По долгу работы приходится копаться на андеграунд форумах в поиске свежей информации об уязвимостях, утечках паролей и другим интересным вещам. Иногда консультируем представителей силовых структур на тему новых уязвимостей, атак и схем нападения, случаются ситуации, когда “новинками” делятся силовики. Думаю многие разделят мою точку зрения касательно того, что если “схема” или “уязвимость” попала на форум, то, как правило, все “сливки” с нее уже давно кто то снял. Да и форумы вне зоны .onion супер серьезно воспринимать не стоит. Но в этот раз была найдена схема которая удивила своей относительной простотой и новизной. Собственно о том, как хакеры воруют и отмывают деньги через сервисы доставки еды и будет сегодняшний рассказ.
Как убили значительную часть кардинга, предыстория
Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону (через смс, звонок или приложение). У VISA такая система называется 3-D Secure сокращенно 3DS, работает в рамках системы Verified by Visa (VbV) у Mastercard есть аналог под названием Mastercard SecureCode (MCC). Суть проста, если Вы ввели где то данные со своей кредитной карты, для успешного платежа, вам потребуется еще и ввести код полученный из смс, звонка или приложения, чтоб подтвердить что это именно Вы совершаете покупку, а не хакеры грабят Вас.
С введением этих систем, значительная часть платежей с чужих (ворованных) кредитных карт ушла в небытие.
Гигантам важнее объем выручки и оборота средств, чем безопасность
Однако крупные, высоко нагруженные сервисы вроде Booking.com, Airbnb, Amazon.com, Facebook.com отключили или ограничено используют эту функцию дополнительной проверки, так как она (скорее всего) сильно повлияла на объем продаж и конверсии. Конечно, они заменили ее дополнительной верификацией внутри аккаунта и нейронными сетями с крутейшими антифрод решениями, однако это не сильно помогло. Проблема не нова и широко обговаривается (пруф). Так же Федеральная торговая комиссия США заявила что за период с 2012 до 2016 года поступило 13 миллионов жалоб, 3 миллиона только за 2016 год, 13% из которых это хищение личности и кредитной карты. И это данные только по США. Реальность такова, что лучше содержать штат юристов занимающихся возвратом платежей с чужих карт, чем уменьшать оборот средств. Как следствие появились целые форумы с предложением забронировать отель за 25%-50% от стоимости (пруф). Бизнес риски не более.
Так появилась довольно популярная схема отмыва денег с краденных кредитных карт через сервисы аренды жилья (пример пострадавшей от действий кардеров). В упрощенном варианте она выглядит так:
- Берут квартиру в аренду с правом субаренды.
- Регистрируют квартиру на booking.com и/или Airbnb
- Покупают данные ворованных кредитных карт
- Якобы бронируют квартиру у самих себя, на данные ворованных карт
- Получают уже чистые деньги от Booking или Airbnb
Естественно вариантов вышеописанной схемы может быть миллион, от регистрации на Booking, Airbnb не существующих квартир (это реально), до регистрации аккаунта на свои данные, без ведома хозяина квартиры/отеля. Люди массово ищут/скупают недобросовестных владельцев отелей (пруф) или же предлагают свои услуги (пруф).
Почему деньги отмывают именно через сервисы аренды квартир? Как я писал Выше там нет (или используется ограниченно) VBV и 3DS и карты туда легче “вбиваются”. Также владельцы отелей нередко грешат тем, что отмывают деньги через преавторизацию и завершение в POS терминалах с поддержкой ручного ввода карт (пруф), но это уже совсем другая история о которой я расскажу в следующий раз.Вернемся к нашим доставщикам еды.
Сервисам доставки еды тоже не важно чья карта
GLOVO, UBER, Яндекс Еда и прочие сервисы дешевой доставки стремительно ворвались в нашу жизнь наравне с сервисами по бронированию отелей. И знаете что? Их не сильно волнует совпадает ли имя владельца аккаунта, с именем на кредитной карте. Им не Важно куда доставлять и откуда брать товар. Им так же как гигантам бронирования отелей не так важны VBV и 3DS, куда важнее оборот и выручка.
Так, работая над очередным заказом тестирования антифрод систем в HackControl, собирая новые мошеннические схемы, наткнулся на “новинку”. Кардеры и мошенники и придумали схему, которая в первом приближении выглядит так.
- Регистрируют магазин/хотдожную/ресторан/лавку в системе доставки еды, или просто указывают доставщику где именно он должен купить заказ.
- Покупают ворованную кредитную карту и привязываем к аккаунту.
- Через ворованную кредитную карту и приложение доставки еды, с ничего не подозревающим курьером скупаются в собственном магазине и ждут доставку.
- Отвозят продукты обратно и так по кругу.
Естественно, схему я описал в первом приближении, и мошенники меняют рестораны, магазины и адреса доставки, но суть от этого не меняется.
