Блог им. dkostiunin

Неприятно удивил Сбербанк сегодня - отсутствием двухфакторной верификации при оплате картой через интернет.

Сегодня я заплатил имущественные налоги. Удобно платить стало, заходишь в кабинет налоговой, перед тобой сумма к оплате, выбираешь оплату картой, и как обычно, на специальной странице защищенной вводишь данные карты, и по идее — должно выйти окошко с вводом пароля из СМС.
Такой типа интернет магазин налогов сделали. Буквально год назад приходилось отдельно по каждому объекту операцию оплаты совершать, сейчас просто общую сумму можно оплатить.

У меня налог 121 тыс руб.  В сбере у меня были деньги, решил оплатить картой Сбера. Визой.
Ввел данные, и — у меня отвис подбородок, оплата произошла без ввода СМС.

Ну как бы сумма не маленькая, гипотетически, если кто то у меня украдет карту (или просто узнает данные — это может сделать любой работник того же Сбера, державший в руках мою карту), то может купить что нибудь в каком нибудь магазине на всю котлету.

Я решил прояснить этот вопрос — сначала меня загрузили, что СМС было, выяснилось, что это была СМС постфактум — уведомление о свершившейся операции. Потом начали говорить, что это настройки сайта налоговой — ну я им объяснил, что ранее оплачивал подобный налог картой Альфабанка, и там пришлось вводить код из СМС. 

В итоге прислали письменный ответ — одним из пунктов было —

В соответствии с действующей технологий работы Сбербанк Онлайн операции в пользу низкорисковых поставщиков услуг проходят без подтверждения SMS-паролем.
Порядок определения уровня риска операции/поставщика услуг определяется банком и не подлежит разглашению. Предоставить полный список организаций не представляется возможным.


Так что по аккуратнее с хранением денег на картах Сбера, у них свои приколы оказывается. Принимают решение сами, где мы можем оплачивать без двухфакторной верификации.

★4
49 комментариев
экономят на СМСках )))
avatar
За рубежом будешь оплачивать этой картой и ни будет никаких смсок вообще.
Никакой двух… фак… торной а средтсва спишут на раз.
Не обольщайтесь на этот счет и не держите на карточных счетах больше чем планируете потратить на неделе.

avatar
В части уплаты налогов вполне разумное, ИМХО, решение: поскольку налоги платятся только за себя, налоговая не примет платеж, если ФИО плательщика в платежке не совпадает с ФИО налогоплательщика, т.е. уплатить свой налог с помощью чужой карты не получится.
avatar
Negativ, сейчас можно платить не за себя. 
Изменили же закон 
avatar
Дмитрий К, Ну заплатили вы свои налоги с ворованной карты, а профит то где?
avatar
kuzbass_oleg, я наверное не совсем внятно в посте выразил его суть.
Суть поста в том, что оказывается с помощью карт сбера (в отличии от альфы например — потому что альфовская карта на том же сайте запрашивает подтверждение), можно вообще что то оплачивать без подтвержения. При этом аидимо нет ограничения на сумму.
Далее дело техники.
Так как сбер отказывается дать списко доверенных магазинов, очевидно что он откажется и предосиавить технологию, по которой определяет эти сайты.
Возможно, что технически, программно, можно на***ь стстему, чтобы она признала доверенным какой то фейкоаый магазин, и таким образом поднять бабла.
Двухфакторную верификацию тоже можно теоретичски обойти, но тут проосто доп защита.
при оплате свыше 600 или тысяси рублей в обычном магагине и то надо пин код вводить, а здесь просто любая сумма.
avatar
Дмитрий К, Да я понял, я вам и ответил. Что в этом случае не нужна двухфакторная. Потому что оплата идёт в Налоговую. Вернуть такой платёж достаточно просто. Да и мошенники налоги свои с ворованной карты не будут в принципе. 
avatar
kuzbass_oleg, так ведь как я понял из других комментов- оказывается во многих случаях нет двухфакторной верификации. А не только при оплате налогов. Человек авиабилеты оплатил,  мало ли где еще можно оплатить без СМС.
Похоже что списка доверенных магазинов вообще нет, а есть какой то алгоритм,  принимающий решение о запросе верификации по СМС. А значит его можно обмануть.

avatar
Дмитрий К, Конечно можно, кошелёк тоже можно потерять. Так что надо следить за своим имуществом. 
avatar
Negativ, 6 лет плачу налог на имущество за родителей своей картой.
avatar
Negativ, платил за жену, и не раз
И регулярные платежи по одним и тем же реквизитам Сбер уже давно без СМС проводит... 
ну и что оплата ЖКХ тоже без СМС уже давно, а что нормально стало намного проще.

