10 сентября 2021, 12:42
Будьте осторожны, если оплачиваете картой в интернете
Только что получил звонок с номера +74955967128. Говорил робот о незаконной операции с моей карты с номером от имени банка. Но в том то и дело, что звонок был на телефон, который не привязан ни к какому банку или брокеру, а используется мной исключительно для связи при интернет-покупках, начиная с али-экспресс и далее «по списку».
Так что платя картой в интернете, Вы де-факто отдаете номер карты мошенникам. Правда, лично я именно на этой карте никогда не держал постоянно больше 10 тыс. руб., а если нужна была сумма больше, то переводил на нее непосредственно перед платежом.
P. S. Как выяснилось в ходе обсуждения, в реальности было совпадение только 4-х последних цифр карты, банка и эмитента карты. Может и не так «страшно», как показалось вначале. Но предупреждения это не отменяет, кто-то может и «купится» на такие совпадения от неожиданности, как это де-факто произошло со мной. От необдуманных действий меня спасло только несовпадение телефона, которое, впрочем, заложено было мной изначально.
Так что платя картой в интернете, Вы де-факто отдаете номер карты мошенникам. Правда, лично я именно на этой карте никогда не держал постоянно больше 10 тыс. руб., а если нужна была сумма больше, то переводил на нее непосредственно перед платежом.
P. S. Как выяснилось в ходе обсуждения, в реальности было совпадение только 4-х последних цифр карты, банка и эмитента карты. Может и не так «страшно», как показалось вначале. Но предупреждения это не отменяет, кто-то может и «купится» на такие совпадения от неожиданности, как это де-факто произошло со мной. От необдуманных действий меня спасло только несовпадение телефона, которое, впрочем, заложено было мной изначально.
самая перспективная бумага на рынке, несмотря на допки, инвесторы забыли какая цель этих допок, увеличение капитализации, расширение производства, это совсем не как в сегежа ситуация, производство сам...
Российская армия добивается тактического и размеренного прогресса в освобождении оккупированных украинской армией территорий в Курской области. Сейчас Украина контролирует около 480 квадратных километ...
надеюсь все держатели в курсе
С 25 декабря 2024 г. из перечня ликвидного имущества исключаются ГДР FIX Price (торговый код FIXP)https://www.moex.com/n75850?nt=0
Непокрытые длинные позиции будут п...
16:49
втб вырос с индексом, как и все, отбив шорты на ставке, но без хороших дивов бумага не интересна, для втб инвесторы пустое место
16:45
Бармалей Бармалеевич, китайцы тоже серьезно вложились в разработки, но смыл даже не в этом, все хотят сверх прибыль получить, даром электричества не будет в рыночной экономике
Довольно скучно
Скоро все, кроме Дони и Илона нашего Маска, будут жалеть, что шнайпер такой непутёвый оказался)
16:37
так и будет
Группа "Черкизово". Мясные короли. Этакая семейная мясная лавка в масштабах страны. Основные акционеры братья Михайловы – Сергей и Евгений, часть активов принадлежит их матери Людмиле. Затес...
Ожидания по индексу ММВБ на завтра! Растём или падаем? Ну что друзья, вечер воскресенья, если я не ошибаюсь… Перед НГ всегда у всех насыщенные дни, поэтому можно и начать путаться в днях, но скорей вс...
Как это вам поможет?
Организм, в данном случае я расчитываю на:
support.google.com/pay/merchants/answer/6345242?hl=ru
комиссия не влияет цену моей покупки
в сервис можно отдать вирт. карту. с другой стороны наличие представительства в РФ никак не повлияет на прозрачность обработки и текучесть ваших данных. не знаю ниодного наказания за утечку ПД (сбер, госуслуги, альфа)
Комиссия влияет на отчисление средств иностранной организации, которые обрабатывают ваши платежные данные как хотят, в том числе передают информацию о ваших покупках своим партнерам, за счет установленных комиссий формируется цена товара. Любая издержка продавца вкладывается в цену товара.
+
Есть риски в самих банках, но вы осознанно прибавляете еще один риск, отдавая платежные данные третьим лицам.
