Инженер связи
0,0
рейтинг
4 декабря 2010 в 18:16

Мошенничество с использованием пластиковых карт

Ещё один сценарий мошенничества с использованием пластиковых банковских карт. Наиболее уязвимы карты Сбербанка, пригодные для платежей в интернете — начиная от Visa Classic и MasterCard Standard. Владельцы «зарплатных» Maestro и прочих Momentum данному приёму не подвержены.

Небольшой ликбез
1. У Сбербанка есть возможность переводить деньги с карты на карту и пополнять чужую карту, зная только её номер (на лицевой стороне). Никакие другие значения для этого не нужны.

2. Есть возможность узнать имя владельца чужой (!) карты по её номеру, выполнив платёж на неё через Сбербанк-Онлайн. Пробуем перекинуть на чужую карту скажем 10 рублей, вводим номер чужой карты и на экране «Проверьте реквизиты» видим сумму нашего платежа, номер чужой карты и… ФИО её владельца.

3. Многие просят о помощи и размещают объявления на благотворительных сайтах. Кроме обычных банковских реквизитов и номеров кошельков WebMoney/Яндекс.Деньги всё чаще стало попадаться «или на карту сбербанка № ХХХХ ХХХХ ХХХХ ХХХХ».

4. Есть такие платёжные шлюзы, которые умеют брать деньги с карты не спрашивая ни CVV (CVC), ни контрольный код MasterCard SecureCode. Amazon.com, к примеру, обслуживается именно таким. Для прохождения оплаты требуется ввести только номер карты, имя владельца и срок действия.

Алгоритм действий мошенника
1. Ищем благотворительные сайты и посты по ЖЖшечкам, типа вот такого:
«можно сделать пожертвование на номер пласиковой карты сбербанка, в любом отделении сбербанка России.Достаточно знать номер карты 676280389109721113 Получатель Боровкова Анастасия. ВСЕМ ОТКЛИКНУВШИМСЯ ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!!»

Прекрасный вариант, даже имя получателя указано. Транслит, ANASTASIYA BOROVKOVA… А может быть ANASTASIA BOROVKOVA. Не так уж много вариантов.

А если не указано?
Скажем, вот такое объявление:
«Счет Сбербанка для перевода пожертвований с карты на карту (без процентов!) — 5469 3800 2643 5684»

Не проблема, сейчас выясним:
а) Открываем Сбербанк-Онлайн, выбираем «Перевод на карту»:
image

б) Вводим реквизиты чужой карты и сумму — какую угодно. Мы типа хотим сделать благотворительный перевод.
image

в) Оппаньки! ФИО владельца карты.
image
Отказываемся от перевода, всё что нам нужно, мы только что узнали.
Транслит, DANIIL FIRSOV? Наверное.

2. Нагребли базу «номер карты сбербанка — имя владельца?» Отлично. Идём на Amazon.com, добавляем новую карту:
image
CVV НЕ СПРАШИВАЕТСЯ!!! Переброски на SecureCode НЕ происходит. Одноразовые пароли Сбербанка НЕ запрашиваются. Одноразовый пароль у карт Авангарда тоже НЕ запрашивается. Hold при этом происходит сразу же.
Что нам нужно угадать? Тип карты и срок действия. Вряд ли это Gold, точно не American Express и уж точно не Diners Club. Ну что — либо MasterCard, либо Visa, либо неинтересные нам Cirrus/Maestro или Visa Electron.
Как же узнать, что перед нами?
Смотрим сюда:
У карточек Visa и MasterCard номера 16ти-значные.
Номера карточки VISA всегда начинаются с цифры «4».
Номера карточек MasterCard всегда начинаются с цифры «5» и состоят из 16 цифр.
Номер карточек Maestro начинается с цифр “3”, “5” “6” и может состоять из 13, 16 или 19 цифр.


Фокусируемся на первых двух типах («нормальные» Visa и MasterCard), Cirrus/Maestro в топку.
Вводим тип карты, её номер, транслитерацию имени владельца. Осталось только угадать срок действия. На сколько лет выдают карты? 3..4 года обычно. Часто карту заводят как только начинают сбор средств. Одно-два возможных значения года и 12 значений месяцев. Не больше 36 вариантов. Задержки, капчи никакой нет. Карта или добавляется, или нет. Не добавилась? Пробуем другие значения.

Добавилась? Пробуем что-нибудь купить… Можно даже нарваться и на кредитную карту.

-?????
-PROFIT!!!

Защита от подобного мошенничества
НЕ публиковать номер своей карты где попало. Часто думают, что без CVV и даже без имени владельца от номера карты нет никакого проку. Этот способ показывает, что это — распространённое заблуждение.

Во всяком случае, даже если баг не сработает, то у мошенников остаются богатые возможности для социальной инженерии применительно к опубликовавшему данные.

Кроме того, для сбора средств можно использовать бесплатно выдаваемые в Сбербанке карты Cirrus/Maestro Momentum, которые непригодны для платежей в интернете. От публикации их номера мошенник вряд ли что-то получит, даже зная имя и срок действия.
@ipswitch
карма
99,0
рейтинг 0,0
Инженер связи
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (279)

  • +11
    Как был Сбер совком, так им и останется.
    • +51
      у меня было больше претензий к амазону, ИМХО, безобразная организация платёжного шлюза. тут как раз Сбер не виноват, подобным способом обходится любая защита, если есть номер карты — и не спасут никакие 3D Secure, SecureCode и прочие SMS-подтверждения и одноразовые пароли.
      • +10
        Т.е. то, что он светит им владельца карты — это нормально? В Альфа-клике, к примеру, такого безобразия нет.
        • +8
          с одной стороны, это позволяет проверить, тому ли уйдут деньги, если из реквизитов на руках только номер карты. Скажем, часто на молотке принимают оплату «на карту сбера», при этом если ошибся цифрой — вполне реально и другому кому перевести сумму, а так хотя бы сверка работает. Другое дело, что это действительно урон безопасности.

          Тот же АльфаБанк «светит» имя владельца карты/счёта при попытке пополнить счёт за наличные в терминалах самообслуживания (не в банкоматах). С Альфой так тоже делают — дают номер счёта или карты, и говорят — в любом терминале в отделениях альфы можно пополнить.
          Набираю на таком данный мне номер счёта и вижу «Иванов Пётр Сидорович, текущий зарплатный счёт» к примеру. Тот же эффект, но надо из дома выходить.

          Так что и Альфа уязвима таким образом. Только мало можно в интернете номеров карт Альфы найти. Номера счёта чаще встречаются, а их Amazon не берёт.
          • –14
            Альфа таким образом не уязвима. У них через интернет можно оплачивать только виртуальными картами (могут иметь физический носитель).
            • 0
              Вы хотите сказать, что по классической карте Альфы нельзя, скажем, купить билет на сайте
              ticket.rzd.ru/
              ?

              Её PayPal не принимал точно, а наши процессинги работали очень хорошо… И то, PayPal говорил что не принимает потому что банк не передаёт CVV/CVC как раз.

              Возможно платёж без использования CVV, как на амазоне, пройдёт «на ура».
              • 0
                И билет на рейс Аэрофлота, например, на сайте же Аэрофлота тоже можно купить.
                • 0
                  только на сайте Аэрофлота требуется указать CVC2/CVV2 код.
              • –3
                на ПэйПэле не пройдет? Еще как проходит, тольок для этого нужно открыть долларовый счет в альфе и привязать его к этой же карте. Поэтому для платежей выпускаю виртуальную карту и перевожу на нее нужную мне сумму, потом расплачиваюсь с нее и блокирую. Накладных расходов 47 рублей, но согласитесь — полтинник, не так много за сохранность счета, с которого могут, гепотетически, «яблопад» купить. Бреженого УМ бережет
              • +4
                Чушь собачья.
                1. Альфа не даст сделать по обыкновенным картам платёж без «CVV/CVC». Проверено и уточнено.
                2. На РЖД всю жизнь платежи велись с «CVV/CVC». Через сторонний банк какой-то уёбищный.
                • +1
                  пост про РЖД шёл в ответ на
                  habrahabr.ru/blogs/eCommerce/109361/#comment_3472170

                  «Альфа таким образом не уязвима. У них через интернет можно оплачивать только виртуальными картами (могут иметь физический носитель). „

                  Да, на РЖД CVV/CVC спрашивается. И такой платёж Альфой проводится. Не только виртуальными картами, что и было сказано в ответ на комментарий Lisio.

                  Сторонний банк — ТрансКредитБанк.
                  • 0
                    1. Про РЖД понял, но вы посмотрите на комментарий выше к тому, на который вы сослались.

                    «Так что и Альфа уязвима таким образом. Только мало можно в интернете номеров карт Альфы найти. Номера счёта чаще встречаются, а их Amazon не берёт. „

                    Чувак совершенно верно сказал, что “Альфа таким образом не уязвима.» И мой комментарий был именно в том потоке обсуждения.