Дисклеймер и выводы
Данная публикация не несет в себе цели показать уязвимости в том или ином сервисе доставки еды или бронирования жилья. Не претендует на роль исчерпывающего руководства по защите и предотвращению мошеннических действий. Не может быть трактовано как призыв или руководство к действию. Мошеннические операции с кредитными картами, использование чужих данных при бронировании отелей или доставке еды — абсолютно незаконны и являются уголовным преступлением.
Всеобъемлющий вывод заключается в том, что создателям антифрод систем, директорам отвечающих за риски и архитекторам нужно иногда спускаться в “подземелье”, чтоб посмотреть как еще можно использовать разработанные ими сервисы. Теперь при проведении того же социотехнического тестирования (social engineering) мы и другие компании предлагают клиентам протестировать их сервисы еще и на мошенничество с бизнес логикой. На сегодняшний день даже тестирование на проникновение без проверки бизнес логики уже становится не полным. Бизнес не покупает шаблонные услуги, продажи идут скорее через бизнес аналитиков помогающих улучшить тот или иной процесс и предотвратить риски. При создании сервиса доставки нужно продумывать не только основные риски, вроде “а не будут ли через нас доставлять наркотики”, но и другие риски незаконного использования сервиса в противоправной деятельности.
Комментарии (105)
DreamingKitten
28.08.2019 14:12А вот Steam почему-то не просит ни 3DS ни VBV :(
combonik Автор
28.08.2019 14:14+2Там тоже много схем по продаже цифровых товаров по «скидкам». Подарочные карты — кладязь для желающих отмыть средства. К примеру: покупают подарочные карты за ворованные кредитки и потом перепродают «со скидкой».
hddscan
28.08.2019 15:06+2подарочные карты можно блокировать, что и произойдет, как только вскроется факт кражи с кредитки
Gorodnya
28.08.2019 22:55Не про ворованные карты, но про подарочные: Украинский тестировщик обокрал Microsoft на $10 млн. Он купил Tesla и виллу, но его арестовали
hddscan
28.08.2019 23:21+2История веселая, но к fraud-у по кредиткам не имеет прямого отношения. В данном случае гражданин смог нагнуть проверку Майкрософт, но кредитки не были ворованными, а значит никто не знал (до поры до времени) чем он занимается.
Правда гражданин из-за собственной жадности не смог вовремя остановиться, за это и присядет на 20 лет.
Я не знаю как работает современная служба по предотвращению воровства, но они работают весьма эффективно. У меня воровали кредитки трижды и каждый раз я это узнавал не из-за непонятных транзакий (их не было в отчете), а из-за звонка СБ, которая сообщала мне что они предотвратили кражу.
lowtechomega
28.08.2019 14:58-5«Однако крупные, высоко нагруженные сервисы вроде Booking.com, AirBNB, Amazon.com, Facebook.com отключили или ограничено используют эту функцию дополнительной проверки»
Списка по нормеру кредиткаи работает в большинстве случаев. Афтар начиталься фантастики.combonik Автор
28.08.2019 15:01+3«Афтар» привел пруфы и кейсы отмывания денег, обьявлений на эту тему и кейс с пострадавшей. Вы считаете, что это фантастика? ок.
MacIn
28.08.2019 20:22Вообще-то человек как раз говорит о том, что в большинстве случаев доппроверки нет, т.е. мошенничество возможно в большинстве случаев… Фантастика — это повсеместное использование 3дс и т.п.
hddscan
28.08.2019 14:59+2Не видел НИ ОДНОГО американского сайта, который делал бы проверку по СМС. Учитывая количество денег, проходящее через эти сайты, вот это
Люди сведущие в антифрод системах и безопасности банковских платежей, давно знают, что большая часть сервисов, принимающих оплату кредиткой онлайн давно подключила систему дополнительной верификации платежей по телефону
является не совсем верным заявлением.
Проверка по СМС, выглядит больше европейскими изобретением, что
1. неудобно
2. перекладывает все проблемы, включая возможную кражу средств на конечного пользователя
В США как-то работают без этогоcombonik Автор
28.08.2019 15:06+2Там не «как-то», там просто все застраховано и Вы верно подметили, что они не перекладывают риски на клиента, а берут их на себя. У нас в договорах банков, как то так прописано: «не прикрыл рукой клавиатуру во время ввода ПИН-кода» — сам виноват, что деньги украли.
hddscan
28.08.2019 15:11+3да, страховка это все. В итоге платит за это все равно клиент, так как стоимость страховки так или иначе размазывается на стоимость товаров и услуг.
Но например в США есть страховка от краж с кредиток до $2000 от Visa и MasterCard(бесплатная), а в России за аналогичную страховку банк желает получить бабло с юзера.fcoder
28.08.2019 18:14Zero Fraud Liability есть на всех моих картах и действует на весь лимит. Я, честно говоря, не мало удивлён, но действительно, он по-видимому не требуется по закону. Правда живых карт без него я так и не нашёл.
Где конкретно тут платит клиент, мне тоже не совсем понятно — Комиссия системы Visa (для продавца принимающего оплату по карте) будет вне зависимости от наличия этой фичи на карте. Обслуживание карт для клиента — бесплатное.
