картинка с xakep.ru

По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и другим интересным вещам. Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения, случаются ситуации, когда “новинками” делятся силовики. Думаю многие разделят мою точку зрения касательно того, что если “схема” или “уязвимость” попала на форум, то, как правило, все “сливки” с нее уже давно кто то снял. Да и форумы вне зоны .onion супер серьезно воспринимать не стоит. Но в этот раз была найдена схема которая удивила своей относительной простотой и новизной. Собственно о том, как хакеры воруют и отмывают деньги через сервисы доставки еды и будет сегодняшний рассказ.

Как убили значительную часть кардинга, предыстория


Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону (через смс, звонок или приложение). У VISA такая система называется 3-D Secure сокращенно 3DS, работает в рамках системы Verified by Visa (VbV) у Mastercard есть аналог под названием Mastercard SecureCode (MCC). Суть проста, если Вы ввели где то данные со своей кредитной карты, для успешного платежа, вам потребуется еще и ввести код полученный из смс, звонка или приложения, чтоб подтвердить что это именно Вы совершаете покупку, а не хакеры грабят Вас.

С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие.

Гигантам важнее объем выручки и оборота средств, чем безопасность


Однако крупные, высоко нагруженные сервисы вроде Booking.com, Airbnb, Amazon.com, Facebook.com отключили или ограничено используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсии. Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, однако это не сильно помогло. Проблема не нова и широко обговаривается (пруф). Так же Федеральная торговая комиссия США заявила что за период с 2012 до 2016 года поступило 13 миллионов жалоб, 3 миллиона только за 2016 год, 13% из которых это хищение личности и кредитной карты. И это данные только по США. Реальность такова, что лучше содержать штат юристов занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие появились целые форумы с предложением забронировать отель за 25%-50% от стоимости (пруф). Бизнес риски не более.

Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:

  1. Берут квартиру в аренду с правом субаренды.
  2. Регистрируют квартиру на booking.com и/или Airbnb
  3. Покупают данные ворованных кредитных карт
  4. Якобы бронируют квартиру у самих себя, на данные ворованных карт
  5. Получают уже чистые деньги от Booking или Airbnb

Естественно вариантов вышеописанной схемы может быть миллион, от регистрации на Booking, Airbnb не существующих квартир (это реально), до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут/скупают недобросовестных владельцев отелей (пруф) или же предлагают свои услуги (пруф).

Почему деньги отмывают именно через сервисы аренды квартир? Как я писал Выше там нет (или используется ограниченно) VBV и 3DS и карты туда легче “вбиваются”. Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение в POS терминалах с поддержкой ручного ввода карт (пруф), но это уже совсем другая история о которой я расскажу в следующий раз.Вернемся к нашим доставщикам еды.

Сервисам доставки еды тоже не важно чья карта


GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует совпадает ли имя владельца аккаунта, с именем на кредитной карте. Им не Важно куда доставлять и откуда брать товар. Им так же как гигантам бронирования отелей не так важны VBV и 3DS, куда важнее оборот и выручка.

Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на “новинку”. Кардеры и мошенники и придумали схему, которая в первом приближении выглядит так.

  1. Регистрируют магазин/хотдожную/ресторан/лавку в системе доставки еды, или просто указывают доставщику где именно он должен купить заказ.
  2. Покупают ворованную кредитную карту и привязываем к аккаунту.
  3. Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером скупаются в собственном магазине и ждут доставку.
  4. Отвозят продукты обратно и так по кругу.

Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется.

Дисклеймер и выводы


Данная публикация не несет в себе цели показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует на роль исчерпывающего руководства по защите и предотвращению мошеннических действий. Не может быть трактовано как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды — абсолютно незаконны и являются уголовным преступлением.

Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам отвечающих за риски и архитекторам нужно иногда спускаться в “подземелье”, чтоб посмотреть как еще можно использовать разработанные ими сервисы. Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на мошенничество с бизнес логикой. На сегодняшний день даже тестирование на проникновение без проверки бизнес логики уже становится не полным. Бизнес не покупает шаблонные услуги, продажи идут скорее через бизнес аналитиков помогающих улучшить тот или иной процесс и предотвратить риски. При создании сервиса доставки нужно продумывать не только основные риски, вроде “а не будут ли через нас доставлять наркотики”, но и другие риски незаконного использования сервиса в противоправной деятельности.

Комментарии (105)


  1. Mogwaika
    28.08.2019 13:42
    +1

    У меня при покупках в я-еде и в деливери-клабе, альфа и тиньков просят код из смс.


    1. combonik Автор
      28.08.2019 13:45
      +4

      В пост советских странах карты проверяют «с пристрастием». А booking в Украине не принимает деньги «на себя», только за бронь может заморозить, остальное списывает отель на месте. Доверия к пост советским странам мало, доставка с Amazon к примеру то еще развлечение с дополнительной верификацией.


      1. Mogwaika
        28.08.2019 13:48
        +2

        Да, а вот алиэкспресс, амазон, ржд и аэрофлот последние разы игнорили все проверки.
        Доставка с Амазона почти нормально отрабатывает, если местные боксберри не тупят с извещениями…


        1. combonik Автор
          28.08.2019 13:52

          Я думаю причина в том, что есть вот такие мошенники предлагающие возврат средств за покупку за 15-30% от стоимости покупки. Они (магазины) несут колоссальные потери.


