10 сентября 2021, 12:42
Будьте осторожны, если оплачиваете картой в интернете
Только что получил звонок с номера +74955967128. Говорил робот о незаконной операции с моей карты с номером от имени банка. Но в том то и дело, что звонок был на телефон, который не привязан ни к какому банку или брокеру, а используется мной исключительно для связи при интернет-покупках, начиная с али-экспресс и далее «по списку».
Так что платя картой в интернете, Вы де-факто отдаете номер карты мошенникам. Правда, лично я именно на этой карте никогда не держал постоянно больше 10 тыс. руб., а если нужна была сумма больше, то переводил на нее непосредственно перед платежом.
P. S. Как выяснилось в ходе обсуждения, в реальности было совпадение только 4-х последних цифр карты, банка и эмитента карты. Может и не так «страшно», как показалось вначале. Но предупреждения это не отменяет, кто-то может и «купится» на такие совпадения от неожиданности, как это де-факто произошло со мной. От необдуманных действий меня спасло только несовпадение телефона, которое, впрочем, заложено было мной изначально.
Так что платя картой в интернете, Вы де-факто отдаете номер карты мошенникам. Правда, лично я именно на этой карте никогда не держал постоянно больше 10 тыс. руб., а если нужна была сумма больше, то переводил на нее непосредственно перед платежом.
P. S. Как выяснилось в ходе обсуждения, в реальности было совпадение только 4-х последних цифр карты, банка и эмитента карты. Может и не так «страшно», как показалось вначале. Но предупреждения это не отменяет, кто-то может и «купится» на такие совпадения от неожиданности, как это де-факто произошло со мной. От необдуманных действий меня спасло только несовпадение телефона, которое, впрочем, заложено было мной изначально.
Metzger, тимон не авторитет. вот трейдеры на местах ерунды не скажут
Олег Суслаков, до 329
Кот Лео, мне пофиг на это. Я за все хорошее против всего плохого. Вчера у Ринго был день рождения и по всему миру это отмечалось как день мира и любви. Ринго исполнилось 84 года. Много-много лет он...
Америкэн Экспресс Банк первым из 45 банков с иностранным участием в РФ подал заявление о добровольной ликвидации - Ъ Америкэн Экспресс Банк подал заявление о добровольной ликвидации, став первым из 45...
Не хило так уже 80 пунктов налили, дневная норма почти готова
Интер РАО ведет переговоры о покупке новочебоксарского Химпрома за 60–70 млрд руб - Ъ «Интер РАО» ведет переговоры о приобретении новочебоксарского «Химпрома» у структур Виктора Вексельберга, оцененно...
Пристегнулись простынями. Атвинта!
Пад крылоооом самалёта а чёмта паёт
Зильоооонае моооре тайгииии! © К/ф " Ирония судьбы"
Аналитики ждут удорожания основных видов удобрений
www.kommersant.ru/doc/6819756?from=glavnoe_7
Люди, кто знает, на что будут направлены деньги от допэмиссии???
Руслан Филин, осцилляторы рынка говорят ботам институционалов — активно продавать. значит будим продолжать падать ;)
Как это вам поможет?
Организм, в данном случае я расчитываю на:
support.google.com/pay/merchants/answer/6345242?hl=ru
комиссия не влияет цену моей покупки
в сервис можно отдать вирт. карту. с другой стороны наличие представительства в РФ никак не повлияет на прозрачность обработки и текучесть ваших данных. не знаю ниодного наказания за утечку ПД (сбер, госуслуги, альфа)
Комиссия влияет на отчисление средств иностранной организации, которые обрабатывают ваши платежные данные как хотят, в том числе передают информацию о ваших покупках своим партнерам, за счет установленных комиссий формируется цена товара. Любая издержка продавца вкладывается в цену товара.
+
Есть риски в самих банках, но вы осознанно прибавляете еще один риск, отдавая платежные данные третьим лицам.