Не могли бы Вы рассказать подробнее куда может быть заложена стоимость страховки?
hddscan
28.08.2019 18:29Где конкретно тут платит клиент, мне тоже не совсем понятно — Комиссия системы Visa (для продавца принимающего оплату по карте) будет вне зависимости от наличия этой фичи на карте. Обслуживание карт для клиента — бесплатное.
Комиссия разная, для разных стран, если вы вдруг не знали.
Условия работы карт тоже
Например Visa Signature в США бесплатно, а в России за деньги
В США на этой карте есть такие плюшки как расширенная гарантия на товары, упомянутый Zero Fraud Liability, вторичная страховка на рентованную машину, бесплатная эвакуация машины и прочее
А в России таких плюшек нет, включая Zero Fraud Liability
Не могли бы Вы рассказать подробнее куда может быть заложена стоимость страховки?
в товары которые покупает человек, ведь как-то надо отбивать стоимость транзакции. Я лично например видел маленькие бизнесы, которые не берут кредитки на транзакции до 5-10 долларов. И это в США.
Можно конечно пройти мимо, но факт, что такие места естьfcoder
28.08.2019 19:19Ну вот я конкретно про США сейчас.
Если я возьму кредитную карту в банке (например chase freedom), то для меня она будет бесплатной. И на ней будет защита от фрода.
Если я прокатаю эту карту в условном волмарте, то система платежей Visa возьмёт с этой транзакции точно такую же комиссию, как если бы я прокатал российкую карту Тинькофф, в которой такой защиты от фрода нет. Ещё раз — комиссия установлена системой Visa, а не банком, и эта комиссия за приём платежа, вне зависимости от банка эмитировавшего карту и страны где он находится. В случае же фрода по карте, разбираться будет непосредственно банк.
Таким образом, я не вижу, каким образом для меня, не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховкуhddscan
28.08.2019 19:50+1Таким образом, я не вижу, каким образом для меня, не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховку
ну раз вы живете в США, то наверное знаете как работает страховка, странно что мне нужно это разжевывать, но я попробую
Первое допущение что вы сделали
В случае же фрода по карте, разбираться будет непосредственно банк.
не совсем верно, Zero Fraud Liability делает не банк, а страховая компания. И дается оно не на ваш банковский счет, а на кредитку. Иногда банки сами кредитками не занимаются, если вы внимательно посмотрите на тот же Chase, то заметите, что по вопросам о кредитке будет выделен отдельный телефон, более того, если вы позвоните скажем в Chase по каким-то другим вопросам, то попадете на других людей, я пробовал. Если же брать банк поменьше, то иногда они пишут кто их обеспечивает кредитками и это может быть другая контора.
Далее за кредитки Visa отвечает непосредственно кредитное агентство Visa, которые не является банком и Visa Chase Freedom фактически не является собственностью Chase. Комиссию опять же взымает Visa, а не Chase и страховку обеспечивает Visa, а не Chase. Причем вполне вероятно непосредственным ответчиком по страховке будет какая-нибудь AIG Inc. или другая ВасяПупкинInsurance Co.
Компания Visa покупает у условного ВасяПупкинInsurance Co. страховку на свои карты и платит X долларов в год. X долларов берутся не с потолка, а из расчета на сколько примерно попадет страховая компания в год на fraud-е и другим проблемам. Все расчитывается статистически и X может менятся.
Компания Visa, заплатив X денег, желает получить их назад, поэтому закладывает этот X в транзакции, причем размазывает их равномерно на все транзакции, независимо от карт, потому что делать зависимость это страшный гемор и куча денег на разработку ПО и инфраструктуру. Стоимость транзакции назовем Y, это обычно процент от суммы. Процент этот тоже может менятся и зависит от типа бизнеса, различных скидок большим пользователям и прочее и прочее, но для нас это условный Y
Далее продавец, заплативший этот Y, желает получить его назад, поэтому закладывает его в накрутку на стоимость товара. Но так как делить на кредит и не кредит транзакции неудобно, то считается некая накрутка Z от всех транзакций (и во всех товарах) которая примерно отбивается. Z будет зависить от в том числе и от процента кеш/не кеш транзакций в бизнесе, от скорости оборота конкретного товара и прочих вещей.
Поэтому в данном случае
не заплатившего ни цента выше прайса указанного на ценнике в магазине(плюс налог) действуют какие-то дополнительные платы за страховку
вы правы что вы не платите БОЛЬШЕ, но не правы что вы НЕ ПЛАТИТЕ. Вы просто платите всегда, таким образом, что все не в накладе.gecube
29.08.2019 01:04+1Золотые слова! Вы в принципе с этими X, Y, Z объяснили всю суть капитализма и, например, почему НДС де-факто платит не продавец (у него есть схемы его возмещения), а фактический конечный покупатель (потребительно) услуги (читай — физик).
