездом в горы, Вы с запасом пополнили счет мобильного оператора, для оплаты международной связи. Дождавшись ответа оператора банка, Вы назовете свои паспортные данные, чтобы Вам поверили, что Вы это Вы, и оставите заявку, подробно описав, что произошло, и продиктовав дату, время и суммы всех подозрительных транзакций. Карту с нулевым балансом сотрудник банка Вам вежливо заблокирует и назовет номер зарегистрированного обращения. Через 15 дней Вам придет смс, что банк увеличил срок рассмотрения Вашего обращения еще на 15 дней…
И вот, когда Вы будете поднимать бокал шампанского при встрече следующего нового года, Вы подумаете, что все-таки предыдущий год был полон приключений, что Вам есть что вспомнить, что в тот раз, при личном посещении банка 23 февраля, Вы круто разъяснили всем тупым сотрудникам банка, правила платежных систем и, что даже начальник отделения банка через час не смог парировать Ваши доводы. И одновременно Вы подумаете, что ничего не может сломать Ваш внутренний стержень, что Вы остались верны своим убеждениям, и что все-таки, хоть Вам и пришлось немножко потратить своего времени и сил, Вы счастливы за пользователей Яндекс.Директа, которым не нужно вводить лишние шесть цифр из смс при пополнении баланса рекламной компании.
Ungla
03.03.2017 12:16-1За картами надо следить всегда и везде, не использовать накопительные карты в интернете. Не держать все деньги в поездках в одном месте. Всё что вы описали — исключительно ваша проблема, вы предоставили свои данные мошенникам добровольно на фишинговом сайте.
Другое дело что Яндекс не занимается мошенническими сайтами, не блокирует их. Как вас вообще занесло на мошеннический сайт при том, что давным давно большинство пользуется всевозможными авиасэйлс не ясно совсем. Не спрашивать каждый раз смс — да полно таких операций.xbox
04.03.2017 13:59+1Как вас вообще занесло на мошеннический сайт при том, что давным давно большинство пользуется всевозможными авиасэйлс не ясно совсем.
Меня на мошеннический сайт не заносило. Но я помогал человеку, которого на такой сайт занесло и который из-за этого попал в неприятную ситуацию. Одновременно с решением проблем одного человека, я надеялся помочь еще некоторому количеству людей не попасть в аналогичную ситуацию. Для этого я постарался написать на GT несколько статей, в которых обратил внимание на проблемные моменты. И, насколько я вижу, эти публикации действительно принесли пользу.
Касательно «авиасэйлс», — Вы уверены, что сможете без ошибок написать название домена? Если Вы пролистаете список из белее 400 закрытых доменов, которые продавали «фейк-авиабилеты», то там найдется, как минимум десяток схожих по написанию авиасэйлсов. Опечатка в одной букве, ошибка в зоне (com/net/ru/eu) итп может привести Вас на поддельный сайт. А если Вы не уверены в написании, то есть вариант ввести в адресной строке браузера ту часть, которую помните, а дальше довериться поисковой системе. А поисковая система в самой верхней строчке, ярко выделит рекламируемый фейк-сайт, который будет очень похож на то, что Вы ищите. Это все не теория, — так это работало еще полгода назад.
Может ли любой человек, который на 200% уверен в своих силах, который с закрытыми глазами по запаху от экрана распознает мошеннические сайты, быть точно так же уверенным в том, что его знакомые, родственники и близкие не попадутся на крючок к мошенникам? Может ли, например, руководитель отдела по борьбе с киберпреступлениями, быть уверен в том, что при покупке авиабилетов случайно не допустит роковую ошибку его жена, старенькая мама, недавно получившие паспорт дети или сестра, которая никак не может запомнить, как попасть на сайт «вконтакте»?
dkukushkin
02.03.2017 11:37+1А нельзя ли опротестовать такую операцию в банке? В том случае что в статье указан?
Можно, но в случае если вы напишите заявление, что операцию делали не вы (немного гемморно, но работает).
А у Яндекса есть требования к сайтам для Yandex.Direct и найти владельца сайта труда не составит (при подключении Direct проверяется владеете ли вы сайтом). И получается что владелец будет мошенником, на него заведут дело.strat
02.03.2017 12:05+1при подключении Direct проверяется владеете ли вы сайтом
Нет, не проверяется. Рекламировать можно любой сайт и по любым запросам с любого аккаунта яндекс директ, ну естественно исключая всякие запрещенные тематики и т.д. и т.п.
barker
02.03.2017 10:54+4При тестировании использовалась карта Сбербанка, по которой при любых других покупках через Интернет, всегда приходят СМС с проверочными кодами.