Зависит от торговой точки, а не от банка. Алиэкспресс например любые банки принимает без смс. Есть даже такие торговые точки, где код сvv2 не нужен.

Но на стороне банка, у некоторых банков, можно запретить такое.

avatar
Столкнулся с этим неприятным фактом когда оплачивал еОСАГО в альфастрах платил с карточки сбера, автоматом без запросов без подтверждающих смс списали с карты 300р за паравозик-страхование жизни(беспантовое по условиям). Смог вернуть 300р только письменным расторжением договора страхования жизни. По сравнению с тем как они быстро и мгновенно списали деньги за паровозик и сколько надо было сделать чтоб их вернуть просто конкретное мошенничество. По другому это не назвать.
avatar
После этого завёл цифровую карту. Правда в том же сбере. Кидаю на неё нужную сумму, и с неё плачу в интернете. Хоть какая то защита… Наивный
avatar
Тихий омут, на всякий случай. Сбербанк умеет дебетовые карты без овердрафта уводить в минус.
avatar
С наречиями частица «не» пишется слитно:
  • если наречие заканчивается на –о, и его можно заменить близким по значению словом (невесело – грустно, невысоко – низко);
  • если наречие образовано от местоимения (негде, неоткуда, некогда, некуда);

gramatik.ru/ne-i-ni-kogda-pishetsya-slitno-a-kogda-razdelno/
avatar
В Онлайн Сбербанке, есть Виртуальный Сберегательный счёт. Можно переводить между счетами деньги и хранить все там, а от туда ни как не спишут. А на самой карте держать не большую сумму для текущих расходов.
avatar
Алексей, 
в ПСБ аналогично. 
счёт не виртуальный, а реальный.
На сайте налоговой предлагается на выбор 3 варианта оплаты. Первым сразу стоит КАРТОЙ. А есть еще--через платёжные системы. Там выбираете Сбербанк онлайн и получаете свои традиционные смс
avatar
Igor, извините, хотел плюс поставить, промахнулся! :(
avatar
Igor, ну я этот пост написал к тому, что со сберовской картой доступны манипуляции теми, кто имеет доступ к ее данным.
А конретно сотрудникам сбера. 
Они же могут продавать данные карт, я думаю эта тема получит развитие, учитывая что последнее время часто стали писать об утечках конфиденциальных данных
avatar
Дмитрий К, а почему Вы так уверены, что сотрудники других банков их не могут продавать? Равно как и сотрудники налоговой и иже с ними? Не хотите пользоваться картой Сбербанка, можете пользоваться картой, к примеру, Альфы. Кстати, если не ошибаюсь, Альфа тоже отметилась в СМИ с темой утечки?

Ну, а по поводу двухфакторной верификации… Ну, я бы очень хотел посмотреть на то, как мошенники будут выводить деньги с карты путем уплаты налогов. Во первых, замучаются их возвращать. А во вторых, при неминуемом расследовании сразу же всплывут данные того, за кого были уплачены налоги.
avatar
Волосников Андрей, я не знаю начюсчет других банков. Знаю только альфу. Там запрос смс всегда. Столкнулся со сбером. Удивился. Написал пост.

Воруют данные все, не только в сбере.

Но в в сбере защита хуже.



Более того. В другом комменте человек написал, что билеты авиа покупал тоже без подтверждения.

А сбер отказывается предоставлять список доверенных магазинов.

Возможно что такого списка вообще нет, а просто алгоритм определяет где надо смс а где не надо запрашивать.

Можно купить данные карт, насоздоать магазинов, и вывести уйму бабла
avatar
Дмитрий К, забавно, но, Вы делаете вывод о том, что в Сбербанке защита хуже только на основании того, что в СМИ был хайп на эту тему. Даже не задумываясь о том, что если бы обнаруженная утечка была бы в каком нибудь ЗадришенскБанке, то об этом федеральные каналы бы не писали. Говорит ли это о том, что защита ЗадришенскБанка лучше? Нет.
Впрочем, как я понимаю, Вы достаточно хорошо изучили защиту Сбербанка и других банков, чтобы сделать вывод о том, что защита Сбера хуже.