Или, например, почему в компаниях с ДМС — это по сути деньги, которые недоплачены работникам (но зачастую это win-win ситуация, т.к. работник эти деньги ВСЕ РАВНО не получил бы и в этом случае лучше хотя бы синица в руках в виде нематериального поощрения, т.е. ДМС).BigBeaver
29.08.2019 10:25Покажите пример хотя бы одной стабильной формации, где бы потребитель что-то не платил.
DarthVictor
29.08.2019 11:31+1это win-win ситуация
Это это win-win ситуация, потому что с затрат на страховую налоги не платятся. Всякие плюшки в офисе за счет вычета из налогов и оптовой закупки для компании дешевле чем для Вас раза в два.
domix32
29.08.2019 12:33+2tldrhddscan
29.08.2019 17:34+1Одна из причин, по которой вторая ситуация лучше первой, это что при возврате товара возвращается стоимость товара, но не стоимость пересылки.
Поэтому покупателю выгодно платить $30+free shipping и в случае проблем получить свои $30 назад.
Также существует развод в обратную сторону(им грешат китайские товарищи на ebay) когда вещь стоит $1, а пересылка $20, это верный признак что с вещью что-то не так.
catharsis
28.08.2019 22:32Какие-то дополнительные условия для получения такой карты есть? Тратить сколько-то или получить сначала какой-то статус?
Какой interest rate?
Возможно в США мало фрода по кредиткам и поэтому они могут давать такие удобные условияhddscan
28.08.2019 23:15+1Какие-то дополнительные условия для получения такой карты есть?
я не могу утверждать на 100%, но подозреваю что для таких карт нужен весьма неплохой credit score (эта такая циферка кредитоспособности конкретного человека, которая уже давно превратилась в индекс благонадежности)
Какой interest rate?
эта часть меня никогда не интересовала, так как я не живу в кредит по кредиткам
fcoder
29.08.2019 05:55Для открытия любого кредитного аккаунта нужно иметь SSN и хоть какой-то легальный доход. Без SSN можно открыть только дебетовый счёт, и то не везде.
Ещё для этой конкретной кредитки нужен кредит скор наверное где-то 720+ и возраст истории хотя бы в год. Если скора или истории пока что нет, то открывайте amex или дискавер, они не хуже и гораздо более лояльные
vikarti
29.08.2019 14:24Если я прокатаю эту карту в условном волмарте, то система платежей Visa возьмёт с этой транзакции точно такую же комиссию, как если бы я прокатал российкую карту Тинькофф, в которой такой защиты от фрода нет.
А cross-border fee не возьмет разве?
С теми же Payoneer'овскими картами она бралась (и перекладывалась на клиента) при покупках во всяких Австралиях.
kudryavy
29.08.2019 15:37+1Не всё так просто. Кроме комиссии от МПС в цену транзакции заложены еще две комиссии: от банка, выпустившего карту, и от банка, поставившего терминал в торговую точку. Иначе бы терялся смысл выпуска карт и установки оборудования в торговые точки. На каждой транзакции по своей карте банк зарабатывает вместе с МПС. И в эти доходы вполне себе можно включать страховку
kudryavy
29.08.2019 14:00Для совершения покупки нужно два банка: банк, выпустивший карту, и банк, обслуживающий транзакцию. В случае проверки по смс фрод возмещается за счет средств первого банка, а без проверки по смс фрод возмещается за счет второго банка (торговой точки, которая принимает небезопасные платежи).
Следит за всем этим МПС типа визы или мастеркарда.
Получается, что торговым точкам типа амазона дешевле оплатить фрод, чем закрывать прием небезопасных платежей
KonstantinSerov
28.08.2019 15:20Существуют схемы как в Pay Pal, где средства перечисляются не сразу на счет продавца, а резервируются на специальном счету. Покупатель также не может отозвать средства. Везде бы работали подобные схемы
hddscan
28.08.2019 15:35+1Главные проблемы начинаются когда что-то идет не так
Например вам прислали товар не соответствующий описанию
У меня был как-то трах с dx.com
Купил я там регистратор для машины, в описании было написано — английский язык в регистраторе и инструкции. В итоге пришла совершенно китайская железяка, на чистом китайском языке, с китайской же инструкцией
Открыл я тикет на dx.com, после пары недель, трех фоток и десятка писем они признали, что товар не соответствует описанию и сказали «шли, вернем деньги за товар». На что я вполне резонно ответил, что послать я могу, если они оплатят пересылку. Так как послать В КИТАЙ стоит денег и немалых.
Они меня послали, после чего я пошел в paypal и открыл тикет там. После недели препирательств ситуация повторилась и paypal автоматически закрыл мой тикет, утверждая что я не сделал каких-то действий (а именно, не приложил трекинг-номер с почты, что я конечно не собирался делать, потому как стоимость пересылки с трекингом была больше стоимости регистратора)
В итоге я пошел в банк и открыл тикет по транзакции на кредитке (платеж в Paypal), они мне сразу вернули деньги и через три месяца автоматически закрыли его, написав что продавец не предоставил надлежащую информацию.
