Неприятно удивил Сбербанк сегодня - отсутствием двухфакторной верификации при оплате картой через интернет.

Negativ, сейчас можно платить не за себя. 
Изменили же закон 

kuzbass_oleg, я наверное не совсем внятно в посте выразил его суть.
Суть поста в том, что оказывается с помощью карт сбера (в отличии от альфы например — потому что альфовская карта на том же сайте запрашивает подтверждение), можно вообще что то оплачивать без подтвержения. При этом аидимо нет ограничения на сумму.
Далее дело техники.
Так как сбер отказывается дать списко доверенных магазинов, очевидно что он откажется и предосиавить технологию, по которой определяет эти сайты.
Возможно, что технически, программно, можно на***ь стстему, чтобы она признала доверенным какой то фейкоаый магазин, и таким образом поднять бабла.
Двухфакторную верификацию тоже можно теоретичски обойти, но тут проосто доп защита.
при оплате свыше 600 или тысяси рублей в обычном магагине и то надо пин код вводить, а здесь просто любая сумма.

kuzbass_oleg, так ведь как я понял из других комментов- оказывается во многих случаях нет двухфакторной верификации. А не только при оплате налогов. Человек авиабилеты оплатил,  мало ли где еще можно оплатить без СМС.
Похоже что списка доверенных магазинов вообще нет, а есть какой то алгоритм,  принимающий решение о запросе верификации по СМС. А значит его можно обмануть.

Igor, ну я этот пост написал к тому, что со сберовской картой доступны манипуляции теми, кто имеет доступ к ее данным.
А конретно сотрудникам сбера. 
Они же могут продавать данные карт, я думаю эта тема получит развитие, учитывая что последнее время часто стали писать об утечках конфиденциальных данных

Волосников Андрей, я не знаю начюсчет других банков. Знаю только альфу. Там запрос смс всегда. Столкнулся со сбером. Удивился. Написал пост.

Воруют данные все, не только в сбере.

Но в в сбере защита хуже.



Более того. В другом комменте человек написал, что билеты авиа покупал тоже без подтверждения.

А сбер отказывается предоставлять список доверенных магазинов.

Возможно что такого списка вообще нет, а просто алгоритм определяет где надо смс а где не надо запрашивать.

Можно купить данные карт, насоздоать магазинов, и вывести уйму бабла

Волосников Андрей, я само собой, и не планировал делать всеобъемлющий анализ этой ситуации, и сравнение всех банков, сравнил лишь, то где у меня появился опыт жизненный.
И не пытался узнать список довернных магазинов. просто в своем вопросе сберу сформулировал — а где еще можно платить без подтверждения? А уже они эту формулировку дали.

Для меня забавно — сейчас вспомнил, что для того чтобы зайти в сберовский квик, нужно каждый раз вводить смс, особенно по утрам это подбешивает. С вечера если квик включенный оставишь, он примерно с 9 до 10 утра на следующий день от сервера отваливается, а потом в 10 подключается и шлет смс. А в банке не надо смс вводить при покупках онлайн. Прикольно.

Волосников Андрей, ну так то я уже выше два раза написал, ну еще раз напишу.
1. Что значит вериикация по смс?
Это значит, в моем понимании — что, для того чтобы транзакция произошла, я должен с ввести пароль из смс. То есть для абстрактного вора моих данных, который решил расплатиться моей картой — доплнительная сложность, надо еще телефон украсть, а луше придумать прогу, которая будет смс перехватывать, например где то в банке установить.
2. Это значит, что при прочих равных, рациональнее для потенциальных мошеннических действий выбрать банк, где смс не нужно вводить при оплате.

Первый вывод  — банки, где нужно вводить смс — надежнее (при прочих равных условиях). Вы с этим согласны? Если нет, мотивированно объясните, именно используя формулировку — при прочих равных условиях, не отвлекаясь на другие доводы.


Теперь, что касаемо — зачем вообще платить. Опять таки я уже три раза написал выше. Видимо я не внятно в самом посте объяснил его суть.
Суть в том, что я выяснил, что моей картой кое где можно платить без подверждения по смс. Вот суть моего поста. А не то, что без смс кто то свои налоги моей картой буте оплачивать.
Например в одном из комментов ранее человек написал, что оплачивал картой авиабилеты, и тоже не потребовалось смс.