я не вижу влияния этих комиссий — магазины не меняют цену в зависимости от способа оплаты
«передают информацию о ваших покупках своим партнерам» — ок, факт. я считаю, что эта инф. не может быть защищена, исходя из непрозрачности обработки принимаем худший вариант
мне представляется, что в случае ввода реквизитов при каждой покупке рисков больше, чем при однократной привязке карты
habr.com/ru/company/ruvds/blog/346442/
habr.com/ru/company/group-ib/blog/451792/
для меня допустима потеря средств со счета «публичной» карты. утечка номера карты или номера счета — гораздо опаснее.
вы пишете «я говорю об исчезновении средств со счетов». вам известны случаи\способы потери средств со счетов, не связанных с карточным при утечке реквизитов?
Тогда о чем говорить? Вы просто отдайте деньги нуждающимся (:
Ахаха, это все может происходить с тем же пай пел… Если система скомпрометирована, то всем данным жопа, и может помочь именно одноразовый ввод, т.к. данные вы будете вводить на стороннем сайте банка-эквайера (правда не всегда реализовано именно так)… А сохраненным все, жопа.
Не могу понять, почему потеря средств карты намного опаснее потери номера карты или номера счета? Ведь деньги это единственное что есть на карте. Да и по номеру счета\карты похитить что-то нереально.
Не понимаю вашего вопроса.
Тем, что виртуальную карту перевыпустить пару кликов.
И даже есть специальные тренажеры для них и разные интернет-проекты, в которых отрабатываются навыки цифровой компетенции и безопасности.
Странно даже слышать подобные предупреждения от вроде как взрослых мужей
в след раз поговорю — предложу идти ко мне на содержание)) если это ОНА конечно)
Поэтому всех звонящих можно сразу посылать в пешее эротическое путешествие.
Оплату в интернете только со второй (не основной) или виртуальной карты. Иначе рано или поздно потеряете и номер карты и пин-код этой основной карты, а значит и кучу денег.
Цитата «вроде бы реквизиты карты вводятся в платежный гейт», есть куча сервисов, которые с согласия пользователя сохраняют данные платежной карты, также инсценировать «платежный гейт» думаю, вполне возможно.
Поэтому рекомендуют выбирать только надежные магазины, а также проверять сайты на подлинность. Для этого многие производители антивирусов предлагают специальные плагины.
А то, что это вторая карта, в посте и написано. Теперь заведу виртуальную.
А пинкод вы как потеряете?? Он в инете не светится нигде
Зарплатную нигде не свечу)
Другая, для оплаты в остальных сервисах.
Ну и переодически вторую картую перевыпускаю пару раз в год с полной сменой данных по карте.
Хорошее приложение «Не бери трубку». Пользователи сами составляют облачную базу спам-номеров.
play.google.com/store/apps/details?id=org.mistergroup.shouldianswer&hl=ru&gl=US
не понятно, как тогда мошенники связали номер карты и номер телефона? По ФИО? Как то муторно все это выглядит.
Не понятно ты написал
А ФИО в этот раз никто не называл. Дословно робот женским голосом говорил: «Это служба информирования банка (мой банк). С Вашей карты (эмитент+последние 4 цифры) подана заявка на перевод (сумма), если эту заявку подавали не Вы, то нажмите 1 (дальше я отключил, не дослушав)».
Одна, именная, для жены на походы по магазинам. Одна для моих расчётов в магазинах. На них со счёта кидаю нужную сумму с запасом. Операции в инете на них запрещены. Нужные лимиты выставлены.
Одна — исключительно для покупок в инете, на неё перед покупкой кидаю нужную сумму, больше её нигде не пользую.
И две карты пустые, с нулевыми лимитами, просто про запас лежат.
Один раз, давно, покупал по карте пылесос за 15К в инет-магазине филлипс — тут же пришёл звонок на привязанный телефон из хоумкредит банка с вопросом — я ли это покупаю. Ответил — Да, и транзакцию пропустили. Других звонков в истории не было. Но я и покупаю в инете нечасто и только на фирменных площадках в юрисдикции РФ…
Платежные сервисы хорошо защищены (Лицензируемый вид деятельности жестко контролируемый ЦБ РФ), иполнитель (продавец) максимум узнает ФИО, номер телефон, Банк и четыре последние цифры. И фигли с ними делать? Позвонить с прокуратуры...