                    2. Да, верно, «ТрансКредитБанк». У этих дебилов долгое время на сайте проведения платежа полные реквизиты, включая CVV2 в автозаполнении браузера сохранялись.
                • +1
                  2. Транскредитбанк, поди. родной банк РЖД. насчёт стороннести ясно, насчёт уёбищности — в самую точку!
                  • 0
                    1. Да, Вы правы: доля РЖД в ТрансКредитБанке — ~54%
                    2. В плане «сторонности» я имел ввиду, что банк левый.
                    • 0
                      Ну, у самого РЖД нет банковской лицензии (и не надо), а не-банк не может обслуживать карточки. Собственно, именно для обслуживания РЖД транскредитбанк и делался.
              • +1
                Прекрасно сейчас ходят платежи с классических карт Альфы и в PP (с недавнего времени, чисто по совпадению связываю это с внедрением MC SecureCode) и в любой российский процессинг типа РЖДшного.
            • НЛО прилетело и опубликовало эту надпись здесь
          • +10
            Из-за ошибки в одной цифре другому деньги не переведутся. Последняя цифра на карте — контрольный разряд. Так что минимум надо ошибиться в двух цифрах и попасть с контрольную сумму.

            А так — да, лучше дать свои банковские реквизиты, чем часть данных о карте. Это при условии, что банк открывает к карте «нормальный» счет, а не суррогатный.
            • +1
              95% суррогатных :(((
              плохо когда «непрямой» — надо писать номер карты в заумном предложении в поле «Назначение платежа».
              Что-то типа «Пополнение карты №________, Иванов Иван Иванович, НДС не облагается».

              РБР, Открытие, АК БАРС, Финсервис, ВТБ24, Банк Москвы, ПриватБанк (Россия)… у них точно так.

              Прямой явный точно есть у Авангарда, у Альфы.
              • +2
                Ну, так надо пользоваться нормальными банками. Или открывать дополнительно текущий счет с подключенным банк-клиентом. Вообще, из верхней строчки мне никто не внушает доверия, включая ВТБ24 с их бюрократией (единственная достойная вещь — Телебанк и то достался в наследство от Гуты) и Банк Москвы с блевотным банк-клиентом (чего стоит только одна виртуальная клавиатура и отсутствие нормальных текущих счетов).
              • +1
                У сбера тоже кривые счета на картах
          • 0
            в этом банкомате вы переводите на номер счета, а не на номер карты — так что вам имя владельца ничем не поможет, так что не гоните волну. номер расчетного счета никак с номером карты не связан
        • 0
          В принципе, не нормально для анонимности. А вот по поводу безопасности, всетаки если бы имя играло важную роль в проверке карты, то его перенесли бы на «спину» где CVV. Иначе не вижу смысла хранить два критерия на одной плоскости.
          Не знаю как это устроенно в реальном мире, тут всего лишь мои предположения.
        • 0
          Для пользователя это очень удобно. Некоторые переводы идут несколько часов, и когда нужно перевести довольно крупную сумму денег, крайне неприятно ждать, когда не знаешь, а туда ли они идут. Нет, я понимаю, что вероятность ошибки мала, но всё же.
          • 0
            Приличные банки спрашивают:
            1. Не номер карты, а номер счёта
            2. Уточняющее поле кому (ФИО)
            • +3
              и отказывают, если что-то не совпадает.
              Впечатает кто-нибудь Геннадьевич, а записано Геннадиевич. И всё. Не пройдёт.

              А так — удобство — ввёл цифирь (не только в интернете! Может быть пользователь стоит на морозе перед банкоматом с бумажкой в руках и пытается отправить деньги своему далёкому родственнику на карту) — убедился что «тому» — по имени, а не долго и нудно сверяя поразрядно номер карты — подтвердил.
              • –3
                1. Я только ЗА то, чтобы в таких случаях отказывало.
                2. Алгоритм коррекции простых ошибок не сложен. Главное, чтобы вместо «Иванова» «Петрова» не пропустило.
                3. На морозе банкомат? Где это вы такое видели? Приличные банки почти все банкоматы внутри держат. Их стараются вмуровывать в стены, чтобы на газеле опять не спиздили, и торчащих на улицу очень мало. Я навсидку совсем не вспомню, когда последний раз видел торчащий на улицу банкомат.
                4. Дешевле 2 раза на морозе цифры вбить, чем баланс похерить.
                • +1
                  Не знаю как где, но мой любимый (читай — ближайший от дома) банкомат в центре Питере вмурован в стену со стороны улицы (правда находится возле входа в филиал или отделение банка, где, наверное, охрана круглосуточная.
                  • 0
                    Да-да, есть такие, но их весьма мало.
                    • +1
                      Я пользовался услугами только таких, знакомые, правда, в основном ездят в торговые центры, чтобы снять наличные с карты без комиссии (если деньги не нужны здесь и сейчас), но у меня комиссия, кажется, везде в России одинакова.
                    • +1
                      Таких очень много, причём по всему миру. В Беларуси такие направо и налево, в Великобритании их тоже хватает.
                      • –1
                        Мы здесь о России говорим.
                        • +2
                          По Москве таких тоже очень много у разных банков.
                          • 0
                            Угу, есть, я вам сразу выше так и написал.
                            А теперь попробуйте найти хоть 1 такой от Альфы. Чтобы не в предбанник, а именно на улицу выходил.
                            Кстати, в тёплых странах это ещё понятно зачем делают.
                            • 0
                              И не подумаю. :)
                              Банкоматы в Москве:
                              Альфа: 183 штуки.
                              Сбербанк: 150 страниц.
                              Я тоже предпочитаю банкоматы в помещении, но считаю, что лучше на улице, чем никакого.
                              • –1
                                Это не аргумент.
                                • +1
                                  Количество? Вы думаете, у сбера не найдётся 183 банокомата в помещении? Считайте уличные бонусом.
                                  А вот по поводу «лучше на улице»: у меня на даче ближайший банкомат Сбербанка на улице в 2,5 км, а Альфы, может, и в помещении, но до него километров 60. Для меня это очень большой аргумент.
                                  • –1
                                    1. У Сбера в Москве около 750 банкоматов и офисов (не 150 страниц)
                                    2. Обсуждение это стоит сопоставить с исходно обсуждаемым вопросом.
                                    3. Банкоматы чужие позволяют снять бабло с комиссией. Это несравнимо лучше, чем терпеть от своего банка.
                                    4. Мне не хватило банкоматов Альфы 1 раз, когда я заехал по пути в магазин с банкоматом, а он закрыт был, а я не имел времени заезжать в другой. Но это лучше, чем сраную выписку месяц ждать. Ага.
                                    • +1
                                      1. Я не считал банкоматы, а сделал запрос на сайте. Он выдал 150 страниц по 10 штук.
                                      2. Два коммента назад хотел заметить, что мы отклонились от темы.
                                      3 и 4. Но у меня действительно не было проблем с банком. SMS об операциях обычно приходят быстрее, чем вылезает чек из терминала. Но Сбербанк большой, и я вполне верю, что далеко не всем везёт так же, как мне.
                                      • –1
                                        1. Послушайте, вы в состоянии зайти сюда sbrf.ru/moscow/ru/about/branch/list_branch/ и выбрать Москву и физическое лицо. 72 страницы.
                                        2. Во, а тема была в том, что если пользователь хочет перевести через банкомат деньги другому пользователю, то ему не в падлу на улице 2 раза набрать, если с первого раза ошибётся.
                                        3. Для своего Сбера попробуйте на досуге взять выписку с детализацией и указанием назначения платежей (с печатью, разумеется). И посмотрите на дату последнего указанного платежа. Вас может это порадовать.
                                        • –1
                                          1. А ну да, не туда на сайте скинуло. Вот правильная ссылка: sbrf.ru/moscow/ru/about/branch/atm/ Да, около 150 страниц.