Это как работает в США.dartraiden
28.08.2019 15:49+2Встречал отзывы, что в России за такое (чарджбек через банк) прилетает бан в PayPal.
hddscan
28.08.2019 17:20+1вполне вероятно. На сколько я знаю в России Paypal-ом можно платить только до $5000 суммарно за ВСЕ ВРЕМЯ существования аккаунта. Т.е. его польза в России очень быстро стремится к нулю.
Наверное Paypal-у совсем неинтересен российский рынок.snp
28.08.2019 23:10только до $5000 суммарно за ВСЕ ВРЕМЯ существования аккаунта
Это откуда такие сказки? У меня акк. 10+ лет, там наверняка сумма уже раза 2-3 превышена.
польза в России
У PP польза — не светить номер карты где попало, это уже само по себе ценно.hddscan
28.08.2019 23:16Это откуда такие сказки? У меня акк. 10+ лет, там наверняка сумма уже раза 2-3 превышена.
из договора Paypal-а. Я лет 10 назад пытался делать аккаунт в России.
У PP польза — не светить номер карты где попало, это уже само по себе ценно.
Наверное для России это ценно, согласен.snp
28.08.2019 23:38из договора Paypal-а.
Пруф?
С моей стороны — только что посмотрел у себя лимиты: порядка 8000 USD на одну транзакцию и такой же на сумму баланса. Раздел с лимитами в новом интерфейсе пропал, но тут можно на старый (он местами ещё работает) попасть: https://www.paypal.com/cgi-bin/webscr?cmd=_show-limits&req_from=view_limits
Я лет 10 назад пытался делать аккаунт в России
Они примерно с 2006 года официально предоставляют сервис для РФ, так что пытаться не надо было. Достаточно было просто зарегаться.
Наверное для России это ценно, согласен
При чём тут Россия? Интернет-то одинаковый везде.
hddscan
28.08.2019 23:49Пруф?
вы мне предлагаете пойти поискать документы 10 летней давности для вашего удовлетворения?
Они примерно с 2006 года официально предоставляют сервис для РФ, так что пытаться не надо было. Достаточно было просто зарегаться.
Я и зарегился, только не пользовался, так как ограничение меня сразу не устроило. Вполне вероятно что сейчас не так. Как я писал
На сколько я знаю
При чём тут Россия? Интернет-то одинаковый везде.
При то что при Zero Fraud Liability в США, мне совершенно пофигу украдут номер моей кредитки, или нет. Меня защищает эта вещь и решение всех проблем мне обеспечивает СБ банка/кредитного агенства.
В отличии от скажем России, где нужно в течении 24 часов заявить о проблемах(а о них еще надо знать), так по крайней мере написано в договоре Сбербанка, иначе потом придется долго разбираться с банком и доказывать что не верблюд.BigBeaver
28.08.2019 23:5810 лет назад они не работали официально в России, и с приемом платежей вообще плохо было, емнип. Нормальная верификация и счета в баксах так вообще появились недавно сравнительно.
hddscan
29.08.2019 00:0310 лет назад они не работали официально в России
не может такого быть, 10 лет назад это минимум, я думаю что более вероятно 12-13 лет назад.
Новости пишут что Paypal работает с 2006-го, но с ограничениями.
Нормальная верификация и счета в баксах так вообще появились недавно сравнительно.
За российским сегментом Paypal-а я перестал следить очень давно, приятно видеть что оно как-то развиваетсяBigBeaver
29.08.2019 00:18Википедия говорит, что прием платежей появился в 2011 для россии. Я начал пользоваться в 2012, и сложностей было, скажем так, много.
snp
29.08.2019 00:35В 2006 можно было при регистрации указать страну РФ, привязать карту с российским BIN'ом и платить ей в интернете. Остальной функционал появлялся позже.
BigBeaver
29.08.2019 10:27Ну утверждать, что можно за всю жизнь акка купить не больше, чем на N, еще более странно. Я потому и думал, что мы про прием денег.
BigBeaver
28.08.2019 23:53О, вот за ссылку спасибо.
По лимитам подтверждаю — у меня аналогичные. Есть основания полагать, что у всех подтвержденных аккаунтов такие.
sumanai
29.08.2019 19:02У PP польза — не светить номер карты где попало, это уже само по себе ценно.
В век виртуальных карт уже не очень.
snp
28.08.2019 23:12Чарджбек делает не банк, а платёжная система. Механизм одинаковый, что в России, что в США. С чего бы бану прилетать?
hddscan
28.08.2019 23:18Чарджбек стоит денег(боюсь соврать, но что-то вроде $25 в США), платит за это продавец (в данном случае Paypal). Наверное они считают что такие пользователи им не нужны.
igrblkv
29.08.2019 10:54Если регистратор оплачивался через PayPal, то у них есть программа возмещения возврата товара из-за существенных недостатков (а не «цвет не нравится» или «размер не подошёл»)!