Наименование Банка и ФИО можно пробить через СБП при помощи запроса на перевод средств по номеру телефона...
Вот если бы все данные карты, то можно шмотки заказать на европейский сайтах без ввод СМС подтверждения… Но это совсем другая история.
Никто ничего «не пробивал», вся инфа из одного из интернет-магазинов, в которых я проводил оплату картой. А в плюс к Вашему списку был только эмитент карты и за минусом ФИО.
Бесит что ПД сливаются, а в остальном не требует внимания.
Пока страховых случаев на производстве не замечено. -))
Во-первых, не вся информация на Вашей карте является секретной. Секретная информация охраняется международным стандартом. Если компания на своем сайте принимает от Вас ввод секретной информации, значит у нее (или у той компании, которая предоставляет ей платежный шлюз) должен быть международный сертификат соответствия PCI DSS. Это не просто бумажка, которую можно купить за денежку, как сертификат соответствия какому-нибудь ГОСТу. Сертификат соответствия PCI DSS — это когда твое приложение специальные люди пытаются вдоль и поперек взламывать раз в полгода, твои сотрудники каждый год сдают экзамен на знание всевозможных видов уязвимостей и утечек, и много еще всяких регламентов. Огульно утверждать об опасности онлайн-платежей нельзя.
Что нужно знать: нужно знать, что полный номер карты, месяц и год ее экспирации — являются секретными данными, при этом первые шесть цифр номера карты и последние четыре — секретными данными не являются. Если у интернет-магазина взломали сайт и украли базу — все, на что могут рассчитывать мошенники — это вот эти вот первые шесть цифр и последние 4 и Ваш номер телефона или email. Обычный интернет магазин права хранить остальные данные о Вашей карте не имеет.
Во-вторых, самым критичным и охраняемым является код CVV на обороте Вашей карты. По стандарту PCI DSS даже если пройти все круги ада с сертификатом и получить право хранить номер карты и срок ее действия — CVV хранить будет нельзя ни в каком хранилище, живущем на каких бы то ни было носителях дольше часа.
Мошенникам не так-то просто получить доступ к критичным и охраняемым данным в сфере онлайн-платежей. Если будут вопросы — готова ответить, я восьмой год уже в этой теме.
У оператора/провайдера есть функция сохранения данных банковской карты клиента для автоплатежа, при этом указывается номер, дата и CVV. Автоснятие происходит каждый месяц. Возможно данные не хранятся в базе в открытом виде, а записаны в виде хэша, тем не менее, насколько это безопасно? Не может ли утечка подобной информации привести к последующим списаниям денег с карты со стороны мошенников и прочих нечистоплотных личностей?
Происходит следующее: магазин, получив от Вас разрешение, сигналит провайдеру процессинга или банку напрямую, что Вы хотите сохранить карту, карта сохраняется, и на свою сторону магазин получает токен (какое-то длинное уникальное сочетание цифр и букв, идентификатор, в нем ничего не зашифровано — сгенерирован и все).
При следующем платеже магазин передаст вместо Вашей карты этот токен в процессинг. Процессинг проведет рекуррентный платеж (повторяющийся регулярный платеж) или обычный платеж уже без CVV.
По поводу безопасности со стороны банков и провайдеров процессинга получить данные Вашей карты по токену ни магазин и получивший случайно токен злоумышленник не сможет. Не знаю, как у других провайдеров процессинга, у нас хранилище критичных данных карты — это отдельно стоящая система, которая закрыта от всего интернета, кроме серверов нашего приложения. Таково требование аудиторов PCI DSS.
Единственное, что тут парит, механизма отзыва токена карты не существует. Ему по умолчанию назначают некоторый срок жизни — где-то год, где-то три. А так подразумевается, что технология безопасна, хотя я и не рекомендую запоминать карту на малоизвестных интернет-ресурсах.