          1. Mogwaika
            28.08.2019 14:12

            Причина чего, того что Амазон забивает на 3ds? Я не очень понял, что делают мошенники.


            1. combonik Автор
              28.08.2019 14:15

              Делают «refund» или же «money back» за якобы не пришедший или «битый» товар.


              1. darthmaul
                28.08.2019 21:40

                Вероятность успеха рефанда вообще от антифрода не зависит, это чистая соц. инженерия. Решение — более строгая проверка заявок на возврат, но на западе «так не принято» (причины мне неизвестны). И этот вид мошенничества не только в СНГ процветает, а и в Европе, и в США.


              1. AddRaiser
                29.08.2019 10:34
                -1

                Амазон из-за этого уже не доставляет многие вещи в РУ
                Правда за границей это гораздо популярнее, чем у нас, а туда не отправлять нельзя, так что реф, к сожалению, с нами надолго


        1. Whuthering
          28.08.2019 17:18
          +1

          Ну в случае с аэрофлотом и ржд это вполне логично: поставщик один (или в специфических случаях несколько, но все провереннные), возврат только на ту же самую карту с которой купили, а реальный билет с левой карты оплачивать смысла нет никакого, т.к. для того чтобы им воспользоваться, нужно будет засветить настоящие паспортные данные.


          1. Mogwaika
            28.08.2019 19:17

            Ну может свободное купе захочет кто-то…


          1. NetBUG
            29.08.2019 17:17

            У меня РЖД с 2015 до 2019 каждый раз просит код на любую российскую карту.


        1. puyol_dev2
          29.08.2019 12:31

          РЖД и другие российские сервисы, типа авиакомпаний, на страницу авторизации банка выбрасывают. А вот заграничные сервисы — aliexpress или paypal забивают на это


          1. BigBeaver
            29.08.2019 13:28

            Там, вроде, сначала привязка требуется. Не?


          1. snp
            01.09.2019 00:12

            aliexpress или paypal забивают на это

            У PayPal это «фича». На Aliexpress работает 3Dsecure, в частности если платить Maestro.


      1. H_I_R_U_R_G
        28.08.2019 15:56

        Вроде нет.
        дважды в этом году букинг списывал деньги с карты. причем в первом случае это был аванс (как и положено), с доплатой на месте. А во втором случае запросили (и подтвердили) оплату в момент поселения, но недели за 2 букинг снял с карты полную сумму за проживание 8-)
        Но доверия действительно мало, один из отелей отказался давать бронь без аванса именно из-за несовпадения имени в аккаунте и на карте.


        1. snp
          28.08.2019 23:15
          +1

          Списывает не букинг, а отель. Максимум, что букинг делает — это запрос Verification прислать, да и то не всегда.


          1. Irgen
            31.08.2019 04:41

            Ох нет, не всегда, я это прочувствовал на себе. Арендую домик на Бали на 2 недели, сумма бронирования указана в индонезийских рупиях, 4 200 000 рупий (примерно 19 тыс рублей). Как указано в объявлении — оплата при заселении, но для подтверждения брони введите номер карты. Ок, ввожу карту на которой лежит около 1000 рублей, дом бронируется, все вроде бы хорошо. На следующий день захожу в приложение банка (да, Сбер), и вижу, что баланс на карте составляет примерно минус 4 199 000 рублей. Платеж ушел именно в букинг, в Нидерланды. Через пару недель переписки и разговоров между мной, букингом и банком деньги все же вернули, но объяснить как так вышло затруднились. Букинг не парился и перевел рупии в рубли как 1/1 (хотя курс 1/0,0046 на самом деле), а сбер ничуть не смутился и загнал баланс в минус 4 с лишним миллиона.


            1. snp
              01.09.2019 00:10

              Интересно, как сбер позволил карте в минус уйти?


              Вообще, похоже букинг с недавних пор научился работать с картами сам.


              По крайней мере, я бронировал 2-3 недели назад в США на ночь жильё, так букинг сразу прислал письмо, что карта неправильная (по старой привычке всегда там ввожу сгенерённый номер). Когда ввел реальный номер карты, то вскоре по SMS пришёл запрос «Verification». Первый раз на букинге такое вижу.


              Например, такой запрос шлёт также AirBnb. Насколько я понимаю, это проверка, есть ли требуемая сумма на карте, но не авторизация.


              Если кто хорошо знаком с карточной кухней, было бы интересно послушать, что за запрос такой.


      1. NIKOSV
        30.08.2019 05:26

        А booking в Украине не принимает деньги «на себя», только за бронь может заморозить, остальное списывает отель на месте.

        А потом в отеле тебе предлагают за определенную скидку «не появится», чтобы букингу процент не башлять. Особенно этим страдают мелкие отели.

        Так же само сервис записи в клинику — ищешь клинику, врача, читаешь отзывы, букаешь, сервис берет на себя все остальное. Приходишь, и первое что делает клиника это дает тебе визиточку и просит в следующий раз самому позвонить и забронировать напрямую, типа для «вашего же удобства». Кто сказал что это удобнее? Мне на сайте пару кнопочек кликнуть гораздо проще предварительно отфильтровав десятки клиник и врачей, чем звонить куда-то.