Я в апреле Nexus 5 купил на иБее, якобы «европеец». Реально приехал «американец», да ещё и микрофон оказался нерабочий. Обратился к продавцу за частичной компенсацией — тот встал в позу: только возврат. Ок, в конце мая отправил тел обратно со всеми страховками, заслал чек в ПейПал, получил компенсацию в долларах на свой счет ПейПал. Телефон где-то застрял по-пути и приехал к продавцу только в конце июля. Он его почему-то получать не стал. На иБее в возврате средств отказали, т.к. трекинг есть, но факта получения нет и срок уже вышел. Обратился в ПейПал, обрисовал ситуацию, запросили продавца и по итогу вернули полную сумму (несоответствие описанию плюс неупомянутый дефект), телефон то-же уже приехал обратно…
По итогу: защита покупателя реально работает, но всё очень долго происходит (в чем виновата Почта России, которая два месяца телефон из Москвы в Нью-Йорк переправляла — он, походу, самостоятельно добирался, на попутках :) ).BigBeaver
29.08.2019 11:17+12 месяца нормальный срок для пересылки морем.
igrblkv
29.08.2019 12:05Спорить не буду, но я, вроде-бы, заказывал самую быструю доставку, в том числе. Кроме того есть письмо-извещение Почты России (МР ЛЦ Внуково) от 26 июня, где нашли «потерянную» посылку и отправили в «ПЖДП при Казанском вокзале на дальнейшую обработку».
Да и обратно явно не морем пересылали — дошло за две недели.BigBeaver
29.08.2019 13:31Ну я тоже не буду отрицать, что почта иногда косячит. Просто хотел пояснить, что срок, в целом (безотносительно подробностей вашего случая), не является каким-то нереальным.
igrblkv
29.08.2019 13:47Но в регламент иБея по возвратам он явно не вписывается. Там то-ли месяц, то-ли полтора и если факта вручения нет — досвидос…
Поэтому из России это мой первый возврат — раньше удавалось на частичную компенсацию договориться или на полный возврат, если был повод.
nevzorofff
29.08.2019 20:18Я хз сколько в США стоит пересылка в Китай, но у нас, в РФ — в районе тысячи рублей, что около $15. Отсылал несколько раз на этот самый DX неисправную технику(которую покупал для продажи на Авито) — мне стоимость пересылки они же возмещали.
Neusser
28.08.2019 16:56пэйпал хорош, когда все хорошо. А когда что-то не хорошо, тут-то он и проявляется во всей своей подлой красе. Ни за что не отвечает, ни к чему не относится и вообще просто рядом стоял, а ты сам виноват.
Если есть возможность платить НЕ пэйпалом, то нужно этой возможностью пользоваться. Если такой возможности нет, то не нужно иметь дел с таким продавцом.darthmaul
28.08.2019 21:45Да уж, палка хуже биткоина. Защита покупателя как у битка (т.е., никакая — заплатил и все), зато есть два минуса:
1. Можно получить бан за просто так и средства заморозят пока не пришлёшь им кучу челобитных (выписки с банка, документы и т.д).
2. ПП могут банально сбрутить и «вбить» хакеры. Заходить по логину и паролю в платёжное средство в наше время выглядит дикостью для всех, кроме «палки».gecube
29.08.2019 01:08+1а чего — 2FA у них не фурыкает.
Но могу сказать одно — у палки сломано смс уведомление в Россию. От слова совсем.
gecube
29.08.2019 01:06ну, это escrow и аналогичные варианты… ес-но они берут конский процент (относительно, конечно) за свои "посреднические" услуги.
vladkorotnev
29.08.2019 04:10Только вчера смотрел видео у Луи Россмана, как он это обходил, когда клиенты делали предоплату, палка её удерживала, а деньги на выполнение работ нужны были вот прям сейчас — просто отправлял свою брошюру первым классом на адрес клиента, чтобы трек отбивался как доставленный, и палка отдавала деньги.
seekerer
28.08.2019 15:49+3Я что-нибудь упустил? Если интернет-операция не проходит через 3DS/VbV, то происходит т.н. liability shift, т.е. в случае, если пользователь запросил chargeback, ответственность за платеж лежит на продавце/мерчанте продавца…
GLeBaTi
28.08.2019 15:51Тоже слышал. Типо если по смс подтвердил, то деньги не вернешь, а если не было смс, то вернут.
elobachev
28.08.2019 17:02Я бы посмотрел на эту ситуацию несколько с иной стороны.
Вот помните, как было с ДБО? (Я про РФ)
Сначала банки говорили «проблема ИБ рабочих мест пользователей — это проблема пользователей»
Это оказало влияние на преступную среду — киберпреступность стала восприниматься у нас как такой вид спорта, национальный. Количество киберпреступников возросло до такого количества, что стало негативно влиять на рынок ДБО вообще. Ну и на перспективы НПС в частности.
В этот момент регулятор сказал банкам: «Баста, карапузики. теперь если деньги из ДБО украли, то их украли у вас. Вы их верните сначала, а потом разбирайтесь.»