Да, между прочим, пользуюсь картами Тинькова и Рокета. Достаточно часто возникает ситуация, когда там, где Сбер требует дополнительного подтверждения, транзакции по этим картам проходят без подтверждения.
Говорит ли это о том, что там защита хуже? Не уверен. Скорее, там несколько иначе настроены алгоритмы поиска фрода.

И, кстати, Вы не пробовали получить список доверенных магазинов в том же ВТБ или Альфе? Поделитесь опытом получения?
avatar
Волосников Андрей, я само собой, и не планировал делать всеобъемлющий анализ этой ситуации, и сравнение всех банков, сравнил лишь, то где у меня появился опыт жизненный.
И не пытался узнать список довернных магазинов. просто в своем вопросе сберу сформулировал — а где еще можно платить без подтверждения? А уже они эту формулировку дали.

Для меня забавно — сейчас вспомнил, что для того чтобы зайти в сберовский квик, нужно каждый раз вводить смс, особенно по утрам это подбешивает. С вечера если квик включенный оставишь, он примерно с 9 до 10 утра на следующий день от сервера отваливается, а потом в 10 подключается и шлет смс. А в банке не надо смс вводить при покупках онлайн. Прикольно.
avatar
Дмитрий К, у меня ФПСУ, так что СМС вводить не приходится.
Зато, мне приходилось иметь дело с более чем десятком банков и, также некоторое время назад анализировать вопросы безопасности, связанные, в том числе, и с картами. Так что, Ваше утверждение ошибочное и основанное на абсолютно неверных посылках. Выше я уже написал об этом, повторяться не буду.

А теперь краткий ликбез по картам:
1. Нет такого понятия, как доверенный магазин.
2. Есть понятие эмитент — банк, выпустивший карту, и есть понятие эквайер — банк, который предоставляет услугу магазину (Неважно, интернет или оффлайновый ).
3. Эмитент и эквайер далеко не всегда совпадают. К примеру, было бы наивным думать, что Amazon будет использовать, в качестве банка-эквайера, как Сбербанк или Альфу, так и Мухосрансккомбанк.
4. Настройки на стороне эквайера — зона ответственности оного. Так что, использовать или нет 3d secure — зависит не от эмитента. Более того, эмитент об этом даже не ставится в известность. Что логично, ибо сколько в мире магазинов и иже с ними?
5. Банки используют различные алгоритмы проверки транзакций на «подозрительность». К примеру, если 70-летний господин вдруг начнет играть в онлайн-казино или переводить значительные средства в Нигерию, банк скорее всего приостановит транзакцию и свяжется с ним. И, вполне логично, что некоторые типы транзакций по мнению банков не являются подозрительными. У разных банков критерии разные. К примеру, когда я расплачиваюсь картой Тинькова в Ленте, терминал предлагает мне предъявить паспорт или другой документ, а Рокет или Сбер спокойно запрашивают ПИН-код. Мне считать Тинькофф более надежным банком из-за этого?

А теперь вопрос, касающийся Вашего недоумения по поводу перечисления средств в налоговую.
Предположим, злоумышленник перечислил деньги в налоговую. Как он сможет ими воспользоваться? Смотрим. Злоумышленник оплатил налоги свои или третьего лица. Ок? Что дальше? Владелец карты, обнаружив хищение, обратится в свой банк и, в результате достаточно простого расследования будет ясно куда ушли деньги. А потом на зоне будут долго смеяться над тем идиотом, который так бездарно сам себя подставит под статью. 

Как говорится в таких случаях. Ну, допустим, пробил ты головой стену, что ты будешь делать в соседней камере?

В любом случае, если не нравится какой-либо банк, всегда можно найти другой, который будет больше отвечать Вашим чаяниям.
К примеру, я обслуживаюсь сейчас в 7 банках, один из которых, кстати, по размеру активов как раз уровня Мухосраснккомбанка. И у меня 4 брокерских счета, заточенных под разные стратегии. Не устроит что-либо в обслуживании, просто развернусь и уйду. Даже не буду срач разводить.
Ну, не нравится Вам Сбер, так зачем мучаться?
avatar
Волосников Андрей, ну так то я уже выше два раза написал, ну еще раз напишу.
1. Что значит вериикация по смс?
Это значит, в моем понимании — что, для того чтобы транзакция произошла, я должен с ввести пароль из смс. То есть для абстрактного вора моих данных, который решил расплатиться моей картой — доплнительная сложность, надо еще телефон украсть, а луше придумать прогу, которая будет смс перехватывать, например где то в банке установить.
2. Это значит, что при прочих равных, рациональнее для потенциальных мошеннических действий выбрать банк, где смс не нужно вводить при оплате.