я не вижу влияния этих комиссий — магазины не меняют цену в зависимости от способа оплаты
«передают информацию о ваших покупках своим партнерам» — ок, факт. я считаю, что эта инф. не может быть защищена, исходя из непрозрачности обработки принимаем худший вариант
мне представляется, что в случае ввода реквизитов при каждой покупке рисков больше, чем при однократной привязке карты
habr.com/ru/company/ruvds/blog/346442/
habr.com/ru/company/group-ib/blog/451792/
для меня допустима потеря средств со счета «публичной» карты. утечка номера карты или номера счета — гораздо опаснее.
вы пишете «я говорю об исчезновении средств со счетов». вам известны случаи\способы потери средств со счетов, не связанных с карточным при утечке реквизитов?
Тогда о чем говорить? Вы просто отдайте деньги нуждающимся (:
Ахаха, это все может происходить с тем же пай пел… Если система скомпрометирована, то всем данным жопа, и может помочь именно одноразовый ввод, т.к. данные вы будете вводить на стороннем сайте банка-эквайера (правда не всегда реализовано именно так)… А сохраненным все, жопа.
Не могу понять, почему потеря средств карты намного опаснее потери номера карты или номера счета? Ведь деньги это единственное что есть на карте. Да и по номеру счета\карты похитить что-то нереально.
Не понимаю вашего вопроса.
Тем, что виртуальную карту перевыпустить пару кликов.
И даже есть специальные тренажеры для них и разные интернет-проекты, в которых отрабатываются навыки цифровой компетенции и безопасности.
Странно даже слышать подобные предупреждения от вроде как взрослых мужей
в след раз поговорю — предложу идти ко мне на содержание)) если это ОНА конечно)
Поэтому всех звонящих можно сразу посылать в пешее эротическое путешествие.
Оплату в интернете только со второй (не основной) или виртуальной карты. Иначе рано или поздно потеряете и номер карты и пин-код этой основной карты, а значит и кучу денег.
Цитата «вроде бы реквизиты карты вводятся в платежный гейт», есть куча сервисов, которые с согласия пользователя сохраняют данные платежной карты, также инсценировать «платежный гейт» думаю, вполне возможно.
Поэтому рекомендуют выбирать только надежные магазины, а также проверять сайты на подлинность. Для этого многие производители антивирусов предлагают специальные плагины.
А то, что это вторая карта, в посте и написано. Теперь заведу виртуальную.
А пинкод вы как потеряете?? Он в инете не светится нигде
Зарплатную нигде не свечу)
Другая, для оплаты в остальных сервисах.
Ну и переодически вторую картую перевыпускаю пару раз в год с полной сменой данных по карте.
Хорошее приложение «Не бери трубку». Пользователи сами составляют облачную базу спам-номеров.
play.google.com/store/apps/details?id=org.mistergroup.shouldianswer&hl=ru&gl=US
не понятно, как тогда мошенники связали номер карты и номер телефона? По ФИО? Как то муторно все это выглядит.
Не понятно ты написал
А ФИО в этот раз никто не называл. Дословно робот женским голосом говорил: «Это служба информирования банка (мой банк). С Вашей карты (эмитент+последние 4 цифры) подана заявка на перевод (сумма), если эту заявку подавали не Вы, то нажмите 1 (дальше я отключил, не дослушав)».
Одна, именная, для жены на походы по магазинам. Одна для моих расчётов в магазинах. На них со счёта кидаю нужную сумму с запасом. Операции в инете на них запрещены. Нужные лимиты выставлены.
Одна — исключительно для покупок в инете, на неё перед покупкой кидаю нужную сумму, больше её нигде не пользую.
И две карты пустые, с нулевыми лимитами, просто про запас лежат.
Один раз, давно, покупал по карте пылесос за 15К в инет-магазине филлипс — тут же пришёл звонок на привязанный телефон из хоумкредит банка с вопросом — я ли это покупаю. Ответил — Да, и транзакцию пропустили. Других звонков в истории не было. Но я и покупаю в инете нечасто и только на фирменных площадках в юрисдикции РФ…
Платежные сервисы хорошо защищены (Лицензируемый вид деятельности жестко контролируемый ЦБ РФ), иполнитель (продавец) максимум узнает ФИО, номер телефон, Банк и четыре последние цифры. И фигли с ними делать? Позвонить с прокуратуры...