Не может быть никаких «при любых других покупках ». Эти все проверки делает/инициирует конкретный магазин, а не банк. Ну это если вы не знали.
На али, например, с картой сбера тоже никаких смс не нужно. Да и много где.
Disasm
02.03.2017 10:56+5Вроде бы где-то уже писали, что 3DSecure предназначен не для защиты покупателя, а для защиты продавца? Да и на вики явно написано, что в случае использования 3DSecure ответственность переносится с продавца на банк-эмитент или покупателя. В данном случае это всё будет проблемой Яндекса, что довольно логично, в целом.
Areso
02.03.2017 11:14+4Только не в Soviet Russia. Вы придёте в Сбер, вас выслушают… спросят, купили ли вы платную страховку для подобных случаев (у них это отдельная услуга, именно так), вы ответите отрицательно. Больше вы своих денег не увидите.
Disasm
02.03.2017 11:17-1Вот только не надо сбер и незнание прав конкретным индивидом обобщать на весь Soviet Russia.
DMGarikk
02.03.2017 11:20А вы не только говорите, а напишите заявление в МПС, они могут как угодно называть свои услуги, правила возврата определяются правилами МПС, а не банком
WraithOW
02.03.2017 11:57Но вы же буквально в соседнем треде написали, что МПС не имеют дел с физлицами. Или я вас неправильно понял?
DMGarikk
02.03.2017 12:06заявление в МПС можно написать через банк, игнорируя уверения операционистов что «это платная услуга»
kibitzer
02.03.2017 13:07+2Как это сделать, угрозой заставить операциониста? Для него это платная услуга.
DMGarikk
02.03.2017 15:32-1Он обязан принять от вас заявление, какая разница, платная услуга или нет (в мечтах банка)… например когда банкомат сожрал карточку и деньги не отдал пишется точно такжеже заявление точно такойже формы. и есть строго регламентированные сроки его рассмотрения
Учитывая упёртость банков и игнор физиков МПСами другого пути нет. можно привлечь и начальника операциониста
imanushin
04.03.2017 16:21Берешь двух друзей, приходишь в банк, даешь заявление. Если не берет: фотографируешь заявление, составляешь акт, что ты к банку обращался. Потом отсылаешь заявление по почте (письмом с описью и т.д.), плюс информацию о том, что заявление приносили вовремя, ибо акт есть. Если в оговоренный срок не пришёл ответ — можно идти в суд.
Что мы получили:
- Ты отдавал заявление вовремя, пруфы есть
- Банк в итоге точно получил бумагу, он не сможет ну ни как отвертеться, что "я бы рад помочь, но..."
Ну и самое главное: все компании не обязаны тебе ничем, кроме того, что их обяжет суд. Просто большинство оказывают услуги в досудебном порядке (ну например возврат товара в магазине), так как понятно изначально, что покупатель выиграет в суде. А отсюда наиважнейшее следствие: будь готов судиться, если компания упирается до последнего.
lazyranma
02.03.2017 11:26Во-первых, Вас никто не заставляет пользоваться услугами Сбера.
Во-вторых, статистика по Сберу не такая уж и печальная: http://www.banki.ru/blog/KiraSoft/3115.php
В-третьих, если клиент своевременно (1 день) уведомил банк, что операцию совершил не он, то закон на его стороне. Даже если Сбер отказывается платить добровольно, его может принудить суд.
digdream
02.03.2017 17:02+1причем и страховка мягко говоря имеет много «звездочек» и мало будет полезна
suntori
02.03.2017 11:14Такая же ситуация и с пополнением карты "Тройка" с помощью приложения для Android "Яндекс.Метро". Регулярно пользовался данной функцией. Ни разу ничего не запрашивало. Карта Сбербанка
inkelyad
02.03.2017 11:14По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось...
А нельзя ли по этому поводу жаловаться непосредственно в саму платежную систему, чей логотип на карте был — у них может быть другое мнение по поводу того, что должны делать в подобных случаях те, кто через их систему без надлежащей авторизации деньги провел.
Kopart
02.03.2017 11:33+1Нужно при подключении карты в приложении 1 раз спрашивать код 3DSecure или код из «комментария транзакции».