Кирпичей, подготовленных в тот момент участниками рынка хватило бы на мост в крым, но тогда он еще не случился. В результате доторговались до того, что банки деньги возвращают, но как бы почти и не сразу. Но зато резко повысилось внимание банков к защите рабочих мест клиентов, например Сбер даже в свое мобильное приложение бесплатно для клиента касперского внедрил.
Полагаю, тут мы наблюдаем такой же цикл, движущей силой которого является желание участников рынка полностью уйти от социальной ответственности, считая киберпреступность чисто финансовым риском. Такая ситуация порождает рост преступности, которая скоро участникам же рынка и аукнется…sumanai
29.08.2019 19:11например Сбер даже в свое мобильное приложение бесплатно для клиента касперского внедрил.
Ещё бы дополнительное шпионское ПО на телефон стоило бы денег. Касперский мог бы приплачивать за это.
CAJAX
28.08.2019 17:39В прошлом году украденные данные моей карты использовали в убере и групоне на сумму в 200 евро. Ни банк ни убер с групоном не ответили ничего внятного на мою просьбу форсить 3DS.
UserAd
28.08.2019 17:57У меня однажды угнали аккаунт на курсере с привязаной картой, с него купили курсов на $1500 подарком. Курсера вернула конечно деньги, но после этого случая я прошел и везде отвязал карту.
xenon
28.08.2019 20:42+8Ну это не так жалко. Вы сами свои деньги может быть и пропьете, а воры — в образование вложили!
sumanai
29.08.2019 19:12но после этого случая я прошел и везде отвязал карту.
Чувствую себя гением, когда осознаю, что никогда нигде не привязывал карту, и усиленно снимал галочки на «Запомнить карту».
Greenoctopus
28.08.2019 19:55Вот кстати когда у меня угнали данные карты, списания были в штатах, бронь жилья и заказ пиццы. Оплаты были без 3ds, так что деньги вернули спустя 2,5 месяца. Срисовали скорее всего при оплате платной дороги на М4 Дон, больше эту карту вроде нигде не светил.
catharsis
28.08.2019 22:40Никогда такого не было, и вот опять.
Кажется, этой схеме столько же лет, сколько существуют кредитные карты.
DrAndyHunter
29.08.2019 07:44+1Подскажите пожалуйста какое-нибудь из "подземелий" (форум), чтобы хоть иногда получать "новинки" и учитывать при разработке своих систем.
beardman
29.08.2019 09:22вряд ли бы я поверил, если бы 10 лет назад сказали, что кардинг вернется к 2019 году практически в таком же виде как и был.
decomeron
29.08.2019 10:39+1Извините, если что я не в теме. А что нельзя привязывать карту без денег, а потом на нее в случае какой то покупки перекидывать деньги. Зачем вообще иметь только одну карту, когда можно несколько. На основной, которая не светится вообще нигде основную сумму, перекидывая нужные суммы на те с которых платите.
Лучше перебдеть, чем недобдеть.BigBeaver
29.08.2019 11:19Можно конечно. Для этого некоторые банки позволяют вам выпустить (возможно, даже двмя кликами в ЛК) себе онлайн карту, не имеющую физического воплощения.
Dywar
29.08.2019 12:28Яндекс деньги.
Можно выпускать бесплатные карты привязанные к вашем кошельку. Производить оплаты как через NFC (online/offline) так и в интернете.
Проблема только в том что я ее могу пополнить только на 3 тыс. за 1 раз, и комиссией 30 руб.
Удобство или безопасность — борьба продолжается.
Картинка с отмыванием денегigrblkv
29.08.2019 13:51Со Сбера пополнял без комиссии на что-то в районе 500 рублей несколько раз, но уже давненько.
Вроде-бы тогда были и другие варианты…
DrAndyHunter
29.08.2019 13:05Утром прочитал эту статью, а сейчас покупал на aliexpress всякие нужные радиодетали и до меня дошло, что на aliexpress-то тоже нет проверки 3D secure (MasterCard)
igrblkv
29.08.2019 13:53На Али есть QIWI-Кошелек — я через него плачу.
Заодно, при возвратах, доллары так и лежат без постоянных конвертаций туда-сюда.
Yuriy_krd
29.08.2019 14:18Странно. У меня при оплате картой Сбера (мастеркард) перекидывает на страничку 3DS и просит код из смс.
ursaa
29.08.2019 23:19Был очень интересный опыт с британским магазином — карта не проходила в принципе, т.к. у «них» работает система проверки billing address, коим «наши» банки вообще не имеют понятия, что это. В итоге — не могу купить. Ибо проверка не проходит. При этом вариант покупки «ты же доверяешь продавцу — дай ему номер карты + cvv2». Небезопасно, но полстраны так отоваривается. Тупо доверие к «продавцу». Мотив — «нормальный продаван тебя не кинет»
snp
01.09.2019 00:19А у вашего банка-эмитента как-то отказ был виден? SMS или в интернет-банке строчки?
Mogwaika
У меня при покупках в я-еде и в деливери-клабе, альфа и тиньков просят код из смс.
combonik Автор
В пост советских странах карты проверяют «с пристрастием». А booking в Украине не принимает деньги «на себя», только за бронь может заморозить, остальное списывает отель на месте. Доверия к пост советским странам мало, доставка с Amazon к примеру то еще развлечение с дополнительной верификацией.
