Безопасность карт и безнала
Всегда помните, что вы не только можете предложить идею для поста, но и написать свою статью, которую опубликуют в канале ЮВТ
Задача нашего канала помогать друг другу
Юрист в Татухах - это коммунати ❤
В данной статье я планирую рассказать о том, как не потерять все свои бабки при оплате товаров или услуг онлайн.
Начнем с того, как могут украсть ваши данные карты, подчеркиваю, именно данные.
Существует два с половиной пути:
👨💻 Сниффер установленный на странице оплаты
Внутри полей для ввода данных установлен скрипт, который отправляет все введенные данные на сторонний сервер.
Часто снифферы помечтаются красным флажком во всех браузерах, наглядно демонстрируя, что https внутри формы отсутсвует.
Как пример - почти вымершие авито-скам площадки. Часто кодеры крепят кривой SSL-сертификат, который является недостоверным.
При переходе браузер сразу уведомляет, что сайт фишинговый. Если человек получил трижды премию Дарвина и проигнорировал первый пункт, то, проигнорировав красный восклицательный знак в поле ввода номера карты, то он автоматически становится д*лбоебом.
👨💻 Взлом базы данных сайта, платежного шлюза или платежной системы
Тема достаточно сложная и нетривиальная, поэтому рассмотрим самый простой вариант - взлом бд сайта.
Смысл таков, что на некоторых сайтах платежная информация пользователей хранится прямо на хостинге в зашифрованном или незашифрованном виде.
Попав на сервер, хакер имеет возможность сдампить всю базу. Иногда используются SQL-инъекции, но это уже достаточно древний метод. С такой утечкой информации сталкивался Joom, где десятки тысяч карт были слиты в сеть.
👨💻 Стиллер
В прошлой статье про криптокошельки было небольшое описание стилеров.
Здесь я добавлю, что стилеры могут украсть данные карты, сохраненные в браузере, но чаще всего там не хватает CVV-кода, именно поэтому этот метод будет своеобразной «половинкой».
Итак, мы узнали как могут украсть наши данные, теперь я расскажу о том, как могут списать деньги, не зная данных карты.
Всему виной сохраненные методы оплаты на таких сайтах как: Ebay, Amazon, Самокат, Яндекс, PayPal, Google и так далее.
Зная ваш логин и пароль, а также имея куки-файлы, полученные со стиллера, вор может оплатить товары или услуги, не вводя данные карты.
Пару лет назад наши соотечественники начали жаловаться на необоснованные списания через Google Play.
Всему виной высокий спрос на внутриигровую валюту, которую можно передавать с одного игрового аккаунта на другой за 70% от номинальной стоимости в Google Play.
Теперь мы поговорим про онлайн-оплату и как банк-эмитент карты обезопашивает себя.
Мы все знаем, что чаще всего при онлайн-оплате в СНГ нас просят ввести код из смс, такая процедура называется 3-D Secure. Создана она для того, чтобы банк убедился, что транзакция совершается вами. Это не для вашей безопасности :)
В забугорных странах сущетсвует еще несколько методов аутентификации для процедуры 3-D Secure:
✅ По номеру социального страхования
✅ По девичьей фамилии матери или иному кодовому слову
Также существует метод автоматический аутентификации, не требующий ввода кода из смс, именуемый на слэнге Auto VBV (автоматический метод для карт Visa)
И еще существует ситуация, когда на карте нет вообще никакой аутентификации для совершения онлайн-платежей. Такая схема называется Non VBV.
Сейчас я объясню, почему все эти системы вряд ли могут как-то обезопасить вас от кражи денежных средств.
Я не буду углубляться в работу мерчантов, интернет-эквайринга, платежных шлюзов и так далее. Скажу так: огромное количество интернет магазинов не требуют 3-D Secure.
Например: Amazon, Ebay, а также Ozon и Wildberries при определенных манипуляциях. Да и не стоит забывать, что данную аутентификацию можно обходить через Paypal и Google Pay.
Стоит отметить, что списание денежных средств возможно при правильных данных карты и дате окончания действия карты. То есть не нужно имя и код CVV. В платежной системе Stripe за неправильный ввод CVV накидывается некоторое количество очков фрода, умножаясь на определенный коэффициент, но если все остальное правильное, то набранные очки фрода будут меньше максимального порога и оплата пройдет.
Сейчас вы подошли к моим вредным советам по безопасности платежей:
❌ Не использовать свою зарплатную и кредитную карту при оплате онлайн, также отвязать ее от всех возможных сервисов.
У кого есть возможность, тот может ее перевыпустить.
Если и использовать зарплатную или кредитную карту, то используя Apple Pay или андроидовский аналог (не путать с Google Pay).
❌ Заблокировать карту для онлайн-платежей и разблокировать ее только тогда, когда она нужна.
Сбербанк такое позволяет, например.
❌ Советую открыть виртуальную дебетовую карту и закидывать туда необходимую сумму для оплаты товара онлайн.
❌ Сменить все свои пароли для аккаунтов, содержащих ваши платежные данные.
Я серьезно, хотя бы раз в год стоит так делать. Пароли можно хранить на листочке, в заметках, в специальном парольнике.
Если у вас уже украли деньги с карты, то обратитесь к ЮВТ, а если кому-то будет интересно, то я напишу про процедуру чарджбека и как бороться с уходящими в отказ банковскими служащими (хотя, вроде такой пост уже был у ЮВТ).
Ну или же про системы Антифрода или почему вас везде видно.
ЮВТ — юрист для афериста и простого гражданина!
ЮВТ отзывы — нам говорят спасибо!
ЮВТ условия — FAQ по услугам!