Это не ухудшит удобства для пользователей приложения Директ, но закроет дыру.
vasiliysenin
02.03.2017 12:00+3А можно ли в своём банке заблокировать переводы, осуществляемые без подтверждения с помощью секретного кода?
lazyranma
02.03.2017 13:14На banki.ru сотрудник банка писал, что за такую самодеятельность МПС может банк оштрафовать, если количество валидных, но отклонённых авторизаций превысит какой-то пороговый процент.
Wiiseacre
02.03.2017 13:13Никак не могу вспомнить, проверяет ли Google Adwords что-то при первой оплате, но после неё он сохраняет данные карты и для оплаты нужно просто ввести в окно сумму.
O1eja
02.03.2017 13:13-1Как отвлечённое от темы решение. Можно привязать вируальную карту Яндекс к Янедкс директу, ровно как ко всем не силько вызывающим доверие сервисам. Саму карту Яндекс пополнять переводом со счёта банка. В случае себра перевод на счёт кошелька ЯД мгновенный и без процентов.
impetus
02.03.2017 13:16+1Пошел плюсовать и обнаружил, что это GT, почему-то, а не соответсвующий хаб Хабра.
«Уязвимости денег» это недостойно «большого Хабра»? Может статью туда стоит перекинуть?
Gorodnya
02.03.2017 14:39xbox, что ответила поддержка Яндекса по этому поводу? Вы же сообщили сперва им, правильно?
xbox
03.03.2017 09:20+1Если Вы спрашиваете, писал ли я в Яндекс про то, что Яндекс не запрашивает коды 3D Secure при использовании мобильного приложения, — нет не писал. Я думаю, для Яндекса это не секрет. Это не баг, а «фича». Обсуждать с отдельным сотрудником поддержки общую политику Яндекса занятие, на мой взгляд, малоперспективное. Если Вы спрашиваете, писал ли я вообще в Яндекс, про то, что деньги на Директ уходят без проверки 3D Secure без указания конкретного способа, то да, писал и много раз. Я писал в поддержку Яндекса о факте хищения средств с подробным описанием. Также это все описано в первой публикации на GT, которую в том числе комментировали и представители Яндекса. Сотрудники Яндекса точно в курсе этой особенности.
Я много раз писал в Яндекс, обращая внимания на разные ошибки и проблемные моменты в их сервисах.
Например, полгода назад, 09/09/2016, я написал им в поддержку об очевидной, легко проверяемой, а главное легко исправляемой ошибке в поисковой выдаче. Мое сообщение об ошибке приняли (есть номер тикета), мне точно ответил живой человек, а не робот, поблагодарили и обещали исправить. Ошибка, на исправление которой требуется 5 минут, не исправлена до сих пор.
Вы можете сами проверить. Введите, например, в поиске Яндекса любой запрос типа «инструкция к телефону panasonic». На первой странице выдачи Выдачи увидите несколько ссылок на PDF файлы с инструкциями. Рядом с каждым файлом будет указан его размер. Прямо сейчас указываются такие размеры файлов, размещенных на разных доменах: 15КБ, 10КБ, 12КБ, 22КБ и тп. Разве не подозрительные размеры у PDF файлов? Если Вы скачаете любой из этих файлов, то файл, которые Яндекс взвесил на 6КБ, в действительности будет весить 2,1МБ итп. Сейчас зависимость определенного и реального размера файла не линейная, а полгода назад у меня выходило, что килобайты с мегабайтами были перепутаны. Т.е. очевидная ошибка в определении размера файла. Но за полгода её не исправили.
Поэтому, основываясь на своем опыте, я понимаю, по каким вопросам особенности работа Яндекса имеет смысл писать в поддержку, а по каким вопросам может помочь только широкое обсуждение проблем.
Хочу обратить внимание, что в целом я положительно оцениваю работу Яндекса. Когда я обращаю внимание на каких-либо проблемы в Яндексе, у меня нет цели очернить репутацию компании. Все, что я хочу, обращаясь в Яндекс или поднимая фантик на обочине, — это сделать мир немножечко лучше.Gorodnya
03.03.2017 10:28Я понимаю, что Вы хотели как лучше, но если уязвимость есть — о ней сначала всё-таки уведомляют вендора.
Затем уже, если нет никакой реакции или с реакций Вы не согласны, вопрос можно выносить на всеобщий суд.
Иначе может случиться так, что некоторые люди пострадают, если не все мошенники знали про эту особенность, а сейчас, после Вашей статьи, начнут её эксплуатировать.