                                          Это, кстати, тоже показатель, что ссылка «отделения и банкоматы» ведёт на поиск только отделений без банкоматов.
                                        • +1
                                          1. А зачем мне ходить туда, если банкоматы указаны здесь?
                                          2. Я имел в виду тему топика и вообще направление хабра. Набирать номер счёта и имя/фамилию и один раз в падлу (пользуясь Вашей терминологией). Мне по крайней мере.
                                          3. Мне это не нужно. Я верю, что проблемы в Сбере могут быть. Я не верю, что их не может быть в Альфе.
                                          И хватит об этом.
                                          • 0
                                            Надо как-то подытоживать этот тред.
                                            1. Я чуть повыше отписался.
                                            2. Проблема выбора здесь. Мне дешевле вбить дважды, но сохранить баланс.
                                            3. Просто поверьте, что по сравнению со Сбером у Альфы нет проблем. Не зря его на 1-е место среди банков по ИТ ставят. Проблемки есть, но не значительные.
                                            4. Да, согласен, теперь тред стал с достаточным количеством информации.
                    • +1
                      И таки да, я считаю Lloyds TSB приличным банком.
            • +1
              Как Вы думаете, сколько владельцев карт знают номера их счетов? Мне кажется, что не больше 0,01%.
              • –1
                И чьи это проблемы?
                Все кому надо знают. Через отделение банка. Я знаю через Альфа-клик, например.
                • +1
                  Зачастую вообще нет однозначного соответствия р/с -> номер карты. По карйней мере некоторые «зарплатные» (а их, навязанных фактически без права выбора банка или даже условий обслуживания, имхо, подавляющее большинство) карты обслуживаются по схеме р/с фирмы — все карты фирмы. Проверено при попытке получить реквизиты для безналичного перевода (получены были с большим трудом) — номер р/с у двух коллег был одинаков, обязательно было указание номера карты (как я понял аналога л/с в моём понимании) в поле «назначение платежа», а получателем указывать фирму-работодателя.
                  • 0
                    У многих банков сделан один счёт для всех карточек, соответствено, различают получателя по дополнительным сведениям (у Авангарда так было два года назад, хотя номера карты вроде не спрашивали).
                  • 0
                    Интересная схема. А если потом человек переводит «зарплатную» карту в «личную», что происходит со счётом?
                    • 0
                      Нет такой опции, предлагают открывать личный счёт и привязывать к нему карту, ну и писать поручение в бухгалтерию о переводе зарплаты сразу на тот счёт (условия обслуживания «зарплатной» и «личной», мягко говоря, отличаются). Плюс при увольнении пользоваться ей как дебетовой (даже со взносами наличными в банке) практически не возможно.
                      • 0
                        У меня есть сбербанковская карта, которая изначально была зарплатной. После увольнения я решил оставить её себе, зашёл в отделение и написал соответствующее заявление. Несколько лет уже пользуюсь, как обычной дебетовой. Всё хорошо.
                        • 0
                          Не часто услышишь комплименты Сбербанку :) Обычно на него либо жалуются (хотя бы пост этот взять), либо не замечают (в смысле их сервис воспринимают как должное). Кстати о «не замечают» — афаик, Сбербанк эммитировал больше банковских карт, чем все остальные банки России вместе взятые и отрыв от ближайшего конкурента (если не ошибаюсь, то государственного же ВТБ) в 6 раз (45 млн вс 7 млн)
                          • +1
                            Что делать. Меня действительно практически всё устраивает. Но я в этом не виноват. :)
                            • 0
                              Завидую по белому :)
                          • 0
                            Замечаю, каждый раз проходя мимо их банкомата вижу огромные очереди.
                        • 0
                          Именно так же было и у моего знакомого. А потом он решил закрыть карту, когда подходил очередной новый год обслуживания, чтобы не платить абонплату за следующий год.
                          Мне посчастливилось зайти с ним в банк.
                          Первый вопрос, который прозвучал от банковсокго работника: «зачем вы ее закрываете? пользуйтесь». Тут я и понял, что я попал в дурдом. И действительно, это был настоящий дурдом, мы потратили полтора часа на закрытие карты, при этом его заставили подписывать кучу бумаг, пересылали в 5 разных окошек. потом все застопорилось, когда операционист потребовал с него подпись, что деньги он получил в кассе, а он говорит, вот я в кассе после получения и подпишу. А без этой подписи в кассу нельзя распечатать бумагу, по которой ему отдадут деньги с его счета.
                          Я в своем банке (не буду рекламировать) на закрытие карты потратил 4 минуты.
                • 0
                  Того, кому нужно перевести деньги, в моём случае — мои.
                  Этим летом, например, мне надо было перевести некоторую сумму родственникам, спасавшимся от дыма пожаров в Питере. Конечно, никто счетов не знал.
        • 0
          Приват24 тоже светит.
        • 0
          Наверно вы будете удивлены, но имя владельца карты проверяют только в магазинах, когда удостоверение личности сверяют.
          При электронных платежах имя вообще не сверяется. Можете указать при покупке имя своей жены и платеж так же пройдет. Так же не важен billing address, который спрашивают некоторые продавцы.
          При онлайн покупках важны только цифры, и даже CVV не всегда важен, он не всегда передается в процессинговый центр банка.
          Хотя за последний год, что-то могло измениться. Может меня кто-то поправит?
      • +3
        Сбер виноват в том, что вместо личного счёта в банке он везде предлагает светить номер своей карточки, что, вообще, не рекомендуется правилами безопасности. Допускается называть первые 4 и последние 4 номера карты, как раз, во избежание подобных проблем.
        А сбер же предлагает пополнить счёт как раз по номеру карточки…
        • +2
          habreffect.ru/files/840/bec849a59/3.png
          4 первые и 4 последние цифры номера карты. Сбер знает как надо =)

          Альфа, к примеру, позволяет пополнять И по номеру счёта, И по номеру карты. Одинаково паля ФИО владельца на экране терминала.
          • 0
            Я о том, что пополнение должно быть только по номеру счёта, а не номеру карты. А по карте, только если эту карту вставляют в сам банкомат.
            В данном случае, ошибка Сбербанка в том, что он позволяет, через интернет-банкинг пополнить по номеру карты, в итоге, большинство людей размещают именно номер карты, а не счёта…
            • +1
              в Альфе ведь тоже работает пополнение по номеру карты. ничего вставлять не надо, я подхожу к терминалу самообслуживания, выбираю «ввести номер вручную», ввожу номер счёта ИЛИ карты, и вижу ФИО…

              «Но есть возможность положить деньги через принимающий банкомат без банковской карточки. Только надо спросить операциониста о том, есть ли такой банкомат в отделении. Тогда вы просто набираете номер счёта и переводите деньги. Когда вы набрали номер, то вам высвечиваются данные кому принадлежит этот счёт — таким образом ошибка в переводе исключена.»
      • 0
        Amazon старается делать все как можно проще. А вот Сбербанк наоборот, обрастает бюрократией. Для жителей цивилизованных стран уже давно стало правилом — номер кредитки не светить. И это никому не надо объяснять, все это понимают сами.

        А Сбербанк вместо того, чтобы сделать хотя бы внутренний счет, предпочитает сразу по номеру кредитки переводить.

        Это косяк Сбербанка, и не иначе.
      • –1
        Амазон как и остальные магазины, которые шлют без vbv шлют только на адрес держателя карты. да и магазинов этих практически не осталось. так что никто на ваши деньги ничего себе не купит.
        • –1
          к сожалению, нет.
          habreffect.ru/files/fcd/d54fed032/1.png

          да хоть в америку, да хоть куда отправим.
          • 0
            от вас потребуют доп.информацию. позвонят, либо попросят подтвердить сканами документов
            • 0
              ничего подобного. без единого вопроса отправили книжку в Америку (на адрес конторы по передоставке). Продавец отправлял только по Америке. Я платил российской картой.
        • +1
          > Амазон как и остальные магазины, которые шлют без vbv шлют только на адрес держателя карты

          Куда пожелаешь, туда и пошлёт. Разумеется. Это на ebay иногда требуют verified paypal address.
      • 0
        Такой платеж можно будет оспорить в банке, думаю, с этим проблем не будет.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Во-во, холдер лишь получает лишнюю головную боль из-за необходимости иметь код при себе.
        • 0
          Оно спасает только мерчант от чачи.


          можно расшифровать?
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              т.е. «чач» — это chargeback? понятно, спасибо.
    • +3
      В чем Сбер неправ? В том, что публикует фамилию пользователя просто по номеру? Возможно.

      Но мне кажется, больше неправы люди, публикующие номер карты и фамилию, а также (еще больше неправ), Амазон, который не спрашивает CVC и не предлагает ни капчи, ни банит на какой-то промежуток после нескольких неправильных вводов.

      А вообще, меня тоже всегда удивляло, что можно зная номер, имя человека, примерно дату выдачи и CVC (а вот в амазоне и этого не надо) оплатить все, что можно в интернете. (все данные можно узнать просто взглянув на карту, например это может сделать официант в ресторане)

      Ну а топик не про то — а про баг Сбера, что можно просто узнать ФИО держателя карты по ее номеру.
      • –1
        ну, я буду обновлять комментарии перед отправкой, я буду обновлять комментарии перед отправкой, я буду обновлять комментарии перед отправкой
      • +4
        Скорее про то, что буржуи позволяют оплатить картой без CVV и без SecureCode.
        • –1
          угу. просто заголовок про Сбербанк, а так можно сделать с любой картой любого банка.
      • –1
        А вот людей, которые публикуют свои данные сами вообще не жалко. Один раз их кинут, второй раз будут уже знать. А за знания надо платить, если не могут научиться на чужих ошибках.

        И к Амазону нет абсолютно никаких претензий. Они рискуют своими собственными деньгами, принимая платежи, которые можно отозвать, просто позвонив в банк. Проблем только две: дураки и сбербанк.
        • +1
          > А вот людей, которые публикуют свои данные сами вообще не жалко.

          Ну давайте еще разрешим наркотики, в конце концов кто их употребляет сами себе буратино. Да и вообще пусть люди обо всем волнуются сами и учатся исключительно на своих же ошибках.
          • –2
            А у вас сравнение не особо корректно. А про наркотики… Они бывают разные, от конопли ещё никто не умирал.
            • +4
              А где та грань, какие знания вы обязаны знать, а какие нет? Почему кто-то про наркотики или про турпоход в горы вас должен предупреждать и контролировать (читай оберегать), а с пластиковыми карточками, открытыми wifi сетями и т.п. штучками вы вдруг сами по себе?

              Проблема в том, что многим людям даже в голову не могут прийти потенциально опасные моменты в той или иной сфере. Например всем известен случай когда бабка решила после купания кота высушить его в микроволновке… Ну откуда ей было знать что так поступать нельзя, она подумала из-за заднего вентилятора, что там просто теплый воздух качается, как в фене.
              Уверяю вас, в мире найдется десятки тысяч технологий/мест которые будут опасны для вас хотя вы этого и не подозреваете. Вот например вдоль наших границ можно наткнуться на сотни сдохших РИТЭГов, это небольшой железный и неприметный ржавый ящик. Если его вскрыть, а некоторые вскрыть ну очень просто без особых инструментов, вы схватите такую дозу, что протяните ну совсем недолго (и кстати таких дураков уже достаточно по стране). Ну и кто тут виноват, вы открывшие поржавевший ящик пандоры или тот, кто не предупредил вас и не позаботился если уж не об утилизации, так хоть об наклейки «радиация»?

