Добрый вечер! Покупки — это здорово, а если на Алиэкспресс, то еще и не дорого, но правда рискованно и обычно долго. Конечно над ним постоянно работают, это видно, но пока еще не понятно многое.
Просьба
Началось с того, что меня попросили заказать в интерне-магазине на «Али» противоударный телефон для ребенка. Подобрали модель, согласовали, решили заказывать.
Что то не заладилось сразу и обзавестись профилем в PayPal удалось, а вот привязать к нему карту — нет.
Сразу оговорюсь, что электронными деньгами и картами пользуюсь очень аккуратно и никогда не храню на них деньги, ну если только до 1 000,00 рублей.
Попробовала заплатить картой напрямую, но все равно ничего не получалось. В какой то момент даже засомневавшись узнала баланс на счете, вдруг денег там нет.
Деньги были и в достаточном количестве.
Вышла из одного профиля и зашла в другой, с которого уже делала покупки. Раньше платила с VISA, решила что платеж не проходит потому что у покупателя Маэстро, по крайней мере я не нашла такого значка в списке пластиковых карт.
Вообщем то с самого начала я на электронную почту покупателя зарегистрировала профиль в интернет-магазине, затем добавила карту Маэстро, но платеж не проходил. Забавно что система PayPal со счета списала примерно один доллар, но платеж в пользу продавца не проходил ни как.
У покупателя не было карты VISA, она была только у его супруги, мне скинули фотки карты, но было лень все заново регистрировать, и я добавила карту супруги покупателя на свой профиль.
И тут, вдруг...
«Спасибо за ваш платеж!» или что то подобное выдала мне система. Интересно! Только два реквизита я вводила не с карты — это дата рождения, и номер телефона. Но узнать их не составит определенного труда злоумышленнику, если он напрямую знаком с жертвой или имеет доступ к документации. Или допустим какие то знакомые, коллеги, родственники, не важно, мало ли.
Покупателю сказала, что должно прийти СМС-сообщение из банка с подтверждением платежа, что б они не пропустили и обязательно мне позвонили, сообщили.
Как то прям даже неловко
На следующий день знакомый перезвонил и сказал, что деньги списаны, их просто списали и все. Сообщение пришло такое же, как из банкомата, когда переводишь средства.
И тут возник резонный вопрос — а как? Как так получается, что не какой аутентификации платежа не было и он «провелся» не смотря на то, что владелец карты не был владельцем профиля? Странно, но а как же безопасность? Это допустимо или какая то ошибка при разработке?
Послесловие
Не смотря ни на что, телефон пришел и ребенку очень понравился, а это наверное главное). Проходя по различным учреждениям обращаю внимания как люди заполняющие различные заявления бросают свои документы и карты, наивно полагая, что списать с нее средства не зная пароль, под силу только хакерам или спец.службам.
Как видно из рассказа выше балованный сын или транжира-подружка смогут осуществить покупку с вашей карты на AliExpress, в принципе без вашего согласия и на приличную сумму.
Возможно я не права и это только рассуждения, но лишний раз подтверждает, что ваши деньги те — что у вас в кармане.
Комментарии (16)
rokobungi
22.09.2017 23:41Простите за оффтоп, но…
ни как
не какой аутентификации
и ещё много ошибок… Может, не стоит спешить с размещением статьи, а предварительно хотя бы в Word'е на ошибки проверить?
MikeKosulin
22.09.2017 23:53Заметив что различается тип карты, платила я с VISA, решила что платеж не проходит потому что у покупателя Маэстро.
Как-то очень непонятно, что Вы там решили.
a1888877
23.09.2017 00:07И тут возник резонный вопрос — а как?
По коду cvv2. Странно что вопрос возникает. Там с карточкой банк ещё бумаги давал, в которых пару раз указывалось, что номер карты, имя владельца, срок действия и cvv2 нельзя разглашать.
ninadinastiia Автор
23.09.2017 00:15Сразу оговорюсь, что электронными деньгами и картами пользуюсь очень аккуратно и никогда не храню на них деньги, ну если только до 1 000,00 рублей.
Очень редко этим пользуюсь, Яндекс-деньги больше нравится.
seokirill
23.09.2017 00:34Стесняюсь спросить, а как ЭТО связано с разработкой, проектированием систем или криптографией?
Это позиционируется как техническая статья или «пятничный флейм формат, крик души»?
AgentSmith
23.09.2017 00:44«Вообщем то»?
Деточка, пиши правильно — «в общем-то».
Да, надо писать именно так — «в общем-то». Мне карму слили из-за того, что поправляю неграмотных.
Так что, запомните:
«в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то», «в общем-то»
croupier
На подобное способны многие площадки, например хостер DigitalOcean. Не специалист в этой сфере, но полагаю, что есть какие-то типа сертификаты повышенного доверия, которые позволяют такое продавцам.
rananyev
Отключенный 3DS на стороне банка-эквайера, ответственность на фрод на его стороне. Загадка решена.
//closed
dartraiden
У Амазона точно так же. Если компания готова нести риски, связанные с фродом, то она может таким образом упростить жизнь клиентам.
ebragim
Всё гораздо проще. Есть разные виды аутентификации. Например, терминал в магазине может быть настроен так, чтобы запрашивать у вас и пин и подпись, или даже игнорировать записанные в чипе карты приоритеты аутентификации. Но в случае разных методов подтверждения, ответственность несёт или банк, или продадец, или покупатель.
То же самое с оплатой через интернет экваринг: у вас могут не запросить 3d-secure код или даже cvc/cvv, но в таком случае спорные операции будут за счёт продавца. Многие экваринги блокируют продавцов с большим количеством жалоб, видимо, али на это пофиг, или они даже экваринг им и принадлежит.
ninadinastiia Автор
Видимо пофиг) Интересно как бы это пояснил Сбербанк.
Shtucer
А что он должен пояснить?
croupier
У Тинькова в личном кабинете можно включать и выключать интернет-платежи. Удобно для параноика)