Первых два Ваших поста вышли зачётными, но здесь в комментариях уже говорилось о том, что 3DS не панацея, и есть множество крупных сайтов, которые успешно работают не только без 3DS, но и без CVV2/CVC2.
amarao
02.03.2017 14:54+6У меня ощущение, что автор неправильно понимает, что такое 3DSecure.
3DSecure, это защита банков от фрода.
Логика такая:
Если банк умеет 3DSecure, мерчант согласился использовать 3DSecure, клиент ввёл пароль, то транзакцию не оспорить как фрод (только как not provided через чарджбэк).
Если банк умеет 3DSecure, мерчант принимает платёж без 3DSecure, то клиент может оспорить списание как CNP.
Если банк не умеет 3DSecure, мерчант хочет 3DSecure, то клиент идёт лесом (или фоллбэк на простую CNP? Не знаю).
Если банк умеет 3Dsecure, мерчат умеет 3dsecure, а клиент не хочет, то мерчант может либо согласиться рискнуть на CNP, либо послать клиента лесом. Иногда банки, которые умеют 3Dsecure, говорят, что если клиент явно отказался от 3DSecure, то весь фрод — его (в смысле, виноват клиент).
То есть если у банка включен 3Dsecure, на карте включен 3Dsecure, а мерчант деньги берёт без 3DSecure, то это под его собственную ответственность. Тот же амазон вообще карты берёт просто по номеру, даже без срока действия и имени-фамилии, не говоря уже про 3dsecure.
То есть в этой ситуации это проблема Яндекса, а не владельца карты. Если есть списания со стороны яндекса, они оспариваются как любые CNP, в пол-пинка. «Не платил я такого» — и всё, виноват мерчант.
tyomitch
02.03.2017 15:39Если есть списания со стороны яндекса, они оспариваются как любые CNP, в пол-пинка.
Оспариваются кем? В топике написано, что банк такие претензии рассматривать просто не хочет.
Ну вот предположим, amarao приходит к операционисту и говорит: «оспорьте ту транзакцию, не платил я такого».
Операционист отвечает: «ничего не буду оспаривать».
Дальше что?olekl
02.03.2017 16:16Оф. письмо со входящим номером руководству банка? С указанием в письме следующего шага?
amarao
02.03.2017 16:26Жалоба в визу/мастеркард. После этого банку вставляют по самые помидоры. Вообще, на самом деле, я не видел банка, который бы на просьбу сделать chargeback ответил бы отказом.
https://www.mastercard.us/en-us/consumers/get-support.html
+
If you are a Visa Europe customer, please contact Visa Europe Customer Support on your country specific number, or e-mail us at customersupport@visa.com.DMGarikk
02.03.2017 16:35+1виза/мастер вас в банк отправит. они не общаются с физиками
amarao
02.03.2017 16:40Если комплейн касается поведения банка — более чем общаются. Вероятнее всего, для РФ надо будет с российским отделением связываться.
RinatMullayanov
09.03.2017 11:41Если открыть русский сайт https://www.mastercard.ru/ru-ru.html, то можно увидеть в меню после 'Глобальная служба поддержки' такую фразу:
«По вопросам обслуживания карты,
пожалуйста, обратитесь в банк,
выпустивший вашу карту»amarao
09.03.2017 12:03+2Крайне любопытно. Я предлагаю решить проблему проще, я напишу в их пресс-службу, посмотрим, как они ответят.
RinatMullayanov
09.03.2017 12:08+1Спасибо, очень интересно услышать их ответ.
amarao
10.03.2017 14:27+4Внезапно, мне приходится пересмотреть свою позицию. Вот ответ из русской пресс-службы Mastercard.
Добрый день, уважаемый Георгий,
спасибо, чтоб вы обратились к нам с запросом.
Правила Mastercard единые и действуют во всех странах, где работает платежная система, при этом под “customer” в правилах понимаются наши непосредственные клиенты – участники платежной системы (банки), а не физические лица. Вы как держатель карты являетесь клиентом банка-эмитента.
Процедура chargeback является правом, а не обязанностью банков. Инициация этой процедуры всегда остается на их усмотрение, банки самостоятельно принимают это решение, взвешивая свою позицию и издержки по участию в процедуре.
Держателю карты по всем вопросам, связанным с ее обслуживанием, необходимо обращаться в банк.