              // offtop
              Не умирали от конопли? А проблема вовсе не в смертности от наркотиков, от того что умрет наркоман или заядлый алкоголик который не может связно говорить, ничего не изменится, по-большему счету никто и не заметит (ну если конечно его не прийдется хоронить на деньги налогоплательщиков). Проблема сам факт существования подобных людей и их путь саморазрушения, на человека государство потратило кучу времени и средств (лечили в детстве, обучали, оберегали), а он вместо полезной ячейки общества становится даже не бесполезной, а деструктивной. Он разрушает все вокруг — вовлекает в наркоманию других, грабит из-за дозы, убивает, плодит больных детей которых вдобавок вещает на шею государства (читай налогоплательщиков). Конопля (если вы только ее не попробовали разок ради интереса в университете или подобном месте) это просто первый шаг на этом пути. Да и люди которые ее курят многие годы тоже как-то не от мира сего…
              • –1
                Ну, не всё так плохо, асоциальный (бесполезный) != антисоциальный (вредный). Есть довольно много людей, которые, скажем так, не окупили вложенных (и постоянно вкладываемых) общественных ресурсов (не только бюджетных денег), но не разрушают всё вокруг, а может даже балансируют на грани окупаемости. И, имхо, алкоголиков и наркоманов среди них не мало, равно как таких среди алкоголиков и наркоманов.

                P.S. А вообще, имхо, было бы неплохо вести личный баланс граждан — сколько в тебя вложили (хотя бы тех же бюджетных денег) и сколько ты вернул (тех же налогов). Понятно, что многие затраты персонализировать невозможно, но хоть среднюю температуру по больнице знать для таких вещей как оборона или дороги можно, а для более индивидуальных затрат (детсады, школы, больницы и т. п.) персонализировать можно если не с точностью до индивидуума, так до очень малой группы (класс, например, пускай даже школа)… Крайне желательно в текущих, а не 30-летней давности, ценах
      • +1
        Поддерживаю на тему Амазона и CVC. А также лишний раз призываю к бдительности — номер карты ведь часто пишут в открытом виде сами люди, не зная о таких тонкостях.
    • 0
      citibank видать тоже совок :) Там такая же система, только через банкомат. Через интренет не проверял.
    • –1
      Полный бред… Во-первых Cardholder's name никак нельзя проверить «машинно» ( проверить можно только факсом\звонком в банк эмитент ), во-вторых легче купить краденую карту с полной информацией о её держателе + CVV2 и EXP и не нужно ничего угадывать…
      • 0
        Я вот не знаю где купить, но знаю где брать кардхолдеров, номера и сроки действия
        • 0
          Повторюсь, имена кардхолдеров не нужны, можно любые написать… А при переборе срока действия банк может заблокировать карту + таким способом 90% карт будут закрыты для оплаты в интернете…
  • 0
    В службу поддержки Сбербанка, перед публикацией на хабре, писали?
    • +1
      А у них есть служба поддержки??
      • 0
        help@sbrf.ru
        Я к ним обращался несколько раз и всегда мои проблемы решали.
        • +2
          Это был сарказм, и, походу, весьма неуместный, раз они хорошо работают. Следовательно проблема в программистах, создававших их банковскую систему, либо в самом Амазоне, как здесь уже писали.
          • +1
            Проблема в изначальной дырявости карточной системы, она рождена дырявой, потому что при рождении стремились к простоте, а не к защите.
            А в конкретной ситуации виноват безусловно банк.

            Вот к примеру, у Сбера есть типа фишка — смс-код, хорошая фишка. Допустим я клиент — значит я буду пребывать в полной уверенности защиты своей карты, ведь меня уверяют, что без смс-кода снять деньги будет нельзя! Следовательно банк должен заботится о том, чтобы снятие без кода было невозможно. То есть банк должен отказать Амазону в операции.
            Как следствие, владельцы «защищенных» карт не смогут оплачивать ими покупки на сайтах, где алгоритм не соответствует установленному банком )
        • +1
          Я обращался в их службу поддержки, когда хотел оформить у них дебетную карту. Мне надоело ждать, я пошел в другой банк (название упущу), оставил заявку там. Через две недели у меня на руках была карта (сделали-то ее довольно быстро, но с Москвы шла и я не сразу по приходу забрал). Уже имея карту другого банка я получил ответ от сбербанка…
          Так что писать в саппорт сбербанка надо за месяц до публикации такого топика. А лучше — за год, чтобы исправить успели…
          • 0
            Может быть, у них для новых клиентов другая служба — мне всегда отвечали на следующий день. А возможно, они меня изначально отметили, потому что первые обращения были с официальной подписью.
            • 0
              Не знаю. Мне, наверное, не так повезло, но я вполне себе доволен.
              Потом еще, через пару-тройку дней позвонили и сказали, что ответили мне. Но вот тут уже принцип «лучше поздно, чем никогда» не сработал. Мне нужно было куда-то получать оплату через полмесяца и я ждать их реакций больше трех дней не стал.
              Ничего против Сбера не имею. Просто не сложилось.
    • 0
      А тут не о чем писать. Это не дырка.
  • +11
    Насколько я понимаю, платежи без CVV очень легко оспорить — у банка нет доказательств осуществления платежа именно владельцем карты. (CVV считается аналогом собственноручной подписи).
    • +2
      Как бы да.
      Но часто ли Вы писали заявления в Сбер по этому поводу? «В ЦСКО», в двух экземплярах… И будут ли это делать родители больных детей и жертвы лесных пожаров?
      • 0
        Родители больных детей как правило просят крупные суммы, которые через банкомат не снимают. И если в просьбе помочь указан номер карточки, а не счета — это 99% мошенники.
        • 0
          если пишут в интернете номер — то часто в надежде «кто сколько», и кидают же кто десятку, кто сотню. Снимают-то может и не в банкомате, а заказывают сумму и снимают в офисе, но пополнять «просто по номеру», не заполняя квитанции и не боясь ошибиться в к/с, р/с и прочих цифирях, весьма удобно
      • –4
        Я просто не общаюсь с сбербанком. Вообще. Спасибо, у меня вменяемый банк с вменяемым саппортом и нормальным Б/К, привязанным к карточному счёту.
        • 0
          А какой банк, если не секрет — в одном городе живём, интересно какие банки у нас вменяемые. Можно в личку.
          • 0
            райфейзен.
            • 0
              телебанк.
            • 0
              Спасибо, давно сам к ним приглядывался, т. к., имхо, общение с ними должно быть по европейским, а не совковым стандартам. Но ни одного их клиента в моем круге общения нет.
              • 0
                прочтите про их телебанк и про то, кто обслуживает их российский филиал.
                habrahabr.ru/blogs/finance/98112/
      • 0
        У меня как-то захавал терминал оплаты ЖКХ деньги. Написал заяву (в одном экз) — деньги вернули.
  • +1
    А зачем выкладывать туториал для мошенников? Лучше бы в сбер написали жалобу.
    • +7
      а чем сбер виноват? люди сами пишут номер карты вместе с именем. а амазон принимает.
      • +2
        Банк должен блокировать ненадёжный процессинговый центр (кажется, это так называется), который не запрашивает CVV.
        • +4
          Тысячи или, может, даже миллионы законопослушных и не столь доверчивых покупателей на Амазон и т. п. скажут вам большое спасибо за, как минимум, усложнение процедуры оплаты, а максимум её полной невозможности.
          • +1
            Кому как. Меня наоборот настораживает, когда банк проводит ненадёжный платёж. Я предпочитаю, чтобы от меня всегда требовали ввода пароля, который приходит на мой телефон по SMS.
            Конечно, 100% гарантии не даст никто, но шансы меньше.
            • 0
              Может лучше нормальный механизм для отмены мошеннических транзакций?
              • +1
                По-моему, нет. Лучше, чтобы их не было.
                Кстати, мне не приходилось проверять имеющийся. И я предпочту, чтобы так и было в дальнейшем.
                • 0
                  Спорно. Обычные транзакции вы делаете регулярно, а крадут у вас деньги (тьфу-тьфу) редко.

                  Что лучше, 300 раз за год потратить лишнюю минуту на платеж или (например) 1 раз в год потратить (например) час на написание заявления в банке?
                  • 0
                    У меня эта операция занимает секунд 20, а то и 10, а не минуту. И я предпочту такой вариант. Потому что, кроме часа на заявление, будет ещё и испорченное настроение на день.
                    • +2
                      А когда вам нужно будет воспользоваться карточкой вне покрытия мобильного или аккумулятор сядет — на сколько времени у вас настроение испортится?
                      • –1
                        А как там возникнет проблема оплаты через Интернет?
                        • +1
                          Где там? Там где аккумулятор сядет?

                          Покрытия вообще-то много где нету. В подвальных помещениях, например.

                          Подозреваю, что при соблюдении минимальных правил безопасности (не публиковать номер своей карточки в ЖЖ), вероятность мошенничества значительно ниже чем вероятность, например, забыть телефон дома.
                          • 0
                            Да. У меня аккумулятор от USB заряжается. Есть компьютер — есть аккумулятор.