Первый вывод  — банки, где нужно вводить смс — надежнее (при прочих равных условиях). Вы с этим согласны? Если нет, мотивированно объясните, именно используя формулировку — при прочих равных условиях, не отвлекаясь на другие доводы.


Теперь, что касаемо — зачем вообще платить. Опять таки я уже три раза написал выше. Видимо я не внятно в самом посте объяснил его суть.
Суть в том, что я выяснил, что моей картой кое где можно платить без подверждения по смс. Вот суть моего поста. А не то, что без смс кто то свои налоги моей картой буте оплачивать.
Например в одном из комментов ранее человек написал, что оплачивал картой авиабилеты, и тоже не потребовалось смс.

Суть поста ясна теперь? Если не ясна, еще раз не поленюсь повторить — то, что моей картой можно плаить без подтверждения по смс в принципе.
Почему я так тщательно пытаюсь это донести?

Объясняю далее — можно купить данные карт в сбербанке. Купить например данные 10 миллионов карт. Далее, создать фэковые интернет магазины. Создать 1000 магазинов. Далее, установить на них окна для приема например оплаты сотовой связи. Например от яндекса того же. Я не знаю точно где проще сейчас. Раньше яндекс можно было установить для приема до 15тыс рублей без всяких договоров и документов. То есть у них есть какой то банк экваер. У меня был интернет магазин, и было так установлено — поэтому я это знаю.
А дальше дело техники — например просто оплатить услуги сотовой связи того же Мегафона. У Мегафона в свою очередь есть афиилированный банк, и в свою очередь каждый владелец номера потеницально имеет возможность выпустить для себя карту. То есть дальше можно певродить потом деньги.
Вы спросите — где взять столько номеров мегафон. На счет мегафона не знаю, но имел дело с Теле2 — мне в магазин приносили эти сим карты пачками, чтобы мы их продавали. Мы должны были заполнять данные клиента, но по факту никому особо это не надо.  То есть можно по факту купить или получить анонимно сим карту, а деньги оттуда можно переводить на другие номера, или расплачиваться за что то.
Там где на улицах или в магазинах со столиками стоят люди, продающие карты, с ними непроблема договориться и купить сим карты без паспорта.

Это просто один из сценариев, как можно использовать этот косяк без верификации по смс.

Что теперь скажете? Не надо платить чужие налоги, и пробивать головой стены. Головой надо думать.

И последнее, я не мучаюсь со сбером. У меня просто там открыт счет брокерский, и потому открыт счет банковский — туда приходят купоны.
Мне надо было их потратить, и я решил таким образом это исполнить.
и поделился ньюансом.

В свою очередь, к Вам  вопрос, если Вы все знаете, зачем ввязываетесь в эту никчемную дискуссию? 
Я написал пост для таких как я, которые в этом ничего не понимают.



avatar
Дмитрий К, я ввязался в дискуссию, дабы объяснить то, где Вы ошибаетесь. Но, как я понял из Вашего последнего сообщения, делать это бесполезно. Вы не готовы воспринимать информацию. На вопросы, которые Вы попытались задать, я уже ответил и не собираюсь повторяться.
За сим прощаюсь, не вижу смысла тратить свое время.
avatar
Вообще легко налоги с карты третьего лица оплачивать.
Да и вообще, при желании можно и платежкой за третье лицо налоги заплатить и за физика и за юрика.
Еще мособлгаз так развлекается)
avatar
3d secure это не обязанность а опция процессинга. Мы тут в России избалованы просто
Открыли америку? Если в разделе платежи брать из истории и только повторять платёж или менять там реквизиты, то смс не требуется!
avatar
Magistr, ну да, для себя я ее открыл в данном случае. я не активный пользоавтель сбера, счет у меня там открыт, потому что есть брокерский счет и заодно этот открыли. туда падают купоны, образуются деньги,  решил их потратить, и сильно удивился.
avatar
Покупал билеты в S7. Списали деньги с карты Сбербанка без всяких смсок. Тоже тогда был сильно удивлён.