Кроме того, вы вправе использовать для защиты своих прав средства защиты в соответствии с законодательством.
__________
Пожалуйста, позвоните мне, если потребуется уточнить какие-то моменты [cut]
С уважением,
Елена
Elena Prorokova
Communications
Masterсard
127051 | Tsvetnoy Boulevard
building 2, entrance D, the 4th floor | Moscow, Russia
-----Original Message-----
From: George Shuklin [mailto:obscured]
Sent: Thursday, March 09, 2017 12:06 PM
To: Prorokova, Elena
Subject: Позиция компании в отношении русскоязычных клиентов
Добрый день.
На geektimes.ru завязалась дискуссия о том, что клиентам следует делать, если банк-эмитент карты MasterCard отказывается принимать запрос на chargeback.
Есть ли механизм обжалования действий банка в MasterCard для пользователей в России? Я планирую процитировать ваш ответ в дискуссии.
Заранее спасибо.
Ссылка на ветвь дискуссии: [cut]
tyomitch
02.03.2017 16:42Цитата из первого топика:
После чего я обратился в службу поддержки банка, где мне ответили, что не могут вернуть деньги и посоветовали заблокировать карту и обратиться в полицию.
amarao
02.03.2017 17:30После чего надо было пожаловаться в визу, ибо сотрудник банка явно не знал про процедуру chargeback.
tyomitch
02.03.2017 18:23Может и знал, но неохота было заморачиваться: куда проще отправить просителя в кросс по инстанциям. «Вас много, а я одна.»
G0rDi
02.03.2017 22:43+2Всё он знал, у них негласное правило сливать нубов, ибо для банка это еще тот геморрой.
d-stream
04.03.2017 00:55Это стандартная традиция ответов на «спросил». Как только вопрос/запрос формулируется со всем документированием (отметка на копии заявления, заказное письмо и т.п.) — ответы и реакции сразу становятся более адекватными.
Что вполне понятно — бумажка с «неответом» или неадекватный ответ — могут и в ЦБ попасть и в другие органы, внимание которых обойдется банку существенно дороже…
spirittoys
06.03.2017 06:51Как раз в процессе chargeback, но не помню какими фразами я просил его инициировать. А был ли фильтр: «сливать нубов»…
G0rDi
02.03.2017 22:19+1А с чего бы в друг Яндекс был обязан включать 3DS это выбор торговой площадки и полностью ее риски.
Другу Вашему надо было писать заявление в своём банке на чарджбек с пометкой «услуга не оказана» для транзакциям по авиабилетам (если они проходили 3DS аутентификацией) и «мошенничество» для транзакций по Яндекс.Директу (раз они проходили без 3DS), вот и все дела. VISA или MS на арбитраже в 99% случаев решает в пользу держателя карты, да же если услуга была оказан (но торговые площадки обычно сдаются на пре-арбитраже так как за арбитраж с нее снимут еще ~500$ ). Это конечно та еще тягомотина вернуть свои кровные, но за квартал примерно все происходит. В моей 10 летней практике не встречал случаев когда деньги не возвращали по чарджбеку, если был реальный факт обмана/не оказания услуги, главное знать, что делать в этом случае.
Статья не о чём, Яндекс ни в коем разе ни кого не ущемляет, любая транзакция без 3DS для покупателя безопасней. Только бабули думаю, что раз пришла СМС с кодом так надежней, а на деле на оборот, этой аутентификацией как раз магазин защищается, а Вы как покупатель от этого проигрываете.
aelistra
02.03.2017 23:32Мораль этой истории очень проста: не пользуйтесь дебетками без крайней необходимости. Дебетная карта — это почти кеш. Для любых удаленных транзакций — только кредитки.
Тогда и проблем с оспариванием платежа не будет.
victorlapshev
02.03.2017 23:32+1Для appstore и сотни других сервисов не нужен 3d-secure
Достаточно купить старенький подержанный смартфон и «левую» симкарту
чем Вам мало виртуалки с андроидом, это же все таки айти портал :)
tixit
08.03.2017 23:51Пошел в магазин за продуктами, взял карточку жены. При оплате на кассе вдруг понял, что забыл пин-код карточки. Начал звонить жене, спрашивать код. Продавщица глядя на меня как на полного дурака, вытаскивает нашу карточку из разъема 3d-secure терминала, и просто проводит магнитной полосой карты через считыватель. Все оплата совершена. Ни спрашивая никаких пинов.