        Вывод, все пытаются наебать всех.


  1. DreamingKitten
    28.08.2019 14:12

    А вот Steam почему-то не просит ни 3DS ни VBV :(


    1. combonik Автор
      28.08.2019 14:14
      +2

      Там тоже много схем по продаже цифровых товаров по «скидкам». Подарочные карты — кладязь для желающих отмыть средства. К примеру: покупают подарочные карты за ворованные кредитки и потом перепродают «со скидкой».


      1. hddscan
        28.08.2019 15:06
        +2

        подарочные карты можно блокировать, что и произойдет, как только вскроется факт кражи с кредитки


        1. Gorodnya
          28.08.2019 22:55

          1. hddscan
            28.08.2019 23:21
            +2

            История веселая, но к fraud-у по кредиткам не имеет прямого отношения. В данном случае гражданин смог нагнуть проверку Майкрософт, но кредитки не были ворованными, а значит никто не знал (до поры до времени) чем он занимается.
            Правда гражданин из-за собственной жадности не смог вовремя остановиться, за это и присядет на 20 лет.

            Я не знаю как работает современная служба по предотвращению воровства, но они работают весьма эффективно. У меня воровали кредитки трижды и каждый раз я это узнавал не из-за непонятных транзакий (их не было в отчете), а из-за звонка СБ, которая сообщала мне что они предотвратили кражу.


  1. lowtechomega
    28.08.2019 14:58
    -5

    «Однако крупные, высоко нагруженные сервисы вроде Booking.com, AirBNB, Amazon.com, Facebook.com отключили или ограничено используют эту функцию дополнительной проверки»

    Списка по нормеру кредиткаи работает в большинстве случаев. Афтар начиталься фантастики.


    1. combonik Автор
      28.08.2019 15:01
      +3

      «Афтар» привел пруфы и кейсы отмывания денег, обьявлений на эту тему и кейс с пострадавшей. Вы считаете, что это фантастика? ок.


      1. MacIn
        28.08.2019 20:22

        Вообще-то человек как раз говорит о том, что в большинстве случаев доппроверки нет, т.е. мошенничество возможно в большинстве случаев… Фантастика — это повсеместное использование 3дс и т.п.


  1. hddscan
    28.08.2019 14:59
    +2

    Не видел НИ ОДНОГО американского сайта, который делал бы проверку по СМС. Учитывая количество денег, проходящее через эти сайты, вот это

    Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону

    является не совсем верным заявлением.
    Проверка по СМС, выглядит больше европейскими изобретением, что
    1. неудобно
    2. перекладывает все проблемы, включая возможную кражу средств на конечного пользователя
    В США как-то работают без этого


    1. combonik Автор
      28.08.2019 15:06
      +2

      Там не «как-то», там просто все застраховано и Вы верно подметили, что они не перекладывают риски на клиента, а берут их на себя. У нас в договорах банков, как то так прописано: «не прикрыл рукой клавиатуру во время ввода ПИН-кода» — сам виноват, что деньги украли.


      1. hddscan
        28.08.2019 15:11
        +3

        да, страховка это все. В итоге платит за это все равно клиент, так как стоимость страховки так или иначе размазывается на стоимость товаров и услуг.
        Но например в США есть страховка от краж с кредиток до $2000 от Visa и MasterCard(бесплатная), а в России за аналогичную страховку банк желает получить бабло с юзера.


        1. fcoder
          28.08.2019 18:14

          Zero Fraud Liability есть на всех моих картах и действует на весь лимит. Я, честно говоря, не мало удивлён, но действительно, он по-видимому не требуется по закону. Правда живых карт без него я так и не нашёл.


          Где конкретно тут платит клиент, мне тоже не совсем понятно — Комиссия системы Visa (для продавца принимающего оплату по карте) будет вне зависимости от наличия этой фичи на карте. Обслуживание карт для клиента — бесплатное.


          Не могли бы Вы рассказать подробнее куда может быть заложена стоимость страховки?


          1. hddscan
            28.08.2019 18:29

            Где конкретно тут платит клиент, мне тоже не совсем понятно — Комиссия системы Visa (для продавца принимающего оплату по карте) будет вне зависимости от наличия этой фичи на карте. Обслуживание карт для клиента — бесплатное.

            Комиссия разная, для разных стран, если вы вдруг не знали.
            Условия работы карт тоже
            Например Visa Signature в США бесплатно, а в России за деньги
            В США на этой карте есть такие плюшки как расширенная гарантия на товары, упомянутый Zero Fraud Liability, вторичная страховка на рентованную машину, бесплатная эвакуация машины и прочее
            А в России таких плюшек нет, включая Zero Fraud Liability
            Не могли бы Вы рассказать подробнее куда может быть заложена стоимость страховки?

            в товары которые покупает человек, ведь как-то надо отбивать стоимость транзакции. Я лично например видел маленькие бизнесы, которые не берут кредитки на транзакции до 5-10 долларов. И это в США.
            Можно конечно пройти мимо, но факт, что такие места есть


            1. fcoder
              28.08.2019 19:19

              Ну вот я конкретно про США сейчас.