Наименование Банка и ФИО можно пробить через СБП при помощи запроса на перевод средств по номеру телефона...
Вот если бы все данные карты, то можно шмотки заказать на европейский сайтах без ввод СМС подтверждения… Но это совсем другая история.
Никто ничего «не пробивал», вся инфа из одного из интернет-магазинов, в которых я проводил оплату картой. А в плюс к Вашему списку был только эмитент карты и за минусом ФИО.
Бесит что ПД сливаются, а в остальном не требует внимания.
Пока страховых случаев на производстве не замечено. -))
Во-первых, не вся информация на Вашей карте является секретной. Секретная информация охраняется международным стандартом. Если компания на своем сайте принимает от Вас ввод секретной информации, значит у нее (или у той компании, которая предоставляет ей платежный шлюз) должен быть международный сертификат соответствия PCI DSS. Это не просто бумажка, которую можно купить за денежку, как сертификат соответствия какому-нибудь ГОСТу. Сертификат соответствия PCI DSS — это когда твое приложение специальные люди пытаются вдоль и поперек взламывать раз в полгода, твои сотрудники каждый год сдают экзамен на знание всевозможных видов уязвимостей и утечек, и много еще всяких регламентов. Огульно утверждать об опасности онлайн-платежей нельзя.
Что нужно знать: нужно знать, что полный номер карты, месяц и год ее экспирации — являются секретными данными, при этом первые шесть цифр номера карты и последние четыре — секретными данными не являются. Если у интернет-магазина взломали сайт и украли базу — все, на что могут рассчитывать мошенники — это вот эти вот первые шесть цифр и последние 4 и Ваш номер телефона или email. Обычный интернет магазин права хранить остальные данные о Вашей карте не имеет.
Во-вторых, самым критичным и охраняемым является код CVV на обороте Вашей карты. По стандарту PCI DSS даже если пройти все круги ада с сертификатом и получить право хранить номер карты и срок ее действия — CVV хранить будет нельзя ни в каком хранилище, живущем на каких бы то ни было носителях дольше часа.
Мошенникам не так-то просто получить доступ к критичным и охраняемым данным в сфере онлайн-платежей. Если будут вопросы — готова ответить, я восьмой год уже в этой теме.
У оператора/провайдера есть функция сохранения данных банковской карты клиента для автоплатежа, при этом указывается номер, дата и CVV. Автоснятие происходит каждый месяц. Возможно данные не хранятся в базе в открытом виде, а записаны в виде хэша, тем не менее, насколько это безопасно? Не может ли утечка подобной информации привести к последующим списаниям денег с карты со стороны мошенников и прочих нечистоплотных личностей?
Происходит следующее: магазин, получив от Вас разрешение, сигналит провайдеру процессинга или банку напрямую, что Вы хотите сохранить карту, карта сохраняется, и на свою сторону магазин получает токен (какое-то длинное уникальное сочетание цифр и букв, идентификатор, в нем ничего не зашифровано — сгенерирован и все).
При следующем платеже магазин передаст вместо Вашей карты этот токен в процессинг. Процессинг проведет рекуррентный платеж (повторяющийся регулярный платеж) или обычный платеж уже без CVV.
По поводу безопасности со стороны банков и провайдеров процессинга получить данные Вашей карты по токену ни магазин и получивший случайно токен злоумышленник не сможет. Не знаю, как у других провайдеров процессинга, у нас хранилище критичных данных карты — это отдельно стоящая система, которая закрыта от всего интернета, кроме серверов нашего приложения. Таково требование аудиторов PCI DSS.
Единственное, что тут парит, механизма отзыва токена карты не существует. Ему по умолчанию назначают некоторый срок жизни — где-то год, где-то три. А так подразумевается, что технология безопасна, хотя я и не рекомендую запоминать карту на малоизвестных интернет-ресурсах.