barker
09.03.2017 21:04+1Ваша продавщица намеренно нарушила все мыслимые и немыслимые инструкции и предписания, приняв оплату по карте от лица, заведомо не являющимся её законным держателем.
tixit
10.03.2017 14:32Вообще-то продавец не имеет полномочий проверять паспортные данные покупателя и кроме того любой гражданин имеет право не носить с собой свой паспорт. И даже тревование закона об ограничении продажи сигарет и алкоголя несовершеннолетним, вступает в конфликт с перечнем лиц имеющих право проверять паспортные данные. Но кроме того по закону о торговле продавец обязан продать покупателю имеющийся у него товар. Тоже самое относится и к перевозке транспортом общего пользования, услуги связи, энергоснабжение, медицинское, гостиничное обслуживание и т.п. В свете имеющихся вводных данных, какие мыслимые и немыслимые инструкции могла нарушить продавщица, если она даже не имеет возможности проверить кто является её законным держателем карты?
DMGarikk
10.03.2017 15:411) Имя на карте явно не мужское (ну тут могут быть варианты, ладно)
2) Оплата по полосе подразумевает подпись на чеке которая не совпадает с подписью на картеtixit
10.03.2017 16:24Так в любом случае подпись физически на чеке может появиться только после факта покупки. Т.е. проблема поднимаемая автором поста, вообще не является проблемой ни для платежной системы и уж тем более для Яндекса. Система изначально такой создавалась. Т.е. нашел на улице карточку, или своровал ее из кармана, или своровал ее коды с помощью вируса, и все: деньги уплыли.
barker
11.03.2017 19:10Вообще-то при наличии сомнений в законности владения картой кассир вправе запросить документ, подтверждающий личность. По крайней мере раньше это было так в рекомендациях банков. А если это карта не ваша, она может задержать карту или вас. Если меня поправят, то буду признателен, т.к. мне не очень понятно как это сейчас работает, при условии, что сейчас в рекомендациях вроде бы есть требование предоставить возможность оплатить, не передавая карту в руки продавцу.
tixit
12.03.2017 00:07Перечень лиц, которым имеют право проверять паспортные данные крайне узок(полиция, таможня, нотариусы, работники банков, лицензированные на провеку документов охранники, кассиры РЖД, проводники и п.р.). Они должны уметь отличить настоящий паспорт от фальшивого по ряду признаков. И эти лица периодически проходят переаттестацию на эту тему в МВД. Обычные продавцы не умеют отличить фальшивый паспорт от настоящего, так как не обучались этому. И них нет соответствующего спец.оборудования. Тоже самое и с охранниками: у обычного охранника в продуктовом магазине не будет лицензии на проверку паспорта: такую лицензию имеют охранники работающие на КПП. И прежде чем проверить у вас паспорт, это лицо должно получить от вас разрешение на доступ к персональной информации в письменном виде. Так правильно.
Задерживать человека имеет право только полиция и иные государственные силовые структуры. Продавец магазина не имеет на это права. Также как и охранник магазина. А если они это делают, то это уже незаконное лишение свободы. Карается лишением свободы от 2 лет до 8 лет.
Т.е. есть некие рекомендации банков, а есть жизнь в которой владельцу продуктового магазина обучение кассиров методам проверки паспортов обойдется в копеечку. А с другой стороны есть обязаность магазина продать необходимый покупателю товар. Т.е. продавец не имеет права отказать в продаже товара.
Я конечно утирирую, но вот к примеру, покупатель забегает в аптеку и молит аптекаря: дайте срочно что-нибудь от сердца. И при этом пытается заплатить с карты, которая по неким признакам не его(а например его жены). И как надо поступить аптекарю, чтобы потом не получить срок?barker
12.03.2017 11:01Ну да, вы утрируете, описываете всякие противоречия и ставите «моральные задачи», но не говорите о текущем положении дел или как должно быть на самом деле.
Я вам говорю лишь о том, каковы инструкции банка. Ну и продавец имеет право (и даже обязан!) отказать в продаже товара в отдельных случаях, например, алкоголя или табака несовершеннолетнему или в определённое время суток (зависит от региона), аптекарь не отпускает круг лекарств без рецепта итд. Конкретно за продажу алкоголя несовершеннолетнему магазины получают очень серьёзные штрафы. Тут конфликт происходит ну типа прав покупателя (которые вы упоминаете) и прав/обязанностей магазина (а именно магазину надо как-то убедиться, что он заключает оферту по продаже алкоголя с лицом, имеющим на это право).