              Если я возьму кредитную карту в банке (например chase freedom), то для меня она будет бесплатной. И на ней будет защита от фрода.

              Если я прокатаю эту карту в условном волмарте, то система платежей Visa возьмёт с этой транзакции точно такую же комиссию, как если бы я прокатал российкую карту Тинькофф, в которой такой защиты от фрода нет. Ещё раз — комиссия установлена системой Visa, а не банком, и эта комиссия за приём платежа, вне зависимости от банка эмитировавшего карту и страны где он находится. В случае же фрода по карте, разбираться будет непосредственно банк.

              Таким образом, я не вижу, каким образом для меня, не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховку


              1. hddscan
                28.08.2019 19:50
                +1

                Таким образом, я не вижу, каким образом для меня, не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховку

                ну раз вы живете в США, то наверное знаете как работает страховка, странно что мне нужно это разжевывать, но я попробую
                Первое допущение что вы сделали
                В случае же фрода по карте, разбираться будет непосредственно банк.

                не совсем верно, Zero Fraud Liability делает не банк, а страховая компания. И дается оно не на ваш банковский счет, а на кредитку. Иногда банки сами кредитками не занимаются, если вы внимательно посмотрите на тот же Chase, то заметите, что по вопросам о кредитке будет выделен отдельный телефон, более того, если вы позвоните скажем в Chase по каким-то другим вопросам, то попадете на других людей, я пробовал. Если же брать банк поменьше, то иногда они пишут кто их обеспечивает кредитками и это может быть другая контора.
                Далее за кредитки Visa отвечает непосредственно кредитное агентство Visa, которые не является банком и Visa Chase Freedom фактически не является собственностью Chase. Комиссию опять же взымает Visa, а не Chase и страховку обеспечивает Visa, а не Chase. Причем вполне вероятно непосредственным ответчиком по страховке будет какая-нибудь AIG Inc. или другая ВасяПупкинInsurance Co.
                Компания Visa покупает у условного ВасяПупкинInsurance Co. страховку на свои карты и платит X долларов в год. X долларов берутся не с потолка, а из расчета на сколько примерно попадет страховая компания в год на fraud-е и другим проблемам. Все расчитывается статистически и X может менятся.
                Компания Visa, заплатив X денег, желает получить их назад, поэтому закладывает этот X в транзакции, причем размазывает их равномерно на все транзакции, независимо от карт, потому что делать зависимость это страшный гемор и куча денег на разработку ПО и инфраструктуру. Стоимость транзакции назовем Y, это обычно процент от суммы. Процент этот тоже может менятся и зависит от типа бизнеса, различных скидок большим пользователям и прочее и прочее, но для нас это условный Y
                Далее продавец, заплативший этот Y, желает получить его назад, поэтому закладывает его в накрутку на стоимость товара. Но так как делить на кредит и не кредит транзакции неудобно, то считается некая накрутка Z от всех транзакций (и во всех товарах) которая примерно отбивается. Z будет зависить от в том числе и от процента кеш/не кеш транзакций в бизнесе, от скорости оборота конкретного товара и прочих вещей.
                Поэтому в данном случае
                не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховку

                вы правы что вы не платите БОЛЬШЕ, но не правы что вы НЕ ПЛАТИТЕ. Вы просто платите всегда, таким образом, что все не в накладе.


                1. gecube
                  29.08.2019 01:04
                  +1

                  Золотые слова! Вы в принципе с этими X, Y, Z объяснили всю суть капитализма и, например, почему НДС де-факто платит не продавец (у него есть схемы его возмещения), а фактический конечный покупатель (потребительно) услуги (читай — физик).
                  Или, например, почему в компаниях с ДМС — это по сути деньги, которые недоплачены работникам (но зачастую это win-win ситуация, т.к. работник эти деньги ВСЕ РАВНО не получил бы и в этом случае лучше хотя бы синица в руках в виде нематериального поощрения, т.е. ДМС).


                  1. BigBeaver
                    29.08.2019 10:25

                    Покажите пример хотя бы одной стабильной формации, где бы потребитель что-то не платил.


                  1. DarthVictor
                    29.08.2019 11:31
                    +1

                    это win-win ситуация

                    Это это win-win ситуация, потому что с затрат на страховую налоги не платятся. Всякие плюшки в офисе за счет вычета из налогов и оптовой закупки для компании дешевле чем для Вас раза в два.


                1. domix32
                  29.08.2019 12:33
                  +2

                  tldr

                  image


                  1. hddscan
                    29.08.2019 17:34
                    +1

                    Одна из причин, по которой вторая ситуация лучше первой, это что при возврате товара возвращается стоимость товара, но не стоимость пересылки.
                    Поэтому покупателю выгодно платить $30+free shipping и в случае проблем получить свои $30 назад.
                    Также существует развод в обратную сторону(им грешат китайские товарищи на ebay) когда вещь стоит $1, а пересылка $20, это верный признак что с вещью что-то не так.


              1. catharsis
                28.08.2019 22:32

                Какие-то дополнительные условия для получения такой карты есть? Тратить сколько-то или получить сначала какой-то статус?
                Какой interest rate?
                Возможно в США мало фрода по кредиткам и поэтому они могут давать такие удобные условия


                1. hddscan
                  28.08.2019 23:15
                  +1

                  Какие-то дополнительные условия для получения такой карты есть?