                            Насчёт подвалов Вы правы, я о них забыл — давно не жил и не работал в таких услових.
                            Впрочем, насчёт SMS — моё частное мнение. Я никогда и не предполагал, что все со мной согласятся.
                            Выигрывая в безопасности всегда проигрываешь в свободе. Но свободу тоже можно понимать по-разному. Возможность открыто опубликовать номер своей кредитки и не бояться, что придётся ловить мошенников — тоже в своём роде свобода.

                            А CVV — это не SMS, это всего три цифры.
                    • 0
                      У меня бы настроение наоборот поднялось — как же, я лоханулся где-то серьезно (например, засветил номер карты) и мог попасть на все свои деньги, но отделался лёгким испугом, всего лишь написав заявление о «возврате»
                      • +1
                        Были случаи? Обычно реакция в реальной ситуация сильно отличается от той, которую мы себе представляем.
                        • 0
                          Были случаи, когда лоханулся серьезно и мог попасть на все свои деньги, но отделался лёгким испугом. Были случаи, когда попадал на все свои деньги (и даже больше), опять -таки сознавая (задним числом), что лоханулся. Настроение совершенно разное, в первом случае первая мысль «фу, пронесло», вторая — искренняя благодарность тем, кто «принял заявление о возврате»
                    • 0
                      Умножь свои секунды на количество клиентов Амазона. Многие из них умеют справляться с плохим настроением.
                      • 0
                        Чтобы компетентно судить об этом надо иметь реальную статистику по успешным и мошенническим транзакциям в разных системах.

                        Однако, Вы, как и некоторые другие, прочитали этот коммент невнимательно. Там написано, что я предпочитаю, чтобы мой банк запрашивал пароль по SMS. К Вам и остальным клиентам Амазона это не относится. Я ни в коей мере не посягаю на ваше право иметь другие предпочтения.
                • +1
                  Я бы предпочёл свободу распоряжаться своими деньгами с гарантией их возврата, в случае если кто-то ими распорядится без меня, чем жёсткую привязку к внешними условиям (в частности к любым физическим носителям или гаджетам вроде телефонов), гарантирующую, что никто без меня ими не распорядится, но не гарантирующих, что я смогу ими распорядиться в случае отсутствия привязки (грубо говоря меня обокрали на пляже пока я купался)
      • 0
        а чем амазон виноват? амазон просто передает номер карты вместе с именем, а банк решает разрешить или нет.
  • +6
    Уязвимость? Может быть, но имхо это уязвимость вообше пластиковых карт как таковых…
    • 0
      уязвимость — есть риск потерять свои деньги.
      ИМХО, в первую очередь это уязвимость процессинга амазона, ведь платёж совершается без CVV/CVC и в обход защитных механизмов типа SecureCode. А по этой части у сбербанка как раз не всё так плохо, оно требует набирать одноразовые пароли с чека при проведении платежа «обычным» способом…
      • +1
        Судя по всему, CVV/CVC не являются обязательным элементом платежа, а значит уязвимость системная, а не локальная, а вот практику Сбер- и прочих банков выдавать ФИО клиентов абсолютно левым людям я бы проверил, как минимум, на соответствие Закону о ПДн.
    • +3
      точно. можно просто сфоткать/сосканить две стороны карточки (возможность чего есть у каждого первого, кому вы её даёте на оплату), и этого будет достаточно, чтобы купить где угодно что угодно. о какой вообще безопасности может идти речь?
      • 0
        что часто и делают всякие мошенники, требующие «в целях проверки» выслать им скан обоих (!) сторон карты.
        от этого и пошла идея замазать/заклеить CVV2/CVC2
  • +1
    американцы как-то особенно безобразно относятся к платежам по картам, много магазинов принимает карты без cvv, кто-то пользуется виртуальными терминалами (данные забиваются операторами из ранее сохраненных данных).
    Кстати, имя и фамилия зачастую не учитываются при транзакции, а определить тип карты (visa, master, virtual) страну и банк выдавший карту можно по bin (первые 6 цифр карты) тот же maxmind такие данные предоставляет.
    • +4
      Ну они как бы имеют на такое отношение право. У них как бы в отличие от Роисси есть правоохранительные органы.

      Если немного отлистать историю назад, то увидим, что европейцы и америкосы лет 10 назад вообще пользовались картами без кодов и online проверок. Дал карту, вжик-вжик её отпечаток. Подписал. И всё.
      Если отлистать чуть дальше, то увидим чудесное время чековых книжек. Опять же никаких CVV и online проверок.

      У них как бы в отличие от Роисси есть правоохранительные органы. И paypal из-за этого платежи в Роиссю не проводит — нет возможности заставить соблюсти закон. Так-то.
      • 0
        Плюс к правоохранительным оргонам у них есть, имхо, и реально действующая презумпция невиновности в гражданских делах даже на досудебных этапах разрешения конфликтов — фирма, по-моему, предпочтёт откатить якобы ошибочную транзакцию, если у неё нет уверенности, что она сможет доказать её не ошибочность в суде.
        • –1
          Ну да, когда проблем мало, то их проще и выгоднее им из своего кармана крыть.

          А про их систему не питайте иллюзий — у них всё тоже весьма жёстко в плане полиции. Полицейский защищает закон и государство, а не человека. Это надо понимать. Избиение «не за что» человека до инвалидности для них не на много меньшая норма, чем для нас.

          Вспомнить, например, случай, когда российского хакера в Турции задержали. Ноут при нём, там пароль. Пароль чувак не даёт. Ему америкосы прямым текстом говорят, что они сейчас выйдут на 2 часа и он всё расскажет турецким коллегам. Чувак не поверил.

          Но при этом, закон соблюдается и правоохранительная система работает.
          • 0
            Я скорее про корпоративную практику разрешения конфликтов с клиентами. Конечно, это взгляд со стороны, но таково моё мхо :)
      • 0
        + нормальный развитый институт страхования. Страхуется всё и вся, поэтому все конфликты решаются быстро.
        • 0
          Развитость института страхование — это следствие в основном 2-х вещей: наличия конкуренции и наличия правоохранительных органов.
      • 0
        >И paypal из-за этого платежи в Роиссю не проводит
        не поэтому
        • 0
          Именно поэтому. И из Индии они ушли, хотя сначала вошли туда.
  • 0
    Ну лично я ни при каких обстоятельствах не собираюсь сообщать даже номер моей VISA. А уж если мне где-то надо было бы получать на карточку деньги, то завёл бы для такого случая Visa Electron, которая, как я думаю, не позволяет производить манипуляции со счётом без предъявления карты. Т.е. платежи через интернет уже не сделать. Только работа с банкоматом или предъявление в магазине при покупке.
    • –5
      Вот именно из-за возможность платить через интернет она и называется Electron.
      • +1
        Не правильно. Electron говорит только о том, что карточка должна работать только при онлайновых транзакциях. Offline-транзакции, использующие floor limit по ней запрещены и до какого-то времени были также запрещены MO/TO-транзакции (т.е. «заочные», к которым причисляется и интернет).
      • +1
        Visa Electron не принимаются к оплате в интернет, а называются они Electron, потому, что, все торговые операции проходят электронную авторизацию банка-эмитента, который подтверждает наличие достаточных денежных средств на счету держателя карты.
        • 0
          Не всегда, Electron от Росбанка прекрасно работает с Paypal и т.п.
          • +2
            но в целом, это исключение. обычно как раз меняют электрон на классик для того, чтобы обрести возможность платежей онлайн.
            • 0
              Да я сам офигел, когда на ибее покупку оплатить этой картой получилось =)
              Так что да, это скорее исключение
              • 0
                Вы немного не в курсе — электронов для платежей в инете масса. Для примера ВТБ24 именно их и выдает. Только принимают из не все экваерй.
            • 0
              Electron разный бывает, если банк нормальный, то на электроне есть код сзади. Обе мои первые карточки (студенческая Балтиского банка и рабочая ПСКБ) были visa electron и у обеих был код и я ими неоднократно пользовался в интернете. А вот у всяких там ВТБ, банк Санкт-Петербург кода нет.
        • 0
          Вот тут спорить не буду, так как в пластиковых картах и их типах плохо разбираюсь, но у Авангарда на Visa Electron есть код. Собственно, ради него и брал.
      • 0
        Ну начнём с того, что я специально электрон на классик менял для возможности оплаты через интернет.
    • +1
      Номер вашей карты светит всем дурочка на кассе в магазине, заправке и т.д. И светит она ещё и CVV. Поэтому у чётких пацанов CVV на карте заклеен бумажечкой.
      Ещё особо хорошо код светится в ресторане, когда для проведения платежа карту забирают и вы её не видите.
      • 0
        Вот-вот, меня рестораны тоже удивляют. Там секурити с картой нулевое. А кто-нить требовал принести терминал к столику клиента?
        • 0
          В России вообще счастье, когда по карте можно оплатить. Обычно заранее нужно предупреждать, а иначе в конце скажут, что терминал временно не работает. Это для мошенничества с налогами нужно.
      • 0
        CVV используется только для оплаты в интернете, для магазинов/заправок используется pin-код(на дешевых карточках типа зарплатных и студенческих нет cvv, но покупать можно через нее в магазине).
        • 0
          Хотел сказать, что вы кэп, но дочитав, понял, что вы обыкновенный дурак.