Как это на самом деле разруливается в правовом смысле, вот вы сами в курсе? В целом это похоже на извечные срачи в автолюбительской среде типа обязан я или нет предъявлять водительские права и прочие документы ДПС-нику в каждом случае.
SandroSmith
11.03.2017 02:31Хм, странно… Недавно занимался установкой терминала на рабочем месте, в связи с чем проводил тестовые проводки. Так вот, если попытаться провести магнитной полосой чипованную карту, терминал говорит "низзя, у тебя есть чип — используй его". Или это от настроек POSa зависит?
tixit
12.03.2017 00:17Наверное от настроек зависит. Еще заметил, что на заправках, очень часто оплата производится именно с использованием магнитной полосы, а не чипа. Приходишь с двумя картами: одна банковская, другая для накопления скидок. Кассир сначала скидочной проводит по считывателю магнитной карты, и тут же банковской. Вероятно их так научили. А в магазине по-другому.
skullodrom
09.03.2017 23:23+1Я столкнулся с тем же самым в двух польских банках. Сказали что невозможно запретить платежи без 3d-secure. Сказали единственной альтернативой это оформлять страховку, далее когда вас обокрали идти в полицию и вуаля, через пол года вы получаете часть денег назад, другого способа в Польше нет.
ainu
А Амазон вообще не спрашивает cvc код. Чем выше уровень продавца, тем меньше уровень защиты. Всё это (кроме номера) — фикция, предназначенная для успокоения покупателей.
ainu
https://ru.wikipedia.org/wiki/CVV2 — «Наличие CVV2-кода на карте не является ни необходимым, ни достаточным условием для совершения платежей в Интернете.»
https://ru.wikipedia.org/wiki/3-D_Secure — «3-D Secure не является абсолютной защитой денег на карте при CNP (card not present) операциях, например одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3-D Secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения.[2]»
https://geektimes.ru/post/109473/ — «схема [3d SECURE] работает только в том случае, если и банк-эквайер, и банк-эмитент сертифицированы по этим технологиям»
omickron
>схема [3d SECURE] работает только в том случае, если и банк-эквайер, и банк-эмитент сертифицированы по этим технологиям
Более того, магазин-продавец ещё должен «активировать» эту опцию у своего банка.
geisha
Да вообще местячковая статья под заголовком «скандалы интриги расследования». Ну PayPal, насколько я помню, тоже не проверяет. Skype точно не проверял у меня. Все это на усмотрение банка и, иногда, можно запретить банку проводить операции без 3D secure. Опять же, это не панацея, т.к. повторные платежи будут все равно уходить без подтверждений. Еще можно запретить пользоваться картой по географическому признаку, установить лимиты и вот всё это (конечно, зависит от банка). Иногда мой банк сам не проводит определенные операции, которые считает подозрительными (не мог купить билет в метро).
У дебетовых карт все строже но, опять же, зависит от банка.
Самое главное, что концепт кредитной карты предпологает, что каждый месяц вы получаете выписку и, если что, говорите банку, что я не покупал ящик айфонов в китае. Хороший, годный банк дальше разбирается сам.
Archon
Не подскажете банк в России, который действительно будет разбираться сам, а не по принципу «ну вы погасите пока долг, а может быть через годик мы вам что-нибудь вернём»?
Пока, к счастью, попадать на успешное мошенническое списание не приходилось, только на отклонённые попытки, поэтому карту удавалось заблокировать. Но хотелось бы всё же знать, кто из банков у нас нормально отрабатывает такие случаи.
geisha
VampiRUS
УБРиР вернул мне на карту деньги через месяц.
Hormiga
В общем-то любой банк в РФ, согласно законодательству.
С недавних пор банки несут полную ответственность за хищения средств клиентов, за исключением тех случаев, когда клиент сам виноват (например, диктовал в трубку неизвестному одноразовые пароли). именно поэтому в последние пару лет многие банки пытаются усилить защиту своих карт.
Ruckus
Я не пользовался амазоном, но заявление про отсутствие необходимости cvv что-то ввело в ступор. Можете поподробней рассказать где и как у амазона проходит оплата без использования cvv?
Areso
Они его даже не спрашивают. Деньги списываются.