                  я не могу утверждать на 100%, но подозреваю что для таких карт нужен весьма неплохой credit score (эта такая циферка кредитоспособности конкретного человека, которая уже давно превратилась в индекс благонадежности)
                  Какой interest rate?
                  эта часть меня никогда не интересовала, так как я не живу в кредит по кредиткам


                1. fcoder
                  29.08.2019 05:55

                  Для открытия любого кредитного аккаунта нужно иметь SSN и хоть какой-то легальный доход. Без SSN можно открыть только дебетовый счёт, и то не везде.


                  Ещё для этой конкретной кредитки нужен кредит скор наверное где-то 720+ и возраст истории хотя бы в год. Если скора или истории пока что нет, то открывайте amex или дискавер, они не хуже и гораздо более лояльные


              1. vikarti
                29.08.2019 14:24

                Если я прокатаю эту карту в условном волмарте, то система платежей Visa возьмёт с этой транзакции точно такую же комиссию, как если бы я прокатал российкую карту Тинькофф, в которой такой защиты от фрода нет.

                А cross-border fee не возьмет разве?
                С теми же Payoneer'овскими картами она бралась (и перекладывалась на клиента) при покупках во всяких Австралиях.


              1. kudryavy
                29.08.2019 15:37
                +1

                Не всё так просто. Кроме комиссии от МПС в цену транзакции заложены еще две комиссии: от банка, выпустившего карту, и от банка, поставившего терминал в торговую точку. Иначе бы терялся смысл выпуска карт и установки оборудования в торговые точки. На каждой транзакции по своей карте банк зарабатывает вместе с МПС. И в эти доходы вполне себе можно включать страховку


      1. Assimilator
        28.08.2019 23:42

        del


    1. kudryavy
      29.08.2019 14:00

      Для совершения покупки нужно два банка: банк, выпустивший карту, и банк, обслуживающий транзакцию. В случае проверки по смс фрод возмещается за счет средств первого банка, а без проверки по смс фрод возмещается за счет второго банка (торговой точки, которая принимает небезопасные платежи).
      Следит за всем этим МПС типа визы или мастеркарда.
      Получается, что торговым точкам типа амазона дешевле оплатить фрод, чем закрывать прием небезопасных платежей


  1. KonstantinSerov
    28.08.2019 15:20

    Существуют схемы как в Pay Pal, где средства перечисляются не сразу на счет продавца, а резервируются на специальном счету. Покупатель также не может отозвать средства. Везде бы работали подобные схемы


    1. hddscan
      28.08.2019 15:35
      +1

      Главные проблемы начинаются когда что-то идет не так
      Например вам прислали товар не соответствующий описанию

      У меня был как-то трах с dx.com
      Купил я там регистратор для машины, в описании было написано — английский язык в регистраторе и инструкции. В итоге пришла совершенно китайская железяка, на чистом китайском языке, с китайской же инструкцией

      Открыл я тикет на dx.com, после пары недель, трех фоток и десятка писем они признали, что товар не соответствует описанию и сказали «шли, вернем деньги за товар». На что я вполне резонно ответил, что послать я могу, если они оплатят пересылку. Так как послать В КИТАЙ стоит денег и немалых.
      Они меня послали, после чего я пошел в paypal и открыл тикет там. После недели препирательств ситуация повторилась и paypal автоматически закрыл мой тикет, утверждая что я не сделал каких-то действий (а именно, не приложил трекинг-номер с почты, что я конечно не собирался делать, потому как стоимость пересылки с трекингом была больше стоимости регистратора)
      В итоге я пошел в банк и открыл тикет по транзакции на кредитке (платеж в Paypal), они мне сразу вернули деньги и через три месяца автоматически закрыли его, написав что продавец не предоставил надлежащую информацию.
      Это как работает в США.


      1. dartraiden
        28.08.2019 15:49
        +2

        Встречал отзывы, что в России за такое (чарджбек через банк) прилетает бан в PayPal.


        1. hddscan
          28.08.2019 17:20
          +1

          вполне вероятно. На сколько я знаю в России Paypal-ом можно платить только до $5000 суммарно за ВСЕ ВРЕМЯ существования аккаунта. Т.е. его польза в России очень быстро стремится к нулю.
          Наверное Paypal-у совсем неинтересен российский рынок.


          1. snp
            28.08.2019 23:10

            только до $5000 суммарно за ВСЕ ВРЕМЯ существования аккаунта
            Это откуда такие сказки? У меня акк. 10+ лет, там наверняка сумма уже раза 2-3 превышена.

            польза в России
            У PP польза — не светить номер карты где попало, это уже само по себе ценно.


            1. hddscan
              28.08.2019 23:16

              Это откуда такие сказки? У меня акк. 10+ лет, там наверняка сумма уже раза 2-3 превышена.

              из договора Paypal-а. Я лет 10 назад пытался делать аккаунт в России.
              У PP польза — не светить номер карты где попало, это уже само по себе ценно.

              Наверное для России это ценно, согласен.


              1. BigBeaver
                28.08.2019 23:34

                Польза РР в том, что не нужен межбанк при международных сделках.


              1. snp
                28.08.2019 23:38

                из договора Paypal-а.