          Pin, кстати, в магазинах почти не используется. Проводят через инфу на магнитной полосе или через снятие рельефа карты (в России этого нет).
          • 0
            Может у вас и через анализ ДНК проводят, я говорю как это происходит в Украине. Либо через пин-код, либо без пин-кода. Но CVV в любом случае не нужен для оплат в офлайне. Так что ловите какашку
            • +1
              Ну если теперь вы о ситуации на Украине, то мне мало известна она. Но я бы там не только по ДНК платежи проводил.
              Про CVV и офлайн есть простое правило — читать все комментарии, прежде чем свои какашки разбрасывать. Помогает.
  • +2
    Если мошенник пользуется сайтом сбера, чтобы узнать ФИО владельца карты, то его наверняка можно вычислить по логам использования интернет банка, по попыткам перевести деньги на карту жертвы. От сюда уже можно конкретного человека найти с паспортными данными. IMO для мошенников это не вариант по данной причине. Гораздо проще «срисовать» карту в магазине или у банкомата.
    А амазон конечно не прав.
    И да у меня есть сберовская виза, так что актуально =)
    • +2
      а он возьми да переведи 10р. ну сделал пожертвование. и что? узнал? узнал.

      а потом с другого IP уже в амазоне купит что-нибудь. или вообще в другой раз с интернет-кафе. а проку-то? я честный, сделал пожертвование со своей карты. за что меня-то?
      • +1
        А зачем искать IP, когда можно просто выяснить, кто совершил с чужой карты покупку в амазоне? Или нельзя?
        • +2
          Есть множество способов доставить определённые товары из-за рубежа в РФ и получить их без предъявления каких-либо документов.
          • 0
            И нет ни одного способк встретить того, кто их будет получать, вместе с сотрудниками компетентных органов?
            По-моему, оплата товара чужой картой без ведома владельца должна однозначно квалифицироваться как кража. А как на самом деле?
            • 0
              Вы также можете заказать себе кучу товаров, но при этом никто не докажет что это именно вы заказали. Ну если вы конечно как-то не спалитесь.
              • 0
                Да. А мне письмо пришло от анонимуса. Электронное. «Прими дары, мой милый друг, шлю я тебе айфон запростотак. Лишь подожди курьера и забери скорей!».
                А я подарки люблю.
                – Крал?! Нет, что Вы! Да как я мог? Да я и не умею так делать, нет. Чесслово, подарили, у меня как раз в январе день рожденья. Какие добрые люди.
  • 0
    А вы уверены что можно 10р перевести на чужую карту? Я вот 200р пытался и не вышло. Тоесть как я делал: запихивал свою карту в банкомат, выбирал перевод на карту, вводил номер и сумму. В ответ фэйл.
    • 0
      через интернет-банк проходило и меньше…
  • +5
    Рассмешили. Кто этим будет заниматься? Кардеры? Да на андеграундных форумах карты сейчас продают от 0,5$, к чему столько сложностей? :)

    Вообще в СБ Сбербанка довольно таки адекватные работники, после пары покупок через интернет мне звонили, интересовались я ли совершал покупку и предлагали ограничить круг стран, из которых возможно делать покупки. Они, хотя бы, звонят и удостоверяются, в отличии от долбанной системы Альфабанка, которая даже после обычной покупки в Перекрестке без предупреждения блокирует карту. Было это дважды. Представьте себе мое состояние, набрав продуктов, отстояв в очереди минут пятнадцать, без рубля налички в кармане услышать, что по карте покупку невозможно сделать.
    • 0
      Про Альфу вы чушь написали. Пользуюсь давно и ни разу никто ничего не то что не блокировал, ничего лишнего не делали без предупреждения. Почти наверняка дело не в Альфе в вашем случае.

      Альфа не звонит по поводу покупок в интернете, но и провести платёж без CVV даст только со специальной карты.
      • 0
        Относительно недавно был топик на тему блокировок при инет покупках (что-то вроде: звонят из банка и говорят «мы вашу карту заблокировали, какой-то идиот с неё сейчас купил программу за 45$»), Альфа там точно фигурировала, если не в самом посте, тов комментах всякие интересные случаи рассказывали.
        • –1
          Тут вообще столько откровенной хрени про Альфу рассказывают и ни одного реального случая.
          Кроме того, я не против, чтобы мою карту заблокировали и позвонили мне, потому что после называния прочих моих данных по телефону, они всё мгновенно разблокируют. И такое, я уверен,
          может происходить с ними очень редко.
          • +1
            Я про этот топик — поищите на странице по «альфа» — случаев внезапных для клиента блокировок, рассказанных от первого лица, имхо, не мало
      • +1
        Если вас это не коснулось, не значит что этого не может быть. Я дважды звонил после сих случаев в поддержку и требовал разблокировать мою карту. На вопрос в чем причина блокировки мне отвечали «без понятия». И такое отношение при том, что у меня виза платинум. Срам.
  • 0
    А вот кто знает, если я CVV цифры номера на задней стороне соскоблю/замажу (чтобы в магазинах-кафе не подглядели), карта везде будет работать?
    • 0
      обычно так и делают те, кто думает о безопасности =)
      будет.
    • 0
      Да. Лучше не скоблить обычно, а заклеить тонкой бумажкой. Так чтобы если отдерут, чтобы сразу заметно было.
    • 0
      Вообще, карта с подобной кастомизацией по правилам подлежит изъятию. Повреждение полосы для подписи = изъятие.
  • 0
    Зачем ходить далеко(на Амазон?), когда пресловутый вывод денег телефонный счёт Билайна тоже не проверяет CVV/CVC? А с Билайна уже можно вывести живые деньги.
    И есть еще вариант — можно запретить вообще электронные транзакции по карте, разрешить только использование «вживую». Вроде бы сбер такое позволяет делать?
    • 0
      проще взять в сбере бесплатную Cirrus/Maestro Momentum =)
      • 0
        Да, действительно :) Тогда можно практически без опаски вешать свой номер карты в инете — для мошенников он будет бесполезен.
        • 0
          угу. уже слышал в свой адрес «а разве цифр должно быть не 16? Какая-то карточка странная». Зато надёжно.
          • 0
            Maestro у Сбера 18-ти значные, а вообще они могут быть даже 12-ти значными.
            • 0
              пишут ещё что бывают 13, 16 или 19 цифр.
              • 0
                Это жёстко не стандартизировано. В Китае, к примеру, есть вполне классические Визы с 19 разрядами.
    • 0
      «И есть еще вариант» читать как «И еще есть вариант защиты».
    • 0
      Не проверяет, но зато теперь нужно потверждать владение картой либо ее наличием, либо указанием случайной суммы, которая была списана при регистрации.
      telecom.cnews.ru/news/line/index.shtml?2010/11/16/416207

      Видимо, кому надо уже все сняли.
  • 0
    И что, попробовали что-то купить?

    По умолчанию банки в России не проводят авторизацию операций без CVC2/CVV2, исключение — только по 3D-Secure.

    Все что становится известным в данном кейсе — номер карты.
    Имя держателя карты вообще не передается в МПС, хоть CARL LUDOVIG VII указывайте.
    • 0
      Авангард успешно провёл покупку в Амазоне по карте MasterCard Standard без CVC2/CVV2. Запроса одноразового пароля не было. Сразу же встал холд.
      • 0
        Авангард провел покупку… Сразу же встал холд…

        Давайте более конкретно: деньги с карты были списаны?

        • 0
          • 0
            А в банк до этого делали запрос на возможность авторизации транзакций без CVC2/CVV2?
            • 0
              нет.
              заводил карту в авангарде, т.к. слышал, что их гарантированно принимает и PayPal, и Amazon, и не надо дополнительно «открывать карту для онлайн-платежей» и писать никаких заявлений.
              Работало «на ура», с тех пор рекомендую как раз именно Авангард для платежей онлайн.
              • 0
                Я бы такой картой в интернете точно никогда не платил.
                Полагаю, что Авангард определяет, что платежи идут через PayPal — где нужна привязка карты.
                А вот есть привязка в Amazon или нет, не знаю — не пользовался.

                В любом случае странно. Надо поисследовать, на ком ответственность, на эквайере или эмитенте, если MOTO — то на эквайере, но MOTO здесь будет вряд ли, все таки тип транзакции другой…
                • 0
                  никакой привязки в амазоне нет. указываете карту — и сразу платите. т.е. карта отображается в списке «ваши карты», но никакой контрольный код из выписки или сумму авторизационного платежа как в пэйпале указывать не нужно. и не снимают ничего для авторизации. ни бакса.
                  • 0
                    В пейпеле контрольный код, никаких сумм.
                    • 0
                      просто как бы встречались две формы проверки — как в пэйпале — контрольный код — и сумма платежа (рбк money, assist, ещё где-то). принцип действия всё равно сходный, смотрим либо в SMS, либо в телебанк, либо в выписку по карте, и узнаём…
    • 0
      Не правда, далеко не все банки не проводят.
      А вот у сбера как раз 3D-Secure уже давно реализован, так что странно если оплата пройдет.
  • +5
    Вот многие тут обвиняют Амазон в том, что он разрешает без CVC/CVV кода снимать деньги с карты. А ведь, строго говоря, это БАНК позволяет делать. К примеру, ВТБ-24 не позволяет снимать деньги без CVC/CVV кода в инете (правда, по-моему, их Visa Classic/MC Standard вообще не применимы для онлайн-платежей). Для этих целей они предоставляют отдельный продукт Visa Virtual.
    Однако, в любом случае люди не должны публиковать номера своих карт онлайн. И это должно быть одной из первых строк в памятках по безопасности при пользовании картой (кстати, я вообще не припомню, чтобы какой-то из банков, от которых у меня были карты, давал мне такую памятку).
    • +2
      CVC2/CVV2 — Так правильнее.
      CVC/CVV тоже есть на карте, но вы их не узнаете.

