Masterok (Валерий) (masterok) wrote,
Masterok (Валерий)
masterok

Categories:

Дыра в безопасности "Сбербанка". Не "светите" номерами своих банковских карт



Последние годы мошенничество с банковскими картами распространяется все шире и становится все изощрённее. Оно и понятно, интернет-торговля и онлайн-оплата отвоевывает рынок налички.

Однако бывают случаи, когда это просто "дыра в системе". Прочитал сейчас историю того, как у одного человека сняли деньги с карты буквально чуть ли не случайным перебором номера карты без CVC и кода подтверждения по SMS.



Итак, история началась с того, что Саркис Антонян в 23:24 по Москве получил 4 смс с номера 900 о покупках в неком BYEACCENT NKR LLC на суммы 177 и 187 USD. Несмотря, что первым сообщением приходил: ОТКАЗ: Срок действия карты истек или указан неверно, второе сообщение приходило со списанием суммы и деньги с баланса реально списались.





Тут же он позвонил в Сбербанк, чтобы отменить операцию. Ну или в крайнем случае, если разу отменить нельзя то оформить чарджбек. После нелегкого общения со службой поддержки Сбербанка, которая утверждала, что "ничего сделать нельзя, это вы сами сделали покупки" пришлось ему попросить соединить его с руководством, которое подтвердило все же, что чарджбек оформить можно. Однако его предупредили, что ответ дадут по нему только через пару недель, а сама процедура возврата может занять до 120 дней и даже больше. К тому же само заявление не означает, что деньги в принципе вернут т. к. решение будет принимать банк на той стороне. На вопрос про статистку, ответил примерно 50 на 50 возвратов и отказов.

Саркис решил провести собственный разбор ситуации. Загуглил информацию о получателе, которая была указана в смс (BYEACCENT NKR LLC). Он совсем не ожидал наткнуться на реальный магазин, т. к. в тот момент на 100% был убежден, что это некий мошеннический ресурс для вывода денег. Скорее хотел найти истории таких же бедолаг, чтобы найти подсказки и понять каким же образом все-таки мошенники завладели моими банковскими данными. Но гугл сразу же выдал реальный сайт.

Пообщавшись с владельцем сайта оказалось, что деньги готовы вернуть, сославшись на некое "недоразумение". Но сам диалог, ему показался немного странным. Сложилось ощущение, что они что-то не договаривают и они точно знаю человека, который расплачивался моей картой, а вероятнее всего это даже их сотрудник. Поэтому Саркис решил немного их припугнуть, чтобы узнать больше деталей и как оказалось не зря.

Выяснилось, что им написал некий "программист", который якобы нашел уязвимости на сайте. А именно, что можно ввести любые выдуманные данные банковской карты и получить доступ к курсам на сайте. В тот момент, этот чувак еще не понимал, что у кого-то деньги реально списываются, а думал, что сайт пропускает без оплаты.




Из всех данных, что ввел этот товарищ при оплате, реальным был только номер банковской карты! Срок действия и CVC не совпадали с моими. Однако Сбербанк спокойно дважды пропустил такую транзакцию. Удивительно, да?

Внимание! Достаточно просто знать номер чужой банковской карты и можно спокойно расплачиваться ей в магазинах, если там подключен Stripe.

Да, насколько знаю, в России платежная система Stripe запрещена, но ведь никто не запрещает расплачиваться российским картами на зарубежных сайтах! По сути злоумышленникам, достаточно зарегистрировать LLC в США, создать фейковый интернет магазин, подключить Stripe и дальше просто списывать деньги с чужих карт, через покупки в нем.

Думаю, не нужно объяснять насколько легко в России получить номер банковской карты. Он повсеместно используется для переводов. Достаточно пройтись по блогерам в инсте, админам телеграм каналов или даже объявлениям Авито и каждый второй скинет для оплаты номер своей карты. Да сейчас есть СБП, но даже при его наличии, отправлять номер телефона малознакомому человеку мало кто хочет, а вот с номером карты ничего плохого вроде и не сделать.

Именно так я и думал, до всей этой истории. Полное описание этой истории тут.

Вывод должен быть таким: для любых платежей или приема средств на карту от кого-то создавайте виртуальную карту, которая будет пополнятся под необходимые траты, а все остальное время быть пустой.


Вот что пишут в комментариях:

- Короче - оплата без cvc в США - норма. Мне так какой то лиходей в Wallmart ноутбук на 600$ купил на вынос (но волмарт сам отменил платеж как подозрительный, карта была сохранена в профиле без cvc). Тут скорее вопрос к Сберу - какого хера они отрицают, что при оплате без cvc по стандартам платежных систем они ОБЯЗАНЫ опротестовать операцию, если клиент их известил об этом и вернуть клиенту деньги (в этом случае сбер направляет поручение возврата в банк мерчанта, тот возвращает деньги, а дальше сам разбирается с клиентом, если у того даже был 0 на счету).

- Я часто расплачивался на американских сайтах вводя только номер карты, это особенности многих их платежных систем. И смс также не запрашивают, типа это отдано на откуп платежной системе.

- У страйпа, действительно, в настройках платежки есть возможность владельцу магазина выбрать уровень безопасности приема платежей. И если они принимает оплату без cvv кода - это либо недосмотр владельца сайта, или адский пофигизм, так как это прямой путь к большому количеству чардж-беков, от которых в конечном итоге пострадает сам владелец, так как платежка может отказаться от работы с его магазином.
Касательно того, что в Штатах не парятся с 3d secure и не внедряют его, потому что смысла особого нет. 3d secure это же для платежей с дебетовых карт, а в Америке 99% онлайн платежей происходит кредитками, а там отменить транзакцию раз плюнуть - все банки дают $0 Liability On Unauthorized Charges на свои кредитки.

Вот такие дела. Предупрежден, значит вооружен.



Tags: Интернет, Происшествие
Subscribe

Posts from This Journal “Интернет” Tag

  • Нехта / Трамп

    Интересное сравнение, вот например неправительственные организации в США яростно требуют заблокировать Telegram на том основании, что в этом…

  • Цукерберг сдал назад. Почему?

    Чтож ты Цукер сдал назад? Обещал же, что страницы Трампа в соцсетях не разблокируют по крайней мере до 20 января (дня инаугурации Байдена).…

  • Переедет ли Тelegram в Россию?

    Наверное всем сегодня в Телеграм пришло сообщение от служебного аккаунта: "Только за последние 72 часа в Telegram зарегистрировались более 25…

promo masterok январь 2, 2018 12:00 50
Buy for 300 tokens
Вот так выглядит трафик в блоге 2020 год по месяцам. Это более ТРЕХ МИЛЛИОНОВ просмотров в месяц, среди которых не только залогиненные в ЖЖ , но и любые просмотры из поисковых систем. При этом за месяц приходит около МИЛЛИОНА посетителей. Статистика Google Analytics за месяц 2020 года (…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 181 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →

Posts from This Journal “Интернет” Tag

  • Нехта / Трамп

    Интересное сравнение, вот например неправительственные организации в США яростно требуют заблокировать Telegram на том основании, что в этом…

  • Цукерберг сдал назад. Почему?

    Чтож ты Цукер сдал назад? Обещал же, что страницы Трампа в соцсетях не разблокируют по крайней мере до 20 января (дня инаугурации Байдена).…

  • Переедет ли Тelegram в Россию?

    Наверное всем сегодня в Телеграм пришло сообщение от служебного аккаунта: "Только за последние 72 часа в Telegram зарегистрировались более 25…