                Пруф?


                С моей стороны — только что посмотрел у себя лимиты: порядка 8000 USD на одну транзакцию и такой же на сумму баланса. Раздел с лимитами в новом интерфейсе пропал, но тут можно на старый (он местами ещё работает) попасть: https://www.paypal.com/cgi-bin/webscr?cmd=_show-limits&req_from=view_limits


                Я лет 10 назад пытался делать аккаунт в России

                Они примерно с 2006 года официально предоставляют сервис для РФ, так что пытаться не надо было. Достаточно было просто зарегаться.


                Наверное для России это ценно, согласен

                При чём тут Россия? Интернет-то одинаковый везде.


                1. hddscan
                  28.08.2019 23:49

                  Пруф?

                  вы мне предлагаете пойти поискать документы 10 летней давности для вашего удовлетворения?
                  Они примерно с 2006 года официально предоставляют сервис для РФ, так что пытаться не надо было. Достаточно было просто зарегаться.

                  Я и зарегился, только не пользовался, так как ограничение меня сразу не устроило. Вполне вероятно что сейчас не так. Как я писал
                  На сколько я знаю


                  При чём тут Россия? Интернет-то одинаковый везде.

                  При то что при Zero Fraud Liability в США, мне совершенно пофигу украдут номер моей кредитки, или нет. Меня защищает эта вещь и решение всех проблем мне обеспечивает СБ банка/кредитного агенства.
                  В отличии от скажем России, где нужно в течении 24 часов заявить о проблемах(а о них еще надо знать), так по крайней мере написано в договоре Сбербанка, иначе потом придется долго разбираться с банком и доказывать что не верблюд.


                  1. BigBeaver
                    28.08.2019 23:58

                    10 лет назад они не работали официально в России, и с приемом платежей вообще плохо было, емнип. Нормальная верификация и счета в баксах так вообще появились недавно сравнительно.


                    1. hddscan
                      29.08.2019 00:03

                      10 лет назад они не работали официально в России

                      не может такого быть, 10 лет назад это минимум, я думаю что более вероятно 12-13 лет назад.
                      Новости пишут что Paypal работает с 2006-го, но с ограничениями.
                      Нормальная верификация и счета в баксах так вообще появились недавно сравнительно.

                      За российским сегментом Paypal-а я перестал следить очень давно, приятно видеть что оно как-то развивается


                      1. BigBeaver
                        29.08.2019 00:18

                        Википедия говорит, что прием платежей появился в 2011 для россии. Я начал пользоваться в 2012, и сложностей было, скажем так, много.


                        1. snp
                          29.08.2019 00:35

                          В 2006 можно было при регистрации указать страну РФ, привязать карту с российским BIN'ом и платить ей в интернете. Остальной функционал появлялся позже.


                          1. BigBeaver
                            29.08.2019 10:27

                            Ну утверждать, что можно за всю жизнь акка купить не больше, чем на N, еще более странно. Я потому и думал, что мы про прием денег.


                1. BigBeaver
                  28.08.2019 23:53

                  О, вот за ссылку спасибо.
                  По лимитам подтверждаю — у меня аналогичные. Есть основания полагать, что у всех подтвержденных аккаунтов такие.


            1. sumanai
              29.08.2019 19:02

              У PP польза — не светить номер карты где попало, это уже само по себе ценно.

              В век виртуальных карт уже не очень.


        1. snp
          28.08.2019 23:12

          Чарджбек делает не банк, а платёжная система. Механизм одинаковый, что в России, что в США. С чего бы бану прилетать?


          1. hddscan
            28.08.2019 23:18

            Чарджбек стоит денег(боюсь соврать, но что-то вроде $25 в США), платит за это продавец (в данном случае Paypal). Наверное они считают что такие пользователи им не нужны.


            1. snp
              28.08.2019 23:40

              Возможно, в США что-то где-то застраховано и за счёт этого мелкие суммы компенсируются.


              1. hddscan
                28.08.2019 23:50

                Уверен что застраховано :)
                В США каждый мало-мальский бизнес имеет страховку на разные случаи жизни.


      1. igrblkv
        29.08.2019 10:54

        Если регистратор оплачивался через PayPal, то у них есть программа возмещения возврата товара из-за существенных недостатков (а не «цвет не нравится» или «размер не подошёл»)!
        Я в апреле Nexus 5 купил на иБее, якобы «европеец». Реально приехал «американец», да ещё и микрофон оказался нерабочий. Обратился к продавцу за частичной компенсацией — тот встал в позу: только возврат. Ок, в конце мая отправил тел обратно со всеми страховками, заслал чек в ПейПал, получил компенсацию в долларах на свой счет ПейПал. Телефон где-то застрял по-пути и приехал к продавцу только в конце июля. Он его почему-то получать не стал. На иБее в возврате средств отказали, т.к. трекинг есть, но факта получения нет и срок уже вышел. Обратился в ПейПал, обрисовал ситуацию, запросили продавца и по итогу вернули полную сумму (несоответствие описанию плюс неупомянутый дефект), телефон то-же уже приехал обратно…
        По итогу: защита покупателя реально работает, но всё очень долго происходит (в чем виновата Почта России, которая два месяца телефон из Москвы в Нью-Йорк переправляла — он, походу, самостоятельно добирался, на попутках :) ).