      Проводить авторизацию без CVC2/CVV2 или нет — это решение и банка-эквайера, и банка-эмитента.
      • 0
        Да, верно, спасибо за уточнение :)
    • 0
      ветебе карты прекрасно работают в инете — пользуюсь более 7 лет, еще со времен гуты. Только с пейполом проблемы.
      • 0
        Потому что ПейПэл при аворизации транзакции не знает CVC2/CVV2 — и ветебе видя запрос на авторизацию без CVC2/CVV2 ее отклоняет.
        • 0
          А вполне возможно.
        • 0
          При второй и последующих транзакциях, если точнее. При первой (списание символической суммы при валидации карты) он его передает.
          • 0
            Да!
            Именно поэтому авторизация часто проходит — а всё остальное нет :(
      • 0
        Я пробовал сервер оплатить в Канаде. Транзакция не прошла. В саппорте бормотали что-то невнятное, сначала сказали, что карта Visa Classic не предназначена для онлайн платежей, потом, что якобы в транзакции отсутствует CVV2, но в форме оплаты я всё указывал. Единственной рекомендацией банка по выходу из ситуации было приобрести у них Visa Virtual. Но я забил, т.к. у меня были другие способы оплаты под рукой. Возможно, это просто данный конкретный случай. Не могу сказать.
        • 0
          Это общий случай. Я таки приобрел MS Virtual, с коим без вопросов оплатил и канадский хостинг и (теперь) германский.
        • 0
          Часто бывает, что зарубежной компании указываете данные полностью, включая CVV2, но по CVV2 они только сразу проверяют валидность карты, но не сохраняют его и платёж реальный пытаются провести соответственно без CVV2.
          • 0
            По правилам платёжных систем CVV2/CVC2 нельзя сторить на сервере.
            • 0
              Я сначала даже удивился, откуда у человека, обладающего реальными знаниями, положительная карма. А потом профиль ваш посмотрел подробнее и стало понятно. =)
      • 0
        visa e@card.
        с paypal проблем нет.
  • 0
    3. Многие просят о помощи и размещают объявления на благотворительных сайтах.
    Вот это безумие совсем, номер карты на сайтах публиковать )) Всегда удивлялся таким кардхолдерам.
    • 0
      Не обязательно. У меня, например, отдельная карта для платежей. Деньги я на неё перевожу по мере необходимости. Если кто-то украдёт реквизиты, большой проблемы не будет. Я бы её номер, наверное, опубликовал. Только не за чем. :)
      • 0
        как бы для приёма платежей завести Cirrus/Maestro и опубликовать — вполне можно. Тем более что у Сбера развитая филиальная сеть и это зачастую может быть вполне удобно в плане практического использования.
  • 0
    Тут и амазон лохонулся однозначно. После 3х неправильных вводов данных карты, нужно блокировать возможность добавления карты на N часов, еще после 3х вообще навсегда, как минимум до звонка клиента и подтверждения, что он является владельцем карты.
    • 0
      тогда можно написать робота который заблокирует миллионы карт просто перебирая номера, а это невыгодно для бизнеса
      • 0
        Хотите сказать что такое нигде не реализовано?
  • 0
    номер карты вообще светить не стоит независимо от банка в конце концов даже cvc2 код имеет всего 999 вариантов и роботу ничего не стоит их подобрать.
    кроме того платеж подобный описанному скорее всего можно отозвать и банк должен вернуть деньги, главное следить за смс-ками об операциях.
    • +2
      Лажа. Любой приличный банк сразу же отследит перебор CVV2 и всё заблокирует до завершения разбирательств.
      • 0
        С одной стороны банк должен быть приличным, с другой — этим могут воспользоваться злоумышленники для блокировки карты/возможности оплаты.
        • 0
          Если злоумышленник знает номер карты, срок действия, имя владельца, то такую карту стоит заблокировать.
          • 0
            От более-менее близких людей сложно эти данные скрыть… А тем более узнать, что они эту информацию получили…

            А расплачиваясь картой в реале или получая нал с неё в банкомате сложно, имхо, гарантированно скрыть эту информацию и от совершенно посторонних людей. Что уж говорить о гоп-стопе.
  • +1
    У Привата в Украине тоже самое, вроде. Т.е. пополнить любую карту даже в кассе банка не проблема (через терминал) — на чеке будет фио получателя. ИМХО — такие шлюзы бред, ибо недобросовестный сотрудник банка имеет доступ к этой информации (абсолютно любой сотрудник, а не господа из сб, которые сообщают CVV).
    • +2
      Поэтому в привате жестко ограничили оплату в интернете, теперь по-умолчанию все карты закрыты для этого, нужно отдельно включать подобную функцию(и то не все карты в данный момент включишь).
      Ну и наши банки не пропустят без cvv кода платеж, требования НБУ(а вообще требования каких то межбанковских соглашение в Европе, куда входит и Украина. а вот в США cvv не обязателен, поэтому многие магазины их не просят, ну и мы там не можем оплатить, так как процессинг не пропускает платеж, если нет подтверждения cvv, Вот в этой статье Голубицкий проезжает по этой теме).
      • 0
        Приват замечательно пропускает оплату на амазоне без cvv
        • 0
          Через PayPal наверное?
          У меня(и парочки знакомых) без cvv2 не пускал.
          • 0
            нет, напрямую. Менее месяца назад, без всяких проблем.
            • 0
              гм… значит в белый список внесли, над будет попробовать, хотя моя карта вроде как будет действовать только там где есть процедура Verified by Visa.
      • 0
        Если так, то как в Европе(и у вас в.т.ч) пользуются Paypal?
        • 0
          В целом, для этого придумали хитрые обходные пути, главный: это виртуальная интернет карта(иногда их выпускают отдельно, иногда как дополнительную к обычной карте), для которой банки в целом отключает обязательную проверку cvv2, ну и еще умногих банков есть фича отключить проверку cvv2 на определенный срок или даже на всегда, типа таким образом снимают с себя ответственность(но обычно при таких штуках обязателен мобильный банкинг и уведосления по смс или их вариации). В каждом банке по своему обходят.
          Но опять таки как показала практика, не со всеми магазинами так проходит, видимо существуют белые списки, которым банки таки прощают отсутствие запроса cvv2.
  • 0
    Возникают вопросы- Куда смотрит служба безопасности Сбера?, Чем занимаются киберкопы из отделов «К»? Когда нас перестанут считать последними лОхами?
    • +3
      1. Служба безопасности Сбера ловит/покрывает внутренних мошенников, ущерба от которых несравнимо больше.
      2. Ребята из отдела «К» зарабатывают деньги.
      3. Вас перестанут считать последними лохами тогда, когда вы перестанете ими быть и при этом будете защищать такое своё положение.
      Так-то.
      • 0
        даже добавить нечего :)
        все 3 пункта в точку.
  • +1
    Имя на карте, как правило, не используется при авторизации платежа. Можете сами проверить, введя его неправильно. Так что с точки зрения конкретной ситуации, сбербанк не при чем.

    С точки зрения общей безопасности, нехорошо конечно. Открывается широкий простор для социальной инженерии.
  • +1
    Сбербанк тут ни при чём.

    Для проведения транзакции по карте Visa нужны номер и срок её действия.
    Для Master Card нужен только номер карты.

    Будьте в этом плане бдительны! Не сообщайте посторонним номера Ваших карт.