Суть поста ясна теперь? Если не ясна, еще раз не поленюсь повторить — то, что моей картой можно плаить без подтверждения по смс в принципе.
Почему я так тщательно пытаюсь это донести?

Объясняю далее — можно купить данные карт в сбербанке. Купить например данные 10 миллионов карт. Далее, создать фэковые интернет магазины. Создать 1000 магазинов. Далее, установить на них окна для приема например оплаты сотовой связи. Например от яндекса того же. Я не знаю точно где проще сейчас. Раньше яндекс можно было установить для приема до 15тыс рублей без всяких договоров и документов. То есть у них есть какой то банк экваер. У меня был интернет магазин, и было так установлено — поэтому я это знаю.
А дальше дело техники — например просто оплатить услуги сотовой связи того же Мегафона. У Мегафона в свою очередь есть афиилированный банк, и в свою очередь каждый владелец номера потеницально имеет возможность выпустить для себя карту. То есть дальше можно певродить потом деньги.
Вы спросите — где взять столько номеров мегафон. На счет мегафона не знаю, но имел дело с Теле2 — мне в магазин приносили эти сим карты пачками, чтобы мы их продавали. Мы должны были заполнять данные клиента, но по факту никому особо это не надо.  То есть можно по факту купить или получить анонимно сим карту, а деньги оттуда можно переводить на другие номера, или расплачиваться за что то.
Там где на улицах или в магазинах со столиками стоят люди, продающие карты, с ними непроблема договориться и купить сим карты без паспорта.

Это просто один из сценариев, как можно использовать этот косяк без верификации по смс.

Что теперь скажете? Не надо платить чужие налоги, и пробивать головой стены. Головой надо думать.

И последнее, я не мучаюсь со сбером. У меня просто там открыт счет брокерский, и потому открыт счет банковский — туда приходят купоны.
Мне надо было их потратить, и я решил таким образом это исполнить.
и поделился ньюансом.

В свою очередь, к Вам  вопрос, если Вы все знаете, зачем ввязываетесь в эту никчемную дискуссию? 
Я написал пост для таких как я, которые в этом ничего не понимают.

Magistr, ну да, для себя я ее открыл в данном случае. я не активный пользоавтель сбера, счет у меня там открыт, потому что есть брокерский счет и заодно этот открыли. туда падают купоны, образуются деньги,  решил их потратить, и сильно удивился.

Илья, а как правильно этот процесс все таки называется, верификация, или авторизация? Я думал, что верификация, типа подтверждение операция.
А авторизация это типа подтверждение личности?
Ну вот двухфакторной при опоаие онлайн в сбере получается что нет.
Хотя у брокера сбера при каждом заходе в квик это есть.
Так странно

Илья, действительно, каждый хочет получить, то что нужно именно ему.
Экваеру надо защититься от оспаривания.
Мне надо, чтобы в случае 3дс мне вообще не пришлось бы что то оспаривать. Я точно знаю, что данные моей карты менеджеры сбера знают.
Как минимум они. Также я точчо знаю, что не зависимо от того, экваер, в моем случае — налоговая инспкеция, установила двухфакторную верификацию, или не установила — по моей карте альфабанк запрашивает подверждение операций. В том числе на сайте налоговой.
И для меня чисто психолгически, комфортнее осознавать, что без моего подверждения деньги не спишутся (сейчас ведь не физическое отчуждение телефона с картой обсуждаем — которого еще не произошло, а уже установелнный факт, что данные карты известны третьем лицам).
Я обратился в банк с просьбой включить мне такую верификацию, и  в письменном ответ( кроме того что я запостил) был и отказ от этого, то есть они не будут мне такую опцию включать.

Илья, и кстати да — получилось так, что  я именно по фатку провел эксперимент одновременно с двумя картами одной плтаежной системы, но разных банков — платил за себя и за жену

Илья, там открывалось страндартное окошко, куда надо было забивать данные карты, я уже не помню, просто там не было ничего не обычного (я оплачиваю коммуналку например и еще что то), все как обычно, ничего не запомнилось.

трейдер moto, чего то не то Вы пишете. Как же быть с комментом, где человек купил в с7 авиавибилеты без подтверждения?
Почему альбанк смс прислал при оплате в ту же, бюджетную организацию?
Чего то не нормально