        1. BigBeaver
          29.08.2019 11:17
          +1

          2 месяца нормальный срок для пересылки морем.


          1. igrblkv
            29.08.2019 12:05

            Спорить не буду, но я, вроде-бы, заказывал самую быструю доставку, в том числе. Кроме того есть письмо-извещение Почты России (МР ЛЦ Внуково) от 26 июня, где нашли «потерянную» посылку и отправили в «ПЖДП при Казанском вокзале на дальнейшую обработку».
            Да и обратно явно не морем пересылали — дошло за две недели.


            1. BigBeaver
              29.08.2019 13:31

              Ну я тоже не буду отрицать, что почта иногда косячит. Просто хотел пояснить, что срок, в целом (безотносительно подробностей вашего случая), не является каким-то нереальным.


              1. igrblkv
                29.08.2019 13:47

                Но в регламент иБея по возвратам он явно не вписывается. Там то-ли месяц, то-ли полтора и если факта вручения нет — досвидос…
                Поэтому из России это мой первый возврат — раньше удавалось на частичную компенсацию договориться или на полный возврат, если был повод.


                1. BigBeaver
                  29.08.2019 14:29

                  Срок возрата определяет продавец.


      1. nevzorofff
        29.08.2019 20:18

        Я хз сколько в США стоит пересылка в Китай, но у нас, в РФ — в районе тысячи рублей, что около $15. Отсылал несколько раз на этот самый DX неисправную технику(которую покупал для продажи на Авито) — мне стоимость пересылки они же возмещали.


    1. Neusser
      28.08.2019 16:56

      пэйпал хорош, когда все хорошо. А когда что-то не хорошо, тут-то он и проявляется во всей своей подлой красе. Ни за что не отвечает, ни к чему не относится и вообще просто рядом стоял, а ты сам виноват.
      Если есть возможность платить НЕ пэйпалом, то нужно этой возможностью пользоваться. Если такой возможности нет, то не нужно иметь дел с таким продавцом.


      1. darthmaul
        28.08.2019 21:45

        Да уж, палка хуже биткоина. Защита покупателя как у битка (т.е., никакая — заплатил и все), зато есть два минуса:
        1. Можно получить бан за просто так и средства заморозят пока не пришлёшь им кучу челобитных (выписки с банка, документы и т.д).
        2. ПП могут банально сбрутить и «вбить» хакеры. Заходить по логину и паролю в платёжное средство в наше время выглядит дикостью для всех, кроме «палки».


        1. gecube
          29.08.2019 01:08
          +1

          а чего — 2FA у них не фурыкает.
          Но могу сказать одно — у палки сломано смс уведомление в Россию. От слова совсем.


    1. gecube
      29.08.2019 01:06

      ну, это escrow и аналогичные варианты… ес-но они берут конский процент (относительно, конечно) за свои "посреднические" услуги.


    1. vladkorotnev
      29.08.2019 04:10

      Только вчера смотрел видео у Луи Россмана, как он это обходил, когда клиенты делали предоплату, палка её удерживала, а деньги на выполнение работ нужны были вот прям сейчас — просто отправлял свою брошюру первым классом на адрес клиента, чтобы трек отбивался как доставленный, и палка отдавала деньги.


  1. seekerer
    28.08.2019 15:49
    +3

    Я что-нибудь упустил? Если интернет-операция не проходит через 3DS/VbV, то происходит т.н. liability shift, т.е. в случае, если пользователь запросил chargeback, ответственность за платеж лежит на продавце/мерчанте продавца…


    1. GLeBaTi
      28.08.2019 15:51

      Тоже слышал. Типо если по смс подтвердил, то деньги не вернешь, а если не было смс, то вернут.


  1. elobachev
    28.08.2019 17:02

    Я бы посмотрел на эту ситуацию несколько с иной стороны.
    Вот помните, как было с ДБО? (Я про РФ)
    Сначала банки говорили «проблема ИБ рабочих мест пользователей — это проблема пользователей»
    Это оказало влияние на преступную среду — киберпреступность стала восприниматься у нас как такой вид спорта, национальный. Количество киберпреступников возросло до такого количества, что стало негативно влиять на рынок ДБО вообще. Ну и на перспективы НПС в частности.
    В этот момент регулятор сказал банкам: «Баста, карапузики. теперь если деньги из ДБО украли, то их украли у вас. Вы их верните сначала, а потом разбирайтесь.»
    Кирпичей, подготовленных в тот момент участниками рынка хватило бы на мост в крым, но тогда он еще не случился. В результате доторговались до того, что банки деньги возвращают, но как бы почти и не сразу. Но зато резко повысилось внимание банков к защите рабочих мест клиентов, например Сбер даже в свое мобильное приложение бесплатно для клиента касперского внедрил.

    Полагаю, тут мы наблюдаем такой же цикл, движущей силой которого является желание участников рынка полностью уйти от социальной ответственности, считая киберпреступность чисто финансовым риском. Такая ситуация порождает рост преступности, которая скоро участникам же рынка и аукнется…


    1. sumanai
      29.08.2019 19:11

      например Сбер даже в свое мобильное приложение бесплатно для клиента касперского внедрил.