Ruckus
Попробую потом на aws'е протестить, но вообще впервые о таком слышу. Очень это грустно так то. Они хоть дату «годности» карты проверяют?
alexkunin
AWS при добавлении нового метода оплаты спрашивает номер карты, экспирейнш, имя владельца, ну и биллинг-адрес. Потом снимает 1 доллар для проверки. CVV нигде не спрашивает, но: может это только с теми картами/банками, которые у меня, а также может он начнет спрашивать, если банк отклонит транзакцию без CVV, хотя это все предположения, конечно же.
d-stream
Ровно такое же наблюдал при оплате кредитной картой райфа при покупке в амазоновском магазине несколько лет назад.
Предположил что амазон — такой большой и жирный, что банки верят ему на слово.
malysh1980
Не совсем так. Они его не спрашивают после того, как вы привязываете свою карту к аккаунту. А во время привязки вы забиваете все данные туда, включая CVV.
А в дальнейшем — да, уже не нужно ничего подтверждать. Добавили товар в корзину, выбрали карту, которой оплачиваете и списание состоялось.
240sx
Но даже при привязке карты они не могут хранить CVV:
"Поскольку код CVV2 не может храниться продавцом в течение даже короткого времени (после того как авторизация с использованием CVV2 завершена — таковы требования стандарта PCI DSS), то продавцы, которые должны регулярно списывать деньги с карты за какую-либо услугу, не могут использовать CVV2 для последующих транзакций."
Источник: https://ru.wikipedia.org/wiki/CVV2
malysh1980
Здесь не буду спорить, поскольку в амазоне не работаю и не могу утверждать, как у них обстоят дела на самом деле. по факту вижу на собственном примере, что CVV был запрошен всего однажды, при привязке карты к аккаунту, после чего все списания происходят без каких либо подтверждений с моей стороны.
Есть ИМХО, что между «как должны делать» и «как делаем» в Америке такая же ситуация, как и у нас :-)
dmitryrublev
Продавец может сгенерировать токен для карты, и хранить только его.
Все списания будут производиться с использованием токена, и не будут требовать повторного ввода данных карты.
Такой вариант вполне нормален при соблюдении PCI DSS.
zikasak
покупал на амазоне вентилятор для компьютера. Карта не привязана. CVV не спрашивали. Только номер и срок действия.
KostaArnorsky
Минимальная информация, которая требуется для списания — номер карты и дата. Где-то CVV просят, где-то нет, где-то 3D Secure требуют, и это все одна и та же карта. Аналогично в терминалах, дебитка с чипом и пином, но где-то просто подпись, а некоторым вообще ничего не надо — списали и все. Тут была статья о терминалах и их настройках.
slonoslon
Есть какая-то связь с уровнем продавца, но не такая однозначная. У нас мелкий районный провайдер интернета принимает платежи без запроса 3D Secure, в отличие от например РЖД или Аэрофлота.
dmitryrublev
Там скорее связь с уровнем ответственности продавца. Если нет дополнительных проверок вроде 3D Secure, то ответственность за фрод будет нести продавец, и все вопросы о возврате средств должны ложиться на его плечи.
bbidox
Разница не только в уровне продавца, но и в том, готовы ли они к штрафам от Visa / Mastercard в случае превышения порога чарджбеков.
У гигантов типа Amazon есть свои системы выявления фрода, есть ThreatMetrix, есть куча систем, через которые они пропускают ваш платёж и убеждаются, что шансы на чарджбек с этой карточки — минимальные.
Но как только количество чарджбеков подскакивает до какого-то процента (в зависимости от уровня продавца и бизнеса, в котором они крутятся), Visa и MC могут выставить штрафы вплодь до сотен тысяч долларов.
Если платёж проходит через 3DS, то большинство систем считает, что вероятность чарджбека стремится к единице.
PS
Чарджбек != возврат средств (рефанд). Это возврат средств, которые были списаны вопреки воли владельца и владелец оформил официальную жалобу.
kapany3
Наверное, все же при использовании 3DS вероятность чарджбека стремится к нулю
dmitryi_k
Недавно интегрировал FirstData (Шлюз да проведения платежей на сайте)
Дак вот при первых пробных переводах на своем сайте я вводил только Номер Имя и Дату карты, и все платежи успешно проходили, при базовых настройках он даже не предлагает запрашивать cvc, а про то что там нет 3ds пользователей узнает уже когда у него спишутся деньги.
Ndochp
Ну так это же славно. 3Ds это защита продавца, а не покупателя. Без него говоришь, что платил не ты и деньги взад.