Возможно в Сбербанке есть алгоритм запроса смс. Пока деньги не пропадали )))
А вообще это признак что суммы держать на картах не стоит.
3d secure это не двухфакторная авторизация, а перенос ответственности на плательщика. Операции, подтвержденные 3ds не оспариваются.
avatar
Илья, а как правильно этот процесс все таки называется, верификация, или авторизация? Я думал, что верификация, типа подтверждение операция.
А авторизация это типа подтверждение личности?
Ну вот двухфакторной при опоаие онлайн в сбере получается что нет.
Хотя у брокера сбера при каждом заходе в квик это есть.
Так странно
avatar
Дмитрий К, Использовать или нет 3ds определяет не эмитент карты, а эквайер. Не знаю, что там у вас было с Альфой, вы же не проводили эксперимент с двумя картами одной платежной системы одновременно. В любом случае отсутствие 3ds означает лишь, что налоговая, как, например, и Аэрофлот чувствует себя уверенной в том, что мошенники из нее не вытряхнут денег со словами «а это не я платил, требую чарджбэк». Еще раз: 3ds защищает эквайера от возможности оспаривания операций, а не клиента. Вот украдут у вас карту вместе с телефоном и шансы вернуть деньги потраченные на сайте с 3ds равны нулю, а без 3ds — шансы на оспаривание есть.
avatar
Илья, действительно, каждый хочет получить, то что нужно именно ему.
Экваеру надо защититься от оспаривания.
Мне надо, чтобы в случае 3дс мне вообще не пришлось бы что то оспаривать. Я точно знаю, что данные моей карты менеджеры сбера знают.
Как минимум они. Также я точчо знаю, что не зависимо от того, экваер, в моем случае — налоговая инспкеция, установила двухфакторную верификацию, или не установила — по моей карте альфабанк запрашивает подверждение операций. В том числе на сайте налоговой.
И для меня чисто психолгически, комфортнее осознавать, что без моего подверждения деньги не спишутся (сейчас ведь не физическое отчуждение телефона с картой обсуждаем — которого еще не произошло, а уже установелнный факт, что данные карты известны третьем лицам).
Я обратился в банк с просьбой включить мне такую верификацию, и  в письменном ответ( кроме того что я запостил) был и отказ от этого, то есть они не будут мне такую опцию включать.
avatar
Илья, и кстати да — получилось так, что  я именно по фатку провел эксперимент одновременно с двумя картами одной плтаежной системы, но разных банков — платил за себя и за жену
avatar
Дмитрий К, А чей платежный сервис открывался, сберовский?
avatar
Илья, там открывалось страндартное окошко, куда надо было забивать данные карты, я уже не помню, просто там не было ничего не обычного (я оплачиваю коммуналку например и еще что то), все как обычно, ничего не запомнилось.
avatar
Вставлю и свои 5 копеек: Буквально вчера пополнял карту «Тройка», через приложение Яндекс-Денги на смартфоне, с осуществлением платежа через привязанную карту от сбера. Операцию выполнял третий раз в жизни. Ранее приходили смс-ки, вчера смс-ки не было. Причем, приложение выдало сообщение, что «что-то пошло не так», и через секунду поступила смс-ка об осуществленном списании денег.
сбер явно что-то мутит, но т.к. обязанности проводить двухфакторную верификацию у них нет, то и претензии предъявить не получится.
Карту делал много лет назад, специально для осуществления платежей через интернет (сейчас и в обычных магазинах). Пополняется на небольшие суммы. Если что-то уведут — будет неприятно, но совсем не смертельно. Это значительно лучше, чем везде расплачиваться «зарплатной» картой.
avatar
в пользу низкорисковых поставщиков услуг проходят без подтверждения SMS-паролем.
 запомни, в бюджетные органзации платежи проходят без подтвержденя. и это нормально. а если не бюджет то ВСЕГДА будет смс
avatar
трейдер moto, чего то не то Вы пишете. Как же быть с комментом, где человек купил в с7 авиавибилеты без подтверждения?
Почему альбанк смс прислал при оплате в ту же, бюджетную организацию?
Чего то не нормально
avatar
Дмитрий К, да переборщил я, неправ.точно в этот список входят крупные компании у которых есть именные данные покупателя. те если это предположим мошенник  купил билет НА СЕБЯ то будет возврат бабла. смысл в том где ты вводишь как покупатель данные КОТОРЫМИ не сможет воспользоваться другои = смс не нужен
avatar
Уже многие ресурсы без ввода смс работают. К примеру на iherb покупаю без смс.

теги блога Дмитрий К

....все тэги



UPDONW
Новый дизайн