      Ещё бы дополнительное шпионское ПО на телефон стоило бы денег. Касперский мог бы приплачивать за это.


  1. CAJAX
    28.08.2019 17:39

    В прошлом году украденные данные моей карты использовали в убере и групоне на сумму в 200 евро. Ни банк ни убер с групоном не ответили ничего внятного на мою просьбу форсить 3DS.


    1. GLeBaTi
      28.08.2019 17:41
      +2

      Деньги хоть вернули?


      1. CAJAX
        29.08.2019 21:51

        Да, банк вернул. Потом убер и групон, хотя я их не просил, но через время они лишнее забрали.


  1. NLO
    00.00.0000 00:00

    НЛО прилетело и опубликовало эту надпись здесь


  1. UserAd
    28.08.2019 17:57

    У меня однажды угнали аккаунт на курсере с привязаной картой, с него купили курсов на $1500 подарком. Курсера вернула конечно деньги, но после этого случая я прошел и везде отвязал карту.


    1. xenon
      28.08.2019 20:42
      +8

      Ну это не так жалко. Вы сами свои деньги может быть и пропьете, а воры — в образование вложили!


    1. sumanai
      29.08.2019 19:12

      но после этого случая я прошел и везде отвязал карту.

      Чувствую себя гением, когда осознаю, что никогда нигде не привязывал карту, и усиленно снимал галочки на «Запомнить карту».


  1. BigBeaver
    28.08.2019 19:42

    Казалось бы, при чем тут хакеры…


  1. Greenoctopus
    28.08.2019 19:55

    Вот кстати когда у меня угнали данные карты, списания были в штатах, бронь жилья и заказ пиццы. Оплаты были без 3ds, так что деньги вернули спустя 2,5 месяца. Срисовали скорее всего при оплате платной дороги на М4 Дон, больше эту карту вроде нигде не светил.


  1. catharsis
    28.08.2019 22:40

    Никогда такого не было, и вот опять.
    Кажется, этой схеме столько же лет, сколько существуют кредитные карты.


  1. DrAndyHunter
    29.08.2019 07:44
    +1

    Подскажите пожалуйста какое-нибудь из "подземелий" (форум), чтобы хоть иногда получать "новинки" и учитывать при разработке своих систем.


  1. beardman
    29.08.2019 09:22

    вряд ли бы я поверил, если бы 10 лет назад сказали, что кардинг вернется к 2019 году практически в таком же виде как и был.


  1. decomeron
    29.08.2019 10:39
    +1

    Извините, если что я не в теме. А что нельзя привязывать карту без денег, а потом на нее в случае какой то покупки перекидывать деньги. Зачем вообще иметь только одну карту, когда можно несколько. На основной, которая не светится вообще нигде основную сумму, перекидывая нужные суммы на те с которых платите.
    Лучше перебдеть, чем недобдеть.


    1. BigBeaver
      29.08.2019 11:19

      Можно конечно. Для этого некоторые банки позволяют вам выпустить (возможно, даже двмя кликами в ЛК) себе онлайн карту, не имеющую физического воплощения.


    1. Dywar
      29.08.2019 12:28

      Яндекс деньги.
      Можно выпускать бесплатные карты привязанные к вашем кошельку. Производить оплаты как через NFC (online/offline) так и в интернете.
      Проблема только в том что я ее могу пополнить только на 3 тыс. за 1 раз, и комиссией 30 руб.

      Удобство или безопасность — борьба продолжается.

      Картинка с отмыванием денег
      image


      1. igrblkv
        29.08.2019 13:51

        Со Сбера пополнял без комиссии на что-то в районе 500 рублей несколько раз, но уже давненько.
        Вроде-бы тогда были и другие варианты…


  1. DrAndyHunter
    29.08.2019 13:05

    Утром прочитал эту статью, а сейчас покупал на aliexpress всякие нужные радиодетали и до меня дошло, что на aliexpress-то тоже нет проверки 3D secure (MasterCard)


    1. igrblkv
      29.08.2019 13:53

      На Али есть QIWI-Кошелек — я через него плачу.
      Заодно, при возвратах, доллары так и лежат без постоянных конвертаций туда-сюда.


    1. Yuriy_krd
      29.08.2019 14:18

      Странно. У меня при оплате картой Сбера (мастеркард) перекидывает на страничку 3DS и просит код из смс.


  1. GraDea
    29.08.2019 21:37

    У меня Booking как-то провел транзакцию по карте Тинькоф с залоченными интернет-платежами.


    1. snp
      01.09.2019 00:17

      В Тинькове это как-то объяснили? Спрашивали у них?


  1. ursaa
    29.08.2019 23:19

    Был очень интересный опыт с британским магазином — карта не проходила в принципе, т.к. у «них» работает система проверки billing address, коим «наши» банки вообще не имеют понятия, что это. В итоге — не могу купить. Ибо проверка не проходит. При этом вариант покупки «ты же доверяешь продавцу — дай ему номер карты + cvv2». Небезопасно, но полстраны так отоваривается. Тупо доверие к «продавцу». Мотив — «нормальный продаван тебя не кинет»


    1. snp
      01.09.2019 00:19

      А у вашего банка-эмитента как-то отказ был виден? SMS или в интернет-банке строчки?