    Для безопасного перевода используйте перевод по банковским реквизитам.
    • 0
      Номер карты, как и срок её действия, могут легко «срисовать» при оплате в реале
    • 0
      То есть фамилия-имя не нужны?
      • 0
        Да, не нужны. Эта информация даже не передается процессингу банка.
  • +3
    надо уметь признавать ошибки. в данном случае Сбербанк одобрил проведение интернет-платежа без подтверждения «электронной подписи», что идет вразрез с рекомендациями VISA и подвергает риску мошенничества процесс покупок через интернет как таковой для держателя карты.
    И почему вы накинулись на Amazon? даже VISA в демо-ролике обеспечения безопасности интернет платежей приводит пример, когда пользователь вводит номер карты при покупке, сайт делает запрос в банк и если получает запрос на «специальный запрос», то запрашивает его и пользователя. это называется обработка данных «платежной системой в партнерстве с банком-эмитентом». В данном случае видно что банк-эмитент со своей стороны никаких дополнительных запросов подлинности платежа не производит
    • 0
      Авангард тоже одобряет к примеру.
    • 0
      Рекомендации, афаик, не являются обязательными к исполнению.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Сбербанк щипать глупо, по наслышке знаю что на пиндоские карты глаза «закрывают», но вот когда дело до ходит до своих…
  • +1
    Ох уж эти карточки, никто никогда не знает до конца как они работают :).
    Исследовал вопрос несколько лет.
    То что амазон обслуживает операции без CVV это нормально. Операции по карте можно проводить вообще находясь в оффлайне, вот такая магия — нужна сумма потом списывается по телефону, или электронно, когда появляется доступ к связи. Операции по карте можно фактически проводить только имея ее номер и подпись.
    Что не нормально в данной ситуации — то что публикуется номер карты. Не даром кардеры охотятся именно за номерами (какой им был бы толк от номеров без знания cvv тогда). Номер карты — это как пароль, его надо бережно хранить и никому не показывать. Поэтому в том же амазоне (да и везде) показывают только последние 4 цифры карты, потому что это самая ценная информация.
    Фэйлом в данном случае является то что публикуется номер карты, а не счета. Вообще-то для этого как раз и существует номер счета! Переводы должны осуществляться на счет, а не на карту. Карта это платежный инструмент, электронный ключ, а деньги перемещаются между счетами. Абсолютный бред то что сбербанк позволяет пополнять счет по номеру карты — его по идее даже нельзя вслух произносить, а во всяких переписках всегда просят не пересылать номера карт, на всякий случай (равно как и пинкоды, итд). Так что используйте номера счетов, а не номера карт.
    Ну и, конечно, подписывайтесь на смс-уведомления, и блокируйте оперативно транзакции, по которым запрошена авторизация, но которые не являются вашими.
    • 0
      Это, имхо, больше применимо к пину, который как бы никому кроме вас не известен, но согласитесь, что узнать номер карты куда проще, чем пин?
    • 0
      Вот именно… зачем Сбер разрешает тогда вносить деньги по номеру карты?.. если это конфиденциальная информация…
      С дугой стороны оплачивая по карте в магазине — ее номер уже всем доступен\виден — как же его «бережно хранить и никому не говорить»?..
      Напридумывали «благ», а реализовать нормально не могут.
  • 0
    Теперь кажется более особоснованно для чего же Альфа заставляет всех пользоваться виртуальными картами для оплаты в инете, а с реальной карты не пропускает платежи без CVC2 или 3DSecure.
  • +1
    Сбербанк онл@йн уже не показывает имя держателя при переводе средств на стороннюю карту.
    • +1
      Московский показывает. Вот прямо сейчас.
      • 0
        перепроверил. не отображает (Мурманск)

        • +1
          а раньше показывал?
          • 0
            точно не скажу, но по-моему не показывал.
  • 0
    Об этой проблеме многие говорят, да.
    Еще есть шлюз билайна, где можно пополнять баланс с карты. Потом этот баланс как-то налят, видимо. Подбирают дату действия ночью, если мобильного банка нет, или мобильный телефон лежит далеко — наутро просыпаешься с кучей смс-уведомлялок и без денег.
  • 0
    Неделю назад попытался привязать к PayPal'у карту, позвонили из ВТБ24 (звонок я пропустил) потом узнал что карта заблокирована. Звоню узнать почему — отвечают мошенники пытались снять с вашей карты 1$ через ПайПал)) При том что палку они по-прежнему не пропускают. Оказалось проявили бдительность.
    • 0
      Дело в том, что ВТБ24 отклоняет транзации через инет, в которых не запрашивается CVC-код и судя по этому посту не зря) для пэйпэла и т.д. у них можно заказать e-card
  • 0
    Опа. А у меня сегодня (уже вчера, 4.12) как раз попытались снять 1.02 USD через Amazon Payments. Денег на ней правда не было, поэтому пришел только отказ, но удивился я сильно. Карту в интернете не светил, в кафе последний раз отдавал 3 недели назад, CVC не замазан (ССЗБ), банк — Авангард. Внимание вопрос: можно попросить банк заблокировать любые платежи без CVC2? Чтобы при этом остались платежи с одноразовыми паролями и CVC?
  • +2
    Больше похоже на пособие для начинающего кардера.
    • 0
      С картинками!
  • +4
    Уж сколько раз твердили миру — не сри там, где живешь.
    Не работай в той стране, из которой ты родом.
    Всю жизнь у нас кардеров, которые работали по странам СНГ и России, считали крысами.
    И обсуждение подобных тем было запрещено.
    Чего автор добился этой статьёй? Того, что сейчас миллион и один школьник побежит на амазон покупать себе киндл. Когда их схватят за жопу, виноваты будете Вы.
    А Амазон в очередной раз напишет «No delivery to russian federation».
    И нахера такие уроки публиковать?
    • 0
      Маленькое уточнение: миллион и один школьник, имеющий карту сбербанка и доступ к онлайн переводам.
  • 0
    1. При разборе всплывёт запрос на совершение первой транзакции на 10 рублей;
    2. При получении кто-то должен будет забрать товар и указать некий адрес.

    Если человек не начнёт бороться за свои деньги сразу — фокус получится (при грамотном использовании). В прочих случаях лотерея. Итогом будет некая вещь и потенциальная возможность узнать работу органов правоохранения и исполнения наказаний изнутри.
  • 0
    Со сроком дейстивя карты очевидная промашка. Думаю процессинг должен обеспечить блокировку карты при попытке подбора срока действия — это очевидно мошеннические действия.
    • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Способ перебором блокировать карту конкурента. Так что врядли.
  • +1
    Странное решение.
    для валидации достаточно 2-3 букв из ФИО.
    УТЮ*** АЛЕ*** ЕВГ***
    например.
    правильность получателя проверяется и мошенникам нет источника информации
    • 0
      Что вы говорите, Александр Евгеньевич…
      • 0
        Не у всех столь очевидно с отчеством.
        да и вариантов множество
        Евгвньевна ж
        Евгееньевна ж
        Евгеневич м
        Евгеневна ж
        Евгененьевна ж
        Евгенеовна ж
        Евгенетвна ж
        Евгенеывич м
        Евгениевич м
        Евгениевна ж
        Евгениушевна ж
        Евгенньевич м
        Евгенньевна ж
        Евгенович м
        Евгентевич м
        Евгентевна ж
        Евгентьевна ж
        Евгеньвич м
        Евгеньвна

        реальные ЕВГ* из БД и по ним производится валидация при зачислении…

        С именем попали скорее всего посмотрев профиль, а это уже совсем другой уровень технологии поиска на них не будут заморачиваться ради 50 центов за запись

        Есть способы проще и дешевле.

        • 0
          В скайпе :) В данном случае отчество вообще не требуется насколько я понял.
          • 0
            В профиле же все есть=)
            Скрываться не имеет смысла.

            про отчества -Ну да.
            Тут еще транслитерация имеет значение.
            У сбера есть стандарт транслитерации как обычно свой, у гос органов свой, в то же время на карту можно написать свою интерпретацию =)
            в общем много вариантов сделать ошибку.
            по одной записи вылеплять никто не будет так что дыра есть, но через неё врят ли кто будет много тянуть
  • 0
    Вообще странно. Я покупал на bodybuilding.com, так там зарубили транзакцию по тому, что сбербанк не указал мой «billing address» в параметрах карты. Пришлось долго переписываться, что б у меня взяли деньги :) А тут еще и CVV2 не спрашивают…
    На по поводу сбербанка — у меня сразу возникли смутные сомнения по поводу защищенности системы, поэтому держу одну «маэстру» с которой по интернету вообще невозможно платить, и визу. А покупки осуществляю сначала переводом с маэстры на визу, а потом сразу с визы плачу в магазин.
  • 0
    Кроме CVC и списка интернет-паролей к сберовской карте еще прилагается список «разрешенных» стран. Транзакции из всех остальных стран будут отклонены по умолчанию. К тому же что можно заказать в Амазоне на ворованную карточку? Книги на свой почтовый адрес? ;)
  • 0
    А переводы Visa to Visa продвигаются во многих странах самой корпорацией, Сбер всего лишь внедрил новую фишку международной системы. Опять раньше всех, как и Verified to Visa. Люди, которые много хают сбербанк либо никогда не были его постоянными клиентами, а случайно зашли с улицы оплатить жировку, либо никогда не работали с другими российскими банками. Сбер — один из трех лучших карточных банков (два других — альфа и сити).
  • +1
    Один лишь факт, что для совершения оплаты с помощью карточки достаточно указать ту информацию, которая необходима для получения на нее средств (и до введения CVV это было включено по умолчанию), номинирует эту технологию на звание крупнейшего в мире бага 20 века, а может быть и всего минувшего тысячелетия.
    • 0
      Достаточна. Но не необходима. Для перевода (например., для пожертвований) можно указать счёт. Этого тоже будет достаточно.
      • 0
        Тем не менее номер карты согласно здравому смыслу никак нельзя отнести к конфиденциальной информации. Это не PIN-код. Это все равно как если бы в интернете логины использовались в качестве паролей.
  • 0
    Я вот не понимаю… КАК вообще такое возможно.
    Ну ладно, номер карты это не ПИН — согласна с этим мнением. ФИО человека тоже не секрет.
    Почему по этим данным можно обворовать счет карты!?

    Да, получайте деньги хоть пожертвования, хоть что на карту по ФИО и номеру. Зачем выводить деньги со счета только по этим данным?

    Мое вот такое мнение — виновник один — Сбер! Плевать на магазины, они могут косячить как хотят, хотят дают хоть миллион возможностей подбора номера и тд и тп, но то что Сбер работает с такими не надежными магазинами, не проверяет дополнительным паролем\пином\… владелец ли оплачивает — это косяк Сбера и только Сбера.

    У владельца карты договор с банком, не с магазином. Везде и всюду указывается — храните ПИН и никому не говорите его. Человек соблюдает эти правила. Обворовали — виноват Банк, который это допустил.

    Мобильные уведомления хорошо, но человеку что ни поспать не отойти ни в отпуск уехать, ни в метро не спуститься?..

    В общем муть какая-то.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.