Mogwaika
Да, а вот алиэкспресс, амазон, ржд и аэрофлот последние разы игнорили все проверки.
Доставка с Амазона почти нормально отрабатывает, если местные боксберри не тупят с извещениями…
combonik Автор
Я думаю причина в том, что есть вот такие мошенники предлагающие возврат средств за покупку за 15-30% от стоимости покупки. Они (магазины) несут колоссальные потери.
Mogwaika
Причина чего, того что Амазон забивает на 3ds? Я не очень понял, что делают мошенники.
combonik Автор
Делают «refund» или же «money back» за якобы не пришедший или «битый» товар.
darthmaul
Вероятность успеха рефанда вообще от антифрода не зависит, это чистая соц. инженерия. Решение — более строгая проверка заявок на возврат, но на западе «так не принято» (причины мне неизвестны). И этот вид мошенничества не только в СНГ процветает, а и в Европе, и в США.
AddRaiser
Амазон из-за этого уже не доставляет многие вещи в РУ
Правда за границей это гораздо популярнее, чем у нас, а туда не отправлять нельзя, так что реф, к сожалению, с нами надолго
Whuthering
Ну в случае с аэрофлотом и ржд это вполне логично: поставщик один (или в специфических случаях несколько, но все провереннные), возврат только на ту же самую карту с которой купили, а реальный билет с левой карты оплачивать смысла нет никакого, т.к. для того чтобы им воспользоваться, нужно будет засветить настоящие паспортные данные.
Mogwaika
Ну может свободное купе захочет кто-то…
NetBUG
У меня РЖД с 2015 до 2019 каждый раз просит код на любую российскую карту.
puyol_dev2
РЖД и другие российские сервисы, типа авиакомпаний, на страницу авторизации банка выбрасывают. А вот заграничные сервисы — aliexpress или paypal забивают на это
BigBeaver
Там, вроде, сначала привязка требуется. Не?
snp
У PayPal это «фича». На Aliexpress работает 3Dsecure, в частности если платить Maestro.
H_I_R_U_R_G
Вроде нет.
дважды в этом году букинг списывал деньги с карты. причем в первом случае это был аванс (как и положено), с доплатой на месте. А во втором случае запросили (и подтвердили) оплату в момент поселения, но недели за 2 букинг снял с карты полную сумму за проживание 8-)
Но доверия действительно мало, один из отелей отказался давать бронь без аванса именно из-за несовпадения имени в аккаунте и на карте.
snp
Списывает не букинг, а отель. Максимум, что букинг делает — это запрос Verification прислать, да и то не всегда.
Irgen
Ох нет, не всегда, я это прочувствовал на себе. Арендую домик на Бали на 2 недели, сумма бронирования указана в индонезийских рупиях, 4 200 000 рупий (примерно 19 тыс рублей). Как указано в объявлении — оплата при заселении, но для подтверждения брони введите номер карты. Ок, ввожу карту на которой лежит около 1000 рублей, дом бронируется, все вроде бы хорошо. На следующий день захожу в приложение банка (да, Сбер), и вижу, что баланс на карте составляет примерно минус 4 199 000 рублей. Платеж ушел именно в букинг, в Нидерланды. Через пару недель переписки и разговоров между мной, букингом и банком деньги все же вернули, но объяснить как так вышло затруднились. Букинг не парился и перевел рупии в рубли как 1/1 (хотя курс 1/0,0046 на самом деле), а сбер ничуть не смутился и загнал баланс в минус 4 с лишним миллиона.
snp
Интересно, как сбер позволил карте в минус уйти?
Вообще, похоже букинг с недавних пор научился работать с картами сам.
По крайней мере, я бронировал 2-3 недели назад в США на ночь жильё, так букинг сразу прислал письмо, что карта неправильная (по старой привычке всегда там ввожу сгенерённый номер). Когда ввел реальный номер карты, то вскоре по SMS пришёл запрос «Verification». Первый раз на букинге такое вижу.
Например, такой запрос шлёт также AirBnb. Насколько я понимаю, это проверка, есть ли требуемая сумма на карте, но не авторизация.
Если кто хорошо знаком с карточной кухней, было бы интересно послушать, что за запрос такой.
NIKOSV
А потом в отеле тебе предлагают за определенную скидку «не появится», чтобы букингу процент не башлять. Особенно этим страдают мелкие отели.
Так же само сервис записи в клинику — ищешь клинику, врача, читаешь отзывы, букаешь, сервис берет на себя все остальное. Приходишь, и первое что делает клиника это дает тебе визиточку и просит в следующий раз самому позвонить и забронировать напрямую, типа для «вашего же удобства». Кто сказал что это удобнее? Мне на сайте пару кнопочек кликнуть гораздо проще предварительно отфильтровав десятки клиник и врачей, чем звонить куда-то.
Вывод, все пытаются наебать всех.